1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Руководство по Farbar Recovery Scan Tool (FRST)

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Dragokas, 30 апр 2016.

  1. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090
    post-384336-0-18117200-1493950735.
    Farbar Recovery Scan Tool

    Последнюю версию можно скачать здесь:

    Ссылка 1 | Ссылка 2

    Farbar Recovery Scan Tool (FRST) является диагностическим инструментом, который также способен выполнять специально подготовленные решения на основе скриптов для лечения систем, зараженных вредоносным ПО. Он одинаково хорошо работает как в обычном, так и в безопасном режимах загрузки ОС. Инструмент эффективно работает и в среде восстановления Windows, когда у системы имеются проблемы с загрузкой. Способность работать в среде восстановления делает его весьма полезным при решении проблем на системах, где возникают сложности в процессе загрузки.

    Информация о пожертвованиях

    Несмотря на то, что FRST является бесплатным, Farbar потратил множество часов при работе над этим продуктом. Программа состоит из нескольких тысяч строк кода и часто обновляется. Кроме поддержки программы, Farbar тратит много времени на форумах для обеспечения поддержки хелперов и пострадавших от вредоносного ПО. Если вы посчитаете FRST полезным инструментом и желаете сделать пожертвование, чтобы поддержать усилия автора, просто нажмите на кнопку Paypal ниже:

    donatepaypal.

    Информация о руководстве

    Это руководство было изначально создано emeraldnzl с консультативной помощью от farbar в тесном сотрудничестве с BC (Bleeping Computer) и G2G (Geeks to Go). emeraldnzl с тех пор вышел на пенсию, и теперь руководство дополняет и поддерживает picasso по согласованию с Farbar. Перевод на русский подготовил Dragokas. Для использования или цитирования руководства на другие сайты требуется разрешение picasso и Farbar (с обязательной ссылкой на эту тему). Обратите внимание, что это руководство было одобрено для использования хелперами, которые помогают в борьбе с вредоносным ПО на различных форумах.


    Переводы

    Английский (оригинал)
    Французский
    Немецкий
    Польский
    Русский


    Содержание:

    1. Введение
    2. Области сканирования по умолчанию
    3. Основное сканирование (FRST.txt)
    4. Дополнительное сканирование (Addition.txt)
    5. Другие опциональные проверки
    6. Директивы / Команды
    7. Шаблоны ответов

    (Прим. переводчика – краткое описание директив выше было добавлено мною для удобства)

    Доверенные консультанты и эксперты, которые имеют необходимый доступ, могут быть в курсе последних разработок в теме FRST Discussion Thread: https://bleepingcomputer.com/forums/t/360106/farbar-recovery-scan-t

     
    Последнее редактирование: 6 сен 2017
    Кирилл нравится это.
  2. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Введение
    Одной из самых сильных сторон FRST является его простота. Он разработан с учетом удобства для пользователя. Строки, которые содержат ссылки на инфицированные объекты, можно распознать, скопировать из лога, вставить в блокнот и сохранить. Дальше после нажатия на кнопку программа сделает все остальное. Это обеспечивает значительную гибкость. Как только появляются новые вирусы, они сразу же могут быть опознаны и включены в список для фикса.

    Где он может работать

    Farbar's Recovery Scan Tool предназначен для работы на операционных системах Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10. Существуют 2 версии – для 32-битных и 64-битных систем.
    Примечание: FRST64 не разрабатывался для работы на 64-битной Windows XP.


    Диагностика
    FRST создает отчет, который охватывает определенные области системы. Его можно использовать для первичного анализа проблемы и получения некоторой информации о системе.

    Программа постоянно совершенствуется. Часть разработки состоит в том, чтобы вносить сигнатуры новых вирусов. Соответственно, очень рекомендуется периодически обновлять программу. Как только FRST будет запущен, произойдет автоматическая проверка на наличие обновлений, если ПК подключен к сети интернет. В этом случае появится уведомление о том, что можно скачать последнюю версию.

    Если проявляется новое заражение, либо по какой-то причине нет подключения к сети, эксперт должен быть в курсе последних разработок в области вредоносного ПО, чтобы обеспечить раннее выявление проблемы. Неопытный пользователь должен обратиться за помощью к эксперту, если заметит новое заражение или будет не в состоянии опознать проблему на своей машине.

    По-умолчанию, как и другие сканеры, FRST применяет белые списки. Это позволяет избежать очень длинных логов. Если Вам хочется увидеть полный лог, то необходимо снять галочку с соответствующего пункта секции «Whitelist». Будьте готовы к очень-очень длинному отчету, который возможно придется загрузить для анализа в качестве вложения.
    • FRST использует белые списки стандартных записей Microsoft для секций реестра.
    • в случае со службами и драйверами белые списки включают в себя не только стандартные службы Microsoft, но и другие легитимные службы и драйвера.
    • служба или драйвер, у которых отсутствует поле «Имя компании», в белый список не вносятся.
    • антивирусные программы и файрволы в белый список не вносятся.
    • служба SPTD в белый список не вносится.

    Подготовка к использованию

    Убедитесь, что FRST запущен с правами Администратора. Программа будет работать правильно только при условии, что запущена пользователем, который имеет права администратора. Если у пользователя нет административных привилегий, вы увидите об этом предупреждение в заголовке отчета FRST.txt.

    В некоторых случаях антивирусные программы могут помешать полноценному запуску FRST. Чаще всего это не будет являться проблемой, но будьте готовы к тому, что антивирусная программа может заблокировать запуск FRST, когда вы запрашиваете сканирование. Во время фикса предпочтительно отключать программы наподобие Comodo, которые могут помешать инструменту при выполнении своей работы.

    Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
    Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.

    Резервную копию реестра создавать не обязательно. FRST создает резервную копию ульев реестра, как только запускается первый раз. Бекапы располагаются по пути: %SystemDrive%\FRST\Hives (в большинстве случаев: C:\FRST\Hives). Подробности см. в секции "Restore From Backup: ".

    FRST доступен на нескольких языках. Консультанты, как правило, выбирают английский для анализа проблем. Если консультант или кто-то другой, кому нужна помощь, желает предоставить логи на английском языке, достаточно просто запустить FRST, добавив слово «English» к имени файла, например, EnglishFRST.exe или EnglishFRST64.exe, или FRSTEnglish.exe, или FRSTEnglish64.exe. Лог получится на английском.


