Руководство по Farbar Recovery Scan Tool (FRST)

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
8,030
Решения
14
Реакции
6,805
post-384336-0-18117200-1493950735.png

Farbar Recovery Scan Tool


Последнюю версию можно скачать здесь:

Ссылка 1 | Ссылка 2

Farbar Recovery Scan Tool (FRST) является диагностическим инструментом, который также способен выполнять специально подготовленные решения на основе скриптов для лечения систем, зараженных вредоносным ПО. Он одинаково хорошо работает как в обычном, так и в безопасном режимах загрузки ОС. Инструмент эффективно работает и в среде восстановления Windows, когда у системы имеются проблемы с загрузкой. Способность работать в среде восстановления делает его весьма полезным при решении проблем на системах, где возникают сложности в процессе загрузки.

**********************************************************​

Информация о руководстве

Это руководство было изначально создано emeraldnzl с консультативной помощью от farbar в тесном сотрудничестве с BC (Bleeping Computer) и G2G (Geeks to Go). emeraldnzl с тех пор вышел на пенсию, и теперь руководство дополняет и поддерживает picasso по согласованию с Farbar. Перевод на русский подготовил Dragokas. Для использования или цитирования русского руководства на другие сайты требуется разрешение Dragokas (с обязательной ссылкой на эту тему), а оригинального руководства - разрешение от picasso и Farbar. Обратите внимание, что это руководство было одобрено для использования хелперами, которые помогают в борьбе с вредоносным ПО на различных форумах.


Переводы

Английский (оригинал)
Голландский (Нидерланды) | Голландский (Бельгия)
Французский
Немецкий
Польский
Португальский
Русский
Испанский


Содержание:

1. Введение
2. Области сканирования по умолчанию
3. Основное сканирование (FRST.txt)
4. Дополнительное сканирование (Addition.txt)
5. Другие опциональные проверки
6. Директивы / Команды
7. Шаблоны ответов

(Прим. переводчика – краткое описание директив выше было добавлено мною для удобства)

Подтверждённые хелперы и эксперты, которые имеют необходимый доступ, могут быть в курсе последних разработок, заглянув в тему FRST Discussion Thread
 
Последнее редактирование:

Введение

Одной из самых сильных сторон FRST является его простота. Он разработан с учетом удобства для пользователя. Строки, которые содержат ссылки на инфицированные объекты, можно распознать, скопировать из лога, вставить в блокнот и сохранить. Дальше после нажатия на кнопку программа сделает все остальное. Это обеспечивает значительную гибкость. Как только появляются новые вирусы, они сразу же могут быть опознаны и включены в список для фикса.

Где он может работать

Farbar's Recovery Scan Tool предназначен для работы на операционных системах Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 и Windows 11. Существуют 2 версии – для 32-битных и 64-битных систем.
Примечание: FRST64 не разрабатывался для работы на 64-битной Windows XP.


Диагностика

FRST создает отчёт, который охватывает определенные области системы. Его можно использовать для первичного анализа проблемы и получения некоторой информации о системе.

Программа постоянно совершенствуется. Часть разработки состоит в том, чтобы вносить сигнатуры новых вирусов. Соответственно, очень рекомендуется периодически обновлять программу. Как только FRST будет запущен, если ПК подключен к сети интернет, произойдет автоматическая проверка на наличие обновлений. В этом случае появится уведомление о том, что можно скачать последнюю версию.

Если проявляется новое заражение, либо по какой-то причине нет подключения к сети, эксперт должен быть в курсе последних разработок в области вредоносного ПО, чтобы обеспечить раннее выявление проблемы. Неопытный пользователь должен обратиться за помощью к эксперту, если заметит новое заражение или будет не в состоянии опознать проблему на своей машине.

По-умолчанию, как и другие сканеры, FRST применяет белые списки. Это позволяет избежать очень длинных логов. Если Вам хочется увидеть полный лог, то необходимо снять галочку с соответствующего пункта секции «Whitelist». Будьте готовы к очень-очень длинному отчёту, который возможно придется загрузить для анализа в качестве вложения.
  • Стандартные записи Microsoft находятся в белых списках.
  • в случае со службами и драйверами белые списки включают в себя не только стандартные службы Microsoft, но и другие легитимные службы и драйвера.
  • Подписанные исполняемые файлы Microsoft внесены в белый список в секции "One month (created)".
  • Записи с файлами, у которых нет цифровой подписи, не вносятся в белый список.
  • антивирусные программы и файрволы в белый список не вносятся.
  • служба SPTD в белый список не вносится.

Подготовка к использованию


Убедитесь, что FRST запущен с правами Администратора. Программа будет работать правильно только при условии, что запущена пользователем, который имеет права администратора. Если у пользователя нет административных привилегий, вы увидите об этом предупреждение в заголовке отчёта FRST.txt.

В некоторых случаях антивирусные программы могут помешать нормальному запуску и работе FRST. Чаще всего это не будет являться проблемой, но будьте готовы к тому, что антивирусная программа может заблокировать запуск FRST, когда вы запрашиваете сканирование. Во время фикса предпочтительно отключать защитные программы, в частности Comodo, которые могут помешать инструменту при выполнении своей работы.

Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчёт о лечении FRST, и только затем давать другие программы.

Резервную копию реестра создавать не обязательно. При первом запуске FRST создаёт резервную копию ульев реестра. Бекапы располагаются по пути: %SystemDrive%\FRST\Hives (в большинстве случаев: C:\FRST\Hives). Подробности см. в секции "RestoreFromBackup:".

FRST доступен на нескольких языках. Хелперы, как правило, выбирают английский для анализа проблем. Если хелпер или кто-то другой, кому нужна помощь, желает предоставить логи на английском языке, достаточно просто запустить FRST, добавив слово «English» к имени файла, например, EnglishFRST.exe или EnglishFRST64.exe, или FRSTEnglish.exe, или FRSTEnglish64.exe. Лог получится на английском.


Запуск FRST


Пользователь инструктируется, что необходимо скачать FRST на рабочий стол. Оттуда проще простого дважды щелкнуть мышкой по иконке FRST, принять условия отказа от ответственности, и запустить программу. Иконка FRST похожа на эту:
post-384336-0-92525900-1493944159.png

Примечание: Вам нужна версия, совместимая с системой пользователя. Существует 32 и 64-разрядные версии. Если вы не уверены, какая из версий применима, пользователю необходимо скачать обе и попробовать запустить каждую. Только одна из них сможет запуститься. Это и будет правильная версия.

Когда FRST запустится, пользователю будет представлено окно, подобное этому:

1693836609607.webp

Как только FRST завершит анализ, он сохраняет отчёт в той же папке, из которой был запущен. При первом и последующих сканированиях вне среды восстановления будут созданы отчёты FRST.txt и Addition.txt.

Копии лога сохраняются по пути: %systemdrive%\FRST\Logs (в большинстве случаев это будет путь: C:\FRST\Logs).


Лечение


Внимание, очень важно: Farbar Recovery Scan Tool не является агрессивным и в режиме сканирования не может навредить машине.

Однако, FRST также очень эффективен при выполнении инструкций, которые ему дают. Во время применения фикса, если его просят удалить объект, он в 99% случаев сделает это. В тоже время в него встроены некоторые защитные механизмы, которые являются общепризнанными, и разработаны так, чтобы не помешать лечению инфекции.

Если вы не уверены в каком-либо элементе отчёта FRST, всегда спрашивайте совета у эксперта, прежде чем выполнять исправление
В FRST есть целый ряд команд и ключей, которые можно использовать для управления процессами компьютера и для исправления обнаруженных проблем.
____________________________________________________________________________


Подготовка Fixlist


1. Метод fixlist.txt - чтобы пофиксить найденные проблемы, скопируйте и вставьте строки из лога FRST в текстовый файл, назвав его fixlist.txt, и сохранив в ту же папку, откуда запущен инструмент.

Примечание: важно использовать именно Блокнот*. Фикс не будет работать, если использовать MS Word или какую-нибудь другую программу.

*Прим. переводчика: тем не менее можно использовать и другие продвинутые редакторы, которые не добавляют в файл специальное форматирование, например, такие как AkelPad, Bred3, Notepad++, SynWrite и др.

2. Метод Ctrl+Y. Можно использовать комбинацию клавиш Ctrl+Y, чтобы создать и открыть пустой файл для заполнения. Запустите FRST, нажмите Ctrl+Y, чтобы открыть пустой файл, вставьте фикс, нажмите Ctrl+s для сохранения.

3. Метод буфера обмена - вставьте строки, которые нужно пофиксить, между директивами Start:: и End:: подобно такому:
Код:
Start::
содержимое скрипта
End::
Попросите пользователя скопировать всё содержимое, включая Start:: и End:: и нажать кнопку "Fix".
___________________________________________________________________________


Юникод


Чтобы пофиксить запись с символами юникода, скрипт нужно сохранить в кодировке Юникода, иначе юникодные символы будут потеряны. Горячие клавиши Ctrl+Y сохраняют тектовой файл в Юникоде. Но если fixlist.txt создаётся вручную, то нужно выбрать соответствующую кодировку в Блокноте (см. ниже).
Пример:
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
Скопируйте и вставьте записи в открытый блокнот, выберите "Сохранить как...", в поле "Кодировка" выберите "UTF-8", задайте имя fixlist и нажмите "Сохранить".

Если вы сохраните файл без выбора UTF-8, вам покажут предупреждение. Если вы все равно продолжите и сохраните файл, то после его повторного открытия увидите:
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
и FRST не сможет обработать записи.
__________________________________________________________________________

Управление именами пользователей


Некоторые пользователи изменяют логи, удаляя или заменяя имя пользователя. Чтобы быть уверенным, что обрабатываются корректные пути, вы можете заменить потенциально изменённое имя пользователя в путях на CurrentUserName (для залогиненного пользователя) или AllUserName (для всех пользователей). FRST автоматически преобразует ключевые слова в правильное имя пользователя.

Примечание: Метод не поддерживается в Режиме Восстановления.
__________________________________________________________________________


Чтобы избежать зависания FRST на несколько часов из-за некорректно подготовленного скрипта, время исполнения директив cmd: и Powershell: ограничено 60 минутами.

При очистке или удалении перемещённые объекты сохраняются по пути %systemdrive%\FRST\Quarantine. В большинстве случаев это будет путь C:\FRST\Quarantine. Он будет удалён при выполнении очистки или удалении FRST.

Более подробную информацию о подготовке фикса смотрите в секциях ниже.

Удаление FRST


Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки и работает только за пределами Среды Восстановления.
 
Последнее редактирование модератором:

Области сканирования по умолчанию


При первом и последующих запусках за пределами среды восстановления создаются логи FRST.txt и Addition.txt. Лог Addition.txt не создается, если FRST запущен в среде восстановления.

1. Сканирования, которые выполняются в обычном режиме:

Основные сканирования:
Дополнительные сканирования:​
Сканирования по выбору:
Примечание: Для файлов без ЭЦП, или которые не прошли проверку ЭЦП, будет пометка [File not signed].

2. Сканирования, которые выполняются в среде восстановления:

Основные сканирования:
Сканирования по выбору:
Примечание: проверка ЭЦП не доступна в среде восстановления.

Основное сканирование (FRST.txt)

Заголовок

Вот пример заголовка:
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 28-08-2023
Ran by User (administrator) on DESKTOP-3DJ40NK (Dell Inc. Inspiron 7352) (03-09-2023 22:20:17)
Running from C:\Users\User\Desktop\FRST64.exe
Loaded Profiles: User
Platform: Windows 10 Pro Version 22H2 19045.3324 (X64) Language: English (United States)
Default browser: FF
Boot Mode: Normal
Чтение заголовка может оказаться очень полезным:

Первая строка: говорит о том, какой из вариантов FRST запущен – 32 или 64-битный. Также указывается версия FRST. Запись о версии является особенно важной. Старая версия может не содержать наиболее свежего функционала.

Вторая строка: показывает, кем запущен инструмент и с какими правами. Это может предупредить Вас, владеет ли пользователь необходимыми правами. Строка также показывает имя компьютера, а также производителя системы и модель (если доступна). Дата и время, когда был запущен инструмент, полезны для опознавания старых логов, которые пользователь мог случайно выложить.

Третья строка: говорит Вам, откуда был запущен FRST. Это может быть полезно при подготовке инструкций для фикса, если инструмент запущен из другого расположения, нежели рабочий стол.

Четвертая строка: говорит Вам, под какой учетной записью (профилем) вошел пользователь, т.е. загруженные пользовательские улья (ntuser.dat и UsrClass.dat).

Примечание: если загружен более, чем один аккаунт (с использованием "Сменить пользователя" или "Выйти из системы" для перехода между аккунтами) FRST перечисляет все аккаунты в секции "Loaded Profiles" и их записи в реестре. Остальные не загруженные аккаунты не будут перечисляться в секции "Loaded Profiles", но FRST будет автоматически монтировать соответствующие улья (только ntuser.dat) для сканирования реестра.

