Poradnik analizy logów z OTL - Część I.

Blogi użytkowników forum Hotfix
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Poradnik analizy logów z OTL - Część I.

Post08 gru 2016, 20:23

Dłuższy czas pisałem ten wpis, ale może kogoś zainteresuje, jeśli chcecie więcej, piszcie na PW. Jeśli duża ilość osób zgłosi się o więcej to napiszę część drugą.

1.Wprowadzenie.

Po ściągnięciu aplikacji na dysk uruchamiamy ją i konfigurujemy. Proponuję konfigurację zalecaną na naszym forum. Wizualnie wszystko na poniższym obrazku.

Obrazek

2.Niestandardowe Opcje Skanowania.

OTL umożliwia wykonanie skanowania z własnymi ustawieniami. W tym celu w pole Własne opcje skanowanie/skrypt wpisujemy dodatkowe komendy i klikamy Skanuj. Wspomniane komendy to:

a) netsvcs -> wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost,
b) msconfig -> wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Msconfig,
c) safebootminimal -> wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal,
d) safebootnetwork -> wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network,
e) activex -> wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents,
f) drivers32 -> wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32.

Domyślnie wyniki zostaną przefiltrowane i nie wyświetlą znanych, zaufanych elementów. Aby wyświetlić wszystkie elementy, do każdego z powyższym poleceń dodajemy przełącznik -> /all (np. netsvcs /all).

Oprócz przełącznika all istnieją również inne przełączniki, takie, jak:

a) /C -> przełącznik uruchamia linie komend MS-DOS. Mamy możliwość wpisania komend z wiersza poleceń (np. -> regedit do uruchamiania edytora rejestru). Przykład użycia:

regedit /c
attrib /d /s -s -h C:\Users\Kominekl\AppData\Roaming\* /C


b) /MD5 -> przełącznik umożliwia wygenerowanie sumy kontrolnej części składowych. Możemy wpisać pojedynczy element lub użyć symboli wieloznacznych (*.*; *.exe …), np. -> C:\Program Files\7-Zip\7z.exe /MD5. Jeżeli mamy kilka plików, to możemy ich listę zamknąć w przełącznikach /MD5START i /MD5STOP:

/md5start
netlogon.dll
logevent.dll
atapi.sys
nvgts.sys
/md5stop


c) /LOCKEDFILES -> przełącznik wyszuka wszystkie zablokowane pliki, którym nie można obliczyć sumy MD5. Podajemy ścieżkę dostępu do folderu, ewentualnie przełącznik /s w celu analizy podfolderów, np:

C:\Windows\System32\*.dll /lockedfiles


d) /RS -> przełącznik umożliwia wyszukiwanie w rejestrze, np:

HKLM\Software\Microsoft\Windows\CurrentVersion|nazwa elementu /RS


e) /S -> przełącznik umożliwia analizę subfolderów oraz podkluczy w rejestrze, np:

C:\Windows\*.dat /S


f) /U -> wyświetlanie tylko elementów zawierających znaki Unicode, np:

C:\Windows\*.* /U


g) /64 -> wyszukiwanie w 64 bit`owych folderach i rejestrze na systemie 64 bit`owym, np:

C:\Windows\System32\*.dat /64


h) /X -> wykluczenie plików ze skanowania, np:

C:\Windows\*.exe /X


i) / -> wyświetlanie plików tylko o określonej ilości dni, np:

C:\Windows\System32\*.* /3


j) Ścieżka Dostępu\Typ Elementów -> listowanie zawartości katalogów (poniżej przykłady).

C:\Windows\System32\*.dll
%PROGRAMFILES%\*.*
C:\*.*


3.Problemy z uruchomieniem oprogramowania OldTimer.

Czasem, gdy w systemie jest aktywna infekcja, może nastąpić zablokowanie uruchomienia OTL. W tym przypadku pomocne może być zabicie wszystkich uruchomionych procesów. W tym celu skorzystamy z Dostępne tylko dla zarejestrowanych użytkowników. W razie problemów z uruchomieniem OTH proszę użyć alternatywnych wersji OTH, takich, jak Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników. OTH to pomocnicza aplikacja ułatwiająca uruchamianie OTL. Po uruchomieniu klikamy w button -> Kill All Processes, następnie uruchomić OTL opcją -> Start OTL. Opcją -> Start Misc Program możemy uruchomić dowolny inny program, a button -> Internet Explorer uruchomi przeglądarkę.

4.Interpretacja logów OTL.