    Запуск FRST

    Пользователь инструктируется, что необходимо скачать FRST на рабочий стол. От туда проще простого дважды щелкнуть мышкой по иконке FRST, принять условия отказа от ответственности, и запустить программу. Иконка FRST похожа на эту:
    FRST icon.

    Примечание: Вам нужна версия, совместимая с системой пользователя. Существует 32 и 64-разрядные версии. Если вы не уверены, какая из версий применима, пользователю необходимо скачать обе и попробовать запустить каждую. Только одна из них сможет запуститься. Это и будет правильная версия.

    Когда FRST запустится, пользователю будет представлено окно, подобное этому:

    frstconsole.

    Как только FRST завершит анализ, он сохраняет отчет в той же папке, из которой был запущен. При первом и последующих сканированиях вне среды восстановления будут созданы отчеты FRST.txt и Addition.txt.

    Копии лога сохраняются по пути: %systemdrive%\FRST\Logs (в большинстве случаев это будет путь: C:\FRST\Logs).


    Лечение

    Внимание, очень важно: Farbar Recovery Scan Tool не является агрессивным и в режиме сканирования не может навредить машине. Он просто смотрит, что там внутри и составляет отчет.

    Однако, FRST также очень эффективен при выполнении инструкций, которые ему дают. Во время применения фикса, если его просят удалить объект, он в 99% случаев сделает это. В тоже время в него встроены некоторые защитные механизмы, которые являются общепризнанными, и разработаны так, чтобы не помешать лечению инфекции.

    Если вы не уверены в каком-либо элементе отчета FRST, всегда спрашивайте совета у эксперта, прежде чем выполнять исправление
    В FRST есть целый ряд команд и ключей, которые можно использовать для управления процессами компьютера и для исправления обнаруженных проблем.
    ____________________________________________________________________________


    Подготовка скрипта

    1. Метод fixlist.txt - чтобы пофиксить найденные проблемы, скопируйте и вставьте строки из лога FRST в текстовый файл, назвав его fixlist.txt, и сохранив в ту же папку, откуда запущен инструмент. Можно использовать комбинацию клавиш Ctrl+y, чтобы создать и открыть пустой файл fixlist.txt для заполнения. Запустите FRST, нажмите Ctrl+y, чтобы открыть fixlist.txt, вставьте фикс, нажмите Ctrl+s для сохранения.

    Примечание: чтобы создать fixlist.txt вручную (не через Ctrl+y) важно использовать именно Блокнот*. Фикс не будет работать, если использовать MS Word или какую-нибудь другую программу.

    *Прим. переводчика: тем не менее можно использовать и другие продвинутые редакторы, которые не добавляют в файл специальное форматирование, например, такие как AkelPad, Bred3, Notepad++, SynWrite и др.

    2. Метод буфера обмена - вставьте строки, которые нужно пофиксить, между директивами Start:: и End:: подобно такому:
    Код (Text):

    Start::
    содержимое скрипта
    End::
     
    Позвольте пользователю скопировать всё содержимое, включая Start:: и End:: и нажать кнопку "Fix".
    ___________________________________________________________________________


    Юникод

    Чтобы пофиксить запись с символами юникода, fixlist.txt нужно сохранить в формате Юникода, иначе юникодные символы будут потеряны. Горячие клавиши Ctrl+y сохраняют fixlist.txt в Юникоде. Но если fixlist.txt создаётся вручную, то нужно выбрать соответствующую кодировку в Блокноте (см. ниже).
    Пример:
    Скопируйте и вставьте записи в открытый блокнот, выберите "Сохранить как...", в поле "Кодировка" выберите "Юникод", задайте имя fixlist и нажмите "Сохранить".

    Если вы сохраните файл без выбора Юникода, вам покажут предупреждение. Если вы все равно продолжите и сохраните файл, то после его повторного открытия увидите:
    и FRST не сможет обработать записи.
    __________________________________________________________________________

    Объекты, перемещенные в процессе фикса при очистке или удалении, сохраняются по пути %systemdrive%\FRST\Quarantine. В большинстве случаев это будет путь C:\FRST\Quarantine пока не будет выполнена очистка или удаление FRST.

    Более подробную информацию о подготовке фикса смотрите в секциях ниже.

    Заголовок Fixlog

    Пример:
    Первая строка: рассказывает Вам информацию, подобную заголовку сканирования (см. ниже).

    Вторая строка: говорит о дате и времени, когда был запущен фикс. Там также указывается количество запусков.

    Третья строка: говорит Вам, откуда был запущен фикс.

    Четвертая строка: говорит, в какую учетную запись (профиль) вошел пользователь.

    Пятая строка: говорит, в каком режиме загрузки был запущен фикс.
     
    Последнее редактирование: 6 июл 2017
    Кирилл нравится это.
  3. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Области сканирования по умолчанию

    При первом и последующих запусках за пределами среды восстановления создаются логи FRST.txt и Addition.txt. Лог Addition.txt не создается, если FRST запущен в среде восстановления.

    1. Сканирования, которые выполняются в обычном режиме:

    Основные сканирования:
    Дополнительные сканирования:​
    Сканирования по выбору:
    2. Сканирования, которые выполняются в среде восстановления:

    Основные сканирования:
    Сканирования по выбору:

    Основное сканирование (FRST.txt)
    Заголовок

    Вот пример заголовка:
    Чтение заголовка может оказаться очень полезным:

    Первая строка: говорит о том, какой из вариантов FRST запущен – 32 или 64-битный. Также указывается версия FRST. Запись о версии является особенно важной. Старая версия может не содержать наиболее свежего функционала.

    Вторая строка: показывает, кем запущен инструмент и с какими правами. Это может предупредить Вас, владеет ли пользователь необходимыми правами. Строка также показывает имя компьютера, а также дату и время, когда был запущен инструмент. Иногда пользователь случайно выкладывает старый лог.

    Третья строка: говорит Вам, откуда был запущен FRST. Это может быть полезно при подготовке инструкций для фикса, если инструмент запущен из другого расположения, нежели рабочий стол.

    Четвертая строка: говорит Вам, под какой учетной записью (профилем) вошел пользователь, т.е. загруженный пользовательский улей. Далее в круглых скобках «Available profiles» указаны записи всех доступных профилей на машине, включая те, которые в данный момент не загружены.

    Примечание: когда вы заходите в Windows, загружается улей только пользователя, который входит в систему. Если пользователь входит в другую учетную запись без перезагрузки системы (нажатием на «Сменить пользователя» или «Выход из системы»), то загружается второй пользовательский улей, но первый не выгружается. В таком случае FRST перечисляет записи реестра обоих пользователей, а все остальные не трогает, т.к. их ульи не загружены.

