[завершено] Перевод руководства FRST

Там речь идет о том, какие действия производятся с секцией процессы при их включении в fixlist
Процессы:


Есть две причины, по которым вы могли бы захотеть остановить процесс. Во-первых, вы можете остановить антивирусную программу, котораяможет помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.


Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.


Например:

(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe

Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно закрыт).


Если у Вас есть вредоносный процесс и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в Ваш фикс, подобно этому:

(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot
 
Всем спасибо за помощь.
Разрешение на перевод у emeraldnzl получено. Farbar также читал переписку, но ничего не ответил. Молчание - знак согласия.
Орфографию проверил, документ полностью вычитал, поправил все более милозвучнее. Принимайте:
Руководство по Farbar’s Recovery Scan Tool (FRST) (если все как надо, переносите в открытый)

Хух. Пойду возьму шоколадку.

P.S. Для тех, кто уже знакомился с руководством на англ. ранее - я в конце дописал список изменений. Их за этот месяц было много.
 
Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.
Если вредоносное ПО создает стороннюю запись в BCD, вы увидите следующую строку:

Пример взят из заражения Hijacker.DNS.Hosts:
Для нас привычней Trojan.Win32.Patched.qw разбор этого трояна здесь.
(отключенные элементы msconfig и Диспетчера задач)
добавлю, что при внесение этих записей в фихлист они не будут исправлены автоматически, так что надо самостоятельно редактировать строку и добавлять команду для исправления.
 
Последнее редактирование:
Нет, именно основные (primary) и расширенные (extended).
я видел что написано в оригинале, но знаю что обычно в этой секции. Так что это не у тебя неправильно переведено, а в оригинале не совсем корректно названо.
Пример можешь привести, что ты туда добавляешь для исправления?
И ты проверял на каких ОС ?
Изначально думал, чтобы ты добавлял примечания переводчика. Но после твоего предыдущего поста подумал, что наверно лучше не искажать и просто снизу допишу дополнение от своего имени. А по этой секции и тому, что записи из MSCONFIG не удаляются, так это он даже сам всегда в логе пишет (в принципе он обычно у тех секции, которые не удаляет не удаляет он там предупреждает, в том числе и про удаление программ). Как именно удалить есть несколько вариантов, даже Ноздря в практике Чинашки их перечислял, хотя лично я всегда использую для них команду такого вида
Код:
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YandexElements]
Заменить моим вариантом? :
замени, но "несколько программ лечения." это тоже не очень то звучит.

А вообще хочу написать, что при заражение руткитом/буткитом лучше (и правильней) использовать антируткиты, в частности TDSSKiller. Единственный плюс FRST это то что его можно в среде восстановления запускать, а вот по антируткитам не уверен.
И он пишет, что при TDL4 может не загрузиться система из-за мусорных записей в BCD, точней TDL4 - кране неудачный пример. Я гарантирую, что конкретно при этом вирусе такого никогда не будет, и вообще он в BCD кажись ничего не пишет (хотя по этой части ручаться не буду, надо бы перепроверить). Максим, что останется после него это мусор в виде неразмеченной части диска, который при при изменение разделов можно будет прикрепить к любому из разделов.

А по остальному хочется всё выверить, надеюсь и остальные тоже напишут свои замечания/пожелания. Тем более я построчно всё не сверяю, на англ. смотрю только те места, которые мне кажется сомнительными в русском. А после того как всё выверим написать им про замеченные нами неточности, дополнения. А заодно уточнить если будут какие-то непонятные (спорные) моменты, например по эффективности удаления расширения.
 
Ясно. Это мнение хелпера. И если есть много чего сказать / добавить / детализировать, то тогда лучше действительно после публикации перевода.
Тогда если считаешь правильным, удали пока и примечание про оперу.
 
Заметка от себя:
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD
это если хотите восстановить файл, который исходно был
Код:
C:\Users\Someperson\Desktop\ANOTB.exe
____________
Where the malware is still present on the machine there will also be a (hidden) unsigned driver showing in the log like this:
Если вирус все еще присутствует на машине, в логе также будет неподписанный (скрытый) драйвер, отображающийся подобно этому:
... в логе также будет отображён (скрытый) неподписанный драйвер, отображённый подобный этому.
Подчёркнутое именно в таком порядке, потому что неподписанный это не значит скрытый. То есть драйвер будет не подписан и при этом он также может быть и скрыт, а может и нек быть скрытым - поэтому и в скобках. При этом часто пользователи самостоятельно включают этот режим, например чтобы использовать самостоятельно собранный (и поэтому не имеющий легальной цифровой подписи) virtualbox, или просто чтобы использовать патченный драйвер с обходом лицензионной защиты программы.
Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:
либо просто перетащить и бросить этот ярлык на ClearLNK :)
И ещё вопрос к Фарбару остался. В статье несколько раз упоминаются постановочные знаки, в примерах используется только звёздочка. Можно ли употреблять какие-либо ещё маски (подстановочные знаки) ?
 
Последнее редактирование:
И ещё вопрос к Фарбару остался. В статье несколько раз упоминаются постановочные знаки, в примерах используется только звёздочка. Можно ли употреблять какие-либо ещё маски (подстановочные знаки) ?
Стоит спросить. А еще не сказано что функция SearchFiles в обычном режиме охватывает только диск C:
 
Последнее редактирование модератором:
функция SearchFiles
По моим тестам знаки ? нормально воспринимает, в том числе и как подстановочные вместо юникодного символа.
Но вот конкретную папку для поиска задавать нельзя. По остальным директивам и пр. не тестировал.

что-то не видно.
Ааа, въехал. Я оказывается этот кусок вообще потерял при переводе.
Примечание: FRST не трогает файлы ключей реестра, которые загружаются или выполняются. Если вам нужно переместить файлы, перечислите их отдельно, указав полный путь без прочей информации.
Но что-то мне не понравилось как получилось. Т.е. получилось как будто бы не трогает только файлы, которые использует система.
Может подразумевалось что-то вроде файлов загрузочных ключей реестра. (там выше речь шла про AppInit dlls)
 
Примечание: FRST не трогает файлы, указанные в ключах реестра, которые загружаются или выполняются. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.
Этот вариант конечно лучше твоего первоначально, но всё-таки думаю лучше так:
Примечание: FRST не трогает файлы которые указаны в этих ключах реестра. Если вам нужно....
 
Тогда:
Примечание: FRST не трогает файлы, указанные в ключах автозагрузки.
 
: FRST не трогает файлы, указанные в ключах автозагрузки.
как я понял из твоего перевода он их не трогает везде за исключением ключей одноразового запуска. То есть для удаления файла его надо указывать отдельно.
 
Я именно так и понял. И честно говоря по-английски как то кривовато написано:
Note: FRST does not touch the files the registry keys are loading or executing.
 
Поэтому предлагаю
Примечание: FRST не трогает файлы которые указаны в этих ключах реестра. Если вам нужно....
если ближе к оригиналу, то: FRST не трогает файлы которые загружаются в этих ключах реестра... но думаю не обязательно указывать загружаются, а то будут понимать как автозапуск.
Перечисляет основные и расширенные разделы всех дисков,
и всё-таки я этого не понимаю. Кто-нибудь мне может объяснить какие диски основные, а какие расширенные?
 
На 1 жестком диске может быть не более 4 основных (первичных) разделов,
либо 3 основных + 1 расширенный, который может делиться еще на N-е кол-во логических.

Разделы жесткого диска и файловые системы | Русскоязычная документация по Ubuntu
Читать
"Структура диска, разбитого на разделы (MBR)" (пп. 2, 5)
и
"Виды разделов".
 
Тогда просто терминология не понятная. Я привык к названиям "Основной" и "Логический" диск, предположу, что и для остальных эти названия более привычны и понятны. А если не понятны, то можно добавить Что такое разделы и логические диски?
 
Согласен. В данном случае лучше поменять "расширенный" на "логический".
 
Назад
Сверху Снизу