Farbar Recovery Scan Tool

Farbar Recovery Scan Tool (FRST) 26.02.2024

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,813
Реакции
6,592
Тема для обсуждения программы Farbar’s Recovery Scan Tool (FRST), руководства и его перевода.
 
Последнее редактирование:
Если функция отключена, будет оповещение:

ATTENTION: System Restore is disabled
Добавлю, что можно принудительно включить такой командной. Лучше размещать перед командной CreateRestorePoint.

Код:
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

Если хотите принудительно включить восстановление системы для другого диска, то используйте следующую команду:

Код:
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "X:\"

, где Х - это буква жесткого диска.

Скрипт отработает так:

Fix result of Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Ran by Администратор (2016-06-23 18:28:11) Run:1
Running from E:\Instal\Касперский\FRST
Loaded Profiles: UpdatusUser & Администратор (Available Profiles: UpdatusUser & Администратор)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "D:\"
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "E:\"
CreateRestorePoint:
CloseProcesses:

*****************


========= wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" =========

Executing (SystemRestore)->Enable()

Method execution successful.

Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
};


========= End of CMD: =========


========= wmic /Namespace:\\root\default Path SystemRestore Call Enable "D:\" =========

Executing (SystemRestore)->Enable()

Method execution successful.

Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
};


========= End of CMD: =========


========= wmic /Namespace:\\root\default Path SystemRestore Call Enable "E:\" =========

Executing (SystemRestore)->Enable()

Method execution successful.

Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
};


========= End of CMD: =========

Restore point was successfully created.
Processes closed successfully.

The system needed a reboot.
==== End of Fixlog 18:28:36 ====
 
Дополню тогда, что режим восстановления системы по-умолчанию, отключён в ОС Windows 10.
 
Добавлю, что можно принудительно включить такой командной.
Много раз обсуждалось и доказывалось, что особо надеяться на это не стоит и может не сработать. А сам Farbar рекомендует попросить пользователя включить восстановление системы вручную.
 
Когда тестировали проект ViruLogs Collector, на какой-то из версий ОС этот скрипт всегда вешал систему.
 
Много раз обсуждалось и доказывалось, что особо надеяться на это не стоит и может не сработать.
Кем? Если не отработает скрипт, то можно попросить юзера вручную включить восстановление системы.

А сам Farbar рекомендует попросить пользователя включить восстановление системы вручную.
Это да, но мне проще команду прописать в скрипте. А если попадется какой нибудь чайник, то потом еще и объяснить придется, а мне лень.
 
Последнее редактирование:
Сегодня добавили одну новую директиву для работы с FRST.

Добавлена новая директива Powershell:

1. В случае, если Вы захотите запустить команду PowerShell и получить вывод ее в Fixlog.txt, то скрипт будет выглядеть следующим образом:

Код:
Powershell: <Команда>

Пример:

Код:
Powershell: get-service

2. В случае, если Вы хотите после работы команды PowerShell получить выходные данные в текстовом файле (а не в Fixlog.txt), то сценарий будет таким:

Код:
Powershell: <Команда> > Путь к текстовому файлу

Пример:

Код:
Powershell: get-service > "C:\services.txt"
Powershell: get-Process >> "C:\services.txt"

3. В случае, если Вы хотите запустить скрипт, содержащего один или несколько команд Powershell, то скрипт будет таким:

Код:
Powershell: путь к скрипту (ps1)-file

Пример:

Код:
Powershell: C:\POWScript\Ps.ps1
Powershell: "C:\Users\Mar Tas\Desktop\Ps.ps1"

4. В случае, если у Вас есть несколько команд (строк) Powershell, и Вы хотите запустить их без загрузки файла со скриптом .ps1, то FRST может запускать команды так, как будто они находятся в файле со скриптом. В этом случае можно сделать сценарий, но вместо использования разрыва строки ; разделите команды (строки). Структура скрипта в этом случае будет такой:

Код:
Powershell: line 1; line 2; line 3; line 4

Пример:

Код:
CMD: MD
C:\POWScript
Powershell:$WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://www.osnanet.de/andreas.hoetker/SCP/Get-ScheduledTask.ps1", "C:\POWScript\Ps.ps1")
Powershell: "C:\POWScript\Ps.ps1"

Обратите внимание, что только в первом случае вывод будет работать в Fixlog.txt. В остальных случаях помощник/пользователь должен позаботиться о выводе результатов выполненного скрипта. FRST только выполняет команды без вывода его в Fixlog.txt.
 
mike 1, спасибо. Думаю, скоро добавят в справку, тогда и обновим.
 
В FRST есть ошибка с обновлением (во всяком случае в 64 разрядной версии), которая заключается в том, что при попытке FRST обновится, он зависает при обновлении. Для решения этой проблемы переименуйте FRST64.exe в betaFRST64.exe перед запуском.
 
Последнее редактирование:
В FRST есть ошибка с обновлением (во всяком случае в 64 разрядной версии), которая заключается в том, что при попытке FRST обновится, он зависает при обновлении. Для решения этой проблемы переименуйте FRST64.exe в betaFRST64.exe перед запуском.
Уже исправлено.
 
Последнее редактирование:
Их и так, и так называют.
В оф. доках - куст.

Поменяю, если мозолит глаза.
Но тогда придётся и всю справку переделывать, а я пока морально не готов с учётом моего интернета... можно ещё больше напортачить.
 
Именно куст. Там даже в меню Файл в редакторе реестра это название.
Просто в литературе часто упонимается "улей", как и мною. Это от прямого перевода слова "Hive" с английского.
А ветка - такой же аналог только для слова раздел.
 
Именно куст. Там даже в меню Файл в редакторе реестра это название.
Нет,это особенность перевода.
В меню файл - куст.
А в контекстном меню - раздел,хотя объект один и тот же.
Это как окно windows - в реале это значит окно окна или можно писать windows windows
Просто чувство,что ради некоторых вещей никто особо не заморачивался на счет смысла слов в переводе)
Держи каламбур:
upload_2016-12-9_23-58-50.png
 
Последнее редактирование:
В принципе на скрине всё логично и каламбура нет, ИМХО,
т.к. куст - это разделы с подразделами, о чём недвусмысленно детализирует сообщение.
 
Farbar обновил FRST и добавил по моему мнению две очень нужных киллер фишки. Первая фишка заключается в том, что теперь если вы используете команду File: для какого-либо файла, то в отчете fixlog.txt будет еще ссылка на проверку файла в сервисе Virustotal (разумеется, если такой файл ранее загружался на Virustotal). Вторая фишка касается уже новой директивы virustotal: , которая позволяет грузить файлы на Virustotal и получать ссылку с отчетом.

Пример:

========================= File: C:\Users\Администратор\AppData\Local\Temp\DD8930BE.exe ========================

File not signed
MD5: D668221D749214AAC4E04D3DAAE07F7F
Creation and modification date: 2017-08-08 11:59 - 2017-08-08 11:59
Size: 012407808
Attributes: ----A
Company Name:
Internal Name:
Original Name:
Product:
Description:
File Version:
Product Version:
Copyright:
VirusTotal: Antivirus scan for caafbac10d50d12f8852a9fd22da3ea468c5658dbbea61827ee6d6aef7af3d65 at 2017-08-08 19:18:42 UTC - VirusTotal

====== End of File: ======

fixlist content:
*****************
VirusTotal: C:\Users\Farbar\Desktop\test2.exe;C:\Users\Farbar\Desktop\vt1.exe;C:\Users\Farbar\Desktop\vtkey.exe;C:\Users\Farbar\Desktop\hash1.exe;C:\Windows\system32\config\software
*****************

VirusTotal: C:\Users\Farbar\Desktop\test2.exe => Antivirus scan for 68424fcae0d4814d3c5cee7806060061fe83bff3bc5571de54a5a4f0d53f89ed at 2017-08-12 11:05:43 UTC - VirusTotal
 
Директива Folder: теперь считает MD5 у файлов, которые находятся в этой папке.

Пример:

Код:
========================= Folder: C:\FRST\Quarantine ========================

2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C
2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users
2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\mechanik01
2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\mechanik01\AppData
2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\mechanik01\AppData\Roaming
2017-09-28 16:24 - 2017-09-28 16:24 - 006220854 _____ [26E5CA93712E4AA3E1A09A59D2ABD11D] () C:\FRST\Quarantine\C\Users\mechanik01\AppData\Roaming\153F8686153F8686.bmp.xBAD
2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [F2FFE3C1DFF6056F57150C279CFDD935] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README1.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [BA5C3D2D87A27184EDBB7256F1BFA3A5] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README10.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [E4AA7FF8D25D10A019F6596D657085AD] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README2.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [647190031B84AB013D1907065CA5BFC9] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README3.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [1E2C999899B9F164A5E7F5E1F4C36607] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README4.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [B9FF44C8202F64099DB0C240316D7516] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README5.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [ECF5D9BFC16FE93AE2AA8048897291D4] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README6.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [AEFD02AD0DC6EBE903BB91D3E6FF1D14] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README7.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [A1C3FDF97CDE22C98D655F8BACCAD210] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README8.txt.xBAD
2017-09-28 16:24 - 2017-09-28 16:24 - 000004178 _____ [77A01BCD00B6E04FF3688E1582C63ED3] () C:\FRST\Quarantine\C\Users\mechanik01\Desktop\README9.txt.xBAD
2017-10-05 08:54 - 2017-10-05 08:54 - 000000000 ____D [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\Все пользователи
2017-09-28 15:27 - 2017-09-28 15:27 - 000000000 __SHD [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\Все пользователи\System32
2017-09-28 15:27 - 2017-09-28 16:24 - 002162018 ___SH [0482603A5622D94C3789B186CAFD6EB8] () C:\FRST\Quarantine\C\Users\Все пользователи\System32\xfs
2017-09-28 15:15 - 2017-09-29 08:56 - 000000000 __SHD [D41D8CD98F00B204E9800998ECF8427E] () C:\FRST\Quarantine\C\Users\Все пользователи\Windows

====== End of Folder: ======
 
Ребят, помогите разобраться с некоторыми элементами логов, смысла которых я никак не могу понять.
Код:
==================== Scheduled Tasks (Whitelisted) =============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

"{0281EC11-8D7D-4E1A-BCCD-B89905B381D9}" task was unlocked. <==== ATTENTION
"{03FF134D-CA60-4122-8A0F-C9B9D0395221}" task was unlocked. <==== ATTENTION
"{042D8A51-5878-4000-9C10-C04AFF122A1F}" task was unlocked. <==== ATTENTION
...
Таких записей в блоке Scheduled Tasks (Whitelisted) файла Addition.txt у меня ещё штук 100-150. В чём их суть? Они мусорные или подозрительные? Появились после последнего обновления Windows 10 Pro (x64): v.1803, сборка 17134.48.
 
Последнее редактирование:
Интересное поведение, нужно будет попробовать повторить. В инструкции к FRST такая ситуация не упоминается
 
Назад
Сверху Снизу