    Пятая строка: ведет запись о версии Windows на машине, включая номер Service Pack-а и используемый язык. Это может предупредить Вас о проблеме с обновлениями, если версия Service Pack-а устарела.

    Шестая строка: дает Вам версию браузера Internet Explorer и браузера по-умолчанию.

    Седьмая строка: говорит Вам, в каком режиме была загружена ОС.

    После этого указывается строка со ссылкой на руководство.

    Примечание 2: Информация в заголовке при запуске в среде восстановления является точно такой же, за исключением строки с пользователями, т.к. она специально урезана, поскольку профили пользователей не загружены.

    ____________________________________________________________________________

    Предупреждения, которые могут указываться в заголовке

    Если возникают проблемы при загрузке, вы можете увидеть что-то наподобие "ATTENTION: Could not load system hive" («Внимание: не могу загрузить системный улей»). Это говорит о том, что потерян улей системы. В качестве решения проблемы может быть восстановление улья через команду LastRegBack: (см. ниже).

    "Default: Controlset001" – уведомление говорит Вам, какой из конфигурационных разделов (CS) в системе загружен по умолчанию. Зачем Вам это нужно? В обычной ситуации Вам это не нужно, но в случае, если вы желаете заглянуть вовнутрь или воздействовать на CS, который был загружен, когда Windows запустилась, то теперь вы знаете имя необходимого CS. Попытка сделать что-либо с другими доступными CS не окажет влияния на систему.
    ____________________________________________________________________________



    Секция Processes
    (процессы)

    Есть две причины, по которым может понадобиться остановить процесс. Во-первых, вы можете остановить защитное ПО, которое может помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.

    Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.

    Например:
    Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно завершен).

    Если у Вас есть вредоносный процесс, и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в ваш фикс, подобно этому:

    Секция Registry
    (реестр)

    Записи реестра (ключи и параметры), взятые из лога FRST, и включенные в fixlist для удаления, будут удалены. FRST содержит мощную процедуру удаления ключей и параметров. Все ключи и параметры, которые сопротивляются удалению из-за недостатка привилегий или включенных null символов, будут удалены. Ключи, которые сопротивляются удалению из-за блокировки прав, будут запланированы для удаления после перезагрузки. Единственные ключи, которые не будут удалены, это те, которые всё ещё защищены драйвером режима ядра. Такие ключи/параметры необходимо удалять после того, как будет удален или отключен драйвер режима ядра, защищающий их.

    Копирование и вставка пунктов лога в фикс приведет к тому, что FRST выполнит одно из двух действий над перечисленными ключами реестра:
    - Восстановит ключ по умолчанию
    - Удалит ключ

    Если в fixlist.txt скопированы записи лога, которые относятся к параметрам winlogon (Userinit, Shell, System), LSA и AppInit_DLLs, то инструмент восстановит значения по умолчанию.

    Примечание: в случае с AppInit_DLLs, когда есть один вредоносный путь, FRST удаляет только этот конкретный путь из значений AppInit_DLLs без удаления остальных.

    Нет необходимости в написании батника или фикса реестра. Тоже самое касается и некоторых других важных ключей, которые могут быть подменены вирусом.

    Примечание: FRST не трогает файлы, которые указаны в этих ключах. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.

    Скопированные в fixlist.txt записи Run и Runonce будут удалены из реестра. Файлы, которые они загружают или выполняют, не будут удалены. Если вы желаете удалить их, Вам нужно перечислить их отдельно.

    Например, чтобы удалить вредоносную запись run вместе с файлом, Вам нужно перечислить их в fixlist.txt следующим образом (первая строка была скопирована непосредственно из лога):

    В случае с ключами Notify, когда они включены в fixlist.txt, и при этом относятся к ключам по умолчанию, инструмент восстановит в параметре (DllName) его значение. Если он не является ключом по умолчанию, то будет удален.
    Ключи Image File Execution Options при включении в fixlist.txt будут удалены.

    Если в папке «Автозагрузка» найден файл или ярлык, FRST будет искать файл в записях Автозагрузки (Startup).
    Если файл является ярлыком, следующая строка будет содержать цель ярлыка (например, исполняемый файл, который запускается ярлыком). Чтобы удалить и ярлык, и его цель, вам нужно включить оба в фикс:
    Примечание: Первая строка перемещает только ярлык. При указании второй строки будет перемещен файл 1800947.exe. Если вы укажете только вторую строку, исполняемый файл будет удален, но ярлык останется в папке автозагрузки. Как только следующий раз система загрузится, она выведет ошибку при попытке ярлыка запустить исполняемый файл, так как он не сможет найти свою цель.

    В случае, если вредоносное ПО эксплуатирует недоверенные сертификаты или политики ограничения ПО (Software Restriction Policies), вы увидите записи, подобные этим:
    Чтобы разблокировать защитные программы включите эти строки в fixlist.txt.
    Примечание: определение политик ограничения ПО происходит в целом и может привести к пометке других легитимных записей, созданных для защиты от заражений. См.: Как вручную создать политики ограничения ПО для блокировки вымогательского ПО.

    FRST также определяет присутствие объектов групповой политики (Registry.pol и Scripts), которыми могут злоупотребить вредоносные программы. Google Chrome (см. секцию Chrome ниже) и политики Windows Defender в Registry.pol будут отображены в логе отдельно:
    Для остальных политик и скриптов вы получите общее уведомление без подробностей:
    Для сброса политик включите строки в fixlist.txt. FRST подчистит папки GroupPolicy и выполнит принудительную перезагрузку.
    Пример:
    Примечание: опознавание настроено на обычный домашний компьютер без настроенных политик и может привести к пометке легитимных записей, внесённых вручную через gpedit.msc.

    Восстановление системы, отключённое через групповые политики, будет отображено в логе в таком виде:
    Включение строки в fixlist приведет к полному удалению ключа (по умолчанию, он не существует).

    Примечание: FRST также записывает предупреждение в Addition.txt, если SR окажется отключенным, даже если он был отключен не через групповую политику, а пользователем. В этом случае FRST ничего не делает. Пользователя нужно проинструктировать, чтобы он включил систему восстановления. Групповой политики, которая блокирует включение SR, не существует.



    Секция Internet

    За исключением нескольких случаев, все записи, скопированные в fixlist.txt, будут удалены. Для связанных с записями реестра файлов и папок, их необходимо отдельно внести в фикс, чтобы они переместились. Это не относится к записям браузеров (кроме Internet Explorer). Подробнее, см. описание ниже.