Dochodzimy teraz do chyba najbardziej interesującego wszystkich punktu odebrania logów. Czyli odwieczne pytanie forumowiczów - "Co to są te wszystkie literki i cyferki?!". Omówienie loga nastąpi w podpunktach.

a) nagłówek

OTL logfile created on: 10-10-22 19:11:24 – Run 14
OTL by OldTimer – Version 3.2.16.0 Folder = C:\
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) – Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yy-MM-dd


Pierwsza linia –> mówi o dokładnej dacie wykonania loga oraz liczbie uruchomień aplikacji.
Druga linia –> mówi o wersji aplikacji oraz lokalizacji, z której jest uruchamiana.
Trzecia linia –> mówi o wersji systemu Windows oraz rodzaju systemu plików.
Czwarta linia – informuje nas o wersji przeglądarki Internet Explorer.
Piąta linia – pokazuje nam informacje na temat kraju, języku i formatu daty.

900,00 Mb Total Physical Memory | 600,00 Mb Available Physical Memory | 92,00% Memory free
1534,00 Mb Paging File | 1200,00 Mb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 704 768 [binary data]


Ta sekcja informuje nas o ilości zainstalowanej pamięci RAM oraz o ilości procentowej wolnej pamięci. Informuje też o ilości pamięci wirtualnej oraz ilości procentowej wolnej pamięci tego typu. Pokazuje nam również lokalizacje pliku wymiany.

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 18,66 Gb Total Space | 0,58 Gb Free Space | 3,61% Space Free | Partition Type: FAT32
Drive D: | 3,97 Gb Total Space | 0,18 Gb Free Space | 4,46% Space Free | Partition Type: NTFS


Ta część mówi o literze napędu, z którego uruchomiony jest system oraz lokalizacji katalogu systemowego i Program Files. Mówi o zainstalowanych dyskach/partycjach na komputerze i ich pojemności. Podaje liczbę procentową wolnego miejsca oraz system plików.

Computer Name: Kominekl-EBE78BR | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days


Następna część informuje nas o nazwie komputera, nazwie użytkownika wraz z uprawnieniami, typie uruchomienia komputera oraz typie skanowania -> bieżącym lub wszystkich użytkowników. Mówi nam o wybranych opcjach skanowania plików -> wyborze, co do skanowania według nazwy firmy, odfiltrowania plików Microsoftu, z pominięciem nazwy producenta oraz "wieku plików" utworzonych/modyfikowanych.

b) skróty używane w logach

[2010-10-20 10:47:46 | 000,000,000 | RHSD | C]


W przypadku, gdy litera oznaczono na czerwono przyjmie formę C -> oznacza to utworzenie pliku, gdy przyjmie formę M -> oznacza to modyfikację pliku.

[2010-10-20 10:47:46 | 000,000,000 | RHSD | C] — C:\Documents and Settings\Administrator\Recent


Oznaczone kolorem litery oznaczają kolejno następujące atrybuty:

R -> tylko do odczytu,
H -> ukryty,
S -> systemowy,
D -> folder.

SRV – (NMSArgtessU) — C:\Program Files (x86)\RKBurneres\NMSArgtessU.exe ()


() -> pusty nawias na końcu oznacza, że plik nie ma nazwy producenta/firmy, ale nie wszystkie takie pliki są szkodliwe.

c) uruchomione procesy

W sekcji:

========== Processes (SafeList) ==========

PRC - [2011-09-10 14:48:14 | 000,581,120 | ---- | M] (OldTimer Tools) -- C:\Users\ada\Desktop\OTL.exe
PRC - [2011-09-03 08:37:45 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2011-07-01 16:52:52 | 019,772,360 | ---- | M] (Redefine Sp z o.o.) -- C:\Program Files (x86)\ipla\ipla.exe
PRC - [2011-05-30 10:30:00 | 000,885,760 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe
PRC - [2011-01-13 20:54:26 | 000,464,856 | ---- | M] (SoftThinks - Dell) -- C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpd.exe
PRC - [2011-01-13 20:42:12 | 003,811,648 | ---- | M] (SoftThinks - Dell) -- C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe
PRC - [2011-01-13 20:39:32 | 000,783,680 | ---- | M] () -- C:\Program Files (x86)\Dell DataSafe Local Backup\COMPONENTS\SCHEDULER\STSERVICE.EXE
PRC - [2011-01-13 20:37:02 | 000,705,856 | ---- | M] (SoftThinks SAS) -- C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
PRC - [2011-01-12 16:41:42 | 000,810,144 | ---- | M] (ESET) -- C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe


mamy listę uruchomionych procesów.

d) załadowane moduły

W sekcji:

========== Modules (No Company Name) ==========

MOD - [2011-09-03 08:37:45 | 001,846,232 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
MOD - [2011-08-19 12:21:26 | 006,277,280 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
MOD - [2011-07-01 16:52:56 | 000,068,456 | ---- | M] () -- C:\Program Files (x86)\ipla\ziplib.dll
MOD - [2011-07-01 16:52:54 | 000,392,552 | ---- | M] () -- C:\Program Files (x86)\ipla\jabberoo.dll
MOD - [2011-07-01 16:42:14 | 000,291,840 | ---- | M] () -- C:\Program Files (x86)\ipla\MediaFileScanner.dll
MOD - [2011-07-01 16:39:34 | 000,156,160 | ---- | M] () -- C:\Program Files (x86)\ipla\lua.dll
MOD - [2011-05-30 10:30:00 | 000,885,760 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe
MOD - [2011-05-30 10:25:10 | 007,938,048 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\QtGui4.dll
MOD - [2011-05-30 10:25:10 | 002,225,664 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\QtCore4.dll
MOD - [2011-05-05 00:32:40 | 003,190,784 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
MOD - [2011-03-30 00:33:52 | 005,025,792 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
MOD - [2011-03-30 00:33:48 | 004,550,656 | ---- | M] () -- C:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
MOD - [2011-01-31 10:28:48 | 000,032,768 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Runtime.Remoting.resources\2.0.0.0_pl_b77a5c561934e089\System.Runtime.Remoting.resources.dll


mamy podaną listę załadowanych modułów.

e) uruchomione usługi

W sekcji:

========== Win32 Services (SafeList) ==========

SRV - [2011-01-13 20:37:02 | 000,705,856 | ---- | M] (SoftThinks SAS) [Auto | Running] -- C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE -- (SftService)
SRV - [2010-10-22 13:08:18 | 001,039,360 | ---- | M] (Hewlett-Packard Co.) [Auto | Running] -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL -- (HPSLPSVC)
SRV - [2010-09-04 09:15:22 | 000,219,632 | ---- | M] (Sonic Solutions) [Auto | Stopped] -- C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatch12OEM.exe -- (RoxWatch12)


mamy listę uruchomionych usług.

f) uruchomione sterowniki

W sekcji:

========== Driver Services (SafeList) ==========

DRV - [2009-07-14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)


mamy podane uruchomione sterowniki.

g) Internet Explorer

W sekcji:

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-836742906-157368657-1576765218-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKU\S-1-5-21-836742906-157368657-1576765218-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


mamy podane wpisy rejestralne Internet Explorer`a. W tej części najczęściej usuwa się wpisy zamulających pasków narzędzi (toolbar`ów).

h) Firefox

Ta sekcja:

========== FireFox ==========


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)


dotyczy ustawień przeglądarki Mozilla Firefox, takich, jak strona startowa, dostawcy wyszukiwania, paski narzędziowe, katalogi rozszerzeń… .



