Tutorial de análisis del PC con OTL de OldTimer.

Ver el tema anterior Ver el tema siguiente Ir abajo

Tutorial de análisis del PC con OTL de OldTimer.

Mensaje  r32 el Vie Ago 14, 2015 9:35 pm

Hola a todos, subo este tutorial para analizar el PC con la herramienta OTL de OldTimer con la que podremos generar un log y subir al foro. Es similar a la herramienta Hijackthis pero el log generado extrae más información. Discupad si hay algún error ortográfico, volveré a revisarlo.
El autor original es "emeraldnzl" y desde el foro de Infomalware junto con "Netsurfer" realizamos la traducción de la guia al español y algunas traducciones del propio programa.



Tabla de contenidos:

 -   Introducción.
 -   Enlace para descargar OTL.
 -   Información del resultado.
 -   Exploración estándar.
 -   Ejemplo de salida.
 -   Procesos.
 -   Modulos.
 -   Servicios.
 -   Controladores/Drivers.
 -   Registro estándard.
 -   Internet Explorer
 -   Firefox
 -   O1 a O22 incluyendo O24
 -   O10
 -   O27 Image File Execution Options
 -   O28 Shell Execute Hooks
 -   O29 Security Providers
 -   O30 Lsa
 -   O31 Modo seguro
 -   O32 Archivos Autorun en discos locales.
 -   O33 MountPoints2
 -   O34 BootExecute
 -   O35 shell spawning values
 -   O36 appcert dlls
 -   O37 Asociación de archivos.


  -   Pre-defined Custom Scan Command Example
  -   Quick Reference of available Directives & Commands

        :processes
        :OTL
        :Services
        :Reg
        :Files
        :Commands

    Switches
    Commands/Switches
    CleanUp


OTL es una herramienta para el diagnóstico y la eliminación de malware.

Nota importante!: Aunque OTL es principalmente una herramienta de diagnóstico, la misma tiene una capacidad avanzada para eliminar programas maliciosos. Si usted no entiende las instrucciones en este tutorial, favor de solicitar la asistencia de un experto en la eiminación de programas maliciosos que ofrecen su ayuda gratis en uno de los foros que se indican abajo. Tenga mucho cuidado al desarollar y ejecutar uno de los códigos. El uso inapropiado de OTL puede causar la pérdida de sus datos o causar que éste no arranque.


Enlaces de descarga (versión actual 3.2.69.0):

http://oldtimer.geekstogo.com/OTL.exe

Para usuarios que no puedan ejecutar archivos con extensión .exe, pueden descargar OTL con una extensión .com o .scr que a efectos es lo mismo.

http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

Ejecutando OTL (ejecutar como administrador):



Ventana principal:



Configurando OTL para un análisis óptimo y/o personalizado:


  • Asegurese de cerrar todas sus ventanas antes de ejecutarlo y dejelo correr sin interrumpirlo asta que termine el Análisis.
  • Hacer doble click en el icono "OTL.exe" para ejecutarlo.
  • Cuando la ventana principal aparezca, marcar las siguienes opciones:  Abajo de: "Tipo de Análisis" cambielo a Resultado Minimo.
  • Marcar las opciones: Buscar LOP y Buscar Purity.
  • Copia y pega el siguiente texto abajo de la barra azul de "Análisis Personalizados":



netsvcs
drivers32
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /180
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop


  • Presione el boton Asegurarse de no cambiar el resto de la configuración a menos que te lo solicitemos, el análisis no tardará mucho.
  • Una vez termine se abrirán dos archivos, OTL.Txt y Extras.Txt. Éstos aparecerán grabados en el mismo lugar en que OTL.exe fue guardado.
  • Copiar y pegar el contenido del informe en el tema de tener que abrir uno en el foro.


Una vez que OTL haya completado su primer análisis, guardará una copia del resultado en un documento de texto y guardará en la misma carpeta donde se ejecutó. A menos que se incluya el informe "Extras" en la configuración, solamente se producirá el informe OTL.txt en escaneos siguientes.