    Winsock

    В отчете будут указаны нестандартные записи. Если запись «Catalog5» взята для фикса, FRST сделает одну из двух вещей:

    1. В случае подмены стандартных записей, он восстановит значение по умолчанию.
    2. В случае с другими записями, он удалит их и перенумерует каталог записей.

    Если собираетесь фиксить запись «Catalog9», то сначала рекомендуется воспользоваться "netsh winsock reset".

    Если посторонние записи «Catalog9» все еще останутся, их можно перечислить для фикса. В этом случае FRST удалит записи и перенумерует каталог.

    Будьте осторожны: поврежденная цепочка помешает машине подключиться к интернет.

    Повреждения при доступе к сети интернет в связи с потерянными записями в Winsock будут указаны в логе подобно этому:
    Чтобы исправить проблему, запись можно включить в fixlist.txt.

    В случае с вирусом ZeroAccess мы можем получить такой лог:
    При включении в fixlist, FRST сбросит записи «Catalog5», но ничего не сделает с проблемными записями «Catalog9» и предложит Вам использовать «netsh winsock reset», чтобы разобраться с этим.

    Полный скрипт для фикса будет выглядеть следующим образом:

    Код (Text):

    Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
    Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
    cmd: netsh winsock reset
     
    Примечание: cmd: netsh winsock reset добавлено к фиксу вручную.

    Fixlog.txt, создаваемый после фикса, будет выглядеть следующим образом:

    Примечание: в некоторых ситуациях команда «netsh winsock reset» может не сработать. Когда такое случается, пользователю необходимо перезагрузить машину и запустить команду cmd: netsh winsock reset снова.


    Hosts

    Если в Hosts присутствуют сторонние записи, вы увидите строку в секции «Internet» в отчете FRST.txt, в которой будет сказано:
    Если файл Hosts не обнаружен, там будет запись о том, что программа не в состоянии обнаружить Hosts.

    Чтобы сбросить записи в файле Hosts, просто скопируйте и вставьте строки в fixlist.txt и файл hosts будет сброшен. Вы увидите строки в Fixlog.txt подтверждающие сброс.

    См. также Hosts в разделе Addition этого руководства.


    TCP/IP и прочие записи

    Если записи включены в fixlist.txt, они будут удалены.

    Примечание: в случае с подменой StartMenuInternet для IE, FF, Chrome и Opera – стандартные записи внесены в белый список. Если в логе FRST появляется запись, это означает, что путь не является стандартным. Здесь могло пойти что-то не так с доступом к ветви реестра. В таком случае необходимо провести дополнительное расследование. Проблемные записи могут быть включены в fixlist, что приведет к восстановлению значения по умолчанию.


    Internet Explorer

    Browser pages (страницы браузера), SearchScopes (провайдеры поиска) и другие записи, не связанные с файлами и папками: в зависимости от типа объекта, FRST удалит запись из реестра или восстановит её стандартное состояние.

    Пример:
    URLSearchHooks, BHO (Browser Helper Objects), Toolbar (панели инструментов), Handler (обработчики) и Filter (фильтры) могут быть включены в fixlist.txt. Это приведет к удалению записей из реестра. Связанные файлы и папки необходимо вносить отдельно, если их нужно переместить.

    Пример:


    Edge

    FRST перечисляет кнопки домашних страниц (HomeButtonPage), которые указывают на пользовательскую страницу, включённые сессии восстановления (Session Restore) и установленные расширения:

    Если записи HomeButtonPage и Session Restore включены в fixlist.txt, то они будут удалены из реестра.

    При включении в fixlist.txt записей расширений, будут удалены ключи реестра, а связанные с ними папки будут перемещены.



    FireFox

    FRST перечисляет ключи и профили браузера Firefox (FF) (если они присутствуют) вне зависимости от того, установлен FF или нет. Если существует несколько профилей Firefox-a или его клонов, FRST перечислит настройки, user.js, расширения (Extensions) и поисковые плагины (SearchPlugins) всех профилей. Нестандартные профили, добавленные рекламным ПО, будут помечены.

    Если строка с настройками (preferences) вставляется в fixlist.txt, значения будут удалены. При следующем запуске Firefox или его клон вернет стандартные настройки. Строки можно внести таким образом (перенесено напрямую из лога):
    FRST проверяет цифровые подписи дополнений. Неподписанные дополнения будут помечены.

    Пример:
    Для дополнений (Расширений и Плагинов) записи из лога можно вносить в fixlist и элемент будет перемещен. Для плагинов (Plugins) и расширений (Extensions), у которых в реестре есть ссылка на файл / папку, запись реестра будет удалена, а файл / папка – перемещена (см. ниже).

    Пример для расширения (Extension):
    Пример для плагина (Plugin):



    Chrome

    FRST перечисляет ключи Хрома (если они присутствуют) вне зависимости от того, установлен он или нет. При наличии нескольких профилей, FRST будет читать последний использованный профиль и перечислять настройки (Preferences) этого конкретного профиля. Расширения определяются во всех профилях. Помечаются нестандартные профили, добавленные рекламным ПО.

    Сканирование настроек (preferences) включает изменение домашней страницы и StartupUrls, включённое восстановление сессии и ещё некоторые параметры прочих поисковых провайдеров по-умолчанию:
    При включении в fixlist.txt домашней страницы и StartupUrls они будут удалены. Обработка других записей приведёт к частичному сбросу Chrome и пользователь может увидеть следующее сообщение на странице настроек Chrome: "Chrome обнаружил, что некоторые из настроек были повреждены другой программой и сбросил их на исходные".

    FRST также определяет переадресации "Новой вкладки", которые контролируются расширениями. Чтобы удалить переадресацию, найдите соответствующее расширение (если присутствует) и удалите его как положено с помощью Инструментов Chrome (см. ниже).
    FRST не может удалять расширения. Расширение всё ещё будет отображаться в списке расширений и соответствующая папка будет восстановлена браузером. Поэтому, строки CHR Extension не обрабатываются в фиксе. Используйте собственные инструменты Chrom-а:
    Article:
    Введите chrome://extensions в адресную строку и нажмите ENTER.
    Нажмите на значок корзины напротив расширения, которое хотите полностью удалить.
    В появившемся диалоге подтверждения нажмите Удалить.


    Исключением является расширение инсталлятора, расположенное в реестре. Если запись включена в fixlist.txt, ключ будет удалён, а связанный с ним файл перемещён (если будет найден):

    Некоторое рекламное ПО использует групповые политики, чтобы заблокировать внесение изменений в расширения или другие функции:
    См. описание объектов группой политики в секции Реестр для получения подробностей.

    Если вы видите это:
    Данное предупреждение говорит о том, что рекламное ПО, вероятно, обновило Chrome в тихом режиме до версии «dev» (экспериментальная сборка). FRST не исправляет это. Такое предупреждение нужно, чтобы сообщить о необходимости переустановить Google Chrome на обычную (стабильную) версию, как только рекламное ПО будет удалено (если только пользователь специально не выбрал себе «dev» сборку при установке).



    Opera

    FRST перечисляет ключи и профили браузера Opera (если они присутствуют) независимо от того, установлена Opera или нет.

    Примечание от @regist: проверяется только версия браузера Opera на движке Хрома. Opera Presto не проверяется.

    Анализ FRST в данный момент ограничен проверкой StartMenuInternet, StartupUrls, Session Restore и расширениями:
    Включение записей StartupUrls или Session Restore в fixlist.txt приведет к удалению этих записей.

    Включение записей о расширении в fixlist.txt приведет к перемещению файлов расширения. Нет необходимости отдельно включать путь.

    В то время как расширение перестанет быть активным, запись в панели браузера «Расширения» все еще не будет удалена. Для этого используйте собственные инструменты Opera:
    Article:
    Введите chrome://extensions в адресную строку и нажмите ENTER.
    Прим. переводчика - также это меню можно вызвать по горячим клавишам Ctrl + Shift + E.

    Чтобы удалить отдельные расширения, нажмите на X для каждой записи и затем ОК.

    Для браузеров, которые не отображаются в логе, лучшим способом будет полное удаление с перезагрузкой системы и переустановкой браузера.
     
    Последнее редактирование: 19 авг 2017
    mike 1 и Кирилл нравится это.
  4. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Services / Drivers
    (Службы и драйвера)

    Записи служб и драйверов выводятся в таком формате:

    RunningState, StartType, ServiceName; ImagePath or ServiceDll [Size CreationDate] (CompanyName)

    Состояние работы, тип запуска, Имя службы; ImagePath или ServiceDll службы [Размер, Дата создания] (Имя компании)

    Состояние работы – это буква рядом с цифрой, которая обозначает текущее состояние работы:

    R=Running (Запущена)
    S=Stopped (Остановлена)
    U=Undetermined (Неопределенное)

    Цифры «Тип запуска» есть такие:

    0=Boot (загрузочный)
    1=System (системный)
    2=Auto (автоматически)
    3=Demand (вручную)
    4=Disabled (отключен)
    5=назначается FRST, если он не в состоянии прочитать значение Start Type

    Если вы видите [X] на конце строки записи, это означает, что FRST не смог найти файл, ассоциированный с этой конкретной службой или драйвером, и записал в лог путь к ImagePath или ServiceDll таким, как он указан в реестре.

    FRST определяет наличие целого ряда заражений и проверяет цифровую подпись файлов служб и драйверов. Если файл не имеет ЭЦП, об этом будет сказано в отчете.
    Пример:
    Системные файлы Microsoft, которые не подписаны, необходимо заменить оригинальными копиями. Чтобы их пофиксить, используйте команду Replace:.

    Примечание: проверка цифровых подписей недоступна из Среды восстановления.

    Чтобы удалить вредоносную службу или службу драйвера, скопируйте строку из лога сканирования в fixlist.txt. Любой связанный со службой файл необходимо указывать отдельно.

    Пример:
    Инструмент завершает службы, чьи записи были включены в fixlist.txt, и удаляет ключ службы.

    Примечание: FRST сообщит об успехе или неудаче при попытке остановить службы, которые запущены. Вне зависимости от того, остановлена служба или нет, FRST попытается удалить ее. Если запущенная служба удалена, FRST проинформирует пользователя о завершении фикса и необходимости перезагрузки. FRST перезагрузит систему. В конце лога Fixlog вы увидите строку о необходимости перезагрузки. Если служба не запущена FRST удалит ее без необходимости перезагружаться.

    Есть два исключения, при которых служба будет восстановлена, а не удалена. В случае со службами "Themes" (Темы) и "Windows Management Instrumentation" (Инструментарий управления Windows), если они будет эксплуатированы вредоносным ПО, вы увидите нечто вроде:
    Если данные строки включены в fixlist, параметры по умолчанию этих служб будут восстановлены.

    Примечание: Если FRST никак не сможет получить доступ к службе, в логе будет напечатано следующее:
    Нечто подобное может свидетельствовать о рутките или повреждение реестра. Необходимо получить помощь у эксперта для решения этой проблемы.



    NetSvcs

    Известные легитимные записи внесены в белый список. Как и в остальных областях сканирования, где также используются белые списки, это не означает, что все записи, которые появляются в FRST.txt, являются вредоносными. Это всего лишь значит, что их нужно проверить.

    Каждая запись NetSvc перечислена в отдельной строке, подобно этому:

    Первая запись помечена названием заражения =====> ZeroAccess и требует обработки.

    Вторая запись означает, что в реестре присутствует значение ServiceDll, связанное со службой pMgt, но ее файл отсутствует.

    Третья запись означает, что WUSB54GCSVC не имеет значения ServiceDll в реестре. Вторая и третья строки являются остатками.

    Примечание: перечисление NetSvc лишь удаляет ассоциированное значение из реестра. Связанная с ним служба должна быть указана для удаления отдельно.

    Посмотрите на пример ниже. Там есть служба, которая также указана в логе FRST немного далее вместе с ассоциированной с ней записью, которая есть в NETSVC. Служба выглядит наподобие такого:
    Чтобы удалить значение NetSvc, ассоциированную с ней службу в реестре и связанный с ней файл DLL, полный скрипт будет выглядеть следующим образом:

    One Month Created Files and Folders | One Month Modified Files and Folders
    (Файлы и папки, созданные за последний месяц | файлы и папки, изменённые за последний месяц)
    Анализ «Created» сообщает о файлах и папках с указанием сперва даты и времени создания, а рядом даты и времени модификации. В анализе «Modified» указано наоборот, сперва – дата и время изменения файла или папки, а затем – дата и время создания. Также указывается их размер (число байтов). Для папок указывается 00000000, поскольку папка не имеет размера.

    Примечание: чтобы избежать длительного сканирования, а также создания длинных логов, сканирование ограничено только некоторыми заранее определенными папками. Также, FRST перечисляет определённые папки, но не их содержимое. Если вы желаете узнать, что внутри, используйте директиву Folder:.

    FRST добавляет пометки к определенным записям лога:

    C – Compressed (сжатый)
    D – Directory (папка)
    H – Hidden (скрытый)
    L – Symbolic Link (символическая ссылка)
    N – Normal (обычный – не имеет других атрибутов)
    O – Offline (вне сети)
    R – Readonly (только для чтения)
    S – System (системный)
    T – Temporary (временный)
    X – атрибут «No scrub» (не выполнять проверку файла для коррекции ошибок на томах ReFS) (Windows 8+)

    Чтобы удалить файл или папку, указанную в этой секции, просто скопируйте и вставьте всю строку в fixlist.txt подобно этому:
    Отображение атрибута «Символическая ссылка» особенно полезно при распознавании папок, созданных вирусом ZeroAccess.

    Пример:

    Прежде чем указывать такие папки для перемещения, вы должны использовать команду DeleteJunctionsInDirectory: Путь к папке (она может использоваться в любом режиме).

    Пример:
    Код (Text):

    DeleteJunctionsInDirectory: C:\Windows\system64
     
    Чтобы пофиксить остальные файлы и папки, их пути можно перечислить в fixlist.txt. Для путей с пробелами не нужны кавычки:
    Если у Вас есть много файлов с похожими именами и вы желаете переместить их одним скриптом, можно использовать подстановочный символ *

    Таким образом, вы можете либо перечислить эти файлы так:
    Либо просто:
    Примечание: символ знака вопроса "?" игнорируется в целях безопасности вне зависимости от того, является ли он подстановочным символом или заменой юникодного знака (см. описание в разделе "Юникод" под введением). Также, подстановочные знаки не поддерживаются для папок.



    Files to move or delete
    (Файлы для перемещения или удаления)
    Файлы, перечисленные в этой секции, являются либо вредоносными, либо такими, что находятся в неправильном месте.

    Примеры легитимных файлов этой секции:
    1. Файлы, которые пользователь скачал и сохранил в папку пользователя.
    2. Когда легитимная сторонняя программа хранит один из своих файлов в папке пользователя. Это плохая практика для любого разработчика ПО. И такие файлы следует переместить даже, если они легитимные. Мы видели много заражений, в ходе которых сфабрикованные файлы прячутся в этой папке (под видом легальных, но на самом деле они вредоносные) и запускают себя оттуда.

    Файлы и папки из этой секции фиксятся таким же образом, как и файлы/папки из секции «One Month Created/Modified Files and Folders».


    Some content of TEMP
    (Некоторое содержимое папки Temp)

    Это нерекурсивное сканирование, ограниченное некоторыми определенными расширениями, для получения общего представления о том, есть ли в корне папки Temp вредоносный файл. Эта секция не отображается, если не было ни одного файла, совпадающего с критериями поиска. Это не означает, что Temp пустая или не содержит вредоносных объектов (например, вирусы могли находиться в подкаталогах, которые FRST не открывал). Просто это значит, что не было объектов, подходящих под определенные параметры поиска. Одним из способов для более полной очистки временных файлов является использование команды EmptyTemp:


    Known DLLs
    (хорошо известные DLL)

    Если некоторые записи из этой секции потеряны, пропатчены или повреждены, это может привести к проблемам с загрузкой. Соответственно, это сканирование появляется только при загрузке инструмента в среде восстановления (Recovery Environment).

    Все записи, кроме тех, что нуждаются во внимании, внесены в белый список.

    Требуется осторожность при работе с записями, указанными в этой секции. Файл либо отсутствует, либо, по-видимому, был каким-то образом изменен. Поэтому необходима помощь эксперта, чтобы убедится в том, что проблемный файл был правильно определен, и затем обрабатывать его соответствующим образом. В большинстве случаев в системе уже есть оригинальный файл для замены, который можно найти с помощью функции Поиска FRST. Пожалуйста, посмотрите секцию «Директивы и команды» этого руководства для того, чтобы узнать, как заменять файл, а также секцию «Другие опциональные сканирования», чтобы узнать, как осуществлять поиск.


    Bamital & volsnap

    Разработана главным образом для выявления заражений семейства Bamital и volsnap. В данный момент секция расширена для выявления и других аномалий.

    Модификация системных файлов является признаком возможного заражения. Если инфекция опознана, необходимо принять меры для выполнения лечебных действий. Нужно получить помощь у эксперта, так как удаление системных файлов может привести к тому, что система откажется загружаться.

    Если файл не имеет легитимной цифровой подписи, вы увидите вместо нее свойства файла.

    Пример взят из заражения (Hijacker.DNS.Hosts):
    В таком случае файл необходимо заменить оригинальной копией. Используйте команду Replace:

    Примечание: проверка цифровых подписей недоступна в Среде восстановления.

    Если вредоносное ПО создает стороннюю запись в BCD, вы увидите следующую строку:
    Запись в BCD может сделать систему незагружаемой, если буткит был удален, а запись в BCD осталась без внимания. Если запись вносится в fixlist, вредоносная запись удаляется из BCD и восстанавливается значение по умолчанию.

    Наиболее безопасным способом для входа в Безопасный режим является использование клавиши F8 при загрузке (Windows 7 и старее) или Дополнительных параметров загрузки (Windows 10 и Windows 8). В некоторых случаях пользователь использует утилиту «Конфигурация системы», чтобы загрузится в Безопасный режим. В случае если Безопасный режим поврежден, компьютер зациклится и останется заблокированным, т.к. система не сможет загрузиться в обычном режиме, потому что настроена для загрузки в Безопасный режим. В этом случае вы увидите:
    Чтобы исправить проблему, включите строку выше в fixlist. FRST установит по умолчанию обычный режим загрузки и система выйдет из зацикливания.

    Примечание: это относится к Windows Vista и более новым версиям.


    Association
    (Ассоциации)

    Примечание: секция «Association» появится в логе FRST.txt, если запустить проверку в среде восстановления. Если FRST запускать не в среде восстановления, то она появится в Addition.txt. Проверка в среде восстановления ограничена выводом ассоциаций только для EXE-файлов.

    Перечисляет ассоциации для файлов EXE, действующие для всей системы, например так:
    Вы можете увидеть и другие строки, к примеру, если подменен пользовательский ключ.

    Как и с остальными записями реестра, вы можете просто скопировать и вставить проблемные записи в fixlist.txt и они будут восстановлены. Нет необходимости делать исправления в реестре.


    Restore Points
    (Контрольные точки восстановления)

    Примечание: секция "Restore Points" указывается в логе FRST.txt, когда FRST запущен в Среде восстановления. При запуске вне Среды восстановления эта секция будет находиться в Addition.txt.

    Здесь перечисляются точки восстановления.

    Примечание: FRST может восстанавливать улья только в Windows XP. В Windows Vista и выше восстанавливаться из точек восстановления следует через Опции системы восстановления, загрузившись в RE (Среду восстановления).

    Чтобы пофиксить, включите строку, из которой вы хотите восстановиться, в скрипт fixlist.txt.

    Пример для Windows XP:
    Чтобы восстановить ульи из точки восстановления 82 (датированной 2010-10-24), строку нужно скопировать и вставить в fixlist.txt вот так:
    Чтобы сделать фикс для восстановления через бекап другого программного обеспечения (ульи могут сохранять FRST, ERUNT или CF) на Vista и выше, обратитесь к секции «Директивы» этого руководства.


    Memory info
    (Информация о памяти)

    Примечание: секция «Memory info» появится в логе FRST.txt только при запуске в среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

    Сообщает объем ОЗУ (Оперативного Запоминающего Устройства), установленного на машине, а также доступный объем физической памяти и процент свободной памяти. Иногда это может объяснить симптомы машины. Например, отображаемый объем может не соответствовать тому, что пользователь считает, что у него установлен. В логе может указываться меньший объем, чем реально установленный на машине. Это может случиться, когда ОС не в состоянии получить доступ ко всему объему памяти, который установлен. К вероятным проблемам можно причислить: сбойные модули ОЗУ или слоты на материнской плате либо что-то, мешающее BIOS в определении объема памяти (например, необходимо обновление BIOS). Также, в 32-битных системах при установке более, чем 4 ГБ памяти, будет сообщаться максимум о 4 гигабайтах. Это ограничение 32-битных приложений.

    Также перечисляется информация о процессоре, общем и доступном объеме виртуальной памяти.


    Drives / MBR & Partition Table
    (Диски, MBR и таблица разделов.)

    Примечание: секции "Drives" и "MBR & Partition Table" появятся в логе FRST.txt только при запуске в Среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.

    Перечисляет основные и логические разделы всех дисков, их объем, свободное место и тип файловой системы. Также указываются съемные накопители, которые были подключены на момент проверки.

    Выводится код MBR (Главной загрузочной записи).

    Вы можете увидеть:
    Как и с остальными сложными заражениями, рекомендуется помощь эксперта, чтобы найти правильное решение. Неверный шаг приведет машину пользователя в незагружаемое состояние.

    В некоторых случаях чуть ранее в логе может быть видно и другое заражение, которое укажет на правильное решение. В других случаях может потребоваться фикс через команду с использованием среды восстановления. См. в секцию «Директивы» этого руководства.

    Если есть признаки того, что что-то неверно в MBR, целесообразно будет выполнить проверку MBR. Чтобы это сделать, нужно получить дамп MBR. Вот как это делается:

    Запустите следующий фикс через FRST в любом режиме:
    После выполнения этого, в папку, куда загружен FRST/FRST64, будет сохранен файл MBRDUMP.txt.

    Примечание: несмотря на то, что дамп MBR может быть сделан как в обычном режиме, так и в среде восстановления, некоторые вирусы могут подделать MBR. Таким образом, рекомендуется делать дамп именно в среде восстановления.


    LastRegBack

    FRST перечисляет последние резервные копии реестра, сделанные системой. Бекапы реестра содержат резервные копии всех ульев. Они отличаются от LKGC (Last Known Good Configuration - последней успешной конфигурации), которая резервирует только конфигурационный раздел (Control Set).

    Есть много причин, по которым вы можете захотеть воспользоваться этим бекапом в качестве решения проблемы, но наиболее общая из них – когда произошло повреждение.

    Вы можете увидеть это в заголовке FRST:

    Чтобы пофиксить, просто включите строку в fixlist подобно этому:
    Например:
     
    Последнее редактирование: 9 июл 2017
    akok и Кирилл нравится это.
  5. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Дополнительное сканирование (Addition.txt)


    Заголовок отчета Additional

    Содержит краткое изложение информации, которая будет полезна.

    Вот пример заголовка:
    Первая строка: говорит, какой из вариантов FRST запущен – 32 или 64 битный. Также указываются сведения о версии программы.

    Вторая строка: показывает, кем запущен инструмент, а также дату и время.

    Третья строка: говорит, откуда FRST был запущен.

    Четвертая строка: записывает версию Windows и дату установки.

    Пятая строка: говорит, в каком режиме была запущена проверка.


    Accounts
    (учетные записи)

    Перечисляет стандартные учетные записи в системе в таком формате: Имя локальной учётной записи (SID -> Привилегии – Включена / Отключена) => Путь к профилю. Имена учётных записей Майкрософт не отображаются.

    Пример:

    Security Center
    (Центр безопасности)
    Вы могли заметить, что список содержит остатки от ранее удаленных программ защиты. В этом случае строку можно включить в fixlist.txt, чтобы удалить запись.
    Существуют некоторые программы защиты (наподобие Spybot S&D), которые сопротивляются удалению записи, если они не были полностью удалены. В этом случае, вместо подтверждения об удалении, вы увидите в Fixlog:

    Installed Programs
    (установленные программы)

    Перечисляет все установленные программы.

    FRST содержит встроенную базу данных для пометки потенциально нежелательных программ (PUP) и рекламного ПО (Adware).

    Пример:
    Строго рекомендуется деинсталлировать помеченные программы, прежде чем запускать автоматизированный инструмент для удаления рекламного ПО. Деинсталлятор рекламного ПО удаляет большинство его записей и возвращает назад изменения в конфигурации.

    В случаях, когда программа не отображается в пользовательском меню «Удаление программы», хотя на самом деле там присутствует, FRST укажет и дополнит запись меткой, подобно этому:

    Эти программы не обязательно вредоносные, просто спрятаны. У них в реестре есть параметр с именем «SystemComponent» типа REG_DWORD со значением 1. Такие программы не отображаются в оснастке «Добавить / удалить программу» (XP) или «Программы и компоненты» (Vista и выше) и пользователь не может удалить их оттуда.

    Если запись из лога Addition.txt включена в fixlist.txt, вы получите:
    Примечание: это всего лишь делает программу видимой, но не удаляет ее. Программа должна быть деинсталлирована пользователем.

