Руководство по Farbar’s Recovery Scan Tool (FRST)

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Dragokas, 30 апр 2016.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    Farbars avatar_1.jpg
    Farbar’s Recovery Scan Tool

    Последнюю версию можно скачать здесь:

    Ссылка 1 | Ссылка 2

    Farbar Recovery Scan Tool (FRST) является диагностическим инструментом, который также способен выполнять специально подготовленные решения на основе скриптов для лечения систем, зараженных вредоносным ПО. Он одинаково хорошо работает как в обычном, так и в безопасном режимах загрузки ОС. Инструмент эффективно работает и в среде восстановления Windows, когда у системы имеются проблемы с загрузкой. Способность работать в среде восстановления делает его весьма полезным при решении проблем на системах, где возникают сложности в процессе загрузки.

    Информация о пожертвованиях

    Несмотря на то, что FRST является бесплатным, Farbar потратил множество часов при работе над этим продуктом. Программа состоит из нескольких тысяч строк кода и часто обновляется. Кроме поддержки программы, Farbar тратит много времени на форумах для обеспечения поддержки хелперов и пострадавших от вредоносного ПО. Если вы посчитаете FRST полезным инструментом и желаете сделать пожертвование, чтобы поддержать усилия автора, просто нажмите на кнопку Paypal ниже:

    donatepaypal.gif

    Информация о руководстве

    Это руководство было создано emeraldnzl с консультативной помощью от farbar в тесном сотрудничестве с BC (Bleeping Computer) и G2G (Geeks to Go). Перевод на русский подготовлен Dragokas. Для использования или цитирования руководства на другие сайты требуется разрешение emeraldnzl и Farbar (с обязательной ссылкой на эту тему). Обратите внимание, что это руководство было одобрено для использования хелперами, которые помогают в борьбе с вредоносным ПО на различных форумах. Кроме того, мы благодарим picasso, которая играет ведущую роль в обновлении и поддержке руководства.


    Переводы

    Французский: Assiste.Forums • Afficher le sujet - FRST: Tutoriel
    Немецкий: FRST Anleitung
    Польский: http://www.fixitpc.pl/topic/23904-frst-tutorial-obslugi-farbar-recovery-scan-tool/
    Русский: http://safezone.cc/threads/27540/
    Английский (оригинал): FRST Tutorial - How to use Farbar Recovery Scan Tool - Malware Removal Guides and Tutorials


    Содержание:

    1. Введение
    2. Области сканирования по умолчанию
    3. Основное сканирование (FRST.txt)
    4. Дополнительное сканирование (Addition.txt)
    5. Другие опциональные проверки
    6. Директивы / Команды
    7. Шаблоны ответов

    (Прим. переводчика – краткое описание директив выше было добавлено мною для удобства)

    Доверенные консультанты и эксперты, которые имеют необходимый доступ, могут быть в курсе последних разработок в теме FRST Discussion Thread: bleepingcomputer.com/forums/t/360106/farbar-recovery-scan-t

     
    Последнее редактирование: 18 окт 2016
    Kиpилл нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Введение
    Одной из самых сильных сторон FRST является его простота. Он разработан с учетом удобства для пользователя. Строки, которые содержат ссылки на инфицированные объекты, можно распознать, скопировать из лога, вставить в блокнот и сохранить. Дальше после нажатия на кнопку программа сделает все остальное. Это обеспечивает значительную гибкость. Как только появляются новые вирусы, они сразу же могут быть опознаны и включены в список для фикса.

    Где он может работать

    Farbar's Recovery Scan Tool предназначен для работы на операционных системах Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10. Существуют 2 версии – для 32-битных и 64-битных систем.
    Примечание: FRST64 не разрабатывался для работы на 64-битной Windows XP.


    Диагностика
    FRST создает отчет, который охватывает определенные области системы. Его можно использовать для первичного анализа проблемы и получения некоторой информации о системе.

    Программа постоянно совершенствуется. Часть разработки состоит в том, чтобы вносить сигнатуры новых вирусов. Соответственно, очень рекомендуется периодически обновлять программу. Как только FRST будет запущен, произойдет автоматическая проверка на наличие обновлений, если ПК подключен к сети интернет. В этом случае появится уведомление о том, что можно скачать последнюю версию.

    Если проявляется новое заражение, либо по какой-то причине нет подключения к сети, эксперт должен быть в курсе последних разработок в области вредоносного ПО, чтобы обеспечить раннее выявление проблемы. Неопытный пользователь должен обратиться за помощью к эксперту, если заметит новое заражение или будет не в состоянии опознать проблему на своей машине.

    По-умолчанию, как и другие сканеры, FRST применяет белые списки. Это позволяет избежать очень длинных логов. Если Вам хочется увидеть полный лог, то необходимо снять галочку с соответствующего пункта секции «Whitelist». Будьте готовы к очень-очень длинному отчету, который возможно придется загрузить для анализа в качестве вложения.
    • FRST использует белые списки не только стандартных записей Microsoft для секций реестра, но и в некоторых случаях (как, к примеру, ShellIconOverlayIdentifiers) еще и белые списки безопасных записей для программ сторонних производителей.
    • в случае со службами и драйверами белые списки включают в себя не только стандартные службы Microsoft, но и другие легитимные службы и драйвера.
    • служба или драйвер, у которых отсутствует поле «Имя компании», в белый список не вносятся.
    • антивирусные программы и файрволы в белый список не вносятся.
    • служба SPTD в белый список не вносится.

    Подготовка к использованию

    Убедитесь, что FRST запущен с правами Администратора. Программа будет работать правильно только при условии, что запущена пользователем, который имеет права администратора. Если у пользователя нет административных привилегий, вы увидите об этом предупреждение в заголовке отчета FRST.txt.

    В некоторых случаях антивирусные программы могут помешать полноценному запуску FRST. Чаще всего это не будет являться проблемой, но будьте готовы к тому, что антивирусная программа может заблокировать запуск FRST, когда вы запрашиваете сканирование. Во время фикса предпочтительно отключать программы наподобие Comodo, которые могут помешать инструменту при выполнении своей работы.

    Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
    Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.

    Резервную копию реестра создавать не обязательно. FRST создает резервную копию ульев реестра, как только запускается первый раз. Бекапы располагаются по пути: %SystemDrive%\FRST\Hives (в большинстве случаев: C:\FRST\Hives) и не перезаписываются при последующих запусках программы.

    FRST доступен на нескольких языках. Консультанты, как правило, выбирают английский для анализа проблем. Если консультант или кто-то другой, кому нужна помощь, желает предоставить логи на английском языке, достаточно просто запустить FRST, добавив слово «English» к имени файла, например, EnglishFRST.exe или EnglishFRST64.exe, или FRSTEnglish.exe, или FRSTEnglish64.exe. Лог получится на английском.


    Запуск FRST

    Пользователь инструктируется, что необходимо скачать FRST на рабочий стол. От туда проще простого дважды щелкнуть мышкой по иконке FRST, принять условия отказа от ответственности, и запустить программу. Иконка FRST похожа на эту:
    FRST icon.jpg

    Примечание: Вам нужна версия, совместимая с системой пользователя. Существует 32 и 64-разрядные версии. Если вы не уверены, какая из версий применима, пользователю необходимо скачать обе и попробовать запустить каждую. Только одна из них сможет запуститься. Это и будет правильная версия.

    Когда FRST запустится, пользователю будет представлено окно, подобное этому:

    FRSTconsole-2.jpg

    Как только FRST завершит анализ, он сохраняет отчет в той же папке, из которой был запущен. При первом и последующих сканированиях вне среды восстановления будут созданы отчеты FRST.txt и Addition.txt.

    Копии лога сохраняются по пути: %systemdrive%\FRST\Logs (в большинстве случаев это будет путь: C:\FRST\Logs).


    Лечение

    Внимание, очень важно: Farbar Recovery Scan Tool не является агрессивным и в режиме сканирования не может навредить машине. Он просто смотрит, что там внутри и составляет отчет.

    Однако, FRST также очень эффективен при выполнении инструкций, которые ему дают. Во время применения фикса, если его просят удалить объект, он в 99% случаев сделает это. В тоже время в него встроены некоторые защитные механизмы, которые являются общепризнанными, и разработаны так, чтобы не помешать лечению инфекции.

    Если вы не уверены в каком-либо элементе отчета FRST, всегда спрашивайте совета у эксперта, прежде чем выполнять исправление
    В FRST есть целый ряд команд и ключей, которые можно использовать для управления процессами компьютера и для исправления обнаруженных проблем.

    Чтобы исправить найденные проблемы, скопируйте и вставьте строки из лога FRST.txt в текстовый файл с именем fixlist.txt, используя блокнот. fixlist.txt сохраняется в папку с программой. В вариантах с обычным или безопасным режимами загрузки ОС это будет рабочий стол (прим. перев. - или другая папка, куда вы скачали FRST.exe / FRST64.exe). В варианте со средой восстановления, это будет флешка.

    Примечание: важно использовать именно блокнот*. Фикс не будет работать, если использовать MS Word или какую-нибудь другую программу.
    *Прим. переводчика: тем не менее можно использовать и другие продвинутые редакторы, которые не добавляют в файл специальное форматирование, например, такие как AkelPad, Bred3, Notepad++, SynWrite и др.

    Объекты, перемещенные в процессе фикса при очистке или удалении, сохраняются по пути %systemdrive%\FRST\Quarantine. В большинстве случаев это будет путь C:\FRST\Quarantine.

    Более подробную информацию о подготовке фикса смотрите в секциях ниже.

    Заголовок Fixlog

    Пример:
    Первая строка: рассказывает Вам информацию, подобную заголовку сканирования (см. ниже).

    Вторая строка: говорит о дате и времени, когда был запущен фикс. Там также указывается количество запусков.

    Третья строка: говорит Вам, откуда был запущен фикс.

    Четвертая строка: говорит, в какую учетную запись (профиль) вошел пользователь.

    Пятая строка: говорит, в каком режиме загрузки был запущен фикс.
     
    Последнее редактирование: 18 окт 2016
    Kиpилл нравится это.
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Области сканирования по умолчанию

    При первом и последующих запусках за пределами среды восстановления создаются логи FRST.txt и Addition.txt. Лог Addition.txt не создается, если FRST запущен в среде восстановления.

    1. Сканирования, которые выполняются в обычном режиме:

    Основные сканирования:
    Дополнительные сканирования:​
    Сканирования по выбору:
    2. Сканирования, которые выполняются в среде восстановления:

    Основные сканирования:
    Сканирования по выбору:

    Основное сканирование (FRST.txt)
    Заголовок

    Вот пример заголовка:
    Чтение заголовка может оказаться очень полезным:

    Первая строка: говорит о том, какой из вариантов FRST запущен – 32 или 64-битный. Также указывается версия FRST. Запись о версии является особенно важной. Старая версия может не содержать наиболее свежего функционала.

    Вторая строка: показывает, кем запущен инструмент и с какими правами. Это может предупредить Вас, владеет ли пользователь необходимыми правами. Строка также показывает имя компьютера, а также дату и время, когда был запущен инструмент. Иногда пользователь случайно выкладывает старый лог.

    Третья строка: говорит Вам, откуда был запущен FRST. Это может быть полезно при подготовке инструкций для фикса, если инструмент запущен из другого расположения, нежели рабочий стол.

    Четвертая строка: говорит Вам, под какой учетной записью (профилем) вошел пользователь, т.е. загруженный пользовательский улей. Далее в круглых скобках «Available profiles» указаны записи всех доступных профилей на машине, включая те, которые в данный момент не загружены.

    Примечание: когда вы заходите в Windows, загружается улей только пользователя, который входит в систему. Если пользователь входит в другую учетную запись без перезагрузки системы (нажатием на «Сменить пользователя» или «Выход из системы»), то загружается второй пользовательский улей, но первый не выгружается. В таком случае FRST перечисляет записи реестра обоих пользователей, а все остальные не трогает, т.к. их ульи не загружены.

    Пятая строка: ведет запись о версии Windows на машине, включая номер Service Pack-а и используемый язык. Это может предупредить Вас о проблеме с обновлениями, если версия Service Pack-а устарела.

    Шестая строка: дает Вам версию браузера Internet Explorer и браузера по-умолчанию.

    Седьмая строка: говорит Вам, в каком режиме была загружена ОС.

    После этого указывается строка со ссылкой на руководство.

    Примечание 2: Информация в заголовке при запуске в среде восстановления является точно такой же, за исключением строки с пользователями, т.к. она специально урезана, поскольку профили пользователей не загружены.

    ____________________________________________________________________________

    Предупреждения, которые могут указываться в заголовке

    Если возникают проблемы при загрузке, вы можете увидеть что-то наподобие "Attention: Could not load system hive" («Внимание: не могу загрузить системный улей»). Это говорит о том, что потерян улей системы. В качестве решения проблемы может быть восстановление улья через команду LastRegBack: (см. ниже).

    "Default: Controlset001" – уведомление говорит Вам, какой из конфигурационных разделов (CS) в системе загружен по умолчанию. Зачем Вам это нужно? В обычной ситуации Вам это не нужно, но в случае, если вы желаете заглянуть вовнутрь или воздействовать на CS, который был загружен, когда Windows запустилась, то теперь вы знаете имя необходимого CS. Попытка сделать что-либо с другими доступными CS не окажет влияния на систему.
    ____________________________________________________________________________



    Секция Processes
    (процессы)

    Есть две причины, по которым может понадобиться остановить процесс. Во-первых, вы можете остановить защитное ПО, которое может помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.

    Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.

    Например:
    Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно завершен).

    Если у Вас есть вредоносный процесс, и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в ваш фикс, подобно этому:

    Секция Registry
    (реестр)

    Записи реестра (ключи и параметры), взятые из лога FRST, и включенные в fixlist для удаления, будут удалены. FRST содержит мощную процедуру удаления ключей и параметров. Все ключи и параметры, которые сопротивляются удалению из-за недостатка привилегий или включенных null символов, будут удалены. Единственные ключи, которые не будут удалены, это те, что защищены драйвером режима ядра. Такие ключи/параметры необходимо удалять после того, как будет удален или отключен драйвер режима ядра, защищающий их.

    Копирование и вставка пунктов лога в фикс приведет к тому, что FRST выполнит одно из двух действий над перечисленными ключами реестра:
    - Восстановит ключ по умолчанию
    - Удалит ключ

    Если в fixlist.txt скопированы записи лога, которые относятся к параметрам winlogon (Userinit, Shell, System), LSA и AppInit_DLLs, то инструмент восстановит значения по умолчанию.

    Примечание: в случае с AppInit_DLLs, когда есть один вредоносный путь, FRST удаляет только этот конкретный путь из значений AppInit_DLLs без удаления остальных.

    Нет необходимости в написании батника или фикса реестра. Тоже самое касается и некоторых других важных ключей, которые могут быть подменены вирусом.

    Примечание: FRST не трогает файлы, которые указаны в этих ключах. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.

    Скопированные в fixlist.txt записи Run и Runonce будут удалены из реестра. Файлы, которые они загружают или выполняют, не будут удалены. Если вы желаете удалить их, Вам нужно перечислить их отдельно.

    Например, чтобы удалить вредоносную запись run вместе с файлом, Вам нужно перечислить их в fixlist.txt следующим образом (первая строка была скопирована непосредственно из лога):

    В случае с ключами Notify, когда они включены в fixlist.txt, и при этом относятся к ключам по умолчанию, инструмент восстановит в параметре (DllName) его значение. Если он не является ключом по умолчанию, то будет удален.
    Ключи Image File Execution Options при включении в fixlist.txt будут удалены.

    Если в папке «Автозагрузка» найден файл или ярлык, FRST будет искать файл в записях Автозагрузки (Startup).
    Если файл является ярлыком, следующая строка будет содержать цель ярлыка (например, исполняемый файл, который запускается ярлыком). Чтобы удалить и ярлык, и его цель, вам нужно включить оба в фикс:
    Примечание: Первая строка перемещает только ярлык. При указании второй строки будет перемещен файл 1800947.exe. Если вы укажете только вторую строку, исполняемый файл будет удален, но ярлык останется в папке автозагрузки. Как только следующий раз система загрузится, она выведет ошибку при попытке ярлыка запустить исполняемый файл, так как он не сможет найти свою цель.

    В случае, если вредоносное ПО эксплуатирует политики ограничения ПО (Software Restriction Policies), вы увидите записи, подобные этим:
    Чтобы разблокировать защитные программы включите эти строки в fixlist.txt.
    Примечание: определение происзодит в целом и может привести к пометке других легитимных записей, созданных для защиты от заражений. См.: Как вручную создать политики ограничения ПО для блокировки вымогательского ПО.

    FRST также определяет присутствие объектов групповой политики (Registry.pol и Scripts), которыми могут злоупотребить вредоносные программы. Google Chrome (см. секцию Chrome ниже) и политики Windows Defender в Registry.pol будут отображены в логе отдельно:
    Для остальных политик и скриптов вы получите общее уведомление без подробностей:
    Для сброса политик включите строки в fixlist.txt. FRST подчистит папки GroupPolicy и выполнит принудительную перезагрузку.
    Пример:
    Примечание: опознавание настроено на обычный домашний компьютер без настроенных политик и может привести к пометке легитимных записей, внесённых вручную через gpedit.msc.

    Восстановление системы, отключённое через групповые политики, будет отображено в логе в таком виде:
    Включение строки в fixlist приведет к полному удалению ключа (по умолчанию, он не существует).

    Примечание: FRST также записывает предупреждение в Addition.txt, если SR окажется отключенным, даже если он был отключен не через групповую политику, а пользователем. В этом случае FRST ничего не делает. Пользователя нужно проинструктировать, чтобы он включил систему восстановления. Групповой политики, которая блокирует включение SR, не существует.



    Секция Internet

    За исключением нескольких случаев, все записи, скопированные в fixlist.txt, будут удалены. Связанные с ними файлы и папки необходимо отдельно скопировать в фикс.

    Winsock

    В отчете будут указаны нестандартные записи. Если запись «Catalog5» взята для фикса, FRST сделает одну из двух вещей:

    1. В случае подмены стандартных записей, он восстановит значение по умолчанию.
    2. В случае с другими записями, он удалит их и перенумерует каталог записей.

    Если собираетесь фиксить запись «Catalog9», то сначала рекомендуется воспользоваться "netsh winsock reset".
    Если посторонние записи «Catalog9» все еще останутся, их можно перечислить для фикса. В этом случае FRST удалит записи и перенумерует каталог.

    Будьте осторожны: поврежденная цепочка помешает машине подключиться к интернет.

    Повреждения при доступе к сети интернет в связи с потерянными записями в Winsock будут указаны в логе подобно этому:

    Чтобы исправить проблему, запись можно включить в fixlist.txt, например:
    В случае с вирусом ZeroAccess мы можем получить такой лог:
    При включении в fixlist, FRST сбросит записи «Catalog5», но ничего не сделает с проблемными записями «Catalog9» и предложит Вам использовать «netsh winsock reset», чтобы разобраться с этим.

    Полный скрипт для фикса будет выглядеть следующим образом:

    Код (Text):

    Winsock: Catalog5 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
    Winsock: Catalog5-x64 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5-x64 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
    cmd: netsh winsock reset
     
    Примечание: cmd: netsh winsock reset добавлено к фиксу вручную.

    Fixlog.txt, создаваемый после фикса, будет выглядеть следующим образом:

    Примечание: в некоторых ситуациях команда «netsh winsock reset» может не сработать. Когда такое случается, пользователю необходимо перезагрузить машину и запустить команду cmd: netsh winsock reset снова.


    Hosts

    Если в Hosts присутствуют сторонние записи, вы увидите строку в секции «Internet» в отчете FRST.txt, в которой будет сказано:
    Если файл Hosts не обнаружен, там будет запись о том, что программа не в состоянии обнаружить Hosts.

    Чтобы сбросить записи в файле Hosts, просто скопируйте и вставьте строки в fixlist.txt и файл hosts будет сброшен. Вы увидите строки в Fixlog.txt подтверждающие сброс.

    См. также Hosts в разделе Addition этого руководства.


    Tcpip

    Если в fixlist.txt включены Tcpip и другие записи, они будут удалены.

    Примечание: в случае с подменой StartMenuInternet для IE, FF, Chrome и Opera – стандартные записи внесены в белый список. Если в логе FRST появляется запись, это означает, что путь не является стандартным. Здесь могло пойти что-то не так с доступом к ветви реестра. В таком случае необходимо провести дополнительное расследование. Проблемные записи могут быть включены в fixlist, что приведет к восстановлению значения по умолчанию.


    Internet Explorer

    Если домашняя страница вставлена в fixlist.txt, значение будет удалено, возвращая настройки браузера к стандартным.

    Перечисление может быть указано таким образом (строка перенесена напрямую из лога):
    Поисковые провайдеры интернета (internet search providers) могут быть включены в fixlist.txt. Это приведет к удалению ключа. Элементы вносятся следующим образом:
    Примечание: Однако, в случае с HKLM DefaultScope (подмененным или отсутствующим) он будет сброшен, а не удален.

    Панели инструментов (Toolbar) и BHO (Browser Helper Objects) могут быть скопированы в фикс и ключ будет удален. Сопутствующие файлы / папки должны быть внесены отдельно, если их нужно переместить.

    Пример:

    Объекты ActiveX можно добавить в фикс и записи будут удалены. Просто введите строку подобно этому:

    Edge

    FRST перечисляет кнопки домашних страниц (HomeButtonPage), которые указывают на пользовательскую страницу, включённые сессии восстановления (Session Restore) и установленные расширения:

    Если записи HomeButtonPage и Session Restore включены в fixlist.txt, то они будут удалены из реестра.

    При включении в fixlist.txt записей расширений, будут удалены ключи реестра, а связанные с ними папки будут перемещены.



    FireFox

    FRST перечисляет ключи и профили браузера Firefox (FF) (если они присутствуют) вне зависимости от того, установлен FF или нет. Если существует несколько профилей Firefox-a или его клонов, FRST перечислит настройки, user.js, расширения (Extensions) и поисковые плагины (SearchPlugins) всех профилей.

    Если строка с настройками (preferences) вставляется в fixlist.txt, значения будут удалены. При следующем запуске Firefox или его клон вернет стандартные настройки. Строки можно внести таким образом (перенесено напрямую из лога):
    FRST проверяет цифровые подписи дополнений. Неподписанные дополнения будут помечены.

    Пример:
    Для дополнений (Расширений и Плагинов) записи из лога можно вносить в fixlist и элемент будет перемещен. Для плагинов (Plugins) и расширений (Extensions), у которых в реестре есть ссылка на файл / папку, запись реестра будет удалена, а файл / папка – перемещена (см. ниже).

    Пример для Дополнения (Add-on) или расширения (Extension):
    Пример плагина (Plugin):

    Примечание: это относится только к Firefox, Chrome и Opera. Остальные записи из секции «Internet», которые связаны с ключом реестра, указывающем на файл / папку (только путь) необходимо указывать отдельно, чтобы FRST их переместил.


    Chrome

    FRST перечисляет ключи Хрома (если они присутствуют) вне зависимости от того, установлен он или нет. При наличии нескольких профилей, FRST будет читать последний использованный профиль и перечислять настройки (Preferences) этого конкретного профиля. Расширения определяются во всех профилях. Помечаются нестандартные профили, добавленные рекламным ПО.

    Сканирование настроек включает изменение домашней страницы и StartupUrls, включённое восстановление сессии и ещё некоторые параметры прочих поисковых провайдеров по-умолчанию:
    При включении в fixlist.txt домашней страницы и StartupUrls они будут удалены. Обработка других записей приведёт к частичному сбросу Chrome и пользователь может увидеть следующее сообщение на странице настроек Chrome: "Chrome обнаружил, что некоторые из настроек были повреждены другой программой и сбросил их на исходные".

    Если вы видите что-то наподобие этого:
    Это означает, что данный конкретный файл отсутствует и плагин не доступен. Включение записей в fixlist не переместит запись. Записи «No file» можно переместить обновлением кеша плагинов Google Chrome. Чтобы это сделать, и удалить остатки, выполните следующее:
    Article: Откройте Chrome.
    Скопируйте и вставьте следующее в адресную строку и нажмите Enter: chrome://plugins
    Вы перейдете на страницу со списком всех плагинов. Там будет настройка для отключения каждого из плагинов. Нажмите «Отключить» (Disable) под каждым из плагинов, вовлеченных в лечение. Затем нажмите «Включить» (Enable).
    Закройте Chrome.
    Удаление папки с расширением с помощью FRST происходит не эффективно. Расширение не сможет запуститься и не будет мешать работе Хрома, но имя расширения останется в файле настроек (prefs). По этой причине лучше использовать собственные инструменты Хрома (см. ниже):

    Нажмите на кнопку меню Chrome на панели браузера.
    Нажмите Настройки и выберите Расширения.
    Нажмите на значок корзины напротив расширения, которое хотите полностью удалить.
    В появившемся диалоге подтверждения нажмите Удалить.

    Обработка строки с записью реестра о расширении удалит оба элемента за один раз, если таковые будут найдены (нет необходимости включать вторую строку, указывающую на файл). Просто включите строки в fixlist и вы получите такой отчет после фикса:

    Некоторое рекламное ПО использует групповые политики, чтобы заблокировать внесение изменений в расширения или другие функции:
    См. описание объектов группой политики в секции Реестр для получения подробностей.

    Если вы видите это:
    Данное предупреждение говорит о том, что рекламное ПО, вероятно, обновило Chrome в тихом режиме до версии «dev» (экспериментальная сборка). FRST не исправляет это. Такое предупреждение нужно, чтобы сообщить о необходимости переустановить Google Chrome на обычную (стабильную) версию, как только рекламное ПО будет удалено (если только пользователь специально не выбрал себе «dev» сборку при установке).

    Если вы желаете удалить что-то, кроме записи в реестре о расширении, то инструкции по FF, о которых говорилось ранее, применимы и здесь для дополнений, расширений, плагинов и всех остальных записей.


    Opera

    FRST перечисляет ключи и профили браузера Opera (если они присутствуют) независимо от того, установлена Opera или нет.

    Примечание от @regist: проверяется только версия браузера Opera на движке Хрома. Opera Presto не проверяется.

    Анализ FRST в данный момент ограничен проверкой StartMenuInternet, StartupUrls, Session Restore и расширениями:
    Включение записей StartupUrls или Session Restore в fixlist.txt приведет к удалению этих записей.

    Включение записей о расширении в fixlist.txt приведет к перемещению файлов расширения. Нет необходимости отдельно включать путь.

    В то время как расширение перестанет быть активным, запись в панели браузера «Расширения» все еще не будет удалена. Для этого используйте собственные инструменты Opera:
    Article:
    Нажмите в верхнем левом углу меню Оперы и в выпадающем списке нажмите на «Расширения» -> Управление расширениями.
    Прим. переводчика - также это меню можно вызвать по горячим клавишам Ctrl + Shift + E.

    Чтобы удалить отдельные расширения, нажмите на X для каждой записи и затем ОК.

    Для браузеров, которые не отображаются в логе, лучшим способом будет полное удаление с перезагрузкой системы и переустановкой браузера.
     
    Последнее редактирование: 14 окт 2016
    mike 1 и Kиpилл нравится это.
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Services and Drivers
    (Службы и драйвера)

    Записи служб и драйверов выводятся в таком формате:

    RunningState, StartType, ServiceName; ImagePath or ServiceDll [Size CreationDate] (CompanyName)

    Состояние работы, тип запуска, Имя службы; Путь к образу или Dll службы [Размер, Дата создания] (Имя компании)

    RunningState (Состояние работы) – это буква рядом с цифрой, которая обозначает текущее состояние работы:

    R=Running (Запущена)
    S=Stopped (Остановлена)
    U=Undetermined (Неопределенное)

    Цифры «Тип запуска» есть такие:

    0=Boot (загрузочный)
    1=System (системный)
    2=Auto (автоматически)
    3=Demand (вручную)
    4=Disabled (отключен)
    5=назначается FRST, если он не в состоянии прочитать значение Start Type

    Если вы видите [X] на конце строки записи, это означает, что FRST не смог найти файл, ассоциированный с этой конкретной службой или драйвером, и записал в лог путь ImagePath таким, как он указан в реестре.

    FRST определяет наличие целого ряда заражений и проверяет цифровую подпись файлов служб и драйверов. Если файл не имеет ЭЦП, об этом будет сказано в отчете.
    Пример:
    Системные файлы Microsoft, которые не подписаны, необходимо заменить оригинальными копиями. Чтобы их пофиксить, используйте команду Replace:.

    Примечание: проверка цифровых подписей недоступна из Среды восстановления.

    Чтобы удалить вредоносную службу или службу драйвера, скопируйте строку из лога сканирования в fixlist.txt. Любой связанный со службой файл необходимо указывать отдельно.

    Пример:
    Инструмент завершает службы, чьи записи были включены в fixlist.txt, и удаляет ключ службы.

    Есть одно исключение со службой Windows Management Instrumentation (Инструментарий управления Windows), если она будет подменена вымогательским ПО. В этом случае вы увидите нечто вроде:
    Если строка включена в fixlist, это восстановит параметры по умолчанию.

    Примечание: FRST сообщит об успехе или неудаче при попытке остановить службы, которые запущены. Вне зависимости от того, остановлена служба или нет, FRST попытается удалить ее. Если запущенная служба удалена, FRST проинформирует пользователя о завершении фикса и необходимости перезагрузки. FRST перезагрузит систему. В конце лога Fixlog вы увидите строку о необходимости перезагрузки. Если служба не запущена FRST удалит ее без необходимости перезагружаться.

    Примечание 2: Если FRST никак не сможет получить доступ к службе, в логе будет напечатано следующее:
    Нечто подобное может свидетельствовать о рутките или повреждение реестра. Необходимо получить помощь у эксперта для решения этой проблемы.



    NetSvcs

    Известные легитимные записи внесены в белый список. Как и в остальных областях сканирования, где также используются белые списки, это не означает, что все записи, которые появляются в FRST.txt, являются вредоносными. Это всего лишь значит, что их нужно проверить.

    Каждая запись NetSvc перечислена в отдельной строке, подобно этому:

    Первая запись помечена названием заражения =====> ZeroAccess и требует обработки.

    Вторая запись означает, что в реестре присутствует значение ServiceDll, связанное со службой pMgt, но ее файл отсутствует.

    Третья запись означает, что WUSB54GCSVC не имеет значения ServiceDll в реестре. Вторая и третья строки являются остатками.

    Примечание: перечисление NetSvc лишь удаляет ассоциированное значение из реестра. Связанная с ним служба должна быть указана для удаления отдельно.

    Посмотрите на пример ниже. Там есть служба, которая также указана в логе FRST немного далее вместе с ассоциированной с ней записью, которая есть в NETSVC. Служба выглядит наподобие такого:
    Чтобы удалить значение NetSvc, ассоциированную с ней службу в реестре и связанный с ней файл DLL, полный скрипт будет выглядеть следующим образом:

    Файлы и папки, созданные за последний месяц, а также
    файлы и папки, измененные за последний месяц
    Анализ «One Month Created» сообщает о файлах и папках с указанием сперва даты и времени создания, а рядом даты и времени модификации. В анализе «Modified» указано наоборот, сперва – дата и время изменения файла или папки, а затем – дата и время создания. Также указывается их размер (число байтов). Для папок указывается 00000000, поскольку папка не имеет размера.

    Примечание: чтобы избежать длительного сканирования, а также создания длинных логов, сканирование ограничено только некоторыми заранее определенными папками. Также, FRST перечисляет определённые папки, но не их содержимое. Если вы желаете узнать, что внутри, используйте директиву Folder:.

    FRST добавляет пометки к определенным записям лога:

    C – Compressed (сжатый)
    D – Directory (папка)
    H – Hidden (скрытый)
    L – Symbolic Link (символическая ссылка)
    N – Normal (обычный – не имеет других атрибутов)
    O – Offline (вне сети)
    R – Readonly (только для чтения)
    S – System (системный)
    T – Temporary (временный)
    X – атрибут «No scrub» (Windows 8+)

    Чтобы удалить файл или папку, указанную в этой секции, просто скопируйте и вставьте всю строку в fixlist.txt подобно этому:
    Отображение атрибута «Символическая ссылка» особенно полезно при распознавании папок, созданных вирусом ZeroAccess.

    Пример:

    Прежде чем указывать такие папки для перемещения, вы должны использовать команду DeleteJunctionsInDirectory: Путь к папке (она может использоваться в любом режиме).

    Пример:
    Код (Text):

    DeleteJunctionsInDirectory: C:\Windows\system64
     
    Чтобы пофиксить остальные файлы и папки, их пути можно перечислить в fixlist.txt:
    Если у Вас есть много файлов с похожими именами и вы желаете переместить их одним скриптом, можно использовать подстановочный символ *

    Таким образом, вы можете либо перечислить эти файлы так:
    Либо просто:
    Примечание: символ знака вопроса "?" игнорируется в целях безопасности вне зависимости от того, является ли он подстановочным символом или заменой юникодного знака (см. раздел "Юникод" ниже). Также, подстановочные знаки не поддерживаются для папок.

    Чтобы удалить файлы / папки с символом пробела в пути, нет необходимости заключать их в кавычки. Вы можете просто вставить путь в fixlist:

    Юникод

    Чтобы пофиксить запись с символами юникода, fixlist.txt нужно сохранить в формате Юникода, иначе юникодные символы будут потеряны. Лучшим способом будет сохранить fixlist.txt в виде файла и загрузить его.

    Пример:
    Чтобы переместить такую папку:

    Скопируйте и вставьте запись в открытый блокнот, выберите «Сохранить как…». В поле «Кодировка» выберите «Юникод», назовите его fixlist и сохраните.

    Если вы сохраните его как обычно в блокноте без выбора формата «Юникод», то блокнот покажет предупреждение. Если вы продолжите и сохраните файл, то после повторного открытия файла вы получите:
    и FRST не сможет обработать это.


    Files to move or delete
    (Файлы для перемещения или удаления)
    Файлы, перечисленные в этой секции, являются либо вредоносными, либо такими, что находятся в неправильном месте.

    Примеры легитимных файлов этой секции:
    1. Файлы, которые пользователь скачал и сохранил в папку пользователя.
    2. Когда легитимная сторонняя программа хранит один из своих файлов в папке пользователя. Это плохая практика для любого разработчика ПО. И такие файлы следует переместить даже, если они легитимные. Мы видели много заражений, в ходе которых сфабрикованные файлы прячутся в этой папке (под видом легальных, но на самом деле они вредоносные) и запускают себя оттуда.

    Файлы и папки из этой секции фиксятся таким же образом, как и файлы/папки из секции «One Month Created Files and Folders».


    Some content of TEMP
    (Некоторое содержимое папки Temp)

    Это нерекурсивное сканирование, ограниченное некоторыми определенными расширениями, для получения общего представления о том, есть ли в корне папки Temp вредоносный файл. Эта секция не отображается, если не было ни одного файла, совпадающего с критериями поиска. Это не означает, что Temp пустая или не содержит вредоносных объектов (например, вирусы могли находиться в подкаталогах, которые FRST не открывал). Просто это значит, что не было объектов, подходящих под определенные параметры поиска. Одним из способов для более полной очистки временных файлов является использование команды EmptyTemp:


    Known DLLs
    (хорошо известные DLL)

    Если некоторые записи из этой секции потеряны, пропатчены или повреждены, это может привести к проблемам с загрузкой. Соответственно, это сканирование появляется только при загрузке инструмента в среде восстановления (Recovery Environment).

    Все записи, кроме тех, что нуждаются во внимании, внесены в белый список.

    Требуется осторожность при работе с записями, указанными в этой секции. Файл либо отсутствует, либо, по-видимому, был каким-то образом изменен. Поэтому необходима помощь эксперта, чтобы убедится в том, что проблемный файл был правильно определен, и затем обрабатывать его соответствующим образом. В большинстве случаев в системе уже есть оригинальный файл для замены, который можно найти с помощью функции Поиска FRST. Пожалуйста, посмотрите секцию «Директивы» (Примеры использования) этого руководства для того, чтобы узнать, как заменять файл, а также секцию «Другие функции», чтобы узнать, как осуществлять поиск.


    Bamital & volsnap

    Разработана главным образом для выявления заражений семейства Bamital и volsnap. В данный момент секция расширена для выявления и других аномалий.

    Модификация системных файлов является признаком возможного заражения. Если инфекция опознана, необходимо принять меры для выполнения лечебных действий. Нужно получить помощь у эксперта, так как удаление системных файлов может привести к тому, что система откажется загружаться.

    Если файл не имеет легитимной цифровой подписи, вы увидите вместо нее свойства файла.

    Пример взят из заражения (Hijacker.DNS.Hosts):
    В таком случае файл необходимо заменить оригинальной копией. Используйте команду Replace:

    Примечание: проверка цифровых подписей недоступна в Среде восстановления.

    Если вредоносное ПО создает стороннюю запись в BCD, вы увидите следующую строку:
    Запись в BCD может сделать систему незагружаемой, если буткит был удален, а запись в BCD осталась без внимания. Если запись вносится в fixlist, вредоносная запись удаляется из BCD и восстанавливается значение по умолчанию.

    Наиболее безопасным способом для входа в Безопасный режим является использование клавиши F8 при загрузке. В некоторых случаях пользователь использует утилиту «Конфигурация системы», чтобы загрузится в Безопасный режим. В случае если Безопасный режим поврежден, компьютер зациклится и останется заблокированным, т.к. система не сможет загрузиться в обычном режиме, потому что настроена для загрузки в Безопасный режим. В этом случае вы увидите:
    Чтобы исправить проблему, включите строку выше в fixlist. FRST установит по умолчанию обычный режим загрузки и система выйдет из зацикливания.

    Примечание: это относится к Windows Vista и более новым версиям.


    Association
    (Ассоциации)

    Примечание: секция «Ассоциации» появится в логе FRST.txt, если запустить проверку в среде восстановления. Если FRST запускать не в среде восстановления, то она появится в Addition.txt. Проверка в среде восстановления ограничена выводом ассоциаций только для EXE-файлов.

    Перечисляет ассоциации для файлов EXE, действующие для всей системы, например так:
    Вы можете увидеть и другие строки, к примеру, если подменен пользовательский ключ.

    Как и с остальными записями реестра, вы можете просто скопировать и вставить проблемные записи в fixlist.txt и они будут восстановлены. Нет необходимости делать исправления в реестре.


    Restore Points
    (Контрольные точки восстановления)

    Примечание: секция "Restore Points" указывается в логе FRST.txt, когда FRST запущен в Среде восстановления. При запуске вне Среды восстановления эта секция будет находиться в Addition.txt.

    Здесь перечисляются точки восстановления.

    Примечание: FRST может восстанавливать улья только в Windows XP. В Windows Vista и выше восстанавливаться из точек восстановления следует через Опции системы восстановления, загрузившись в RE (Среду восстановления).

    Чтобы пофиксить, включите строку, из которой вы хотите восстановиться, в скрипт fixlist.txt.

    Пример для Windows XP:
    Чтобы восстановить ульи из точки восстановления 82 (датированной 2010-10-24), строку нужно скопировать и вставить в fixlist.txt вот так:
    Чтобы сделать фикс для восстановления через бекап другого программного обеспечения (ульи могут сохранять FRST, ERUNT или CF) на Vista и выше, обратитесь к секции «Директивы» этого руководства.


    Memory info
    (Информация о памяти)

    Примечание: «Информация о памяти» появится в логе FRST.txt только при запуске в среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

    Сообщает объем ОЗУ (Оперативного Запоминающего Устройства), установленного на машине, а также доступный объем физической памяти и процент свободной памяти. Иногда это может объяснить симптомы машины. Например, отображаемый объем может не соответствовать тому, что пользователь считает, что у него установлен. В логе может указываться меньший объем, чем реально установленный на машине. Это может случиться, когда ОС не в состоянии получить доступ ко всему объему памяти, который установлен. К вероятным проблемам можно причислить: сбойные модули ОЗУ или слоты на материнской плате либо что-то, мешающее BIOS в определении объема памяти (например, необходимо обновление BIOS). Также, в 32-битных системах при установке более, чем 4 ГБ памяти, будет сообщаться максимум о 4 гигабайтах. Это ограничение 32-битных приложений.

    Также перечисляется информация о процессоре, общем и доступном объеме виртуальной памяти.


    Drives and MBR & Partition Table
    (Диски, MBR и таблица разделов.)

    Примечание: секции "Drives" и "MBR & Partition Table" появятся в логе FRST.txt только при запуске в Среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

    Перечисляет основные и логические разделы всех дисков, их объем, свободное место и тип файловой системы. Также указываются съемные накопители, которые были подключены на момент проверки.

    Выводится код MBR (Главной загрузочной записи).

    Вы можете увидеть:
    Как и с остальными сложными заражениями, рекомендуется помощь эксперта, чтобы найти правильное решение. Неверный шаг приведет машину пользователя в незагружаемое состояние.

    В некоторых случаях чуть ранее в логе может быть видно и другое заражение, которое укажет на правильное решение. В других случаях может потребоваться фикс через команду с использованием среды восстановления. См. в секцию «Директивы» этого руководства.

    Если есть признаки того, что что-то неверно в MBR, целесообразно будет выполнить проверку MBR. Чтобы это сделать, нужно получить дамп MBR. Вот как это делается:

    Запустите следующий фикс через FRST в любом режиме:
    После выполнения этого, в папку, куда загружен FRST/FRST64, будет сохранен файл MBRDUMP.txt.

    Примечание: несмотря на то, что дамп MBR может быть сделан как в обычном режиме, так и в среде восстановления, некоторые вирусы могут подделать MBR. Таким образом, рекомендуется делать дамп именно в среде восстановления.


    LastRegBack

    FRST перечисляет последние резервные копии реестра, сделанные системой. Бекапы реестра содержат резервные копии всех ульев. Они отличаются от LKGC (Last Known Good Configuration - последней успешной конфигурации), которая резервирует только конфигурационный раздел (Control Set).

    Есть много причин, по которым вы можете захотеть воспользоваться этим бекапом в качестве решения проблемы, но наиболее общая из них – когда произошло повреждение.

    Вы можете увидеть это в заголовке FRST:

    Чтобы пофиксить, просто включите строку в fixlist подобно этому:
    Например:
     
    Последнее редактирование: 16 июн 2016
    Kиpилл нравится это.
  5. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Дополнительное сканирование (Addition.txt)


    Заголовок отчета Additional

    Содержит краткое изложение информации, которая будет полезна.

    Вот пример заголовка:
    Первая строка: говорит, какой из вариантов FRST запущен – 32 или 64 битный. Также указываются сведения о версии программы.

    Вторая строка: показывает, кем запущен инструмент, а также дату и время.

    Третья строка: говорит, откуда FRST был запущен.

    Четвертая строка: записывает версию Windows и дату установки.

    Пятая строка: говорит, в каком режиме была запущена проверка.


    Accounts
    (учетные записи)

    Перечисляет стандартные учетные записи в системе в таком формате: Имя учетной записи (SID -> Привилегии – Включена / Отключена) => Путь к профилю.

    Пример:

    Security Center
    (Центр безопасности)
    Вы могли заметить, что список содержит остатки от ранее удаленных программ защиты. В этом случае строку можно включить в fixlist.txt, чтобы удалить запись.
    Существуют некоторые программы защиты (наподобие Spybot S&D), которые сопротивляются удалению записи, если они не были полностью удалены. В этом случае, вместо подтверждения об удалении, вы увидите в Fixlog:

    Installed Programs
    (установленные программы)

    Перечисляет все установленные программы.

    FRST содержит встроенную базу данных для пометки потенциально нежелательных программ (PUP) и рекламного ПО (Adware).

    Пример:
    Строго рекомендуется деинсталлировать помеченные программы, прежде чем запускать автоматизированный инструмент для удаления рекламного ПО. Деинсталлятор рекламного ПО удаляет большинство его записей и возвращает назад изменения в конфигурации.

    В случаях, когда программа не отображается в пользовательском меню «Удаление программы», хотя на самом деле там присутствует, FRST укажет и дополнит запись меткой, подобно этому:

    Эти программы не обязательно вредоносные, просто спрятаны. У них в реестре есть параметр с именем «SystemComponent» типа REG_DWORD со значением 1. Такие программы не отображаются в оснастке «Добавить / удалить программу» (XP) или «Программы и компоненты» (Vista и выше) и пользователь не может удалить их оттуда.

    Если запись из лога Addition.txt включена в fixlist.txt, вы получите:
    Примечание: это всего лишь делает программу видимой, но не удаляет ее. Программа должна быть деинсталлирована пользователем.

    Как говорилось выше, не каждая невидимая программа является плохой. Существует множество легитимных программ (включая программы от Microsoft), которые прячутся по вполне понятным причинам.


    Custom CLSID
    (сторонние CLSID)

    Перечисляются сторонние записи CLSID, созданные в пользовательском улье.
    Пример:

    Чтобы пофиксить вредоносные записи, просто добавьте их в fixlist.txt и FRST удалит их.

    Примечание: легитимные программы сторонних производителей могут создавать Custom CLSID, поэтому необходима осторожность, т.к. легитимные записи удалять не нужно.


    Scheduled Tasks
    (назначенные задания)

    Пример:
    Пожалуйста, обратите внимание, что FRST удаляет только записи реестра и перемещает файл задачи, но не перемещает исполняемый файл. Если исполняемый файл является вредоносным, его необходимо добавить отдельной строкой в fixlist.txt, чтобы удалить.

    Заметьте, что вирусы могут использовать легитимные исполняемые файлы (например, через sc.exe запускать свою службу) для запуска своего собственного файла. Другими словами, Вам нужно проверять исполняемый файл, чтобы убедиться, легитимный он или нет, прежде чем принимать меры.


    Shortcuts
    (ярлыки)

    Перечисляются подмененные и подозрительные ярлыки в папке пользователя, который вошел в систему, а также в корне папок C:\ProgramData\Microsoft\Windows\Start Menu\Programs и C:\Users\Public\Desktop.

    Записи можно включить в fixlist.txt для исправления – см. Shortcut.txt в разделе «Другие опциональные сканирования».

    Примечание: в анализе Shortcut.txt содержатся все ярлыки всех пользователей, а в отчете Addition.txt – только подмененные / подозрительные ярлыки в профиле пользователя, который вошел в систему.

    В случае с заражением WMI, которое подменяет ярлыки, вы увидите предупреждение, подобное этому:
    Для удаления вредоносного скрипта поместите вышеуказанную строку в fixlist.txt.


    Loaded Modules
    (загруженные модули)

    Загруженные модули внесены в белый список на основе признака присутствия названия компании. Вот и всё; записи с отсутствующим полем «Имя компании» будут отображаться в логе. Имейте это в виду, потому что могут встретиться случаи, когда вредоносный модуль окажется с именем компании и его не будет в логе.


    Alternate Data Streams
    (альтернативные потоки данных)

    FRST перечисляет ADS подобно этому:
    Размер ADS (количество содержащихся байт) отображается в квадратных скобках в конце пути.

    Если поток присоединен к легитимному файлу или папке, то для фикса нужно целиком скопировать и вставить всю строку из лога в fixlist:
    Если поток во вредоносном файле / папке, то фикс будет выглядеть так:
    В первом случае FRST удалит только сам поток из файла или папки.
    Во втором случае файл или папка будет удалена.


    Safe Mode
    (безопасный режим)

    Значения по умолчанию внесены в белый список. Таким образом, если секция пустая, то в системе нет сторонних записей. Если какой-либо из главных ключей отсутствует (SafeBoot, SafeBoot\Minimal and SafeBoot\Network), об этом будет сказано. В таком случае, их необходимо исправить вручную.
    Если там будет запись, созданная вирусом, ее можно включить в fixlist.txt для удаления.


    Ассоциации
    (обратитесь к секции "Ассоциации" ранее в этом руководстве)

    Перечисляет файловые ассоциации для расширений .bat, .cmd, .com, .exe, .reg и .scr. Значения по умолчанию внесены в белый список, так что если они не будут изменены или дополнены другими записями, в логе ничего не будет указано.
    Если в fixlist.txt включена любая из измененных стандартных записей, то она будет восстановлена. Если в fixlist.txt включен пользовательский ключ реестра, то он будет удален.


    Internet Explorer trusted/restricted

    Перечисляет сайты, внесенные в список доверенных и ограниченных зон для браузера Internet Explorer. См. Security zones: adding or removing websites

    Если внести строку в fixlist, связанная с ней запись будет удалена из реестра.


    Hosts content
    (содержимое Hosts) - Обратитесь к разделу Hosts, описанному ранее в этом руководстве.
    Предоставляет больше информации о файле Hosts: свойства файла и первые 30 активных записей. Неактивные записи (закомментированные) скрываются.

    Пример:

    Строки нельзя обработать индивидуально. Чтобы сбросить файл, используйте директиву Hosts: или включите строку с предупреждением о Hosts из главного файла FRST.txt.


    Other Areas
    (другие области)

    Есть некоторые элементы в числе проверок FRST, которые не охватываются другими секциями. FRST сообщает о пути к рисунку рабочего стола, DNS серверах, настройках UAC (контроля учетных записей) и состоянии файрвола Windows. На данный момент для этих записей нет фикса.

    Wallpaper

    (рисунок рабочего стола).

    Различные виды шифровальщиков используют эти настройки, чтобы отобразить вымогательское сообщение.

    Пример:

    Нормальный путь может выглядеть так:
    Вредоносный путь и файл могут выглядеть так:
    Если это вирусные записи, то путь к файлу можно добавить к фиксу вместе с другими связанными с ним файлами, найденными в FRST.txt.

    Примечание: удаление вредоносной записи Wallpaper приведет к удалению фонового рисунка рабочего стола.

    Пользователь должен будет настроить обои на рабочем столе.

    В Windows XP:

    Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Свойства», нажмите на вкладку «Рабочий стол», выберите картинку, нажмите «Применить» и «ОК».

    В Windows Vista и выше:

    Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Персонализация», нажмите на надписи «Фон рабочего стола», выберите одну из картинок и нажмите «Сохранить изменения».

    DNS servers

    Эта подсекция полезна для определения подмены DNS / настроек роутера.

    Пример:
    Примечание: список серверов считывается не из реестра, поэтому система должна иметь выход в интернет.

    Если FRST запущена в безопасном режиме или система не подключена к интернету, вы получите:
    Поищите информацию на сайте WhoisLookup, чтобы узнать является ли сервер легитимным.

    Настройки UAC

    Пример:
    В примере выше показаны стандартные настройки.

    В примере выше настройка отключена. Так могло произойти, потому что сам пользователь ее отключил или из-за последствий воздействия вредоносного ПО. Если непонятно, является ли причиной этому вирус, следует обратиться с вопросом к пользователю, прежде чем давать фикс.

    Windows Firewal
    (Сетевой экран Windows)

    Пример:
    Отображает, включен или нет сетевой экран Windows. Если с системой возникли какие-то проблемы и FRST запущен в безопасном режиме, то записи о файрволе не будет.


    MSCONFIG/TASK MANAGER disabled items
    (отключенные элементы msconfig и Диспетчера задач)

    Лог будет полезным, если пользователь воспользовался MSConfig или Диспетчером задач для отключения вредоносных записей вместо того, чтобы удалить их. Либо, если он отключил слишком много записей, и теперь не может добиться корректного запуска необходимых ему служб и программ.

    Пример:
    MSCONFIG в Windows 7 и более старых системах:
    Читается следующим образом:

    Отключенные службы:
    Отключенные элементы в папке Автозагрузки:
    Отключенные записи Run:
    Диспетчер задач в Windows 8 и Windows 10:
    Примечание: Windows 8 и новее используют msconfig только для служб. Элементы Автозапуска перенесены в Диспетчер Задач, который хранит отключенные записи в разных ключах. Отключенные не отсутствующие элементы перечисляются дважды – в FRST.txt (секция Registry) и в Addition.txt.

    Записи можно включить в fixlist.txt для удаления. FRST выполнит следующие действия:
    - В случае с отключёнными службами он удалит ключ, созданный MSCONFIG и саму службу.
    - В случае с отключёнными элементами загрузки (Run) он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач. Сама запись Run будет также удалена на новых ОС (прим. переводчика - подразумевается Windows 8 и новее).
    - В случае с элементами папки "Автозагрузка" (Startup), он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач и переместит резервную копию файла, созданную Windows (на старых ОС) или сам файл (на новых системах). (прим. переводчика - под старыми ОС подразумевается XP / 2003)

    Важно: Исправляйте записи из этой секции только, если вы уверены, что это вредоносная запись. Если вы не уверены в происхождении этой записи, не делайте исправление, чтобы избежать удаления легитимных элементов. В случае с отключёнными легитимными элементами, которые необходимо включить, пользователь должен быть проинструктирован, как включить их с помощью утилиты "Конфигурация системы" (MSCONFIG) или Диспетчера задач.



    FirewallRules
    (правила файрвола)
    Перечисляются FirewallRules, AuthorizedApplications and GloballyOpenPorts (правила файрвола, доверенные приложения и глобально открытые порты).

    Пример лога (Win 7):
    Пример лога (XP):
    Если запись включена в fixlist.txt, она будет удалена из реестра. Ни один из связанных с ней файлов не будет перемещен.


    Restore Points
    (Точки восстановления)обратитесь к подразделу «Точки восстановления» ранее в этом руководстве.
    Перечисляет доступные точки восстановления в таком формате:
    Если функция отключена, будет оповещение:

    Faulty Device Manager Devices
    (неисправные устройства в «Диспетчере Устройств»)

    Event log errors:
    (Ошибки из журнала событий)
    - Application errors (Ошибки приложений)
    - System errors (Ошибки системы)
    - CodeIntegrity (Целостность ЭЦП)

    Memory info
    (информация о памяти) – обратитесь к подразделу «Информация о памяти» ранее в этом руководстве.

    Drives (диски)

    MBR & Partition Table
    (Главная загрузочная запись и Таблица разделов) – Обратитесь к разделу «Drives and MBR & Partition Table» ранее в этом руководстве.
     
    Последнее редактирование: 14 окт 2016
    Kиpилл нравится это.
  6. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Другие опциональные сканирования

    Опциональные сканирования

    Поставив галочку в чекбоксе в области «Optional Scan», FRST проверит запрошенные элементы.


    List BCD
    Перечисляются записи Данных конфигурации загрузки (Boot Configuration Data).


    Drivers MD5
    Создаст список драйверов и их контрольных сумм MD5, что будет выглядеть примерно так:
    Затем можно будет проверить их легитимность.


    Shortcut.txt

    Перечисляет все виды ярлыков во всех стандартных учетных записях. Подмененные записи можно включить в fixlist.txt для восстановления или удаления.

    Пример:
    Чтобы пофиксить строки ShortcutWithArgument: просто скопируйте и вставьте их в fixlist.txt. А для удаления объектов Shortcut: добавьте пути отдельно в фикс.

    Полный скрипт может выглядеть примерно так:
    Примечание: FRST удаляет из всех ярлыков аргументы, за исключением ярлыка Internet Explorer (No Add-ons).lnk. Аргумент этого ярлыка по умолчанию не пустой (он содержит ключ -extoff) и используется для запуска браузера Internet Explorer с отключением дополнений. Это очень важно для устранения неполадок с IE, поэтому аргумент этого ярлыка будет восстановлен.

    Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

    Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:

    Нажать правой кнопкой мыши по нему и выбрать «Свойства».

    На вкладке «Ярлык» в поле ввода «Объект» добавить к указанному пути два пробела и -extoff

    Нажать Применить и ОК.


    90 Days Files
    (файлы за последние 90 дней)

    Если отмечена опция "90 Days Files", FRST перечислит "Файлы и папки, созданные/изменённые за последних 3 месяца" вместо "Файлов и папок, созданных/изменённых за последний 1 месяц".


    Search features
    (функции поиска)
    Search Files
    (поиск файлов)

    В окне FRST есть кнопка «Search Files». Для поиска файлов вы можете ввести или скопировать и вставить в окно поиска имена, которые желаете найти. Допускаются подстановочные знаки. Если вам нужно найти более одного файла имена файлов необходимо разделить знаком точки с запятой ;

    Каждый из приведенных ниже вариантов будет работать:
    После нажатия кнопки «Search Files» пользователь информируется о запуске поиска и появляется прогрессбар. Затем появляется всплывающее сообщение, оповещающее, что поиск завершен. Отчет Search.txt сохраняется в ту же папку, где расположен FRST.exe.
    Найденные файлы перечисляются вместе с датой создания, изменения, размером, атрибутами, названием компании, MD5, и цифровой подписью в следующем формате:
    Примечание: проверка цифровой подписи не доступна в Среде восстановления.

    Функция поиска файлов работает только в пределах системного диска.

    Бывают случаи, когда легитимный системный файл отсутствует или поврежден, что приводит к проблемам с загрузкой, а в системе нет для него замены. Если поиск проводится в Режиме восстановления (Vista и выше), он также включает файлы на диске X: (виртуальный загрузочный диск). В некоторых случаях он может оказаться спасителем. В качестве примера – отсутствующий файл services.exe, который можно скопировать из X:\Windows\System32 в C:\Windows\System32.

    Примечание: Раздел X: будет содержать только 64-битные исполняемые файлы в случае с 64-битной ОС.


    Search Registry
    (поиск в реестре)

    В окне FRST есть кнопка «Search Registry». Вы можете ввести или скопировать и вставить в окно поиска имя (имена) записей, которые желаете найти. Если Вам необходимо найти более одной записи, то имена нужно разделять знаком точки с запятой ;

    Поиск одной фразы может выглядеть так:
    Поиск нескольких фраз может выглядеть так:
    В отличие от поиска файла, при выполнении поиска в реестре необходимо избегать добавления подстановочных знаков к поисковым фразам, потому что подстановочные знаки будут восприняты буквально. Если подстановочный знак ("*" или "?") добавлен в начало или в конец искомой фразы реестра, FRST проигнорирует его и будет искать эту фразу без данного знака.

    Отчет SearchReg.txt сохраняется в ту же папку, где расположен FRST.

    Примечание: функция поиска в реестре будет работать только вне Среды восстановления.
     
    Последнее редактирование: 23 июл 2016
    Kиpилл нравится это.
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Директивы и команды

    Каждая команда или директива в FRST должна быть расположена отдельной строкой, т.к. FRST обрабатывает строки скрипта одну за другой

    Краткое описание директив и команд.

    Примечание:
    Директивы и команды не чувствительны к регистру символов.

    Для использования только в Обычном режиме:

    CreateRestorePoint:
    TasksDetails:

    Для использования в Обычном и Безопасном режимах:

    CloseProcesses:
    DeleteKey:
    EmptyTemp:
    Powershell:
    Reboot:
    RemoveProxy:
    StartPowershell: — EndPowershell:
    VerifySignature:
    Zip:

    Для использования в Обычном, Безопасном режимах и среде восстановления (RE):

    cmd:
    DeleteJunctionsInDirectory:
    DeleteQuarantine:
    DisableService:
    File: and Folder:
    FindFolder:
    Hosts:
    ListPermissions:
    Move:
    nointegritychecks on:
    Reg:
    RemoveDirectory:
    Replace:
    RestoreQuarantine:
    SaveMbr:
    SetDefaultFilePermissions:
    StartBatch: — EndBatch:
    StartRegedit: — EndRegedit:
    testsigning on:
    Unlock:

    Для использования только в среде восстановления (RE):

    LastRegBack:
    RestoreErunt:
    Restore From Backup:
    RestoreMbr:


    Примеры использования

    CloseProcesses:

    Завершает все процессы, не представляющие особой важности для системы. Помогает произвести фикс более эффективно и быстрее.

    Пример:
    Код (Text):

    CloseProcesses:
     
    Если эта директива включена в фикс, она автоматически применит перезагрузку. Нет необходимости использовать директиву Reboot: . Директива CloseProcesses: не нужна и не доступна в среде восстановления.


    CMD:

    Иногда Вам нужно выполнить команду в CMD. В этом случае необходимо использовать директиву “CMD:”.

    Скрипт будет таким:
    Код (Text):

    CMD: Команда
     
    Если у Вас более одной команды, поместите CMD: в начало каждой строки, чтобы получить вывод в логе для каждой команды.

    Пример:
    Код (Text):

    CMD: copy /y c:\windows\minidump\*.dmp e:\
    CMD: bootrec /FixMbr
     
    Первая команда скопирует файлы минидампа на флешку (если у флешки буква диска – E).
    Вторая команда используется для фикса MBR в Windows Vista и выше.

    Альтернативно, можно воспользоваться директивами StartBatch: — EndBatch: (см. ниже).

    Примечание: В отличие от родных и прочих директив FRST, команды cmd должны иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае наличия пробелов в пути к файлу или каталогу.


    CreateRestorePoint:

    Для создания точки восстановления.

    Пример:
    Код (Text):

    CreateRestorePoint:
     
    Примечание: эта директива работает только в Обычном режиме. Она также не будет выполняться, если отключена система восстановления.


    DeleteJunctionsInDirectory:

    Для удаления точек соединения (junction) используйте приведенный синтаксис:
    Код (Text):

    DeleteJunctionsInDirectory: Путь
     
    Пример:
    Код (Text):

    DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
     

    DeleteKey:

    Для удаления ключей реестра вы можете использовать команду DeleteKey: подобно этому:
    Код (Text):

    DeleteKey: HKLM\Software\Google
     
    Или в формате regedit наподобие:
    Код (Text):

    [-HKEY_LOCAL_MACHINE\Software\Google]
     
    Либо:
    Код (Text):

    [-HKLM\Software\Google]
     
    Примечание: это не работает для параметров реестра.

    Примечание 2: поскольку директива удаления предназначена для любых видов ключей (даже ключей Classes, которые часто становятся мишенью), функция доступна только вне среды восстановления.

    Способность удаления ключей с помощью FRST распространяется на символические ссылки, ключи, которые заблокированы из-за отсутствия необходимых привилегий и ключи, которые содержат символы Null.

    Для ключей, которые защищены с помощью запущенной программы (по таким ключам будет получен отказ в доступе), вам необходимо использовать Безопасный режим (чтобы обойти защиту запущенных программ) или удалить ее основные компоненты перед использованием команды.

    Примечание: если среди перечисленных для удаления ключей есть ссылки на другой ключ реестра, будет удален ключ-источник, который является символической ссылкой. Цель этого ключа не будет удалена. Это сделано для предотвращения удаления обоих ключей, вредоносной символической ссылки, которая могла указывать на легитимный ключ и самого легитимного ключа. В ситуациях, когда оба ключа являются вредоносными – ключ-источник и его цель, необходимо перечислить их оба при удалении.


    DeleteQuarantine:

    После завершения очистки папки %SystemDrive%\FRST (обычно, C:\FRST), созданной инструментом FRST, ее необходимо удалить с компьютера. В некоторых случаях эту папку не получается удалить вручную в связи с тем, что в папке %SystemDrive%\FRST\Quarantine содержатся заблокированные или необычные вредоносные файлы или папки. Команда DeleteQuarantine: удалит папку Quarantine.

    Не следует использовать инструментарий перемещения файлов для удаления файлов из C:\FRST, поскольку эти инструменты лишь перемещают файлы в свой собственный каталог и он все равно остается в системе.

    Команду нужно просто добавить в fixlist.txt, подобно этому:
    Код (Text):

    DeleteQuarantine:
     

    DisableService:

    Для удаления обычной службы или службы драйвера, вы можете использовать следующий скрипт:
    Код (Text):

    DisableService: ServiceName
     
    Пример:
    Код (Text):

    DisableService: sptd
    DisableService: Schedule
    DisableService: Wmware Nat Service
     
    FRST установит тип запуска службы на «Отключено» и служба не запустится при следующей загрузке ОС.


    EmptyTemp:

    Следующие папки будут очищены:
    - Temp папки Windows
    - Temp пользователей
    - Кеш браузеров Edge, IE, FF, Chrome и Opera, хранилища HTML5, Cookies и History (Примечание: история FF не удаляется).
    - Кеш недавно открытых файлов
    - Кеш Flash Player
    - Кеш Java
    - Кеш Steam HTML
    - Кеш миниатюр Explorer и кеш иконок
    - Очередь передачи BITS (файлы qmgr*.dat)
    - Корзина.

    Если используется директива EmptyTemp:, после фикса система будет перезагружена. Нет необходимости использовать директиву Reboot:.

    Также вне зависимости от того, в какую часть скрипта добавлена EmptyTemp:, в начало, средину или конец fixlist, она будет выполнена после исполнения всех остальных строк fixlist.

    Важно: при использовании директивы EmptyTemp: объекты удаляются навсегда. Они не перемещаются в карантин.

    Примечание: директива отключена в среде восстановления с целью предотвращения нанесения вреда.


    File: и Folder:

    Используются для просмотра характеристик файла или содержимого каталога.
    Код (Text):

    File: path
    Folder: path
     
    Пример:
    Код (Text):

    File: C:\Windows\System32\Drivers\afd.sys
    Folder: C:\Windows\Boot
     

    FindFolder:

    Служит для поиска папки на системном диске.

    Допустимы подстановочные знаки. Если вам нужно найти более одной папки, искомые фразы должны быть разделены символом «точки с запятой» ;

    Пример:
    Код (Text):

    FindFolder: google
    FindFolder: *google*;adobe
     
    Обе указанные выше строки будут работать.


    Hosts:

    Предназначена для сброса Hosts. Также, см. hosts в секции «Основное сканирование (FRST.txt)».


    ListPermissions:

    Используется для перечисления разрешений на файлы / каталоги / ключи, включенные в скрипт:

    Код (Text):

    ListPermissions: path/key
     
    Пример:
    Код (Text):

    Listpermissions: C:\Windows\Explorer.exe
    Listpermissions: C:\users\farbar\appdata
    ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
    ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
     

    Move:

    Иногда операция переименования или перемещения файла, особенно если она выполняется между дисками, бывает проблематичной и команда MS Rename может завершиться неудачей. Чтобы переместить или переименовать файл, используйте следующий скрипт:
    Код (Text):

    Move: источник назначение
     
    Пример:
    Код (Text):

    Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
    Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
     
    Инструмент перемещает файл-назначение в папку Quarantine (если этот файл существует). Затем перемещает файл-источник в расположение указанного назначения.

    Примечание: С помощью директивы Move: можно выполнять переименование.

    Примечание 2: путь назначения должен содержать имя файла, даже если файл отсутствует в папке назначения.


    nointegritychecks on:

    Применима к версиям Windows Vista и выше.

    Если функция проверки целостности отключена, Вы увидите следующую строку в логе FRST:
    Это означает, что BCD была изменена для обхода проверки подписи при загрузке ОС. Чтобы включить проверку подписи, скопируйте и вставьте указанную выше строку в fixlist.

    На некоторых компьютерах, которые не могут загрузиться, отключение проверки подписи решает проблему с загрузкой до тех пор, пока мы снова не включим эту проверку. Чтобы отключить функцию с целью поиска и устранения неисправностей или создания бекапа в Обычном режиме перед переустановкой Windows, используйте следующий синтаксис:
    Код (Text):

    nointegritychecks on:
     

    Powershell:

    Предназначен для запуска команды или файла-скрипта в оболочке PowerShell.

    1. Для выполнения единственной команды в PowerShell и получения ее вывода в Fixlog.txt синтаксис будет таким:
    Код (Text):
    Powershell: команда
    Пример:
    Код (Text):
    Powershell: Get-Service

    2. Для выполнения единственной команды в PowerShell и получения ее вывода в текстовый файл (не Fixlog.txt) используйте операторы перенаправления или командлет Out-File:
    Код (Text):
    Powershell: команда > "Путь к текстовому файлу"
    Код (Text):
    Powershell: команда | Out-File "Путь к текстовому файлу"
    Пример:
    Код (Text):

    Powershell: Get-Service > C:\log.txt
    Powershell: Get-Process >> C:\log.txt
     

    3. Для запуска готового файла-скрипта (.ps1), который содержит одну или более строк (команд) PowerShell, синтаксис будет таким:
    Код (Text):
    Powershell: "Путь к файлу скрипта"
    Примеры:
    Код (Text):
    Powershell: C:\Users\UserName\Desktop\script.ps1
    Код (Text):
    Powershell: "C:\Users\User Name\Desktop\script.ps1"

    4. Для выполнения большего числа команд (строк) PowerShell, как если бы они находились в файле-скрипте (.ps1), но без создания файла .ps1, используйте в качестве разделителя "точку с запятой" ; вместо перевода строки:
    Код (Text):
    Powershell: строка 1; строка 2; (и так далее)
    Пример:
    Код (Text):
    Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")
    Альтернативно, можете воспользоваться директивами StartPowershell: — EndPowershell: (см. ниже).



    Reboot:

    Для перезагрузки компьютера.

    Не имеет значения, в какую часть fixlist вы ее добавите. Даже если она будет добавлена в начало, перезагрузка будет выполнена по завершению всех остальных фиксов.

    Примечание: эта команда не будет работать и не нужна в среде восстановления.


    Reg:

    Для управления реестром Windows с помощью консольной утилиты reg.exe.

    Синтаксис таков:
    Код (Text):

    Reg: reg команда
     
    Пример:
    Код (Text):

    Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
    Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
    Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
     
    Примечание: в отличие от родных директив FRST, команда Reg должна иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае, когда имя ключа или параметра содержит пробел.

    Примечание: директива не будет обрабатывать заблокированные или недействительные ключи. Наиболее эффективным способом удаления ключей является использование директивы DeleteKey: или формата [-Key], описанного ранее в этом руководстве.


    RemoveDirectory:

    Предназначена для удаления (не перемещения) каталогов с урезанными права или ошибками в пути или имени. Эта директива должна использоваться для каталогов, которые сопротивляются обычной операции перемещения. Если она будет использована в Безопасном режиме, то окажется очень мощной, а в среде восстановления – еще более мощной.

    Скрипт будет выглядеть так:
    Код (Text):

    RemoveDirectory: путь
     

    RemoveProxy:

    Убирает некоторые из ограничений, связанные с настройками политик Internet Explorer, подобно "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" или ProxySettingsPerUser в HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Команда удаляет параметр "ProxyEnable" (если он задан как 1), параметры "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" и "SavedLegacySettings" из ключей HKLM и пользователей. Команда также устанавливает параметр BITSAdmin в значение NO_PROXY.

    Дополнительно, команда удаляет значение по-умолчанию ключа "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies", если он изменен.

    Примечание: Если запущена программа или служба, которая восстанавливает эти параметры, ее необходимо деинсталлировать, а службу удалить, прежде чем использовать команду. Это будет гарантировать, что настройки прокси не вернутся обратно.


    Replace:

    Для замены файла используйте следующий скрипт:
    Пример:
    Код (Text):

    Replace: c:\WINDOWS\ServicePackFiles\i386\afd.sys c:\WINDOWS\system32\drivers\afd.sys
    Replace: c:\WINDOWS\ServicePackFiles\i386\atapi.sys c:\WINDOWS\system32\drivers\atapi.sys
     
    Инструмент перемещает файл-назначение (если он существует) в папку Quarantine. Затем копирует файл-источник в позицию назначения.

    Он не переместит файл-источник и он останется в оригинальном расположении. Таким образом, на примере выше файл afd.sys останется в папке i386 на будущее.

    Примечание: путь назначения должен включать в себя имя файла, даже если он сейчас отсутствует в папке назначения.

    Примечание 2: в случае, если папка назначения отсутствует, команда не выполнится. FRST не восстанавливает полную структуру каталога.


    Restore From Backup:

    При первом запуске FRST копирует ульи в папку %SystemDrive%\FRST\Hives (обычно, C:\FRST\Hives) в качестве резервной копии. Она не будет перезаписана при последующих запусках утилиты. Если что-то пошло не так, любой из ульев можно восстановить. Синтаксис будет таким:

    Код (Text):

    Restore From Backup: HiveName
     
    Пример:
    Код (Text):

    Restore From Backup: software
    Restore From Backup: system
     

    RestoreErunt:

    Для восстановления ульев, созданных Erunt, скрипт будет таким:
    Код (Text):

    RestoreErunt: путь
     
    Для восстановления из бекапов, созданных CF (ComboFix) скрипт будет таким:
    Код (Text):

    RestoreErunt: cf
     

    RestoreQuarantine:

    Вы можете восстановить целиком содержимое карантина, один или несколько файлов или папок из карантина.

    Чтобы восстановить содержимое карантина целиком синтаксис будет либо:
    Код (Text):

    RestoreQuarantine:
     
    либо
    Код (Text):

    RestoreQuarantine: C:\FRST\Quarantine
     
    Чтобы восстановить файл или папку, синтаксис будет таким:
    Код (Text):

    RestoreQuarantine: PathInQuarantine
     
    Пример восстановления папки C:\Program Files\Microsoft Office
    и файла, который изначально имел путь: C:\Users\Someperson\Desktop\ANOTB.exe
    Код (Text):

    RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
    RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD
     
    Чтобы найти путь в карантине, вы можете использовать:
    Код (Text):

    Folder: C:\FRST\Quarantine
     
    или:
    Код (Text):

    CMD: dir /a/b/s C:\FRST\Quarantine
     
    Примечание: Если файл уже существует (за пределами карантина) по пути назначения, FRST не перезапишет его. Оригинальный файл не будет перемещен и останется в карантине. Однако если вам все же нужно восстановить файл из карантина, необходимо удалить или переименовать файл в папке назначения.


    RestoreMBR:

    Служит для восстановления MBR. Для записи файла MBR.bin на диск FRST использует программу MbrFix, которая сохранена на флеш-накопитель. Вот что необходимо для фикса:
    1. Программа MbrFix/MbrFix64
    2. MBR.bin, который требуется восстановить.
    3. Скрипт, в котором указана буква диска:
    Код (Text):

    RestoreMbr: Drive=#
     
    Пример:
    Код (Text):

    RestoreMbr: Drive=0
     
    Примечание: MBR, который нужно восстановить, следует назвать MBR.bin, упаковать в архив и прикрепить в теме.


    SaveMbr:

    Обратитесь к секции Drives and MBR & Partition Table этого руководства.

    Чтобы создать копию MBR, используйте следующий синтаксис:
    Код (Text):

    SaveMbr: Drive=#
     
    Пример:
    Код (Text):

    SaveMbr: Drive=0
     
    Примечание: после выполнения этого, на флеш-накопителе будет создан файл MBRDUMP.txt, который пользователю необходимо прикрепить к своему сообщению в теме.


    SetDefaultFilePermissions:

    Директива создана для работы с заблокированными системными файлами. Она назначает группу "Администраторы" владельцем и в зависимости от системы предоставляет привилегии разрешения для стандартных групп.

    Примечание: директива не назначит Trusted-installer владельцем, тем не менее, директиву можно использовать на системных файлах, которые были заблокированы вредоносным ПО.

    Скрипт будет таким:
    Код (Text):

    SetDefaultFilePermissions: путь
     


    StartBatch: — EndBatch:

    Для создания и запуска пакетного файла.

    Синтаксис таков:
    Код (Text):

    StartBatch:
    Строка 1
    Строка 2
    И т.д.
    EndBatch:
     
    Вывод будет переадресован в Fixlog.txt.

    См. также директиву CMD: ранее в этом руководстве.



    StartPowershell: — EndPowershell:

    Более лучшая альтернатива для создания и запуска файла PowerShell, который содержит несколько строк (см. директиву Powershell: ранее в этом руководстве).

    Синтаксис таков:
    Код (Text):

    StartPowershell:
    Строка 1
    Строка 2
    И т.д.
    EndPowershell:
     
    Вывод будет переадресован в Fixlog.txt.



    StartRegedit: — EndRegedit:

    Предназначена для создания и импорта файла реестра (.reg).

    Синтаксис таков:
    Код (Text):

    StartRegedit:
    формат файла .reg
    EndRegedit:
     
    Включение заголовка формата Windows Registry Editor Version 5.00 является опциональным, но заголовок формата REGEDIT4 - обязателен.

    Пример:
    Код (Text):

    StartRegedit:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
    "Start"=dword:00000002

    EndRegedit:
     
    Вы получите подтверждение в Fixlog.txt:
    Примечание: строка с подтверждением появится вне зависимости от наличия любых возможных ошибок в вашем файле .reg.

    Примечание: директива не будет обрабатывать заблокированные или недействительные ключи. Наиболее эффективным способом удаления ключей является использование директивы DeleteKey: или формата [-Key], описанного ранее в этом руководстве.



    TasksDetails:

    Выводит подробности о задании, связанные с временем выполнения.
    Синтаксис таков:
    Код (Text):

    TasksDetails:
     
    Пример:
    Примечание: Директива не поддерживается в Windows XP и работает полнофункционально только в обычном режиме.
    В безопасном режиме вы получите информацию только о файлах *.job.


    testsigning on:

    Применим к Windows Vista и выше.

    Вирус иногда может добавить запись к BCD (Boot Configuration Data – Данные конфигурации загрузки ОС) для обхода режима проверки подписи при загрузке. Вредоносное ПО необходимо вычистить из системы, а затем восстановить BCD по умолчанию. Осторожно: управление записями BCD является тонкой работой, которая при неверном подходе может привести систему к незагружаемому состоянию.

    Если FRST найдет улики подобного вмешательства, он сообщит примерно так:
    Если вирус все еще присутствует на машине, в логе также будет (скрытый) неподписанный драйвер, отображающийся подобно этому:
    Кроме того, пользователь может сообщить, что видит нечто необычное на рабочем столе:
    «Я только что заметил кое-что в правом нижнем углу моего рабочего стола. Там написано: Тестовый режим, Windows 7, Сборка 7601. Я никогда не видел этого раньше».

    Test_mode_win7.jpg

    Полный скрипт удаления будет таким:
    Код (Text):

    S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
    C:\Windows\System32\Drivers\442564429e863a90.sys
    testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
     
    Кроме удаления вредоносного драйвера, FRST удалит значение, добавленное к BCD. Никаких дальнейших действий не требуется.

    Однако иногда сторонние инструменты выполняют частичную чистку системы, но не восстанавливают BCD. В таких случаях можно использовать следующее:
    Код (Text):

    testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
     
    В ситуациях, когда после установки ‘testsigning’ в значение по умолчанию (его отключения) что-то происходит не так, то для включения 'testsigning' с целью дальнейшего поиска и устранения неисправностей используйте следующую команду:

    Код (Text):

    testsigning on:
     

    Unlock:

    В случае с файлами и папками, директива меняет владельца на группу «Все», а также даёт ей права и работает рекурсивно, если применяется к каталогам. Директиву необходимо применять к вредоносным файлам и каталогам.

    В случае с элементами реестра она меняет владельца на группу «Администраторы», даёт группам обычный доступ и применяется только для указанного ключа. Её можно использовать как для вредоносных, так и легитимных ключей.

    Скрипт будет таким:
    Код (Text):

    Unlock: путь
     
    Иногда обычная операция перемещения не работает из-за привилегий. Вы поймёте это, когда увидите в логе Fixlog.txt «Could not move File/Directory» (Не могу переместить Файл/Каталог). В этом случае вы можете использовать директиву «Unlock:» на тех файлах или папках.

    Пример:

    Код (Text):

    Unlock: C:\Windows\badfile.exe
    Unlock: C:\Windows\System32\badfile.exe

     
    Чтобы совсем удалить файл/папку просто укажите пути отдельно в фиксе:
    Код (Text):

    Unlock: C:\Windows\System32\bad.exe
    C:\Windows\System32\bad.exe
     
    Вы можете использовать команду для разблокировки элементов реестра, если они заблокированы. Например, если вы запускаете фикс в среде восстановления и текущим конфигурационным разделом является ControlSet001, то будет применяться следующее:
    Код (Text):

    Unlock: hklm\system\controlset001\badservice\subkeyname
     
    Чтобы удалить ключ, используйте директиву Reg:. Полный синтаксис может быть таким:
    Код (Text):

    Unlock: hklm\system\controlset001\badservice\subkeyname
    Reg: reg delete hklm\system\controlset001\badservice /f
     

    VerifySignature:

    Служит для проверки цифровой подписи у файла.
    Код (Text):

    VerifySignature: путь
     
    Пример:
    Код (Text):

    VerifySignature: C:\Windows\notepad.exe
     

    Zip:

    Для упаковки файлов / папок и сохранения их на рабочий стол под именем Upload.zip с целью последующей загрузки пользователем.

    Код (Text):

    Zip: путь;путь
     
    Через точку с запятой можно перечислить сколько угодно много файлов или папок.

    Пример:
    Код (Text):

    Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
     
     
    Последнее редактирование: 14 окт 2016
    Kиpилл нравится это.
  8. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

    Шаблоны ответов
    Пример инструкции для экспертов, специализирующихся в помощи по борьбе с вредоносным ПО, для запуска пользователем FRST в обычном режиме:

    Пожалуйста, скачайте Farbar Recovery Scan Tool и сохраните ее на рабочий стол.

    Примечание: Вам нужно скачать версию, совместимую с Вашей системой. Если вы не уверены, какая из версий подходит, скачайте обе и попробуйте запустить каждую из них. Только одна сможет запуститься на Вашей системе. Это и будет правильная версия.

    • Нажмите правой кнопкой мыши и запустите от имени Администратора (пользователям XP нажимать «Запуск» после получения предупреждения от системы безопасности Windows, затем «Открыть файл»). После запуска программы, нажмите Yes, чтобы согласится с положениями отказа от ответственности.
    • Нажмите кнопку Scan.
    • Это создаст логи с именами FRST.txt и Addition.txt в той же папке, откуда была запущена программа.
    • Пожалуйста, скопируйте и вставьте сюда логи.


    Пожалуйста, скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/url] и сохраните ее на рабочий стол.
    [color=green]
    [b]Примечание[/b]: Вам нужно скачать версию, совместимую с Вашей системой. Если вы не уверены, какая из версий подходит, скачайте обе и попробуйте запустить каждую из них. Только одна сможет запуститься на Вашей системе. Это и будет правильная версия.
    [/color][LIST]
    [*]Нажмите правой кнопкой мыши и запустите от имени Администратора (пользователям XP нажимать «Запуск» после получения предупреждения от системы безопасности Windows, затем «Открыть файл»). После запуска программы, нажмите [b]Yes[/b], чтобы согласится с положениями отказа от ответственности.
    [*]Нажмите кнопку [b]Scan[/b].
    [*]Это создаст логи с именами [b]FRST.txt[/b] и [b]Addition.txt[/b] в той же папке, откуда была запущена программа.
    [*]Пожалуйста, скопируйте и вставьте сюда логи.
    [/LIST]



    Пример инструкции для запуска FRST на Windows Vista, Windows 7 и Windows 8 в консоли восстановления (RE).

    • На здоровой системе, пожалуйста, скачайте Farbar Recovery Scan Tool и сохраните его на флешку.

    Примечание: Вам нужно запускать версию, совместимую с Вашей системой

    Подключите флешку к зараженному ПК.
    Если вы используете Windows Vista или Windows 7, войдите в меню выбора вариантов восстановления системы.

    Чтобы войти в меню «Опций восстановления системы» из меню «Дополнительные опции загрузки»:
    • Перезагрузите компьютер.
    • Как только загрузится BIOS, начните нажимать клавишу F8 до тех пор, пока не появится меню «Дополнительных опций загрузки».
    • Используйте клавиши со стрелками, чтобы выбрать пункт Устранение неполадок компьютера.
    • Выберите US в качестве языка ввода с клавиатуры и нажмите Далее.
    • Выберите операционную систему, которую желаете восстановить, затем нажмите Далее.
    • Выберите Вашу учетную запись и нажмите Далее.


    Примечание: В случае если вы не можете войти в меню «Опций системы восстановления», используя метод с клавишей F8, вы можете воспользоваться установочным диском или создать диск восстановления. Можно использовать любой установочный диск Windows или диск восстановления, созданный на другом компьютере.
    Чтобы создать диск восстановления на Windows 7 изучите: System Repair Disc - Create - Windows 7 Help Forums


    Чтобы войти в меню «Опций восстановления системы», используя установочный диск Windows:
    • Вставьте установочный диск.
    • Перезагрузите компьютер.
    • Если было запрошено, нажмите любую клавишу для запуска Windows из-под установочного диска. Если Ваш компьютер не настроен для загрузки с CD-диска, проверьте настройки BIOS.
    • Нажмите Восстановить компьютер.
    • Выберите US в качестве языка ввода, затем нажмите Далее.
    • Выберите операционную систему, которую желаете восстановить, затем нажмите Далее.
    • Выберите учетную запись и нажмите Далее.

    В меню «Опций восстановления системы» вы увидите следующие пункты:
    • Восстановление запуска
    • Восстановление системы
    • Восстановление образа системы
    • Диагностика памяти Windows
    • Командная строка
    Выберите Командная строка

    Как только попадете в Командную строку:
    • В окне консоли введите notepad и нажмите Enter.
    • Откроется блокнот. В меню «Файл» выберите «Открыть».
    • Выберите «Компьютер», найдите букву Вашей флешки и закройте блокнот.
    • В окне консоли введите e:\frst (для x64 битной версии введите e:\frst64) и нажмите Enter
      Примечание:
      Замените букву e на букву диска Вашей флешки.
    • Инструмент начнет запуск.
    • Когда программа откроется, нажмите «Yes», чтобы согласится с условиями отказа от ответственности.
    • Нажмите кнопку Scan.
    • Это создаст лог (FRST.txt) на флешке. Пожалуйста, скопируйте и вставьте его в свой ответ.


    [LIST]
    [*]На здоровой системе, пожалуйста, скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/url] и сохраните его на флешку.
    [/list]

    [color=green][b]Примечание[/b]: Вам нужно запускать версию, совместимую с Вашей системой[/color]

    Подключите флешку к зараженному ПК.
    [LIST]
    [*]Если вы используете Windows 8, изучите [url=http://www.bleepingcomputer.com/tutorials/windows-8-recovery-environment-command-prompt/]How to use the Windows 8 System Recovery Environment Command Prompt[/url], чтобы войти в командную консоль системы восстановления.
    [/list]
    Если вы используете Windows Vista или Windows 7, войдите в [b]меню выбора вариантов восстановления системы[/b].

    [color=#0000FF][b]Чтобы войти в меню «Опций восстановления системы» из меню «Дополнительные опции загрузки»:[/b][/color]
    [LIST]
    [*]Перезагрузите компьютер.
    [*]Как только загрузится BIOS, начните нажимать клавишу [b] F8[/b] до тех пор, пока не появится меню «Дополнительных опций загрузки».
    [*]Используйте клавиши со стрелками, чтобы выбрать пункт [b]Устранение неполадок компьютера[/b].
    [*]Выберите [b]US[/b] в качестве языка ввода с клавиатуры и нажмите [b]Далее[/b].
    [*]Выберите операционную систему, которую желаете восстановить, затем нажмите [b]Далее[/b].
    [*]Выберите Вашу учетную запись и нажмите [b]Далее[/b].
    [/LIST]

    [color=green]
    [b]Примечание[/b]: В случае если вы не можете войти в меню «Опций системы восстановления», используя метод с клавишей F8, вы можете воспользоваться установочным диском или создать диск восстановления. Можно использовать любой установочный диск Windows или диск восстановления, созданный на другом компьютере.
    Чтобы создать диск восстановления на Windows 7 изучите: [url=http://www.sevenforums.com/tutorials/2083-system-repair-disc-create.html]http://www.sevenforums.com/tutorials/2083-system-repair-disc-create.html[/url]
    [/color]

    [color=#0000FF][b]Чтобы войти в меню «Опций восстановления системы», используя установочный диск Windows:[/b][/color]
    [LIST]
    [*]Вставьте установочный диск.
    [*]Перезагрузите компьютер.
    [*]Если было запрошено, нажмите любую клавишу для запуска Windows из-под установочного диска. Если Ваш компьютер не настроен для загрузки с CD-диска, проверьте настройки BIOS.
    [*]Нажмите [b]Восстановить компьютер[/b].
    [*]Выберите [b]US[/b] в качестве языка ввода, затем нажмите [b]Далее[/b].
    [*]Выберите операционную систему, которую желаете восстановить, затем нажмите [b]Далее[/b].
    [*]Выберите учетную запись и нажмите [b]Далее[/b].
    [/LIST]

    [color=#008000][b]В меню «Опций восстановления системы» вы увидите следующие пункты: [/b][/color]
    [list]
    [*]Восстановление запуска
    [*]Восстановление системы
    [*]Восстановление образа системы
    [*]Диагностика памяти Windows
    [*]Командная строка
    [/list]
    Выберите [b]Командная строка[/b]

    [color=blue][b]Как только попадете в Командную строку:[/b][/color]
    [LIST]
    [*]В окне консоли введите [b]notepad[/b] и нажмите [b]Enter[/b].
    [*]Откроется блокнот. В меню «Файл» выберите [b]«Открыть»[/b].
    [*]Выберите «Компьютер», найдите букву Вашей флешки и закройте блокнот.
    [*]В окне консоли введите [b][color=#FF0000]e[/color]:\frst[/b] (для x64 битной версии введите [b][color=#FF0000]e[/color]:\frst64[/b]) и нажмите [b]Enter
    Примечание:[/b] Замените букву [color=#FF0000]e[/color] на букву диска Вашей флешки.
    [*]Инструмент начнет запуск.
    [*]Когда программа откроется, нажмите «Yes», чтобы согласится с условиями отказа от ответственности.
    [*]Нажмите кнопку [b]Scan[/b].
    [*]Это создаст лог (FRST.txt) на флешке. Пожалуйста, скопируйте и вставьте его в свой ответ.
    [/LIST]


    Фиксы

    Пример инструкции для выполнения фикса в обычном и безопасном режимах загрузки Windows:

    Скачайте приложенный файл fixlist.txt и сохраните его на рабочий стол.

    ПРИМЕЧАНИЕ. Важно, чтобы оба файла FRST/FRST64 и fixlist.txt были расположены рядом, иначе фикс не будет работать.

    ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.

    Запустите FRST/FRST64 и нажмите кнопку Fix только один раз и ждите.
    Если по каким-либо причинам инструмент потребует перезагрузку, пожалуйста, убедитесь, что дали возможность системе нормально перезагрузиться. После этого позвольте инструменту закончить свою работу. По завершению FRST создаст отчет Fixlog.txt на рабочем столе. Пожалуйста, разместите его в своем ответе.


    Скачайте приложенный файл [b]fixlist.txt[/b] и сохраните его на рабочий стол.

    [u][b]ПРИМЕЧАНИЕ.[/b][/u] Важно, чтобы оба файла [b]FRST/FRST64[/b] и [b]fixlist.txt [/b] были расположены рядом, иначе фикс не будет работать.

    [b][color=red]ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.[/color][/b]

    Запустите [b][color=#0000FF]FRST/FRST64[/color][/b] и нажмите кнопку [b]Fix[/b] только один раз и ждите.
    Если по каким-либо причинам инструмент потребует перезагрузку, пожалуйста, убедитесь, что дали возможность системе нормально перезагрузиться. После этого позвольте инструменту закончить свою работу. По завершению FRST создаст отчет Fixlog.txt на рабочем столе. Пожалуйста, разместите его в своем ответе.


    Пример инструкции для выполнения фикса в среде восстановления (RE):

    Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нем и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем fixlist.txt.

    ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.

    Для ОС Windows Vista и Windows 7: Теперь, пожалуйста, откройте опции Среды восстановления.

    Для Windows XP: Теперь, пожалуйста, загрузитесь в PE (среду предварительной установки) с помощью диска.

    Запустите FRST/FRST64 и нажмите кнопку Fix всего один раз и подождите.
    Инструмент создаст лог на флешке (Fixlog.txt). Пожалуйста, разместите его в своем ответе.


    Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нем и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем [b]fixlist.txt[/b].

    [quote]
    Здесь будет расположен скрипт
    [/quote]

    [color=red][b]ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.[/b][/color]

    Для ОС Windows Vista и Windows 7: Теперь, пожалуйста, откройте опции Среды восстановления.

    Для Windows XP: Теперь, пожалуйста, загрузитесь в PE (среду предварительной установки) с помощью диска.

    Запустите [b]FRST/FRST64[/b] и нажмите кнопку [b]Fix[/b] всего один раз и подождите.
    Инструмент создаст лог на флешке ([b]Fixlog.txt[/b]). Пожалуйста, разместите его в своем ответе.



    ____________________________
    Документ переведен на основе версии от 12.05.2016.
    Спасибо regist за полную вычитку и правки.
    Информацию о предыдущих обновлениях оригинального руководства можно найти в этом посте под статьей.
    По мере выхода обновлений, этот перевод также будет обновляться.
     
    Последнее редактирование: 18 окт 2016
    Kиpилл нравится это.
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    Обсуждение программы FRST и перевода руководства проводится в теме: FRST - обсуждение


    Перечень последних обновлений:


    04.01.2016 – Флаг «Attention» убран из разъяснения секции «Shortcuts».
    04.01.2016 – В FirewallRules добавлено GloballyOpenPorts.
    05.03.2016 – Внесены правки в секцию «Alternate Data Streams» (информация о размере)
    05.03.2016 – Добавлена директива Zip:
    20.04.2016 – Обновлено описание подсекции «Opera»
    20.04.2016 – Более доходчиво описана секция «Services and Drivers»
    20.04.2016 – Добавлен атрибут «X» в секцию «One month... Scans»
    20.04.2016 – Ссылка на «Alternate Data Streams» удалена из секции «Лечение»
    20.04.2016 – Обновлена секция «Bamital & volsnap»
    20.04.2016 – Заменена ссылка «Internet Explorer zones»
    20.04.2016 – Описания секций «Hosts content» и «Restore Points» добавлены в раздел Addition.txt
    20.04.2016 – В список очистки EmptyTemp: добавлены кеш Steam HTML и BITS.
    20.04.2016 – Описание «Search Files» дополнено заметкой о проверке цифровой подписи.
    20.04.2016 – Добавлена заметка о том, что проверка цифровой подписи не доступна в Среде восстановления
    20.04.2016 – Различные мелкие и косметические правки
    28.04.2016 – Добавлено замечание, касающееся ограничений в сканировании «One month...»
    28.04.2016 – Обнаружение заражения WMI добавлено в анализ Shortcuts (Addition.txt)
    28.04.2016 – Обновлено описание «Shortcut.txt»
    10.05.2016 – Секция "Ассоциации EXE" переименована в "Ассоциации" (во всех сканированиях) и расширена (только в сканировании Addition.txt)
    10.05.2016 – Подправлен вывод директивы File:
    12.05.2016 – Содержание руководства реорганизовано и упрощено
    11.06.2016 – Добавлена ссылка на русский перевод
    16.06.2016 – Обновлен список областей сканирования по умолчанию.
    16.06.2016 – Убрана поддержка подстановочного знака "?" при обработке файлов и папок, а также при поиске в реестре.
    16.06.2016 – Добавлена директива Powershell:
    16.06.2016 – Правки в описание директивы Zip:
    16.06.2016 – Указаны ограничения области поиска директивы FindFolder: и функции Search Files.
    18.06.2016 – К перечислению EmptyTemp: добавлен кеш иконок.
    05.07.2016 – Обновлено описание директивы Powershell.
    22.07.2016 – Добавлены парные директивы StartBatch: — EndBatch: и StartPowershell: — EndPowershell:
    22.07.2016 – Исправлены описания SetDefaultFilePermissions: и Unlock:
    22.07.2016 – Отчёт "Search Registry" переименован в SearchReg.txt
    25.07.2016 – Добавлена парная директива StartRegedit: — EndRegedit:
    25.07.2016 – Обновлено описание директивы Reg:
    15.08.2016 – Секция Edge дополнена расширениями
    22.09.2016 – Обновлено описание отключённых элементов MSCONFIG/Диспетчера задач новыми примерами и пояснениями о фиксе.
    13.10.2016 – Старое определение, связанное с модификацией ZeroAccess ("File name is altered") удалено из секции "Реестр"
    13.10.2016 – Расширено пояснение политик в секции "Реестр", чтобы охватить ограничения SAFER, скрипты GPO, обновлено определение Registry.pol
    13.10.2016 – Обновлено описание Firefox, чтобы отразить переделанную проверку, которая теперь включает все профили (включая также клоны Firefox)
    13.10.2016 – Обновлено описание Chrome, чтобы включить пометку профилей и обработку настроек
    13.10.2016 – Поле Addition.txt теперь всегда заранее отмечено
    13.10.2016 – Добавлена директива TasksDetails:
     
    Последнее редактирование: 14 окт 2016
    shestale и Kиpилл нравится это.
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Немного дополню.
    При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.
    Думаю, для русско-язычной части интернета более привычно название Trojan.Win32.Patched.qw. Перевод описания этого трояна можете почитать здесь.
    Для удаления этих элементов нужно самостоятельно составить команду для удаления этих ключей реестра. При простом копировании строки из лога они удалены не будут. Как именно написать команду см. раздел Директивы и команды. По моей просьбе farbar добавил обработку этих и с 19-го сентябра можно просто скопировать строку из лога и она будет обработана.
    Хочу обратить внимание, что наличие такого драйвера, а также включение тестового режима необязательно говорит о наличии вируса. Как пример, использование неофициальной сборки VirtualBox, в которой в отличие от официальной отключён hardening. Для того, чтобы эту сборку можно было использовать на x64 системах, драйверы подписаны самосгенерированным сертификатом, а пользователь самостоятельно должен включить тестовый режим.
    Нельзя будет восстановить через FRST, зато с этим хорошо справится ClearLNK. Достачно просто перетащить или любым другим способом "скормить" ClearLNK этот ярлык. Аналогично с помощью ClearLNK можно исправить и другие ярлыки, в том числе и перечисленные в логе "Shortcut.txt".
     
    Последнее редактирование: 12 окт 2016
    Kиpилл нравится это.
  11. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309

Поделиться этой страницей