Beruflich Dokumente
Kultur Dokumente
Esta es una gua de usuario para RogueKiller, una herramienta de eliminacin de malware que se puede
descargar aqu. Si usted est buscando una manera de entender los informes generados, consultar tambin la
documentacin oficial.
Si usted tiene cualquier problema, por favor, eche un vistazo a las FAQ.
RogueKiller se puede utilizar en Windows XP, Server 2003, Vista, Server 2008, Win7, Win8, Win8.1, Win10.
RogueKiller se puede utilizar en ambos de 32 bits y 64 bits los sistemas operativos.
Descargue la herramienta en el escritorio, y salga de todos los programas en ejecucin.
Comience RogueKiller.exe. Si el programa ha sido bloqueado por un malware, tratar de cambiar su nombre
por winlogon.exe, o cambiar su extensin de archivo con .com (ex: Roguekiller.com)
VIDEO PRESENTATION
SMARTSCREEN
PRESCAN
SCAN
DETECTION COLORS
DELETION
HOSTS FIX
ANTIROOTKIT TAB
MBR TAB
WEB BROWSERS
HONEY MODULE
COMMAND LINE
EXTERNAL SCANNER
VIDEO PRESENTATION
PANTALLA INTELIGENTE
El reciente sistema operativo (Windows 7, 8, 8.1 y 10), el filtro SmartScreen no permite el inicio de programas
desconocidos (de Microsoft). Para pasar a travs de esta proteccin y ser capaz de iniciar RogueKiller, haga lo
siguiente:
Haga clic en Ms Info
Luego haga clic en Ejecutar todos modos.
PRESCANEADO
El Prescan se inicia tan pronto como empiece RogueKiller. Analiza y detiene los procesos maliciosos, servicios
maliciosos, carga el controlador y hacer algunas comprobaciones de versin. No elimina nada en el equipo, lo
que en este momento, un simple reinicio restaura todo en el estado inicial (malware incluido). No se requiere
ninguna accin, excepto aceptar EULA primera vez.
RogueKiller puede detectar una nueva versin disponible, y ofrecer para descargarlo. Usted puede aceptar (y
redirigido a la pgina de descarga si no es un usuario Premium) o rechazar. En este caso, puede seguir
utilizando el programa con la versin antigua. Se recomienda encarecidamente a correr siempre la versin ms
reciente!
La lista de procesos detenidos / servicios se puede encontrar en la pestaa Procesos.
Importante: El icono de "conductor" (verde / cuadrado rojo) cambia a verde una vez que se carga el controlador.
El conductor no se puede cargar si la versin (32/64 bits) no coincide con lo que el equipo est. El conductor no
es necesaria para la eliminacin de malware, pero es til para buscar / destruir rootkits en el kernel, as que por
favor asegrese de descargar la versin correcta.
SCAN
La exploracin se activa con el botn Scan. Este es el primer paso natural una vez que el Prescan terminado. La
exploracin es un procesamiento que no modifica el sistema, ya que enumera los problemas y los muestra. Una
vez que la exploracin haya terminado, un informe de texto est disponible haciendo clic en el botn Informe
(puedes exportarlo en HTML, texto o formato JSON).
COLORES DE DETECCIN
En RogueKiler, colores de deteccin se normalizan.
Rojo: el malware conocidos - La ms alta tasa de deteccin
Naranja: el malware Posible - A menudo tiene una trayectoria sospechosa, o est etiquetado
antiRootkit TAB
La ficha Antirootkit muestra informacin sobre posibles modificaciones del sistema hechas por
un rootkit:
- Servicio de Sistema de Despacho Tabla (SSDT) - Muestra las API de gancho.
- Sombra SSDT (S_SSDT) - Muestra las API de gancho.
- Inline SSDT - Muestra las API enganchados con parches caliente.
- Gancho IRP - Muestra los conductores con las funciones principales de gancho.
- IAT / EAT ganchos - Muestra el proceso con archivos DLL que contienen cdigo inyectado.
Importante: las modificaciones del sistema enumerados por el Antirootkit son nicamente
informativos. Ellos no pueden ser comprobados para el retiro porque no son el malware en s,
slo una consecuencia de un posible malware. Extraccin de esos elementos sera intil y
potencialmente peligroso para la estabilidad del sistema.
Los ganchos del kernel (no de fiar) se enumeran en el informe y en la seccin Antirootkit:
Antirootkit
SSDT[119] : NtOpenKey @ 0x80624BA6 -> HOOKED (\??\C:\WINDOWS\TEMP\rqmqbqga.sys @
0xF783E562)
SSDT[57] : NtDebugActiveProcess @ 0x80643B3E -> HOOKED (Unknown @ 0x89C30200)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x89C302F0)
SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x89C306D0)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF1864)
MBR TAB
La ficha MBR muestra informacin sobre el Master Boot Record (MBR) de la mquina. Este es el
primer sector en el disco duro, que contiene informacin sobre el tamao / ubicacin de las
particiones y un cdigo de arranque, lo que permite poner en marcha el sistema operativo de un
disco de arranque.
Algunos malware conocido como bootkits, como TDSS, MaxSST o Stoned modificar o bien el
cdigo (de arranque) para poner en marcha sus propios mdulos, o la tabla de particiones para
que arranque en una particin falso y e iniciar sus mdulos antes del inicio del sistema operativo
(y la proteccin antivirus !).
RogueKiller permite detectar y eliminar bootkits, incluso cuando tratan de ocultarse.
Algunos consejos pueden mostrar que un MBR es de fiar: El arranque es conocido, y de fiar.
Entonces, los diferentes intentos de leer el MBR (a diferentes niveles) devuelven los mismos
resultados (esto significa que el MBR no est oculto).
He aqu un ejemplo de limpieza MBR. El arranque (BSP) es de fiar (Windows XP), y de la
lectura del usuario, LL1 y LL2 devolver las mismas cosas.
He aqu un ejemplo con infecciones MBR. El arranque (BSP) es de fiar (Windows 7), pero el
mtodo LL1 devuelve algo diferente. Finalmente, hay una particin fantasma oculta por un
rootkit (MaxSST).
He aqu otro ejemplo de infecciosa MBR. El arranque (BSP) est infectado con Max St.
RogueKiller FAQ
Esta pgina reagrupa todas las preguntas frecuentes (FAQ) sobre RogueKiller. Esta pgina ha
sido hecho para salvar a un montn de tiempo en los intercambios de apoyo, respondiendo a las
preguntas ms frecuentes. Por favor, lea por completo antes de contactar con nosotros.
Preguntas generales
Q - Cuando empiezo RogueKiller, se detiene con "Ha encontrado un error inesperado". Que
significa eso?
A - Vaya, esto es un accidente. Un accidente es un error en el software, lo que oblig a dejar de
fumar. Para realizar el seguimiento y solucionarlo, reinicie y ver si RogueKiller pide volcado de
bloqueo de envo. Si es as, por favor envela a lo solicitado. Si no es as, por favor, seguir ese
hilo del foro para ayudarnos a arreglarlo.
Q - Cuando empiezo RogueKiller, se detiene con una pantalla azul de la muerte (BSOD). Cmo
arreglar eso?
A - Vaya, esto es un accidente del kernel. Un accidente es un error en el software, lo que oblig a
dejar de fumar. Para realizar el seguimiento y arreglarlo, por favor seguir ese hilo del foro para
ayudarnos arreglarlo.
Q - Hay 3 versiones diferentes de RogueKiller disponible para su descarga, cul elijo?
A - Depende de si usted es usuario Premium o no. Si lo hace, elegir la versin instalable porque
va a recoger el bueno para usted, y tambin instalar una actualizacin (para actualizaciones
automticas). De lo contrario, elija la (32 bits / 64 bits) correspondiente a su sistema operativo
(cmo puedo saber?). Si no est seguro, elija la versin instalable y no puede estar equivocado.
Detecciones Preguntas
Q - RogueKiller ha detectado un elemento de naranja, o un elemento de PUP / PUM. Qu es?
Puedo eliminarla?
A - Tal deteccin no es directamente perjudicial. Para PUP de, que es la mayora del tiempo no
deseado (instalado sin el permiso, y / o tener un comportamiento controvertido). Para PUM de
que puede ser un ajuste de usuario o un ajuste fijado por un malware. En cualquier caso, esto no
puede ser perjudicial para quitar o dejar as que la decisin se deja a eleccin del usuario.
2.- [IMG] Crear nuevo punto de restauracin antes de proceder con el siguiente
paso ....
Cmo: http://www.smartestcomputing.us.com/topic/63983-how-to-create-new-restore-point-allwindows/
Descargar Malwarebytes Anti-Rootkit (mbar) desde:
https://es.malwarebytes.org/antirootkit/ o desde:
https://es.malwarebytes.org/mwb-download/
Descomprimir el archivo descargado.
