OTM (ou OTMoveIt) é mais uma das excelentes ferramentas desenvolvidas pelo programador Old Timer. No entanto, diferentemente das demais, OTL e OTS, o OTM só é utilizado na remoção de infecções. Quem é familiarizado com os scripts feitos pelo OTL, não terá dificuldade alguma com os do OTM -- pois são exatamente os mesmíssimos comandos.
Particularmente falando, considero o método de remoção do OTM mais eficaz que o do OTL e OTS. Já consegui remover malwares pelo OTM que o OTL e OTS não foram capazes de eliminar. Além de ser uma ferramenta muito mais fácil e prática de trabalhar na remoção de pragas do que as outras duas (jamais menosprezando-as).
Tutorial do OTL (em inglês)
arkOrange">Introdução
Assim como qualquer ferramenta script to prepare, é pertinente lembrar que com o OTM o cuidado e a cautela são seus melhores amigos. Nunca utilize scripts em PCs alheios se ainda não domina inteiramente a ferramenta.
Trata-se de um aplicativo pequeno, muito poderoso e eficaz contra inúmeros tipos de malwares.
Download:
http://www.itxassociates.com/OT-Tools/OTM.exe
http://oldtimer.geekstogo.com/OTM.exe
Ao executar a ferramenta (no Windows 7 e Vista como administrador), você terá a seguinte tela.
Como pode perceber, não há configurações avançadas ou opções a serem marcadas. Apenas o necessário, que já é o suficiente.
Esta ferramenta não gera logs como as demais. A partir do log do OTL, RSIT, DDS e até mesmo do HijackThis (não recomendado nesta ocasião), você pode desenvolver o script para remover uma infecção presente nele. Contudo, recomendo que você baseie-se no log gerado pelo OTL, aliás, é recomendação do próprio desenvolvedor.
arkRed">Como MexerarkRed">
Seu uso é mais simples que tirar doce de criança (que em tese não é tão simples assim ).
esta é a área onde você posta a linha de comando (script);
esta é a área de resultado após o script ser executado;
aperte este botão para que o script seja executado, e as infecções eliminadas;
este botão remove o diretório criado pelo OTM e também exclui outras dezenas de ferramentas (não só as do Old Timer);
obviamente este botão fecha o programa;
Viu, não é tão difícil entender como funciona a ferramenta, uma vez que são poucas opções.
Comandos do Script
Tendo por mim que você já saiba analisar um log do OTL (especialmente), e não queira (ou não tenha tido sucesso) em remover os malwares pelo script do próprio OTL, eis aqui a única linha de comando do OTM.
:Processes
Esta sintaxe finaliza processos rodando na memória (gerenciador de tarefas) em tempo real. Este comando não remove o processo, apenas finaliza-o. Portanto, você pode finalizar processos legítimos -- se for indubitavelmente necessário.
:Files
Esta sintaxe remove arquivos e pastas maliciosas (isso mesmo, pastas também, pois não existe o comando :Folder nas ferramentas do Old Timer).
:Reg
Esta sintaxe remove chaves e valores infectados do Registro do Windows.
:Services
Esta sintaxe remove serviços e drivers maliciosos do sistema.
:Commands
Esta sintaxe executa tarefas especiais no final do script. Exemplo: limpeza dos arquivos temporários, criação/remoção de pontos de restauração, reinicialização do computador, e etc. Não é obrigatório o uso deste comando, no entanto, é aconselhável por "N" motivos.
eepSkyBlue">Diretório do OTM
Após rodar o OTM, ele cria uma pasta na raiz do disco rígido (geralmente C:\) com o nome C:\_OTMoveIt\MovedFiles\arquivos ou pastas removidos.
Preparando o Script
Pessoal, eu fiz este tutorial baseado no fato de que vocês já saibam realmente analisar um log, e tenham conhecimento em identificar e remover arquivos, tanto do Registro quanto de pastas. Se alguém aqui não está acostumado a analisar logs e remover entradas, é altamente recomendável que você treine bastante em uma máquina virtual.
Adendos Importantes!
1 - Nunca se esqueça dos dois pontos (":") no começo de todos os comandos.
2 - Os comandos são parcialmente sensitives, ou seja, :Files não é igual a :File. Porém, não há diferença entre usar maiúsculas ou minúsculas. Exemplo: :FILES, :Files, e :files. Qualquer um pode ser usado.
3 - Sempre revise o script antes de executá-lo para evitar erros nas sintaxes e, principalmente, uma remoção errônea e/ou acidental.
4 - O caminho dos arquivos maliciosos devem ser colados sempre em baixo dos comandos. Nunca antes ou do lado.
Mãos à obra...
arkSlateBlue">Rodando o Script
Comando :Processes
Com este comando você pode matar algum processo que possa atrapalhar a remoção do malware, ou sua própria remoção mesmo. Geralmente, finalizamos o Explorer.exe pois ele é a "matriz" do sistema. Exemplo:
:ProcessesLembrando que o processo não será removido, a menos que você insira seu caminho no comando :Files.
explorer.exe
processomalicioso.exe
Comando :Files
Identificou um arquivo ou diretório malicioso no log? O comando :Files deverá ser utilizado. Exemplo:
:FilesComando :Reg
C:\WINDOWS\system32\malware.exe
C:\Program Files (x86)\Ask Toolbar
Se identificou alguma chave ou valor malicioso ou inválida no Registro, utilize o comando :Reg. Exemplo:
:RegOBS: Só faça um script com o :Reg se você é familiarizado com .REG sintaxes, isto é, saiba perfeitamente remover uma chave ou valor (como exemplificados acima). Observe o sinal de travessão ("-") presente nas 3 primeiras entradas do exemplo. Dei uma breve explicação disso no tutorial do ComboFix.
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CHAVE MALICIOSA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
"{VALOR MALICIOSO}"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:0
Comando :Services
Caso reconheça algum serviço ou driver malicioso presente no log, use a tag :Services para removê-lo. Exemplo:
:ServicesVeja que no :Services não se pode colocar o caminho completo do arquivo. Apenas o nome principal dele. Entretanto, seu arquivo principal deve ser removido também no comando :Files. Exemplo²:
serviçomalicioso
serviçoinválido
:ServicesSe você não adicionar o :Files com o caminho completo para o arquivo responsável pelo serviço, não adiantará de nada. Por isso, mantenha-se atento!
serviçomalicioso
serviçoinválido
:Files
C:\WINDOWS\system32\drivers\arquivoserviçomalicioso.sys
Comando :Commands
Para executar tarefas especiais no término do script, basta usufruir da tag :Commands. Nesta tag, você pode acrescentar os seguintes parâmetros.
[start explorer] => reinicia o Explorer.exe quando ele for finalizado no comando :Processes
[emptytemp] => limpa arquivos temporários
[emptyflash] => apaga os flash cookies
[purity] => use este parâmetro com moderação, somente quando estiver lidando com um PurityScan
[createrestorepoint] => cria um ponto de restauração
[clearallrestorepoints] => deleta todos os pontos de restauração e, em seguida, cria um novo ponto
[Reboot] => reinicia o computador após a execução do script (recomendável para infecções mais chatas de eliminar)
[resethosts] => reseta o arquivo HOSTS do Windows
[emptyjava] => limpa por completo o cachê do java
Exemplo:
:Processes
explorer.exe
:Files
C:\WINDOWS\malware.exe
:Commands
[start explorer]
[emptytemp]
[Reboot]
Parâmetros Especiais
Os parâmetros especiais, ou switches, são sequências que podem ser executados junto aos comandos. Darei os exemplos de alguns switches mais conhecidos, mas, só utilize-os se for realmente necessário. Normalmente indicado para usuários mais avançados.
/d => este switch exclui arquivos permanentemente. Ou seja, deletar um arquivo usando este swicth, o usuário dificilmente conseguirá recuperá-lo (mesmo com softwares profissionais de recuperação).
/s => este switch executa uma tarefa para uma pasta específica e todas as subpastas. Resumindo: se você quer deletar um arquivo .tmp de uma pasta e de todas as subpastas da mesma, basta colocar o caminho da pasta + switch /S. Não aconselho muito o uso deste switch.
/u => este switch lida com Unicode. Serve para o caso de estar lidando com um PurityScan.
Exemplificando a utilização dos switches.
:Files
C:\WINDOWS\*.tmp /s
C:\WINDOWS\system32\malware.exe /d
C:\WINDOWS\System32\a?rquivo.exe /u
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"arquivo"=-
Combinações Curingas
Tenho certeza que muitos de vocês já viram combinações curingas em algum script. Veja os exemplos.
C:\Pasta\*.txt => remove todos os arquivos com a extensão .txt do diretório C:\Pasta. Em vez de colocar txt por txt, use o curinga asterisco ("*") antes do ponto para removê-los simultaneamente.
C:\Pasta\*.* => remove todos os arquivos da pasta em questão. Só utilize esta combinação se tiver certeza absoluta de que a pasta contenha somente ficheiros maliciosos. Todavia, você pode simplesmente excluir a pasta.
C:\Pasta\*.txt /s => remove todos os .txt do diretório C:\Pasta e de suas subpastas também. Cuidado com esta combinação.
C:Pasta\*.txt /5 /s => remove todos os .txt da pasta em questão e de suas subpastas modificados nos últimos 5 dias. Você pode mudar o número de acordo com os dias da modificação do arquivo.
Finalizando
Espero que tenham entendido, caros amigos. Quaisquer dúvidas não hesitem em perguntar aqui no tópico.
E, frisando mais uma vez, treinem bastante numa máquina virtual antes de executarem um script. Embora seja básico e fácil, é necessário que você tenha pleno conhecimento em análise de logs, especialmente do OTL, para saber o que deve ou não ser removido.
Espero que gostem do tutorial!
Um grande abraço e ótima semana a todos vocês!
Swampedman