Пятая строка: ведет запись о редакции Windows на машине, включая данные об основных обновлениях (версию и билд ОС для Windows 11 и Windows 10; "Update" для Windows 8.1; Service Pack для Windows 7 и более ранних ОС), а также используемый язык. Это может предупредить Вас о проблеме с обновлениями, если они устарели.

Шестая строка: показывает Вам браузер по-умолчанию.

Седьмая строка: говорит Вам, в каком режиме была загружена ОС.

После этого указывается строка со ссылкой на руководство.

Примечание 2: Информация в заголовке при запуске в среде восстановления является точно такой же, за исключением строки с пользователями, т.к. она специально урезана, поскольку профили пользователей не загружены.

____________________________________________________________________________

Предупреждения, которые могут указываться в заголовке

Если возникают проблемы при загрузке, вы можете увидеть что-то наподобие "ATTENTION: Could not load system hive" («Внимание: не могу загрузить системный улей»). Это говорит о том, что потерян улей системы. В качестве решения проблемы может быть восстановление улья через команду LastRegBack: (см. ниже).

"Default: Controlset001" – уведомление говорит Вам, какой из конфигурационных разделов (CS) в системе загружен по умолчанию. Зачем Вам это нужно? В обычной ситуации Вам это не нужно, но в случае, если вы желаете заглянуть вовнутрь или воздействовать на CS, который был загружен, когда Windows запустилась, то теперь вы знаете имя необходимого CS. Попытка сделать что-либо с другими доступными CS не окажет влияния на систему.
____________________________________________________________________________



Секция Processes

(процессы)

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>

В случае, если процесс запущен другим процессом, будет отображён (родительский процесс ->).

<номер>, добавленный в конец строки, указывает на кол-во экземпляров процесса.

Есть две причины, по которым может понадобиться остановить процесс. Во-первых, вы можете остановить защитное ПО, которое может помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.

Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST. Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно завершен).

Если у Вас есть вредоносный процесс, и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить их отдельно в ваш фикс.


Секция Registry

(реестр)

Записи реестра (ключи и параметры), взятые из лога FRST, и включенные в fixlist для удаления, будут удалены. FRST содержит мощную процедуру удаления ключей и параметров. Все ключи и параметры, которые сопротивляются удалению из-за недостатка привилегий или включенных null символов, будут удалены. Ключи, которые сопротивляются удалению из-за блокировки прав, будут запланированы для удаления после перезагрузки. Единственные ключи, которые не будут удалены, это те, которые всё ещё защищены драйвером режима ядра. Такие ключи/параметры необходимо удалять после того, как будет удален или отключен драйвер режима ядра, защищающий их.

Копирование и вставка пунктов лога в фикс приведет к тому, что FRST выполнит одно из двух действий над перечисленными ключами/параметрами реестра:
  • Восстановит ключ/параметр по умолчанию или
  • Удалит ключ/параметр.

Если в fixlist скопированы записи лога, которые относятся к параметрам BootExecute, winlogon (Userinit, Shell, System), LSA и AppInit_DLLs, то инструмент восстановит значения по умолчанию.

Примечание: в случае с AppInit_DLLs, когда есть один вредоносный путь, FRST удаляет только этот конкретный путь из значений AppInit_DLLs без удаления остальных.

Нет необходимости в написании батника или фикса реестра. Тоже самое касается и некоторых других важных ключей/параметров, которые могут быть подменены вирусом.

Примечание: FRST не трогает файлы, которые указаны в этих ключах. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.

Скопированные в fixlist записи Run, Runonce, Image File Execution Options и другие записи реестра будут удалены из реестра. Файлы, которые они загружают или выполняют, не будут удалены. Если вы желаете удалить их, Вам нужно перечислить их отдельно.

Например, чтобы удалить вредоносную запись run вместе с файлом, Вам нужно перечислить их в fixlist следующим образом (первая строка была скопирована непосредственно из лога):

HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [File not signed] <==== ATTENTION
C:\WINDOWS\TEMP\gA652.tmp.exe

Если в папке «Автозагрузка» найден файл или ярлык, FRST будет искать файл в записях Автозагрузки (Startup).
Если файл является ярлыком, следующая строка будет содержать цель ярлыка (например, исполняемый файл, который запускается ярлыком). Чтобы удалить и ярлык, и его цель, вам нужно включить оба в фикс:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [File not signed]
Примечание: Первая строка перемещает только ярлык. При указании второй строки будет перемещен файл helper.vbs. Если вы укажете только вторую строку, исполняемый файл будет удален, но ярлык останется в папке автозагрузки. Как только следующий раз система загрузится, она выведет ошибку при попытке ярлыка запустить исполняемый файл, так как он не сможет найти свою цель.

FRST обнаруживает переадресацию папок автозапуска (пользовательскую и системную).
Пример:
Код:
StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\  <==== ВНИМАНИЕ
Для исправления, добавьте запись в fixlist и FRST восстановит путь по умолчанию.

В случае, если вредоносное ПО эксплуатирует недоверенные сертификаты или политики ограничения ПО (Software Restriction Policies), вы увидите записи, подобные этим:
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
Чтобы разблокировать защитные программы включите эти строки в fixlist.
Примечание: определение политик ограничения ПО происходит в целом и может привести к пометке других легитимных записей, созданных для защиты от заражений. См.: как вручную создать политики ограничения ПО для блокировки вымогательского ПО (прим. переводчика: также смотрите пример на русском).

FRST также определяет присутствие объектов групповой политики (Registry.pol и Scripts), которыми могут злоупотребить вредоносные программы. Firefox, Google Chrome, Edge и политики Windows Defender в Registry.pol будут отображены в логе отдельно:
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
Для остальных политик и скриптов вы получите общее уведомление без подробностей:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Для сброса политик включите строки в fixlist. FRST подчистит папки GroupPolicy и выполнит принудительную перезагрузку.
Пример:
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
Примечание: опознавание настроено на обычный домашний компьютер без настроенных политик и может привести к пометке легитимных записей, внесённых вручную через gpedit.msc.



Секция Scheduled Tasks

(планировщик заданий)

Если запись включена в fixlist, будет исправлено само задание.

Пример:
Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [File not signed] <==== ATTENTION
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => removed successfully
C:\Windows\System32\Tasks\csrss => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => removed successfully

Пожалуйста, обратите внимание, что FRST удаляет только записи реестра и перемещает файл задачи, но не перемещает исполняемый файл. Если исполняемый файл является вредоносным, его необходимо добавить отдельной строкой в fixlist, чтобы удалить.

Примечание: вредоносное ПО может использовать легитимные исполняемые файлы (например, через sc.exe запускать свою службу) для запуска своего собственного файла. Другими словами, Вам нужно проверять исполняемый файл, чтобы убедиться, легитимный он или нет, прежде чем принимать меры.

Следующая строка не должна включаться в fixlist:
"{Random GUID}" => key was unlocked. <==== ATTENTION

Сообщение информирует о том, что FRST обнаружила нарушенные привилегии и автоматически исправила их во время проверки. Необходимо посмотреть новый лог FRST, чтобы проверить, стало ли видно разблокированное задание (в случае со сторонним заданием), или нет (в случае с записью Microsoft в белом списке). При необходимости добавьте стандартное задание в fixlist.



Секция Internet


За исключением нескольких случаев, все записи, скопированные в fixlist, будут удалены. Для связанных с записями реестра файлов и папок, их необходимо отдельно внести в фикс, чтобы они переместились. Это не относится к записям браузеров. Подробнее, см. описание ниже.


Winsock


Если запись «Catalog5» взята для фикса, FRST сделает одну из двух вещей:

1. В случае подмены стандартных записей, он восстановит значение по умолчанию.
2. В случае с другими записями, он удалит их и перенумерует каталог записей.

Если собираетесь фиксить запись «Catalog9», то сначала рекомендуется воспользоваться "netsh winsock reset":
Код:
cmd: netsh winsock reset

Если посторонние записи «Catalog9» все еще останутся, их можно перечислить для фикса. В этом случае FRST удалит записи и перенумерует каталог.

Будьте осторожны: поврежденная цепочка помешает машине подключиться к интернет.

Повреждения при доступе к сети интернет в связи с потерянными записями в Winsock будут указаны в логе подобно этому:
Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION
Чтобы исправить проблему, записи можно включить в fixlist.


Hosts


Если в Hosts присутствуют сторонние записи, вы увидите строку в секции «Internet» в отчёте FRST.txt, в которой будет сказано:
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
(Hosts: обнаружено более одной записи в Hosts. См. секцию Hosts в Addition.txt)
Если файл Hosts не обнаружен, там будет запись о том, что программа не в состоянии обнаружить Hosts.

Чтобы сбросить записи в файле Hosts, просто скопируйте и вставьте строки в fixlist и файл hosts будет сброшен. Вы увидите строки в Fixlog.txt подтверждающие сброс.

См. также Hosts в разделе Addition этого руководства.


TCP/IP и прочие записи


Если записи включены в fixlist, они будут удалены.

Примечание: DNS сервера, настроенные в реестре (DhcpNameServer и NameServer) можно сравнить с секцией "DNS servers" из Addition.txt, чтобы определить, какие из настроек являются активными.
_______________________________________________________________________________________________

Примечание: в случае с подменой StartMenuInternet для IE, FF, Chrome и Opera – стандартные записи внесены в белый список. Если в логе FRST появляется запись, это означает, что путь не является стандартным. Здесь могло пойти что-то не так с доступом к ветви реестра. В таком случае необходимо провести дополнительное расследование. Проблемные записи могут быть включены в fixlist, что приведет к восстановлению значения по умолчанию.

Примечание: расширения, которые устанавливались не через официальные репозитории (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera add-ons), будут определяться через ссылку на URL обновления.


Edge


На Windows 10 обе версии браузеров определяются и перечисляются вместе в отчёте.

Классический Edge: кроме DownloadDir, остальные строки можно указывать в fixlist и элементы будут удалены.

Edge на движке хрома: применяются те же правила, что и для Google Chrome. См. описание ниже.


FireFox


FRST перечисляет ключи и профили браузера Firefox (FF) (если они присутствуют) вне зависимости от того, установлен FF или нет. Если существует несколько профилей Firefox-a или его клонов, FRST перечислит настройки и расширения (Extensions) всех профилей. Нестандартные профили, добавленные рекламным ПО, будут помечены.

Кроме FF DefaultProfile и FF DownloadDir, остальные строки можно указывать в fixlist и элементы будут удалены.

FRST проверяет цифровые подписи дополнений. Неподписанные дополнения будут помечены.

Пример:
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [not signed]


Chrome


FRST перечисляет ключи Хрома (если они присутствуют) вне зависимости от того, установлен он или нет. При наличии нескольких профилей, FRST будет читать настройки и расширения во всех профилях. Помечаются нестандартные профили, добавленные рекламным ПО.

Сканирование настроек (preferences) включает изменение домашней страницы и StartupUrls, включённое восстановление сессии, некоторые параметры прочих поисковых провайдеров по-умолчанию и разрешённые уведомления:
CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> is enabled.
CHR Notifications: Default -> hxxps://www.speedtestace.co
При включении в fixlist домашней страницы, StartupUrls и оповещений (Notifications), они будут удалены. Обработка других записей приведёт к частичному сбросу Chrome и пользователь может увидеть следующее сообщение на странице настроек Chrome: "Chrome обнаружил, что некоторые из настроек были повреждены другой программой и сбросил их на исходные".

FRST также определяет переадресации "Новой вкладки", которые контролируются расширениями. Чтобы удалить переадресацию, найдите соответствующее расширение (если присутствует) и удалите его как положено с помощью Инструментов Chrome (см. ниже).
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

Удаление расширений не поддерживается. Строки CHR Extension не обрабатываются в фиксе. Используйте собственные инструменты Chrom-а:
Введите chrome://extensions в адресную строку и нажмите ENTER.
Нажмите "Удалить" под расширением, которое хотите полностью удалить.
В появившемся диалоге подтверждения нажмите Удалить.

Исключением является расширение инсталлятора, расположенное в реестре (метки CHR HKLM and HKU). Если запись включена в fixlist, ключ будет удалён.


Другие браузеры, основанные на движке Хрома


На данный момент поддерживаются следующие браузеры: Brave, Opera, Vivaldi, Yandex Browser.

Такие же правила применяются для браузера Google Chrome. См. описание выше.

Для браузеров, которые не отображаются в логе, лучшим способом будет полное удаление с перезагрузкой системы и переустановкой браузера.
 
