Академический Документы
Профессиональный Документы
Культура Документы
1 de 10
PGINA INICIAL
R7 TV
NOTCIAS
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
ENTRETENIMENTO
ESPORTES
VDEOS
REDE RECORD
R7 PLAY
SERVIOS
Fruns
Site do Hardware
swampedman
Prxima >
Fevereiro 5, 2012
Introduo
Assim como qualquer ferramenta script to prepare, pertinente lembrar que com o OTM o cuidado e a cautela so seus melhores amigos. Nunca
utilize scripts em PCs alheios se ainda no domina inteiramente a ferramenta.
Trata-se de um aplicativo pequeno, muito poderoso e eficaz contra inmeros tipos de malwares.
Download:
http://www.itxassociates.com/OT-Tools/OTM.exe
http://oldtimer.geekstogo.com/OTM.exe
Ao executar a ferramenta (no Windows 7 e Vista como administrador), voc ter a seguinte tela.
Como pode perceber, no h configuraes avanadas ou opes a serem marcadas. Apenas o necessrio, que j o suficiente.
Esta ferramenta no gera logs como as demais. A partir do log do OTL, RSIT, DDS e at mesmo do HijackThis (no recomendado nesta ocasio),
voc pode desenvolver o script para remover uma infeco presente nele. Contudo, recomendo que voc baseie-se no log gerado pelo OTL, alis,
recomendao do prprio desenvolvedor.
Como Mexer
Seu uso mais simples que tirar doce de criana (que em tese no to simples assim
).
08/09/2016 17:40
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
este boto remove o diretrio criado pelo OTM e tambm exclui outras dezenas de ferramentas (no s as do Old Timer);
obviamente este boto fecha o programa;
Viu, no to difcil entender como funciona a ferramenta, uma vez que so poucas opes.
Comandos do Script
Tendo por mim que voc j saiba analisar um log do OTL (especialmente), e no queira (ou no tenha tido sucesso) em remover os malwares
pelo script do prprio OTL, eis aqui a nica linha de comando do OTM.
rocesses
Esta sintaxe finaliza processos rodando na memria (gerenciador de tarefas) em tempo real. Este comando no remove o processo, apenas
finaliza-o. Portanto, voc pode finalizar processos legtimos -- se for indubitavelmente necessrio.
:Files
Esta sintaxe remove arquivos e pastas maliciosas (isso mesmo, pastas tambm, pois no existe o comando :Folder nas ferramentas do Old
Timer).
:Reg
Esta sintaxe remove chaves e valores infectados do Registro do Windows.
:Services
Esta sintaxe remove servios e drivers maliciosos do sistema.
:Commands
Esta sintaxe executa tarefas especiais no final do script. Exemplo: limpeza dos arquivos temporrios, criao/remoo de pontos de restaurao,
reinicializao do computador, e etc. No obrigatrio o uso deste comando, no entanto, aconselhvel por "N" motivos.
Diretrio do OTM
Aps rodar o OTM, ele cria uma pasta na raiz do disco rgido (geralmente C:\) com o nome C:\_OTMoveIt\MovedFiles\arquivos ou pastas
removidos.
Preparando o Script
Pessoal, eu fiz este tutorial baseado no fato de que vocs j saibam realmente analisar um log, e tenham conhecimento em identificar e remover
arquivos, tanto do Registro quanto de pastas. Se algum aqui no est acostumado a analisar logs e remover entradas, altamente
recomendvel que voc treine bastante em uma mquina virtual.
Adendos Importantes!
1 - Nunca se esquea dos dois pontos (":") no comeo de todos os comandos.
2 - Os comandos so parcialmente sensitives, ou seja, :Files no igual a :File. Porm, no h diferena entre usar maisculas ou minsculas.
Exemplo: :FILES, :Files, e :files. Qualquer um pode ser usado.
3 - Sempre revise o script antes de execut-lo para evitar erros nas sintaxes e, principalmente, uma remoo errnea e/ou acidental.
4 - O caminho dos arquivos maliciosos devem ser colados sempre em baixo dos comandos. Nunca antes ou do lado.
Mos obra...
Rodando o Script
Comando
rocesses
Com este comando voc pode matar algum processo que possa atrapalhar a remoo do malware, ou sua prpria remoo mesmo. Geralmente,
finalizamos o Explorer.exe pois ele a "matriz" do sistema. Exemplo:
2 de 10
08/09/2016 17:40
3 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
rocesses
explorer.exe
processomalicioso.exe
Lembrando que o processo no ser removido, a menos que voc insira seu caminho no comando :Files.
Comando :Files
Identificou um arquivo ou diretrio malicioso no log? O comando :Files dever ser utilizado. Exemplo:
:Files
C:\WINDOWS\system32\malware.exe
C:\Program Files (x86)\Ask Toolbar
Comando :Reg
Se identificou alguma chave ou valor malicioso ou invlida no Registro, utilize o comando :Reg. Exemplo:
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CHAVE MALICIOSA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware"=[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
"{VALOR MALICIOSO}"=[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:0
OBS: S faa um script com o :Reg se voc familiarizado com .REG sintaxes, isto , saiba perfeitamente remover uma chave ou valor (como
exemplificados acima). Observe o sinal de travesso ("-") presente nas 3 primeiras entradas do exemplo. Dei uma breve explicao disso no
tutorial do ComboFix.
Comando :Services
Caso reconhea algum servio ou driver malicioso presente no log, use a tag :Services para remov-lo. Exemplo:
:Services
serviomalicioso
servioinvlido
Veja que no :Services no se pode colocar o caminho completo do arquivo. Apenas o nome principal dele. Entretanto, seu arquivo principal deve
ser removido tambm no comando :Files. Exemplo:
:Services
serviomalicioso
servioinvlido
:Files
C:\WINDOWS\system32\drivers\arquivoserviomalicioso.sys
Se voc no adicionar o :Files com o caminho completo para o arquivo responsvel pelo servio, no adiantar de nada. Por isso, mantenha-se
atento!
Comando :Commands
Para executar tarefas especiais no trmino do script, basta usufruir da tag :Commands. Nesta tag, voc pode acrescentar os seguintes
parmetros.
[start explorer] => reinicia o Explorer.exe quando ele for finalizado no comando
rocesses
[emptytemp] => limpa arquivos temporrios
[emptyflash] => apaga os flash cookies
[purity] => use este parmetro com moderao, somente quando estiver lidando com um PurityScan
[createrestorepoint] => cria um ponto de restaurao
[clearallrestorepoints] => deleta todos os pontos de restaurao e, em seguida, cria um novo ponto
[Reboot] => reinicia o computador aps a execuo do script (recomendvel para infeces mais chatas de eliminar)
[resethosts] => reseta o arquivo HOSTS do Windows
[emptyjava] => limpa por completo o cach do java
08/09/2016 17:40
4 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
Exemplo:
rocesses
explorer.exe
:Files
C:\WINDOWS\malware.exe
:Commands
[start explorer]
[emptytemp]
[Reboot]
Parmetros Especiais
Os parmetros especiais, ou switches, so sequncias que podem ser executados junto aos comandos. Darei os exemplos de alguns switches
mais conhecidos, mas, s utilize-os se for realmente necessrio. Normalmente indicado para usurios mais avanados.
/d => este switch exclui arquivos permanentemente. Ou seja, deletar um arquivo usando este swicth, o usurio dificilmente conseguir
recuper-lo (mesmo com softwares profissionais de recuperao).
/s => este switch executa uma tarefa para uma pasta especfica e todas as subpastas. Resumindo: se voc quer deletar um arquivo .tmp de uma
pasta e de todas as subpastas da mesma, basta colocar o caminho da pasta + switch /S. No aconselho muito o uso deste switch.
/u => este switch lida com Unicode. Serve para o caso de estar lidando com um PurityScan.
Exemplificando a utilizao dos switches.
:Files
C:\WINDOWS\*.tmp /s
C:\WINDOWS\system32\malware.exe /d
C:\WINDOWS\System32\a?rquivo.exe /u
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"arquivo"=-
Combinaes Curingas
Tenho certeza que muitos de vocs j viram combinaes curingas em algum script. Veja os exemplos.
C:\Pasta\*.txt => remove todos os arquivos com a extenso .txt do diretrio C:\Pasta. Em vez de colocar txt por txt, use o curinga asterisco ("*")
antes do ponto para remov-los simultaneamente.
C:\Pasta\*.* => remove todos os arquivos da pasta em questo. S utilize esta combinao se tiver certeza absoluta de que a pasta contenha
somente ficheiros maliciosos. Todavia, voc pode simplesmente excluir a pasta.
C:\Pasta\*.txt /s => remove todos os .txt do diretrio C:\Pasta e de suas subpastas tambm. Cuidado com esta combinao.
C asta\*.txt /5 /s => remove todos os .txt da pasta em questo e de suas subpastas modificados nos ltimos 5 dias. Voc pode mudar o
nmero de acordo com os dias da modificao do arquivo.
Finalizando
Espero que tenham entendido, caros amigos. Quaisquer dvidas no hesitem em perguntar aqui no tpico.
E, frisando mais uma vez, treinem bastante numa mquina virtual antes de executarem um script. Embora seja bsico e fcil, necessrio que
voc tenha pleno conhecimento em anlise de logs, especialmente do OTL, para saber o que deve ou no ser removido.
Espero que gostem do tutorial!
Um grande abrao e tima semana a todos vocs!
Swampedman
_vEgEtA_
Fevereiro 5, 2012
Ficou muito bom o seu tutorial, swampedman. Muito obrigado, com certeza ser muito til todos deste frum.
08/09/2016 17:40
5 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
Fevereiro 5, 2012
Fevereiro 5, 2012
YTSCMD disse:
Fevereiro 5, 2012
rodrigomoraes disse:
Ficou muito bom o seu tutorial, swampedman. Muito obrigado, com certeza ser muito til todos deste frum.
Apenas uma sugesto.:
Seria interessante, incluir no tutorial, o comando [emptyjava], e explicar como funciona...
Abrao
YTSCMD disse:
Fevereiro 5, 2012
O que sinto muito falta nessas ferramentas do Old Timer aquele recurso que existe no HijackThis o " Igonrelist ".
Seria muito til se tivesse j que bastaria ao usurio rodar a ferramenta para saber quais as entradas so novas ou recentes sendo mais fcil
localizar uma infeco recente.
Isto como ferramenta de avaliao permanente.
Muito melhor este tipo de exame, mais preciso, mais confivel do que a execuo de um scan de um antivrus qualquer.
Porque o Old Timer no pensou nisso quando criou essas ferramentas ?
Wings
Fevereiro 5, 2012
Henrique - RJ disse:
O que sinto muito falta nessas ferramentas do Old Timer aquele recurso que existe no HijackThis o " Igonrelist ".
Seria muito til se tivesse j que bastaria ao usurio rodar a ferramenta para saber quais as entradas so novas ou recentes sendo mais fcil localizar uma infeco recente.
Isto como ferramenta de avaliao permanente.
08/09/2016 17:40
6 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
Muito melhor este tipo de exame, mais preciso, mais confivel do que a execuo de um scan de um antivrus qualquer.
Porque o Old Timer no pensou nisso quando criou essas ferramentas ?
Fevereiro 5, 2012
Wings disse:
No me referi ao site www.hijackthis.de/en e sim ao recurso que existe na ferramenta HijackThis chamado " Ignorelist ".
Quando voc coloca as entradas na seo " Ignorelist " elas no aparecem mais na principal janela do HijackThis ao fazer o scan.
Entendeu Wings ?
esse " Ignorelist " que sinto falta nas ferramentas do Old Timer.
swampedman
Fevereiro 5, 2012
Henrique - RJ disse:
No me referi ao site www.hijackthis.de/en e sim ao recurso que existe na ferramenta HijackThis chamado " Ignorelist ".
Quando voc coloca as entradas na seo " Ignorelist " elas no aparecem mais na principal janela do HijackThis ao fazer o scan.
Entendeu Wings ?
esse " Ignorelist " que sinto falta nas ferramentas do Old Timer.
Ol Henrique
Realmente, que eu saiba, no existe este recurso nas ferramentas do Old Timer.
08/09/2016 17:40
7 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
Contudo, no sei j ouviu falar, mas existe uma ferramenta magnfica chamada AnotB. A mesma compara o log anterior com o log atual e exibe
no resultado quais entradas existiam no log anterior que no existem mais no atual.
Sei que no a mesma coisa que o IgnoreList do HijackThis, porm, acredito que seja uma mo na roda para quem se aventura em anlise de
logs. Alis, todos os analistas que eu conheo utilizam tal "acessrio" para facilitar a tarefa. Os exames do OTL e OTS so demasiadamente
extensos, e ver se as entradas persistem no log todas as vezes que tentamos remov-las pode ser um trabalho rduo. O AnotB pode auxiliar-nos
significativamente!
No confunda com anlise automatizada, como faz o site hijackthis.de que pessoalmente, considero-o totalmente inseguro e genrico
inclusive, o prprio Merijn Bellekom (autor original do HijackThis) no recomenda tal anlise. Vide palavras do mesmo no Wilders Security
Forum...
O AnotB no analisa o log para o usurio. Apenas mostra o que havia antes, e no h mais (ou h ainda). O aplicativo compara o log de qualquer
ferramenta, e apresenta as diferenas entre ambos.
Se lhe interessar, eis o link para download:
http://downloads.malwareremoval.com/ANOTB/ANOTB.exe
Abraos
_vEgEtA_
Fevereiro 5, 2012
swampedman disse:
Ol Henrique
Realmente, que eu saiba, no existe este recurso nas ferramentas do Old Timer.
Contudo, no sei j ouviu falar, mas existe uma ferramenta magnfica chamada AnotB. A mesma compara o log anterior com o log atual e exibe no resultado quais entradas
existiam no log anterior que no existem mais no atual.
Sei que no a mesma coisa que o IgnoreList do HijackThis, porm, acredito que seja uma mo na roda para quem se aventura em anlise de logs. Alis, todos os analistas
que eu conheo utilizam tal "acessrio" para facilitar a tarefa. Os exames do OTL e OTS so demasiadamente extensos, e ver se as entradas persistem no log todas as vezes
que tentamos remov-las pode ser um trabalho rduo. O AnotB pode auxiliar-nos significativamente!
No confunda com anlise automatizada, como faz o site hijackthis.de que pessoalmente, considero-o totalmente inseguro e genrico inclusive, o prprio Merijn
Bellekom (autor original do HijackThis) no recomenda tal anlise. Vide palavras do mesmo no Wilders Security Forum...
O AnotB no analisa o log para o usurio. Apenas mostra o que havia antes, e no h mais (ou h ainda). O aplicativo compara o log de qualquer ferramenta, e apresenta as
diferenas entre ambos.
Se lhe interessar, eis o link para download:
http://downloads.malwareremoval.com/ANOTB/ANOTB.exe
Abraos
Excelente dica! este pacote no existe para Linux, n? A maior parte do tempo fico nele....
Abraos
swampedman
Fevereiro 5, 2012
rodrigomoraes disse:
Excelente dica! este pacote no existe para Linux, n? A maior parte do tempo fico nele....
Abraos
Fevereiro 5, 2012
swampedman disse:
Ol Henrique
Realmente, que eu saiba, no existe este recurso nas ferramentas do Old Timer.
Contudo, no sei j ouviu falar, mas existe uma ferramenta magnfica chamada AnotB. A mesma compara o log anterior com o log atual e exibe no resultado quais entradas
08/09/2016 17:40
8 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
Fevereiro 5, 2012
Fevereiro 6, 2012
Henrique - RJ disse:
Henrique
Acredito que no haja motivos para preocupao. A ferramenta pode ter usado o svchost.exe para procurar por possveis atualizaes. O AnotB
foi desenvolvido por especialistas na rea de segurana.
Mas, de qualquer maneira, submeti o arquivo ao VirusTotal para sanar suspeitas de que o mesmo possua cdigos malficos.
Resultado: https://www.virustotal.com/file/13c...957d9b0475d5355a900a6072/analysis/1328548086/
Abraos
Henrique - RJ
Fevereiro 6, 2012
swampedman disse:
Henrique
Acredito que no haja motivos para preocupao. A ferramenta pode ter usado o svchost.exe para procurar por possveis atualizaes. O AnotB foi desenvolvido por
especialistas na rea de segurana.
Mas, de qualquer maneira, submeti o arquivo ao VirusTotal para sanar suspeitas de que o mesmo possua cdigos malficos.
Resultado: https://www.virustotal.com/file/13c...957d9b0475d5355a900a6072/analysis/1328548086/
Abraos
mas bem que ele poderia se conectar de modo transparente e no usando algum processo do Windows para talvez tentar evitar ser barrado
por algum firewall.
Mas no vou deixar de us-lo s por isso. Deve haver um bom motivo para ele ter sido programado para acionar o svchost.exe.
JoaoNeto
Fevereiro 7, 2012
08/09/2016 17:40
9 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
swampedman disse:
Fevereiro 7, 2012
JoaoNeto disse:
Fevereiro 7, 2012
T jia ento. Vou fazer uma busca, se eu achar algo posto aqui.
swampedman
Fevereiro 7, 2012
JoaoNeto disse:
T jia ento. Vou fazer uma busca, se eu achar algo posto aqui.
Fevereiro 7, 2012
A lista que eu tenho pequena, porque atuo pouco na rea de segurana. No um servio muito requisitado a mim.
Eu tenho umas matrias interessantes, que, com as devidas autorizaes, vou postar aqui. O que me falta tempo para redigir o texto, porque
no quero simplesmente copiar e colar. Quero criar um texto prprio, baseado nelas, incluindo minhas impresses e de outros que conheo.
Assim que tiver tempo vou fazer isso.
Pgina 1 de 2
Fruns
Prxima >
08/09/2016 17:40
10 de 10
http://www.hardware.com.br/comunidade/otm-tutorial/1207277/
08/09/2016 17:40