[завершено] Перевод руководства FRST

Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Там речь идет о том, какие действия производятся с секцией процессы при их включении в fixlist
Процессы:


Есть две причины, по которым вы могли бы захотеть остановить процесс. Во-первых, вы можете остановить антивирусную программу, котораяможет помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.


Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.


Например:

(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно закрыт).


Если у Вас есть вредоносный процесс и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в Ваш фикс, подобно этому:

(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Всем спасибо за помощь.
Разрешение на перевод у emeraldnzl получено. Farbar также читал переписку, но ничего не ответил. Молчание - знак согласия.
Орфографию проверил, документ полностью вычитал, поправил все более милозвучнее. Принимайте:
Руководство по Farbar’s Recovery Scan Tool (FRST) (если все как надо, переносите в открытый)

Хух. Пойду возьму шоколадку.

P.S. Для тех, кто уже знакомился с руководством на англ. ранее - я в конце дописал список изменений. Их за этот месяц было много.
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
5,002
Баллы
743
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.
Если вредоносное ПО создает стороннюю запись в BCD, вы увидите следующую строку:
Пример взят из заражения Hijacker.DNS.Hosts:
Для нас привычней Trojan.Win32.Patched.qw разбор этого трояна здесь.
(отключенные элементы msconfig и Диспетчера задач)
добавлю, что при внесение этих записей в фихлист они не будут исправлены автоматически, так что надо самостоятельно редактировать строку и добавлять команду для исправления.
 
Последнее редактирование:
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Нет, именно основные (primary) и расширенные (extended).
я видел что написано в оригинале, но знаю что обычно в этой секции. Так что это не у тебя неправильно переведено, а в оригинале не совсем корректно названо.
Пример можешь привести, что ты туда добавляешь для исправления?
И ты проверял на каких ОС ?
Изначально думал, чтобы ты добавлял примечания переводчика. Но после твоего предыдущего поста подумал, что наверно лучше не искажать и просто снизу допишу дополнение от своего имени. А по этой секции и тому, что записи из MSCONFIG не удаляются, так это он даже сам всегда в логе пишет (в принципе он обычно у тех секции, которые не удаляет не удаляет он там предупреждает, в том числе и про удаление программ). Как именно удалить есть несколько вариантов, даже Ноздря в практике Чинашки их перечислял, хотя лично я всегда использую для них команду такого вида
Код:
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YandexElements]
Заменить моим вариантом? :
замени, но "несколько программ лечения." это тоже не очень то звучит.

А вообще хочу написать, что при заражение руткитом/буткитом лучше (и правильней) использовать антируткиты, в частности TDSSKiller. Единственный плюс FRST это то что его можно в среде восстановления запускать, а вот по антируткитам не уверен.
И он пишет, что при TDL4 может не загрузиться система из-за мусорных записей в BCD, точней TDL4 - кране неудачный пример. Я гарантирую, что конкретно при этом вирусе такого никогда не будет, и вообще он в BCD кажись ничего не пишет (хотя по этой части ручаться не буду, надо бы перепроверить). Максим, что останется после него это мусор в виде неразмеченной части диска, который при при изменение разделов можно будет прикрепить к любому из разделов.

А по остальному хочется всё выверить, надеюсь и остальные тоже напишут свои замечания/пожелания. Тем более я построчно всё не сверяю, на англ. смотрю только те места, которые мне кажется сомнительными в русском. А после того как всё выверим написать им про замеченные нами неточности, дополнения. А заодно уточнить если будут какие-то непонятные (спорные) моменты, например по эффективности удаления расширения.
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Ясно. Это мнение хелпера. И если есть много чего сказать / добавить / детализировать, то тогда лучше действительно после публикации перевода.
Тогда если считаешь правильным, удали пока и примечание про оперу.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Заметка от себя:
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD
это если хотите восстановить файл, который исходно был
Код:
C:\Users\Someperson\Desktop\ANOTB.exe
____________
Where the malware is still present on the machine there will also be a (hidden) unsigned driver showing in the log like this:
Если вирус все еще присутствует на машине, в логе также будет неподписанный (скрытый) драйвер, отображающийся подобно этому:
... в логе также будет отображён (скрытый) неподписанный драйвер, отображённый подобный этому.
Подчёркнутое именно в таком порядке, потому что неподписанный это не значит скрытый. То есть драйвер будет не подписан и при этом он также может быть и скрыт, а может и нек быть скрытым - поэтому и в скобках. При этом часто пользователи самостоятельно включают этот режим, например чтобы использовать самостоятельно собранный (и поэтому не имеющий легальной цифровой подписи) virtualbox, или просто чтобы использовать патченный драйвер с обходом лицензионной защиты программы.
Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:
либо просто перетащить и бросить этот ярлык на ClearLNK :)
И ещё вопрос к Фарбару остался. В статье несколько раз упоминаются постановочные знаки, в примерах используется только звёздочка. Можно ли употреблять какие-либо ещё маски (подстановочные знаки) ?
 
Последнее редактирование:
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
И ещё вопрос к Фарбару остался. В статье несколько раз упоминаются постановочные знаки, в примерах используется только звёздочка. Можно ли употреблять какие-либо ещё маски (подстановочные знаки) ?
Стоит спросить. А еще не сказано что функция SearchFiles в обычном режиме охватывает только диск C:
 
Последнее редактирование модератором:
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
функция SearchFiles
По моим тестам знаки ? нормально воспринимает, в том числе и как подстановочные вместо юникодного символа.
Но вот конкретную папку для поиска задавать нельзя. По остальным директивам и пр. не тестировал.

что-то не видно.
Ааа, въехал. Я оказывается этот кусок вообще потерял при переводе.
Примечание: FRST не трогает файлы ключей реестра, которые загружаются или выполняются. Если вам нужно переместить файлы, перечислите их отдельно, указав полный путь без прочей информации.
Но что-то мне не понравилось как получилось. Т.е. получилось как будто бы не трогает только файлы, которые использует система.
Может подразумевалось что-то вроде файлов загрузочных ключей реестра. (там выше речь шла про AppInit dlls)
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Примечание: FRST не трогает файлы, указанные в ключах реестра, которые загружаются или выполняются. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.
Этот вариант конечно лучше твоего первоначально, но всё-таки думаю лучше так:
Примечание: FRST не трогает файлы которые указаны в этих ключах реестра. Если вам нужно....
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Тогда:
Примечание: FRST не трогает файлы, указанные в ключах автозагрузки.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
: FRST не трогает файлы, указанные в ключах автозагрузки.
как я понял из твоего перевода он их не трогает везде за исключением ключей одноразового запуска. То есть для удаления файла его надо указывать отдельно.
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Я именно так и понял. И честно говоря по-английски как то кривовато написано:
Note: FRST does not touch the files the registry keys are loading or executing.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Поэтому предлагаю
Примечание: FRST не трогает файлы которые указаны в этих ключах реестра. Если вам нужно....
если ближе к оригиналу, то: FRST не трогает файлы которые загружаются в этих ключах реестра... но думаю не обязательно указывать загружаются, а то будут понимать как автозапуск.
Перечисляет основные и расширенные разделы всех дисков,
и всё-таки я этого не понимаю. Кто-нибудь мне может объяснить какие диски основные, а какие расширенные?
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
На 1 жестком диске может быть не более 4 основных (первичных) разделов,
либо 3 основных + 1 расширенный, который может делиться еще на N-е кол-во логических.

Разделы жесткого диска и файловые системы | Русскоязычная документация по Ubuntu
Читать
"Структура диска, разбитого на разделы (MBR)" (пп. 2, 5)
и
"Виды разделов".
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Тогда просто терминология не понятная. Я привык к названиям "Основной" и "Логический" диск, предположу, что и для остальных эти названия более привычны и понятны. А если не понятны, то можно добавить Что такое разделы и логические диски?
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Согласен. В данном случае лучше поменять "расширенный" на "логический".
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,055
Реакции
5,845
Баллы
648
Сверху Снизу