Последнее редактирование модератором:

Services / Drivers

(Службы и драйвера)

Записи служб и драйверов выводятся в таком формате:

RunningState, StartType, ServiceName; ImagePath or ServiceDll [Size CreationDate] (SignerName -> CompanyName) [signature verification]

Состояние работы, тип запуска, Имя службы; ImagePath или ServiceDll службы [Размер, Дата создания] (Имя подписавшего -> Имя компании) [проверка ЭЦП]

Состояние работы – это буква рядом с цифрой, которая обозначает текущее состояние работы:

R=Running (Запущена)
S=Stopped (Остановлена)
U=Undetermined (Неопределенное)

Цифры «Тип запуска» есть такие:

0=Boot (загрузочный)
1=System (системный)
2=Auto (автоматически)
3=Demand (вручную)
4=Disabled (отключен)
5=назначается FRST, если он не в состоянии прочитать значение Start Type

Если вы видите [X] на конце строки записи, это означает, что FRST не смог найти файл, ассоциированный с этой конкретной службой или драйвером, и записал в лог путь к ImagePath или ServiceDll таким, как он указан в реестре.

Стандартные службы Microsoft, указывающие на неподписанные файлы, требуют ремонта.

Пример:
==================== Services (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]

В данном случае файл необходимо заменить на оригинальную копию. Чтобы его исправить, используйте команду Replace:.

Чтобы удалить вредоносную службу или драйвер, скопируйте строку из лога сканирования в fixlist. Любой связанный со службой файл необходимо указывать отдельно.

Пример:
R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== ATTENTION
C:\Windows\94BE3917F6DF.sys

Инструмент завершает службы, чьи записи были включены в fixlist, и удаляет ключ службы.

Примечание: FRST сообщит об успехе или неудаче при попытке остановить службы, которые запущены. Вне зависимости от того, остановлена служба или нет, FRST попытается удалить ее. Если запущенная служба удалена, FRST проинформирует пользователя о завершении фикса и необходимости перезагрузки. FRST перезагрузит систему. В конце лога Fixlog вы увидите строку о необходимости перезагрузки. Если служба не запущена FRST удалит ее без необходимости перезагружаться.

Есть одно исключение, при котором служба будет восстановлена, а не удалена. В случае с подменённой службой "Themes" (Темы) вы увидите:
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
Если данная строка включена в fixlist, параметры по умолчанию этой службы будут восстановлены.

Следующую строку не нужно включать в fixlist:
"ServiceName" => service was unlocked. <==== ATTENTION

Сообщение уведомляет о том, что FRST обнаружила повреждённые привилегии и автоматически исправила их во время проверки. Необходимо получить новый лог FRST, чтобы проверить результаты. При необходимости, включите строку со стандартной службой в fixlist.



NetSvcs


Каждая запись NetSvc перечислена в отдельной строке, подобно этому:
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> no filepath

Примечание: перечисление NetSvc лишь удаляет ассоциированное значение из реестра. Связанная с ним служба должна быть указана для удаления отдельно.

Пример:
Чтобы удалить значение NetSvc, ассоциированную с ней службу в реестре и связанный с ней файл DLL, полный скрипт будет выглядеть следующим образом:
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi


One Month (Created/Modified)

(Файлы и папки, созданные за последний месяц | файлы и папки, изменённые за последний месяц)
Анализ «Created» сообщает о файлах и папках с указанием сперва даты и времени создания, а рядом даты и времени модификации. В анализе «Modified» указано наоборот, сперва – дата и время изменения файла или папки, а затем – дата и время создания. Также указывается их размер (число байтов). Для папок указывается 00000000, поскольку папка не имеет размера.

Примечание: чтобы избежать длительного сканирования, а также создания длинных логов, сканирование ограничено только некоторыми заранее определенными папками. Также, FRST перечисляет определённые папки, но не их содержимое. Если вы желаете узнать, что внутри, используйте директиву Folder:.

Примечание: Проверка ЭЦП ограничена исполняемыми файлами Microsoft (внесены в белый список по умолчанию). Проверка ЭЦП других файлов не выполняется. Чтобы получить дополнительный список неподписанных исполняемых файлов, используйте опциональную проверку SigCheck.

FRST добавляет пометки к определенным записям лога:

C – Compressed (сжатый)
D – Directory (папка)
H – Hidden (скрытый)
L – Symbolic Link (символическая ссылка)
N – Normal (обычный – не имеет других атрибутов)
O – Offline (вне сети)
R – Readonly (только для чтения)
S – System (системный)
T – Temporary (временный)
X – атрибут «No scrub» (не выполнять проверку файла для коррекции ошибок на томах ReFS) (Windows 8+)

Чтобы удалить файл или папку, указанную в этой секции, просто скопируйте и вставьте всю строку в fixlist.

Строки, которые указывают на символические ссылки (атрибут L), обрабатываются корректно.
Пример:
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Ссылка
Если они включены в fixlist, FRST удалит только ссылку, оставляя цель нетронутой:
Symbolic link found: "C:\WINDOWS\system32\Ссылка" => "C:\Windows\System32\Цель"
"C:\WINDOWS\system32\Ссылка" => Symbolic link removed successfully
C:\WINDOWS\system32\Ссылка => moved successfully

Альтернативно, можно воспользоваться директивой DeleteJunctionsInDirectory:.

Чтобы пофиксить остальные файлы и папки, их пути можно перечислить в fixlist. Для путей с пробелами не нужны кавычки:
c:\Windows\System32\Drivers\ПлохойФайл.sys
C:\Program Files (x86)\ПлохаяПапка

Если у Вас есть много файлов с похожими именами и вы желаете переместить их одним скриптом, можно использовать подстановочный символ *

Таким образом, вы можете либо перечислить эти файлы так:
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
Либо просто:

Примечание: символ знака вопроса "?" игнорируется в целях безопасности вне зависимости от того, является ли он подстановочным символом или заменой юникодного знака (см. описание в разделе "Юникод" под введением). Также, подстановочные знаки не поддерживаются для папок.


FLock

В секции перечисляются заблокированные файлы и папки в стандартных директориях.


FCheck

Эта секция предназначена для перечисления плохих файлов при их обнаружении, например, подмена DLL. Также некоторые файлы нулевого размера (exe и dll файлы) в стандартных директориях. Секция появляется только, если обнаружены совпадения.


Known DLLs

(хорошо известные DLL)

Если некоторые записи из этой секции потеряны, пропатчены или повреждены, это может привести к проблемам с загрузкой. Соответственно, это сканирование появляется только при загрузке инструмента в среде восстановления (Recovery Environment).

Все записи, кроме тех, что нуждаются во внимании, внесены в белый список.

Требуется осторожность при работе с записями, указанными в этой секции. Файл либо отсутствует, либо, по-видимому, был каким-то образом изменен. Поэтому необходима помощь эксперта, чтобы убедится в том, что проблемный файл был правильно определен, и затем обрабатывать его соответствующим образом. В большинстве случаев в системе уже есть оригинальный файл для замены, который можно найти с помощью функции Поиска FRST. Пожалуйста, посмотрите секцию «Директивы и команды» этого руководства для того, чтобы узнать, как заменять файл, а также секцию «Другие опциональные сканирования», чтобы узнать, как осуществлять поиск.


SigCheck


FRST проверяет множество важных системных файлов. Файлы без правильной ЭЦП или потерянные файлы будут отображены. Вне среды восстановления секция спрятана, когда у файлов не обнаружено проблем.

Модификация системных файлов является признаком возможного заражения. Если инфекция опознана, необходимо принять меры для выполнения лечебных действий. Нужно получить помощь у эксперта, так как удаление системных файлов может привести к тому, что система откажется загружаться.

Пример взят из заражения (Hijacker.DNS.Hosts):
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

В таком случае файл необходимо заменить оригинальной копией. Используйте команду Replace:

Некоторые версии заражения SmartService отключают Режим восстановления. FRST делает автоматический откат изменений BCD во время сканирования:

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully

Наиболее безопасным способом для входа в Безопасный режим является использование клавиши F8 при загрузке (Windows 7 и старее) или Дополнительных параметров загрузки (Windows 11, Windows 10 и Windows 8). В некоторых случаях пользователь использует утилиту «Конфигурация системы», чтобы загрузится в Безопасный режим. В случае если Безопасный режим поврежден, компьютер зациклится и останется заблокированным, т.к. система не сможет загрузиться в обычном режиме, потому что настроена для загрузки в Безопасный режим. В этом случае вы увидите:
safeboot: Minimal ==> The system is configured to boot to Safe Mode <===== ATTENTION

Чтобы исправить проблему, включите строку выше в fixlist. FRST установит по умолчанию обычный режим загрузки и система выйдет из зацикливания.

Примечание: это относится к Windows Vista и более новым версиям.


Association

(Ассоциации)

Примечание: секция «Association» появится в логе FRST.txt, если запустить проверку в среде восстановления. Если FRST запускать не в среде восстановления, то она появится в Addition.txt. Проверка в среде восстановления ограничена выводом ассоциаций только для EXE-файлов.

Перечисляет ассоциации для файлов EXE, действующие для всей системы, например так:
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION

Вы можете увидеть и другие строки, к примеру, если подменен пользовательский ключ.

Как и с остальными записями реестра, вы можете просто скопировать и вставить проблемные записи в fixlist и они будут восстановлены. Нет необходимости делать исправления в реестре.


Restore Points

(Контрольные точки восстановления)

Примечание: секция "Restore Points" указывается в логе FRST.txt, когда FRST запущен в Среде восстановления. При запуске вне Среды восстановления эта секция будет находиться в Addition.txt.

Здесь перечисляются точки восстановления.

Примечание: FRST может восстанавливать улья только в Windows XP. В Windows Vista и выше восстанавливаться из точек восстановления следует через Опции системы восстановления, загрузившись в RE (Среду восстановления).

Чтобы пофиксить, включите строку, из которой вы хотите восстановиться, в скрипт fixlist.

Пример для Windows XP:
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

Чтобы восстановить ульи из точки восстановления 82 (датированной 2010-10-24), строку нужно скопировать и вставить в fixlist вот так:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82


Memory info

(Информация о памяти)

Примечание: секция «Memory info» появится в логе FRST.txt только при запуске в среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt и будет содержать больше информации (BIOS, материнская плата, процессор).

Сообщает объем ОЗУ (Оперативного Запоминающего Устройства), установленного на машине, а также доступный объем физической памяти и процент свободной памяти. Иногда это может объяснить симптомы машины. Например, отображаемый объем может не соответствовать тому, что пользователь считает, что у него установлен. В логе может указываться меньший объем, чем реально установленный на машине. Это может случиться, когда ОС не в состоянии получить доступ ко всему объему памяти, который установлен. К вероятным проблемам можно причислить: сбойные модули ОЗУ или слоты на материнской плате либо что-то, мешающее BIOS в определении объема памяти (например, необходимо обновление BIOS). Также, в 32-битных системах при установке более, чем 4 ГБ памяти, будет сообщаться максимум о 4 гигабайтах. Это ограничение 32-битных приложений.

Также перечисляется информация об общем и доступном объёме виртуальной памяти.


Drives / MBR & Partition Table

(Диски, MBR и таблица разделов.)

Примечание: секции "Drives" и "MBR & Partition Table" появятся в логе FRST.txt только при запуске в Среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

Перечисляет несъёмные и съёмные диски, подключённые к машине в момент сканирования. Несмонтированные разделы идентифицируются по их путям в формате "Volume GUID".
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Model: Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Model: Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32
Схема разделов UEFI/GPT: определяется только основная разметка GPT, а полный список разделов недоступен.
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.
Схема разделов BIOS/MBR: определяются код MBR и записи разделов. Однако, логические разделы внутри расширенных разделов не отображаются.
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)

Если есть признаки того, что что-то неверно в MBR, целесообразно будет выполнить проверку MBR. Чтобы это сделать, нужно получить дамп MBR. Запустите следующий фикс через FRST в любом режиме:
SaveMbr: drive=0 (или другой соответствующий номер диска)

После выполнения этого, в папку, куда загружен FRST/FRST64, будет сохранен файл MBRDUMP.txt.

Примечание: несмотря на то, что дамп MBR может быть сделан как в обычном режиме, так и в среде восстановления, некоторые вирусы могут подделать MBR. Таким образом, рекомендуется делать дамп именно в среде восстановления.


LastRegBack


FRST перечисляет последние резервные копии реестра, сделанные системой. Бекапы реестра содержат резервные копии всех ульев. Они отличаются от LKGC (Last Known Good Configuration - последней успешной конфигурации), которая резервирует только конфигурационный раздел (Control Set).

Есть много причин, по которым вы можете захотеть воспользоваться этим бекапом в качестве решения проблемы, но наиболее общая из них – когда произошло повреждение.

Вы можете увидеть это в заголовке FRST:

ATTENTION: Could not load system hive.

Чтобы пофиксить, просто включите строку в fixlist подобно этому:
LastRegBack: >>дата<< >>время<<

Например:
LastRegBack: 2013-07-02 15:09
 
Последнее редактирование модератором:

Дополнительное сканирование (Addition.txt)



Заголовок отчёта Additional

Содержит краткое изложение информации, которая будет полезна.

Вот пример заголовка:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Ran by User (21-10-2017 14:16:13)
Running from C:\Users\User\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Boot Mode: Normal

1-я строка: говорит, какой из вариантов FRST запущен – 32 или 64 битный. Также указываются сведения о версии программы.
2-я строка: показывает, кем запущен инструмент, а также дату и время.
3-я строка: говорит, откуда FRST был запущен.
4-я строка: записывает версию Windows и дату установки.
5-я строка: говорит, в каком режиме была запущена проверка.


Accounts

(учетные записи)

Перечисляет стандартные учетные записи в системе в таком формате: Имя локальной учётной записи (SID -> Привилегии – Включена / Отключена) => Путь к профилю. Имена учётных записей Майкрософт не отображаются.

Вредоносные записи можно добавлять в fixlist для удаления.

Пример:
WgaUtilAcc (S-1-5-21-1858304819-142153404-3944803098-1002 - Administrator - Enabled) =>удалён успешно

Примечание: будет удалён только сам аккаунт. Вероятная папка пользователя в директории Users должна быть указана отдельно, чтобы её удалить.


Security Center

(Центр безопасности)

Вы могли заметить, что список содержит остатки от ранее удаленных программ защиты. В этом случае строку можно включить в fixlist, чтобы удалить запись.
Существуют некоторые программы защиты, которые сопротивляются удалению записи, если они не были полностью удалены. В этом случае, вместо подтверждения об удалении, вы увидите в Fixlog:
Security Center Entry => The item is protected. Make sure the software is uninstalled and its services is removed.
(Запись центра безопасности => Элемент защищен. Убедитесь, что программа деинсталлирована, а её служба удалена.)


Installed Programs

(установленные программы)

Перечисляет классические настольные программы и пакеты Windows 11/10/8. Современные веб-приложения (Progressive Web Apps) также отображаются в секции "Chrome apps".

Предустановленные чистые пакеты Microsoft исключаются. Пакеты от Microsoft и других издателей, поддерживающие рекламу, помечены как [MS Ad].

Пример:
App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]
Включённые или отключённые элементы, которые видно в автозапуске, помечены как [Startup Task].

FRST содержит встроенную базу данных для пометки потенциально нежелательных программ (PUP) и рекламного ПО (Adware) - только настольные версии.

Пример:
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION

Строго рекомендуется деинсталлировать помеченные программы, прежде чем запускать автоматизированный инструмент для удаления рекламного ПО. Деинсталлятор рекламного ПО удаляет большинство его записей и возвращает назад изменения в конфигурации.

Настольные программы, которых не видно в оснастке "Программы и компоненты", перечисляются с такой пометкой:
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 - Google LLC) Hidden

Есть множество легитимных программ, которые спрятаны по уважительным причинам. Если программа плохая, запись можно включить в fixlist.

Примечание: фикс всего лишь делает программу видимой, но не удаляет ее. Программа должна быть деинсталлирована пользователем.



Custom CLSID

(сторонние CLSID)

Перечисляются сторонниe классы, созданныe в пользовательских ульях, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers и FolderExtensions.

Пример:
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2018-03-03] (Диспетчер источников) [File not signed]

Чтобы пофиксить вредоносные записи, просто добавьте их в fixlist и FRST удалит ключи из реестра. Связанные файлы и папки необходимо перечислить отдельно, чтобы их переместить.

Примечание: легитимные программы сторонних производителей могут создавать Custom CLSID, поэтому необходима осторожность, т.к. легитимные записи удалять не нужно.


Codecs

(кодеки)

Если включены в fixlist, изменённые стандартных записи будут восстановлены, а сторонние записи будут удалены из реестра. Связанные файлы должны быть перечислены отдельно для удаления.


Shortcuts & WMI

(ярлыки и WMI)

Перечисляются подмененные и подозрительные ярлыки в папке пользователя, который вошел в систему, а также в корне папок C:\ProgramData\Microsoft\Windows\Start Menu\Programs и C:\Users\Public\Desktop.

Записи можно включить в fixlist для исправления – см. Shortcut.txt в разделе «Другие опциональные сканирования».

Примечание: в анализе Shortcut.txt содержатся все ярлыки всех пользователей, а в отчёте Addition.txt – только подмененные / подозрительные ярлыки в профиле пользователя, который вошел в систему.

FRST проверяет пространство WMI на нестандартные регистрации. Известные инфекции помечаются.

Пример, полученный после заражения майнером Cryptocurrency:
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"****youmm4\"",Filter="__EventFilter.Name=\"****youmm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION
Для удаления вредоносного ПО поместите строки в fixlist.

Примечание: OEM производители (например, Dell) могут создавать сторонние регистрации. Исследуйте информацию по неизвесным записям, чтобы узнать легитимные они или нет.


Loaded Modules

(загруженные модули)

Загруженные модули внесены в белый список на основе валидной цифровой подписи. Таким образом, пункты, не прошедшие проверку ЭЦП, будут отображены.


Alternate Data Streams

(альтернативные потоки данных)

FRST перечисляет ADS подобно этому:
==================== Alternate Data Streams (whitelisted) ==========

AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

Размер ADS (количество содержащихся байт) отображается в квадратных скобках в конце пути.

Если поток присоединен к легитимному файлу или папке, то для фикса нужно целиком скопировать и вставить всю строку из лога в fixlist:
AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]

Если поток во вредоносном файле / папке, то фикс будет выглядеть так:

В первом случае FRST удалит только сам поток из файла или папки.
Во втором случае файл или папка будет удалена.


Safe Mode

(безопасный режим)

Если какой-либо из главных ключей отсутствует (SafeBoot, SafeBoot\Minimal или SafeBoot\Network), об этом будет сказано. В таком случае, их необходимо исправить вручную.
Если там будет запись, созданная вирусом, ее можно включить в fixlist для удаления.


Association

(обратитесь к секции "Association" ранее в этом руководстве)

Перечисляет файловые ассоциации для расширений .bat, .cmd, .com, .exe, .reg и .scr.
Если в fixlist включена любая из измененных стандартных записей, то она будет восстановлена. Если в fixlist включен пользовательский ключ реестра, то он будет удален.


Internet Explorer


Заголовок секции содержит версию Internet Explorer на Windows 7 и старее.

В зависимости от типа объекта, FRST удалит пункы из реестра или восстановит их состояние по умолчанию.
Связанные файлы и папки необходимо указать отдельно, если их нужно переместить.


Hosts content

(содержимое Hosts) - Обратитесь к разделу Hosts, описанному ранее в этом руководстве.
Предоставляет больше информации о файле Hosts: свойства файла и первые 30 активных записей. Неактивные записи (закомментированные) скрываются.

Пример:


2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
Строки нельзя обработать индивидуально:
  • чтобы сбросить стандартный файл, используйте директиву Hosts: или включите строку с предупреждением о Hosts из главного файла FRST.txt.
  • в случае с файлом hosts.ics, включите путь к файлу в fixlist.


Other Areas

(другие области)

Есть некоторые элементы в числе проверок FRST, которые не охватываются другими секциями. На данный момент для этих записей нет фикса.

Path - запись видна при следующих условиях: стандартная строка отсутствует, неверное расположение стандартной строки, нет параметра Path.

Пример:
HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

Чтобы исправить переменную Path, можно воспользоваться ручным фиксом реестра или редактором переменных среды.

Примечание: повреждения Path могут повлиять на выполнение некоторых директив FRST (cmd: и Powershell:), если использовались относительные пути к консольным инструментам.


Wallpaper

(рисунок рабочего стола).

Различные виды шифровальщиков используют эти настройки, чтобы отобразить вымогательское сообщение.

Пример:

Нормальный путь может выглядеть так:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Вредоносный путь и файл могут выглядеть так:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\My Documents\!Decrypt-All-Files-scqwxua.bmp

Если это вирусные записи, то путь к файлу можно добавить к фиксу вместе с другими связанными с ним файлами, найденными в FRST.txt.

Примечание: удаление вредоносной записи Wallpaper приведет к удалению фонового рисунка рабочего стола.

Пользователь должен будет настроить обои на рабочем столе.

В Windows XP:

Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Свойства», нажмите на вкладку «Рабочий стол», выберите картинку, нажмите «Применить» и «ОК».

В Windows Vista и выше:

Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Персонализация», нажмите на надписи «Фон рабочего стола», выберите одну из картинок и нажмите «Сохранить изменения».


DNS servers

(используемые в данный момент DNS)

Эта подсекция полезна для определения подмены DNS / настроек роутера.

Пример:
DNS Servers: 213.46.228.196 - 62.179.104.196
Поищите информацию на сайте WhoisLookup, чтобы узнать является ли сервер легитимным.

Примечание: список серверов считывается не из реестра, поэтому система должна иметь выход в интернет.

Если FRST запущена в безопасном режиме или система не подключена к интернету, вы получите:
DNS Servers: "Media is not connected to internet."


UAC

(контроль учётных записей)

Включён (настройка по умолчанию):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Отключён:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Это может случится потому что пользователь сам отключил UAC или из-за последствий воздействия вредоносного ПО. Если непонятно, является ли причиной этому вирус, следует обратиться с вопросом к пользователю, прежде чем давать фикс.


SmartScreen (Windows 8+)


Для настольных приложений и файлов:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Заданное значение)

Значения, поддерживаемые Windows:
Block (блокировать) | Warn (предупреждать) | Off (отключено) (на Windows 10 Version 1703+) либо
RequireAdmin (требуются права администратора) | Prompt (выдавать запрос) | Off (отключено) (на более старых системах).

Отсутствующее значение (настройка по-умолчанию на Windows 10 Version 1703+) или пустое значение будут отображаться в логе в таком виде:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )


Telephony Service Providers (TSP)

(телефония)

Стандартные записи и некоторые сторонние легитимные записи внесены в белый список. Строка видна только, когда была обнаружена сторонняя запись.

Пример:
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\unknown.tsp (Publisher)

Вредоносные и испорченные записи требуют ручного фикса в реестре. Удалите соответствующие записи ProviderIDx и ProviderFileNamex и перенумеруйте соответственно остальные записи.


BITS

(фоновая интеллектуальная служба передачи данных)

Перечисляются задания BITS, которые используют командную строку уведомления. См.: Back in a Bit: Attacker Use of the Windows Background Intelligent Transfer Service | Mandiant
BITS: {ID задания} - (Имя задания) -> [NotifyCmdLine: Команда] [files:Удалённый путь -> Локальный путь]
Для удаления всех заданий BITS используйте директиву EmptyTemp:


Windows Firewall

(Сетевой экран Windows)

Пример:
Windows Firewall is enabled.
Отображает, включен или нет сетевой экран Windows. Если с системой возникли какие-то проблемы и FRST запущен в безопасном режиме, то записи о файрволе не будет.


Network Binding (Windows 8+)​

(сетевая привязка)

Перечисляет доступные сетевые адаптеры и нестандартные компоненты, привязанные к сетевым адаптерам.

Пример:
Network Binding:
=============
Ethernet 2: VirtualBox Host-Only Ethernet Adapter -> VBoxNetAdp6.sys

oracle_VBoxNetLwf: VirtualBox NDIS6 Bridged Networking Driver
inspect: COMODO Internet Security Firewall Driver
Сравните с секцией "Drivers" для поиска совпадающих пунктов:
R1 VBoxNetLwf; C:\Windows\system32\DRIVERS\VBoxNetLwf.sys [265488 2023-01-11] (Oracle Corporation -> Oracle and/or its affiliates)
R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)

В случае, если стандартный деинсталлятор не смог удалить элемент, сетевая привязка должна быть удалена прежде, чем вы будете обрабатывать драйвер. Следуйте процедуре, указанной в ESET Knowledgebase.

Примечание: убедитесь, что сетевая привязка удалена прежде, чем включать драйвер в fixlist. Иначе, удаление драйвера приведёт к поломке сетевого подключения.



MSCONFIG/TASK MANAGER disabled items

(отключённые элементы msconfig и Диспетчера задач)

Лог будет полезным, если пользователь воспользовался MSConfig или Диспетчером задач для отключения вредоносных записей вместо того, чтобы удалить их. Либо, если он отключил слишком много записей, и теперь не может добиться корректного запуска необходимых ему служб и программ.

Пример:
MSCONFIG в Windows 7 и более старых системах:
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Читается следующим образом:

Отключенные службы:
MSCONFIG\Services: Имя Службы => Исходный режим запуска
Отключенные элементы в папке Автозагрузки:
MSCONFIG\startupfolder: Оригинальный путь ("\" заменяются на "^" самой системой) => Путь к бекапу, созданному Windows.
Отключенные записи Run:
MSCONFIG\startupreg: Название параметра => Путь к файлу
Диспетчер задач в Windows 8 и более новых ОС:
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

Примечание: Windows 8 и новее используют msconfig только для служб. Элементы Автозапуска перенесены в Диспетчер Задач, который хранит отключенные записи в разных ключах. Отключенные не отсутствующие элементы перечисляются дважды – в FRST.txt (секция Registry) и в Addition.txt.

Записи можно включить в fixlist для удаления. FRST выполнит следующие действия:
  • В случае с отключёнными службами он удалит ключ, созданный MSCONFIG и саму службу.
  • В случае с отключёнными элементами загрузки (Run) он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач. Сама запись Run будет также удалена на новых ОС (прим. переводчика - подразумевается Windows 8 и новее).
  • В случае с элементами папки "Автозагрузка" (Startup), он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач и переместит резервную копию файла, созданную Windows (на старых ОС) или сам файл (на новых системах). (прим. переводчика - под старыми ОС подразумевается XP / 2003)

Важно: Исправляйте записи из этой секции только, если вы уверены, что это вредоносная запись. Если вы не уверены в происхождении этой записи, не делайте исправление, чтобы избежать удаления легитимных элементов. В случае с отключёнными легитимными элементами, которые необходимо включить, пользователь должен быть проинструктирован, как включить их с помощью утилиты "Конфигурация системы" (MSCONFIG) или Диспетчера задач.



FirewallRules

(правила сетевого экрана)

Перечисляются FirewallRules, AuthorizedApplications и GloballyOpenPorts (правила файрвола, доверенные приложения и глобально открытые порты).

Примеры (Windows 10):
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

Примеры (XP):
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

Если запись включена в fixlist, она будет удалена из реестра. Ни один из связанных с ней файлов не будет перемещен.


Restore Points

(Точки восстановления)обратитесь к секции «Restore Points» ранее в этом руководстве.

Перечисляет доступные точки восстановления в таком формате:
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST
Если функция отключена, будет оповещение:
ATTENTION: System Restore is disabled (Total:59.04 GB) (Free:43.19 GB) (73%)
Примечание: запись относится к точке восстановления, отключённой стандартным путём. Восстановление системы, отключённое через групповые политики, отображается в FRST.txt (в секции "Registry"). В обоих случаях восстановление системы можно автоматически включить. См. директивы CreateRestorePoint: и SystemRestore:.



Faulty Device Manager Devices

(неисправные устройства в «Диспетчере Устройств»)

Пример:
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


Event log errors:

(Ошибки из журнала событий)

  • Application errors (Ошибки приложений)
  • System errors (Ошибки системы)
  • CodeIntegrity errors (Ошибки проверки целостности ЭЦП)
  • Windows Defender errors and warnings (Ошибки и предупреждения Защитника Windows)

Memory info

(информация о памяти) – обратитесь к подразделу «Memory info» ранее в этом руководстве.

Drives (диски)

Данные по используемым устройствам хранения

MBR & Partition Table

(Главная загрузочная запись и Таблица разделов) – Обратитесь к разделу «Drives / MBR & Partition Table» ранее в этом руководстве.
 
Последнее редактирование модератором:


Другие опциональные сканирования


Опциональные сканирования

Поставив галочку в чекбоксе в области «Optional Scan», FRST проверит запрошенные элементы.


List BCD

Перечисляются записи Данных конфигурации загрузки (Boot Configuration Data).


SigCheckExt

Перечисляет все неподписанные .exe и .dll файлы в стандартных папках. Вывод отформатирован таким же образом, как и перечень "One Month"


Shortcut.txt


Перечисляет все виды ярлыков во всех стандартных учетных записях. Подмененные записи можно включить в fixlist для восстановления или удаления.

Пример:
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

Чтобы пофиксить строки ShortcutWithArgument: просто скопируйте и вставьте их в fixlist. А для удаления объектов Shortcut: добавьте пути отдельно в фикс.

Полный скрипт может выглядеть примерно так:
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Примечание: FRST удаляет из всех ярлыков аргументы, за исключением ярлыка Internet Explorer (No Add-ons).lnk. Аргумент этого ярлыка по умолчанию не пустой (он содержит ключ -extoff) и используется для запуска браузера Internet Explorer с отключением дополнений. Это очень важно для устранения неполадок с IE, поэтому аргумент этого ярлыка будет восстановлен.

Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:

Нажать правой кнопкой мыши по нему и выбрать «Свойства».

На вкладке «Ярлык» в поле ввода «Объект» добавить к указанному пути два пробела и -extoff

Нажать Применить и ОК.


90 Days Files

(файлы за последние 90 дней)

Если отмечена опция "90 Days Files", FRST перечислит "Three Months (Created/Modified)" вместо "One Month (Created/Modified)".


Функции поиска

Search Files

(поиск файлов)

В окне FRST есть кнопка «Search Files». Для поиска файлов вы можете ввести или скопировать и вставить в окно поиска имена, которые желаете найти. Допускаются подстановочные знаки. Если вам нужно найти более одного файла имена файлов необходимо разделить знаком точки с запятой ;


После нажатия кнопки «Search Files» пользователь информируется о запуске поиска и появляется прогрессбар. Затем появляется всплывающее сообщение, оповещающее, что поиск завершен. Отчёт Search.txt сохраняется в ту же папку, где расположен FRST.
Найденные файлы перечисляются вместе с датой создания, изменения, размером, атрибутами, названием компании, MD5, и цифровой подписью в следующем формате:
C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [File is digitally signed]

Функция поиска файлов работает только в пределах системного диска. Бывают случаи, когда легитимный системный файл отсутствует или поврежден, что приводит к проблемам с загрузкой, а в системе нет для него замены. Если поиск проводится в Режиме восстановления (Vista и выше), он также включает файлы на диске X: (виртуальный загрузочный диск). В некоторых случаях он может оказаться спасителем. В качестве примера – отсутствующий файл services.exe, который можно скопировать из X:\Windows\System32 в C:\Windows\System32.

Примечание: Диск X: будет содержать только 64-битные исполняемые файлы в случае с 64-битной ОС.

Кнопка "Search Files" может быть использована для выполнения дополнительных видов поиска, см. ниже директивы FindFolder: и SearchAll:. Результаты будут записаны в отчёт Search.txt.


Search Registry

(поиск в реестре)

В окне FRST есть кнопка «Search Registry». Вы можете ввести или скопировать и вставить в окно поиска имя (имена) записей, которые желаете найти. Если Вам необходимо найти более одной записи, то имена нужно разделять знаком точки с запятой ;


В отличие от поиска файла, при выполнении поиска в реестре необходимо избегать добавления подстановочных знаков к поисковым фразам, потому что подстановочные знаки будут восприняты буквально. Если подстановочный знак ("*" или "?") добавлен в начало или в конец искомой фразы реестра, FRST проигнорирует его и будет искать эту фразу без данного знака.

Отчёт SearchReg.txt сохраняется в ту же папку, где расположен FRST.

Примечание: функция поиска в реестре будет работать только вне Среды восстановления.


FindFolder:


Для поиска папки(ок) на системном диске введите фразу со следующим синтаксисом в окно поиска и нажмите кнопку "Search Files":
FindFolder: термин;термин
Подстановочные знаки поддерживаются:
FindFolder: термин;термин


SearchAll:


Для выполнения полного поиска (файлы, папки, реестр) на предмет наличия одного или нескольких терминов введите фразу со следующим синтаксисом в окно поиска и нажмите кнопку "Search Files":
SearchAll: термин;термин

Не добавляйте подстановочные знаки к термину(ам). FRST автоматически интерпретирует термин(ы) как термин(ы) в случае с файлами и папками.

Примечание: Полный поиск, выполняемый в Режиме восстановления, ограничен только файлами и папками.
 
Последнее редактирование модератором:

Директивы и команды


Каждая команда или директива в FRST должна быть расположена отдельной строкой, т.к. FRST обрабатывает строки скрипта одну за другой

Краткое описание директив и команд.

Примечание:
Директивы и команды не чувствительны к регистру символов.

Для использования только в Обычном режиме:

CreateRestorePoint:
SystemRestore:
TasksDetails:

Для использования в Обычном и Безопасном режимах:

CloseProcesses:
EmptyEventLogs:
DeleteKey: и DeleteValue:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
Virusscan:
Zip:

Для использования в Обычном, Безопасном режимах и среде восстановления (RE):

cmd:
Comment:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteQuarantine:
DisableService:
ExportKey: и ExportValue:
File:
FilesInDirectory: и Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
Symlink:
testsigning on:
Unlock:

Для использования только в среде восстановления (RE):

LastRegBack:
Restore From Backup:
RestoreMbr:


Примеры использования


CloseProcesses:


Завершает все процессы, не представляющие особой важности для системы. Помогает произвести фикс более эффективно и быстрее.

Если эта директива включена в фикс, она автоматически применит перезагрузку. Нет необходимости использовать директиву Reboot: . Директива CloseProcesses: не нужна и не доступна в среде восстановления.


CMD:


Иногда Вам нужно выполнить команду в CMD. В этом случае необходимо использовать директиву “CMD:”.

Скрипт будет таким:
Код:
CMD: Команда
Если у Вас более одной команды, поместите CMD: в начало каждой строки, чтобы получить вывод в логе для каждой команды.

Пример:
Код:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Первая команда скопирует файлы минидампа на флешку (если у флешки буква диска – E).
Вторая команда используется для фикса MBR в Windows Vista и выше.

Альтернативно, можно воспользоваться директивами StartBatch: — EndBatch: (см. ниже).

Примечание: В отличие от родных и прочих директив FRST, команды cmd должны иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае наличия пробелов в пути к файлу или каталогу.


Comment:


Добавляет текстовое описание того, что будет выполнено следующими командами.

Пример:
Comment: Следующая команда удалит все сетевые прокси из системы
RemoveProxy:


Copy:


Для копирования файлов и папок в стиле, подобному xcopy.

Синтаксис таков:
Код:
Copy: исходный файл/папка целевая папка

Целевая папка будет создана автоматически (если не существует).

Пример:
Код:
Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

Примечание: для замены одного файла рекомендуется использовать директиву Replace:. В случае, если целевой файл существует, Copy: будет пытаться только перезаписать файл, в то время как Replace: дополнительно попробует разблокировать и переместить файл в карантин.


CreateDummy:


Создаёт заблокированную пустую папку, чтобы предотвратить восстановление плохого файла или папки. Пустую папку необходимо удалить после нейтрализации вредоносного ПО.

Синтаксис таков:
Код:
CreateDummy: путь
Пример:
Код:
CreateDummy: C:\Windows\System32\Плохой.exe
CreateDummy: C:\ProgramData\Плохой


CreateRestorePoint:


Предназначен для создания точки восстановления.

Примечание: эта директива работает только в Обычном режиме. Она также не будет выполняться, если отключена система восстановления. Она также пытается включить Восстановление системы, так что не требуется дополнительно использовать директиву SystemRestore: On.


DeleteJunctionsInDirectory:


Для удаления точек соединения (junction) используйте приведенный синтаксис:
Код:
DeleteJunctionsInDirectory: Путь
Пример:
Код:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender


DeleteKey: и DeleteValue:


Наиболее эффективный способ удаления ключей/параметров, который обходит ограничения стандартных алгоритмов удаления, присутствующих в директивах Reg: и StartRegedit: — EndRegedit:.

Синтаксис таков:

1. Для ключей:
Код:
DeleteKey: ключ
Альтернативно, можно использовать формат файлов редактора реестра:
Код:
[-ключ]

2. Для параметров:
Код:
DeleteValue: ключ|параметр
Если параметр является параметров по умолчанию, оставьте имя параметра пустым:
Код:
DeleteValue: ключ|

Примеры:
Код:
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

Способность удаления ключей с помощью FRST распространяется на символические ссылки, ключи, которые заблокированы из-за отсутствия необходимых привилегий и ключи, которые содержат символы Null. Нет необходимости использовать директиву Unlock:.

Для ключей и параметров, которые защищены с помощью запущенной программы (по ним будет получен "отказ в доступе"), вам необходимо использовать Безопасный режим (чтобы обойти защиту запущенных программ) или удалить ее основные компоненты перед использованием команд.

Примечание: если среди перечисленных для удаления ключей есть ссылки на другой ключ реестра, будет удален ключ-источник, который является символической ссылкой. Цель этого ключа не будет удалена. Это сделано для предотвращения удаления обоих ключей, вредоносной символической ссылки, которая могла указывать на легитимный ключ и самого легитимного ключа. В ситуациях, когда оба ключа являются вредоносными – ключ-источник и его цель, необходимо перечислить их оба при удалении.


DeleteQuarantine:


После завершения очистки папки %SystemDrive%\FRST (обычно, C:\FRST), созданной инструментом FRST, ее необходимо удалить с компьютера. В некоторых случаях эту папку не получается удалить вручную в связи с тем, что в папке %SystemDrive%\FRST\Quarantine содержатся заблокированные или необычные вредоносные файлы или папки. Команда DeleteQuarantine: удалит папку Quarantine.

Не следует использовать инструментарий перемещения файлов для удаления файлов из C:\FRST, поскольку эти инструменты лишь перемещают файлы в свой собственный каталог и он все равно остается в системе.

Примечание: автоматическая деинсталляция FRST (см. описание под инструкцией) включает такую же возможность удаления заблокированного карантина.


DisableService:


Для удаления обычной службы или службы драйвера, вы можете использовать следующий скрипт:
Код:
DisableService: ИмяСлужбы

Пример:
Код:
DisableService: sptd
DisableService: Wmware Nat Service

FRST установит тип запуска службы на «Отключено» и служба не запустится при следующей загрузке ОС.


EmptyEventLogs:


Очищает журнал событий Windows. Будет отображено общее число логов и любые возможные ошибки.



EmptyTemp:


Следующие папки будут очищены:
  • Temp папки Windows
  • Temp пользователей
  • Кеши, хранилища HTML5, куки и история (для браузеров, проверенных FRST, кроме клонов Firefox)
  • Кеш недавно открытых файлов
  • Кеш Discord
  • Кеш Java
  • Кеш Steam HTML
  • Кеш миниатюр Explorer и кеш иконок
  • Очередь передачи BITS (файлы qmgr.db и qmgr*.dat)
  • Кеш WinHTTP AutoProxy
  • Кеш DNS
  • Корзина.

Если используется директива EmptyTemp:, после фикса система будет перезагружена. Нет необходимости использовать директиву Reboot:.

Также вне зависимости от того, в какую часть скрипта добавлена EmptyTemp:, в начало, средину или конец fixlist, она будет выполнена после исполнения всех остальных строк fixlist.

Важно: при использовании директивы EmptyTemp: объекты удаляются навсегда. Они не перемещаются в карантин.

Примечание: директива отключена в среде восстановления с целью предотвращения нанесения вреда.


ExportKey: и ExportValue:


Более надежный способ просмотра содержимого ключа. Директивы преодолевают некоторые ограничения regedit.exe и reg.exe. Разница между директивами заключается в объеме данных. ExportKey: перечисляет все параметры и подразделы рекурсивно, а ExportValue: показывает только параметры в разделе.

Синтаксис таков:
Код:
ExportKey: ключ
Код:
ExportValue: ключ
Пример:
Код:
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\НедействительныйКлюч ]
"Скрытый параметр"="Скрытое значение"
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ]
HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ => Access Denied.

=== End of ExportKey ===
Примечание: Экспорт предназначен только для исследовательских целей и не может быть использован для резервного копирования или операции импорта.


File:


Используется для проверки свойств файла. Можно включить несколько файлов, разделив их точкой с запятой:

Код:
File: путь;путь

Пример:
Код:
File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe

========================= File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe ========================

C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
File not signed
MD5: A209B88B9B2CF7339BE0AC5126417875
Creation and modification date: 2024-03-09 12:20 - 2017-04-10 11:44
Size: 002546176
Attributes: ----A
Company Name: PainteR
Internal Name: ProxyEmu
Original Name: emuext.exe
Product: ProxyEmu
Description: ProxyEmu
File Version: 0.9.1.0
Product Version: 0.9.1.0
Copyright: painter
Virusscan: amtemu.v0.9.1-painter.exe - Jotti's malware scan

====== End of File: ======

Примечание: Проверка цифровой подписи не доступна в Режиме Восстановления.


FilesInDirectory: и Folder:


Используются для проверки содержимого папки. Директива FilesInDirectory: предназначена для перечисления только файлов, которые соответствуют одному или нескольким шаблонам *, в то время как Folder: предназначена для получения всего содержимого папки. Вывод обоих директив будет отображать контрольную сумму MD5 (для всех файлов) и цифровые подписи (для файлов .exe, .dll, .sys и .mui).

Синтаксис таков:
Код:
FilesInDirectory: путь\шаблон;шаблон
Код:
Folder: путь

Пример:
Код:
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

Примечание: директива Folder: работает рекурсивно и перечисляет содержимое всех подкаталогов. Поэтому она может создавать гигантские отчёты.


FindFolder:


См. Функции поиска в секции "Другие опциональные сканирования". Директива работает подобным образом, как и FindFolder: в окне поиска, но результат сохраняется в Fixlog.txt.


Hosts:


Предназначена для сброса Hosts. Также, см. hosts в секции «Основное сканирование (FRST.txt)».


ListPermissions:


Используется для перечисления разрешений на файлы / каталоги / ключи, включенные в скрипт:

Код:
ListPermissions: путь/ключ

Пример:
Код:
Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\User\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd


Move:


Иногда операция переименования или перемещения файла, особенно если она выполняется между дисками, бывает проблематичной и команда MS Rename может завершиться неудачей. Чтобы переместить или переименовать файл, используйте следующий скрипт:
Код:
Move: источник назначение

Пример:
Код:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

Инструмент перемещает файл-назначение в папку Quarantine (если этот файл существует). Затем перемещает файл-источник в расположение указанного назначения.

Примечание: С помощью директивы Move: можно выполнять переименование.

Примечание 2: путь назначения должен содержать имя файла, даже если файл отсутствует в папке назначения.


Powershell:


Предназначен для запуска команды или файла-скрипта в оболочке PowerShell.

1. Для выполнения единственной команды в PowerShell и получения ее вывода в Fixlog.txt синтаксис будет таким:
Код:
Powershell: команда
Пример:
Код:
Powershell: Get-Service


2. Для выполнения единственной команды в PowerShell и получения ее вывода в текстовый файл (не Fixlog.txt) используйте операторы перенаправления или командлет Out-File:
Код:
Powershell: команда > "Путь к текстовому файлу"
Код:
Powershell: команда | Out-File "Путь к текстовому файлу"
Пример:
Код:
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt


3. Для запуска готового файла-скрипта (.ps1), который содержит одну или более строк (команд) PowerShell, синтаксис будет таким:
Код:
Powershell: "Путь к файлу скрипта"
Примеры:
Код:
Powershell: C:\Users\UserName\Desktop\script.ps1
Код:
Powershell: "C:\Users\User Name\Desktop\script.ps1"


4. Для выполнения большего числа команд (строк) PowerShell, как если бы они находились в файле-скрипте (.ps1), но без создания файла .ps1, используйте в качестве разделителя "точку с запятой" ; вместо перевода строки:
Код:
Powershell: строка 1; строка 2; (и так далее)
Пример:
Код:
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

Альтернативно, можете воспользоваться директивами StartPowershell: — EndPowershell: (см. ниже).



Reboot:


Для перезагрузки компьютера.

Не имеет значения, в какую часть fixlist вы ее добавите. Даже если она будет добавлена в начало, перезагрузка будет выполнена по завершению всех остальных фиксов.

Примечание: эта команда не будет работать и не нужна в среде восстановления.


Reg:


Для управления реестром Windows с помощью консольной утилиты reg.exe.

Синтаксис таков:
Код:
Reg: reg команда

Пример:
Код:
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\User\Desktop\backup.reg

Примечание: в отличие от родных директив FRST, команда Reg должна иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае, когда имя ключа или параметра содержит пробел.

Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.



RemoveDirectory:


Предназначена для удаления (не перемещения в карантин) каталогов с урезанными правами или ошибками в пути или имени. Не нужно использовать директиву Unlock:. Эта директива должна использоваться для каталогов, которые сопротивляются обычной операции перемещения. Если она будет использована в Безопасном режиме, то окажется очень мощной, а в среде восстановления – еще более мощной.

Скрипт будет выглядеть так:
Код:
RemoveDirectory: путь


RemoveProxy:


Убирает некоторые из ограничений, связанные с настройками политик Internet Explorer, подобно "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" или ProxySettingsPerUser в HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Команда удаляет параметр "ProxyEnable" (если он задан как 1), параметры "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" и "SavedLegacySettings" из ключей HKLM и пользователей. Команда также устанавливает параметр BITSAdmin в значение NO_PROXY.

Дополнительно, команда удаляет значение по-умолчанию ключа "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies", если он изменен.

Примечание: Если запущена программа или служба, которая восстанавливает эти параметры, ее необходимо деинсталлировать, а службу удалить, прежде чем использовать команду. Это будет гарантировать, что настройки прокси не вернутся обратно.


Replace:


Для замены файла используйте следующий скрипт:
Replace: источник назначение

Пример:
Код:
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

Инструмент перемещает файл-назначение (если он существует) в папку Quarantine. Затем копирует файл-источник в позицию назначения.

Он не переместит файл-источник и он останется в оригинальном расположении. Таким образом, на примере выше файлы dnsapi.dll в папках WinSxS останутся там на будущее.

Примечание: путь назначения должен включать в себя имя файла, даже если он сейчас отсутствует в папке назначения.

Примечание 2: в случае, если папка назначения отсутствует, команда не выполнится. FRST не восстанавливает полную структуру каталога. Вместо этого можно воспользоваться директивой Copy:.


Restore From Backup:


При первом запуске FRST копирует ульи в папку %SystemDrive%\FRST\Hives (обычно, C:\FRST\Hives) в качестве резервной копии. Она не будет перезаписана при последующих запусках утилиты, если только не была создана более 2 месяцев назад. Если что-то пошло не так, любой из ульев можно восстановить. Синтаксис будет таким:

Код:
Restore From Backup: ИмяУлья

Пример:
Код:
Restore From Backup: software
Restore From Backup: system



RestoreQuarantine:


Вы можете восстановить целиком содержимое карантина, один или несколько файлов или папок из карантина.

Чтобы восстановить содержимое карантина целиком синтаксис будет либо:
Код:
RestoreQuarantine:
либо
Код:
RestoreQuarantine: C:\FRST\Quarantine

Чтобы восстановить файл или папку, синтаксис будет таким:
Код:
RestoreQuarantine: ПутьВнутриQuarantine

Пример восстановления папки C:\Program Files\Microsoft Office
и файла, который изначально имел путь: C:\Users\User\Desktop\ANOTB.exe
Код:
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\Desktop\ANOTB.exe.xBAD

Чтобы найти путь в карантине, вы можете использовать:
Код:
Folder: C:\FRST\Quarantine

или:
Код:
CMD: dir /a/b/s C:\FRST\Quarantine

Примечание: Если файл уже существует (за пределами карантина) по пути назначения, FRST не перезапишет его. Оригинальный файл не будет перемещен и останется в карантине. Однако если вам все же нужно восстановить файл из карантина, необходимо удалить или переименовать файл в папке назначения.


RestoreMBR:


Служит для восстановления MBR. Для записи файла MBR.bin на диск FRST использует программу MbrFix, которая сохранена на флеш-накопитель. Вот что необходимо для фикса:
1. Программа MbrFix/MbrFix64
2. MBR.bin, который требуется восстановить.
3. Скрипт, в котором указана буква диска:
Код:
RestoreMbr: Drive=#

Пример:
Код:
RestoreMbr: Drive=0

Примечание: MBR, который нужно восстановить, следует назвать MBR.bin, упаковать в архив и прикрепить в теме.


SaveMbr:


Обратитесь к секции Drives / MBR & Partition Table этого руководства.

Чтобы создать копию MBR, используйте следующий синтаксис:
Код:
SaveMbr: Drive=#

Пример:
Код:
SaveMbr: Drive=0

Примечание: после выполнения этого, на флеш-накопителе будет создан файл MBRDUMP.txt, который пользователю необходимо прикрепить к своему сообщению в теме.


SetDefaultFilePermissions:


Директива создана для работы с заблокированными системными файлами и папками. Она назначает группу "Администраторы" владельцем и в зависимости от системы предоставляет привилегии разрешения для стандартных групп.

Примечание: директива не назначит TrustedInstaller владельцем, тем не менее, директиву можно использовать на системных файлах и папках, которые были заблокированы вредоносным ПО.

Скрипт будет таким:
Код:
SetDefaultFilePermissions: путь



StartBatch: — EndBatch:


Для создания и запуска пакетного файла.

Синтаксис таков:
Код:
StartBatch:
Строка 1
Строка 2
И т.д.
EndBatch:
Вывод будет переадресован в Fixlog.txt.

См. также директиву CMD: ранее в этом руководстве.



StartPowershell: — EndPowershell:


Более лучшая альтернатива для создания и запуска файла PowerShell, который содержит несколько строк (см. директиву Powershell: ранее в этом руководстве).

Синтаксис таков:
Код:
StartPowershell:
Строка 1
Строка 2
И т.д.
EndPowershell:
Вывод будет переадресован в Fixlog.txt.



StartRegedit: — EndRegedit:


Предназначена для создания и импорта файла реестра (.reg).

Синтаксис таков:
Код:
StartRegedit:
формат файла .reg
EndRegedit:
Включение заголовка формата Windows Registry Editor Version 5.00 является опциональным, но заголовок формата REGEDIT4 - обязателен.

Пример:
Код:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002

EndRegedit:
Вы получите подтверждение в Fixlog.txt:
Registry ====> The operation completed successfully.
Примечание: строка с подтверждением появится вне зависимости от наличия любых возможных ошибок в вашем файле .reg.

Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.



Symlink:

Для перечисления символических ссылок и точек повторной обработки в папке.

Синтаксис:
Код:
Symlink: path
Пример:
Примечание: директива работает рекурсивно. The directive works recursively. Поэтому сканирование может занять значительное время в зависимости от местоположения.



SystemRestore:


Используется для включения или отключения восстановления системы.

Синтаксис таков:
Если используется переключатель "On", FRST проверяет, достаточно ли свободного места для включения восстановления системы. Если условия не соблюдены, будет напечатана ошибка.



TasksDetails:


Выводит подробности о задании, связанные с временем выполнения.

Пример:
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
Примечание: Директива не поддерживается в Windows XP и работает полнофункционально только в обычном режиме.
В безопасном режиме вы получите информацию только о файлах *.job.


testsigning on:


Применим к Windows Vista и выше; не поддерживается на устройствах со включённым Secure Boot.
Прим. переводчика: см. также описание Secure Boot.

Включённый testsigning (тестовый режим) является нестандартной модификацией BCD (Boot Configuration Data – Данные конфигурации загрузки ОС), которая сделана вредоносным ПО или пользователем, пытающимися установить несовместимый драйвер. Если FRST находит улики подобного вмешательства, он сообщит примерно так:
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
(testsigning: ==> установлен режим ‘testsigning'. Проверьте систему на предмет наличия неподписанных драйверов.)

Прим. переводчика:
Кроме того на рабочем столе появится надпись, подобная этой:

Test_mode_win7.jpg


Осмотрите секцию "Drivers" в поисках драйвера, связанного с предупреждением. В зависимости от ситуации, включите драйвер вместе с предупреждением или только само предупреждение в fixlist.

Если после обработки fixlist-а возникнут побочные эффекты, воспользуйтесь директивой, чтобы заново включить тестовый режим для дальнейшего поиска и решения проблемы.


Unlock:


В случае с файлами и папками, директива устанавливает группу "Администраторы" в качестве владельца и предоставляет привилегии группам "Администраторы", "Пользователи" и "СИСТЕМА". Директиву необходимо применять к вредоносным файлам и каталогам. Чтобы разблокировать системные файлы, используйте директиву SetDefaultFilePermissions:

В случае с элементами реестра она меняет владельца на группу «Администраторы», даёт группам обычный доступ и применяется только для указанного ключа. Её можно использовать как для вредоносных, так и легитимных ключей.

Скрипт будет таким:
Код:
Unlock: путь

Примечание: чтобы удалить элемент, вам не нужно разблокировать его перед удалением:
- для файлов и папок просто включите путь в fixlist и FRST сбросит привилегии и переместит объекты в папку Quarantine. Чтобы удалить папку навсегда, используйте директиву RemoveDirectory:
- для ключей реестра используйте директиву DeleteKey:


Virusscan:


Для проверки файлов через сервис Jotti. FRST поищет ранее выполненный анализ в базе Jotti. Файл, который никогда не отправлялся в Jotti, будет загружен для анализа.

Можно указывать несколько файлов, разделяя их точкой с запятой.


Zip:


Для упаковки файлов / папок и сохранения их на рабочий стол под именем Дата_Время.zip с целью последующей загрузки пользователем. Для файлов и папок с дублирующимися именами будет создано более одного архива.

Можно включать как угодно много файлов, разделив их точкой с запятой.

Код:
Zip: путь;путь

Через точку с запятой можно перечислить сколько угодно много файлов или папок.

Пример:
Код:
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
 
Последнее редактирование модератором:

Шаблоны ответов

Пример инструкции для экспертов, специализирующихся в помощи по борьбе с вредоносным ПО.

Для запуска пользователем FRST в обычном режиме:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в [URL='https://safezone.cc/threads/17759/']этом руководстве[/URL].

Для запуска FRST на Windows Vista / 7 / 8 / 8.1 / 10 в среде восстановления (RE).

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

Скопируйте FRST на флэш-накопитель:

Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер.

Выберите Командная строка

В командной строке введите следующее:

notepad и нажмите клавишу Enter.
Откроется Блокнот. В меню Файл выберите Открыть.
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду e:\frst64.exe и нажмите клавишу Enter
Примечание:
Замените букву e на букву вашего флэш-накопителя.

  • После того, как программа запустится, нажмите Yes для соглашения с предупреждением.
  • Нажмите кнопку Scan.
  • После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.
Подробнее читайте в этом руководстве.



Скачайте [URL='https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/'][B]Farbar Recovery Scan Tool[/B][/URL] и сохраните на Рабочем столе.

[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

Скопируйте FRST на флэш-накопитель:

Загрузитесь в среду восстановления с жесткого диска (нажмите [B]F8[/B] и выберите пункт [B]Устранение неполадок компьютера[/B]). Вставьте USB-накопитель в компьютер.

Выберите [B]Командная строка [/B]

В командной строке введите следующее:

[B]notepad[/B] и нажмите клавишу [B]Enter[/B].
Откроется Блокнот. В меню Файл выберите [B]Открыть[/B].
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду [B][COLOR=#FF0000]e[/COLOR]:\frst64.exe[/B] и нажмите клавишу [B]Enter
Примечание:[/B] Замените букву [COLOR=#FF0000][B]e[/B][/COLOR] на букву вашего флэш-накопителя.

[LIST]
[*]После того, как программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.
[*]Нажмите кнопку [B]Scan[/B].
[*]После окончания сканирования на флэш-накопителе будет создан отчёт ([B]FRST.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.
[/LIST]
Подробнее читайте в [URL='https://safezone.cc/threads/17759/#post-190088']этом руководстве[/URL].


Фиксы


Для выполнения фикса из файла в обычном и безопасном режимах загрузки Windows.

Из файла:
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
CreateRestorePoint:


EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]Start::
CreateRestorePoint:


EmptyTemp:
Reboot:
End::[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в [URL='https://safezone.cc/threads/17760/']этом руководстве[/URL].


Из буфера обмена:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    
    
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


[List]
[*] Отключите до перезагрузки антивирус.
[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:


EmptyTemp:
Reboot:
End::[/code]

[*] Скопируйте выделенный текст (правой кнопкой - Копировать).
[*] Запустите FRST (FRST64) от имени администратора.
[*] Нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
[/List]
Компьютер будет перезагружен автоматически.

Подробнее читайте в [URL="https://safezone.cc/threads/17760/"]этом руководстве[/URL].

Для выполнения фикса в среде восстановления (RE):

Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем fixlist.txt.

Содержимое скрипта

ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.

Теперь, пожалуйста, войдите в консоль Среды восстановления.

Запустите FRST/FRST64 и нажмите кнопку Fix всего один раз и подождите.
Инструмент создаст лог на флешке (Fixlog.txt). Пожалуйста, разместите его в своем ответе.


Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем [B]fixlist.txt[/B].

[quote]
Содержимое скрипта
[/quote]

[COLOR=red][B]ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.[/B][/COLOR]

Теперь, пожалуйста, войдите в консоль Среды восстановления.

Запустите [B]FRST/FRST64[/B] и нажмите кнопку [B]Fix[/B] всего один раз и подождите.
Инструмент создаст лог на флешке ([B]Fixlog.txt[/B]). Пожалуйста, разместите его в своем ответе.

Примечание: удобно использовать шаблоны из сборника шаблонов (от regist), который периодически обновляется (доступ только для студентов 2 курса).

____________________________
Спасибо regist за полную вычитку и правки.
Этот перевод является официальным и обновляется сихронно с оригиналом.
Информацию о предыдущих обновлениях можно найти ниже.
 
Последнее редактирование модератором:

Обсуждение программы FRST и перевода руководства проводится в теме: FRST - обсуждение

Изменения за предыдущие года:
04.01.2016 – Флаг «Attention» убран из разъяснения секции «Shortcuts».
04.01.2016 – В FirewallRules добавлено GloballyOpenPorts.
05.03.2016 – Внесены правки в секцию «Alternate Data Streams» (информация о размере)
05.03.2016 – Добавлена директива Zip:
20.04.2016 – Обновлено описание подсекции «Opera»
20.04.2016 – Более доходчиво описана секция «Services and Drivers»
20.04.2016 – Добавлен атрибут «X» в секцию «One month... Scans»
20.04.2016 – Ссылка на «Alternate Data Streams» удалена из секции «Лечение»
20.04.2016 – Обновлена секция «Bamital & volsnap»
20.04.2016 – Заменена ссылка «Internet Explorer zones»
20.04.2016 – Описания секций «Hosts content» и «Restore Points» добавлены в раздел Addition.txt
20.04.2016 – В список очистки EmptyTemp: добавлены кеш Steam HTML и BITS.
20.04.2016 – Описание «Search Files» дополнено заметкой о проверке цифровой подписи.
20.04.2016 – Добавлена заметка о том, что проверка цифровой подписи не доступна в Среде восстановления
20.04.2016 – Различные мелкие и косметические правки
28.04.2016 – Добавлено замечание, касающееся ограничений в сканировании «One month...»
28.04.2016 – Обнаружение заражения WMI добавлено в анализ Shortcuts (Addition.txt)
28.04.2016 – Обновлено описание «Shortcut.txt»
10.05.2016 – Секция "Ассоциации EXE" переименована в "Ассоциации" (во всех сканированиях) и расширена (только в сканировании Addition.txt)
10.05.2016 – Подправлен вывод директивы File:
12.05.2016 – Содержание руководства реорганизовано и упрощено
11.06.2016 – Добавлена ссылка на русский перевод
16.06.2016 – Обновлен список областей сканирования по умолчанию.
16.06.2016 – Убрана поддержка подстановочного знака "?" при обработке файлов и папок, а также при поиске в реестре.
16.06.2016 – Добавлена директива Powershell:
16.06.2016 – Правки в описание директивы Zip:
16.06.2016 – Указаны ограничения области поиска директивы FindFolder: и функции Search Files.
18.06.2016 – К перечислению EmptyTemp: добавлен кеш иконок.
05.07.2016 – Обновлено описание директивы Powershell.
22.07.2016 – Добавлены парные директивы StartBatch: — EndBatch: и StartPowershell: — EndPowershell:
22.07.2016 – Исправлены описания SetDefaultFilePermissions: и Unlock:
22.07.2016 – Отчёт "Search Registry" переименован в SearchReg.txt
25.07.2016 – Добавлена парная директива StartRegedit: — EndRegedit:
25.07.2016 – Обновлено описание директивы Reg:
15.08.2016 – Секция Edge дополнена расширениями
22.09.2016 – Обновлено описание отключённых элементов MSCONFIG/Диспетчера задач новыми примерами и пояснениями о фиксе.
13.10.2016 – Старое определение, связанное с модификацией ZeroAccess ("File name is altered") удалено из секции "Реестр"
13.10.2016 – Расширено пояснение политик в секции "Реестр", чтобы охватить ограничения SAFER, скрипты GPO, обновлено определение Registry.pol
13.10.2016 – Обновлено описание Firefox, чтобы отразить переделанную проверку, которая теперь включает все профили (включая также клоны Firefox)
13.10.2016 – Обновлено описание Chrome, чтобы включить пометку профилей и обработку настроек
13.10.2016 – Поле Addition.txt теперь всегда заранее отмечено
13.10.2016 – Добавлена директива TasksDetails:
09.12.2016 – Фикс службы "Themes" (Темы) был добавлен в исключения в секции "Службы".
09.12.2016 – Резервная копия кустов реестра старше 2 месяцев будет перезаписываться
09.12.2016 – Описание директивы Zip: обновлено, чтобы отобразить изменения, связанные с порядком именования архивов

18.01.2017 – Описание секции "Реестр" расширено и включает информацию, что заблокированные ключи будут запланированы для удаления после перезагрузки.
24.01.2017 – Удалена ссылка на немецкий перевод
01.02.2017 – Заменена ссылка на французский перевод
13.02.2017 – Описание секции "Юникод" перенесено из раздела с описанием "FRST.txt" в раздел "Лечение" и обновлено новыми примерами
13.02.2017 – Убрана очистка плагинов с пометками "No file" из описания "Chrome" (управление плагинами недоступно в Chrome 56+)
13.02.2017 – Обновлены различные примеры и скорректированы ссылки
19.02.2017 – Добавлена директива ExportKey:
23.02.2017 – Добавлена директива ExportValue:
05.03.2017 – Добавлена директива DeleteValue:
05.03.2017 – Директива DeleteKey: теперь поддерживается в Режиме Восстановления
05.05.2017 – Добавлена горячая клавиша Ctrl+y для автоматического создания пустого fixlist.txt
05.05.2017 – Обновлено описание секции "Chrome" и теперь включает инструкции, как обрабатывать переадресацию "Новой вкладки" и расширения
05.05.2017 – Различные небольшие правки
06.05.2017 – Добавлено создание фикса через буфер обмена
06.05.2017 – В раздел "Реестр" добавлено определение "Недоверенных сертификатов"
07.06.2017 – Добавлена директива CreateDummy:
07.06.2017 – Обновлено описание секции "Firefox" и теперь включает пометку профилей
14.06.2017 – метка "Shortcuts" переименована в "Shortcuts & WMI" в файле Addition.txt
14.06.2017 – Уточнено объяснение по поводу расширений Chrome в реестре
04.07.2017 – Обновлён перевод на немецкий и включён в список официальных переводов
04.07.2017 – Расширено сканирование сторонних классов CLSID
04.07.2017 – Добавлены настройки SmartScreen в секцию "Other Areas" (Другие области)
04.07.2017 – Обновлено описание Internet Explorer
04.07.2017 – Различные изменения и упрощения
08.07.2017 – Строки CHR Extension больше не обрабатываются в фиксе
08.07.2017 – Список шаблонов инструкции заменён на наш собственный из сборника шаблонов
19.08.2017 – Обновлена информация о руководстве
19.08.2017 – Добавлена директива VirusTotal:
19.08.2017 – Директива File: обновлена, чтобы включать информацию о проверке VirusTotal
19.08.2017 – Уточнение на счёт рекурсии в директиве Folder:
19.08.2017 – В описание секции "Учётные записи" внесены правки о том, что учётные записи Microsoft не обнаруживаются
05.10.2017 – Добавлено пояснение ограничения времени лечения в секцию "Лечение"
05.10.2017 – Добавлено детектирование заблокированных файлов и файлов с объёмом в 0 байт, а также определение отключённого Режима восстановления в секцию "Bamital & volsnap"
05.10.2017 – Добавлена директива FilesInDirectory:
05.10.2017 – Описания директив File: и Folder: разделены и обновлены.
10.10.2017 – Для кнопки "Search Files" добавлены функции FindFolder: и SearchAll:
10.10.2017 – Обновлено описание директивы FindFolder:
21.10.2017 – Заменены залоговки примеров логов FRST.txt и Addition.txt для отображения версии билда Windows 10.
24.10.2017 – Пояснение замены "CurrentUserName" добавлено в секцию "Лечение".
27.11.2017 – разделены описания Fixlist.txt и Ctrl+y.

17.01.2018 – Упрощено описание определения заблокированных драйверов в секции "Bamital & volsnap".
17.02.2018 – Добавлена директива Copy:
17.02.2018 – Добавлен лог событий защитника Windows.
17.02.2018 – Описания "Диски", а также "MBR и таблица разделов" обновлены и включают несмонтированные тома и схемы, основанные на UEFI/GPT.
20.02.2018 – Удалены описания обнаружений руткита TDL4 из секций "Bamital & volsnap" и "Диски".
25.02.2018 – отсылки на ZeroAccess удалены из описаний в секциях Winsock, NetSvcs, One Month.
25.02.2018 – Заменено объяснение символических ссылок под секцией "One Month".
25.02.2018 – Директива nointegritychecks on: удалена (больше не поддерживается).
25.02.2018 – Описание testsigning on: заменено на более общую и упрощённую версию.
25.02.2018 – Удалено определение "Chrome dev build detected!".
25.02.2018 – Из описаний "Firefox" и "Chrome" удалены старые описания.
25.02.2018 – Описание секции "SmartScreen" поправлено, чтобы включить Windows 10 Version 1703
25.02.2018 – Различные мелкие изменения
11.03.2018 – Информация о пожертвованиях удалена
17.03.2018 – Разные технические правки от regist
03.05.2018 – Добавлено описание деинсталляции FRST
17.05.2018 – Добавлена проверка политик Firefox
17.05.2018 – Уточнение пояснения "Установленных программ"
10.12.2018 – Добавлен перевод на голландский язык
10.12.2018 – Для ручного создания fixlist указана кодировка UTF-8
10.12.2018 – Объяснение о предупреждении "ATTENTION", связанные с автоматической разблокировкой в секциях "Services" и "Scheduled Tasks"
10.12.2018 – Заменено описание WMI
10.12.2018 – Добавлена проверка "Telephony Service Providers (TSP)" в "Другие области"

13.01.2019 – Описание секции "Registry" обновлено и упрощено
13.01.2019 – Обновлено описание Hosts, включён hosts.ics
13.01.2019 – Добавлена проверка переменной Path в "Другие области"
13.01.2019 – Обновлены некоторые пометки FRST.txt
18.01.2019 – Удалена версия Internet Explorer из заголовка FRST.txt на Windows 8 и выше
27.04.2019 – Производитель и модель системы добавлены в заголовок FRST.txt
27.04.2019 – BIOS и материнская плата добавлены в секцию "Memory Info" в Addition.txt
27.04.2019 – Обновлены описания секций "Whitelisting", "Default Scan Areas", "Services/Drivers" и "Loaded Modules" для отображения расширенной проверки подписей
27.04.2019 – Добавлена секция "FCheck". Удалены секции "Files to move or delete", "Some zero byte size files/folders", "Some content in TEMP".
27.04.2019 – Секция "Bamital & volsnap" переименована в "SigCheck". Соответствующие описания поправлены.
27.04.2019 – Секция "Scheduled Tasks" перенесена в FRST.txt (включена поддержка RE)
27.04.2019 – Обновлено описание "Custom CLSID" и включает проверку, перенесённую с FRST.txt
27.04.2019 – Удалены описания "Disabled System Restore" из секции "Registry" в пользу единственного упоминания в Addition.txt
27.04.2019 – Уточнены различия между "DNS servers", указанные в FRST.txt и Addition.txt
27.04.2019 – Добавлена заметка, связанная с URL для обновления расширений
27.04.2019 – Множество примеров обновлены и заменены
27.04.2019 – Различные мелкие изменения
13.05.2019 – Обновлено описание установленных программ, чтобы покрыть пакеты Windows 10/8
07.06.2019 – Добавлено объяснение пакетов, поддерживающих рекламу. Упрощено описание спрятанных программ.
07.06.2019 – Добавлено сканирование "SigCheckExt"
07.06.2019 – Удалено сканирование "Drivers MD5"
07.06.2019 – Удалена директива VerifySignature:
07.06.2019 – Добавлена заметка в File: и VirusTotal:, связанная с обращением к более, чем 4 файлам
07.06.2019 – Удалён автоматический фикс Winmgmt
07.06.2019 – Поправлена информация о цифровых подписях в NetSvcs
07.06.2019 – Удалено описание групповых политик из секций Firefox и Chrome
10.06.2019 – Добавлено сканирование FLock
10.06.2019 – Удалено описание заблокированных драйверов из "SigCheck"
20.06.2019 – Обновлён вывод StartRegedit: — EndRegedit:
31.07.2019 – Все фразы "Restore From Backup:" заменены на RestoreFromBackup:
31.07.2019 – Удалена директива RestoreErunt:
31.07.2019 – Добавлена директива SystemRestore:
31.07.2019 – Обновлено описание "Restore Points"
25.08.2019 – Добавлена подстановка "AllUserName"
20.10.2019 – Добавлена секция "Codecs" в Addition.txt
08.11.2019 – Добавлен перевод на испанский язык
08.11.2019 – Обновлены описания для Firefox, Chrome и Opera
08.11.2019 – Строки "OPR Extension" более не обрабатываются фиксом
08.11.2019 – Обновлено описание установленных пакетов и теперь включают определение [Startup Task]
08.11.2019 – Обновлено описание EmptyTemp: и теперь покрывает историю Firefox

25.01.2020 – Описание Edge заменено, чтобы покрыть Edge, основанный на Chromium
25.01.2020 – Обновлена заметка об официальных репозиториях с расширениями и включает аддоны Microsoft Edge
25.01.2020 – Исправлено описание Chrome для пометки о том, что предпочтения теперь проверяются во всех профилях
25.01.2020 – Добавлено сканирование "Network Binding" в "Другие области"
26.01.2020 – перевод на русский язык помечен как устаревший
16.05.2020 – Из описания заголовка FRST.txt удалены ссылки на "Available Profiles"
16.05.2020 – Обновлено описание секции "Processes" и включает объяснение <числа>
16.05.2020 – Различные мелкие изменения
13.09.2020 – "Internet Explorer" и "Internet Explorer trusted/restricted" сканирования были объединены в Addition.txt
13.09.2020 – Версия Internet Explorer перемещена с заголовка FRST.txt в заголовок секции "Internet Explorer"
15.10.2020 – Edge добавлен в обнаружение Registry.pol
22.11.2020 – Изображение консоли обновлено, чтобы показать новую опцию "One month", добавленную в "Whitelist"
22.11.2020 – Описания "Whitelisting" были обновлены либо удалены в различных секциях
22.11.2020 – Обновлена заметка о цифровых подписях в "One month"
22.11.2020 – Различные мелкие изменения

24.01.2021 – Brave, Vivaldi и Yandex браузеры добавлены к сканированию/исправлению и EmptyTemp:
17.02.2021 – Обновлено описание "Loaded Profiles"
04.07.2021 – Обновлено описание "Accounts"
23.09.2021 – Директива EmptyTemp: дополнена файлом qmgr.db
12.11.2021 – Добавлен перевод на португальский язык
12.11.2021 – Windows 11 добавлена к числу поддерживаемых систем
12.11.2021 – Сканирование BITS добавлено в "Прочие области проверки"
12.11.2021 – Небольшие исправления в главном заголовке
12.11.2021 – Исправлены различные ссылки

06.02.2022 – Добавлена директива Comment:
23.03.2022 – Поправлен лимит времени, влияет только на директиву cmd:
28.03.2022 – Обновлено описание секции "Процессы", включает объяснение (родительский процесс ->)
26.06.2022 – Добавлена модель диска для несъемных дисков
26.06.2022 – Добавлена директива EmptyEventLogs:
26.06.2022 – Обновлена EmptyTemp: (убран кеш Flash, добавлен кеш Discord)
26.06.2022 – Добавлена проверка ЭЦП в FilesInDirectory: и Folder:
26.06.2022 – Почищены ненужные примеры
07.10.2022 – Добавлен временной лимит для директивы Powershell:
07.10.2022 – Добавлен кеш WinHTTP AutoProxy в EmptyTemp:

15.02.2023 – Английская версия руководства переехала на сайт bleepingcomputer.com
03.09.2023 – Изображение консоли обновлено, чтобы показать "Scheduled Tasks" в разделе Whitelist
03.09.2023 – Путь к приложению FRST добавлено в заголовок лога
03.09.2023 – Добавлена директива Symlink:
03.09.2023 – Кеш DNS добавлен в EmptyTemp:
03.09.2023 – Исправлены различные гиперссылки
13.12.2023 – Переадресация папок Автозапуска добавлена в секцию "Реестр"
13.12.2023 – Описание Unlock: поправлено и сокращено
13.12.2023 – Обновлено примечание о повреждениях %Path%

Перечень последних обновлений:

28.02.2024 – Все ссылки VirusTotal удалены (более не поддерживается)
28.02.2024 – Пояснения о "Chrome apps" и современных веб-приложениях добавлены в секцию "Установленных программы"
13.03.2024 – Добавлена директива Virusscan:
13.03.2024 – Обновлён вывод File:
29.03.2024 – Обновлены примечания для секций"Точки восстановления" и CreateRestorePoint:
02.08.2024 – Обновлено описание Network Binding.
 
Последнее редактирование:
Немного дополню.
Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.
При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.
Пример взят из заражения (Hijacker.DNS.Hosts):
Думаю, для русско-язычной части интернета более привычно название Trojan.Win32.Patched.qw. Перевод описания этого трояна можете почитать здесь.
MSCONFIG/TASK MANAGER disabled items
(отключенные элементы msconfig и Диспетчера задач)
Для удаления этих элементов нужно самостоятельно составить команду для удаления этих ключей реестра. При простом копировании строки из лога они удалены не будут. Как именно написать команду см. раздел Директивы и команды. По моей просьбе farbar добавил обработку этих и с 19-го сентябра можно просто скопировать строку из лога и она будет обработана.
Включённый testsigning (тестовый режим) является нестандартной модификацией BCD (Boot Configuration Data – Данные конфигурации загрузки ОС), которая сделана вредоносным ПО или пользователем, пытающимися установить несовместимый драйвер.
Хочу обратить внимание, что наличие такого драйвера, а также включение тестового режима необязательно говорит о наличии вируса. Как пример, использование неофициальной сборки VirtualBox, в которой в отличие от официальной отключён hardening. Для того, чтобы эту сборку можно было использовать на x64 системах, драйверы подписаны самосгенерированным сертификатом, а пользователь самостоятельно должен включить тестовый режим.
Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.
Нельзя будет восстановить через FRST, зато с этим хорошо справится ClearLNK. Достачно просто перетащить или любым другим способом "скормить" ClearLNK этот ярлык. Аналогично с помощью ClearLNK можно исправить и другие ярлыки, в том числе и перечисленные в логе "Shortcut.txt".
 
Последнее редактирование:
02.08.2024 – Обновлено описание Network Binding.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу