• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Руководство по Farbar Recovery Scan Tool (FRST)

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#1
post-384336-0-18117200-1493950735.png
Farbar Recovery Scan Tool

Последнюю версию можно скачать здесь:

Ссылка 1 | Ссылка 2

Farbar Recovery Scan Tool (FRST) является диагностическим инструментом, который также способен выполнять специально подготовленные решения на основе скриптов для лечения систем, зараженных вредоносным ПО. Он одинаково хорошо работает как в обычном, так и в безопасном режимах загрузки ОС. Инструмент эффективно работает и в среде восстановления Windows, когда у системы имеются проблемы с загрузкой. Способность работать в среде восстановления делает его весьма полезным при решении проблем на системах, где возникают сложности в процессе загрузки.

**********************************************************​

Информация о руководстве

Это руководство было изначально создано emeraldnzl с консультативной помощью от farbar в тесном сотрудничестве с BC (Bleeping Computer) и G2G (Geeks to Go). emeraldnzl с тех пор вышел на пенсию, и теперь руководство дополняет и поддерживает picasso по согласованию с Farbar. Перевод на русский подготовил Dragokas. Для использования или цитирования русского руководства на другие сайты требуется разрешение Dragokas (с обязательной ссылкой на эту тему), а оригинального руководства - разрешение от picasso и Farbar. Обратите внимание, что это руководство было одобрено для использования хелперами, которые помогают в борьбе с вредоносным ПО на различных форумах.


Переводы

Английский (оригинал)
Французский
Немецкий
Польский
Русский


Содержание:

1. Введение
2. Области сканирования по умолчанию
3. Основное сканирование (FRST.txt)
4. Дополнительное сканирование (Addition.txt)
5. Другие опциональные проверки
6. Директивы / Команды
7. Шаблоны ответов

(Прим. переводчика – краткое описание директив выше было добавлено мною для удобства)

Подтверждённые хелперы и эксперты, которые имеют необходимый доступ, могут быть в курсе последних разработок в теме FRST Discussion Thread: https://bleepingcomputer.com/forums/t/360106/farbar-recovery-scan-t
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#2

Введение
Одной из самых сильных сторон FRST является его простота. Он разработан с учетом удобства для пользователя. Строки, которые содержат ссылки на инфицированные объекты, можно распознать, скопировать из лога, вставить в блокнот и сохранить. Дальше после нажатия на кнопку программа сделает все остальное. Это обеспечивает значительную гибкость. Как только появляются новые вирусы, они сразу же могут быть опознаны и включены в список для фикса.

Где он может работать

Farbar's Recovery Scan Tool предназначен для работы на операционных системах Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10. Существуют 2 версии – для 32-битных и 64-битных систем.
Примечание: FRST64 не разрабатывался для работы на 64-битной Windows XP.


Диагностика
FRST создает отчёт, который охватывает определенные области системы. Его можно использовать для первичного анализа проблемы и получения некоторой информации о системе.

Программа постоянно совершенствуется. Часть разработки состоит в том, чтобы вносить сигнатуры новых вирусов. Соответственно, очень рекомендуется периодически обновлять программу. Как только FRST будет запущен, если ПК подключен к сети интернет, произойдет автоматическая проверка на наличие обновлений. В этом случае появится уведомление о том, что можно скачать последнюю версию.

Если проявляется новое заражение, либо по какой-то причине нет подключения к сети, эксперт должен быть в курсе последних разработок в области вредоносного ПО, чтобы обеспечить раннее выявление проблемы. Неопытный пользователь должен обратиться за помощью к эксперту, если заметит новое заражение или будет не в состоянии опознать проблему на своей машине.

По-умолчанию, как и другие сканеры, FRST применяет белые списки. Это позволяет избежать очень длинных логов. Если Вам хочется увидеть полный лог, то необходимо снять галочку с соответствующего пункта секции «Whitelist». Будьте готовы к очень-очень длинному отчёту, который возможно придется загрузить для анализа в качестве вложения.
  • FRST использует белые списки стандартных записей Microsoft для секций реестра.
  • в случае со службами и драйверами белые списки включают в себя не только стандартные службы Microsoft, но и другие легитимные службы и драйвера.
  • служба или драйвер, у которых отсутствует поле «Имя компании», в белый список не вносятся.
  • антивирусные программы и файрволы в белый список не вносятся.
  • служба SPTD в белый список не вносится.

Подготовка к использованию

Убедитесь, что FRST запущен с правами Администратора. Программа будет работать правильно только при условии, что запущена пользователем, который имеет права администратора. Если у пользователя нет административных привилегий, вы увидите об этом предупреждение в заголовке отчёта FRST.txt.

В некоторых случаях антивирусные программы могут помешать нормальному запуску и работе FRST. Чаще всего это не будет являться проблемой, но будьте готовы к тому, что антивирусная программа может заблокировать запуск FRST, когда вы запрашиваете сканирование. Во время фикса предпочтительно отключать защитные программы, в частности Comodo, которые могут помешать инструменту при выполнении своей работы.

Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчёт о лечении FRST, и только затем давать другие программы.

Резервную копию реестра создавать не обязательно. При первом запуске FRST создаёт резервную копию ульев реестра. Бекапы располагаются по пути: %SystemDrive%\FRST\Hives (в большинстве случаев: C:\FRST\Hives). Подробности см. в секции "Restore From Backup: ".

FRST доступен на нескольких языках. Хелперы, как правило, выбирают английский для анализа проблем. Если хелпер или кто-то другой, кому нужна помощь, желает предоставить логи на английском языке, достаточно просто запустить FRST, добавив слово «English» к имени файла, например, EnglishFRST.exe или EnglishFRST64.exe, или FRSTEnglish.exe, или FRSTEnglish64.exe. Лог получится на английском.


Запуск FRST

Пользователь инструктируется, что необходимо скачать FRST на рабочий стол. Оттуда проще простого дважды щелкнуть мышкой по иконке FRST, принять условия отказа от ответственности, и запустить программу. Иконка FRST похожа на эту:
FRST icon.jpg

Примечание: Вам нужна версия, совместимая с системой пользователя. Существует 32 и 64-разрядные версии. Если вы не уверены, какая из версий применима, пользователю необходимо скачать обе и попробовать запустить каждую. Только одна из них сможет запуститься. Это и будет правильная версия.

Когда FRST запустится, пользователю будет представлено окно, подобное этому:

frstconsole.png

Как только FRST завершит анализ, он сохраняет отчёт в той же папке, из которой был запущен. При первом и последующих сканированиях вне среды восстановления будут созданы отчёты FRST.txt и Addition.txt.

Копии лога сохраняются по пути: %systemdrive%\FRST\Logs (в большинстве случаев это будет путь: C:\FRST\Logs).


Лечение

Внимание, очень важно: Farbar Recovery Scan Tool не является агрессивным и в режиме сканирования не может навредить машине.

Однако, FRST также очень эффективен при выполнении инструкций, которые ему дают. Во время применения фикса, если его просят удалить объект, он в 99% случаев сделает это. В тоже время в него встроены некоторые защитные механизмы, которые являются общепризнанными, и разработаны так, чтобы не помешать лечению инфекции.

Если вы не уверены в каком-либо элементе отчёта FRST, всегда спрашивайте совета у эксперта, прежде чем выполнять исправление
В FRST есть целый ряд команд и ключей, которые можно использовать для управления процессами компьютера и для исправления обнаруженных проблем.
____________________________________________________________________________


Подготовка Fixlist

1. Метод fixlist.txt - чтобы пофиксить найденные проблемы, скопируйте и вставьте строки из лога FRST в текстовый файл, назвав его fixlist.txt, и сохранив в ту же папку, откуда запущен инструмент.

Примечание: важно использовать именно Блокнот*. Фикс не будет работать, если использовать MS Word или какую-нибудь другую программу.

*Прим. переводчика: тем не менее можно использовать и другие продвинутые редакторы, которые не добавляют в файл специальное форматирование, например, такие как AkelPad, Bred3, Notepad++, SynWrite и др.

2. Метод Ctrl+Y. Можно использовать комбинацию клавиш Ctrl+Y, чтобы создать и открыть пустой файл для заполнения. Запустите FRST, нажмите Ctrl+Y, чтобы открыть пустой файл, вставьте фикс, нажмите Ctrl+s для сохранения.

3. Метод буфера обмена - вставьте строки, которые нужно пофиксить, между директивами Start:: и End:: подобно такому:
Код:
Start::
содержимое скрипта
End::
Попросите пользователя скопировать всё содержимое, включая Start:: и End:: и нажать кнопку "Fix".
___________________________________________________________________________


Юникод

Чтобы пофиксить запись с символами юникода, скрипт нужно сохранить в кодировке Юникода, иначе юникодные символы будут потеряны. Горячие клавиши Ctrl+Y сохраняют тектовой файл в Юникоде. Но если fixlist.txt создаётся вручную, то нужно выбрать соответствующую кодировку в Блокноте (см. ниже).
Пример:
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
Скопируйте и вставьте записи в открытый блокнот, выберите "Сохранить как...", в поле "Кодировка" выберите "Юникод", задайте имя fixlist и нажмите "Сохранить".

Если вы сохраните файл без выбора Юникода, вам покажут предупреждение. Если вы все равно продолжите и сохраните файл, то после его повторного открытия увидите:
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
и FRST не сможет обработать записи.
__________________________________________________________________________

Управление именами пользователей

Некоторые пользователи изменяют логи, удаляя или заменяя имя пользователя. Чтобы быть уверенным, что обрабатываются корректные пути в контексте единственной загруженной учётной записи, вы можете заменить потенциально изменённое имя пользователя в путях на CurrentUserName. FRST автоматически преобразует ключевое слово в правильное имя пользователя.

Примечание: Метод не поддерживается в Режиме Восстановления.
__________________________________________________________________________


Чтобы избежать зависания FRST на несколько часов из-за некорректно подготовленного скрипта или других неожиданных обстоятельств, общее время для выполнения всего фикса ограничено 40 минутами.

При очистке или удалении перемещённые объекты сохраняются по пути %systemdrive%\FRST\Quarantine. В большинстве случаев это будет путь C:\FRST\Quarantine. Он будет удалён при выполнении очистки или удалении FRST.

Более подробную информацию о подготовке фикса смотрите в секциях ниже.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#3

Области сканирования по умолчанию

При первом и последующих запусках за пределами среды восстановления создаются логи FRST.txt и Addition.txt. Лог Addition.txt не создается, если FRST запущен в среде восстановления.

1. Сканирования, которые выполняются в обычном режиме:

Основные сканирования:

Дополнительные сканирования:​

Сканирования по выбору:


2. Сканирования, которые выполняются в среде восстановления:

Основные сканирования:

Сканирования по выбору:



Основное сканирование (FRST.txt)
Заголовок

Вот пример заголовка:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 20-10-2017
Ran by User (administrator) on DESKTOP-3DJ40NK (21-10-2017 14:15:41)
Running from C:\Users\User\Desktop
Loaded Profiles: User (Available Profiles: User & Administrator)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Language: English (United States)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
Чтение заголовка может оказаться очень полезным:

Первая строка: говорит о том, какой из вариантов FRST запущен – 32 или 64-битный. Также указывается версия FRST. Запись о версии является особенно важной. Старая версия может не содержать наиболее свежего функционала.

Вторая строка: показывает, кем запущен инструмент и с какими правами. Это может предупредить Вас, владеет ли пользователь необходимыми правами. Строка также показывает имя компьютера, а также дату и время, когда был запущен инструмент. Иногда пользователь случайно выкладывает старый лог.

Третья строка: говорит Вам, откуда был запущен FRST. Это может быть полезно при подготовке инструкций для фикса, если инструмент запущен из другого расположения, нежели рабочий стол.

Четвертая строка: говорит Вам, под какой учетной записью (профилем) вошел пользователь, т.е. загруженный пользовательский улей. Далее в круглых скобках «Available profiles» указаны записи всех доступных профилей на машине, включая те, которые в данный момент не загружены.

Примечание: когда вы заходите в Windows, загружается улей только пользователя, который входит в систему. Если пользователь входит в другую учетную запись без перезагрузки системы (нажатием на «Сменить пользователя» или «Выход из системы»), то загружается второй пользовательский улей, но первый не выгружается. В таком случае FRST перечисляет записи реестра обоих пользователей, а все остальные не трогает, т.к. их ульи не загружены.

Пятая строка: ведет запись о редакции Windows на машине, включая данные об основных обновлениях (версию и билд ОС для Windows 10; "Update" для Windows 8.1; Service Pack для Windows 7 и более ранних ОС), а также используемый язык. Это может предупредить Вас о проблеме с обновлениями, если они устарели.

Шестая строка: дает Вам версию браузера Internet Explorer и браузера по-умолчанию.

Седьмая строка: говорит Вам, в каком режиме была загружена ОС.

После этого указывается строка со ссылкой на руководство.

Примечание 2: Информация в заголовке при запуске в среде восстановления является точно такой же, за исключением строки с пользователями, т.к. она специально урезана, поскольку профили пользователей не загружены.

____________________________________________________________________________

Предупреждения, которые могут указываться в заголовке

Если возникают проблемы при загрузке, вы можете увидеть что-то наподобие "ATTENTION: Could not load system hive" («Внимание: не могу загрузить системный улей»). Это говорит о том, что потерян улей системы. В качестве решения проблемы может быть восстановление улья через команду LastRegBack: (см. ниже).

"Default: Controlset001" – уведомление говорит Вам, какой из конфигурационных разделов (CS) в системе загружен по умолчанию. Зачем Вам это нужно? В обычной ситуации Вам это не нужно, но в случае, если вы желаете заглянуть вовнутрь или воздействовать на CS, который был загружен, когда Windows запустилась, то теперь вы знаете имя необходимого CS. Попытка сделать что-либо с другими доступными CS не окажет влияния на систему.
____________________________________________________________________________



Секция Processes
(процессы)

Есть две причины, по которым может понадобиться остановить процесс. Во-первых, вы можете остановить защитное ПО, которое может помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.

Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.

Например:
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно завершен).

Если у Вас есть вредоносный процесс, и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в ваш фикс, подобно этому:
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot

Секция Registry
(реестр)

Записи реестра (ключи и параметры), взятые из лога FRST, и включенные в fixlist для удаления, будут удалены. FRST содержит мощную процедуру удаления ключей и параметров. Все ключи и параметры, которые сопротивляются удалению из-за недостатка привилегий или включенных null символов, будут удалены. Ключи, которые сопротивляются удалению из-за блокировки прав, будут запланированы для удаления после перезагрузки. Единственные ключи, которые не будут удалены, это те, которые всё ещё защищены драйвером режима ядра. Такие ключи/параметры необходимо удалять после того, как будет удален или отключен драйвер режима ядра, защищающий их.

Копирование и вставка пунктов лога в фикс приведет к тому, что FRST выполнит одно из двух действий над перечисленными ключами реестра:
- Восстановит ключ по умолчанию
- Удалит ключ

Если в fixlist скопированы записи лога, которые относятся к параметрам winlogon (Userinit, Shell, System), LSA и AppInit_DLLs, то инструмент восстановит значения по умолчанию.

Примечание: в случае с AppInit_DLLs, когда есть один вредоносный путь, FRST удаляет только этот конкретный путь из значений AppInit_DLLs без удаления остальных.

Нет необходимости в написании батника или фикса реестра. Тоже самое касается и некоторых других важных ключей, которые могут быть подменены вирусом.

Примечание: FRST не трогает файлы, которые указаны в этих ключах. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.

Скопированные в fixlist записи Run и Runonce будут удалены из реестра. Файлы, которые они загружают или выполняют, не будут удалены. Если вы желаете удалить их, Вам нужно перечислить их отдельно.

Например, чтобы удалить вредоносную запись run вместе с файлом, Вам нужно перечислить их в fixlist следующим образом (первая строка была скопирована непосредственно из лога):

HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\User\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\User\AppData\Roaming\xF9HhFtI.exe
В случае с ключами Notify, когда они включены в fixlist, и при этом относятся к ключам по умолчанию, инструмент восстановит в параметре (DllName) его значение. Если он не является ключом по умолчанию, то будет удален.
Ключи Image File Execution Options при включении в fixlist будут удалены.

Если в папке «Автозагрузка» найден файл или ярлык, FRST будет искать файл в записях Автозагрузки (Startup).
Если файл является ярлыком, следующая строка будет содержать цель ярлыка (например, исполняемый файл, который запускается ярлыком). Чтобы удалить и ярлык, и его цель, вам нужно включить оба в фикс:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\User\1800947.exe ()
Примечание: Первая строка перемещает только ярлык. При указании второй строки будет перемещен файл 1800947.exe. Если вы укажете только вторую строку, исполняемый файл будет удален, но ярлык останется в папке автозагрузки. Как только следующий раз система загрузится, она выведет ошибку при попытке ярлыка запустить исполняемый файл, так как он не сможет найти свою цель.

В случае, если вредоносное ПО эксплуатирует недоверенные сертификаты или политики ограничения ПО (Software Restriction Policies), вы увидите записи, подобные этим:
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
Чтобы разблокировать защитные программы включите эти строки в fixlist.
Примечание: определение политик ограничения ПО происходит в целом и может привести к пометке других легитимных записей, созданных для защиты от заражений. См.: как вручную создать политики ограничения ПО для блокировки вымогательского ПО (прим. переводчика: также смотрите пример на русском).

FRST также определяет присутствие объектов групповой политики (Registry.pol и Scripts), которыми могут злоупотребить вредоносные программы. Google Chrome (см. секцию Chrome ниже) и политики Windows Defender в Registry.pol будут отображены в логе отдельно:
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
Для остальных политик и скриптов вы получите общее уведомление без подробностей:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Для сброса политик включите строки в fixlist. FRST подчистит папки GroupPolicy и выполнит принудительную перезагрузку.
Пример:
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
Примечание: опознавание настроено на обычный домашний компьютер без настроенных политик и может привести к пометке легитимных записей, внесённых вручную через gpedit.msc.

Восстановление системы, отключённое через групповые политики, будет отображено в логе в таком виде:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
Включение строки в fixlist приведет к полному удалению ключа (по умолчанию, он не существует).

Примечание: FRST также записывает предупреждение в Addition.txt, если SR окажется отключенным, даже если он был отключен не через групповую политику, а пользователем. В этом случае FRST ничего не делает. Пользователя нужно проинструктировать, чтобы он включил систему восстановления. Групповой политики, которая блокирует включение SR, не существует.



Секция Internet

За исключением нескольких случаев, все записи, скопированные в fixlist, будут удалены. Для связанных с записями реестра файлов и папок, их необходимо отдельно внести в фикс, чтобы они переместились. Это не относится к записям браузеров (кроме Internet Explorer). Подробнее, см. описание ниже.


Winsock

В отчёте будут указаны нестандартные записи. Если запись «Catalog5» взята для фикса, FRST сделает одну из двух вещей:

1. В случае подмены стандартных записей, он восстановит значение по умолчанию.
2. В случае с другими записями, он удалит их и перенумерует каталог записей.

Если собираетесь фиксить запись «Catalog9», то сначала рекомендуется воспользоваться "netsh winsock reset":
Код:
cmd: netsh winsock reset
Если посторонние записи «Catalog9» все еще останутся, их можно перечислить для фикса. В этом случае FRST удалит записи и перенумерует каталог.

Будьте осторожны: поврежденная цепочка помешает машине подключиться к интернет.

Повреждения при доступе к сети интернет в связи с потерянными записями в Winsock будут указаны в логе подобно этому:
Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION
Чтобы исправить проблему, записи можно включить в fixlist.


Hosts

Если в Hosts присутствуют сторонние записи, вы увидите строку в секции «Internet» в отчёте FRST.txt, в которой будет сказано:
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
(Hosts: обнаружено более одной записи в Hosts. См. секцию Hosts в Addition.txt)
Если файл Hosts не обнаружен, там будет запись о том, что программа не в состоянии обнаружить Hosts.

Чтобы сбросить записи в файле Hosts, просто скопируйте и вставьте строки в fixlist и файл hosts будет сброшен. Вы увидите строки в Fixlog.txt подтверждающие сброс.

См. также Hosts в разделе Addition этого руководства.


TCP/IP и прочие записи

Если записи включены в fixlist, они будут удалены.

Примечание: в случае с подменой StartMenuInternet для IE, FF, Chrome и Opera – стандартные записи внесены в белый список. Если в логе FRST появляется запись, это означает, что путь не является стандартным. Здесь могло пойти что-то не так с доступом к ветви реестра. В таком случае необходимо провести дополнительное расследование. Проблемные записи могут быть включены в fixlist, что приведет к восстановлению значения по умолчанию.


Internet Explorer

Browser pages (страницы браузера), SearchScopes (провайдеры поиска) и другие не связанные с файлами и папками записи. В зависимости от типа объекта FRST удалит запись из реестра или восстановит её стандартное состояние.

Пример:
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
URLSearchHooks, BHO (Browser Helper Objects), Toolbar (панели инструментов), Handler (обработчики) и Filter (фильтры) могут быть включены в fixlist. Это приведет к удалению записей из реестра. Связанные файлы и папки необходимо вносить отдельно, если их нужно переместить.

Пример:
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz


Edge

FRST перечисляет кнопки домашних страниц (HomeButtonPage), которые указывают на пользовательскую страницу, включённые сессии восстановления (Session Restore) и установленные расширения:


Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> is enabled.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]
Если записи HomeButtonPage и Session Restore включены в fixlist, то они будут удалены из реестра.

При включении в fixlist записей расширений, будут удалены ключи реестра, а связанные с ними папки будут перемещены.



FireFox

FRST перечисляет ключи и профили браузера Firefox (FF) (если они присутствуют) вне зависимости от того, установлен FF или нет. Если существует несколько профилей Firefox-a или его клонов, FRST перечислит настройки, user.js, расширения (Extensions) и поисковые плагины (SearchPlugins) всех профилей. Нестандартные профили, добавленные рекламным ПО, будут помечены.

Если строка с настройками (preferences) вставляется в fixlist, значения будут удалены. При следующем запуске Firefox или его клон вернет стандартные настройки. Строки можно внести таким образом (перенесено напрямую из лога):

FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T
FRST проверяет цифровые подписи дополнений. Неподписанные дополнения будут помечены.

Пример:
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [not signed]
FF Extension и другие строки могут быть добавлены в fixlist и элементы будут удалены.



Chrome

FRST перечисляет ключи Хрома (если они присутствуют) вне зависимости от того, установлен он или нет. При наличии нескольких профилей, FRST будет читать последний использованный профиль и перечислять настройки (Preferences) этого конкретного профиля. Расширения определяются во всех профилях. Помечаются нестандартные профили, добавленные рекламным ПО.

Сканирование настроек (preferences) включает изменение домашней страницы и StartupUrls, включённое восстановление сессии и ещё некоторые параметры прочих поисковых провайдеров по-умолчанию:

CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> is enabled.
При включении в fixlist домашней страницы и StartupUrls они будут удалены. Обработка других записей приведёт к частичному сбросу Chrome и пользователь может увидеть следующее сообщение на странице настроек Chrome: "Chrome обнаружил, что некоторые из настроек были повреждены другой программой и сбросил их на исходные".

FRST также определяет переадресации "Новой вкладки", которые контролируются расширениями. Чтобы удалить переадресацию, найдите соответствующее расширение (если присутствует) и удалите его как положено с помощью Инструментов Chrome (см. ниже).
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
FRST не может удалять расширения. Расширение всё ещё будет отображаться в списке расширений и соответствующая папка будет восстановлена браузером. Поэтому, строки CHR Extension не обрабатываются в фиксе. Используйте собственные инструменты Chrom-а:
Введите chrome://extensions в адресную строку и нажмите ENTER.
Нажмите на значок корзины напротив расширения, которое хотите полностью удалить.
В появившемся диалоге подтверждения нажмите Удалить.
Исключением является расширение инсталлятора, расположенное в реестре (метки CHR HKLM and HKU). Если запись включена в fixlist, ключ будет удалён.

Некоторое рекламное ПО использует групповые политики, чтобы заблокировать внесение изменений в расширения или другие функции:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
См. описание объектов группой политики в секции Реестр для получения подробностей.



Opera

FRST перечисляет ключи и профили браузера Opera (если они присутствуют) независимо от того, установлена Opera или нет.

Примечание от @regist: проверяется только версия браузера Opera на движке Хрома. Opera Presto не проверяется.

Анализ FRST в данный момент ограничен проверкой StartMenuInternet, StartupUrls, Session Restore и расширениями:
Opera:
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> is enabled.
OPR Extension: (iWebar) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]
Включение записей StartupUrls или Session Restore в fixlist приведет к удалению этих записей.

Включение записей о расширении в fixlist приведет к перемещению файлов расширения. Нет необходимости отдельно включать путь.

В то время как расширение перестанет быть активным, запись в панели браузера «Расширения» все еще не будет удалена. Для этого используйте собственные инструменты Opera:
Введите chrome://extensions в адресную строку и нажмите ENTER.
Прим. переводчика - также это меню можно вызвать по горячим клавишам Ctrl + Shift + E.

Чтобы удалить отдельные расширения, нажмите на X для каждой записи и затем ОК.
Для браузеров, которые не отображаются в логе, лучшим способом будет полное удаление с перезагрузкой системы и переустановкой браузера.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#4

Services / Drivers
(Службы и драйвера)

Записи служб и драйверов выводятся в таком формате:

RunningState, StartType, ServiceName; ImagePath or ServiceDll [Size CreationDate] (CompanyName)

Состояние работы, тип запуска, Имя службы; ImagePath или ServiceDll службы [Размер, Дата создания] (Имя компании)

Состояние работы – это буква рядом с цифрой, которая обозначает текущее состояние работы:

R=Running (Запущена)
S=Stopped (Остановлена)
U=Undetermined (Неопределенное)

Цифры «Тип запуска» есть такие:

0=Boot (загрузочный)
1=System (системный)
2=Auto (автоматически)
3=Demand (вручную)
4=Disabled (отключен)
5=назначается FRST, если он не в состоянии прочитать значение Start Type

Если вы видите [X] на конце строки записи, это означает, что FRST не смог найти файл, ассоциированный с этой конкретной службой или драйвером, и записал в лог путь к ImagePath или ServiceDll таким, как он указан в реестре.

FRST определяет наличие целого ряда заражений и проверяет цифровую подпись файлов служб и драйверов. Если файл не имеет ЭЦП, об этом будет сказано в отчёте.
Пример:
==================== Services (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
Системные файлы Microsoft, которые не подписаны, необходимо заменить оригинальными копиями. Чтобы их пофиксить, используйте команду Replace:.

Примечание: проверка цифровых подписей недоступна из Среды восстановления.

Чтобы удалить вредоносную службу или службу драйвера, скопируйте строку из лога сканирования в fixlist. Любой связанный со службой файл необходимо указывать отдельно.

Пример:
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig
Инструмент завершает службы, чьи записи были включены в fixlist, и удаляет ключ службы.

Примечание: FRST сообщит об успехе или неудаче при попытке остановить службы, которые запущены. Вне зависимости от того, остановлена служба или нет, FRST попытается удалить ее. Если запущенная служба удалена, FRST проинформирует пользователя о завершении фикса и необходимости перезагрузки. FRST перезагрузит систему. В конце лога Fixlog вы увидите строку о необходимости перезагрузки. Если служба не запущена FRST удалит ее без необходимости перезагружаться.

Есть два исключения, при которых служба будет восстановлена, а не удалена. В случае со службами "Themes" (Темы) и "Windows Management Instrumentation" (Инструментарий управления Windows), если они будет эксплуатированы вредоносным ПО, вы увидите нечто вроде:
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)
Если данные строки включены в fixlist, параметры по умолчанию этих служб будут восстановлены.

Примечание: Если FRST никак не сможет получить доступ к службе, в логе будет напечатано следующее:
1b36535375971e1b" => service could not be unlocked. <===== ATTENTION
Нечто подобное может свидетельствовать о рутките или повреждение реестра. Необходимо получить помощь у эксперта для решения этой проблемы.



NetSvcs

Известные легитимные записи внесены в белый список. Как и в остальных областях сканирования, где также используются белые списки, это не означает, что все записи, которые появляются в FRST.txt, являются вредоносными. Это всего лишь значит, что их нужно проверить.

Каждая запись NetSvc перечислена в отдельной строке, подобно этому:
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> no filepath
Примечание: перечисление NetSvc лишь удаляет ассоциированное значение из реестра. Связанная с ним служба должна быть указана для удаления отдельно.

Пример:
Чтобы удалить значение NetSvc, ассоциированную с ней службу в реестре и связанный с ней файл DLL, полный скрипт будет выглядеть следующим образом:
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi

One Month Created Files and Folders | One Month Modified Files and Folders
(Файлы и папки, созданные за последний месяц | файлы и папки, изменённые за последний месяц)
Анализ «Created» сообщает о файлах и папках с указанием сперва даты и времени создания, а рядом даты и времени модификации. В анализе «Modified» указано наоборот, сперва – дата и время изменения файла или папки, а затем – дата и время создания. Также указывается их размер (число байтов). Для папок указывается 00000000, поскольку папка не имеет размера.

Примечание: чтобы избежать длительного сканирования, а также создания длинных логов, сканирование ограничено только некоторыми заранее определенными папками. Также, FRST перечисляет определённые папки, но не их содержимое. Если вы желаете узнать, что внутри, используйте директиву Folder:.

FRST добавляет пометки к определенным записям лога:

C – Compressed (сжатый)
D – Directory (папка)
H – Hidden (скрытый)
L – Symbolic Link (символическая ссылка)
N – Normal (обычный – не имеет других атрибутов)
O – Offline (вне сети)
R – Readonly (только для чтения)
S – System (системный)
T – Temporary (временный)
X – атрибут «No scrub» (не выполнять проверку файла для коррекции ошибок на томах ReFS) (Windows 8+)

Чтобы удалить файл или папку, указанную в этой секции, просто скопируйте и вставьте всю строку в fixlist.

Строки, которые указывают на символические ссылки (атрибут L), обрабатываются корректно.
Пример:
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Ссылка
Если они включены в fixlist, FRST удалит только ссылку, оставляя цель нетронутой:
Symbolic link found: "C:\WINDOWS\system32\Ссылка" => "C:\Windows\System32\Цель"
"C:\WINDOWS\system32\Ссылка" => Symbolic link removed successfully
C:\WINDOWS\system32\Ссылка => moved successfully
Альтернативно, можно воспользоваться директивой DeleteJunctionsInDirectory:.

Чтобы пофиксить остальные файлы и папки, их пути можно перечислить в fixlist. Для путей с пробелами не нужны кавычки:
c:\Windows\System32\Drivers\ПлохойФайл.sys
C:\Program Files (x86)\ПлохаяПапка
Если у Вас есть много файлов с похожими именами и вы желаете переместить их одним скриптом, можно использовать подстановочный символ *

Таким образом, вы можете либо перечислить эти файлы так:
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
Либо просто:
Примечание: символ знака вопроса "?" игнорируется в целях безопасности вне зависимости от того, является ли он подстановочным символом или заменой юникодного знака (см. описание в разделе "Юникод" под введением). Также, подстановочные знаки не поддерживаются для папок.



Files to move or delete
(Файлы для перемещения или удаления)
Файлы, перечисленные в этой секции, являются либо вредоносными, либо такими, что находятся в неправильном месте.

Примеры легитимных файлов этой секции:
1. Файлы, которые пользователь скачал и сохранил в папку пользователя.
2. Когда легитимная сторонняя программа хранит один из своих файлов в папке пользователя. Это плохая практика для любого разработчика ПО. И такие файлы следует переместить даже, если они легитимные. Мы видели много заражений, в ходе которых сфабрикованные файлы прячутся в этой папке (под видом легальных, но на самом деле они вредоносные) и запускают себя оттуда.

Файлы и папки из этой секции фиксятся таким же образом, как и файлы/папки из секции «One Month Created/Modified Files and Folders».


Some content of TEMP
(Некоторое содержимое папки Temp)

Это нерекурсивное сканирование, ограниченное некоторыми определенными расширениями, для получения общего представления о том, есть ли в корне папки Temp вредоносный файл. Эта секция не отображается, если не было ни одного файла, совпадающего с критериями поиска. Это не означает, что Temp пустая или не содержит вредоносных объектов (например, вирусы могли находиться в подкаталогах, которые FRST не открывал). Просто это значит, что не было объектов, подходящих под определенные параметры поиска. Одним из способов для более полной очистки временных файлов является использование команды EmptyTemp:


Known DLLs
(хорошо известные DLL)

Если некоторые записи из этой секции потеряны, пропатчены или повреждены, это может привести к проблемам с загрузкой. Соответственно, это сканирование появляется только при загрузке инструмента в среде восстановления (Recovery Environment).

Все записи, кроме тех, что нуждаются во внимании, внесены в белый список.

Требуется осторожность при работе с записями, указанными в этой секции. Файл либо отсутствует, либо, по-видимому, был каким-то образом изменен. Поэтому необходима помощь эксперта, чтобы убедится в том, что проблемный файл был правильно определен, и затем обрабатывать его соответствующим образом. В большинстве случаев в системе уже есть оригинальный файл для замены, который можно найти с помощью функции Поиска FRST. Пожалуйста, посмотрите секцию «Директивы и команды» этого руководства для того, чтобы узнать, как заменять файл, а также секцию «Другие опциональные сканирования», чтобы узнать, как осуществлять поиск.


Bamital & volsnap

Разработана главным образом для выявления заражений семейства Bamital и volsnap. В данный момент секция расширена для выявления и других аномалий.

Модификация системных файлов является признаком возможного заражения. Если инфекция опознана, необходимо принять меры для выполнения лечебных действий. Нужно получить помощь у эксперта, так как удаление системных файлов может привести к тому, что система откажется загружаться.

Если файл не имеет легитимной цифровой подписи, вы увидите вместо нее свойства файла.

Пример взят из заражения (Hijacker.DNS.Hosts):
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
В таком случае файл необходимо заменить оригинальной копией. Используйте команду Replace:

Примечание: проверка цифровых подписей недоступна в Среде восстановления.

FRST проверяет папку %SystemDrive%\Windows\system32\drivers и перечисляет заблокированных файлы.

Этот пример взят из заражения SmartService:

C:\WINDOWS\system32\drivers\vdhmqtwa.sys -> Access Denied <======= ATTENTION
Примечание: различные драйвера руткитов прячутся и не могут быть перечислены в секции "Drivers" в Обычном режиме. Чтобы удалить такие драйвера и заблокированные файлы, используйте Режим восстановления или другие инструменты с функциями анти-руткита.

Некоторые версии заражения SmartService отключают Режим восстановления. FRST делает автоматический откат изменений BCD во время сканирования:

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully
Наиболее безопасным способом для входа в Безопасный режим является использование клавиши F8 при загрузке (Windows 7 и старее) или Дополнительных параметров загрузки (Windows 10 и Windows 8). В некоторых случаях пользователь использует утилиту «Конфигурация системы», чтобы загрузится в Безопасный режим. В случае если Безопасный режим поврежден, компьютер зациклится и останется заблокированным, т.к. система не сможет загрузиться в обычном режиме, потому что настроена для загрузки в Безопасный режим. В этом случае вы увидите:
safeboot: ==> The system is configured to boot to Safe Mode <===== ATTENTION
Чтобы исправить проблему, включите строку выше в fixlist. FRST установит по умолчанию обычный режим загрузки и система выйдет из зацикливания.

Примечание: это относится к Windows Vista и более новым версиям.


Association
(Ассоциации)

Примечание: секция «Association» появится в логе FRST.txt, если запустить проверку в среде восстановления. Если FRST запускать не в среде восстановления, то она появится в Addition.txt. Проверка в среде восстановления ограничена выводом ассоциаций только для EXE-файлов.

Перечисляет ассоциации для файлов EXE, действующие для всей системы, например так:
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION
Вы можете увидеть и другие строки, к примеру, если подменен пользовательский ключ.

Как и с остальными записями реестра, вы можете просто скопировать и вставить проблемные записи в fixlist и они будут восстановлены. Нет необходимости делать исправления в реестре.


Restore Points
(Контрольные точки восстановления)

Примечание: секция "Restore Points" указывается в логе FRST.txt, когда FRST запущен в Среде восстановления. При запуске вне Среды восстановления эта секция будет находиться в Addition.txt.

Здесь перечисляются точки восстановления.

Примечание: FRST может восстанавливать улья только в Windows XP. В Windows Vista и выше восстанавливаться из точек восстановления следует через Опции системы восстановления, загрузившись в RE (Среду восстановления).

Чтобы пофиксить, включите строку, из которой вы хотите восстановиться, в скрипт fixlist.

Пример для Windows XP:
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Чтобы восстановить ульи из точки восстановления 82 (датированной 2010-10-24), строку нужно скопировать и вставить в fixlist вот так:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
Чтобы сделать фикс для восстановления через бекап другого программного обеспечения (ульи могут сохранять FRST, ERUNT или CF) на Vista и выше, обратитесь к секции «Директивы» этого руководства.


Memory info
(Информация о памяти)

Примечание: секция «Memory info» появится в логе FRST.txt только при запуске в среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

Сообщает объем ОЗУ (Оперативного Запоминающего Устройства), установленного на машине, а также доступный объем физической памяти и процент свободной памяти. Иногда это может объяснить симптомы машины. Например, отображаемый объем может не соответствовать тому, что пользователь считает, что у него установлен. В логе может указываться меньший объем, чем реально установленный на машине. Это может случиться, когда ОС не в состоянии получить доступ ко всему объему памяти, который установлен. К вероятным проблемам можно причислить: сбойные модули ОЗУ или слоты на материнской плате либо что-то, мешающее BIOS в определении объема памяти (например, необходимо обновление BIOS). Также, в 32-битных системах при установке более, чем 4 ГБ памяти, будет сообщаться максимум о 4 гигабайтах. Это ограничение 32-битных приложений.

Также перечисляется информация о процессоре, общем и доступном объеме виртуальной памяти.


Drives / MBR & Partition Table
(Диски, MBR и таблица разделов.)

Примечание: секции "Drives" и "MBR & Partition Table" появятся в логе FRST.txt только при запуске в Среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

Перечисляет несъёмные и съёмные диски, подключённые к машине в момент сканирования. Несмонтированные разделы идентифицируются по их путям в формате "Volume GUID".
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32
Схема разделов UEFI/GPT: определяется только основная разметка GPT, а полный список разделов недоступен.
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.
Схема разделов BIOS/MBR: определяются код MBR и записи разделов. Однако, логические разделы внутри расширенных разделов не отображаются.
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)
Если есть признаки того, что что-то неверно в MBR, целесообразно будет выполнить проверку MBR. Чтобы это сделать, нужно получить дамп MBR. Запустите следующий фикс через FRST в любом режиме:
SaveMbr: drive=0 (или другой соответствующий номер диска)
После выполнения этого, в папку, куда загружен FRST/FRST64, будет сохранен файл MBRDUMP.txt.

Примечание: несмотря на то, что дамп MBR может быть сделан как в обычном режиме, так и в среде восстановления, некоторые вирусы могут подделать MBR. Таким образом, рекомендуется делать дамп именно в среде восстановления.


LastRegBack

FRST перечисляет последние резервные копии реестра, сделанные системой. Бекапы реестра содержат резервные копии всех ульев. Они отличаются от LKGC (Last Known Good Configuration - последней успешной конфигурации), которая резервирует только конфигурационный раздел (Control Set).

Есть много причин, по которым вы можете захотеть воспользоваться этим бекапом в качестве решения проблемы, но наиболее общая из них – когда произошло повреждение.

Вы можете увидеть это в заголовке FRST:

ATTENTION: Could not load system hive.
Чтобы пофиксить, просто включите строку в fixlist подобно этому:
LastRegBack: >>дата<< >>время<<
Например:
LastRegBack: 2013-07-02 15:09
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#5

Дополнительное сканирование (Addition.txt)


Заголовок отчёта Additional

Содержит краткое изложение информации, которая будет полезна.

Вот пример заголовка:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Ran by User (21-10-2017 14:16:13)
Running from C:\Users\User\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Boot Mode: Normal
Первая строка: говорит, какой из вариантов FRST запущен – 32 или 64 битный. Также указываются сведения о версии программы.

Вторая строка: показывает, кем запущен инструмент, а также дату и время.

Третья строка: говорит, откуда FRST был запущен.

Четвертая строка: записывает версию Windows и дату установки.

Пятая строка: говорит, в каком режиме была запущена проверка.


Accounts
(учетные записи)

Перечисляет стандартные учетные записи в системе в таком формате: Имя локальной учётной записи (SID -> Привилегии – Включена / Отключена) => Путь к профилю. Имена учётных записей Майкрософт не отображаются.

Пример:
Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
User (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\User
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)

Security Center
(Центр безопасности)
Вы могли заметить, что список содержит остатки от ранее удаленных программ защиты. В этом случае строку можно включить в fixlist, чтобы удалить запись.
Существуют некоторые программы защиты (наподобие Spybot S&D), которые сопротивляются удалению записи, если они не были полностью удалены. В этом случае, вместо подтверждения об удалении, вы увидите в Fixlog:
Security Center Entry => The item is protected. Make sure the software is uninstalled and its services is removed.
(Запись центра безопасности => Элемент защищен. Убедитесь, что программа деинсталлирована, а её служба удалена.)

Installed Programs
(установленные программы)

Перечисляет все установленные программы.

FRST содержит встроенную базу данных для пометки потенциально нежелательных программ (PUP) и рекламного ПО (Adware).

Пример:
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version: - Mindspark Interactive Network) <==== ATTENTION
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION
Строго рекомендуется деинсталлировать помеченные программы, прежде чем запускать автоматизированный инструмент для удаления рекламного ПО. Деинсталлятор рекламного ПО удаляет большинство его записей и возвращает назад изменения в конфигурации.

В случаях, когда программа не отображается в пользовательском меню «Удаление программы», хотя на самом деле там присутствует, FRST укажет и дополнит запись меткой, подобно этому:

Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden
Эти программы не обязательно вредоносные, просто спрятаны. У них в реестре есть параметр с именем «SystemComponent» типа REG_DWORD со значением 1. Такие программы не отображаются в оснастке «Добавить / удалить программу» (XP) или «Программы и компоненты» (Vista и выше) и пользователь не может удалить их оттуда.

Если запись из лога Addition.txt включена в fixlist, вы получите:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff\\SystemComponent => Value deleted successfully
Примечание: это всего лишь делает программу видимой, но не удаляет ее. Программа должна быть деинсталлирована пользователем.

Как говорилось выше, не каждая невидимая программа является плохой. Существует множество легитимных программ (включая программы от Microsoft), которые прячутся по вполне понятным причинам.


Custom CLSID
(сторонние CLSID)

Перечисляются сторонниe классы, созданныe в пользовательских ульях, ShellIconOverlayIdentifiers, ContextMenuHandlers и FolderExtensions.

Примеры:
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== ATTENTION
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-01] ()
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] ()
Чтобы пофиксить вредоносные записи, просто добавьте их в fixlist и FRST удалит ключи из реестра. Связанные файлы и папки необходимо перечислить отдельно, чтобы их переместить.

Примечание: легитимные программы сторонних производителей могут создавать Custom CLSID, поэтому необходима осторожность, т.к. легитимные записи удалять не нужно.


Scheduled Tasks
(назначенные задания)

Пример:
fixlist content:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
C:\Windows\System32\Tasks\FocusPick => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => key removed successfully
C:\windows\Tasks\FocusPick.job => moved successfully
Пожалуйста, обратите внимание, что FRST удаляет только записи реестра и перемещает файл задачи, но не перемещает исполняемый файл. Если исполняемый файл является вредоносным, его необходимо добавить отдельной строкой в fixlist, чтобы удалить.

Примечание: вирусы могут использовать легитимные исполняемые файлы (например, через sc.exe запускать свою службу) для запуска своего собственного файла. Другими словами, Вам нужно проверять исполняемый файл, чтобы убедиться, легитимный он или нет, прежде чем принимать меры.


Shortcuts & WMI
(ярлыки и WMI)

Перечисляются подмененные и подозрительные ярлыки в папке пользователя, который вошел в систему, а также в корне папок C:\ProgramData\Microsoft\Windows\Start Menu\Programs и C:\Users\Public\Desktop.

Записи можно включить в fixlist для исправления – см. Shortcut.txt в разделе «Другие опциональные сканирования».

Примечание: в анализе Shortcut.txt содержатся все ярлыки всех пользователей, а в отчёте Addition.txt – только подмененные / подозрительные ярлыки в профиле пользователя, который вошел в систему.

В случае с заражением WMI, которое подменяет ярлыки, вы увидите предупреждение, подобное этому:
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
Для удаления вредоносного скрипта поместите вышеуказанную строку в fixlist.


Loaded Modules
(загруженные модули)

Загруженные модули внесены в белый список на основе признака присутствия названия компании. Вот и всё; записи с отсутствующим полем «Имя компании» будут отображаться в логе. Имейте это в виду, потому что могут встретиться случаи, когда вредоносный модуль окажется с именем компании и его не будет в логе.


Alternate Data Streams
(альтернативные потоки данных)

FRST перечисляет ADS подобно этому:
==================== Alternate Data Streams (whitelisted) ==========

AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]
Размер ADS (количество содержащихся байт) отображается в квадратных скобках в конце пути.

Если поток присоединен к легитимному файлу или папке, то для фикса нужно целиком скопировать и вставить всю строку из лога в fixlist:
AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]
Если поток во вредоносном файле / папке, то фикс будет выглядеть так:
В первом случае FRST удалит только сам поток из файла или папки.
Во втором случае файл или папка будет удалена.


Safe Mode
(безопасный режим)

Значения по умолчанию внесены в белый список. Таким образом, если секция пустая, то в системе нет сторонних записей. Если какой-либо из главных ключей отсутствует (SafeBoot, SafeBoot\Minimal или SafeBoot\Network), об этом будет сказано. В таком случае, их необходимо исправить вручную.
Если там будет запись, созданная вирусом, ее можно включить в fixlist для удаления.


Association
(обратитесь к секции "Association" ранее в этом руководстве)

Перечисляет файловые ассоциации для расширений .bat, .cmd, .com, .exe, .reg и .scr. Значения по умолчанию внесены в белый список, так что если они не будут изменены или дополнены другими записями, в логе ничего не будет указано.
Если в fixlist включена любая из измененных стандартных записей, то она будет восстановлена. Если в fixlist включен пользовательский ключ реестра, то он будет удален.


Internet Explorer trusted/restricted

Перечисляет сайты, внесенные в список доверенных и ограниченных зон для браузера Internet Explorer. См. Security zones: adding or removing websites

Если внести строку в fixlist, связанная с ней запись будет удалена из реестра.


Hosts content
(содержимое Hosts) - Обратитесь к разделу Hosts, описанному ранее в этом руководстве.
Предоставляет больше информации о файле Hosts: свойства файла и первые 30 активных записей. Неактивные записи (закомментированные) скрываются.

Пример:


2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
Строки нельзя обработать индивидуально. Чтобы сбросить файл, используйте директиву Hosts: или включите строку с предупреждением о Hosts из главного файла FRST.txt.


Other Areas
(другие области)

Есть некоторые элементы в числе проверок FRST, которые не охватываются другими секциями. FRST сообщает о пути к рисунку рабочего стола, DNS серверах, настройках UAC (контроля учетных записей), настройках SmartScreen и состоянии файрвола Windows. На данный момент для этих записей нет фикса.

Wallpaper
(рисунок рабочего стола).

Различные виды шифровальщиков используют эти настройки, чтобы отобразить вымогательское сообщение.

Пример:

Нормальный путь может выглядеть так:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
Вредоносный путь и файл могут выглядеть так:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\My Documents\!Decrypt-All-Files-scqwxua.bmp
Если это вирусные записи, то путь к файлу можно добавить к фиксу вместе с другими связанными с ним файлами, найденными в FRST.txt.

Примечание: удаление вредоносной записи Wallpaper приведет к удалению фонового рисунка рабочего стола.

Пользователь должен будет настроить обои на рабочем столе.

В Windows XP:

Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Свойства», нажмите на вкладку «Рабочий стол», выберите картинку, нажмите «Применить» и «ОК».

В Windows Vista и выше:

Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Персонализация», нажмите на надписи «Фон рабочего стола», выберите одну из картинок и нажмите «Сохранить изменения».

DNS servers

Эта подсекция полезна для определения подмены DNS / настроек роутера.

Пример:
DNS Servers: 213.46.228.196 - 62.179.104.196
Поищите информацию на сайте WhoisLookup, чтобы узнать является ли сервер легитимным.

Примечание: список серверов считывается не из реестра, поэтому система должна иметь выход в интернет.

Если FRST запущена в безопасном режиме или система не подключена к интернету, вы получите:
DNS Servers: "Media is not connected to internet."

UAC
(контроль учётных записей)

Включён (настройка по умолчанию):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Отключён:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Это может случится потому что пользователь сам отключил UAC или из-за последствий воздействия вредоносного ПО. Если непонятно, является ли причиной этому вирус, следует обратиться с вопросом к пользователю, прежде чем давать фикс.


SmartScreen (Windows 8+)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Заданное значение)
Значения, поддерживаемые Windows:
Block (блокировать) | Warn (предупреждать) | Off (отключено) (на Windows 10 Version 1703+) либо
RequireAdmin (требуются права администратора) | Prompt (выдавать запрос) | Off (отключено) (на более старых системах).

Отсутствующее значение (настройка по-умолчанию на Windows 10 Version 1703+) или пустое значение будут отображаться в логе в таком виде:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )

Windows Firewall
(Сетевой экран Windows)

Пример:
Windows Firewall is enabled.
Отображает, включен или нет сетевой экран Windows. Если с системой возникли какие-то проблемы и FRST запущен в безопасном режиме, то записи о файрволе не будет.


MSCONFIG/TASK MANAGER disabled items
(отключенные элементы msconfig и Диспетчера задач)

Лог будет полезным, если пользователь воспользовался MSConfig или Диспетчером задач для отключения вредоносных записей вместо того, чтобы удалить их. Либо, если он отключил слишком много записей, и теперь не может добиться корректного запуска необходимых ему служб и программ.

Пример:
MSCONFIG в Windows 7 и более старых системах:
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S
Читается следующим образом:

Отключенные службы:
MSCONFIG\Services: Имя Службы => Исходный режим запуска
Отключенные элементы в папке Автозагрузки:
MSCONFIG\startupfolder: Оригинальный путь ("\" заменяются на "^" самой системой) => Путь к бекапу, созданному Windows.
Отключенные записи Run:
MSCONFIG\startupreg: Название параметра => Путь к файлу
Диспетчер задач в Windows 8 и Windows 10:
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"
Примечание: Windows 8 и новее используют msconfig только для служб. Элементы Автозапуска перенесены в Диспетчер Задач, который хранит отключенные записи в разных ключах. Отключенные не отсутствующие элементы перечисляются дважды – в FRST.txt (секция Registry) и в Addition.txt.

Записи можно включить в fixlist для удаления. FRST выполнит следующие действия:
- В случае с отключёнными службами он удалит ключ, созданный MSCONFIG и саму службу.
- В случае с отключёнными элементами загрузки (Run) он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач. Сама запись Run будет также удалена на новых ОС (прим. переводчика - подразумевается Windows 8 и новее).
- В случае с элементами папки "Автозагрузка" (Startup), он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач и переместит резервную копию файла, созданную Windows (на старых ОС) или сам файл (на новых системах). (прим. переводчика - под старыми ОС подразумевается XP / 2003)

Важно: Исправляйте записи из этой секции только, если вы уверены, что это вредоносная запись. Если вы не уверены в происхождении этой записи, не делайте исправление, чтобы избежать удаления легитимных элементов. В случае с отключёнными легитимными элементами, которые необходимо включить, пользователь должен быть проинструктирован, как включить их с помощью утилиты "Конфигурация системы" (MSCONFIG) или Диспетчера задач.



FirewallRules
(правила файрвола)
Перечисляются FirewallRules, AuthorizedApplications и GloballyOpenPorts (правила файрвола, доверенные приложения и глобально открытые порты).

Примеры (Windows 10):

FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
Примеры (XP):

StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh
Если запись включена в fixlist, она будет удалена из реестра. Ни один из связанных с ней файлов не будет перемещен.


Restore Points
(Точки восстановления)обратитесь к секции «Restore Points» ранее в этом руководстве.
Перечисляет доступные точки восстановления в таком формате:
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST
Если функция отключена, будет оповещение:
ATTENTION: System Restore is disabled

Faulty Device Manager Devices
(неисправные устройства в «Диспетчере Устройств»)

Пример:
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Event log errors:
(Ошибки из журнала событий)
- Application errors (Ошибки приложений)
- System errors (Ошибки системы)
- CodeIntegrity errors (Ошибки проверки целостности ЭЦП)
- Windows Defender errors and warnings (Ошибки и предупреждения Защитника Windows)

Memory info
(информация о памяти) – обратитесь к подразделу «Memory info» ранее в этом руководстве.

Drives (диски)

MBR & Partition Table
(Главная загрузочная запись и Таблица разделов) – Обратитесь к разделу «Drives / MBR & Partition Table» ранее в этом руководстве.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#6

Другие опциональные сканирования

Опциональные сканирования

Поставив галочку в чекбоксе в области «Optional Scan», FRST проверит запрошенные элементы.


List BCD
Перечисляются записи Данных конфигурации загрузки (Boot Configuration Data).


Drivers MD5
Создаст список драйверов и их контрольных сумм MD5, что будет выглядеть примерно так:
========================== Drivers MD5 =======================

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451
Затем можно будет проверить их легитимность.


Shortcut.txt

Перечисляет все виды ярлыков во всех стандартных учетных записях. Подмененные записи можно включить в fixlist для восстановления или удаления.

Пример:
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
Чтобы пофиксить строки ShortcutWithArgument: просто скопируйте и вставьте их в fixlist. А для удаления объектов Shortcut: добавьте пути отдельно в фикс.

Полный скрипт может выглядеть примерно так:
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Примечание: FRST удаляет из всех ярлыков аргументы, за исключением ярлыка Internet Explorer (No Add-ons).lnk. Аргумент этого ярлыка по умолчанию не пустой (он содержит ключ -extoff) и используется для запуска браузера Internet Explorer с отключением дополнений. Это очень важно для устранения неполадок с IE, поэтому аргумент этого ярлыка будет восстановлен.

Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:

Нажать правой кнопкой мыши по нему и выбрать «Свойства».

На вкладке «Ярлык» в поле ввода «Объект» добавить к указанному пути два пробела и -extoff

Нажать Применить и ОК.


90 Days Files
(файлы за последние 90 дней)

Если отмечена опция "90 Days Files", FRST перечислит "Three Months Created/Modified Files and Folders" вместо "One Month Created/Modified Files and Folders".


Функции поиска
Search Files
(поиск файлов)

В окне FRST есть кнопка «Search Files». Для поиска файлов вы можете ввести или скопировать и вставить в окно поиска имена, которые желаете найти. Допускаются подстановочные знаки. Если вам нужно найти более одного файла имена файлов необходимо разделить знаком точки с запятой ;

*термин*;*термин*
После нажатия кнопки «Search Files» пользователь информируется о запуске поиска и появляется прогрессбар. Затем появляется всплывающее сообщение, оповещающее, что поиск завершен. Отчёт Search.txt сохраняется в ту же папку, где расположен FRST.
Найденные файлы перечисляются вместе с датой создания, изменения, размером, атрибутами, названием компании, MD5, и цифровой подписью в следующем формате:
C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [File is digitally signed]
Примечание: проверка цифровой подписи не доступна в Среде восстановления.

Функция поиска файлов работает только в пределах системного диска. Бывают случаи, когда легитимный системный файл отсутствует или поврежден, что приводит к проблемам с загрузкой, а в системе нет для него замены. Если поиск проводится в Режиме восстановления (Vista и выше), он также включает файлы на диске X: (виртуальный загрузочный диск). В некоторых случаях он может оказаться спасителем. В качестве примера – отсутствующий файл services.exe, который можно скопировать из X:\Windows\System32 в C:\Windows\System32.

Примечание: Диск X: будет содержать только 64-битные исполняемые файлы в случае с 64-битной ОС.

Кнопка "Search Files" может быть использована для выполнения дополнительных видов поиска, см. ниже директивы FindFolder: и SearchAll:. Результаты будут записаны в отчёт Search.txt.


Search Registry
(поиск в реестре)

В окне FRST есть кнопка «Search Registry». Вы можете ввести или скопировать и вставить в окно поиска имя (имена) записей, которые желаете найти. Если Вам необходимо найти более одной записи, то имена нужно разделять знаком точки с запятой ;

В отличие от поиска файла, при выполнении поиска в реестре необходимо избегать добавления подстановочных знаков к поисковым фразам, потому что подстановочные знаки будут восприняты буквально. Если подстановочный знак ("*" или "?") добавлен в начало или в конец искомой фразы реестра, FRST проигнорирует его и будет искать эту фразу без данного знака.

Отчёт SearchReg.txt сохраняется в ту же папку, где расположен FRST.

Примечание: функция поиска в реестре будет работать только вне Среды восстановления.


FindFolder:

Для поиска папки(ок) на системном диске введите фразу со следующим синтаксисом в окно поиска и нажмите кнопку "Search Files":
FindFolder: термин;термин
Подстановочные знаки поддерживаются:
FindFolder: *термин*;*термин*

SearchAll:

Для выполнения полного поиска (файлы, папки, реестр) на предмет наличия одного или нескольких терминов введите фразу со следующим синтаксисом в окно поиска и нажмите кнопку "Search Files":
SearchAll: термин;термин
Не добавляйте подстановочные знаки к термину(ам). FRST автоматически интерпретирует термин(ы) как *термин(ы)* в случае с файлами и папками.

Примечание: Полный поиск, выполняемый в Режиме восстановления, ограничен только файлами и папками.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#7

Директивы и команды

Каждая команда или директива в FRST должна быть расположена отдельной строкой, т.к. FRST обрабатывает строки скрипта одну за другой

Краткое описание директив и команд.

Примечание: Директивы и команды не чувствительны к регистру символов.

Для использования только в Обычном режиме:

CreateRestorePoint:
TasksDetails:

Для использования в Обычном и Безопасном режимах:

CloseProcesses:
DeleteKey: и DeleteValue:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VerifySignature:
VirusTotal:
Zip:

Для использования в Обычном, Безопасном режимах и среде восстановления (RE):

cmd:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteQuarantine:
DisableService:
ExportKey: и ExportValue:
File:
FilesInDirectory: и Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
testsigning on:
Unlock:

Для использования только в среде восстановления (RE):

LastRegBack:
Restore From Backup:
RestoreErunt:
RestoreMbr:


Примеры использования

CloseProcesses:

Завершает все процессы, не представляющие особой важности для системы. Помогает произвести фикс более эффективно и быстрее.

Пример:
Код:
CloseProcesses:
Если эта директива включена в фикс, она автоматически применит перезагрузку. Нет необходимости использовать директиву Reboot: . Директива CloseProcesses: не нужна и не доступна в среде восстановления.


CMD:

Иногда Вам нужно выполнить команду в CMD. В этом случае необходимо использовать директиву “CMD:”.

Скрипт будет таким:
Код:
CMD: Команда
Если у Вас более одной команды, поместите CMD: в начало каждой строки, чтобы получить вывод в логе для каждой команды.

Пример:
Код:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Первая команда скопирует файлы минидампа на флешку (если у флешки буква диска – E).
Вторая команда используется для фикса MBR в Windows Vista и выше.

Альтернативно, можно воспользоваться директивами StartBatch: — EndBatch: (см. ниже).

Примечание: В отличие от родных и прочих директив FRST, команды cmd должны иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае наличия пробелов в пути к файлу или каталогу.


Copy:

Для копирования файлов и папок в стиле, подобному xcopy.

Синтаксис таков:
Код:
Copy: исходный файл/папка целевая папка
Целевая папка будет создана автоматически (если не существует).

Пример:
Код:
Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\
Примечание: для замены одного файла рекомендуется использовать директиву Replace:. В случае, если целевой файл существует, Copy: будет пытаться только перезаписать файл, в то время как Replace: дополнительно попробует разблокировать и переместить файл в карантин.


CreateDummy:

Создаёт заблокированную пустую папку, чтобы предотвратить восстановление плохого файла или папки. Пустую папку необходимо удалить после нейтрализации вредоносного ПО.

Синтаксис таков:
Код:
CreateDummy: путь
Пример:
Код:
CreateDummy: C:\Windows\System32\Плохой.exe
CreateDummy: C:\ProgramData\Плохой

CreateRestorePoint:

Для создания точки восстановления.

Пример:
Код:
CreateRestorePoint:
Примечание: эта директива работает только в Обычном режиме. Она также не будет выполняться, если отключена система восстановления.


DeleteJunctionsInDirectory:

Для удаления точек соединения (junction) используйте приведенный синтаксис:
Код:
DeleteJunctionsInDirectory: Путь
Пример:
Код:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

DeleteKey: и DeleteValue:

Наиболее эффективный способ удаления ключей/параметров, который обходит ограничения стандартных алгоритмов удаления, присутствующих в директивах Reg: и StartRegedit: — EndRegedit:.

Синтаксис таков:

1. Для ключей:
Код:
DeleteKey: ключ
Альтернативно, можно использовать формат файлов редактора реестра:
Код:
[-ключ]
2. Для параметров:
Код:
DeleteValue: ключ|параметр
Если параметр является параметров по умолчанию, оставьте имя параметра пустым:
Код:
DeleteValue: ключ|
Примеры:
Код:
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]
Способность удаления ключей с помощью FRST распространяется на символические ссылки, ключи, которые заблокированы из-за отсутствия необходимых привилегий и ключи, которые содержат символы Null. Нет необходимости использовать директиву Unlock:.

Для ключей и параметров, которые защищены с помощью запущенной программы (по ним будет получен "отказ в доступе"), вам необходимо использовать Безопасный режим (чтобы обойти защиту запущенных программ) или удалить ее основные компоненты перед использованием команд.

Примечание: если среди перечисленных для удаления ключей есть ссылки на другой ключ реестра, будет удален ключ-источник, который является символической ссылкой. Цель этого ключа не будет удалена. Это сделано для предотвращения удаления обоих ключей, вредоносной символической ссылки, которая могла указывать на легитимный ключ и самого легитимного ключа. В ситуациях, когда оба ключа являются вредоносными – ключ-источник и его цель, необходимо перечислить их оба при удалении.


DeleteQuarantine:

После завершения очистки папки %SystemDrive%\FRST (обычно, C:\FRST), созданной инструментом FRST, ее необходимо удалить с компьютера. В некоторых случаях эту папку не получается удалить вручную в связи с тем, что в папке %SystemDrive%\FRST\Quarantine содержатся заблокированные или необычные вредоносные файлы или папки. Команда DeleteQuarantine: удалит папку Quarantine.

Не следует использовать инструментарий перемещения файлов для удаления файлов из C:\FRST, поскольку эти инструменты лишь перемещают файлы в свой собственный каталог и он все равно остается в системе.

Команду нужно просто добавить в fixlist, подобно этому:
Код:
DeleteQuarantine:

DisableService:

Для удаления обычной службы или службы драйвера, вы можете использовать следующий скрипт:
Код:
DisableService: ИмяСлужбы
Пример:
Код:
DisableService: sptd
DisableService: Wmware Nat Service
FRST установит тип запуска службы на «Отключено» и служба не запустится при следующей загрузке ОС.


EmptyTemp:

Следующие папки будут очищены:
- Temp папки Windows
- Temp пользователей
- Кеш браузеров Edge, IE, FF, Chrome и Opera, хранилища HTML5, Cookies и History (Примечание: история FF не удаляется).
- Кеш недавно открытых файлов
- Кеш Flash Player
- Кеш Java
- Кеш Steam HTML
- Кеш миниатюр Explorer и кеш иконок
- Очередь передачи BITS (файлы qmgr*.dat)
- Корзина.

Если используется директива EmptyTemp:, после фикса система будет перезагружена. Нет необходимости использовать директиву Reboot:.

Также вне зависимости от того, в какую часть скрипта добавлена EmptyTemp:, в начало, средину или конец fixlist, она будет выполнена после исполнения всех остальных строк fixlist.

Важно: при использовании директивы EmptyTemp: объекты удаляются навсегда. Они не перемещаются в карантин.

Примечание: директива отключена в среде восстановления с целью предотвращения нанесения вреда.


ExportKey: и ExportValue:

Более надежный способ просмотра содержимого ключа. Директивы преодолевают некоторые ограничения regedit.exe и reg.exe. Разница между директивами заключается в объеме данных. ExportKey: перечисляет все параметры и подразделы рекурсивно, а ExportValue: показывает только параметры в разделе.

Синтаксис таков:
Код:
ExportKey: ключ
Код:
ExportValue: ключ
Пример:
Код:
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\НедействительныйКлюч ]
"Скрытый параметр"="Скрытое значение"
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ]
HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ => Access Denied.

=== End of ExportKey ===
Примечание: Экспорт предназначен только для исследовательских целей и не может быть использован для резервного копирования или операции импорта.


File:

Используется для проверки свойств файла. Можно включить несколько файлов, разделив их точкой с запятой:

Код:
File: путь;путь
Пример:
Код:
File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe
========================= File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================

File not signed
MD5: 4793A9663376EF3A9044E07A9A45D966
Creation and modification date: 2017-07-30 12:04 - 2017-07-30 12:04
Size: 000242688
Attributes: ----A
Company Name:
Internal Name: wmplayer.exe
Original Name: wmplayer.exe
Product: Windows Media Player
Description: Windows Media Player
File Version: 1.0.0.0
Product Version: 1.0.0.0
Copyright: Copyright © 2017
VirusTotal: Antivirus scan for 8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9 at 2017-08-18 21:59:16 UTC - VirusTotal

====== End of File: ======
Примечание: Проверка цифровой подписи не доступна в Режиме Восстановления.

Примечание: Директива File: не предоставляет автоматическую загрузку на VirusTotal, в отличие от директивы VirusTotal:


FilesInDirectory: и Folder:

Используются для проверки содержимого папки. Директива FilesInDirectory: предназначена для перечисления только файлов, которые соответствуют одному или нескольким шаблонам *, в то время как Folder: предназначена для получения всего содержимого папки. Вывод обоих директив будет отображать контрольную сумму MD5.

Синтаксис таков:
Код:
FilesInDirectory: путь\шаблон;шаблон
Код:
Folder: путь
Пример:
Код:
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0
========================= FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll ========================

2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe

====== End of Filesindirectory ======

========================= Folder: C:\Windows\desktop-7ec3qg0 ========================

2017-10-05 11:11 - 2016-03-28 15:22 - 000000407 ____A [4FED6C66502829268459034D6A2D51F6] () C:\Windows\desktop-7ec3qg0\config.txt
2017-10-05 11:11 - 2016-02-07 07:10 - 000000021 ____A [141C4B266FCC6204D7EE7C6EDCCC2D70] () C:\Windows\desktop-7ec3qg0\default.action
2017-10-05 11:11 - 2017-09-20 02:05 - 000000117 ____A [4A44010B8D5F3455F5447ED376294FF4] () C:\Windows\desktop-7ec3qg0\default.filter
2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Windows\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A [7198513210A07AB63043FA7A84635AE2] () C:\Windows\desktop-7ec3qg0\uninstall.bat

====== End of Folder: ======
Примечание: директива Folder: работает рекурсивно и перечисляет содержимое всех подкаталогов. Поэтому она может создавать гигантские отчёты.


FindFolder:

См. Функции поиска в секции "Другие опциональные сканирования". Директива работает подобным образом, как и FindFolder: в окне поиска, но результат сохраняется в Fixlog.txt.


Hosts:

Предназначена для сброса Hosts. Также, см. hosts в секции «Основное сканирование (FRST.txt)».


ListPermissions:

Используется для перечисления разрешений на файлы / каталоги / ключи, включенные в скрипт:

Код:
ListPermissions: путь/ключ
Пример:
Код:
Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\User\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

Move:

Иногда операция переименования или перемещения файла, особенно если она выполняется между дисками, бывает проблематичной и команда MS Rename может завершиться неудачей. Чтобы переместить или переименовать файл, используйте следующий скрипт:
Код:
Move: источник назначение
Пример:
Код:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
Инструмент перемещает файл-назначение в папку Quarantine (если этот файл существует). Затем перемещает файл-источник в расположение указанного назначения.

Примечание: С помощью директивы Move: можно выполнять переименование.

Примечание 2: путь назначения должен содержать имя файла, даже если файл отсутствует в папке назначения.


Powershell:

Предназначен для запуска команды или файла-скрипта в оболочке PowerShell.

1. Для выполнения единственной команды в PowerShell и получения ее вывода в Fixlog.txt синтаксис будет таким:
Код:
Powershell: команда
Пример:
Код:
Powershell: Get-Service

2. Для выполнения единственной команды в PowerShell и получения ее вывода в текстовый файл (не Fixlog.txt) используйте операторы перенаправления или командлет Out-File:
Код:
Powershell: команда > "Путь к текстовому файлу"
Код:
Powershell: команда | Out-File "Путь к текстовому файлу"
Пример:
Код:
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

3. Для запуска готового файла-скрипта (.ps1), который содержит одну или более строк (команд) PowerShell, синтаксис будет таким:
Код:
Powershell: "Путь к файлу скрипта"
Примеры:
Код:
Powershell: C:\Users\UserName\Desktop\script.ps1
Код:
Powershell: "C:\Users\User Name\Desktop\script.ps1"

4. Для выполнения большего числа команд (строк) PowerShell, как если бы они находились в файле-скрипте (.ps1), но без создания файла .ps1, используйте в качестве разделителя "точку с запятой" ; вместо перевода строки:
Код:
Powershell: строка 1; строка 2; (и так далее)
Пример:
Код:
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")
Альтернативно, можете воспользоваться директивами StartPowershell: — EndPowershell: (см. ниже).



Reboot:

Для перезагрузки компьютера.

Не имеет значения, в какую часть fixlist вы ее добавите. Даже если она будет добавлена в начало, перезагрузка будет выполнена по завершению всех остальных фиксов.

Примечание: эта команда не будет работать и не нужна в среде восстановления.


Reg:

Для управления реестром Windows с помощью консольной утилиты reg.exe.

Синтаксис таков:
Код:
Reg: reg команда
Пример:
Код:
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Примечание: в отличие от родных директив FRST, команда Reg должна иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае, когда имя ключа или параметра содержит пробел.

Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.



RemoveDirectory:

Предназначена для удаления (не перемещения в карантин) каталогов с урезанными правами или ошибками в пути или имени. Не нужно использовать директиву Unlock:. Эта директива должна использоваться для каталогов, которые сопротивляются обычной операции перемещения. Если она будет использована в Безопасном режиме, то окажется очень мощной, а в среде восстановления – еще более мощной.

Скрипт будет выглядеть так:
Код:
RemoveDirectory: путь

RemoveProxy:

Убирает некоторые из ограничений, связанные с настройками политик Internet Explorer, подобно "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" или ProxySettingsPerUser в HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Команда удаляет параметр "ProxyEnable" (если он задан как 1), параметры "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" и "SavedLegacySettings" из ключей HKLM и пользователей. Команда также устанавливает параметр BITSAdmin в значение NO_PROXY.

Дополнительно, команда удаляет значение по-умолчанию ключа "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies", если он изменен.

Примечание: Если запущена программа или служба, которая восстанавливает эти параметры, ее необходимо деинсталлировать, а службу удалить, прежде чем использовать команду. Это будет гарантировать, что настройки прокси не вернутся обратно.


Replace:

Для замены файла используйте следующий скрипт:
Replace: источник назначение
Пример:
Код:
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
Инструмент перемещает файл-назначение (если он существует) в папку Quarantine. Затем копирует файл-источник в позицию назначения.

Он не переместит файл-источник и он останется в оригинальном расположении. Таким образом, на примере выше файлы dnsapi.dll в папках WinSxS останутся там на будущее.

Примечание: путь назначения должен включать в себя имя файла, даже если он сейчас отсутствует в папке назначения.

Примечание 2: в случае, если папка назначения отсутствует, команда не выполнится. FRST не восстанавливает полную структуру каталога. Вместо этого можно воспользоваться директивой Copy:.


Restore From Backup:

При первом запуске FRST копирует ульи в папку %SystemDrive%\FRST\Hives (обычно, C:\FRST\Hives) в качестве резервной копии. Она не будет перезаписана при последующих запусках утилиты, если только не была создана более 2 месяцев назад. Если что-то пошло не так, любой из ульев можно восстановить. Синтаксис будет таким:

Код:
Restore From Backup: ИмяУлья
Пример:
Код:
Restore From Backup: software
Restore From Backup: system

RestoreErunt:

Для восстановления ульев, созданных Erunt, скрипт будет таким:
Код:
RestoreErunt: путь
Для восстановления из бекапов, созданных CF (ComboFix) скрипт будет таким:
Код:
RestoreErunt: cf

RestoreQuarantine:

Вы можете восстановить целиком содержимое карантина, один или несколько файлов или папок из карантина.

Чтобы восстановить содержимое карантина целиком синтаксис будет либо:
Код:
RestoreQuarantine:
либо
Код:
RestoreQuarantine: C:\FRST\Quarantine
Чтобы восстановить файл или папку, синтаксис будет таким:
Код:
RestoreQuarantine: ПутьВнутриQuarantine
Пример восстановления папки C:\Program Files\Microsoft Office
и файла, который изначально имел путь: C:\Users\User\Desktop\ANOTB.exe
Код:
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\Desktop\ANOTB.exe.xBAD
Чтобы найти путь в карантине, вы можете использовать:
Код:
Folder: C:\FRST\Quarantine
или:
Код:
CMD: dir /a/b/s C:\FRST\Quarantine
Примечание: Если файл уже существует (за пределами карантина) по пути назначения, FRST не перезапишет его. Оригинальный файл не будет перемещен и останется в карантине. Однако если вам все же нужно восстановить файл из карантина, необходимо удалить или переименовать файл в папке назначения.


RestoreMBR:

Служит для восстановления MBR. Для записи файла MBR.bin на диск FRST использует программу MbrFix, которая сохранена на флеш-накопитель. Вот что необходимо для фикса:
1. Программа MbrFix/MbrFix64
2. MBR.bin, который требуется восстановить.
3. Скрипт, в котором указана буква диска:
Код:
RestoreMbr: Drive=#
Пример:
Код:
RestoreMbr: Drive=0
Примечание: MBR, который нужно восстановить, следует назвать MBR.bin, упаковать в архив и прикрепить в теме.


SaveMbr:

Обратитесь к секции Drives / MBR & Partition Table этого руководства.

Чтобы создать копию MBR, используйте следующий синтаксис:
Код:
SaveMbr: Drive=#
Пример:
Код:
SaveMbr: Drive=0
Примечание: после выполнения этого, на флеш-накопителе будет создан файл MBRDUMP.txt, который пользователю необходимо прикрепить к своему сообщению в теме.


SetDefaultFilePermissions:

Директива создана для работы с заблокированными системными файлами. Она назначает группу "Администраторы" владельцем и в зависимости от системы предоставляет привилегии разрешения для стандартных групп.

Примечание: директива не назначит Trusted-installer владельцем, тем не менее, директиву можно использовать на системных файлах, которые были заблокированы вредоносным ПО.

Скрипт будет таким:
Код:
SetDefaultFilePermissions: путь


StartBatch: — EndBatch:

Для создания и запуска пакетного файла.

Синтаксис таков:
Код:
StartBatch:
Строка 1
Строка 2
И т.д.
EndBatch:
Вывод будет переадресован в Fixlog.txt.

См. также директиву CMD: ранее в этом руководстве.



StartPowershell: — EndPowershell:

Более лучшая альтернатива для создания и запуска файла PowerShell, который содержит несколько строк (см. директиву Powershell: ранее в этом руководстве).

Синтаксис таков:
Код:
StartPowershell:
Строка 1
Строка 2
И т.д.
EndPowershell:
Вывод будет переадресован в Fixlog.txt.



StartRegedit: — EndRegedit:

Предназначена для создания и импорта файла реестра (.reg).

Синтаксис таков:
Код:
StartRegedit:
формат файла .reg
EndRegedit:
Включение заголовка формата Windows Registry Editor Version 5.00 является опциональным, но заголовок формата REGEDIT4 - обязателен.

Пример:
Код:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002

EndRegedit:
Вы получите подтверждение в Fixlog.txt:
Примечание: строка с подтверждением появится вне зависимости от наличия любых возможных ошибок в вашем файле .reg.

Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.



TasksDetails:

Выводит подробности о задании, связанные с временем выполнения.
Синтаксис таков:
Код:
TasksDetails:
Пример:
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
Примечание: Директива не поддерживается в Windows XP и работает полнофункционально только в обычном режиме.
В безопасном режиме вы получите информацию только о файлах *.job.


testsigning on:

Применим к Windows Vista и выше; не поддерживается на устройствах со включённым Secure Boot.
Прим. переводчика: см. также описание Secure Boot.

Включённый testsigning (тестовый режим) является нестандартной модификацией BCD (Boot Configuration Data – Данные конфигурации загрузки ОС), которая сделана вредоносным ПО или пользователем, пытающимися установить несовместимый драйвер. Если FRST находит улики подобного вмешательства, он сообщит примерно так:
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
(testsigning: ==> установлен режим ‘testsigning'. Проверьте систему на предмет наличия неподписанных драйверов.)
Прим. переводчика:
Кроме того на рабочем столе появится надпись, подобная этой:

Test_mode_win7.jpg

Осмотрите секцию "Drivers" в поисках драйвера, связанного с предупреждением. В зависимости от ситуации, включите драйвер вместе с предупреждением или только само предупреждение в fixlist.

Если после обработки fixlist-а возникнут побочные эффекты, воспользуйтесь этой директивой, чтобы заново включить тестовый режим для дальнейшего поиска и решения проблемы:
Код:
testsigning on:
[BGCOLOR=transparent][/BGCOLOR]
Unlock:

В случае с файлами и папками, директива меняет владельца на группу «Все», а также даёт ей права и работает рекурсивно, если применяется к каталогам. Директиву необходимо применять к вредоносным файлам и каталогам. Чтобы разблокировать системные файлы, используйте директиву SetDefaultFilePermissions:

В случае с элементами реестра она меняет владельца на группу «Администраторы», даёт группам обычный доступ и применяется только для указанного ключа. Её можно использовать как для вредоносных, так и легитимных ключей.

Скрипт будет таким:
Код:
Unlock: путь
Иногда обычная операция перемещения не работает из-за привилегий. Вы поймёте это, когда увидите в логе Fixlog.txt «Could not move» (Не могу переместить Файл/Каталог). В этом случае вы можете использовать директиву «Unlock:» на тех файлах или папках.

Пример:

Код:
Unlock: C:\Windows\System32\плохой.exe
Чтобы переместить файл просто укажите путь отдельно в фиксе:
Код:
Unlock: C:\Windows\System32\плохой.exe
C:\Windows\System32\плохой.exe
Вы можете использовать команду для разблокировки элементов реестра, если они заблокированы. Например, если вы запускаете фикс в среде восстановления и текущим конфигурационным разделом является ControlSet001, то будет применяться следующее:
Код:
Unlock: hklm\system\controlset001\ПлохаяСлужба\ИмяПодраздела
Чтобы удалить ключ, используйте директиву Reg:. Полный синтаксис может быть таким:
Код:
Unlock: hklm\system\controlset001\ПлохаяСлужба\ИмяПодраздела
Reg: reg delete hklm\system\controlset001\ПлохаяСлужба /f
Примечание: Директива DeleteKey: может быть использована вместо комбинации Unlock: и Reg:.


VerifySignature:

Служит для проверки цифровой подписи у файла.
Код:
VerifySignature: путь
Пример:
Код:
VerifySignature: C:\Windows\notepad.exe

VirusTotal:

Для проверки файлов через VirusTotal. FRST выполнит поиск предыдущей проверки файла в базе данных VirusTotal. Если файл ни разу не проверялся на VirusTotal, он будет загружен для анализа.

Можно включить несколько файлов, разделив их точкой с запятой
VirusTotal: путь;путь
Пример:
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)
Метка "0-byte MD5" указывает на то, что либо файл используется, либо заблокирован, либо путь указывает на символическую ссылку.


Zip:

Для упаковки файлов / папок и сохранения их на рабочий стол под именем Дата_Время.zip с целью последующей загрузки пользователем. Для файлов и папок с дублирующимися именами будет создано более одного архива.

Можно включать как угодно много файлов, разделив их точкой с запятой.

Код:
Zip: путь;путь
Через точку с запятой можно перечислить сколько угодно много файлов или папок.

Пример:
Код:
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#8

Шаблоны ответов
Пример инструкции для экспертов, специализирующихся в помощи по борьбе с вредоносным ПО.

Для запуска пользователем FRST в обычном режиме:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в [URL='https://safezone.cc/threads/17759/']этом руководстве[/URL].

Для запуска FRST на Windows Vista / 7 / 8 / 8.1 / 10 в среде восстановления (RE).

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

Скопируйте FRST на флэш-накопитель:

Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер.

Выберите Командная строка

В командной строке введите следующее:

notepad и нажмите клавишу Enter.
Откроется Блокнот. В меню Файл выберите Открыть.
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду e:\frst64.exe и нажмите клавишу Enter
Примечание:
Замените букву e на букву вашего флэш-накопителя.

  • После того, как программа запустится, нажмите Yes для соглашения с предупреждением.
  • Нажмите кнопку Scan.
  • После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.
Подробнее читайте в этом руководстве.



Скачайте [URL='https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/'][B]Farbar Recovery Scan Tool[/B][/URL] и сохраните на Рабочем столе.

[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

Скопируйте FRST на флэш-накопитель:

Загрузитесь в среду восстановления с жесткого диска (нажмите [B]F8[/B] и выберите пункт [B]Устранение неполадок компьютера[/B]). Вставьте USB-накопитель в компьютер.

Выберите [B]Командная строка [/B]

В командной строке введите следующее:

[B]notepad[/B] и нажмите клавишу [B]Enter[/B].
Откроется Блокнот. В меню Файл выберите [B]Открыть[/B].
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду [B][COLOR=#FF0000]e[/COLOR]:\frst64.exe[/B] и нажмите клавишу [B]Enter
Примечание:[/B] Замените букву [COLOR=#FF0000][B]e[/B][/COLOR] на букву вашего флэш-накопителя.

[LIST]
[*]После того, как программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.
[*]Нажмите кнопку [B]Scan[/B].
[*]После окончания сканирования на флэш-накопителе будет создан отчёт ([B]FRST.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.
[/LIST]
Подробнее читайте в [URL='https://safezone.cc/threads/17759/#post-190088']этом руководстве[/URL].


Фиксы

Для выполнения фикса из файла в обычном и безопасном режимах загрузки Windows.

Из файла:
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
CreateRestorePoint:


EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]Start::
CreateRestorePoint:


EmptyTemp:
Reboot:
End::[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в [URL='https://safezone.cc/threads/17760/']этом руководстве[/URL].


Из буфера обмена:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    
    
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


[List]
[*] Отключите до перезагрузки антивирус.
[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:


EmptyTemp:
Reboot:
End::[/code]

[*] Скопируйте выделенный текст (правой кнопкой - Копировать).
[*] Запустите FRST (FRST64) от имени администратора.
[*] Нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
[/List]
Компьютер будет перезагружен автоматически.

Подробнее читайте в [URL='http://safezone.cc/threads/17760/']этом руководстве[/URL].

Для выполнения фикса в среде восстановления (RE):

Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем fixlist.txt.

Содержимое скрипта
ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.

Теперь, пожалуйста, войдите в консоль Среды восстановления.

Запустите FRST/FRST64 и нажмите кнопку Fix всего один раз и подождите.
Инструмент создаст лог на флешке (Fixlog.txt). Пожалуйста, разместите его в своем ответе.


Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем [B]fixlist.txt[/B].

[quote]
Содержимое скрипта
[/quote]

[COLOR=red][B]ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.[/B][/COLOR]

Теперь, пожалуйста, войдите в консоль Среды восстановления.

Запустите [B]FRST/FRST64[/B] и нажмите кнопку [B]Fix[/B] всего один раз и подождите.
Инструмент создаст лог на флешке ([B]Fixlog.txt[/B]). Пожалуйста, разместите его в своем ответе.

Примечание: удобно использовать шаблоны из сборника шаблонов (от regist), который периодически обновляется (доступ только для студентов 2 курса).

____________________________
Спасибо regist за полную вычитку и правки.
Этот перевод является официальным и обновляется сихронно с оригиналом.
Информацию о предыдущих обновлениях можно найти ниже.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,623
Симпатии
5,504
#9

Обсуждение программы FRST и перевода руководства проводится в теме: FRST - обсуждение


Перечень последних обновлений:
04.01.2016 – Флаг «Attention» убран из разъяснения секции «Shortcuts».
04.01.2016 – В FirewallRules добавлено GloballyOpenPorts.
05.03.2016 – Внесены правки в секцию «Alternate Data Streams» (информация о размере)
05.03.2016 – Добавлена директива Zip:
20.04.2016 – Обновлено описание подсекции «Opera»
20.04.2016 – Более доходчиво описана секция «Services and Drivers»
20.04.2016 – Добавлен атрибут «X» в секцию «One month... Scans»
20.04.2016 – Ссылка на «Alternate Data Streams» удалена из секции «Лечение»
20.04.2016 – Обновлена секция «Bamital & volsnap»
20.04.2016 – Заменена ссылка «Internet Explorer zones»
20.04.2016 – Описания секций «Hosts content» и «Restore Points» добавлены в раздел Addition.txt
20.04.2016 – В список очистки EmptyTemp: добавлены кеш Steam HTML и BITS.
20.04.2016 – Описание «Search Files» дополнено заметкой о проверке цифровой подписи.
20.04.2016 – Добавлена заметка о том, что проверка цифровой подписи не доступна в Среде восстановления
20.04.2016 – Различные мелкие и косметические правки
28.04.2016 – Добавлено замечание, касающееся ограничений в сканировании «One month...»
28.04.2016 – Обнаружение заражения WMI добавлено в анализ Shortcuts (Addition.txt)
28.04.2016 – Обновлено описание «Shortcut.txt»
10.05.2016 – Секция "Ассоциации EXE" переименована в "Ассоциации" (во всех сканированиях) и расширена (только в сканировании Addition.txt)
10.05.2016 – Подправлен вывод директивы File:
12.05.2016 – Содержание руководства реорганизовано и упрощено
11.06.2016 – Добавлена ссылка на русский перевод
16.06.2016 – Обновлен список областей сканирования по умолчанию.
16.06.2016 – Убрана поддержка подстановочного знака "?" при обработке файлов и папок, а также при поиске в реестре.
16.06.2016 – Добавлена директива Powershell:
16.06.2016 – Правки в описание директивы Zip:
16.06.2016 – Указаны ограничения области поиска директивы FindFolder: и функции Search Files.
18.06.2016 – К перечислению EmptyTemp: добавлен кеш иконок.
05.07.2016 – Обновлено описание директивы Powershell.
22.07.2016 – Добавлены парные директивы StartBatch: — EndBatch: и StartPowershell: — EndPowershell:
22.07.2016 – Исправлены описания SetDefaultFilePermissions: и Unlock:
22.07.2016 – Отчёт "Search Registry" переименован в SearchReg.txt
25.07.2016 – Добавлена парная директива StartRegedit: — EndRegedit:
25.07.2016 – Обновлено описание директивы Reg:
15.08.2016 – Секция Edge дополнена расширениями
22.09.2016 – Обновлено описание отключённых элементов MSCONFIG/Диспетчера задач новыми примерами и пояснениями о фиксе.
13.10.2016 – Старое определение, связанное с модификацией ZeroAccess ("File name is altered") удалено из секции "Реестр"
13.10.2016 – Расширено пояснение политик в секции "Реестр", чтобы охватить ограничения SAFER, скрипты GPO, обновлено определение Registry.pol
13.10.2016 – Обновлено описание Firefox, чтобы отразить переделанную проверку, которая теперь включает все профили (включая также клоны Firefox)
13.10.2016 – Обновлено описание Chrome, чтобы включить пометку профилей и обработку настроек
13.10.2016 – Поле Addition.txt теперь всегда заранее отмечено
13.10.2016 – Добавлена директива TasksDetails:
09.12.2016 – Фикс службы "Themes" (Темы) был добавлен в исключения в секции "Службы".
09.12.2016 – Резервная копия кустов реестра старше 2 месяцев будет перезаписываться
09.12.2016 – Описание директивы Zip: обновлено, чтобы отобразить изменения, связанные с порядком именования архивов

18.01.2017 – Описание секции "Реестр" расширено и включает информацию, что заблокированные ключи будут запланированы для удаления после перезагрузки.
24.01.2017 – Удалена ссылка на немецкий перевод
01.02.2017 – Заменена ссылка на французский перевод
13.02.2017 – Описание секции "Юникод" перенесено из раздела с описанием "FRST.txt" в раздел "Лечение" и обновлено новыми примерами
13.02.2017 – Убрана очистка плагинов с пометками "No file" из описания "Chrome" (управление плагинами недоступно в Chrome 56+)
13.02.2017 – Обновлены различные примеры и скорректированы ссылки
19.02.2017 – Добавлена директива ExportKey:
23.02.2017 – Добавлена директива ExportValue:
05.03.2017 – Добавлена директива DeleteValue:
05.03.2017 – Директива DeleteKey: теперь поддерживается в Режиме Восстановления
05.05.2017 – Добавлена горячая клавиша Ctrl+y для автоматического создания пустого fixlist.txt
05.05.2017 – Обновлено описание секции "Chrome" и теперь включает инструкции, как обрабатывать переадресацию "Новой вкладки" и расширения
05.05.2017 – Различные небольшие правки
06.05.2017 – Добавлено создание фикса через буфер обмена
06.05.2017 – В раздел "Реестр" добавлено определение "Недоверенных сертификатов"
07.06.2017 – Добавлена директива CreateDummy:
07.06.2017 – Обновлено описание секции "Firefox" и теперь включает пометку профилей
14.06.2017 – метка "Shortcuts" переименована в "Shortcuts & WMI" в файле Addition.txt
14.06.2017 – Уточнено объяснение по поводу расширений Chrome в реестре
04.07.2017 – Обновлён перевод на немецкий и включён в список официальных переводов
04.07.2017 – Расширено сканирование сторонних классов CLSID
04.07.2017 – Добавлены настройки SmartScreen в секцию "Other Areas" (Другие области)
04.07.2017 – Обновлено описание Internet Explorer
04.07.2017 – Различные изменения и упрощения
08.07.2017 – Строки CHR Extension больше не обрабатываются в фиксе
08.07.2017 – Список шаблонов инструкции заменён на наш собственный из сборника шаблонов
19.08.2017 – Обновлена информация о руководстве
19.08.2017 – Добавлена директива VirusTotal:
19.08.2017 – Директива File: обновлена, чтобы включать информацию о проверке VirusTotal
19.08.2017 – Уточнение на счёт рекурсии в директиве Folder:
19.08.2017 – В описание секции "Учётные записи" внесены правки о том, что учётные записи Microsoft не обнаруживаются
05.10.2017 – Добавлено пояснение ограничения времени лечения в секцию "Лечение"
05.10.2017 – Добавлено детектирование заблокированных файлов и файлов с объёмом в 0 байт, а также определение отключённого Режима восстановления в секцию "Bamital & volsnap"
05.10.2017 – Добавлена директива FilesInDirectory:
05.10.2017 – Описания директив File: и Folder: разделены и обновлены.
10.10.2017 – Для кнопки "Search Files" добавлены функции FindFolder: и SearchAll:
10.10.2017 – Обновлено описание директивы FindFolder:
21.10.2017 – Заменены залоговки примеров логов FRST.txt и Addition.txt для отображения версии билда Windows 10.
24.10.2017 – Пояснение замены "CurrentUserName" добавлено в секцию "Лечение".
27.11.2017 – разделены описания Fixlist.txt и Ctrl+y.
17.01.2018 – Упрощено описание определения заблокированных драйверов в секции "Bamital & volsnap".
17.02.2018 – Добавлена директива Copy:
17.02.2018 – Добавлен лог событий защитника Windows.
17.02.2018 – Описания "Диски", а также "MBR и таблица разделов" обновлены и включают несмонтированные тома и схемы, основанные на UEFI/GPT.
20.02.2018 – Удалены описания обнаружений руткита TDL4 из секций "Bamital & volsnap" и "Диски".
25.02.2018 – отсылки на ZeroAccess удалены из описаний в секциях NetSvcs, One Month, Winsock.
25.02.2018 – Расширено объяснение символических ссылок под секцией "One Month".
25.02.2018 – Директива nointegritychecks on: удалена (больше не поддерживается).
25.02.2018 – Описание testsigning on: заменено на более общую и упрощённую версию.
25.02.2018 – Удалено определение "Chrome dev build detected!".
25.02.2018 – Из описаний "Firefox" и "Chrome" удалены старые описания.
25.02.2018 – Описание секции "SmartScreen" поправлено, чтобы включить Windows 10 Version 1703
25.02.2018 Различные мелкие изменения
11.03.2018 – Информация о пожертвованиях удалена
17.03.2018 – Разные технические правки от regist
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,978
Симпатии
5,670
#10
Немного дополню.
Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.
При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.
Пример взят из заражения (Hijacker.DNS.Hosts):
Думаю, для русско-язычной части интернета более привычно название Trojan.Win32.Patched.qw. Перевод описания этого трояна можете почитать здесь.
MSCONFIG/TASK MANAGER disabled items
(отключенные элементы msconfig и Диспетчера задач)
Для удаления этих элементов нужно самостоятельно составить команду для удаления этих ключей реестра. При простом копировании строки из лога они удалены не будут. Как именно написать команду см. раздел Директивы и команды. По моей просьбе farbar добавил обработку этих и с 19-го сентябра можно просто скопировать строку из лога и она будет обработана.
Включённый testsigning (тестовый режим) является нестандартной модификацией BCD (Boot Configuration Data – Данные конфигурации загрузки ОС), которая сделана вредоносным ПО или пользователем, пытающимися установить несовместимый драйвер.
Хочу обратить внимание, что наличие такого драйвера, а также включение тестового режима необязательно говорит о наличии вируса. Как пример, использование неофициальной сборки VirtualBox, в которой в отличие от официальной отключён hardening. Для того, чтобы эту сборку можно было использовать на x64 системах, драйверы подписаны самосгенерированным сертификатом, а пользователь самостоятельно должен включить тестовый режим.
Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.
Нельзя будет восстановить через FRST, зато с этим хорошо справится ClearLNK. Достачно просто перетащить или любым другим способом "скормить" ClearLNK этот ярлык. Аналогично с помощью ClearLNK можно исправить и другие ярлыки, в том числе и перечисленные в логе "Shortcut.txt".
 
Последнее редактирование:
Сверху Снизу