En el caso del informe correspondiente a una reparación, el mismo se grabará en la carpeta:
    _OTLMoved Files reflejando la fecha y hora en la que se crea. En la mayoría de los casos, C:_OTLMoved Files.


* Encabezado.

Este es un ejemplo del encabezado de un registro:

Código:
OTL logfile created on: 10/08/2012 16:54:08 - Run 3
OTL by OldTimer - Version 3.2.56.0     Folder = C:\Documents and Settings\Administrador\Mis documentos\Descargas
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040A | Country: España | Language: ESP | Date Format: dd/MM/yyyy
 
2,00 Gb Total Physical Memory | 1,37 Gb Available Physical Memory | 68,38% Memory free
5,85 Gb Paging File | 5,07 Gb Available in Paging File | 86,76% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Archivos de programa
Drive C: | 99,83 Gb Total Space | 15,76 Gb Free Space | 15,78% Space Free | Partition Type: NTFS
Drive D: | 170,60 Gb Total Space | 129,15 Gb Free Space | 75,70% Space Free | Partition Type: NTFS
Drive F: | 195,32 Gb Total Space | 126,03 Gb Free Space | 64,53% Space Free | Partition Type: NTFS
Drive G: | 3,80 Gb Total Space | 0,99 Gb Free Space | 26,09% Space Free | Partition Type: FAT32
Drive K: | 931,51 Gb Total Space | 473,93 Gb Free Space | 50,88% Space Free | Partition Type: NTFS
 
Computer Name: DESKTOP | User Name: Administrador | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

Descripción del log generado por líneas:

Primera línea: Indica la fecha en que se creó el registro, la hora del día y cuantas veces OTL se a ejecutado.
Nota: la fecha se mostrará en el formato establecido por el usuario en el Panel de control.
Se utilizará esta información para determinar si el escaneo es el actual, y no uno antiguo.
Segunda línea: Muestra la versión d OTL y su ubicación en el disco. El número de versión es particularmente importante. Una versión no actualizada no tendrá la funcionalidad actual y puede arrojar un resultado equivocado a la hora de evaluar un registro. De igual forma, la ubicación de OTL en el disco puede ser de gran importancia, especialmente si el mismo no se encuentra en un lugar permanente.
Tercera línea: Muestra la versión de Windows activa en el equipo, y el tipo de sistema de archivo. Esta información es muy útil para determinar si otras herramientas son compatibles con el ordenador del usuario.
Cuarta línea: Indica la versión del Explorador de Windows (Internet Explorer). La versión 8 puede causar problemas en algunos equipos.
Quinta línea: Nos muestra el país, idioma y el formato de fecha que el sistema operativo está utilizando. Puede ser útil en la preparación de las respuestas. Para obtener una lista de las siglas utilizadas clic ---> Aquí.
Sexta línea: Le indica la cantidad de memoria (RAM) que el ordenador posee. A menudo esto puede ayudar a explicar muchos de los síntomas.
Nota: El informe de la cantidad de memoria puede aparecer más baja de lo que realmente está en la máquina. Esto sucede por varias razones. El ordenador puede que no pueda acceder a toda la memoria disponible; defectos en los modulos de memoria o su base; o algo que previene al inicio del ordenador reconocer la misma. Sistemas con más de 4GB de memoria, reflejarán el máximo de 4 GB.
Líneas séptima y octava: El archivo "Pagefile.sys" es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora. Así se amplía la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. El tamaño del archivo fluctúa basado en la necesidad del sistema.
Novena línea: Le indica el medio ambiente del sistema; desde donde funciona la unidad del sistema, la raíz del mismo y ubicación de los archivos de programas.
Las líneas siguientes: Le indica las unidades en que el equipo está dividido, su tamaño y el espacio libre disponible. Que tipo de unidad es y si está subdividido. Puede encontrar una situación donde existe muy poco espacio libre en el disco duro (para un sistema óptimo, debe ser mayor del 15%). De ser menor, esto puede afectar la habilidad del fucionamiento de las herramientas. Si el espacio libre es muy bajo, digamos del 5%, entonces hay una posibilidad de que el ordenador no inicie cuando se ejecuta una herramienta. OTL siempre informará el estado de las unidades C: a la I, independientemente de si están o no instalados. Cualquier unidad desde la J: a la Z:, será informado solo si están presentes.

El informe continúa con un grupo de líneas que indican el nombre del equipo, el usuario actual y el nivel al cual se ha conectado. Esto nos permite saber si el usuario tiene el permiso apropiado para ejecutar una reparación.
Luego de esto, existe otro grupo de líneas que indican la configuración utilizada en el escaneo, tal y como ; el modo de arranque del ordenador; si sólo se configuró el usuario actual o todos los usuarios; escaneo en sistemas de 64-bit; si la lista de compañías reconocidas fue omitida o no; y otros.

OTL agrega anotaciones a determinadas entradas del registro:

21:52:15 | 01,216,000 | ---- | M - el último de los caracteres entre los corchechetes [.] será permanente M para indicar si el archivo fue modificado, o C para para indicar si el archivo fue creado.

Todo escaneo, excepto por los que se realizan por la edad de archivos y análisis de aquellos sin la firma de compañías reconocidas, mostrará la fecha de la última modificación de los archivos. Los dos análisis mostrarán la fecha de creación de ambos, el archivo y la carpeta. Existen tipos de infecciones que ajustan la fecha de modificación para tratar de ocultarse o mezclarse con otros archivos o carpetas. De esta manera, y mediante el análisis de las fechas de creación y modificación, podemos identificar a este tipo de infección. Si los archivos o carpetas muestran una fecha modificada en el 2003, pero fueron creados en el 2010, entonces esto es una indicación de que debemos realizar una evaluación más profunda de estos archivos. Una evaluación profunda de los resultados de escaneo nos ayudará a identificar las infecciones de forma efectiva.

18:25:02 | 1609,916,416 | -HS- | M] () -- C:hiberfil.sys -

Luego del tamaño del archivo, aparecerán los siguientes atributos son:

R - Readonly - Leer solamente
H - Hidden - Oculto
S - System - Sistema
D - Directory - Carpeta

SRV - (NMSAccessU) -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe() - Esta línea indica que el archivo no está digitalmente firmado por una empresa. De estar digitalmente firmado, el nombre de la empresa aparecería dentro del paréntesis final. La mayoría de archivos maliciosos no tendrán nombre de empresa (aunque algunos sí, para ocultarse). Tenga en consideración que no todos los archivos sin nombre de empresa son malos, como muestra el ejemplo de arriba.

15:54:00 | 00,000,000 | ---D | M - Esta línea muestra un directorio (D) que se ha modificado (M) en 2009/03/10.

El tamaño de las carpetas siempre será cero según demuestra este ejemplo. Si hubiera sido un archivo, el atributo no sería una D y el tamaño del archivo normalmente sería mayor de cero, aunque también se pueden encontrar archivos con un tamaño cero. En este caso, el ejemplo es una carpeta y la fecha en que se muestra es la fecha de modificación.

Áreas de análisis estándar


RPC - procesos
MOD - módulos
SRV - servicios (O23 en HJT)
DRV - controladores
Registro estándar
IE - configuración del explorador (Internet Explorer)
FF - configuración del explorador (FireFox)
O1 a O24 - Estas líneas son similaresal registro de Hijackthis
O27 Opciones en la Ejecución de la imagen del archivo
O28 Ganchos de ejecución en la base de Windows (shell)
O29 Proveedores de seguridad
O30 Servicios de autenticación. (LSA)
O31 Modo de Inicio Seguro
032 Archivos de arranque automático en el disco
O33 Configuración de las unidades de almacenamiento
O34 Programas que se ejecutan al inicio
O35 Asociación de los archivos .com y .exe de la base del sistema
Bibliotecas (Librería) de Enlace Dinámico (.dll)
037 Asociación de los archivos .com y .exe de la base del sistema


Análisis de archivos y carpetas

Registro adicional - Se obtiene automáticamente durante el escaneo inicial de OTL. Realiza los siguientes análisis y coloca el resultado en el registro "Extras.txt". Este escaneo adicional sólo se ejecutará automáticamente la primera vez que OTL.exe se ejecute, mediante el cual se obtiene el primer análisis. Subsiguientemente, si desea ver estos resultados necesitará instruir a el usuario a que marque una de estas dos opciones: "Listado Minimo" o "Todos" en el grupo de registro adicional antes de hacer un scaneo de lo siguiente:

Asociación de archivos
Shell Spawning
Centro de Seguridad
Aplicaciones autorizadas (si se ejecuta en un sistema operativo no-Vista)
Reglas del "Firewall" en vista (si se ejecuta en un Vista o los sistemas operativos anteriores)
Lista de Programas Instalados
Vista de Sucesos (últimos 10 errores en cada área cubierta por la aplicación)

Existen dos formas de solicitarle al usuario que presente el Escaneo Estándar, "Resultado Completo" o "Resultado Mínimo". Además se puede utilizar la opción de listado minimo o "Todos" en cada uno de los escaneos standár selecionado con el grupo particular de scaneo.

Nota: Selecionando "Resultado Completo", la fecha hora del archivo se incluirán al principio de la línea, mientras que selecionando "Resultado Mínimo" sólo se incluirá el nombre del archivo, ubicación y nombre de la empresa. El resultado el escaneo concerniente a los procesos, módulos, servicios, controladores y análisis de archivos, se reflejará ordenados por fecha de archivo, sin embargo, en el caso de análisis personalizado, se ordenarán por ubicación y nombre de archivo. En los sistemas operativos de 64 bits, los elementos de 64 bits se enumerarán primero, y subsiguientemente los elementos de 32-bit dentro de la misma agrupación.

La lista de compañías reconocidas es una lista de más de 600 archivos (actualmente) de Microsoft que se consideran seguros, y que se filtrarán fuera de todos los análisis si el análisis incluyera esta opción. Al elegir la opción "Todos" en cualquier de estos análisis, se apagará el filtro y el resultado incluirá todos los achivos en el systema en el análisis.

Nota 2: Si usted va a utilizar un análisis personalizado asegúrese de que presione el botón Analizar. Si se cambia la opción de "Análisis Mínimo" se aplicará la configuración predeterminada.

También hay comandos adicionales personalizados y predefinidos que se pueden utilizar en análisis personalizados:

Nota: Con la excepción del comando HijackThisBackups, el resultado del escaneo utilizando los siguientes comandos se puede copia/pegar directamente en la sección de :OTL en una reparación para su eliminación.

HijackThisBackups - se enumeran todas las copias de apoyo producidas por Hijackthis
netsvcs - listas de entradas bajo HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost - netsvcs
msconfig - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfig
safebootminimal - listas de entradas bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootMinimal
safebootnetwork - listas de entradas bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootNetwork
activex - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components
drivers32 - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionDrivers32

Nota: De forma predeterminada, cada uno de los análisis predefinidos utilizará el filtro de companías reconocidas. Para anular esta acción e incluir todos los archivos en cualquiera de estos análisis debe incluir el codigo /all al final del comando (ejemplo: netsvcs /all).

Ejemplo de los resultados

Procesos

Muestra procesos que se estan ejecutando en su equipo.

========== Processes (SafeList) ==========

Estándar:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:OldTimer ToolsOTL.exe

Mínimo:
PRC - C:OldTimer ToolsOTL.exe (OldTimer Tools)

Módulos

========== Modules (SafeList) ==========

Estándar:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:Program FilesAgnitumOutpost Firewallwl_hook.dll

Mínimo:
MOD - c:Program FilesAgnitumOutpost Firewallwl_hook.dll (Agnitum Ltd.)

Servicios

Muestra servicios ejecutandose en el equipo.

========== Win32 Services (SafeList) ==========

Estándar:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:Program FilesWindows Media Playerwmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe -- (NMSAccessU)

Mínimo:
SRV:64bit: - (WMPNetworkSvc) -- C:Program FilesWindows Media Playerwmpnetwk.exe (Microsoft Corporation)
SRV - (NMSAccessU) -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe ()

Controladores (Drivers)

Muestra Controladores ejecutandose en el equipo. Nota: Los controladores no se muestran de forma predeterminada en un examen rápido. Se deben seleccionar y ejecutar con el botón Analizar.

========== Driver Services (SafeList) ==========

Estándar:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:WindowsSysNativedriversafwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:WindowsSysWOW64driversStarOpen.sys -- (StarOpen)

Mínimo:
DRV:64bit: - (afwcore) -- C:WindowsSysNativedriversafwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:WindowsSysWOW64driversStarOpen.sys ()

Registro estándar

========== Standard Registry (SafeList) ==========

Internet Explorer

========== Internet Explorer ==========

Esta sección muestra los ajustes del navegador IE Internet:
[quote=IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Secondary_Page_URL = [binary data] IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Extensions Off Page = about:NoAdd-ons IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page = IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Security Risk Page = about:SecurityRisk IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:Program FilesTalkTalk Mail Toolbartalktalkmailtb.dll (AOL LLC.) IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.google.com/ie IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Local Page = IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Page_Transitions = 1 IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://www.google.com IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.aol.co.uk/talktalk IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.google.com/ie IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.com/ie IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:Program FilesTalkTalk Mail Toolbartalktalkmailtb.dll (AOL LLC.) IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyEnable" = 0 IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyOverride" = *.local IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyServer" = 0.0.0.0:80][/quote]

En cuanto a algunos artículos en el ejemplo anterior podemos ver:

    IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    MSN, página por defecto principal de IE.

    IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    Bing, Motor de búsqueda principal de IE por defecto.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Extensions Off Page = about:NoAdd-ons
        Una de las características menos conocidas de Internet Explorer 7 es el modo de la opcion de "No Add Ons" . Esta página se utiliza cuando el modo de No Add Ons está en funcionamiento.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
        página local está en blanco. Otro ajuste similar es =C:WINDOWSSystem32blank.htm.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Security Risk Page = about:SecurityRisk
        Informa al usuario de no navegar con la configuración de seguridad actual, ya que pueden ser perjudiciales para el equipo. Ver aquí para una lista común sobre: direcciones.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html

    Página web de Yahoo
    BHO relacionados con Yahoo.

    IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.aol.co.uk/talktalk

    Indica la página de inicio predeterminada..

    IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://www.google.com
    Google se establece como una página de búsqueda principal.

    IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.google.com/ie
    ndica el conjunto de Google.com/ie como un motor de búsqueda predeterminado.


Proxy /Configuración settings.

    IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyEnable" = 0
    = 0 indica que el servidor proxy está inhabilitado (ajustar el valor de 'ProxyEnable "igual a" 1 "para el proxy habilitado o '0 'para inabilitado).

    IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyOverride" = *.local
    indica que Internet Explorer no va a usar el proxy para todas las direcciones de red interna.

    IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyServer" = 0.0.0.0:80
    No es una IP regular pero 0.0.0.0 significa "cada IP que proporciona el equipo". Escucha en el loopback (127.0.0.1), así como la dirección de red interna. Muchas aplicaciones de AV crean un servidor de proxy para filtrar las salidas de correos..

Firefox:

========== FireFox ==========

Esta área muestra los ajustes del navegador Firefox a Internet.

Citar
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
FF - prefs.js..network.proxy.no_proxies_on: "localhost"

FF - HKLMsoftwaremozillaFirefoxExtensions{20a82645-c095-46ed-80e3-08825760534b}: c:WINDOWSMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaFirefoxExtensionsjqs@sun.com: C:Program FilesJavajre6libdeployjqsff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaFirefoxExtensions{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:program filesrealrealplayerbrowserrecordfirefoxext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaMozilla Firefox 3.0.14extensionsComponents: C:Program FilesMozilla Firefoxcomponents [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaMozilla Firefox 3.0.14extensionsPlugins: C:Program FilesMozilla Firefoxplugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaNetscape Browser 8.0.3.4ExtensionsComponents: C:Program FilesNetscapeNetscape BrowserComponents [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaNetscape Browser 8.0.3.4ExtensionsPlugins: C:Program FilesNetscapeNetscape BrowserPlugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]

Tomando algunos elementos en el ejemplo anterior podemos ver:
.


    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15

    estos están relacionados con la Consola de Sun Java
    .

    FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

    es un complemento para inicio rápido de Java
    .
    FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1

    Asistente de Microsoft .NET Framework para Firefox
    .
    FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
    Real Player
    .
    FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
    Skype
    .



O1 hasta e incluyendo O22 O24

Esta lista es muy similar a un registro de HijackThis y la referencia a HijackThis Tutorial & Guia se recomienda para artículos 01 a través de 020 y también el tema 024.

010 Esto requiere una explicación adicional: a diferencia de HijackThis, OTL eliminará las entradas de catálogo que se incluyen en la reparación y a continuación, reordena la pila de winsock por lo que no habrá un eslabón roto de la cadena LSP, es decir, usted puede utilizar OTL para corregir estos elementos.

Opciones de Ejecución de una imagen de archivo O27

Elementos de listas bajo Opciones de ejecución de archivos de HKey_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options

Explicación aquí.

O28 Hooks de ejecución en shell

HKey_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

Estos se cargan cada vez que inicie un programa (mediante el Explorador de Windows o por llamar a la función de ShellExecute(Ex)). Este módulo de inicio como los otros módulos DLL de inicio es notificado del programa que usted inicia y que puede realizar cualquier tarea adicional antes que el programa en realidad inicie.

O29 proveedores de seguridad

Listas de elementos bajo HKey_Local_MachineSYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders

    O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
    O29 - HKLM SecurityProviders - (digiwet.dll) - File not found


Estos son ejemplos de los malos. Tenga mucho cuidado! porque elementos legítimos se muestra aquí también.

O30 Lsa

Listas de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa

    O30 - LSA: Authentication Packages - (C:WINDOWSsystem32opnnLbaA.dll) - C:WINDOWSSystem32opnnLbaA.dll File not found



Lo anterior es un ejemplo de una mala.

Nota: Los elementos LSA 32 bits comparados a 64 bits:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (kerberos) - C:WindowsSysNativekerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:WindowsSysNativeschannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:WindowsSysNativewdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:WindowsSysNativetspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:WindowsSysWow64kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:WindowsSysWow64schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:WindowsSysWow64wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:WindowsSysWow64tspkg.dll (Microsoft Corporation)

Para los elementos que se encuentran en la rama de HKLMSystem del registro, hay sólo un valor, pero será interpretado de forma diferente por aplicaciones de 32 bits y aplicaciones de 64 bits. En los ejemplos anteriores se puede ver que las interpretaciones de 64 bits se verá a los archivos en la carpeta Sysnative (las carpetas system32 de 64 bits) y las interpretaciones de 32 bits se verá en la carpeta syswow64 (la carpeta system32 de 32 bits). Si elimina cualquiera de estos elementos afectará a las operaciones tanto de 32 bits y de 64 bits. Eliminación de una o de las otras líneas parecidas se elimina el elemento de la ubicación del registro único pero sólo se movera el archivo de la línea seleccionada. A continuación si desea quitar ambos archivos para la coincidencia de elementos parecidos como estas, entonces incluya las dos en la reparación. Es importante comprender donde están ubicados los elementos en el registro para determinar si un elemento de registro único es leído por las aplicaciones de 32 bits y de 64 bits. Lo que usted podría encontrar en una situación como ésta es que el archivo apuntado por la interpretación de 32 bits es malo, pero la interpretación de 64 bits está muy bien (la mayoría de malware sólo afecta a aplicaciones de 32 bits debido a que el sistema operativo de 64 bits no permite cambios en sus archivos). Dado que el valor del registro es compartido por ambos no desea eliminarlo debido a que podría causar problemas en el sistema.

Ahora tome este ejemplo de los elementos LSA anteriores:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll ()
O30:64bit: - LSA: Security Packages - (kerberos) - C:WindowsSysNativekerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:WindowsSysNativeschannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:WindowsSysNativewdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:WindowsSysNativetspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:WindowsSysWow64kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll ()
O30 - LSA: Security Packages - (schannel) - C:WindowsSysWow64schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:WindowsSysWow64wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:WindowsSysWow64tspkg.dll (Microsoft Corporation)

En este ejemplo se puede ver que se ha comprometido el archivo msv1_0.dll para la interpretación de 32 bits. Debería ser un archivo de Microsoft, pero en este caso ha sido sustituido por un archivo desconocido. En esta situación usted desea eliminar sólo el archivo de C:WindowsSysWow64msv1_0.dll pero NO la entrada del Registro. También habría que sustituir el Msv1_0.dll malo con uno válido, ya que se requiere para soporte de aplicaciones.

O31 Modo Seguro a prueba de fallos (SafeBoot)

Listas de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetSafeBoot

Archivos de O32 Autorun en las unidades

Acceso a un dispositivo removible infectado, como una thumb drive o unidad flash a través de "Mi PC" (al hacer clic en la unidad) hará que un autorun.inf se ejecute.

Dependiendo de la ejecución automática /configuración de reproducción automática, entonces, el usuario puede ser engañado en ejecutar un archivo incorrecto, cuando le aparece un diálogo en la inserción Haciendo clic en un icono en el "usar este programa para ejecutar" un programa no legítimo agrega al archivo autorun.inf en esa unidad que se puede ejecutar.

Algunos malware agrega archivos autorun.inf en la raíz de todas las unidades lógicas.

O33 MountPoints2

Listas de elementos bajo HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

O34 BootExecute

Listas de elementos bajo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager

O35 shell spawning values

En la base de windows en la listas de valores para .com y .exe configuración del registro (no otras extensiones).

Elementos de O35 (como cualquier otro elemento en el análisis de registro) simplemente se pueden colocar en la sección de :OTL, de una reparación, (en los del registro de Extras no puede).

Con la infecion de Win police Pro se verá un nombre de archivo en lugar de la "% 1" % *. Si lo ves, entonces incluir estas líneas en la reparación.

O36 appcert dlls

Lista de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession managerappcertdlls key

Asociaciones de archivos de O37 (para valores comfile y exefile )

Listas de archivo de asociaciones de valores para la configuración del registro de .com y .exe de la base de windows.

Las asociaciones de archivos en la base de windows están íntimamente entrelazadas. Los elementos de O35 muestran los valores de la base de windows (.com y .exe) y los elementos de O37 muestran las asociaciones de archivo (.com y .exe).

Puede ver estos valores si se ejecuta el análisis de registro extra, pero cuando no puede verlos entonces estos valores pueden estar ocultos. La línea de O37 le ofrece la capacidad para ver esto incluso cuando no se ejecuta el análisis de registro adicional.

El valor de la Asociación de archivo es un valor predeterminado único que apuntará al valor de la base de windows. Es el valor de la base de windows donde se pueden configurar ejecutables adicionales para ejecutar tipos de archivo específicos a través de la asociación. Por ejemplo la Asociación de archivos del usuario para los archivos .exe debe estar apuntando a .exe pero el malware puede cambiarlo para que apunte a una nueva clave de desove que está cargando un "archivo malo". El archivo debe aparecer en los análisis de archivo, pero sólo mover ese archivo y no fijar el valor de la Asociación creará una situación donde no se pueden ejecutar archivos .exe.

Cuando ponga elementos para eliminación aquí, OTL establecerá a cualquier usuario .com HKLM o configuración de asociación de archivo .exe de vuelta a los valores predeterminados, pero elimina .com con cualquier usuario o las claves de asociación de archivos .exe y siempre establece el shell HKLM desove de configuración a la normalidad.

Nota: Si la clave de desove está en la rama del usuario del registro, a continuación, siempre se eliminará automáticamente, pero que necesitará quitar el archivo por separado. El archivo debe aparecer en los análisis de archivo y usted puede hacerse cargo de allí. Si la clave de desove aparece con el error de Reg: error de clave y es el malware y, a continuación, también debe incluir una línea en la sección :REG para eliminarlo de la sección HKLM sólo por seguridad.

Ejemplo de la eliminación de un valor incorrecto de la sección HKLM.

:reg
[-hkey_local_machinesoftwareclasses"badfile"]

y tenga cuidado del archivo desde los análisis de archivo o de la sección :Files

Actualizado: 05.01.2015
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.