i) pozycje O1 do 37

Pozycja 01 -> pokazuje zawartość oraz lokalizacje pliku HOSTS. Pokazuje czy plik nie zawiera wpisów blokujących strony lub przekierowujących na inne witryny.
Pozycja 02 -> BHO (Browser Helper Objects), czyli wtyczki rozszerzające funkcjonalność przeglądarki jak nowe menu i inne elementy pomocnicze/wtyczki do przeglądarki Internet Explorer`a, rozszerzające jego funkcjonalność.
Pozycja 03 -> pokazuje listę pasków narzędziowych Internet Explorer`a (toolbar`y). Jest to po prostu zawartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar.
Pozycja 04 -> są to aplikacje startujące wraz z systemem z kluczy rejestru lub folderu Autostartu.
Pozycja 05 -> widoczność ikony Opcje Internetowe w Panelu Sterowania.
Pozycja 06 -> są to informacje o zablokowanych funkcjach systemu.
Pozycja 07 -> podobnie, jak pozycja 06 pokazuje informacje o zablokowanych funkcjach systemu.
Pozycja 08 -> są to dodatkowe opcje w menu kontekstowym IE wywoływanym przez PPM. Innymi słowy zawartość klucza HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt.
Pozycja 09 -> są to dodatkowe przyciski w głównym pasku narzędziowym IE. Innymi słowy zawartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions.
Pozycja 010 -> tu znajdują się elementy zintegrowane z łańcuchem Winsock.
Pozycja 011 -> dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane.
Pozycja 012 -> są tu wtyczki, które są ładowane podczas uruchamiania programu Internet Explorer, aby dodać nową funkcjonalność do przeglądarki. Innymi słowy zawartość klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins.
Pozycja 013 -> domyślne prefiksy IE (np. domyślnym prefiksem dla WWW jest Dostępne tylko dla zarejestrowanych użytkowników, ale może być zmieniony do postaci httx: //ehttp.cc/?, przez co tworzone są przekierowania z tego wynika, że po wpisaniu -> http: //www.google.com w istocie będzie to httx: //ehttp.cc/?www.google.com, która jest stroną szkodliwą).
Pozycja 014 -> reset ustawień sieciowych.
Pozycja 015 -> strony WWW i adresy IP w zaufanych witrynach.
Pozycja 016 -> kontrolki ActiveX.
Pozycja 017 -> ustawienia serwera DNS, czyli klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Pozycja 018 -> dodatkowe protokoły i protokoły zmodyfikowane.
Pozycja 019 -> arkusze stylów użytkownika.
Pozycja O20 AppInit_DLLs -> AppInit_DLLs, czyli biblioteki startujące we wczesnej fazie startowania systemu i ładowane przez aplikacje uruchamiane w obrębie bieżącej sesji (od resetu do resetu komputera). Innymi słowy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.
Pozycja 020 Winlogon Notify -> wyświetla wszystkie niestandardowe klucze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify.
Pozycja 021 -> pliki ładowane za pomocą klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad (SSODL) przez Explorer podczas uruchamiania komputera.
Pozycja 022 -> pliki ładowane za pośrednictwem Harmonogramu Zadań z klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler.
Pozycja 023 -> usługi niestandardowe Windows`a.
Pozycja 024 -> ActiveDesktop, czyli pokazuje elementy ładowane na Pulpicie, takie, jak tapeta oraz pliki .html.
Pozycja 027 -> Image File Execution Options, czyli zawartość klucza HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, opcja ta pozwala na uruchamianie programów pod przykrywką innych programów, to znaczy, że np. plik 360rpt.exe uruchamiany jest w momencie uruchomienia pliku xnxlufi.exe.
Pozycja 028 -> Shell Execute Hooks, czyli zawartość klucza HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks.
Pozycja 029 -> Security Providers, czyli dostawcy zabezpieczeń. Ukazuje zawartość klucza HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders.
Pozycja 030 -> składniki klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
Pozycja 032 -> pliki autorun znajdujące się na dyskach.
Pozycja 033 -> pozycje z klucza HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. Klucz ten zawiera odwołania do plików znajdujących na dyskach przenośnych, które mają automatycznie startować po podłączeniu urządzenia.
Pozycja 034 -> pozycje z klucza HKEY_Local_Machine\System\CurrentControlSet\Control Manager\Session.
Pozycja 035 -> skojarzenia plików .com i .exe.
Pozycja 037 -> podobnie, jak w pozycji 035 są to skojarzenia plików .com i .exe.

j) pliki i foldery utworzone w wybranym okresie

========== Files/Folders - Created Within 30 Days ==========

[2011-09-10 20:14:08 | 000,000,000 | ---D | C] -- C:\Users\ada\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Urządzenia interfejsu Bluetooth
[2011-09-10 14:47:57 | 000,581,120 | ---- | C] (OldTimer Tools) -- C:\Users\ada\Desktop\OTL.exe
[2011-09-10 14:20:09 | 014,716,072 | ---- | C] (Mozilla) -- C:\Users\ada\Desktop\Firefox Setup 6.0.2.exe
[2011-09-10 10:39:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET


W tym przypadku pokazane są tu pliki i foldery utworzone w przeciągu ostatnich 30 dni.

k) pliki i foldery zmodyfikowane w wybranym okresie

========== Files - Modified Within 30 Days ==========

[2011-09-10 21:02:10 | 002,097,152 | -HS- | M] () -- C:\Users\ada\NTUSER.DAT
[2011-09-10 21:01:56 | 000,000,006 | -H-- | M] () -- C:\windows\tasks\SA.DAT
[2011-09-10 21:01:40 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2011-09-10 21:01:35 | 2307,928,064 | -HS- | M] () -- C:\hiberfil.sys


W tym przypadku pokazane są tu modyfikacje plików i folderów w przeciągu ostatnich 30 dni.

l) pliki i foldery bez nazwy producenta / firmy

========== Files Created - No Company Name ==========

[2011-09-10 21:01:56 | 000,000,006 | -H-- | C] () -- C:\windows\tasks\SA.DAT
[2011-09-10 14:27:29 | 000,001,140 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2011-09-10 14:27:28 | 000,001,152 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2011-09-09 19:20:29 | 036,322,056 | ---- | C] () -- C:\Users\ada\Desktop\Sygic_Mobile_10.rar.part


W tej części mamy podane pliki i foldery bez nazwy producenta. Nie wszystkie takie pliki są szkodliwe.

m) LOP Check

========== LOP Check ==========

[2011-07-14 23:14:47 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\ESET
[2011-06-28 17:52:44 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\Fingertapps
[2011-06-13 21:54:18 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\Gadu-Gadu 10
[2011-09-10 21:02:26 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\ipla

========== Purity Check ==========


Sekcja wyświetla pliki i foldery z katalogu Dane aplikacji oraz pliki z folderu Windows/Tasks.

n) alternatywne strumienie

========== Alternate Data Streams ==========

@Alternate Data Stream – 136 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B755D674
@Alternate Data Stream – 24 bytes -> C:\WINDOWS:5E501A1F2E0E5F46
@Alternate Data Stream – 109 bytes -> C:\ProgramData\TEMP:A8ADE5D8


5.Instrukcje usuwania.

Dyrektywy usuwające OTL:

a) :processes -> polecenie umożliwiające zabicie poszczególnych procesów wpisując nazwę procesu lub wszystkich jednocześnie, np :

fdm.exe
explorer.exe
killallprocesses


b) :OTL -> podstawowa komenda aplikacji usuwająca większość elementów. Komenda usuwa element i jednocześnie przenosi go do kwarantanny OTL. Aby polecenie działało musimy wkleić tutaj całą linię poszczególnego elementu z uzyskanego loga, np:

:OTL

O2 - BHO: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3 - HKU\S-1-5-21-836742906-157368657-1576765218-1001\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.


c) :Services -> komenda zatrzymuje, wyłącza i finalnie usuwa usługi (Win32 Services) oraz sterowniki (Driver Services). Ważne jest abyśmy wpisali nazwę usługi, nie jej opis, np:

AntiVirService
Weemi Service
Bonjour Service


d) :Reg -> operacje na wpisach do rejestru, np:

USUWANIE:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

DODAWANIE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"


e) :Files -> dyrektywa usuwająca dodatkowe pliki oraz foldery. Nie wklejamy tutaj linii z loga, tylko samą ścieżkę do elementu, np:

G:\h3wp9.exe
E:\autorun.inf


f) :Commands -> dyrektywa zawierająca kilka poleceń wykonujących dodatkowe przydatne operacje:

[PURITY] – polecenie usuwające infekcje Purity
[EMPTYTEMP] – opróżnienie lokalizacji tymczasowych systemu i przeglądarek. Polecenie zabija wszystkie procesy oraz wykonuje restart systemu, więc nie ma potrzeby zabijania procesów lub wywoływanie restartów innymi komendami.
[EMPTYFLASH] – usunięcie wszystkich cookies Flash.
[RESETHOSTS] – polecenie zresetuje plik HOSTS do domyślnej postaci zawierającej tylko jeden wpis 127.0.0.1 localhost.
[CREATERESTOREPOINT] - utworzenie nowego punktu przywracania systemu po zakończeniu napraw.
[CLEARALLRESTOREPOINTS] – polecenie usunie wszystkie aktualne punkty przywracania i utworzy nowy punkt przywracania po zakończeniu napraw.

UWAGA!!!

Powyższe instrukcje zostały opracowane na podstawie oficjalnego tutorial`a OldTimer`a oraz własnej wiedzy i obserwacji. W interpretacji logów, a zwłaszcza w usuwaniu poszczególnych elementów najważniejsza jest duża wiedza o systemie operacyjnym. Posiadając taką wiedzę patrząc na dowolny raport z każdej aplikacji, która taki generuje, szkodniki same wychodzą na wierzch. Dlatego jeżeli nie posiadasz dostatecznej wiedzy nie zabieraj się samodzielnie za usuwanie elementów, bo możesz narobić więcej szkody niż pożytku. Powyższy tekst ukazuje tylko teoretyczne znaczenie niektórych aspektów programu. Aby rozpoznać, który plik jest szkodliwy należy posiadać dużą wiedzę o systemie i o prawach, które nim rządzą. Tekst ma charakter wyłącznie edukacyjny.

Rozpowszechnianie tego tekstu bez zgody autora jest łamaniem prawa i podlega surowym sankcją.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


  • Reklama

Wróć do „Blog”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość