You are on page 1of 64

1.

- Descarga RogueKiller de uno de los siguientes enlaces y gurdelo en su escritorio:


Enlace 1 http://www.adlice.com/software/roguekiller/
Cierre todos los programas en ejecucin
Windows Vista / 7/8 usuarios: haga clic derecho sobre RogueKiller.exe, haga clic en Ejecutar
como administrador
De lo contrario, haga doble clic en RogueKiller.exe
Pre-scan se iniciar. Deja que terminar.
Haga clic en el botn SCAN.
Espere hasta que el cuadro de estado muestra Scan Finalizado
Haga clic en Eliminar.
Espere hasta que el cuadro de estado muestra Eliminacin terminado.
Haga clic en Informe y copiar / pegar el contenido de la libreta en su prxima respuesta.
RKreport.txt tambin podra encontrar en su escritorio.
Si ms de un registro se produjo despus todos los registros.
Si RogueKiller ha sido bloqueado, no dude en probar un par de veces ms. Si realmente no se
ejecutar, cambiarle el nombre a winlogon.exe (o winlogon.com) y vuelva a intentarlo

Esta es una gua de usuario para RogueKiller, una herramienta de eliminacin de malware que se puede
descargar aqu. Si usted est buscando una manera de entender los informes generados, consultar tambin la
documentacin oficial.
Si usted tiene cualquier problema, por favor, eche un vistazo a las FAQ.
RogueKiller se puede utilizar en Windows XP, Server 2003, Vista, Server 2008, Win7, Win8, Win8.1, Win10.
RogueKiller se puede utilizar en ambos de 32 bits y 64 bits los sistemas operativos.
Descargue la herramienta en el escritorio, y salga de todos los programas en ejecucin.
Comience RogueKiller.exe. Si el programa ha sido bloqueado por un malware, tratar de cambiar su nombre
por winlogon.exe, o cambiar su extensin de archivo con .com (ex: Roguekiller.com)

VIDEO PRESENTATION

SMARTSCREEN

PRESCAN

SCAN

DETECTION COLORS

DELETION

HOSTS FIX

ANTIROOTKIT TAB

MBR TAB

WEB BROWSERS

HONEY MODULE

COMMAND LINE

EXTERNAL SCANNER

VIDEO PRESENTATION
PANTALLA INTELIGENTE
El reciente sistema operativo (Windows 7, 8, 8.1 y 10), el filtro SmartScreen no permite el inicio de programas
desconocidos (de Microsoft). Para pasar a travs de esta proteccin y ser capaz de iniciar RogueKiller, haga lo
siguiente:
Haga clic en Ms Info
Luego haga clic en Ejecutar todos modos.

PRESCANEADO
El Prescan se inicia tan pronto como empiece RogueKiller. Analiza y detiene los procesos maliciosos, servicios
maliciosos, carga el controlador y hacer algunas comprobaciones de versin. No elimina nada en el equipo, lo
que en este momento, un simple reinicio restaura todo en el estado inicial (malware incluido). No se requiere
ninguna accin, excepto aceptar EULA primera vez.

RogueKiller puede detectar una nueva versin disponible, y ofrecer para descargarlo. Usted puede aceptar (y
redirigido a la pgina de descarga si no es un usuario Premium) o rechazar. En este caso, puede seguir
utilizando el programa con la versin antigua. Se recomienda encarecidamente a correr siempre la versin ms
reciente!
La lista de procesos detenidos / servicios se puede encontrar en la pestaa Procesos.
Importante: El icono de "conductor" (verde / cuadrado rojo) cambia a verde una vez que se carga el controlador.
El conductor no se puede cargar si la versin (32/64 bits) no coincide con lo que el equipo est. El conductor no
es necesaria para la eliminacin de malware, pero es til para buscar / destruir rootkits en el kernel, as que por
favor asegrese de descargar la versin correcta.
SCAN
La exploracin se activa con el botn Scan. Este es el primer paso natural una vez que el Prescan terminado. La
exploracin es un procesamiento que no modifica el sistema, ya que enumera los problemas y los muestra. Una
vez que la exploracin haya terminado, un informe de texto est disponible haciendo clic en el botn Informe
(puedes exportarlo en HTML, texto o formato JSON).

COLORES DE DETECCIN
En RogueKiler, colores de deteccin se normalizan.
Rojo: el malware conocidos - La ms alta tasa de deteccin
Naranja: el malware Posible - A menudo tiene una trayectoria sospechosa, o est etiquetado

como PUP / PUM (programa potencialmente no deseado / Modificacin)


Verde: No conocido como malware - Esto significa que el elemento se muestra slo para
informacin, pero no se supone que debe ser eliminado (excepto si se decide que es)
SUPRESIN
La supresin se activa haciendo clic en el botn Eliminar .. Antes, el usuario debe comprobar los
resultados de la exploracin anterior en las diferentes pestaas, o con el informe de texto.
Si algunos artculos parece de fiar, usted tiene la posibilidad de desactivar antes de la
eliminacin (y notificarlos al equipo por correo electrnico, por favor). A diferencia de la
exploracin, la supresin modifica el sistema, porque esta es la forma de software malicioso
debe ser eliminado. Sin embargo, todo lo modificado se pone en cuarentena primero.
Una vez que la eliminacin terminado, un informe de texto est disponible haciendo clic en el
botn Informe. El programa puede pedir que reinicie el PC. Si eso sucede, debe aceptar porque
algunos de malware slo se puede eliminar despus de un reinicio y podra reactivarse lo
contrario.
HOSTS FIX
El archivo Hosts es un archivo de configuracin de Windows, lo que permite hacer redirecciones
de nombres de dominio a algunas direcciones IP. Por lo general, la utilizamos para prohibir el
acceso a un sitio web, o de obligar a las direcciones locales (por ejemplo: 192.168.1.12) a una
direccin de texto (por ejemplo: http://test.com). He aqu algunos ejemplos redirecciones de fiar:
127.0.0.1 localhost (por defecto en el archivo de hosts de Windows)
127.0.0.1 www.malware_website.com (impedir el acceso a un sitio web peligroso)
192.168.1.12 my_local_website (enlazar una direccin de texto a una IP local)
Malwares pueden usarlo para redirigir las direcciones web de fiar a los servidores de malware, y
por cierto infectar a nuevos usuarios. He aqu un ejemplo de uso de malware:
123.456.789.10 www.google.com (redirigir un sitio web conocido a una IP desconocida - el
servidor de malware)
165.498.156.14 www.facebook.com (redirigir un sitio web conocido a una IP desconocida - el
servidor de malware)
Estas lneas deben ser removidos.
El contenido del archivo hosts se muestra despus de una exploracin en la pestaa Hosts, o en
la seccin con el mismo nombre en el informe. Los anfitriones Fix botn se puede utilizar para
restablecer el contenido del archivo con la nica lnea existente de forma predeterminada:
127.0.0.1 localhost

antiRootkit TAB
La ficha Antirootkit muestra informacin sobre posibles modificaciones del sistema hechas por
un rootkit:
- Servicio de Sistema de Despacho Tabla (SSDT) - Muestra las API de gancho.
- Sombra SSDT (S_SSDT) - Muestra las API de gancho.
- Inline SSDT - Muestra las API enganchados con parches caliente.
- Gancho IRP - Muestra los conductores con las funciones principales de gancho.
- IAT / EAT ganchos - Muestra el proceso con archivos DLL que contienen cdigo inyectado.
Importante: las modificaciones del sistema enumerados por el Antirootkit son nicamente
informativos. Ellos no pueden ser comprobados para el retiro porque no son el malware en s,
slo una consecuencia de un posible malware. Extraccin de esos elementos sera intil y
potencialmente peligroso para la estabilidad del sistema.

Los ganchos del kernel (no de fiar) se enumeran en el informe y en la seccin Antirootkit:

Antirootkit
SSDT[119] : NtOpenKey @ 0x80624BA6 -> HOOKED (\??\C:\WINDOWS\TEMP\rqmqbqga.sys @
0xF783E562)
SSDT[57] : NtDebugActiveProcess @ 0x80643B3E -> HOOKED (Unknown @ 0x89C30200)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x89C302F0)
SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x89C306D0)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF1864)
MBR TAB

La ficha MBR muestra informacin sobre el Master Boot Record (MBR) de la mquina. Este es el
primer sector en el disco duro, que contiene informacin sobre el tamao / ubicacin de las
particiones y un cdigo de arranque, lo que permite poner en marcha el sistema operativo de un
disco de arranque.
Algunos malware conocido como bootkits, como TDSS, MaxSST o Stoned modificar o bien el
cdigo (de arranque) para poner en marcha sus propios mdulos, o la tabla de particiones para
que arranque en una particin falso y e iniciar sus mdulos antes del inicio del sistema operativo
(y la proteccin antivirus !).
RogueKiller permite detectar y eliminar bootkits, incluso cuando tratan de ocultarse.
Algunos consejos pueden mostrar que un MBR es de fiar: El arranque es conocido, y de fiar.
Entonces, los diferentes intentos de leer el MBR (a diferentes niveles) devuelven los mismos
resultados (esto significa que el MBR no est oculto).
He aqu un ejemplo de limpieza MBR. El arranque (BSP) es de fiar (Windows XP), y de la
lectura del usuario, LL1 y LL2 devolver las mismas cosas.

MBR Verif: +++++ PhysicalDrive0: VBOX HARDDISK +++++


User
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code
Partition table:
0 [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 4086 Mo
User = LL1 OK!
User = LL2 OK!

He aqu un ejemplo con infecciones MBR. El arranque (BSP) es de fiar (Windows 7), pero el
mtodo LL1 devuelve algo diferente. Finalmente, hay una particin fantasma oculta por un
rootkit (MaxSST).

MBR Verif: +++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++


User
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 KO!
LL1
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo

He aqu otro ejemplo de infecciosa MBR. El arranque (BSP) est infectado con Max St.

MBR Check: +++++ PhysicalDrive0: ST9500325AS +++++


User
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65 : MaxSS MBR Code!
Partition table:
0 [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 OK!
User = LL2 OK!
Cuando un MBR est infectado, es posible restaurarlo marcando la lnea correspondiente en la
pestaa MBR.
NAVEGADORES WEB
RogueKiller puede inspeccionar configuracin y complementos para navegadores web.
Lneas de configuracin se muestran slo si son malware o sospechoso, mientras se visualizan
todos los complementos. En cuanto a los complementos, slo los complementos de malware se
muestran en el informe de texto, o aquellos que eligi para eliminar.
Importante: Es muy importante entender que todos los complementos enumerados no son
necesariamente malware, usted no supone que comprobarlos todos y quitar, por favor vaya a los
colores de deteccin y los nombres de los proveedores.
MDULO DE MIEL
RogueKiller es capaz de leer las colmenas de Windows en el modo fuera de lnea, as como las
carpetas de inicio desinfecte:
Limpie el sistema operativo se encuentra en un disco duro externo (aparte de disco duro del
sistema).
Limpiar una mquina comenz a partir de un CD en vivo (por ejemplo: OTLPE)
Esto puede ser til cuando un rootkit se esconde / protege sus claves de registro, o cuando un
PC est bloqueado por un ransomware.
Aqu est una demostracin de la modalidad de educacin fsica en un PC infectado con el
malware Urausy, y comenz con OTLPE CD en vivo
De lnea de comandos (Slo Premium)
Para automatizar y facilitar el despliegue ms fcil en los escritorios, RogueKiller proporciona
una interfaz de lnea de comandos. Aqu est la lista de comandos disponibles:
Estos parmetros son independientes (no se olvide el carcter '-').
-autoscan (lanzamiento automtico despus de pre-escaneado)
-autoaccepteula (aceptar de EULA automtica, esto significa que usted ya ha ledo y est de
acuerdo con)
-autodelete (eliminacin automtica. Todo est marcada, excepto Proxy, DNS, Host. Igual que el
botn de borrar clic)
-autoquit (RogueKiller renunci despus de la eliminacin)
-nodriver (sin carga conductor, as que no hay bsqueda de rootkits en el kernel)
-nokill (no matar proceso. Algunos procesos estn fallando PC en el intento de matar, por lo que
slo se centran en la clave de registro)

-hide (Ocultar la ventana y prohibir la interaccin del usuario. implcitamente se activa


-autoaccepteula -autoscan -autoquit -nopop)
-nopop (Eliminar cualquier apertura sitio web, para la corrida en completo silencio)
-nothirdparty (Eliminar cualquier tercera convocatoria del partido, en caso de infeccin de
reiniciar con el lanzamiento del proceso)
-showlegithooks (Mostrar ganchos de fiar que normalmente estn ocultos)
-register [email] [clave] (Regstrate con su licencia de primera calidad Id / Key)
porttiles licencia [path_to_portable_file] (Tcnico Premium solamente, especifica dnde est el
archivo de licencia porttil)
-pupismalware (especifica que todas las detecciones PUP sern tratados como malware)
-pumismalware (especifica que todas las detecciones Pums sern tratados como malware)
-autoupdate (no preguntes cuando una versin no est actualizado, y descargarlo directamente
si actualizador est presente)
-externalrules [path_to_rules_file_folder] (archivo de reglas de carga / carpeta en escner
externo, consulte aqu.)
-reportformat [txt | json | html] (. elija un formato de informe de la lista dada: o txt, json o html
defecto es json)
-vtupload [yes | no] (respuesta vigor para VirusTotal upload)
Escner externo
Scanner externa permite cargar las reglas de deteccin personalizadas en el motor RogueKiller.

RogueKiller FAQ
Esta pgina reagrupa todas las preguntas frecuentes (FAQ) sobre RogueKiller. Esta pgina ha
sido hecho para salvar a un montn de tiempo en los intercambios de apoyo, respondiendo a las
preguntas ms frecuentes. Por favor, lea por completo antes de contactar con nosotros.
Preguntas generales
Q - Cuando empiezo RogueKiller, se detiene con "Ha encontrado un error inesperado". Que
significa eso?
A - Vaya, esto es un accidente. Un accidente es un error en el software, lo que oblig a dejar de
fumar. Para realizar el seguimiento y solucionarlo, reinicie y ver si RogueKiller pide volcado de
bloqueo de envo. Si es as, por favor envela a lo solicitado. Si no es as, por favor, seguir ese
hilo del foro para ayudarnos a arreglarlo.
Q - Cuando empiezo RogueKiller, se detiene con una pantalla azul de la muerte (BSOD). Cmo
arreglar eso?
A - Vaya, esto es un accidente del kernel. Un accidente es un error en el software, lo que oblig a
dejar de fumar. Para realizar el seguimiento y arreglarlo, por favor seguir ese hilo del foro para
ayudarnos arreglarlo.
Q - Hay 3 versiones diferentes de RogueKiller disponible para su descarga, cul elijo?
A - Depende de si usted es usuario Premium o no. Si lo hace, elegir la versin instalable porque
va a recoger el bueno para usted, y tambin instalar una actualizacin (para actualizaciones
automticas). De lo contrario, elija la (32 bits / 64 bits) correspondiente a su sistema operativo
(cmo puedo saber?). Si no est seguro, elija la versin instalable y no puede estar equivocado.
Detecciones Preguntas
Q - RogueKiller ha detectado un elemento de naranja, o un elemento de PUP / PUM. Qu es?
Puedo eliminarla?
A - Tal deteccin no es directamente perjudicial. Para PUP de, que es la mayora del tiempo no
deseado (instalado sin el permiso, y / o tener un comportamiento controvertido). Para PUM de
que puede ser un ajuste de usuario o un ajuste fijado por un malware. En cualquier caso, esto no
puede ser perjudicial para quitar o dejar as que la decisin se deja a eleccin del usuario.