Abra la carpeta donde se descomprimi el contenido y ejecutar mbar.exe
Siga las instrucciones del asistente para actualizar y permitir que el programa para escanear
su ordenador en busca de amenazas.
Haga clic en el botn de limpieza para eliminar cualquier amenaza y reinicie si se le pide que
lo haga.
Espere mientras el sistema se apaga y se realiza el proceso de limpieza.
Realizar otra exploracin con Malwarebytes Anti-Rootkit para verificar que no hay amenazas
permanecen. Si lo hacen, haga clic en Liberador de espacio una vez ms y repita el proceso.
Cuando haya terminado, por favor enviar los dos registros producidos estarn en la carpeta
MBAR ..... mbar-log-xxxxx.txt y el sistema-log.txt
Uso
Ejecute el archivo y siga las instrucciones de la pantalla para extraerlo a la ubicacin que prefiera (de
modo predeterminado, el Escritorio)
Tras ello, Malwarebytes Anti-Rootkit se abrir. Siga las instrucciones del asistente para efectuar la
actualizacin y permitir que el programa busque posibles amenazas en su ordenador
Realice otro anlisis con Malwarebytes Anti-Rootkit para comprobar que no queden amenazas. Si las
hay, haga clic otra vez en PC Magazine ha concedido a Malwarebytes Anti-Malware 4 y 4,5
estrellas de un total de 5 y afirma que 'Malwarebytes Anti-Malware 2.0 sigue siendo el preferido
de nuestra redaccin cuando se trata de antivirus gratuitos solo para limpieza.' y repita el proceso
Si no encuentra nuevas amenazas, compruebe que el sistema est funcionando de manera normal,
verificando los siguientes elementos: acceso a internet, Windows Update, Firewall de Windows
Si hay ms problemas en el sistema, como los mencionados u otros, ejecute la herramienta 'fixdamage'
que se incluye con Malwarebytes Anti-Rootkit en la carpeta 'Plugins' y reinicie el equipo
Si tiene dificultades para ejecutar la herramienta o esta no resuelve todos los problemas, pngase en
contacto con el soporte tcnico
Productos
Malwarebytes Anti-Malware Gratis
El anti-malware ms famoso del mundo
Versin: 2.1.8 mbam-setup-2.1.8.1057
Requisitos del sistema:Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
64 bits), Windows XP (32 bits) exe, 16.4 MB
Malwarebytes Anti-Exploit
Proteccin bsica contra exploits
Versin: 1.07.1.1015 mbae-setup-1.07.1.1015 exe, 3 MB
Otras herramientas
Malwarebytes Anti-Rootkit BETA
Elimina rootkits y repara los daos que causan
Versin: 1.09.3.1001 mbar-1.09.3.1001
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
64 bits), Windows XP (32 bits) exe, 12 MB
Malwarebytes Chameleon
Instala Malwarebytes Anti-Malware en un ordenador infectado
Versin: 3.1.25.0 mbam-chameleon-3.1.25.0
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits, 64
bits), Windows XP (32 bits) exe, 4.6
Malwarebytes StartUpLite
Hace
Versin:
Requisitos
64 bits),
Malwarebytes FileASSASSIN
Malwarebytes RegASSASSIN
Elimina las claves de registro del malware
Versin: 1.03 regassassin-setup-1.03
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
64 bits), Windows XP (32 bits)
3.- Por favor, descargue ComboFix desde aqu, aqu o aqu en el escritorio.
** Nota: En el caso de que usted ya tiene combofix, esta es una nueva versin que te necesito
para descargar. Es importante que se guarda directamente en tu escritorio **
Nunca cambie el nombre combofix menos que se indique.
Cierre todos los navegadores abiertos.
Muy importante! Desactive temporalmente su anti-virus y anti-malware ninguna proteccin
en tiempo real antes de realizar una exploracin. Pueden interferir con ComboFix o eliminar
algunos de sus archivos incrustados que puede causar "resultados impredecibles".
Haga clic en este enlace para ver una lista de programas que deben ser desactivado. La lista
no es exhaustiva. Si el suyo no est en la lista y usted no sabe cmo desactivar, por favor
pregunte.
Cierre todos los navegadores abiertos.
ADVERTENCIA: combofix desconectar la mquina a travs de Internet tan pronto como se
empieza
Por favor, no intente volver a conectar la mquina a Internet hasta ComboFix haya terminado
por completo.
Si no hay conexin a Internet despus de ejecutar ComboFix, a continuacin, reiniciar el
equipo para restaurar de nuevo la conexin.
Si la conexin no es all use punto que ha creado antes de ejecutar ComboFix restauracin.
Doble click en ComboFix.exe y sigue las instrucciones.
NOTA 1. Si combofix le pide que instale la consola de recuperacin, deje por favor.
NOTA 2. Si combofix le pide que actualice el programa, siempre lo hacen.
Cuando haya terminado, se elaborar un informe para usted.
Por favor enviar la "C: \ ComboFix.txt"
** Nota 1: No MouseClick ventana de combofix mientras se est ejecutando. Eso puede hacer
que se pare
** Nota 2 para los usuarios de AVG y CA Internet Security (Total Defense Internet Security):
ComboFix no se ejecutar hasta AVG / CA Internet Security se desinstala como medida de
proteccin contra el anti-virus. Esto se debe a AVG / CA Internet Security "falsamente" detecta
ComboFix (o sus archivos incrustados) como una amenaza y puede eliminarlos resulta en la
herramienta no funciona correctamente, que a su vez puede causar "resultados impredecibles".
Desde AVG / CA Internet Security no se puede desactivar con eficacia antes de ejecutar
ComboFix, el autor le recomienda desinstalar AVG / CA Internet Security primero.
Utilice AppRemover que desinstalarlo: http://www.appremover.com/
Podemos volver a instalarlo cuando hayamos terminado con CF.
** Nota 3: Si recibe un error de operacin ilegal intent en una tecla registery que se ha marcado
para su eliminacin, reinicie el ordenador para solucionar el problema.
** Nota 4: Algunas infecciones pueden tardar un tiempo considerable para ser curado. Siempre y
cuando su reloj de la computadora est ejecutando combofix sigue trabajando. Se paciente.
Asegrese, que vuelva a activar sus programas de seguridad, cuando haya terminado con
ComboFix.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
NOTA.
Si, por alguna razn, combofix niega a ejecutar, intente lo siguiente ...
Eliminar archivo combofix, descargar uno nuevo, pero cambiar el nombre ComboFix.exe a
your_name.exe antes de guardarlo en el escritorio.
NO ejecutarlo todava.
Descarga Rkill (cortesa de BleepingComputer.com) en el escritorio.
Hay 2 versiones diferentes. Si uno de ellos no se ejecutar a continuacin, descargar y tratar de
ejecutar el otro.
Slo tiene que conseguir uno de estos para correr, no todos ellos. Usted puede obtener las
advertencias de su antivirus acerca de esta herramienta, ignorarlos o apagar el antivirus.
rKill.exe: http://www.bleepingcomputer.com/download/rkill/dl/10/
iexplore.exe (rKill.exe renombrado): http://www.bleepingcomputer.com/download/rkill/dl/11/
Reiniciar el equipo en modo seguro
Haga doble clic en el icono del escritorio Rkill para ejecutar la herramienta.
Si utiliza Vista o Windows 7 haga clic derecho sobre l y seleccione Ejecutar como
administrador.
Una ventana de DOS negro parpadear brevemente y luego desaparecen. Esto es normal e
indica la herramienta se ejecut correctamente.
Si no es as, eliminar el archivo, a continuacin, descargar y utilizar el proporcionado en Link
2.
No reinicie hasta que se indique.
Si la herramienta no se ejecuta desde cualquiera de los enlaces que se proporcionan, por
favor hgamelo saber.
ComboFix
Licencia: Gratuito
Descargas: 3.829.250
Autor: sUBs
Descargar
ComboFix es un potente anti-malwares creado por sUBs el cual es capaz de detectar y eliminar los programas
maliciosos ms difundidos y peligrosos como Vundo, Zlob, SuffSidekick, QooLoogic, Look2Me, Delf,
Navipromo, Rbot, Bagle, familias de Rogue Scareware, y muchos otros. Recuerde que ComboFix NO debe de
ser utilizado nunca sin la supervisin de un especialista calificado ya que si se utiliza de forma incorrecta podra
estar daando su equipo de forma permanente.
ComboFix tambin genera un reporte al terminar que
contiene gran cantidad de informacin que un
ayudante con experiencia puede utilizar para
diagnosticar, tomar muestras de infecciones que no
han sido automticamente eliminadas, y remover
dichas infecciones.
Debido al poder de esta herramienta se recomienda
enfticamente que no utilice ComboFix sin
supervisin de algunos de los expertos calificados
de InfoSpyware.COM / ForoSpyware.COM, ya
que el mal uso puede impedir el funcionamiento
normal del sistema.
Usted deber usar esta gua para descargar y ejecutar
ComboFix para luego colocar el reporte en un foro
donde existan ayudantes que puedan entenderlo y
diagnosticarlo. Estos ayudantes luego podrn
ayudarle a limpiar su sistema de infecciones para que
el sistema pueda funcionar de forma correcta
nuevamente.
* Para funcionar, ComboFix requiere desactivar la proteccin en tiempo real del antivirus
* ComboFix ahora en Espaol gracias a InfoSpyware
* InfoSpyware.com / ForoSpyware.com (http://www.forospyware.com/) es el nico sitio oficial en idioma
espaol nombrado por su creador como Foros para recibir soporte analizando reportes de ComboFix
InfoSpyware no se hace responsable por el uso inadecuado de ComboFix. Recuerde que si tiene dudas o
consultas sobre este programa, al igual que si necesita ayuda personalizada para eliminar cualquier tipo de
programa malicioso, puede abrir un nuevo tema en nuestro Foro de ComboFix.
Descargar ComboFix
Haga clic en el botn que dice Guardar y cuando pregunte en qu lugar desea guardarlo, asegrese de
guardarlo directamente en el Escritorio de Windows. Una imagen sobre esto es mostrada debajo.
Cuando tenga la ventana Guardar en configurada para guardar ComboFix.exe en el Escritorio, haga clic en el
botn Guardar. ComboFix comenzar a descargarse a su computador. Si utiliza Internet de lnea telefnica
(Dial-Up), esto podra tardar varios minutos. Cuando ComboFix haya terminado de ser descargado, debera ver
un cono en su Escritorio similar al que se muestra en la siguiente imagen.
Icono de ComboFix
No inicie ComboFix por el momento ya que es aconsejable realizar algunos pasos adicionales primero.
Ahora se sugiera que instala la Consola de Recuperacin de Windows. La consola de recuperacin de
Windows le permitir arrancar en modo de recuperacin que nos permite ayudarte en caso de que su sistema
tenga algn problema despus de un intento de eliminacin del malwares. Si utiliza Windows XP y tiene un CD
de instalacin de Windows, entonces usted puede seguir las instrucciones que se enumeran a continuacin en
este tutorial
Cmo instalar y utilizar la Consola de Recuperacin de Windows XP
Los usuarios de Windows Vista pueden utilizar su CD de Windows para acceder al Entorno de Recuperacin de
Vista.
Si en cambio, usted utiliza Windows XP y no tiene el CD de Windows, ComboFix incluye un mtodo de
instalacin de la consola de recuperacin de Windows con la descarga de un archivo de Microsoft. Para instalar
la Consola de recuperacin de Windows cuando no se tiene el CD de Windows XP, por favor, siga estas
instrucciones:
1. Si est utilizando Windows Vista, y recibir UAC preguntar si desea seguir ejecutando el programa,
presione el botn "Continuar".
2. - ComboFix ahora instalar automticamente la Consola de recuperacin de Windows en el equipo, que
se mostrar como una nueva opcin al arrancar el ordenador. No seleccione la opcin Consola de
recuperacin de Windows al arrancar el ordenador a menos que se le solicite por un ayudante.
Una vez que haya terminado de instalar la Consola de recuperacin de Windows, por favor, continuar
con el resto del tutorial.
Estamos casi listos para iniciar ComboFix, pero antes de hacerlo, necesitamos tomar ciertas medidas
preventivas para que no hayan conflictos con otros programas mientras ComboFix se encuentra en ejecucin.
En este punto, usted deber hacer lo siguiente:
Cierre o desactive todos los programas Antivirus o Antispyware ya que pueden interferir con la
ejecucin correcta de ComboFix.
Una vez que se hayan completado estos dos pasos, haga doble clic en el cono del ComboFix que se encuentra
en su escritorio. Por favor tenga en cuenta que, una vez que inicie ComboFix, usted no deber hacer clic en
ninguna parte de la ventana del programa ya que podra causar que el programa se detenga. De hecho, cuando
ComboFix se ejecute, no toque su computador en lo absoluto, tome un descanso ya que podra tardar un tiempo
en completar el proceso.
Una vez que haga doble clic en el cono del ComboFix, posiblemente vea una ventana similar a esta.
Disclaimer de ComboFix
Si usted no aprueba la declaracin, presione el nmero 2 en su teclado y luego presione la tecla enter para salir
del programa. De aceptar la declaracin, presione el nmero 1 y luego presione la tecla enter para continuar. Si
desea proseguir, entonces ComboFix crear un Punto de Restauracin del sistema, de esta forma si ocurre algn
problema durante la utilizacin del programa usted podr restaurar su configuracin previa. Cuando ComboFix
haya terminado de crear el punto de restauracin, har un respaldo del Registro de Windows como se muestra
en la siguiente imagen.
CastleCops
GeeksToGo
SpywareInfo
SpywareWarrior
Dell Community
SpyKiller
DSLReports
Safer-Networking
WhatTheTech
D-A-L
SpyWare BeWare
PCPitstop
CyberTechHelp
Security Forums
ThatComputerGuy
MalwareRemoval
Webuser
Newbie.org
Atribune
Gladiator Security
MajorGeeks
Log'N'Rock
Aumha
Cexx
Dutch Forums
German Forums
Blue Medicine
HijackThis.de
AntiSpywareOffensief
PCMasters
HijackThis.nl
CastleCops
Spanish Forums
InfoSpyware.com /
ForoSpyware.com
Portuguese Forums
Forum Clube do Hardware
French Forums
Malekal
Danish Forums
Spywarefri
Finnish Forums
Virustorjunta
Russian Forums
VirusNet.info
Polish Forums
FixItPC.pl
Restaurando la conexin a Internet de forma manual:
Si, por si acaso, no tiene acceso a Internet luego de ejecutar el ComboFix, entonces lo primero que deber
intentar es reiniciar su computador. Este nico paso debera reparar la mayora de los problemas con el acceso a
Internet causados luego de ejecutar el ComboFix. Si an no logra conectarse a Internet luego de reiniciar su
sistema por favor siga los estos pasos:
1. Haga clic en el botn Inicio.
2. Haga clic en el men en la opcin Configuracin.
3. Haga clic en la opcin Panel de Control.
4. Cuando abra el Panel de Control, haga doble clic en el cono llamado Conexiones de Red. Si su Panel
de Control est configurado por Categoras, entonces haga doble clic en Redes y Configuraciones de
Internet y luego haga clic en Conexiones de Red al final.
5. Ahora ver una lista de las conexiones disponibles. Haga clic derecho en su adaptador Inalmbrico o
Lan.
6. Ahora ver una imagen similar a la que se muestra a continuacin. Simplemente haga clic en Reparar.
7. Deje que el proceso se ejecute y cuando termine, su conexin a Internet deber estar restaurada.
1.
Luce bien.
4.- [IMG] Descargue AdwCleaner por Xplode en su escritorio.
Cierre todos los programas abiertos y los navegadores de Internet.
Doble click en adwcleaner.exe para ejecutar la herramienta.
Haga clic en el botn Scan.
Cuando la exploracin haya terminado, haga clic en el botn Limpiar.
El ordenador se reiniciar automticamente. Un archivo de texto se abrir despus de la
reanudacin.
Por favor, publique el contenido de ese archivo de registro con su prxima respuesta.
Usted puede encontrar el archivo de registro en C: \ AdwCleaner [S1] .txt tambin.
Junkware Removal Tool, by thisisu, es una sencilla aplicacin gratuita que no requiere de instalacin. Su
principal misin es escanear tu ordenador en busca de entradas de malwares tales como adwares, barras de
herramientas y PUPS (programas potencialmente no deseados).
JRT se abre en una interfaz de lnea de comandos, por lo que es una utilidad muy simple e intuitiva, pero a la
vez muy eficaz. Es una herramienta vlida para Windows XP/Vista/7/8 (para sistemas de 32 o 64 bits).
JRT es capaz de eliminar los siguientes tipos de programas: Ask Toolbar, Babylon, Browser Manager, Claro /
iSearch, Conduit, Coupon Printer for Windows, Crossrider, Facemoods / Funmoods, iLivid, IncrediBar,
MyWebSearch, Searchqu, Web Assistant, y muchos ms...
Para conseguir la eliminacin total de este tipo de infecciones, Junkware Removal Tool acta sobre servicios,
valores y claves de registro, archivos, carpetas, e incluso restaura algunas configuraciones predeterminadas para
Internet Explorer, Mozilla Firefox y Google Chrome.
ndice:
1.- Descarga y ejecucin.
2.- Escanear y limpiar.
3.- Reporte.
A continuacin, doble clic en el icono del programa (si usas Windows Vista/7 u 8 presiona clic derecho y
selecciona "Ejecutar como Administrador.") y se abrir la interfaz principal del programa:
En esta primera presentacin de la herramienta se nos informa, en ingls, sobre la versin descargada, al mismo
tiempo que se nos advierte de que guardemos y cerremos cualquier trabajo del navegador antes de ejecutar esta
utilidad.
Tambin somos advertidos sobre la posibilidad de que los diferentes elementos del escritorio puedan
desaparecer temporalmente durante la exploracin del sistema, e incluso es normal que alguna ventana de
Windows Explorer sea abierta.
Luego podemos observar un Disclaimer (descargo de responsabilidad) donde el autor de la aplicacin expone
literalmente: "Este software se proporciona "tal cual" sin garanta de ningn tipo. Si utiliza este software es
bajo su propio riesgo."
Atencin : En alguna ocasin ha ocurrido que el programa se queda parado con la ventana negra y el cursor
parpadeando al inicio de la misma; en estas ocasiones podemos probar a ir pulsando Intro/Enter varias veces
hasta lograr que inicie el proceso.
A continuacin, la herramienta empezar a trabajar sobre diferentes aspectos del sistema, informndonos en
cada momento donde se est produciendo su actuacin. No se trata de una herramienta interactiva, por lo que
llegado a este punto no necesita de ninguna accin por parte del usuario para limpiar, eliminar y/o restaurar
todo aquello que encuentre, sino que lo realizar de forma automtica:
Ya que en realidad Junkware Remowal Tool es un archivo batch, remueve las infecciones a una carpeta
temporal, no creando copias de seguridad de lo que fue eliminado (aunque como ya hemos dicho, SI realiza
copia de seguridad del registro de windows). La aplicacin tampoco nos ofrece ninguna lista de exclusin por
lo que si tiene alguna barra de herramienta o PUP que quiera conservar, deber reinstalarla despus de ejecutar
Junkware Removal Tool.
3.- Reporte.
Una vez que la aplicacin ha terminado de actuar sobre nuestro sistema, abrir un bloc de notas con el reporte
de la herramienta, informando sobre sus acciones:
Este reporte tambin ser guardado en el mismo directorio donde est ubicado Junkware Removal Tools; si
tenemos situado la herramienta en el escritorio (que es donde se aconseja), guardar el reporte en el escritorio
(JRT.txt):
En el caso de que est recibiendo ayuda desde nuestro Foro de InfoSpyware, debe pegar el reporte completo
que genera esta herramienta en el tema donde le estn atendiendo.
Para ello, y si tiene dudas de cmo hacerlo, siga las siguientes instrucciones:
Una vez que tenga abierto el bloc de notas con el reporte ofrecido por Junkware Remove Tools, pulse
sobre Edicin >> Seleccionar todo; a continuacin vuelva a pulsar sobre Edicin >> Copiar.
Ahora dirjase hacia el tema donde est recibiendo la ayuda y sobre el cuadro de respuesta, clic derecho
del ratn y pulse sobre Pegar.
Tabla de contenidos
1. Introduccin
2. Enlace para bajarlo
3. Informacin de el resultado
4. Exploracin estndar
5. Example Output
o Processes
o Modules
o Services
o Drivers
o Standard Registry
o Internet Explorer
o Firefox
o O1 through to O22 and including O24
o O10
o O27 Image File Execution Options
o O28 Shell Execute Hooks
o O29 Security Providers
o O30 Lsa
o O31 SafeBoot
o O32 Autorun files on drives
o O33 MountPoints2
o O34 BootExecute
o O35 shell spawning values
o O36 appcert dlls
o O37 file associations
6. Pre-defined Custom Scan Command Example
7. Quick Reference of available Directives & Commands
o :processes
o :OTL
o :Services
o :Reg
o :Files
o :Commands
2. Switches
3. Commands/Switches
4. CleanUp
.
Compatibilidad
OTL es compatible con sistemas que tengan una fucionalidad 32-bit y 64-bit. Trabaja en todas las versiones de
Windows con un sistema the archivo NT. Desde Windows 2000 hasta Windows 7.
La herramienta es incompatible con sistemas publicados con anterioridad a Windows 2000.
Diagnstico
Generalmente, OTL se utiliza como una herramienta de diagnstico inicial al principio del anlisis de un
problema. No solo ayuda a identificar programas maliciosos, tambin nos provee informacin de utilidad de el
sistema del usuario. Sin embargo, cuando otra herramienta es utilizada de forma inicial tal y como (por
ejemplo, Combofix), OTL se puede utilizar como una herramienta para dar seguimiento y de esta forma tener
un mejor entendimiento de la infeccin, y a la misma vez producir reparaciones de poco riesgo u onerosas en su
preparacin y aplicabilidad. Una de las caractersticas ms notables de OTL es su habilidad de realizar escaneos
personalizados de archivos o entradas en el registro del sistema. En la misma manera en que programas
maliciosos buscan nuevas formas para infectar sistemas, OTL no requiere actualizarse para identificar estos
cambios. Lo nico que se requiere es simplemente un escaneo personalizado de las entradas sospechosas.
Una vez que la infeccin desaparece o se convierte obsoleta, el escaneo personalizado se puede remover, e
implementar nuevos escaneos de ser necesario. Muchos usuarios desarrollan sus propias listas de escaneo de
cdigo personalizados para obtener la informacin que stos desean ver en el sistema.
Reparaciones
OTL tiene una gran variedad de directrices que pueden ser utilizadas para manipular los procesos de un equipo
y arreglar problemas que usted haya identificado.
Adicionalmente hay una serie de cdigos que pueden utilizarse para diagnstico y eliminacin de programas
maliciosos.
Limpieza
Otra de las caractersticas de OTL es que puede remover muchas de las herramientas que se utilizan en la
eliminacin de programas maliciosos. Esta funcin se utiliza al final del anlisis como parte del cierre del tema
en conjunto con el discurso de prevencin.
Preparacin para su uso
Hoy da, ciertos tipos de Programas Maliciosos suelen bloquear el nombre de las herramientas que solemos usar
para la desinfeccin. Por este motivo se puede cambiar el nombre del archivo "OTL.exe" por "OTL.com", si el
ejecutable ha sido bloqueado.
Recomendamos que se instale la "Consola de recuperacin" antes de ejecutar a OTL.
OTL desabilitar la funcin de ajustes de lnea (wordwrap) en Notepad, y reajustar la misma a su
configuracin normal al utilizar la opcin de limpieza en la herramienta.
Como se ejecuta OTL?
El usuario se instruye a que descargue OTL directo a su escritorio. Luego a que haga un double-clic sobre el
cono de OTL. El cono es el siguiente:
En el ejemplo que inclumos a continuacin, puede ver el discurso que usualmente se utiliza para
instruir a un usuario a que configure OTL y realize el tipo de escaneo deseado:
[/list][/list]
Code: [Select]
Descarga [url=http://oldtimer.geekstogo.com/OTL.exe][b][color=red]>> OTL <<[/color][/b]
[/url][IMG]http://i466.photobucket.com/albums/rr21/JSntgRvr/OTLI.gif[/img] a tu
escritorio.
[list type=decimal]
[*]Haz un doble clic en [b]OTL.exe[/b] para ejecutar el programa. Asegrate que todas las
ventanas estn cerradas y deja que el programa corra sin interrupcin.
[*]Cuando la interfaz aparesca marcar las siguienes opciones, abajo de: [u][b]Tipo de
Anlisis[/b][/u] cambielo a [b]"Resultado Minimo"[/b].
[*]Marcar las opciones: [b]Buscar LOP[/b] y [b]Buscar Purity[/b].
[IMG]http://img.photobucket.com/albums/v708/starbuck50/otlspan.png[/img]
[*][b]Copia y pega el siguiente texto abajo de la barra azul de "Anlisis
Personalizados":[/b]
[/list]
[codex][/codex]
[list]
[*]Presione el boton de [IMG]http://i318.photobucket.com/albums/mm416/Net_Surfer/scaled-
Una vez OTL haya completado su primer escaneo, grabar copias de los resultados en Notepad,
y guardar los mismos en el mismo folder donde se encuentra. El informe "Extras" se producir
de forma automtica solamente durante el escaneo inicial. A menos de que el mismo se incluya
en configuracines subsiguientes, ste no se producir.
En el caso del informe correspondiente a una reparacin, el mismo se grabar en la carpeta
\_OTL\Moved Files, reflejando la fecha y hora en la que se cre. En la mayora de los casos,
C:\_OTL\Moved Files.
Enlaces de Descarga
Enlaces directos de la descarga
Enlaces de Descarga. Los enlaces correctos son los siguientes:
http://oldtimer.geekstogo.com/OTL.exe
Aparte de stos, para usuarios que no puedan ejecutar archivos con una extensin .exe, los mismos pueden
descargar OTL con una extensin .com, o .scr.
Enlaces:
http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr
Note: Cuando utilice estos enlaces, use el Explorador de Windows "Internet Explorer". Si utiliza Firefox, haga
un clic derecho y seleccione "Guardar enlace como", de lo contrario, en algunos sistemas, cuando se intenta
abrir el archivo, aparecera como una secuncia de comandos y slo vers muchas lneas de cdigo en la
pantalla.
Drive E: | 22.20 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: YOUR-4DACD0EA75
Current User Name: HP_Administrator
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
Una revisin apropiada de esta informacin le puede ahorrar bastante tiempo.
Descripcin de las lneas
Primera lnea: Indica la fecha en que se cre el registro, la hora del da y cuantas veces OTL se a ejecutado.
Nota: la fecha se mostrar en el formato establecido por el usuario en el Panel de control.
Se utilizar esta informacin para determinar si el escaneo es el actual, y no uno antiguo.
Segunda lnea: Muestra la versin d OTL y su ubicacin en el disco. El nmero de versin es particularmente
importante. Una versin no actualizada no tendr la funcionalidad actual y puede arrojar un resultado
equivocado a la hora de evaluar un registro. De igual forma, la ubicacin de OTL en el disco puede ser de gran
importancia, especialmente si el mismo no se encuentra en un lugar permanente.
Tercera lnea: Muestra la versin de Windows activa en el equipo, y el tipo de sistema de archivo. Esta
informacin es muy til para determinar si otras herramientas son compatibles con el ordenador del usuario.
Cuarta lnea: Indica la versin del Explorador de Windows (Internet Explorer). La versin 8 puede causar
problemas en algunos equipos.
Quinta lnea: Nos muestra el pas, idioma y el formato de fecha que el sistema operativo est utilizando. Puede
ser til en la preparacin de las respuestas. Para obtener una lista de las siglas utilizadas clic Aqu.
Sexta lnea: Le indica la cantidad de memoria (RAM) que el ordenador posee. A menudo esto puede ayudar a
explicar muchos de los sntomas.
Nota: El informe de la cantidad de memoria puede aparecer ms baja de lo que realmente est en la mquina.
Esto sucede por varias razones. El ordenador puede que no pueda acceder a toda la memoria disponible;
defectos en los modulos de memoria o su base; o algo que previene al inicio del ordenador reconocer la
misma. Sistemas con ms de 4GB de memoria, reflejarn el mximo de 4 GB.
Lneas sptima y octava: El archivo "Pagefile.sys" es un archivo utilizado por Windows para almacenar
temporalmente aquella informacin que se intercambia entre el sistema y la memoria fsica de la computadora.
As se ampla la capacidad de memoria de la computadora a travs de una memoria virtual, la que no dispone
de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. El
ejemplo, usted puede seleccionar Ninguno en los analices de Procesos y Mdulos, y a la misma vez establecer
la edad del archivo a 180 das. Si hace cambio alguno a cualquier valor que aparezca como pre-determinado,
entonces asegrese de oprimir el botn Analizar. Cuando el botn del Anlisis Mnimo es oprimido, las
selecciones sern pre-determinadas y anular las que seleccione de forma personalizada. las opciones del
Anlisis Mnimo no pueden ser anuladas. Cualquier seleccin en el rea de Anlisis Personalizados no se
afectar oprimiendo las opciones, Analizar o Anlisis Mnimo. stas siempre se incluirn en el anlisis, de
estar presente.
Tambin hay comandos adicionales personalizados y predefinidos que se pueden utilizar en anlisis
personalizados:
Nota: Co la excepcin del comando HijackThisBackups, el resultado del escaneo utilizando los siguientes
comandos se puede copia/pegar directamente en la seccin de :OTL en una reparacin para su eliminacin.
HijackThisBackups - se enumeran todas las copias de apoyo producidas por Hijackthis
netsvcs - listas de entradas bajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost - netsvcs
msconfig - listas de entradas bajo HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig
safebootminimal - listas de entradas bajo
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal
safebootnetwork - listas de entradas bajo
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
activex - listas de entradas bajo HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed
components
drivers32 - listas de entradas bajo HKEY_LOCAL_MACHINE\software\Microsoft\Windows
NT\CurrentVersion\Drivers32
Nota: De forma predeterminada, cada uno de los anlisis predefinidos utilizar el filtro de companas
reconocidas. Para anular esta accin e incluir todos los archivos en cualquiera de estos anlisis debe incluir el
codigo /all al final del comando (ejemplo: netsvcs /all).
Servicios
Muestra servicios ejecutandose en el equipo.
========== Win32 Services (SafeList) ==========
Estndar:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:\Program
Files\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:\Program Files
(x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
Mnimo:
SRV:64bit: - (WMPNetworkSvc) -- C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft
Corporation)
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()
Controladores
Muestra Controladores ejecutandose en el equipo. Nota: Los controladores no se muestran de forma
predeterminada en un examen rpido. Se deben seleccionar y ejecutar con el botn Analizar.
========== Driver Services (SafeList) ==========
Estndar:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:\Windows\SysWOW64\drivers\StarOpen.sys -(StarOpen)
Mnimo:
DRV:64bit: - (afwcore) -- C:\Windows\SysNative\drivers\afwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:\Windows\SysWOW64\drivers\StarOpen.sys ()
Registro estndar
========== Registro estndar (SafeList) ==========
Internet Explorer
========== Internet Explorer ==========
Esta seccin muestra los ajustes del navegador IE Internet.
Quote
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?
LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
Una de las caractersticas menos conocidas de Internet Explorer 7 es el modo de la opcion de "No Add Ons" .
Esta pgina se utiliza cuando el modo de No Add Ons est en funcionamiento.
.
Informa al usuario de no navegar con la configuracin de seguridad actual, ya que pueden ser perjudiciales
para el equipo. Ver aqu para una lista comn sobre: direcciones
.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch =
http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html
Quote
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015ABCDEFFEDCBA}:6.0.15
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
FF - prefs.js..network.proxy.no_proxies_on: "localhost"
FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}:
c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation
Foundation\DotNetAssistantExtension\ [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program
Files\Java\jre6\lib\deploy\jqs\ff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6365A6E755758}: c:\program files\real\realplayer\browserrecord\firefox\ext [2009/09/06
17:41:17 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Program
Files\Mozilla Firefox\components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Program
Files\Mozilla Firefox\plugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Components: C:\Program
Files\Netscape\Netscape Browser\Components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Plugins: C:\Program
Files\Netscape\Netscape Browser\Plugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]
Real Player
.
o FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5502A71474FED}:2.2.0.102
Skype
.
O1 hasta e incluyendo O22 O24
Esta lista es muy similar a un registro de HijackThis y la referencia a HijackThis Tutorial & Guia se
recomienda para artculos 01 a travs de 020 y tambin el tema 024.
O10 Esto requiere una explicacin adicional: a diferencia de HijackThis, OTL eliminar las entradas de
catlogo que se incluyen en la reparacin y a continuacin, reordena la pila de winsock por lo que no
habr un eslabn roto de la cadena LSP, es decir, usted puede utilizar OTL para corregir estos
elementos.
Opciones de Ejecucin de una imagen de archivo O27
Elementos de listas bajo Opciones de ejecucin de archivos de
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Explicacin aqu.
O28 Hooks de ejecucin en shell
HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Estos se cargan cada vez que inicie un programa (mediante el Explorador de Windows o por llamar a la
funcin de ShellExecute(Ex)). Este mdulo de inicio como los otros mdulos DLL de inicio es
notificado del programa que usted inicia y que puede realizar cualquier tarea adicional antes que el
programa en realidad inicie.
O29 proveedores de seguridad
Listas de elementos bajo
HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
Quote
O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 |
-H-D | M]
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found
Estos son ejemplos de los malos. Tenga mucho cuidado! porque elementos legtimos se muestra aqu
tambin.
O30 Lsa
Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Quote
O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\opnnLbaA.dll) C:\WINDOWS\System32\opnnLbaA.dll File not found
entonces incluya las dos en la reparacin. Es importante comprender donde estn ubicados los
elementos en el registro para determinar si un elemento de registro nico es ledo por las aplicaciones
de 32 bits y de 64 bits. Lo que usted podra encontrar en una situacin como sta es que el archivo
apuntado por la interpretacin de 32 bits es malo, pero la interpretacin de 64 bits est muy bien (la
mayora de malware slo afecta a aplicaciones de 32 bits debido a que el sistema operativo de 64 bits
no permite cambios en sus archivos). Dado que el valor del registro es compartido por ambos no desea
eliminarlo debido a que podra causar problemas en el sistema.
Ahora tome este ejemplo de los elementos LSA anteriores:
O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft
Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)
En este ejemplo se puede ver que se ha comprometido el archivo msv1_0.dll para la interpretacin de
32 bits. Debera ser un archivo de Microsoft, pero en este caso ha sido sustituido por un archivo
desconocido. En esta situacin usted desea eliminar slo el archivo de
C:\Windows\SysWow64\msv1_0.dll pero NO la entrada del Registro. Tambin habra que sustituir el
Msv1_0.dll malo con uno vlido, ya que se requiere para soporte de aplicaciones
O31 Modo Seguro a prueba de fallos
Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\SafeBoot
Archivos de O32 Autorun en las unidades
Acceso a un dispositivo removible infectado, como una thumb drive o unidad flash a travs de "Mi PC"
(al hacer clic en la unidad) har que un autorun.inf se ejecute.
Dependiendo de la ejecucin automtica /configuracin de reproduccin automtica, entonces, el
usuario puede ser engaado en ejecutar un archivo incorrecto, cuando le aparece un dilogo en la
insercin Haciendo clic en un icono en el "usar este programa para ejecutar" un programa no legtimo
agrega al archivo autorun.inf en esa unidad que se puede ejecutar.
Algunos malware agrega archivos autorun.inf en la raz de todas las unidades lgicas.
O33 MountPoints2
Listas de elementos bajo
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
O34 BootExecute
Listas de elementos bajo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager
O35 shell spawning values
En la base de windows en la listas de valores para .com y .exe configuracin del registro (no otras
extensiones).
Elementos de O35 (como cualquier otro elemento en el anlisis de registro) simplemente se pueden
colocar en la seccin de :OTL, de una reparacin, (en los del registro de Extras no puede).
Con la infecion de Win police Pro se ver un nombre de archivo en lugar de la "% 1" % *. Si lo ves,
entonces incluir estas lneas en la reparacin.
Archivos DLL de appcert de O36
Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session
manager\appcertdlls key
Asociaciones de archivos de O37 (para valores comfile y exefile )
Listas de archivo de asociaciones de valores para la configuracin del registro de .com y .exe de la
base de windows.
Las asociaciones de archivos en la base de windows estn ntimamente entrelazadas. Los elementos de
O35 muestran los valores de la base de windows (.com y .exe) y los elementos de O37 muestran las
asociaciones de archivo (.com y .exe).
Puede ver estos valores si se ejecuta el anlisis de registro extra, pero cuando no puede verlos entonces
estos valores pueden estar ocultos. La lnea de O37 le ofrece la capacidad para ver esto incluso cuando
no se ejecuta el anlisis de registro adicional.
El valor de la Asociacin de archivo es un valor predeterminado nico que apuntar al valor de la base
de windows. Es el valor de la base de windows donde se pueden configurar ejecutables adicionales
para ejecutar tipos de archivo especficos a travs de la asociacin. Por ejemplo la Asociacin de
archivos del usuario para los archivos .exe debe estar apuntando a .exe pero el malware puede
cambiarlo para que apunte a una nueva clave de desove que est cargando un "archivo malo". El
archivo debe aparecer en los anlisis de archivo, pero slo mover ese archivo y no fijar el valor de la
Asociacin crear una situacin donde no se pueden ejecutar archivos .exe.
Cuando ponga elementos para eliminacin aqu, OTL establecer a cualquier usuario .com HKLM o
configuracin de asociacin de archivo .exe de vuelta a los valores predeterminados, pero elimina .com
con cualquier usuario o las claves de asociacin de archivos .exe y siempre establece el shell HKLM
desove de configuracin a la normalidad.
Nota: Si la clave de desove est en la rama del usuario del registro, a continuacin, siempre se
eliminar automticamente, pero que necesitar quitar el archivo por separado. El archivo debe
aparecer en los anlisis de archivo y usted puede hacerse cargo de all. Si la clave de desove aparece
con el error de Reg: error de clave y es el malware y, a continuacin, tambin debe incluir una lnea en
la seccin :REG para eliminarlo de la seccin HKLM slo por seguridad.
Ejemplo de la eliminacin de un valor incorrecto de la seccin HKLM.
:reg
[-hkey_local_machine\software\classes\"badfile"]
y tenga cuidado del archivo desde los anlisis de archivo o de la seccin :Files
empresa es una lista de alrededor de 150 nombres de empresa que filtrar los archivos que
contienen estos nombres si esta opcin est seleccionada.
o Omitir archivos de Microsoft - desactivado por defecto para los anlisis estndar y en por
defecto para un anlisis rpido. Si, todos los archivos con un nombre de empresa, que
incluyendo Microsoft se filtrarn fuera de la salida.
o Creacin de archivos en /analiza los archivos modificados desde adentro - el archivo estndar.
Estos se pueden desactivar si la opcin ninguno es elegido; utilice la anterior configuracin de
edad de archivo, si la opcin de la edad de archivo es elegida (el predeterminado); y incluye
todos los archivos, si se elige la opcin todos.
o Buscar LOP - desactivado de forma predeterminada para los anlisis estndar y en por defecto
para la deteccin rpida. Este anlisis explora la carpeta de datos de programa de todos los
usuarios y la carpeta de datos del usuario y muestran todos los archivos, y todas las carpetas
presenten no en la lista blanca LOP (una lista de carpetas de alrededor de 160 que han sido
considerado seguro) y todos los archivos en la carpeta de tareas de Windows.
o Buscar Purity - desactivado de forma predeterminada para los anlisis estndar y en por defecto
para la deteccin rpida. Este anlisis busca todas las ubicaciones conocidas en el que la infecion
pureza crea archivos y carpetas y hace un listado de lo que encuentra.
Puede indicar al usuario que defina cualquiera de estas opciones a los valores que se desea lograr
cualquier resultados que ests buscando.
En un registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Micr
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0 C:\WINDOWS\system32\byXoMcbC
Para solucionar este problema en un archivo de entradas .reg, necesitara hacer esto:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00
Si no est seguro del valor hexadecimal, usted puede hacer lo siguiente:
Ejemplo de Correccin: :reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):"msv1_0"
OTL se encargar de la conversin al valor hexadecimal.
:Files
Los archivos
Bajo esta directiva se indican los archivos y carpetas que se han identificado de forma individual. No incluya
las lneas del registro de OTL. stas van bajo la directiva :OTL.
Nota: No hay un comando especfico para carpetas. Solo incluya tambin las carpetas bajo esta directiva y
sern eliminadas.
:Commands
Los siguientes comandos deben de estar bajo esta directiva.
[PURITY] - Automticamente elimina las infecciones denominadas como "Purity" del sistema. La infeccin
Purity tiene un cuadro persistente de carpetas y archivos creados con caracteres en un formato especial
denominado como Unicode. Este comando elimina la infeccin sin la necesidad de identificar los archivos y
carpetas de forma individual.
[EMPTYTEMP] - Use este comando para vaciar todas las carpetas que contienen archivos temporales de el
usuario, el sistema y el navegador.
Nota: Si este comando es incluido como parte de una reparacin, todos los procesos sern detenidos
automticamente al principio de la misma, y un reinicio del sistema se requerir al final por lo que no es
necesario incluir explcitamente el proceso Explorer.exe bajo la directiva :PROCESESS o los comandos:
[START EXPLORER] o [REBOOT] bajo la directiva :COMMANDS.
[EMPTYFLASH] - Use este comando para eliminar todos los archivos de texto denominados "Flash Cookies".
Nota: No todas las "Flash Cookies" son malas. Algunas slo contienen la configuracin para sitios especficos
de la web, sin embargo, una vez que no estamos seguros de lo que hace cada una de stas, el comando
eliminar todas las "Flash Cookies", independientemente de su funcin.
[REBOOT] - Use este comando para forzar el reinicio del sistema luego de una reparacin completa.
Nota: Esto no es necesario si el comando KILLALLPROCESSES se utiliza bajo la directiva :PROCESS o si el
comando [EMPTYTEMP] se utiliza bajo la directiva :COMMANDS, porque el sistema reiniciar
automticamente. De ser incluido, estos ltimos se ignorarn.
[RESETHOSTS] - para restaurar el archivo HOSTS a su estado original:
127.0.0.1 localhost
:: 1 localhost
Cuando se ejecuta este comando, el archivo HOSTS que es reemplazado ser movido a una carpeta de apoyo,
"_OTL\MovedFiles", la que est asociada con toda reparacin.
[CREATERESTOREPOINT] - Esto crear un punto de restauracin una vez la reparacin haya finalizado.
[CLEARALLRESTOREPOINTS] - Esto eliminar todos los puntos de restauracin y crear un nuevo punto
de restauracin una vez la reparacin haya finalizado.
Con cualesquiera de estos comandos relacionados con los puntos de restauracin, OTL verificar si los
servicios que se requiere para crear un punto de restauracin estn funcionando y tratara de activarlos si no lo
estn. Si los servicios necesarios no se estn activos y no se pueden iniciar, vers una lnea en la revisin del
registro relacionada con la razn por la cual el proceso no fue efectivo y tendrs que resolver este problema
posteriormente.
Nota: Tambin puede utilizar los dos ltimos comandos en un anlisis. Es importante recordar que si se utiliza
en un anlisis que los parntesis no estn incluidos es decir, si se ejecuta en una exploracin que se vera as: clearallrestorepoints o createrestorepoint
Ponga bien CREATERESTOREPOINT o CLEARALLRESTOREPOINTS en la ventana de anlisis
personalizados/Script de Reparaccin junto con cualquier medida standard o otras exploraciones que se estn
ejecutando (es decir, SAFEBOOTMINIMAL o netsvcs). Los comandos no son sensibles y se puede ejecutar con
cualquier anlisis que usted pueda querer a correr. Una lnea en el archivo de registro le mostrar cul fue el
resultado (ya sea con xito y sin la razn por la que fall).
Switches
Interruptores
Los interruptores son parmetros adicionales que se pueden usar tanto con escaneos personalizados o
correcciones para mejorar lo que sale al final de un resultado de una correcion.
Nota: Si usted incluye un interruptor no vlido, una lnea (Interruptor no vlido :...) simplemente se coloca en
el registro y la exploracin continuar. Si el interruptor est mostrando como no vlido, de hecho, es correcto,
a continuacin, compruebe el nmero de la versin de OTL que se est utilizando.
Modificadores que pueden ser utilizados para realizar una exploracin personalizada:
/C - para ejecutar un comando de DOS de lnea de comandos
Ejemplo:
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop
Esto le permite comprobar los archivos que desee, sin la necesidad de incluir todas sus rutas ya que si el anlisis
mira estos interruptores siempre comenzar en la raz de el systemdrive y escaneara todo el disco. Esto hace
que todos los archivos se junten y mirar por cada archivo en su paso por cada carpeta de modo que slo un
pasada de la unidad del disco duro se necesita.
Si hay un nmero de archivos que usted est buscando para comprobar la MD5s entonces usando /md5start
y /md5stop es mucho ms eficiente y produce un registro ms limpio. Si slo hay uno o dos artculos a
continuacin, /md5 sera Suficiente.
Nota: Cada vez que el bloque /md5start /md5stop es usado las bsquedas tambin podran ver cualquier
servicepack. Cab. Si alguno de estos se encuentra, se ver en el interior para el archivo que se busca, y si uno
se encuentra, lo mostrara en la siguiente lista del resultado. si este no es el caso de bsqueda slo se utiliza
/md5..
/LOCKEDFILES - para encontrar archivos bloqueados que MD5 no puede calcular.
La exploracin simplemente coge el archivo y intenta calcular el MD5 y si no puede, reporta el resultado,
saltando todos los archivos de MD5 que no puede obtener.
Nota:Usted Deber proporcionar una ruta/o especificacin del archivo asi como de cualquier otro archivo
escaneado y el interruptor /S, si tambin quiere ir a travs de la sub-carpetas. As que si quera ver que
archivos .dll estn bloqueados slo en la carpeta system32 se debera utilizar:
%systemroot%\system32\*.dll /lockedfiles
Si por alguna razn todos los archivos deben ser verificados (Windows normalmente tendr un nmero de
archivos bloqueados de forma predeterminada y, a menos que exista una razn particular, no es necesario para
verlos todos), entonces slo tiene que aadir el interruptor /all
ejemplo:
%systemroot%\system32\*.dll /lockedfiles /all
/RS - para realizar una bsqueda de Registro para un patrn
Ejemplo:
hklm\software\microsoft\windows\currentversion|somepattern /RS
El modificador /rs buscar y devolvera todas las claves, nombres de los valores, y los datos encontrados para el
patrn incluido. Si un punto de partida no se incluye (por ejemplo, somepattern /rs), entonces se buscar en las
siguientes reas:
hklm\software\classes
hklm\software\microsoft
hklm\software\policies
hklm\system\currentcontrolset
hkcu\software\classes
hkcu\software\microsoft
hkcu\software\policies
Siempre es preferible especificar un punto de partida para la bsqueda.
/RP - para buscar todo tipo de puntos de reanlisis
Ejemplo: c:\windows\*.* /RP or c:\windows\*. /RP
or
Ejemplo: c:\windows\*. /RP /s
Uso de este parmetro se mostrarn todos los puntos de anlisis (como los utilizados por la actual infeccin de
max++) y los resultados pueden ser simplemente colocados en la seccin de :OTL para reparacin que deben
eliminarse. Con /s se incluye a travs de todas las subcarpetas.
/HL - para buscar slo los enlaces duros
Ejemplo:
c:\windows\*.* /HL or c:\windows\*. /HL
/JN - para buscar slo uniones
Ejemplo:
c:\windows\*.* /JN or c:\windows\*. /JN
/MP - para buscar slo los puntos de montaje
Ejemplo:
c:\windows\*.* /MP or c:\windows\*. /MP
Al momento de escribir un anlisis muy til que puedes agregar a su anlisis personalizados sera:
%systemroot%\*. /mp /s
Esto podra encontrar todos los puntos de montajes de la infecion actual con su exploracin inicial de max++ en
un sistema (o una exploracin posterior) y se poda eliminar con su reparacin inicial.
/SL - slo para buscar enlaces simblicos
Ejemplo:
c:\windows\*.* /SL or c:\windows\*. /SL
/SP - para realizar una bsqueda similar de cadena desde adentro de archivos
Ejemplo:
c:\windows\*.*|somepattern /SP
Tiempo atras este comando WinPFind, se utilizaba muy a menudo para encontrar firmas de malware en los
archivos. No se utiliza a menudo hoy, pero todava est disponible.
/S - para incluir subcarpetas en una bsqueda de archivos o claves de sub-registro
Ejemplo:
c:\windows\*.dat /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI /S
Este cdigo tambin se utiliza a menudo en conjunto con los cdigos MD5 / o / U para incluir subcarpetas en
una bsqueda de archivos.
/U - para incluir slo los archivos Unicode en una bsqueda
Ejemplo:
c:\windows\*.* /U
Los archivos y carpetas con los valores Unicode en sus nombres frecuentemente se ven como elementos
legtimos en el Explorador. Durante las exploraciones estndar, OTL colocar automticamente todos los
archivos o carpetas que se encuentran con valores de Unicode en la seccin de un registro Unicode y estos
pueden ser reparados tan fcilmente como cualquier otro archivo o carpeta con slo colocar las lneas en la
seccin :OTL en la ventana de reparacin . Usando muchas exploracines, los nombres de estos archivos o
carpetas no se interpreten adecuadamente y se mostrar con un signo de interrogacin: ? donde los caracteres
Unicode son lo que hace imposible determinar qu quitar. OTL se encarga de eso para usted. El uso del
modificador /U en una exploracin personalizada devolver slo los archivos y carpetas encontrados que
contienen caracteres Unicode en sus nombres.
Un ejemplo de un resultado es:
< c:\*.* /U >
========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\NamesList.txt
/X - para excluir archivos de una bsqueda
Ejemplo:
c:\windows\*.exe /X
Esto excluir todos los archivos .Exe y mostrara todo lo dems.
/64 - especficamente para bscar en carpetas 64bit o claves del Registro en sistemas operativos de 64 bits
Ejemplo:
c:\windows\system32\*.dat /64
hklm\software\microsoft\windows\currentversion\run /64
Debido a que OTL es una aplicacin de 32 bits, si el interruptor /64 no se utiliza cuando se escanea en un SO de
64 bits, el sistema operativo pasar automticamente la exploracin a las reas de 32-bit del sistema de archivos
o el registro en su caso. Este interruptor se anula tal comportamiento por defecto y forza la exploracin de las
reas de 64-bit cuando sea necesario.
/<some number> - para incluir slo los archivos o carpetas con una cierta cantidad de das de edad
Ejemplo:
c:\windows\system32\*.* /3
Mirando el ejemplo de arriba, esta exploracin slo devolver los archivos creados en los ltimos 3 das.
Commands/Switches
Comandos/Interrumptores que se pueden usar en la secion de :FILES al realizar una reparacin:
[override] and [stopoverride] - para anular la lista interna de archivos o carpetas que no son mvibles
Ejemplo:
:FILES
[override]
c:\windows\system32\userinit.exe
[stopoverride]
OTL incluye una lista de alrededor de 100 archivos y carpetas que no se pueden mover de forma
predeterminada. Esto es para evitar mover inadvertidamente archivos o carpetas principales del sistema
operativo que podran hacer que un sistema no inicie o o lo haga inutilizable. Esta caracterstica puede ser
anulada mediante estos comandos, pero tenga mucho cuidado al incluirlos. Un comando [stopoverride] siempre
debe incluirse lo antes posible, siempre que el comando de [reemplazar] se utiliza para evitar que se mueva por
error un archivo interno requerido del sistema.
/<some number> - al igual que en anlisis personalizados, este parmetro agregara todos los archivos similares
que coinciden y tambin limita los movimientos a los archivos o carpetas que se han creado dentro del nmero
especificado de das.
Ejemplo:
:FILES
c:\windows\system32\*.dll /2
Esto mover todos los archivos .dll en la carpeta system32 que se han creado dentro de 2 das. Puede ser muy
til pero tambin puede ser peligroso. Aqu tenga cuidado con el uso de este modificador.
/64 - para acceder a los lugares especficos de la carpeta 64-bit en lugar de las ubicacion por defecto de 32 bits
en sistemas operativos de 64 bits y si el archivo se encuentra moverla de all.
Ejemplo:
:FILES
c:\windows\system32\badfile.exe /64
Esto har que OTL busque en la carpeta de 64-bit system32 en lugar de en el de 32-bit system32.
@ - Para eliminar secuencias de datos alternos.
Ejemplo:
:FILES
@c:\windows\system32:somedatastream
Normalmente no se necesita usar esto en OTL en el caso que una exploracin se aya realizada con OTL, porque
todos los archivos con ADSs se enumeran en la seccin Alternate Data Streams del registro y usted puede
simplemente copiar y pegar las lneas en la seccin :OTL en la reparacin. Si una exploracin se realiz con
otra herramienta que no permite soluciones o no puede quitar ADSs entonces usted puede reparar los archivos
con este comando en la seccin :Files.
/C - para ejecutar un comando de DOS en lnea de comandos
Es poco probable que este parmetro se utiliza a menudo. Otros interruptores / comandos cubren la mayora de
estas cosas ... por ejemplo, para copiar un archivo que normalmente se utiliza el parmetro /replace en vez de
un comando de DOS. Sin embargo puede haber ocasiones en que sera til. Por ejemplo, es posible que desee
detener un servicio temporal (en vez de eliminarlo - con el comando :Services para facilitarlo) en cuyo caso se
puede utilizar un comando de DOS.
Ejemplo:
:files
net stop <service> /c
<do something here>
net start <service> /c
/D - para eliminar el archivo en lugar de moverlo
Ejemplo:
:Files
% programfiles%\*. dll /D
Esto eliminar todos los archivos que se ajusten a la especificacin en lugar de moverlos. Un lugar comn el
uso de esto es con los archivos .tmp pero se puede utilizar con cualquier archivo o mover carpetas. Ten
cuidado!
/E - Para extraer un determinado archivo de un archivo .cab archivo.
Ejemplo:
:FILES
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E
Siempre ser extrado a la raz de la unidad del sistema, no hay ninguna opcin para extraerlo en cualquier otro
lugar. De all, usted puede utilizar el parmetro /replace para reemplazar el archivo actual activo con el archivo
extrado. Esto siempre ser un proceso de dos pasos porque el archivo activo, no podra ser sustituido de
inmediato y en ese caso un reinicio del systema se requiere y el paso /replace se har cargo de ello.
El proceso completo que permite extraer un archivo y reemplazar el archivo actual activo en la carpeta de los
conductores seran algo como:
Ejemplo:
:files
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /e
C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace
Nota: Asegrese siempre de poner el paso de extraccin antes del paso de sustitucin o no funcionar!.
/lsp - Para eliminar un archivo desde LSP.
Ejemplo:
:Files
helper32.dll /lsp
winhelper86.dll /lsp
Para cada lnea, OTL pasar a travs de toda la pila, quite todas las entradas que incluyen ese archivo, y si se
quitan seria reconstruida la pila.
/replace
<original file>|<new file> /replace
Ejemplo:
:files
C:\WINDOWS\System32\drivers\atapi.sys|c:\atapi.sys /replace
CleanUp
Use el boton de Limpiar en OTL para remover las herramientas o reportes despues que ya no se necesitan. Esto
es preferible descargar OTC cuando ninguna herramienta de Old Timer esta presente en su maquina.
Esta es al lista de herramientas que se borraran de su computadora si se encuentran presente:
!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe
Avenger
avenger.exe
avenger.txt
avenger.zip
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckscanner
cleanup.txt
ComboFix
ComboFix*.txt
combofix.exe
combo-fix.exe
Combo-Fix.sys
dds.com
dds.pif
dds.scr
Deckard
defogger
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdnt\subs
exehelper
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
fsbl*.log
fsbl.exe
gmer
gmer.dll
gmer.exe
gmer.ini
gmer.log
gmer.sys
gmer_uninstall.cmd
grep.exe
haxfix.exe
haxfix.txt
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
moveex.exe
nircmd.exe
NoLop.exe
NoLop.txt
NoLopOLD.txt
OTH.exe
OTL.exe
OTL.txt
OTListIt.txt
OTListIt2.exe
OTLPE
OTM.exe
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.exe
OTS.txt
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.exe
OTViewIt.txt
QooBox
rapport.txt
Rooter$
Rooter.exe
Rooter.txt
RSIT
RSIT.exe
Runscanner
Runscanner.exe
Runscanner.net
Runscanner.zip
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
systemlook
TDSSKiller
TDSSKiller.zip
TDSSKiller.exe
TDSSKiller*.txt
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.exe
vundofix.txt
vundofix.vft
win32delfkil.exe
windelf.txt
WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
zip.exe
Este tutorial fue modificado por ltima vez 12 de agosto de 2010 (hora de Nueva Zelanda en la fecha)
7.- [IMG] Descargar Control de seguridad desde aqu o aqu y gurdelo en su escritorio.
Haga doble clic en SecurityCheck.exe
Siga las instrucciones en pantalla en el interior de la caja de negro.
Un documento de Bloc de notas debe abrir llamada automticamente checkup.txt; por favor
enviar el contenido de ese documento.
NOTA 1. Si una de las aplicaciones de seguridad (por ejemplo, firewall de terceros) solicita
permiso para que DIG.EXE acceder a Internet, deje que lo haga.
NOTA 2 SecurityCheck puede producir alguna falsa alarma (s), por lo que salir de los resultados
de lectura para m.
8.- [IMG] Descargue Farbar Servicio Scanner (SFS) y ejecutarlo en el equipo con el
problema.
Asegrese de que las siguientes opciones se comprueban:
Servicios de internet
Firewall de Windows
Restauracin del sistema
Centro de Seguridad
Actualizacin de Windows
Windows Defender
Otros servicios
Pulse el botn "Scan".
Se va a crear un registro (FSS.txt) en el mismo directorio de la herramienta se ejecuta.
Por favor, copie y pegue el registro de su respuesta.
9. (Opcional) Si desea guardar todos sus programas al da, descargue e instale FileHippo Update
Checker.
El verificador de actualizacin explorar su computadora para el software instalado, compruebe
las versiones y luego enviar esta informacin a FileHippo.com para ver si hay nuevas versiones.
10. Al instalar \ actualizar cualquier programa, asegrese de que siempre selecciona la
instalacin "personalizada", por lo que puede ONU-comprobar cualquier posible "drive-by-install"
(foistware), como barras de herramientas, etc., que pueden tratar de instalar junto con el
programa legtimo. NO haga clic en el botn "Siguiente" sin mirar a una determinada pgina.
11. Leer:
Cmo fue que se infectan ?, con medidas para que no vuelva a ocurrir !:
http://www.bleepingcomputer.com/forums/topic2520.html
Formas sencillas y fciles de mantener su computadora segura y segura en Internet:
http://www.bleepingcomputer.com/tutorials/keep-your-computer-safe-online/
Sobre esas barras de herramientas y complementos - Programas Potencialmente no deseados
(PUP) que cambian la configuracin del navegador:
http://www.bleepingcomputer.com/for...curity-questions-best-practices/#entry3187642
12. Por favor, hgamelo saber, cmo su equipo est haciendo.