Q - RogueKiller ha detectado un mal programa de fiar. Es normal? Cmo puedo solucionarlo?


A - Esto no es normal, pero, afortunadamente, fcil de solucionar (la mayora de las veces) de
nuestro lado. Pngase en contacto con nosotros y no te olvides de dar el informe de deteccin.
Q - Me gustara personalizar detecciones RogueKiller. Es posible?
R - S, esto se puede lograr, incluso en la versin gratuita utilizando el escner externo.
Q - RogueKiller AntiRootkit encontraron objetos de color verde. Es malicioso?
A - No, objetos verdes se muestran slo a ttulo informativo (no en los registros, slo el interfaz
de usuario), ya que son de fiar.
Q - RogueKiller antirootkit encontraron artculos, pero no puedo revisarlas para su eliminacin.
Por qu?
A - Antirootkit es slo para diagnstico. Muestra ganchos realizados en el sistema, y
potencialmente sospechosas. Ganchos son una consecuencia, y nunca una causa de la actividad
maliciosa. As que no tendra ningn sentido para eliminarlos, por lo tanto, por qu no se
proponen para su eliminacin. Si usted no sabe qu hacer con AntiRootkit entradas, por favor,
nos piden en el foro.
Prima
Q - He comprado RogueKiller Premium, no he recibido ninguna tecla. Qu debera hacer?
A - En primer lugar, mira en la carpeta de spam. Si no lo encuentra en todo, tratar de recuperarla
usando el formulario dedicado.
Q - Cuando entro en mi llave, el botn "OK" aparece en gris, y la clave est mostrando en rojo.
Lo que no puedo poner mi llave?
A - Esto es porque la clave que ha introducido / pegar no coincide con el patrn. Por lo general,
esto se debe a que tiene algunos caracteres adicionales antes o despus de la clave (como
espacios).
Q - Cuando entro en mi llave, que dice que he utilizado todos mis casos, ya que estoy seguro de
que no lo hago. Qu puedo hacer?
A - Esto no es normal, pero puede suceder a veces bajo ciertas circunstancias (cambio de
hardware, vuelva a instalar). Pngase en contacto con nosotros y vamos a conseguir que lo
arreglaron.

2.- [IMG] Crear nuevo punto de restauracin antes de proceder con el siguiente
paso ....
Cmo: http://www.smartestcomputing.us.com/topic/63983-how-to-create-new-restore-point-allwindows/
Descargar Malwarebytes Anti-Rootkit (mbar) desde:
https://es.malwarebytes.org/antirootkit/ o desde:
https://es.malwarebytes.org/mwb-download/
Descomprimir el archivo descargado.
Abra la carpeta donde se descomprimi el contenido y ejecutar mbar.exe
Siga las instrucciones del asistente para actualizar y permitir que el programa para escanear
su ordenador en busca de amenazas.
Haga clic en el botn de limpieza para eliminar cualquier amenaza y reinicie si se le pide que
lo haga.
Espere mientras el sistema se apaga y se realiza el proceso de limpieza.
Realizar otra exploracin con Malwarebytes Anti-Rootkit para verificar que no hay amenazas
permanecen. Si lo hacen, haga clic en Liberador de espacio una vez ms y repita el proceso.
Cuando haya terminado, por favor enviar los dos registros producidos estarn en la carpeta
MBAR ..... mbar-log-xxxxx.txt y el sistema-log.txt

Malwarebytes Anti-Rootkit BETA penetra hasta el fondo y elimina


incluso los rootkits ms ocultos
Malwarebytes Anti-Rootkit BETA es una tecnologa puntera para la deteccin y eliminacin de los rootkits
maliciosos ms agresivos

Uso

Descargue Malwarebytes Anti-Rootkit desde el enlace superior

Ejecute el archivo y siga las instrucciones de la pantalla para extraerlo a la ubicacin que prefiera (de
modo predeterminado, el Escritorio)

Tras ello, Malwarebytes Anti-Rootkit se abrir. Siga las instrucciones del asistente para efectuar la
actualizacin y permitir que el programa busque posibles amenazas en su ordenador

Haga clic en el botn PC Magazine ha concedido a Malwarebytes Anti-Malware 4 y 4,5 estrellas de


un total de 5 y afirma que 'Malwarebytes Anti-Malware 2.0 sigue siendo el preferido de nuestra
redaccin cuando se trata de antivirus gratuitos solo para limpieza.' para eliminar las amenazas y
reinicie el equipo si el programa se lo solicita

Espere mientras se cierra el sistema y se lleva a cabo la limpieza

Realice otro anlisis con Malwarebytes Anti-Rootkit para comprobar que no queden amenazas. Si las
hay, haga clic otra vez en PC Magazine ha concedido a Malwarebytes Anti-Malware 4 y 4,5
estrellas de un total de 5 y afirma que 'Malwarebytes Anti-Malware 2.0 sigue siendo el preferido
de nuestra redaccin cuando se trata de antivirus gratuitos solo para limpieza.' y repita el proceso

Si no encuentra nuevas amenazas, compruebe que el sistema est funcionando de manera normal,
verificando los siguientes elementos: acceso a internet, Windows Update, Firewall de Windows

Si hay ms problemas en el sistema, como los mencionados u otros, ejecute la herramienta 'fixdamage'
que se incluye con Malwarebytes Anti-Rootkit en la carpeta 'Plugins' y reinicie el equipo

Compruebe que ahora el sistema est funcionando con normalidad

Si tiene dificultades para ejecutar la herramienta o esta no resuelve todos los problemas, pngase en
contacto con el soporte tcnico

Productos
Malwarebytes Anti-Malware Gratis
El anti-malware ms famoso del mundo
Versin: 2.1.8 mbam-setup-2.1.8.1057
Requisitos del sistema:Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
64 bits), Windows XP (32 bits) exe, 16.4 MB

Malwarebytes Anti-Exploit
Proteccin bsica contra exploits
Versin: 1.07.1.1015 mbae-setup-1.07.1.1015 exe, 3 MB

Otras herramientas
Malwarebytes Anti-Rootkit BETA
Elimina rootkits y repara los daos que causan
Versin: 1.09.3.1001 mbar-1.09.3.1001
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
64 bits), Windows XP (32 bits) exe, 12 MB

Malwarebytes Chameleon
Instala Malwarebytes Anti-Malware en un ordenador infectado
Versin: 3.1.25.0 mbam-chameleon-3.1.25.0
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits, 64
bits), Windows XP (32 bits) exe, 4.6

Malwarebytes StartUpLite
Hace
Versin:
Requisitos
64 bits),

arrancar su equipo ms deprisa


1.07 startuplite-setup-1.07
del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
Windows XP (32 bits) exe, 200 KB

Malwarebytes FileASSASSIN

Elimina los archivos bloqueados


Versin: 1.06 fileassassin-setup-1.06
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits, 64
bits), Windows XP (32 bits) exe, 163 KB

Malwarebytes RegASSASSIN
Elimina las claves de registro del malware
Versin: 1.03 regassassin-setup-1.03
Requisitos del sistema: Windows 8.1, Windows 8, Windows 7, Windows Vista (32 bits,
64 bits), Windows XP (32 bits)

3.- Por favor, descargue ComboFix desde aqu, aqu o aqu en el escritorio.
** Nota: En el caso de que usted ya tiene combofix, esta es una nueva versin que te necesito
para descargar. Es importante que se guarda directamente en tu escritorio **
Nunca cambie el nombre combofix menos que se indique.
Cierre todos los navegadores abiertos.
Muy importante! Desactive temporalmente su anti-virus y anti-malware ninguna proteccin
en tiempo real antes de realizar una exploracin. Pueden interferir con ComboFix o eliminar
algunos de sus archivos incrustados que puede causar "resultados impredecibles".
Haga clic en este enlace para ver una lista de programas que deben ser desactivado. La lista
no es exhaustiva. Si el suyo no est en la lista y usted no sabe cmo desactivar, por favor
pregunte.
Cierre todos los navegadores abiertos.
ADVERTENCIA: combofix desconectar la mquina a travs de Internet tan pronto como se
empieza
Por favor, no intente volver a conectar la mquina a Internet hasta ComboFix haya terminado
por completo.
Si no hay conexin a Internet despus de ejecutar ComboFix, a continuacin, reiniciar el
equipo para restaurar de nuevo la conexin.
Si la conexin no es all use punto que ha creado antes de ejecutar ComboFix restauracin.
Doble click en ComboFix.exe y sigue las instrucciones.

NOTA 1. Si combofix le pide que instale la consola de recuperacin, deje por favor.
NOTA 2. Si combofix le pide que actualice el programa, siempre lo hacen.
Cuando haya terminado, se elaborar un informe para usted.
Por favor enviar la "C: \ ComboFix.txt"
** Nota 1: No MouseClick ventana de combofix mientras se est ejecutando. Eso puede hacer
que se pare
** Nota 2 para los usuarios de AVG y CA Internet Security (Total Defense Internet Security):
ComboFix no se ejecutar hasta AVG / CA Internet Security se desinstala como medida de
proteccin contra el anti-virus. Esto se debe a AVG / CA Internet Security "falsamente" detecta
ComboFix (o sus archivos incrustados) como una amenaza y puede eliminarlos resulta en la
herramienta no funciona correctamente, que a su vez puede causar "resultados impredecibles".
Desde AVG / CA Internet Security no se puede desactivar con eficacia antes de ejecutar
ComboFix, el autor le recomienda desinstalar AVG / CA Internet Security primero.
Utilice AppRemover que desinstalarlo: http://www.appremover.com/
Podemos volver a instalarlo cuando hayamos terminado con CF.
** Nota 3: Si recibe un error de operacin ilegal intent en una tecla registery que se ha marcado
para su eliminacin, reinicie el ordenador para solucionar el problema.
** Nota 4: Algunas infecciones pueden tardar un tiempo considerable para ser curado. Siempre y
cuando su reloj de la computadora est ejecutando combofix sigue trabajando. Se paciente.

Asegrese, que vuelva a activar sus programas de seguridad, cuando haya terminado con
ComboFix.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
NOTA.

Si, por alguna razn, combofix niega a ejecutar, intente lo siguiente ...
Eliminar archivo combofix, descargar uno nuevo, pero cambiar el nombre ComboFix.exe a
your_name.exe antes de guardarlo en el escritorio.
NO ejecutarlo todava.
Descarga Rkill (cortesa de BleepingComputer.com) en el escritorio.
Hay 2 versiones diferentes. Si uno de ellos no se ejecutar a continuacin, descargar y tratar de
ejecutar el otro.
Slo tiene que conseguir uno de estos para correr, no todos ellos. Usted puede obtener las
advertencias de su antivirus acerca de esta herramienta, ignorarlos o apagar el antivirus.
rKill.exe: http://www.bleepingcomputer.com/download/rkill/dl/10/
iexplore.exe (rKill.exe renombrado): http://www.bleepingcomputer.com/download/rkill/dl/11/
Reiniciar el equipo en modo seguro
Haga doble clic en el icono del escritorio Rkill para ejecutar la herramienta.
Si utiliza Vista o Windows 7 haga clic derecho sobre l y seleccione Ejecutar como
administrador.
Una ventana de DOS negro parpadear brevemente y luego desaparecen. Esto es normal e
indica la herramienta se ejecut correctamente.
Si no es as, eliminar el archivo, a continuacin, descargar y utilizar el proporcionado en Link
2.
No reinicie hasta que se indique.
Si la herramienta no se ejecuta desde cualquiera de los enlaces que se proporcionan, por
favor hgamelo saber.

Cuando se realiza la exploracin Bloc de notas se abrir con registro rKill.txt.


NOTA. registro rKill.txt tambin estar presente en el escritorio.
Una vez que hayas conseguido uno de ellos para correr, correr inmediatamente your_name.exe
haciendo doble clic sobre l.
Si tuvieras que correr RKill publicar AMBOS troncos, rKill.txt y Combofix.txt.

ComboFix

Licencia: Gratuito

Idioma: Espaol, Ingls, +

S.O.: Windows: XP/Vista/7/8 (32/64 Bits)

Agregado: 14 de febrero de 2009

Actualizado: 9 de septiembre de 2015

Descargas: 3.829.250

Autor: sUBs

Descargar

ComboFix es un potente anti-malwares creado por sUBs el cual es capaz de detectar y eliminar los programas
maliciosos ms difundidos y peligrosos como Vundo, Zlob, SuffSidekick, QooLoogic, Look2Me, Delf,
Navipromo, Rbot, Bagle, familias de Rogue Scareware, y muchos otros. Recuerde que ComboFix NO debe de
ser utilizado nunca sin la supervisin de un especialista calificado ya que si se utiliza de forma incorrecta podra
estar daando su equipo de forma permanente.
ComboFix tambin genera un reporte al terminar que
contiene gran cantidad de informacin que un
ayudante con experiencia puede utilizar para
diagnosticar, tomar muestras de infecciones que no
han sido automticamente eliminadas, y remover
dichas infecciones.
Debido al poder de esta herramienta se recomienda
enfticamente que no utilice ComboFix sin
supervisin de algunos de los expertos calificados
de InfoSpyware.COM / ForoSpyware.COM, ya
que el mal uso puede impedir el funcionamiento
normal del sistema.
Usted deber usar esta gua para descargar y ejecutar
ComboFix para luego colocar el reporte en un foro
donde existan ayudantes que puedan entenderlo y
diagnosticarlo. Estos ayudantes luego podrn
ayudarle a limpiar su sistema de infecciones para que
el sistema pueda funcionar de forma correcta
nuevamente.

Nota sobre ComboFix:

* Para funcionar, ComboFix requiere desactivar la proteccin en tiempo real del antivirus
* ComboFix ahora en Espaol gracias a InfoSpyware
* InfoSpyware.com / ForoSpyware.com (http://www.forospyware.com/) es el nico sitio oficial en idioma
espaol nombrado por su creador como Foros para recibir soporte analizando reportes de ComboFix
InfoSpyware no se hace responsable por el uso inadecuado de ComboFix. Recuerde que si tiene dudas o
consultas sobre este programa, al igual que si necesita ayuda personalizada para eliminar cualquier tipo de
programa malicioso, puede abrir un nuevo tema en nuestro Foro de ComboFix.

Cmo utilizar ComboFix


Introduccin
ComboFix es un programa creado por sUBs, que chequea su sistema en busca de malwares conocidos, y de ser
encontrados, intenta eliminar automticamente estas infecciones. Adems de ser capaz de eliminar una gran
cantidad de los ms comunes y corrientes malwares, ComboFix tambin genera un reporte al terminar que
contiene gran cantidad de informacin que un ayudante con experiencia puede utilizar para diagnosticar, tomar
muestras de infecciones que no han sido automticamente eliminadas, y remover dichas infecciones.
Debido al poder de esta herramienta se recomienda enfticamente que no utilice ComboFix sin supervisacin
ya que el mal uso puede impedir el funcionamiento normal del sistema. Usted deber usar esta gua para
descargar y ejecutar ComboFix para luego colocar el reporte en un foro donde existan ayudantes que puedan
entenderlo y diagnosticarlo. Estos ayudantes luego podrn ayudarle a limpiar su sistema de infecciones para que
el sistema pueda funcionar de forma correcta nuevamente.
Por favor, tenga en cuenta que esta gua es la nica gua autorizada para el uso de ComboFix y no puede ser
copiada sin los permisos de BleepingComputer.com y sUBs. Tambin se debe entender que el uso de ComboFix
es bajo su propio riesgo.
Windows 8.1 y Windows 2000 no son compatibles con ComboFix.
Utilizando ComboFix
Lo primero que deber hacer es imprimir esta gua ya que ser necesario cerrar todos los programas que se
encuentren abiertos antes de utilizar ComboFix, incluyendo navegadores de Internet.
Luego debera descargar ComboFix de una de las siguientes URLs:
ComboFix Download Link
Para descargar ComboFix, simplemente haga clic en cualquiera de los enlaces mencionados arriba y si utiliza
Internet Explorer, deber ver una ventana similar a esta:

Descargar ComboFix
Haga clic en el botn que dice Guardar y cuando pregunte en qu lugar desea guardarlo, asegrese de
guardarlo directamente en el Escritorio de Windows. Una imagen sobre esto es mostrada debajo.

Descarga de ComboFix al Escritorio

Cuando tenga la ventana Guardar en configurada para guardar ComboFix.exe en el Escritorio, haga clic en el
botn Guardar. ComboFix comenzar a descargarse a su computador. Si utiliza Internet de lnea telefnica
(Dial-Up), esto podra tardar varios minutos. Cuando ComboFix haya terminado de ser descargado, debera ver
un cono en su Escritorio similar al que se muestra en la siguiente imagen.

Icono de ComboFix
No inicie ComboFix por el momento ya que es aconsejable realizar algunos pasos adicionales primero.
Ahora se sugiera que instala la Consola de Recuperacin de Windows. La consola de recuperacin de
Windows le permitir arrancar en modo de recuperacin que nos permite ayudarte en caso de que su sistema
tenga algn problema despus de un intento de eliminacin del malwares. Si utiliza Windows XP y tiene un CD
de instalacin de Windows, entonces usted puede seguir las instrucciones que se enumeran a continuacin en
este tutorial
Cmo instalar y utilizar la Consola de Recuperacin de Windows XP
Los usuarios de Windows Vista pueden utilizar su CD de Windows para acceder al Entorno de Recuperacin de
Vista.
Si en cambio, usted utiliza Windows XP y no tiene el CD de Windows, ComboFix incluye un mtodo de
instalacin de la consola de recuperacin de Windows con la descarga de un archivo de Microsoft. Para instalar
la Consola de recuperacin de Windows cuando no se tiene el CD de Windows XP, por favor, siga estas
instrucciones:

1. - Haga clic en el siguiente enlace para ir al sitio de la Web de Microsoft:


Cmo obtener los discos de inicio de la instalacin de Windows XP
2. - En esa pgina, desplcese hacia abajo y haga clic en la descarga apropiada para su versin de
Windows XP (Home o Professional) y el nivel de service pack que tenga instalado. Al hacer clic
en el enlace para descargar el archivo, asegrese de guardar directamente en su escritorio. Si
usted no est seguro de qu versin de Windows que tenga y lo que es el Service Pack instalado,
puede seguir estas instrucciones para obtener esa informacin.
1. - Haga clic en el botn Inicio.
2. - Haga clic en la opcin de men Ejecutar.
3. - En el Apertura: tipo de campo las siguientes: sysdm.cpl y, a continuacin, haga clic en
el botn OK.
4. - Una pantalla que muestra informacin acerca de su instalacin. En el marco del
Sistema: categora debera ver su versin de Windows y el Service Pack instalado.
Cuando haya terminado la determinacin de continuar con esta informacin Paso 2.
3. - Microsoft Una vez que el archivo haya terminado de descargarse, debe arrastrar en la parte
superior de la ComboFix icono y dejar ir botn de su ratn. Esto se muestra en la siguiente
imagen.

1. Si est utilizando Windows Vista, y recibir UAC preguntar si desea seguir ejecutando el programa,
presione el botn "Continuar".
2. - ComboFix ahora instalar automticamente la Consola de recuperacin de Windows en el equipo, que
se mostrar como una nueva opcin al arrancar el ordenador. No seleccione la opcin Consola de
recuperacin de Windows al arrancar el ordenador a menos que se le solicite por un ayudante.
Una vez que haya terminado de instalar la Consola de recuperacin de Windows, por favor, continuar
con el resto del tutorial.
Estamos casi listos para iniciar ComboFix, pero antes de hacerlo, necesitamos tomar ciertas medidas
preventivas para que no hayan conflictos con otros programas mientras ComboFix se encuentra en ejecucin.
En este punto, usted deber hacer lo siguiente:

Cierre todas las ventanas incluyendo esta.

Cierre o desactive todos los programas Antivirus o Antispyware ya que pueden interferir con la
ejecucin correcta de ComboFix.

Una vez que se hayan completado estos dos pasos, haga doble clic en el cono del ComboFix que se encuentra
en su escritorio. Por favor tenga en cuenta que, una vez que inicie ComboFix, usted no deber hacer clic en
ninguna parte de la ventana del programa ya que podra causar que el programa se detenga. De hecho, cuando
ComboFix se ejecute, no toque su computador en lo absoluto, tome un descanso ya que podra tardar un tiempo

en completar el proceso.
Una vez que haga doble clic en el cono del ComboFix, posiblemente vea una ventana similar a esta.

Windows abrir el archivo de alerta de seguridad.


Windows est mostrando este mensaje ya que ComboFix no tiene una firma digital. Esto es perfectamente
normal y seguro as que podr hacer clic en el botn que dice Ejecutar para continuar. Una vez que haga clic en
el botn ejecutar, usted deber ver la primera pantalla de ComboFix como se muestra a continuacin.

ComboFix se prepara a empezar.


ComboFix ahora est preparndose para iniciar, y cuando haya terminado usted deber ver la Declaracin como
se muestra a continuacin.

Disclaimer de ComboFix
Si usted no aprueba la declaracin, presione el nmero 2 en su teclado y luego presione la tecla enter para salir
del programa. De aceptar la declaracin, presione el nmero 1 y luego presione la tecla enter para continuar. Si
desea proseguir, entonces ComboFix crear un Punto de Restauracin del sistema, de esta forma si ocurre algn
problema durante la utilizacin del programa usted podr restaurar su configuracin previa. Cuando ComboFix

haya terminado de crear el punto de restauracin, har un respaldo del Registro de Windows como se muestra
en la siguiente imagen.

ComboFix realiza copia de seguridad el Registro de Windows


Una vez que el registro de Windows haya sido respaldado, ComboFix desactivar el acceso a Internet. Por esta
razn, no se extrae ni se preocupe si recibe advertencias de que su sistema ya no tiene acceso a Internet ya que
la misma ser restaurada por el programa ms adelante.
ComboFix ahora comenzar a revisar su computador en busca de infecciones conocidas. Este proceso puede
tardar as que por favor sea paciente.

ComboFix escaneara en PC en busca de infecciones.


Mientras el programa est revisando su computador, cambiar el formato del reloj del sistema, as que no se
preocupe cuando vea que esto pase. Cuando ComboFix termine, restaurar el formato de reloj que su sistema
tena anteriormente. Tambin ver como el texto en la pantalla del ComboFix es actualizado a medida que pasa
por las fases de chequeo. Un ejemplo de esto puede verse en la siguiente imagen:

Etapas de ComboFix AutoScan


Al momento de la escritura de esta gua haba 41 fases como se muestra en la siguiente imagen, as que sea
paciente:

34a Etapa de la ComboFix AutoScan


Cuando ComboFix haya terminado, ver una pantalla indicando que se est preparando el reporte como se
muestra a continuacin

ComboFix est preparando el reporte.


Esto puede tardar as que sea paciente. Si observa que la pantalla de Escritorio desaparece, no se preocupe, esto
es normal, ComboFix restaurar el escritorio al terminar. Eventualmente ver una pantalla que indicar que el
programa est por terminar y a su vez que el reporte se encontrar en C:\ComboFix.txt. Esto puede verse en la
siguiente imagen.

ComboFix est casi listo!


Cuando ComboFix haya terminado, cerrar automticamente el programa y restaurar el formato del reloj a su
formato original. Luego mostrar el reporte de forma automtica como se aprecia en la siguiente imagen.

ComboFix archivo de registro


Ahora debera registrarse en cualquiera de los foros mostrados abajo, luego copie y pegue el reporte del
ComboFix junto con un log de Hijackthis en un nuevo tema. Cuando est indicando esta informacin por favor
tambin provea una descripcin de los problemas que est teniendo. Si est teniendo problemas para conectarse
a Internet luego de utilizar el ComboFix, por favor lea esta seccin.
Es posible que el ComboFix, incluso si es la primera vez que se utiliza, haya reparado los problemas que usted
estuviera teniendo. Sin embargo le recomendamos que coloque su reporte en un foro ya que seguramente
quedarn infecciones que un ayudante necesitar analizar posteriormente.
Foros para recibir soporte analizando reportes de ComboFix:
Abajo se muestra la lista de foros donde puede colocar su reporte de ComboFix y recibir ayuda autorizada para
analizarlo. Hemos categorizado los foros por lenguaje ya que ComboFix es usado internacionalmente. Por favor
registre una cuenta y coloque su reporte de ComboFix en uno de estos foros junto con un reporte de Hijackthis.
Tenga en cuenta que cada foro tiene diferentes polticas, as que asegrese de leer los mensajes marcados como
importantes y las reglas del foro sobre qu hacer para recibir ayuda.
English Forums
Bleeping Computer

Tech Support Forum

CastleCops

GeeksToGo

SpywareInfo

SpywareWarrior

Dell Community

SpyKiller

DSLReports

Safer-Networking

WhatTheTech

Tech Support Guy

D-A-L

SpyWare BeWare

PCPitstop

CyberTechHelp

Security Forums

ThatComputerGuy

MalwareRemoval

Webuser

Newbie.org

Atribune

Gladiator Security

MajorGeeks

Log'N'Rock

Aumha

TeMerc Internet Countermeasures Security Cadets

Cexx
Dutch Forums

German Forums

Blue Medicine

HijackThis.de

AntiSpywareOffensief

PCMasters

HijackThis.nl

CastleCops

Spanish Forums
InfoSpyware.com /
ForoSpyware.com

Portuguese Forums
Forum Clube do Hardware

French Forums
Malekal

Danish Forums
Spywarefri

Finnish Forums
Virustorjunta

Russian Forums
VirusNet.info

Polish Forums
FixItPC.pl
Restaurando la conexin a Internet de forma manual:
Si, por si acaso, no tiene acceso a Internet luego de ejecutar el ComboFix, entonces lo primero que deber
intentar es reiniciar su computador. Este nico paso debera reparar la mayora de los problemas con el acceso a
Internet causados luego de ejecutar el ComboFix. Si an no logra conectarse a Internet luego de reiniciar su
sistema por favor siga los estos pasos:
1. Haga clic en el botn Inicio.
2. Haga clic en el men en la opcin Configuracin.
3. Haga clic en la opcin Panel de Control.
4. Cuando abra el Panel de Control, haga doble clic en el cono llamado Conexiones de Red. Si su Panel
de Control est configurado por Categoras, entonces haga doble clic en Redes y Configuraciones de
Internet y luego haga clic en Conexiones de Red al final.
5. Ahora ver una lista de las conexiones disponibles. Haga clic derecho en su adaptador Inalmbrico o
Lan.
6. Ahora ver una imagen similar a la que se muestra a continuacin. Simplemente haga clic en Reparar.
7. Deje que el proceso se ejecute y cuando termine, su conexin a Internet deber estar restaurada.
1.

Reparacin de conexin a Internet


2. Alternativamente, si el cono de su conexin aparece en la barra de tareas de Windows, entonces la
puede reparar haciendo clic derecho en ese cono y luego seleccionando Reparar como se muestra a
continuacin.

Reparacin de conexin a Internet a travs de la bandeja de iconos


Si an no tiene acceso a Internet luego de haber realizado los pasos anteriores, entonces tal vez desee preguntar
en nuestro foro.
Author: Lawrence Abrams
Created: January 4, 2008 3:55 PM
Traducido a espaol por: El equipo de ForoSpyware.com

Luce bien.
4.- [IMG] Descargue AdwCleaner por Xplode en su escritorio.
Cierre todos los programas abiertos y los navegadores de Internet.
Doble click en adwcleaner.exe para ejecutar la herramienta.
Haga clic en el botn Scan.
Cuando la exploracin haya terminado, haga clic en el botn Limpiar.
El ordenador se reiniciar automticamente. Un archivo de texto se abrir despus de la
reanudacin.
Por favor, publique el contenido de ese archivo de registro con su prxima respuesta.
Usted puede encontrar el archivo de registro en C: \ AdwCleaner [S1] .txt tambin.

5.- [IMG] Descargue junkware Removal Tool en el escritorio.


Apague el software de proteccin de ahora para evitar posibles conflictos.
Ejecute la herramienta haciendo doble clic en l. Si utiliza Windows Vista, 7, u 8; en lugar de
hacer doble clic, haga clic en el botn derecho del ratn JRT.exe y seleccione "Ejecutar como
Administrador".
La herramienta se abrir y comenzar a escanear su sistema.
Por favor, sea paciente ya que esto puede tomar un tiempo para completar dependiendo de
las especificaciones de su sistema.
Al finalizar, un registro (JRT.txt) se guarda en el escritorio y se abrir automticamente.
Publicar el contenido de JRT.txt en su prximo mensaje.

Manual de Junkware Removal Tool.

Junkware Removal Tool, by thisisu, es una sencilla aplicacin gratuita que no requiere de instalacin. Su
principal misin es escanear tu ordenador en busca de entradas de malwares tales como adwares, barras de
herramientas y PUPS (programas potencialmente no deseados).
JRT se abre en una interfaz de lnea de comandos, por lo que es una utilidad muy simple e intuitiva, pero a la
vez muy eficaz. Es una herramienta vlida para Windows XP/Vista/7/8 (para sistemas de 32 o 64 bits).
JRT es capaz de eliminar los siguientes tipos de programas: Ask Toolbar, Babylon, Browser Manager, Claro /
iSearch, Conduit, Coupon Printer for Windows, Crossrider, Facemoods / Funmoods, iLivid, IncrediBar,
MyWebSearch, Searchqu, Web Assistant, y muchos ms...
Para conseguir la eliminacin total de este tipo de infecciones, Junkware Removal Tool acta sobre servicios,
valores y claves de registro, archivos, carpetas, e incluso restaura algunas configuraciones predeterminadas para
Internet Explorer, Mozilla Firefox y Google Chrome.

ndice:
1.- Descarga y ejecucin.
2.- Escanear y limpiar.
3.- Reporte.

1.- Descarga y ejecucin.


Para descargar la herramienta usar el siguiente enlace: https://www.infospyware.com/antispyware/jrt/
Gurdela en el escritorio. Al ser una herramienta portable no necesita instalacin, por lo que una vez
descargada, est lista para su ejecucin. Antes de ejecutarla, es importante cerrar todos los programas y sobre
todo los navegadores.

A continuacin, doble clic en el icono del programa (si usas Windows Vista/7 u 8 presiona clic derecho y
selecciona "Ejecutar como Administrador.") y se abrir la interfaz principal del programa:

En esta primera presentacin de la herramienta se nos informa, en ingls, sobre la versin descargada, al mismo
tiempo que se nos advierte de que guardemos y cerremos cualquier trabajo del navegador antes de ejecutar esta
utilidad.
Tambin somos advertidos sobre la posibilidad de que los diferentes elementos del escritorio puedan
desaparecer temporalmente durante la exploracin del sistema, e incluso es normal que alguna ventana de
Windows Explorer sea abierta.
Luego podemos observar un Disclaimer (descargo de responsabilidad) donde el autor de la aplicacin expone
literalmente: "Este software se proporciona "tal cual" sin garanta de ningn tipo. Si utiliza este software es
bajo su propio riesgo."
Atencin : En alguna ocasin ha ocurrido que el programa se queda parado con la ventana negra y el cursor
parpadeando al inicio de la misma; en estas ocasiones podemos probar a ir pulsando Intro/Enter varias veces
hasta lograr que inicie el proceso.

2.- Escanear y limpiar.


Para que la aplicacin inicie la exploracin del sistema, una vez que se encuentre en la interfaz principal del
programa, debe pulsar Intro/Enter para continuar y la herramienta empezar a trabajar. La primera accin
que realizar esta utilidad ser una copia de seguridad del registro de windows:

A continuacin, la herramienta empezar a trabajar sobre diferentes aspectos del sistema, informndonos en
cada momento donde se est produciendo su actuacin. No se trata de una herramienta interactiva, por lo que
llegado a este punto no necesita de ninguna accin por parte del usuario para limpiar, eliminar y/o restaurar
todo aquello que encuentre, sino que lo realizar de forma automtica:

Ya que en realidad Junkware Remowal Tool es un archivo batch, remueve las infecciones a una carpeta
temporal, no creando copias de seguridad de lo que fue eliminado (aunque como ya hemos dicho, SI realiza
copia de seguridad del registro de windows). La aplicacin tampoco nos ofrece ninguna lista de exclusin por
lo que si tiene alguna barra de herramienta o PUP que quiera conservar, deber reinstalarla despus de ejecutar
Junkware Removal Tool.

3.- Reporte.
Una vez que la aplicacin ha terminado de actuar sobre nuestro sistema, abrir un bloc de notas con el reporte
de la herramienta, informando sobre sus acciones:

Este reporte tambin ser guardado en el mismo directorio donde est ubicado Junkware Removal Tools; si
tenemos situado la herramienta en el escritorio (que es donde se aconseja), guardar el reporte en el escritorio
(JRT.txt):

En el caso de que est recibiendo ayuda desde nuestro Foro de InfoSpyware, debe pegar el reporte completo
que genera esta herramienta en el tema donde le estn atendiendo.
Para ello, y si tiene dudas de cmo hacerlo, siga las siguientes instrucciones:

Una vez que tenga abierto el bloc de notas con el reporte ofrecido por Junkware Remove Tools, pulse
sobre Edicin >> Seleccionar todo; a continuacin vuelva a pulsar sobre Edicin >> Copiar.

Ahora dirjase hacia el tema donde est recibiendo la ayuda y sobre el cuadro de respuesta, clic derecho
del ratn y pulse sobre Pegar.

6.- [IMG] Descargar OTL en el escritorio.


Descarga alternativo: http://www.itxassociates.com/OT-Tools/OTL.exe
Haga doble clic en el icono para ejecutarlo. Asegrese de que todas las ventanas estn
cerradas y se deja correr sin interrupcin.
Haga clic en la casilla Scan Todos los usuarios.
Haga clic en el botn Quick Scan. No cambie la configuracin a menos que se lo indique
hacerlo. El escaneo no tardara mucho.
Cuando el anlisis se completa, se abrir dos ventanas bloc de notas: OTL.txt y Extras.txt.
stos se guardan en la misma ubicacin que OTL.
Por favor, copie (Editar-> Seleccionar todo, Edicin-> Copiar) el contenido de estos archivos,
uno a la vez, y publicarlos aqu.ltimos exploraciones ...

Como utilizar OldTimer ListIt, completo e ntegro


Informacin de el Tutorial (http://www.smokey-services.eu/forums/index.php?
topic=68355.0)
Este tutorial ha sido creado por emeraldnzl y es propiedad de el mismo. Favor de ponerse en
contacto con emeraldnzl antes de citar, hacer copia o utilizar este tutorial en otros foros, para
obtener su permiso y obtener informacin sobre las actualizaciones. Tambin tenga en cuenta
que este tutorial fue escrito originalmente para ofrecer orientacin tcnica a las personas que
ofrecen ayuda en la eliminacin de programas maliciosos en diversos foros.
Nota: Esta es la traduccin de la copia maestra del Tutorial. Si usted publica este tutorial con el
debido permiso en otro lugar, verifique la fecha en la parte inferior para comprobar que usted
tiene la versin ms reciente. Esta herramienta es actualizada constantemente.
Nota importante!: Aunque OTL es principalmente una herramienta de diagnstico, la misma
tiene una capacidad avanzada para eliminar programas maliciosos. Si usted no entiende las
instrucciones en este tutorial, favor de solicitar la asistencia de un experto en la eliminacin de
programas maliciosos que ofrecen su ayuda gratis en uno de los foros que se indican abajo.
Tenga mucho cuidado al desarrollar y ejecutar uno de los cdigos. El uso inapropiado de OTL
puede causar la prdida de su data o causar que su sistema que no arranque.

Tabla de contenidos
1. Introduccin
2. Enlace para bajarlo
3. Informacin de el resultado
4. Exploracin estndar
5. Example Output
o Processes
o Modules
o Services
o Drivers
o Standard Registry

o Internet Explorer
o Firefox
o O1 through to O22 and including O24
o O10
o O27 Image File Execution Options
o O28 Shell Execute Hooks
o O29 Security Providers
o O30 Lsa
o O31 SafeBoot
o O32 Autorun files on drives
o O33 MountPoints2
o O34 BootExecute
o O35 shell spawning values
o O36 appcert dlls
o O37 file associations
6. Pre-defined Custom Scan Command Example
7. Quick Reference of available Directives & Commands
o :processes
o :OTL
o :Services
o :Reg
o :Files
o :Commands
2. Switches
3. Commands/Switches
4. CleanUp
.
Compatibilidad

OTL es compatible con sistemas que tengan una fucionalidad 32-bit y 64-bit. Trabaja en todas las versiones de
Windows con un sistema the archivo NT. Desde Windows 2000 hasta Windows 7.
La herramienta es incompatible con sistemas publicados con anterioridad a Windows 2000.
Diagnstico
Generalmente, OTL se utiliza como una herramienta de diagnstico inicial al principio del anlisis de un
problema. No solo ayuda a identificar programas maliciosos, tambin nos provee informacin de utilidad de el
sistema del usuario. Sin embargo, cuando otra herramienta es utilizada de forma inicial tal y como (por
ejemplo, Combofix), OTL se puede utilizar como una herramienta para dar seguimiento y de esta forma tener
un mejor entendimiento de la infeccin, y a la misma vez producir reparaciones de poco riesgo u onerosas en su
preparacin y aplicabilidad. Una de las caractersticas ms notables de OTL es su habilidad de realizar escaneos
personalizados de archivos o entradas en el registro del sistema. En la misma manera en que programas
maliciosos buscan nuevas formas para infectar sistemas, OTL no requiere actualizarse para identificar estos
cambios. Lo nico que se requiere es simplemente un escaneo personalizado de las entradas sospechosas.
Una vez que la infeccin desaparece o se convierte obsoleta, el escaneo personalizado se puede remover, e
implementar nuevos escaneos de ser necesario. Muchos usuarios desarrollan sus propias listas de escaneo de
cdigo personalizados para obtener la informacin que stos desean ver en el sistema.
Reparaciones
OTL tiene una gran variedad de directrices que pueden ser utilizadas para manipular los procesos de un equipo
y arreglar problemas que usted haya identificado.
Adicionalmente hay una serie de cdigos que pueden utilizarse para diagnstico y eliminacin de programas
maliciosos.
Limpieza
Otra de las caractersticas de OTL es que puede remover muchas de las herramientas que se utilizan en la
eliminacin de programas maliciosos. Esta funcin se utiliza al final del anlisis como parte del cierre del tema
en conjunto con el discurso de prevencin.
Preparacin para su uso
Hoy da, ciertos tipos de Programas Maliciosos suelen bloquear el nombre de las herramientas que solemos usar
para la desinfeccin. Por este motivo se puede cambiar el nombre del archivo "OTL.exe" por "OTL.com", si el
ejecutable ha sido bloqueado.
Recomendamos que se instale la "Consola de recuperacin" antes de ejecutar a OTL.
OTL desabilitar la funcin de ajustes de lnea (wordwrap) en Notepad, y reajustar la misma a su
configuracin normal al utilizar la opcin de limpieza en la herramienta.
Como se ejecuta OTL?
El usuario se instruye a que descargue OTL directo a su escritorio. Luego a que haga un double-clic sobre el
cono de OTL. El cono es el siguiente:

Una vez abierto, la consola de OTL aparecer de la siguiente forma:

En el ejemplo que inclumos a continuacin, puede ver el discurso que usualmente se utiliza para
instruir a un usuario a que configure OTL y realize el tipo de escaneo deseado:
[/list][/list]
Code: [Select]
Descarga [url=http://oldtimer.geekstogo.com/OTL.exe][b][color=red]>> OTL <<[/color][/b]
[/url][IMG]http://i466.photobucket.com/albums/rr21/JSntgRvr/OTLI.gif[/img] a tu
escritorio.
[list type=decimal]
[*]Haz un doble clic en [b]OTL.exe[/b] para ejecutar el programa. Asegrate que todas las
ventanas estn cerradas y deja que el programa corra sin interrupcin.
[*]Cuando la interfaz aparesca marcar las siguienes opciones, abajo de: [u][b]Tipo de
Anlisis[/b][/u] cambielo a [b]"Resultado Minimo"[/b].
[*]Marcar las opciones: [b]Buscar LOP[/b] y [b]Buscar Purity[/b].
[IMG]http://img.photobucket.com/albums/v708/starbuck50/otlspan.png[/img]
[*][b]Copia y pega el siguiente texto abajo de la barra azul de "Anlisis
Personalizados":[/b]
[/list]
[codex][/codex]
[list]
[*]Presione el boton de [IMG]http://i318.photobucket.com/albums/mm416/Net_Surfer/scaled-

9.png[/img]. No cambies el resto de la configuracin a menos que te lo solicitemos. El


examen no tardar mucho.
[list type=decimal]
[*]Una vez termine, abrirn dos (2) archivos de texto, [b]OTL.Txt[/b] y
[b]Extras.Txt[/b]. stos aparecern guardados en la misma carpeta de OTL.
[*]Por favor cpie el contenido de los dos archivos (Edicin->Seleccionar todo) por
separado y pguelos a continuacion de su peticin de ayuda en el foro.
[/list]
[/list]

Una vez OTL haya completado su primer escaneo, grabar copias de los resultados en Notepad,
y guardar los mismos en el mismo folder donde se encuentra. El informe "Extras" se producir
de forma automtica solamente durante el escaneo inicial. A menos de que el mismo se incluya
en configuracines subsiguientes, ste no se producir.
En el caso del informe correspondiente a una reparacin, el mismo se grabar en la carpeta
\_OTL\Moved Files, reflejando la fecha y hora en la que se cre. En la mayora de los casos,
C:\_OTL\Moved Files.

Enlaces de Descarga
Enlaces directos de la descarga
Enlaces de Descarga. Los enlaces correctos son los siguientes:
http://oldtimer.geekstogo.com/OTL.exe
Aparte de stos, para usuarios que no puedan ejecutar archivos con una extensin .exe, los mismos pueden
descargar OTL con una extensin .com, o .scr.
Enlaces:
http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr
Note: Cuando utilice estos enlaces, use el Explorador de Windows "Internet Explorer". Si utiliza Firefox, haga
un clic derecho y seleccione "Guardar enlace como", de lo contrario, en algunos sistemas, cuando se intenta
abrir el archivo, aparecera como una secuncia de comandos y slo vers muchas lneas de cdigo en la
pantalla.

Contenido del Registro


(Resultado del escaneo.)
Encabezado:
Este es un ejemplo del encabezado de un registro:
OTL logfile created on: 16/09/2009 12:11:33 PM - Run 1
OTL by OldTimer - Version 3.0.14.0 Folder = C:\Documents and Settings\John Doe\Desktop\Geekstogo
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C09 | Country: Australia | Language: ENA | Date Format: d/MM/yyyy
494.80 Mb Total Physical Memory | 154.25 Mb Available Physical Memory | 31.17% Memory free
1.13 Gb Paging File | 0.74 Gb Available in Paging File | 65.64% Paging File free
Paging file location(s): C:\pagefile.sys 744 1488 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 37.26 Gb Total Space | 19.84 Gb Free Space | 53.25% Space Free | Partition Type: NTFS
Drive D: | 7.58 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF

Drive E: | 22.20 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: YOUR-4DACD0EA75
Current User Name: HP_Administrator
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
Una revisin apropiada de esta informacin le puede ahorrar bastante tiempo.
Descripcin de las lneas
Primera lnea: Indica la fecha en que se cre el registro, la hora del da y cuantas veces OTL se a ejecutado.
Nota: la fecha se mostrar en el formato establecido por el usuario en el Panel de control.
Se utilizar esta informacin para determinar si el escaneo es el actual, y no uno antiguo.
Segunda lnea: Muestra la versin d OTL y su ubicacin en el disco. El nmero de versin es particularmente
importante. Una versin no actualizada no tendr la funcionalidad actual y puede arrojar un resultado
equivocado a la hora de evaluar un registro. De igual forma, la ubicacin de OTL en el disco puede ser de gran
importancia, especialmente si el mismo no se encuentra en un lugar permanente.
Tercera lnea: Muestra la versin de Windows activa en el equipo, y el tipo de sistema de archivo. Esta
informacin es muy til para determinar si otras herramientas son compatibles con el ordenador del usuario.
Cuarta lnea: Indica la versin del Explorador de Windows (Internet Explorer). La versin 8 puede causar
problemas en algunos equipos.
Quinta lnea: Nos muestra el pas, idioma y el formato de fecha que el sistema operativo est utilizando. Puede
ser til en la preparacin de las respuestas. Para obtener una lista de las siglas utilizadas clic Aqu.
Sexta lnea: Le indica la cantidad de memoria (RAM) que el ordenador posee. A menudo esto puede ayudar a
explicar muchos de los sntomas.
Nota: El informe de la cantidad de memoria puede aparecer ms baja de lo que realmente est en la mquina.
Esto sucede por varias razones. El ordenador puede que no pueda acceder a toda la memoria disponible;
defectos en los modulos de memoria o su base; o algo que previene al inicio del ordenador reconocer la
misma. Sistemas con ms de 4GB de memoria, reflejarn el mximo de 4 GB.
Lneas sptima y octava: El archivo "Pagefile.sys" es un archivo utilizado por Windows para almacenar
temporalmente aquella informacin que se intercambia entre el sistema y la memoria fsica de la computadora.
As se ampla la capacidad de memoria de la computadora a travs de una memoria virtual, la que no dispone
de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. El

tamao del archivo flucta basado en la necesidad del sistema.


Novena lnea: Le indica el medio ambiente del sistema; desde donde funciona la unidad del sistema, la raz del
mismo y ubicacin de los archivos de programas.
Las lneas siguientes: Le indica las unidades en que el equipo est dividido, su tamao y el espacio libre
disponible. Que tipo de unidad es y si est subdividido. Puede encontrar una situacin donde existe muy poco
espacio libre en el disco duro (para un sistema ptimo, debe ser mayor del 15%). De ser menor, esto puede
afectar la habilidad del fucionamiento de las herramientas. Si el espacio libre es muy bajo, digamos del 5%,
entonces hay una posibilidad de que el ordenador no inicie cuando se ejecuta una herramienta. OTL siempre
informar el estado de las unidades C: a la I, independientemente de si estn o no instalados. Cualquier unidad
desde la J: a la Z:, ser informado solo si estn presentes.
El informe contina con un grupo de lneas que indican el nombre del equipo, el usuario actual y el nivel al cual
se ha conectado. Esto nos permite saber si el usuario tiene el permiso apropiado para ejecutar una reparacin.
Luego de esto, existe otro grupo de lneas que indican la configuracin utilizada en el escaneo, tal y como el
modo de arranque del ordenador; si slo se configur el usuario actual o todos los usuarios; escaneo en sistemas
de 64-bit; si la lista de compaas reconocidas fue omitida o no; y otros.
OTL agrega anotaciones a determinadas entradas del registro:
[2008/01/20 21:52:15 | 01,216,000 | ---- | M - el ltimo de los caracteres entre los corchechetes [.] ser
permanente M para indicar si el archivo fu modificado, o C para para indicar si el archivo fu creado.
Todo escaneo, excepto por los que se realizan por la edad de archivos y anlisis de aquellos sin la firma de
compaas reconocidas, mostrar la fecha de la ltima modificacin de los archivos. Los dos anlisis mostrarn
la fecha de creacin de ambos, el archivo y la carpeta. Existen tipos de infecciones que ajustan la fecha de
modificacin para tratar de ocultarse o mezclarse con otros archivos o carpetas. De esta manera, y mediante el
anlisis de las fechas de creacin y modificacin, podemos identificar a este tipo de infeccin. Si los archivos o
carpetas muestran una fecha modificada en el 2003, pero fueron creados en el 2010, entonces esto es una
indicacin de que debemos realizar una evaluacin ms profunda de estos archivos. Una evaluacin profunda
de los resultados de escaneo nos ayudar a identificar las infecciones de forma efectiva.
[2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys Luego del tamao del archivo, aparecern los siguientes atributos son:
R - Readonly - Leer solamente
H - Hidden - Oculto
S - System - Sistema
D - Directory - Carpeta
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe() - Esta lnea indica que el
archivo no est digitalmente firmado por una empresa. De estar digitalmente firmado, el nombre de la empresa
aparecera dentro del parntesis final. La mayora de archivos maliciosos no tendrn nombre de empresa
(aunque algunos s, para ocultarse). Tenga en consideracin que no todos los archivos sin nombre de empresa
son malos, como muestra el ejemplo de arriba.
[2009/03/10 15:54:00 | 00,000,000 | ---D | M - Esta lnea muestra un directorio (D) que se ha modificado (M) en
2009/03/10.
El tamao de las carpetas siempre ser cero segn demuestra este ejemplo. Si hubiera sido un archivo, el
atributo no sera una D y el tamao del archivo normalmente sera mayor de cero, aunque tambin se pueden
encontrar archivos con un tamao cero. En este caso, el ejemplo es una carpeta y la fecha en que se muestra es
la fecha de modificacin.

reas de anlisis estndar


RPC - procesos
MOD - mdulos
SRV - servicios (O23 en HJT)
DRV - controladores
Registro estndar
IE - configuracin del explorador (Internet Explorer)
FF - configuracin del explorador (FireFox)
O1 a O24 - Estas lneas son similaresal registro de Hijackthis
O27 Opciones en la Ejecucin de la imagen del archivo
O28 Ganchos de ejecucin en la base de Windows (shell)
O29 Proveedores de seguridad
O30 Servicios de autenticacin. (LSA)
O31 Modo de Inicio Seguro
032 Archivos de arranque automtico en el disco
O33 Configuracin de las unidades de almacenamiento
O34 Programas que se ejecutan al inicio
O35 Asociacin de los archivos .com y .exe de la base del sistema
Bibliotecas (Librera) de Enlace Dinmico (.dll)
037 Asociacin de los archivos .com y .exe de la base del sistema
Anlisis de archivos y carpetas
Registro adicional - Se obtiene automticamente durante el escaneo inicial de OTL. Realiza los siguientes
anlisis y coloca el resultado en el registro "Extras.txt". Este escaneo adicional slo se ejecutar
automticamente la primera vez que OTL.exe se ejecute, mediante el cual se obtiene el primer anlisis.
Subsiguientemente, si desea ver estos resultados necesitar instruir a el usuario a que marque una de estas dos
opciones: "Listado Minimo" o "Todos" en el grupo de registro adicional antes de hacer un scaneo de lo
siguiente:
Asociacin de archivos
Shell Spawning
Centro de Seguridad
Aplicaciones autorizadas (si se ejecuta en un sistema operativo no-Vista)
Reglas del "Firewall" en vista (si se ejecuta en un Vista o los sistemas operativos anteriores)
Lista de Programas Instalados
Vista de Sucesos (ltimos 10 errores en cada rea cubierta por la aplicacin)
Existen dos formas de solicitarle al usuario a que presente el Escaneo Estndard, "Resulado Completo" o
"Resultado Mnimo". Adems se puede utilizar la opcin de listado minimo o "Todos" en cada uno de los
escaneos standr selecionado con el grupo particular de scaneo.
Nota: Selecionando "Resultado Completo", la fecha \hora del archivo se incluirn al principio de la lnea,
mientras que selecionando "Resultado Mnimo" slo se incluir el nombre del archivo, ubicacin y nombre de
la empresa. El resultado el escaneo concerniente a los procesos, mdulos, servicios, controladores y anlisis de
archivos, se reflejar ordenados por fecha de archivo, sin embargo, en el caso de anlisis personalizado, se
ordenarn por ubicacin y nombre de archivo. En los sistemas operativos de 64 bits, los elementos de 64 bits
se enumerarn primero, y subsiguientemente los elementos de 32-bit dentro de la misma agrupacin.
La lista de compaas reconocidas es una lista de ms de 600 archivos (actualmente) de Microsoft que se
consideran seguros, y que se filtrarn fuera de todos los anlisis si el anlisis incluyera esta opcin. Elegir la
opcin "Todos" en cualquier de estos anlisis, se apagar el filtro y el resultado incluir todos los achivos en el
systema en el anlisis.
Nota 2: Usted puede personalizar las opciones de anlisis para cumplir con sus necesidades especficas. Por

ejemplo, usted puede seleccionar Ninguno en los analices de Procesos y Mdulos, y a la misma vez establecer
la edad del archivo a 180 das. Si hace cambio alguno a cualquier valor que aparezca como pre-determinado,
entonces asegrese de oprimir el botn Analizar. Cuando el botn del Anlisis Mnimo es oprimido, las
selecciones sern pre-determinadas y anular las que seleccione de forma personalizada. las opciones del
Anlisis Mnimo no pueden ser anuladas. Cualquier seleccin en el rea de Anlisis Personalizados no se
afectar oprimiendo las opciones, Analizar o Anlisis Mnimo. stas siempre se incluirn en el anlisis, de
estar presente.
Tambin hay comandos adicionales personalizados y predefinidos que se pueden utilizar en anlisis
personalizados:
Nota: Co la excepcin del comando HijackThisBackups, el resultado del escaneo utilizando los siguientes
comandos se puede copia/pegar directamente en la seccin de :OTL en una reparacin para su eliminacin.
HijackThisBackups - se enumeran todas las copias de apoyo producidas por Hijackthis
netsvcs - listas de entradas bajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost - netsvcs
msconfig - listas de entradas bajo HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig
safebootminimal - listas de entradas bajo
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal
safebootnetwork - listas de entradas bajo
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
activex - listas de entradas bajo HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed
components
drivers32 - listas de entradas bajo HKEY_LOCAL_MACHINE\software\Microsoft\Windows
NT\CurrentVersion\Drivers32
Nota: De forma predeterminada, cada uno de los anlisis predefinidos utilizar el filtro de companas
reconocidas. Para anular esta accin e incluir todos los archivos en cualquiera de estos anlisis debe incluir el
codigo /all al final del comando (ejemplo: netsvcs /all).

Ejemplo de los resultados


Procesos
Muestra procesos que se estan ejecutando en su equipo.
========== Processes (SafeList) ==========
Estndar:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:\OldTimer Tools\OTL.exe
Mnimo:
PRC - C:\OldTimer Tools\OTL.exe (OldTimer Tools)
Mdulos
========== Modules (SafeList) ==========
Estndar:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:\Program Files\Agnitum\Outpost
Firewall\wl_hook.dll
Mnimo:
MOD - c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll (Agnitum Ltd.)

Servicios
Muestra servicios ejecutandose en el equipo.
========== Win32 Services (SafeList) ==========
Estndar:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:\Program
Files\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:\Program Files
(x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
Mnimo:
SRV:64bit: - (WMPNetworkSvc) -- C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft
Corporation)
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()
Controladores
Muestra Controladores ejecutandose en el equipo. Nota: Los controladores no se muestran de forma
predeterminada en un examen rpido. Se deben seleccionar y ejecutar con el botn Analizar.
========== Driver Services (SafeList) ==========
Estndar:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:\Windows\SysWOW64\drivers\StarOpen.sys -(StarOpen)
Mnimo:
DRV:64bit: - (afwcore) -- C:\Windows\SysNative\drivers\afwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:\Windows\SysWOW64\drivers\StarOpen.sys ()
Registro estndar
========== Registro estndar (SafeList) ==========
Internet Explorer
========== Internet Explorer ==========
Esta seccin muestra los ajustes del navegador IE Internet.
Quote
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?
LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/


{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch =
http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL =
http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/
{SUB_RFC1766}/srchasst/srchasst.htm
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail
Toolbar\talktalkmailtb.dll (AOL LLC.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.co.uk/talktalk
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL =
http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail
Toolbar\talktalkmailtb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80

En cuanto a algunos artculos en el ejemplo anterior podemos ver:

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157

MSN, pgina por defecto principal de IE[/i]


.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896

Bing, Motor de bsqueda principal de IE por defecto


.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons

Una de las caractersticas menos conocidas de Internet Explorer 7 es el modo de la opcion de "No Add Ons" .
Esta pgina se utiliza cuando el modo de No Add Ons est en funcionamiento.
.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =

pgina local est en blanco. Otro ajuste similar es =C:\WINDOWS\System32\blank.htm


.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk

Informa al usuario de no navegar con la configuracin de seguridad actual, ya que pueden ser perjudiciales
para el equipo. Ver aqu para una lista comn sobre: direcciones
.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch =
http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html

Pgina web de Yahoo

BHO relacionados con Yahoo


.
o IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
http://www.aol.co.uk/talktalk
indica la pgina de inicio predeterminada.
.
o IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
http://www.google.com
Google se establece como una pgina de bsqueda principal
.
o IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL =
http://www.google.com/ie
ndica el conjunto de Google.com/ie como un motor de bsqueda predeterminado
.
Proxy /Configuracin settings.
o IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
= 0 indica que el servidor proxy est inhabilitado (ajustar el valor de 'ProxyEnable "igual a" 1 "para el
proxy habilitado o '0 'para inabilitado)
.
o IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" =
*.local
indica que Internet Explorer no va a usar el proxy para todas las direcciones de red interna
.
o IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" =
0.0.0.0:80
No es una IP regular pero 0.0.0.0 significa "cada IP que proporciona el equipo". Escucha en el
loopback (127.0.0.1), as como la direccin de red interna. Muchas aplicaciones de AV crean un
servidor de proxy para filtrar las salidas de correos..
Firefox
========== FireFox ==========
Esta rea muestra los ajustes del navegador Firefox a Internet.

Quote
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015ABCDEFFEDCBA}:6.0.15
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
FF - prefs.js..network.proxy.no_proxies_on: "localhost"
FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}:
c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation
Foundation\DotNetAssistantExtension\ [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program
Files\Java\jre6\lib\deploy\jqs\ff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6365A6E755758}: c:\program files\real\realplayer\browserrecord\firefox\ext [2009/09/06
17:41:17 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Program
Files\Mozilla Firefox\components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Program
Files\Mozilla Firefox\plugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Components: C:\Program
Files\Netscape\Netscape Browser\Components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Plugins: C:\Program
Files\Netscape\Netscape Browser\Plugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]

Tomando algunos elementos en el ejemplo anterior podemos ver:


.
o FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007ABCDEFFEDCBA}:6.0.07
o FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012ABCDEFFEDCBA}:6.0.12
o FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013ABCDEFFEDCBA}:6.0.13
o FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014ABCDEFFEDCBA}:6.0.14
o FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015ABCDEFFEDCBA}:6.0.15

estos estn relacionados con la Consola de Sun Java


.
o FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

es un complemento para inicio rpido de Java


.
o FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1

Asistente de Microsoft .NET Framework para Firefox


.
o FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0

Real Player
.
o FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5502A71474FED}:2.2.0.102

Skype
.
O1 hasta e incluyendo O22 O24
Esta lista es muy similar a un registro de HijackThis y la referencia a HijackThis Tutorial & Guia se
recomienda para artculos 01 a travs de 020 y tambin el tema 024.
O10 Esto requiere una explicacin adicional: a diferencia de HijackThis, OTL eliminar las entradas de
catlogo que se incluyen en la reparacin y a continuacin, reordena la pila de winsock por lo que no
habr un eslabn roto de la cadena LSP, es decir, usted puede utilizar OTL para corregir estos
elementos.
Opciones de Ejecucin de una imagen de archivo O27
Elementos de listas bajo Opciones de ejecucin de archivos de
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Explicacin aqu.
O28 Hooks de ejecucin en shell
HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Estos se cargan cada vez que inicie un programa (mediante el Explorador de Windows o por llamar a la
funcin de ShellExecute(Ex)). Este mdulo de inicio como los otros mdulos DLL de inicio es
notificado del programa que usted inicia y que puede realizar cualquier tarea adicional antes que el
programa en realidad inicie.
O29 proveedores de seguridad
Listas de elementos bajo
HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders

Quote
O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 |
-H-D | M]
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found

Estos son ejemplos de los malos. Tenga mucho cuidado! porque elementos legtimos se muestra aqu
tambin.
O30 Lsa
Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Quote
O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\opnnLbaA.dll) C:\WINDOWS\System32\opnnLbaA.dll File not found

Lo anterior es un ejemplo de una mala.


Nota: Los elementos LSA 32 bits comparados a 64 bits:
O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft
Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)
Para los elementos que se encuentran en la rama de HKLM\System del registro, hay slo un valor, pero
ser interpretado de forma diferente por aplicaciones de 32 bits y aplicaciones de 64 bits. En los
ejemplos anteriores se puede ver que las interpretaciones de 64 bits se ver a los archivos en la carpeta
Sysnative (las carpetas system32 de 64 bits) y las interpretaciones de 32 bits se ver en la carpeta
syswow64 (la carpeta system32 de 32 bits). Si elimina cualquiera de estos elementos afectar a las
operaciones tanto de 32 bits y de 64 bits. Eliminacin de una o de las otras lneas parecidas se elimina
el elemento de la ubicacin del registro nico pero slo se movera el archivo de la lnea seleccionada.
A continuacin si desea quitar ambos archivos para la coincidencia de elementos parecidos como estas,

entonces incluya las dos en la reparacin. Es importante comprender donde estn ubicados los
elementos en el registro para determinar si un elemento de registro nico es ledo por las aplicaciones
de 32 bits y de 64 bits. Lo que usted podra encontrar en una situacin como sta es que el archivo
apuntado por la interpretacin de 32 bits es malo, pero la interpretacin de 64 bits est muy bien (la
mayora de malware slo afecta a aplicaciones de 32 bits debido a que el sistema operativo de 64 bits
no permite cambios en sus archivos). Dado que el valor del registro es compartido por ambos no desea
eliminarlo debido a que podra causar problemas en el sistema.
Ahora tome este ejemplo de los elementos LSA anteriores:
O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft
Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft
Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft
Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)
En este ejemplo se puede ver que se ha comprometido el archivo msv1_0.dll para la interpretacin de
32 bits. Debera ser un archivo de Microsoft, pero en este caso ha sido sustituido por un archivo
desconocido. En esta situacin usted desea eliminar slo el archivo de
C:\Windows\SysWow64\msv1_0.dll pero NO la entrada del Registro. Tambin habra que sustituir el
Msv1_0.dll malo con uno vlido, ya que se requiere para soporte de aplicaciones
O31 Modo Seguro a prueba de fallos
Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\SafeBoot
Archivos de O32 Autorun en las unidades
Acceso a un dispositivo removible infectado, como una thumb drive o unidad flash a travs de "Mi PC"
(al hacer clic en la unidad) har que un autorun.inf se ejecute.
Dependiendo de la ejecucin automtica /configuracin de reproduccin automtica, entonces, el
usuario puede ser engaado en ejecutar un archivo incorrecto, cuando le aparece un dilogo en la
insercin Haciendo clic en un icono en el "usar este programa para ejecutar" un programa no legtimo
agrega al archivo autorun.inf en esa unidad que se puede ejecutar.
Algunos malware agrega archivos autorun.inf en la raz de todas las unidades lgicas.
O33 MountPoints2
Listas de elementos bajo

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
O34 BootExecute
Listas de elementos bajo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager
O35 shell spawning values
En la base de windows en la listas de valores para .com y .exe configuracin del registro (no otras
extensiones).
Elementos de O35 (como cualquier otro elemento en el anlisis de registro) simplemente se pueden
colocar en la seccin de :OTL, de una reparacin, (en los del registro de Extras no puede).
Con la infecion de Win police Pro se ver un nombre de archivo en lugar de la "% 1" % *. Si lo ves,
entonces incluir estas lneas en la reparacin.
Archivos DLL de appcert de O36
Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session
manager\appcertdlls key
Asociaciones de archivos de O37 (para valores comfile y exefile )
Listas de archivo de asociaciones de valores para la configuracin del registro de .com y .exe de la
base de windows.
Las asociaciones de archivos en la base de windows estn ntimamente entrelazadas. Los elementos de
O35 muestran los valores de la base de windows (.com y .exe) y los elementos de O37 muestran las
asociaciones de archivo (.com y .exe).
Puede ver estos valores si se ejecuta el anlisis de registro extra, pero cuando no puede verlos entonces
estos valores pueden estar ocultos. La lnea de O37 le ofrece la capacidad para ver esto incluso cuando
no se ejecuta el anlisis de registro adicional.
El valor de la Asociacin de archivo es un valor predeterminado nico que apuntar al valor de la base
de windows. Es el valor de la base de windows donde se pueden configurar ejecutables adicionales
para ejecutar tipos de archivo especficos a travs de la asociacin. Por ejemplo la Asociacin de
archivos del usuario para los archivos .exe debe estar apuntando a .exe pero el malware puede
cambiarlo para que apunte a una nueva clave de desove que est cargando un "archivo malo". El
archivo debe aparecer en los anlisis de archivo, pero slo mover ese archivo y no fijar el valor de la
Asociacin crear una situacin donde no se pueden ejecutar archivos .exe.
Cuando ponga elementos para eliminacin aqu, OTL establecer a cualquier usuario .com HKLM o
configuracin de asociacin de archivo .exe de vuelta a los valores predeterminados, pero elimina .com
con cualquier usuario o las claves de asociacin de archivos .exe y siempre establece el shell HKLM
desove de configuracin a la normalidad.
Nota: Si la clave de desove est en la rama del usuario del registro, a continuacin, siempre se
eliminar automticamente, pero que necesitar quitar el archivo por separado. El archivo debe
aparecer en los anlisis de archivo y usted puede hacerse cargo de all. Si la clave de desove aparece
con el error de Reg: error de clave y es el malware y, a continuacin, tambin debe incluir una lnea en
la seccin :REG para eliminarlo de la seccin HKLM slo por seguridad.
Ejemplo de la eliminacin de un valor incorrecto de la seccin HKLM.

:reg
[-hkey_local_machine\software\classes\"badfile"]
y tenga cuidado del archivo desde los anlisis de archivo o de la seccin :Files

Ejemplo de comando de anlisis personalizados predefinidos


NetSvcs
Enumera las entradas bajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost - netsvcs
Nota: Microsoft coloca una lista predeterminada de servicios en este valor de regitry durante la
instalacin. No todos los servicios son necesariamente instalados en cada mquina. Las entradas de 'no
se encontr el servicio ' / ' no se encontr el archivo' son comunes.
Prestar especial atencin a las firmas de los archivos que se enumeran en este anlisis.
Quote
NetSvcs: BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology)
NetSvcs: 6to4 - C:\WINDOWS\System32\6to4v32.dll ()
NetSvcs: Ias - Service key not found. File not found
NetSvcs: Iprip - Service key not found. File not found
NetSvcs: Irmon - Service key not found. File not found
NetSvcs: NWCWorkstation - Service key not found. File not found
NetSvcs: Nwsapagent - Service key not found. File not found
NetSvcs: Wmi - Service key not found. File not found
NetSvcs: WmdmPmSp - Service key not found. File not found
NetSvcs: helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft
Corporation)
En el ejemplo anterior vemos:
helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation) Es legtimo
BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology) No es legtimo.
Cuidado! - mientras que esto es malo, no todos los archivos que "no son" de Microsoft no son malos.
Compruebe siempre la autenticidad.
6to4 - C:\WINDOWS\System32\6to4v32.dll () No es legtimo.
Anlisis de archivo
Hay un nmero de opciones que puede elegir para los anlisis de archivo estndar creado, modificado
(estos no se aplican a cualquier anlisis personalizados):
Edad de Archivo - Por defecto, esto es fijado a 30 das (90 das para un examen rpido), pero esto se
puede cambiar a cualquier nmero de rangos predefinidos desde 1 da hasta 360 das (opciones
disponibles son las 1,7,14,30, 60,90,180,360) cuando la opcin Edad de Archivo se elige en el plazo de
los archivos creados o modificados en los archivos escaneados.
o Utilice listas blancas de nombre de empresa reconocidas - fuera de forma predeterminada para
los anlisis estndar y en por defecto para un anlisis rpido. La lista blanca de nombre de

empresa es una lista de alrededor de 150 nombres de empresa que filtrar los archivos que
contienen estos nombres si esta opcin est seleccionada.
o Omitir archivos de Microsoft - desactivado por defecto para los anlisis estndar y en por
defecto para un anlisis rpido. Si, todos los archivos con un nombre de empresa, que
incluyendo Microsoft se filtrarn fuera de la salida.
o Creacin de archivos en /analiza los archivos modificados desde adentro - el archivo estndar.
Estos se pueden desactivar si la opcin ninguno es elegido; utilice la anterior configuracin de
edad de archivo, si la opcin de la edad de archivo es elegida (el predeterminado); y incluye
todos los archivos, si se elige la opcin todos.
o Buscar LOP - desactivado de forma predeterminada para los anlisis estndar y en por defecto
para la deteccin rpida. Este anlisis explora la carpeta de datos de programa de todos los
usuarios y la carpeta de datos del usuario y muestran todos los archivos, y todas las carpetas
presenten no en la lista blanca LOP (una lista de carpetas de alrededor de 160 que han sido
considerado seguro) y todos los archivos en la carpeta de tareas de Windows.
o Buscar Purity - desactivado de forma predeterminada para los anlisis estndar y en por defecto
para la deteccin rpida. Este anlisis busca todas las ubicaciones conocidas en el que la infecion
pureza crea archivos y carpetas y hace un listado de lo que encuentra.
Puede indicar al usuario que defina cualquiera de estas opciones a los valores que se desea lograr
cualquier resultados que ests buscando.
En un registro

========== Archivos o carpetas - creadas dentro de 30 das ==========


Muestra los archivos/carpetas creadas dentro de un perodo seleccionado.
========== Archivos - modificados dentro de 30 das ==========
El perodo predeterminado es de 30 das, pero hay una gama de opciones disponibles ampliar fuera a
360 das de antigedad.
Nota: OTL mostrar el nombre de la compaa del archivo. Slo porque lo dice, por ejemplo, que es de
Microsoft Corporation, no necesariamente es vlido. Malware puede ser escrito con firmas de todo tipo
de diferentes empresas vlidas.
Nota 2: En algunos registros de un archivo se mostrar en los anlisis de archivos creado y modificado
pero tambin decir "Identificador de archivo no visto por sistema operativo". Esto ocurre cuando un
identificador de archivo en el archivo no puede ser proporcionado por el sistema operativo. Se trata de
cmo las propiedades de archivo como nombre de la empresa y se recogen los atributos. El archivo
existe, pero algo est impidiendo abrir un identificador a ella. Esto puede ser un indicador de algn
tipo de actividad de invicible o rootkit. Ms investigacin es necesaria.
Nota 3: Los anlisis de archivos creados, modificados tambin incluyan todos los archivos en la
carpetas de datos, la carpeta archivos de programa y la carpeta archivos de programa comn.
Normalmente no debera haber ningn archivos directamente en estas carpetas. Muchas infecciones
modifican los atributos de la fecha de archivo a algo mucho ms de lo que realmente son ocultar su
presencia de los escneres que busque slo en la fecha de archivo/veces. Esto debe recoger aquellos.
========== Archivos - sin nombre de la empresa ==========
Muestra cualquier .exe, .dll,. ini, etc. archivos de cualquier fecha que no tienen un nombre de empresa.

========== Buscar LOP ==========


La comprobacin de Lop enumera todos los archivos y carpetas en las carpetas de datos, as como los
archivos en WINDOWS\Tasks.
Cualquier ejecucin de O4 desde la carpeta de datos donde los archivos y los nombres de las carpetas
son completamente aleatorios y no tienen sentido es probable que sean LOP.
Un filtro LOP se incluye para filtrar las carpetas de buenas conocidas durante el anlisis LOP
========== Buscar Purity ==========
Verificacin de pureza es un simple anlisis con ninguna salida si no se encuentra. la infeccin de
pureza ha sido bastante coherente a lo largo de los aos y tiene una lista definida de carpetas que se crea
en el conjuntos de ubicaciones. OTL comprueba todas las ubicaciones para todas las carpetas y slo
informes sobre cualquier elementos encontrados.
========== Secuencias de datos alternativas ==========
Alternate Data Streams secuencias de datos alternativos se enumeran.
Cualquier archivo o carpeta encontr que contiene una secuencia de datos alternativa durante cualquier
anlisis (estndar o personalizado) ser colocado en esta lista. Se omiten los ADS de
ZONE.IDENTIFIER, FAVICON y ENCRYPTABLE.
Para quitar un ADS simplemente copiar y pegar la lnea en la seccin :OTL de una reparacin.
========== Archivos - Unicode (todos) ==========
Un ejemplo podra tener este aspecto:
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\N?mesList.txt
Cualquier archivo o carpeta encontr que contienen caracteres durante cualquier anlisis (estndar o
personalizado) ser colocados en esta lista de Unicode. Slo incluye la lnea en la seccin :OTL y OTL
se encargar de ellos, como cualquier otro archivo.
Registro Addicional
========== Registro extra ==========
========== Asociaciones de archivos ==========
Muestra el tipo de archivo y el tipo de exttensiones del archivo que esta asociado junto con la aplicacin
que se utiliza en el comando Abrir (por ejemplo, archivos .txt o archivos .reg)
========== Shell Spawning ==========
Interfaz de listas que genera valores para Todas las extensiones de archivo.
Ejemplo siguiente muestra el resultado de un anlisis que no muestra ninguna infeccin:
Quote

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Micr

>> Referencia rpida de las directivas y comandos disponibles <<


NOTA: Las directivas y comandos no distinguen entre maysculas y minsculas.
:processes
Esta directiva se utiliza para detener los procesos en memoria, ya sea de forma global, o sea, todos, o de forma
individual.
Si usted no incluye el comando [EMPTYTEMP], pero todava quiere detener a todos los procesos antes de
ejecutar una reparacin, entonces puede incluir el comando killallprocesses bajo esta directiva.
Ejemplos de procesos individuales: Es posible que usted desee utilizar esta directiva para detener - TeaTimer,
SpywareGuard u otro programa similar que pueda intervenir con las aciones de OTL.
:OTL
Todas las lneas que aparecen en un registro de OTL, pertinente a un escaneo estndar o de ndole personalizado
de archivos y carpetas, se pueden copiar y pegar bajo la directiva :OTL para reparacin o eliminacin. En
general :OTL quita la entrada y mueve el archivo al mismo tiempo. Si la entrada es un proceso en memoria, sin
embargo, los archivos no se movern y debern ser includos bajo la directiva :FILES.
Los elementos individuales en el archivo HOSTS (lneas O1) slo pueden ser borrados en la seccin de :OTL.
Si desea re-establecer el archivo HOSTS para el valor predeterminado (slo las lneas del localhost 127.0.0.1
y:: 1 localhost ) entonces use el comando [resethosts] bajo la directiva :commands.
Para cualquiera de los elementos del IE, la data de el registro del sistema operacional se borrar - el valor no se
eliminar.
:Services
Los servicios
OTL tratar de detener y deshabilitar todos los servicios que estn activamente funcionando antes de
eliminarlos. Sin embargo, debemos entender que OTL puede tener problemas con archivos que responden a
programas maliciosos, ya que stos pueden estar protegidos. En estos casos es preferible utilizar otra
herramienta para eliminarlos.
Usted tambin puede eliminar controladores bajo esta directiva. Asegrese de utilizar el nombre al cual
responde el controlador, y no la descripcin e stos.
:Reg
Bajo esta directiva usted puede hacer cualquier tipo de reparacin al registro del sistema operacional. Una
caracterstica prctica es que usted no tiene que hacer frente a valores hexadecimales. Para los arreglos
complejos consulte el siguiente ejemplo:
Entrada errnea: -

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0 C:\WINDOWS\system32\byXoMcbC
Para solucionar este problema en un archivo de entradas .reg, necesitara hacer esto:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00
Si no est seguro del valor hexadecimal, usted puede hacer lo siguiente:
Ejemplo de Correccin: :reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):"msv1_0"
OTL se encargar de la conversin al valor hexadecimal.
:Files
Los archivos
Bajo esta directiva se indican los archivos y carpetas que se han identificado de forma individual. No incluya
las lneas del registro de OTL. stas van bajo la directiva :OTL.
Nota: No hay un comando especfico para carpetas. Solo incluya tambin las carpetas bajo esta directiva y
sern eliminadas.
:Commands
Los siguientes comandos deben de estar bajo esta directiva.
[PURITY] - Automticamente elimina las infecciones denominadas como "Purity" del sistema. La infeccin
Purity tiene un cuadro persistente de carpetas y archivos creados con caracteres en un formato especial
denominado como Unicode. Este comando elimina la infeccin sin la necesidad de identificar los archivos y
carpetas de forma individual.
[EMPTYTEMP] - Use este comando para vaciar todas las carpetas que contienen archivos temporales de el
usuario, el sistema y el navegador.
Nota: Si este comando es incluido como parte de una reparacin, todos los procesos sern detenidos
automticamente al principio de la misma, y un reinicio del sistema se requerir al final por lo que no es
necesario incluir explcitamente el proceso Explorer.exe bajo la directiva :PROCESESS o los comandos:
[START EXPLORER] o [REBOOT] bajo la directiva :COMMANDS.
[EMPTYFLASH] - Use este comando para eliminar todos los archivos de texto denominados "Flash Cookies".
Nota: No todas las "Flash Cookies" son malas. Algunas slo contienen la configuracin para sitios especficos
de la web, sin embargo, una vez que no estamos seguros de lo que hace cada una de stas, el comando
eliminar todas las "Flash Cookies", independientemente de su funcin.

[REBOOT] - Use este comando para forzar el reinicio del sistema luego de una reparacin completa.
Nota: Esto no es necesario si el comando KILLALLPROCESSES se utiliza bajo la directiva :PROCESS o si el
comando [EMPTYTEMP] se utiliza bajo la directiva :COMMANDS, porque el sistema reiniciar
automticamente. De ser incluido, estos ltimos se ignorarn.
[RESETHOSTS] - para restaurar el archivo HOSTS a su estado original:
127.0.0.1 localhost
:: 1 localhost
Cuando se ejecuta este comando, el archivo HOSTS que es reemplazado ser movido a una carpeta de apoyo,
"_OTL\MovedFiles", la que est asociada con toda reparacin.
[CREATERESTOREPOINT] - Esto crear un punto de restauracin una vez la reparacin haya finalizado.
[CLEARALLRESTOREPOINTS] - Esto eliminar todos los puntos de restauracin y crear un nuevo punto
de restauracin una vez la reparacin haya finalizado.
Con cualesquiera de estos comandos relacionados con los puntos de restauracin, OTL verificar si los
servicios que se requiere para crear un punto de restauracin estn funcionando y tratara de activarlos si no lo
estn. Si los servicios necesarios no se estn activos y no se pueden iniciar, vers una lnea en la revisin del
registro relacionada con la razn por la cual el proceso no fue efectivo y tendrs que resolver este problema
posteriormente.
Nota: Tambin puede utilizar los dos ltimos comandos en un anlisis. Es importante recordar que si se utiliza
en un anlisis que los parntesis no estn incluidos es decir, si se ejecuta en una exploracin que se vera as: clearallrestorepoints o createrestorepoint
Ponga bien CREATERESTOREPOINT o CLEARALLRESTOREPOINTS en la ventana de anlisis
personalizados/Script de Reparaccin junto con cualquier medida standard o otras exploraciones que se estn
ejecutando (es decir, SAFEBOOTMINIMAL o netsvcs). Los comandos no son sensibles y se puede ejecutar con
cualquier anlisis que usted pueda querer a correr. Una lnea en el archivo de registro le mostrar cul fue el
resultado (ya sea con xito y sin la razn por la que fall).

Switches
Interruptores
Los interruptores son parmetros adicionales que se pueden usar tanto con escaneos personalizados o
correcciones para mejorar lo que sale al final de un resultado de una correcion.
Nota: Si usted incluye un interruptor no vlido, una lnea (Interruptor no vlido :...) simplemente se coloca en
el registro y la exploracin continuar. Si el interruptor est mostrando como no vlido, de hecho, es correcto,
a continuacin, compruebe el nmero de la versin de OTL que se est utilizando.
Modificadores que pueden ser utilizados para realizar una exploracin personalizada:
/C - para ejecutar un comando de DOS de lnea de comandos
Ejemplo:

set /c - para devolver todas las variables de entorno


<nombredelservicio> net stop /c - OTL no iniciara o detenndra los servicios (slo los elimina) para que pueda
usar este interruptor con el comando net para llevar a cabo alguna tarea de gestin de servicios (iniciar, detener,
pausar, continuar)
netstat-r /c - mostrar las tablas de enrutamiento
Cualquier comando que usted necesita para ser utilizado en una lnea de comandos se puede utilizar dentro de
una exploracin personalizada mediante el modificador /C y en el resultado se incluir en el registro. Esto
puede eliminar la necesidad de que el usuario haga y ejecute archivos batch y luego encontrar y publicar los
archivos de salida creados a partir de ellos.
/FP - para ejecutar un archivo/nombre de la carpeta patrn de bsqueda y regresar todos los archivos y carpetas
que se encuentran
Ejemplo:
c:\windows|myfile;true;true;true /FP
Ejemplo:
myfile es el patrn a buscar (volver artculos como c:\windows\myfile.exe c:\windows\123myfile456.dat
c:\windows\notmyfileeither )
carpetas para incluir (tambin se incluyen artculos como c:\windows\system32 helpmyfile.dll,
c:\windows\MSAgent\intl\closetomyfile.ocx)
incluir carpetas hijas (si es verdadero y una carpeta se encuentra que coincida con el patrn de continuacin,
las carpetas inmediata por debajo de ella se mostrarn tambin)
incluir archivos (si los archivos con nombres de verdad que coincidan con el patrn se mostrarn, si falsos
entonces las carpetas slo se mostrarn)
El modificador /FP se utiliza internamente para algunas exploraciones nicos que se requieren durante las
exploraciones estndar y la mayora de los ayudantes probablemente no tendr necesidad de ella, pero que
puede hacer cosas muy interesantes con l as que pens que slo la pondra a disposicin de uso. Elimina la
necesidad de ejecutar dos escaneos separados (uno para las carpetas y otra para los archivos) si tiene que buscar
todos los elementos de ambos.
/MD5 - para incluir los valores de MD5 para todos los archivos
Usted ver esto siendo usado extensivamente en la Gua de Limpieza de Malware para encontrar los archivos
parchados. En este momento hay infecciones que modifican los archivos del OS de una manera que son
difciles de detectar en cualquier otra forma. MD5s son un valor nico matemtico que se puede calcular para
un archivo y determinar el si o no si se a modificado. Aun si un solo byte en un archivo se cambia el MD5
calculado tambin cambiar. Algunos ejemplos de la gua son:
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
Valores de MD5 no se almacenan en archivos, se han calculado sobre la marcha de los archivos. Las
exploraciones del ejemplo de arriba bsqua la unidad de todo el sistema para el archivo especificado y
devolvera todos los archivos que se encuentran con sus valores MD5 calculado. Si el MD5 del fichero en la
carpeta de funcionamiento normal (es decir, system32 o system32\drivers) es diferente de aquel en las carpetas
de copia de seguridad (es decir, la carpeta dllcache o la carpeta i386) entonces el archivo es ms probable que
este "parchado". Si el MD5 vuelve como nada, entonces es casi una garanta de que el archivo ha sido
parcheado y debe ser reemplazado con una copia vlida de uno de los otros lugares usando una herramienta
como Avenger. Usando el valor MD5 puede estar seguro de que el archivo es legtimo.
/MD5START and /MD5STOP - para envolver alrededor de los archivos a buscar.
Ejemplo:
/md5start

eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop
Esto le permite comprobar los archivos que desee, sin la necesidad de incluir todas sus rutas ya que si el anlisis
mira estos interruptores siempre comenzar en la raz de el systemdrive y escaneara todo el disco. Esto hace
que todos los archivos se junten y mirar por cada archivo en su paso por cada carpeta de modo que slo un
pasada de la unidad del disco duro se necesita.
Si hay un nmero de archivos que usted est buscando para comprobar la MD5s entonces usando /md5start
y /md5stop es mucho ms eficiente y produce un registro ms limpio. Si slo hay uno o dos artculos a
continuacin, /md5 sera Suficiente.
Nota: Cada vez que el bloque /md5start /md5stop es usado las bsquedas tambin podran ver cualquier
servicepack. Cab. Si alguno de estos se encuentra, se ver en el interior para el archivo que se busca, y si uno
se encuentra, lo mostrara en la siguiente lista del resultado. si este no es el caso de bsqueda slo se utiliza
/md5..
/LOCKEDFILES - para encontrar archivos bloqueados que MD5 no puede calcular.
La exploracin simplemente coge el archivo y intenta calcular el MD5 y si no puede, reporta el resultado,
saltando todos los archivos de MD5 que no puede obtener.
Nota:Usted Deber proporcionar una ruta/o especificacin del archivo asi como de cualquier otro archivo
escaneado y el interruptor /S, si tambin quiere ir a travs de la sub-carpetas. As que si quera ver que
archivos .dll estn bloqueados slo en la carpeta system32 se debera utilizar:
%systemroot%\system32\*.dll /lockedfiles
Si por alguna razn todos los archivos deben ser verificados (Windows normalmente tendr un nmero de
archivos bloqueados de forma predeterminada y, a menos que exista una razn particular, no es necesario para
verlos todos), entonces slo tiene que aadir el interruptor /all
ejemplo:
%systemroot%\system32\*.dll /lockedfiles /all
/RS - para realizar una bsqueda de Registro para un patrn

Ejemplo:
hklm\software\microsoft\windows\currentversion|somepattern /RS
El modificador /rs buscar y devolvera todas las claves, nombres de los valores, y los datos encontrados para el
patrn incluido. Si un punto de partida no se incluye (por ejemplo, somepattern /rs), entonces se buscar en las
siguientes reas:
hklm\software\classes
hklm\software\microsoft
hklm\software\policies
hklm\system\currentcontrolset
hkcu\software\classes
hkcu\software\microsoft
hkcu\software\policies
Siempre es preferible especificar un punto de partida para la bsqueda.
/RP - para buscar todo tipo de puntos de reanlisis
Ejemplo: c:\windows\*.* /RP or c:\windows\*. /RP
or
Ejemplo: c:\windows\*. /RP /s
Uso de este parmetro se mostrarn todos los puntos de anlisis (como los utilizados por la actual infeccin de
max++) y los resultados pueden ser simplemente colocados en la seccin de :OTL para reparacin que deben
eliminarse. Con /s se incluye a travs de todas las subcarpetas.
/HL - para buscar slo los enlaces duros
Ejemplo:
c:\windows\*.* /HL or c:\windows\*. /HL
/JN - para buscar slo uniones
Ejemplo:
c:\windows\*.* /JN or c:\windows\*. /JN
/MP - para buscar slo los puntos de montaje
Ejemplo:
c:\windows\*.* /MP or c:\windows\*. /MP
Al momento de escribir un anlisis muy til que puedes agregar a su anlisis personalizados sera:
%systemroot%\*. /mp /s
Esto podra encontrar todos los puntos de montajes de la infecion actual con su exploracin inicial de max++ en
un sistema (o una exploracin posterior) y se poda eliminar con su reparacin inicial.
/SL - slo para buscar enlaces simblicos

Ejemplo:
c:\windows\*.* /SL or c:\windows\*. /SL
/SP - para realizar una bsqueda similar de cadena desde adentro de archivos
Ejemplo:
c:\windows\*.*|somepattern /SP
Tiempo atras este comando WinPFind, se utilizaba muy a menudo para encontrar firmas de malware en los
archivos. No se utiliza a menudo hoy, pero todava est disponible.
/S - para incluir subcarpetas en una bsqueda de archivos o claves de sub-registro
Ejemplo:
c:\windows\*.dat /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI /S
Este cdigo tambin se utiliza a menudo en conjunto con los cdigos MD5 / o / U para incluir subcarpetas en
una bsqueda de archivos.
/U - para incluir slo los archivos Unicode en una bsqueda
Ejemplo:
c:\windows\*.* /U
Los archivos y carpetas con los valores Unicode en sus nombres frecuentemente se ven como elementos
legtimos en el Explorador. Durante las exploraciones estndar, OTL colocar automticamente todos los
archivos o carpetas que se encuentran con valores de Unicode en la seccin de un registro Unicode y estos
pueden ser reparados tan fcilmente como cualquier otro archivo o carpeta con slo colocar las lneas en la
seccin :OTL en la ventana de reparacin . Usando muchas exploracines, los nombres de estos archivos o
carpetas no se interpreten adecuadamente y se mostrar con un signo de interrogacin: ? donde los caracteres
Unicode son lo que hace imposible determinar qu quitar. OTL se encarga de eso para usted. El uso del
modificador /U en una exploracin personalizada devolver slo los archivos y carpetas encontrados que
contienen caracteres Unicode en sus nombres.
Un ejemplo de un resultado es:
< c:\*.* /U >
========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\NamesList.txt
/X - para excluir archivos de una bsqueda
Ejemplo:
c:\windows\*.exe /X
Esto excluir todos los archivos .Exe y mostrara todo lo dems.
/64 - especficamente para bscar en carpetas 64bit o claves del Registro en sistemas operativos de 64 bits
Ejemplo:
c:\windows\system32\*.dat /64
hklm\software\microsoft\windows\currentversion\run /64
Debido a que OTL es una aplicacin de 32 bits, si el interruptor /64 no se utiliza cuando se escanea en un SO de
64 bits, el sistema operativo pasar automticamente la exploracin a las reas de 32-bit del sistema de archivos
o el registro en su caso. Este interruptor se anula tal comportamiento por defecto y forza la exploracin de las
reas de 64-bit cuando sea necesario.

/<some number> - para incluir slo los archivos o carpetas con una cierta cantidad de das de edad
Ejemplo:
c:\windows\system32\*.* /3
Mirando el ejemplo de arriba, esta exploracin slo devolver los archivos creados en los ltimos 3 das.

Commands/Switches
Comandos/Interrumptores que se pueden usar en la secion de :FILES al realizar una reparacin:

[override] and [stopoverride] - para anular la lista interna de archivos o carpetas que no son mvibles
Ejemplo:
:FILES
[override]
c:\windows\system32\userinit.exe
[stopoverride]
OTL incluye una lista de alrededor de 100 archivos y carpetas que no se pueden mover de forma
predeterminada. Esto es para evitar mover inadvertidamente archivos o carpetas principales del sistema
operativo que podran hacer que un sistema no inicie o o lo haga inutilizable. Esta caracterstica puede ser
anulada mediante estos comandos, pero tenga mucho cuidado al incluirlos. Un comando [stopoverride] siempre
debe incluirse lo antes posible, siempre que el comando de [reemplazar] se utiliza para evitar que se mueva por
error un archivo interno requerido del sistema.
/<some number> - al igual que en anlisis personalizados, este parmetro agregara todos los archivos similares
que coinciden y tambin limita los movimientos a los archivos o carpetas que se han creado dentro del nmero
especificado de das.
Ejemplo:
:FILES
c:\windows\system32\*.dll /2
Esto mover todos los archivos .dll en la carpeta system32 que se han creado dentro de 2 das. Puede ser muy
til pero tambin puede ser peligroso. Aqu tenga cuidado con el uso de este modificador.
/64 - para acceder a los lugares especficos de la carpeta 64-bit en lugar de las ubicacion por defecto de 32 bits
en sistemas operativos de 64 bits y si el archivo se encuentra moverla de all.
Ejemplo:
:FILES
c:\windows\system32\badfile.exe /64
Esto har que OTL busque en la carpeta de 64-bit system32 en lugar de en el de 32-bit system32.
@ - Para eliminar secuencias de datos alternos.
Ejemplo:
:FILES
@c:\windows\system32:somedatastream
Normalmente no se necesita usar esto en OTL en el caso que una exploracin se aya realizada con OTL, porque
todos los archivos con ADSs se enumeran en la seccin Alternate Data Streams del registro y usted puede
simplemente copiar y pegar las lneas en la seccin :OTL en la reparacin. Si una exploracin se realiz con
otra herramienta que no permite soluciones o no puede quitar ADSs entonces usted puede reparar los archivos
con este comando en la seccin :Files.
/C - para ejecutar un comando de DOS en lnea de comandos
Es poco probable que este parmetro se utiliza a menudo. Otros interruptores / comandos cubren la mayora de

estas cosas ... por ejemplo, para copiar un archivo que normalmente se utiliza el parmetro /replace en vez de
un comando de DOS. Sin embargo puede haber ocasiones en que sera til. Por ejemplo, es posible que desee
detener un servicio temporal (en vez de eliminarlo - con el comando :Services para facilitarlo) en cuyo caso se
puede utilizar un comando de DOS.
Ejemplo:
:files
net stop <service> /c
<do something here>
net start <service> /c
/D - para eliminar el archivo en lugar de moverlo
Ejemplo:
:Files
% programfiles%\*. dll /D
Esto eliminar todos los archivos que se ajusten a la especificacin en lugar de moverlos. Un lugar comn el
uso de esto es con los archivos .tmp pero se puede utilizar con cualquier archivo o mover carpetas. Ten
cuidado!
/E - Para extraer un determinado archivo de un archivo .cab archivo.
Ejemplo:
:FILES
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E
Siempre ser extrado a la raz de la unidad del sistema, no hay ninguna opcin para extraerlo en cualquier otro
lugar. De all, usted puede utilizar el parmetro /replace para reemplazar el archivo actual activo con el archivo
extrado. Esto siempre ser un proceso de dos pasos porque el archivo activo, no podra ser sustituido de
inmediato y en ese caso un reinicio del systema se requiere y el paso /replace se har cargo de ello.
El proceso completo que permite extraer un archivo y reemplazar el archivo actual activo en la carpeta de los
conductores seran algo como:
Ejemplo:
:files
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /e
C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace
Nota: Asegrese siempre de poner el paso de extraccin antes del paso de sustitucin o no funcionar!.
/lsp - Para eliminar un archivo desde LSP.
Ejemplo:
:Files
helper32.dll /lsp
winhelper86.dll /lsp
Para cada lnea, OTL pasar a travs de toda la pila, quite todas las entradas que incluyen ese archivo, y si se
quitan seria reconstruida la pila.
/replace
<original file>|<new file> /replace
Ejemplo:
:files
C:\WINDOWS\System32\drivers\atapi.sys|c:\atapi.sys /replace

<original file>|<new file> /replace


Si el archivo no puede ser sustituido de inmediato (que podra estar en uso) a continuacin, tendr reiniciar el
sistema para terminar el movimiento.
Los archivos originales y los nuevos no necesitan tener el mismo nombre o incluso ser del mismo tipo.
Nota: Cuidado que esto funciona de manera diferente a FCopy:: en la herramienta de ComboFix es decir, en el
nuevo archivo viene al final - al revs de ComboFix.
Nota 2: Si usted est tratando de mover un archivo desde un archivo cab que tendr que ser extrado antes de
reemplazar el archivo malo - ver /E anterior.
/S - para recurrir a sub-carpetas y eliminar todos los archivos encontrados conforme a la especificacin
Ejemplo:
:FILES
c:\windows\*.dat /S
Esto eliminar todos .dat en la carpeta c:\windows y todas las subcarpetas
/U - para mover slo los archivos o carpetas con caracteres Unicode en sus nombres
Ejemplo:
:FILES
c:\windows\?ystem32 /U
%commonprogramfiles%\s?stem /U
c:\windows\expl?rer.exe /U /S
Cada uno de estos comandos slo mover el archivo o la carpeta que contiene caracteres Unicode en la posicin
de la? y no tocar ningn archivo legtimo o carpetas con un nombre coincidente con el patrn. Normalmente
aparecern los archivos o carpetas como este con la infeccin Purity (donde puede simplemente usar el
comando [purity] en la seccin de :commands), pero podra haber otros archivos o carpetas que requieren este
tipo de movimiento tambin.
Cualquiera de estos interruptores se pueden mezclar y combinar para satisfacer las necesidades especficas de la
situacin.

CleanUp
Use el boton de Limpiar en OTL para remover las herramientas o reportes despues que ya no se necesitan. Esto
es preferible descargar OTC cuando ninguna herramienta de Old Timer esta presente en su maquina.
Esta es al lista de herramientas que se borraran de su computadora si se encuentran presente:
!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe

Avenger
avenger.exe
avenger.txt
avenger.zip
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckscanner
cleanup.txt
ComboFix
ComboFix*.txt
combofix.exe
combo-fix.exe
Combo-Fix.sys
dds.com
dds.pif
dds.scr
Deckard
defogger
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdnt\subs
exehelper
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
fsbl*.log
fsbl.exe
gmer
gmer.dll
gmer.exe
gmer.ini
gmer.log
gmer.sys
gmer_uninstall.cmd
grep.exe
haxfix.exe
haxfix.txt
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
moveex.exe
nircmd.exe
NoLop.exe
NoLop.txt
NoLopOLD.txt

OTH.exe
OTL.exe
OTL.txt
OTListIt.txt
OTListIt2.exe
OTLPE
OTM.exe
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.exe
OTS.txt
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.exe
OTViewIt.txt
QooBox
rapport.txt
Rooter$
Rooter.exe
Rooter.txt
RSIT
RSIT.exe
Runscanner
Runscanner.exe
Runscanner.net
Runscanner.zip
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
systemlook
TDSSKiller
TDSSKiller.zip
TDSSKiller.exe
TDSSKiller*.txt
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.exe
vundofix.txt
vundofix.vft
win32delfkil.exe
windelf.txt

WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
zip.exe
Este tutorial fue modificado por ltima vez 12 de agosto de 2010 (hora de Nueva Zelanda en la fecha)

7.- [IMG] Descargar Control de seguridad desde aqu o aqu y gurdelo en su escritorio.
Haga doble clic en SecurityCheck.exe
Siga las instrucciones en pantalla en el interior de la caja de negro.
Un documento de Bloc de notas debe abrir llamada automticamente checkup.txt; por favor
enviar el contenido de ese documento.
NOTA 1. Si una de las aplicaciones de seguridad (por ejemplo, firewall de terceros) solicita
permiso para que DIG.EXE acceder a Internet, deje que lo haga.
NOTA 2 SecurityCheck puede producir alguna falsa alarma (s), por lo que salir de los resultados
de lectura para m.

8.- [IMG] Descargue Farbar Servicio Scanner (SFS) y ejecutarlo en el equipo con el
problema.
Asegrese de que las siguientes opciones se comprueban:
Servicios de internet
Firewall de Windows
Restauracin del sistema
Centro de Seguridad
Actualizacin de Windows
Windows Defender
Otros servicios
Pulse el botn "Scan".
Se va a crear un registro (FSS.txt) en el mismo directorio de la herramienta se ejecuta.
Por favor, copie y pegue el registro de su respuesta.

9.- [IMG] Cleaner Descargar archivo temporal (TFC)


Descarga alternativo: http://www.itxassociates.com/OT-Tools/TFC.exe
Doble click en TFC.exe para ejecutar el programa.
Haga clic en el botn Iniciar para comenzar el proceso de limpieza.
TFC cerrar todos los programas en ejecucin, y se le puede pedir que reinicie el ordenador.
10.- [IMG] Por favor, realizar un anlisis en lnea gratis con ESET Online Scanner
Desactive el programa antivirus
Haga clic en el botn "Ejecutar ESET Online Scanner".
Marque la casilla junto a S, acepto las condiciones de uso
Haga clic en Inicio
Acepte las advertencias de seguridad de su navegador.
Revise los archivos de escaneo
Haga clic en Inicio
ESET entonces descargar actualizaciones de s mismo, instalarse y comenzar a escanear su
ordenador. Por favor sea paciente ya que esto puede tomar algo de tiempo.
Cuando el anlisis se completa, haga clic en Lista de amenazas encontradas
Haga clic en Exportar a un archivo de texto y guarde el archivo en el escritorio usando un
nombre nico, como ESETScan. Incluir el contenido de este informe en su prxima respuesta.
NOTA. Si Eset no encontrar ninguna amenaza, no va a producir ningn registro.

11.- [IMG] Actualizacin de Firefox a la versin actual 29.0.1.

[IMG] Actualizacin de Adobe Flash Player: http://get.adobe.com/flashplayer/


Asegrese de que ONU-comprobar S, instalar McAfee Security Scan Plus
NOTA 1: A partir de la Versin de Adobe Flash 11.3, el instalador universal incluye las versiones
de 32 bits y 64 bits de Flash Player.
NOTA 2: Durante la instalacin asegrese de que ONU-comprueba cualquier basura extra que
quiere instalar al lado.
============================================
12.- El ordenador est limpio [IMG]
1. Este paso eliminar todas las herramientas de limpieza que utilizamos, que va a restablecer
los puntos de restauracin (por lo que no se consigue a infectarse mediante accidentalmente
algo mayor punto de restauracin) y que va a hacer algunos otros ajustes menores ...
Este es un paso muy importante as que asegrese de no evitarlo.
Descargar [IMG] DelFix por Xplode a su escritorio. Delfix eliminar todas las herramientas y
los archivos de registro utilizadas.
Haga doble clic en Delfix.exe para iniciar la herramienta.
Asegrese de que los siguientes artculos se comprueban:
Activar UAC (opcional; algunos usuarios prefieren mantenerse en forma)
Retire las herramientas de desinfeccin
Crear copia de seguridad del registro
Restaurar sistema purga
Restablecer la configuracin del sistema
Ahora haga clic en "Ejecutar" y esperar pacientemente.
Una vez terminado un archivo de registro se crear. Usted no tiene que adjuntar a su prxima
respuesta.
2. Hacer Actualizaciones que las ventanas estn en curso.
3. Si alguna troyanos, rootkits o bootkits figuraban entre su infeccin (s), asegrese de que, de
cambiar todas sus contraseas importantes en lnea (cuenta (s) bancaria, sitios web asegurados,
etc.) de inmediato!
4. Compruebe si tus plugins del navegador estn al da.
Firefox - https://www.mozilla.org/en-US/plugincheck/
otros navegadores: https://browsercheck.qualys.com/ (haga clic en "Iniciar un anlisis rpido
ahora" link)
5. Descargue e instale WOT (Web of Trust): http://www.mywot.com/. Esto te advierto (en la
mayora de los casos) sobre sitios web peligrosos.
6. Ejecutar Malwarebytes "exploracin rpida" de vez en cuando para asegurar la seguridad de
su equipo.
7. Ejecutar limpiador de archivos temporales (TFC), Herramienta AdwCleaner y junkware
Remocin (JRT) semanal (es necesario volver a descargar estas herramientas desde que fueron
eliminados por DelFix).
8. Descargar e instalar Secunia Personal Software Inspector (PSI):
http://secunia.com/vulnerability_scanning/personal/. El Secunia PSI es una herramienta de
seguridad gratuita diseada para detectar programas vulnerables y fuera de fecha y plug-ins
que exponen su PC a los ataques. Ejecutarlo semanal.

9. (Opcional) Si desea guardar todos sus programas al da, descargue e instale FileHippo Update
Checker.
El verificador de actualizacin explorar su computadora para el software instalado, compruebe
las versiones y luego enviar esta informacin a FileHippo.com para ver si hay nuevas versiones.
10. Al instalar \ actualizar cualquier programa, asegrese de que siempre selecciona la
instalacin "personalizada", por lo que puede ONU-comprobar cualquier posible "drive-by-install"
(foistware), como barras de herramientas, etc., que pueden tratar de instalar junto con el
programa legtimo. NO haga clic en el botn "Siguiente" sin mirar a una determinada pgina.
11. Leer:
Cmo fue que se infectan ?, con medidas para que no vuelva a ocurrir !:
http://www.bleepingcomputer.com/forums/topic2520.html
Formas sencillas y fciles de mantener su computadora segura y segura en Internet:
http://www.bleepingcomputer.com/tutorials/keep-your-computer-safe-online/
Sobre esas barras de herramientas y complementos - Programas Potencialmente no deseados
(PUP) que cambian la configuracin del navegador:
http://www.bleepingcomputer.com/for...curity-questions-best-practices/#entry3187642
12. Por favor, hgamelo saber, cmo su equipo est haciendo.