    Как говорилось выше, не каждая невидимая программа является плохой. Существует множество легитимных программ (включая программы от Microsoft), которые прячутся по вполне понятным причинам.


    Custom CLSID
    (сторонние CLSID)

    Перечисляются сторонниe классы, созданныe в пользовательских ульях, ShellIconOverlayIdentifiers, ContextMenuHandlers и FolderExtensions.

    Примеры:
    Чтобы пофиксить вредоносные записи, просто добавьте их в fixlist.txt и FRST удалит ключи из реестра. Связанные файлы и папки необходимо перечислить отдельно, чтобы их переместить.

    Примечание: легитимные программы сторонних производителей могут создавать Custom CLSID, поэтому необходима осторожность, т.к. легитимные записи удалять не нужно.


    Scheduled Tasks
    (назначенные задания)

    Пример:
    Пожалуйста, обратите внимание, что FRST удаляет только записи реестра и перемещает файл задачи, но не перемещает исполняемый файл. Если исполняемый файл является вредоносным, его необходимо добавить отдельной строкой в fixlist.txt, чтобы удалить.

    Заметьте, что вирусы могут использовать легитимные исполняемые файлы (например, через sc.exe запускать свою службу) для запуска своего собственного файла. Другими словами, Вам нужно проверять исполняемый файл, чтобы убедиться, легитимный он или нет, прежде чем принимать меры.


    Shortcuts & WMI
    (ярлыки и WMI)

    Перечисляются подмененные и подозрительные ярлыки в папке пользователя, который вошел в систему, а также в корне папок C:\ProgramData\Microsoft\Windows\Start Menu\Programs и C:\Users\Public\Desktop.

    Записи можно включить в fixlist.txt для исправления – см. Shortcut.txt в разделе «Другие опциональные сканирования».

    Примечание: в анализе Shortcut.txt содержатся все ярлыки всех пользователей, а в отчете Addition.txt – только подмененные / подозрительные ярлыки в профиле пользователя, который вошел в систему.

    В случае с заражением WMI, которое подменяет ярлыки, вы увидите предупреждение, подобное этому:
    Для удаления вредоносного скрипта поместите вышеуказанную строку в fixlist.txt.


    Loaded Modules
    (загруженные модули)

    Загруженные модули внесены в белый список на основе признака присутствия названия компании. Вот и всё; записи с отсутствующим полем «Имя компании» будут отображаться в логе. Имейте это в виду, потому что могут встретиться случаи, когда вредоносный модуль окажется с именем компании и его не будет в логе.


    Alternate Data Streams
    (альтернативные потоки данных)

    FRST перечисляет ADS подобно этому:
    Размер ADS (количество содержащихся байт) отображается в квадратных скобках в конце пути.

    Если поток присоединен к легитимному файлу или папке, то для фикса нужно целиком скопировать и вставить всю строку из лога в fixlist:
    Если поток во вредоносном файле / папке, то фикс будет выглядеть так:
    В первом случае FRST удалит только сам поток из файла или папки.
    Во втором случае файл или папка будет удалена.


    Safe Mode
    (безопасный режим)

    Значения по умолчанию внесены в белый список. Таким образом, если секция пустая, то в системе нет сторонних записей. Если какой-либо из главных ключей отсутствует (SafeBoot, SafeBoot\Minimal или SafeBoot\Network), об этом будет сказано. В таком случае, их необходимо исправить вручную.
    Если там будет запись, созданная вирусом, ее можно включить в fixlist.txt для удаления.


    Association
    (обратитесь к секции "Association" ранее в этом руководстве)

    Перечисляет файловые ассоциации для расширений .bat, .cmd, .com, .exe, .reg и .scr. Значения по умолчанию внесены в белый список, так что если они не будут изменены или дополнены другими записями, в логе ничего не будет указано.
    Если в fixlist.txt включена любая из измененных стандартных записей, то она будет восстановлена. Если в fixlist.txt включен пользовательский ключ реестра, то он будет удален.


    Internet Explorer trusted/restricted

    Перечисляет сайты, внесенные в список доверенных и ограниченных зон для браузера Internet Explorer. См. Security zones: adding or removing websites

    Если внести строку в fixlist, связанная с ней запись будет удалена из реестра.


    Hosts content
    (содержимое Hosts) - Обратитесь к разделу Hosts, описанному ранее в этом руководстве.
    Предоставляет больше информации о файле Hosts: свойства файла и первые 30 активных записей. Неактивные записи (закомментированные) скрываются.

    Пример:

    Строки нельзя обработать индивидуально. Чтобы сбросить файл, используйте директиву Hosts: или включите строку с предупреждением о Hosts из главного файла FRST.txt.


    Other Areas
    (другие области)

    Есть некоторые элементы в числе проверок FRST, которые не охватываются другими секциями. FRST сообщает о пути к рисунку рабочего стола, DNS серверах, настройках UAC (контроля учетных записей), настройках SmartScreen и состоянии файрвола Windows. На данный момент для этих записей нет фикса.

    Wallpaper

    (рисунок рабочего стола).

    Различные виды шифровальщиков используют эти настройки, чтобы отобразить вымогательское сообщение.

    Пример:

    Нормальный путь может выглядеть так:
    Вредоносный путь и файл могут выглядеть так:
    Если это вирусные записи, то путь к файлу можно добавить к фиксу вместе с другими связанными с ним файлами, найденными в FRST.txt.

    Примечание: удаление вредоносной записи Wallpaper приведет к удалению фонового рисунка рабочего стола.

    Пользователь должен будет настроить обои на рабочем столе.

    В Windows XP:

    Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Свойства», нажмите на вкладку «Рабочий стол», выберите картинку, нажмите «Применить» и «ОК».

    В Windows Vista и выше:

    Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Персонализация», нажмите на надписи «Фон рабочего стола», выберите одну из картинок и нажмите «Сохранить изменения».

    DNS servers

    Эта подсекция полезна для определения подмены DNS / настроек роутера.

    Пример:
    Поищите информацию на сайте WhoisLookup, чтобы узнать является ли сервер легитимным.

    Примечание: список серверов считывается не из реестра, поэтому система должна иметь выход в интернет.

    Если FRST запущена в безопасном режиме или система не подключена к интернету, вы получите:

    UAC
    (контроль учётных записей)

    Включён (настройка по умолчанию):
    Отключён:
    Это может случится потому что пользователь сам отключил UAC или из-за последствий воздействия вредоносного ПО. Если непонятно, является ли причиной этому вирус, следует обратиться с вопросом к пользователю, прежде чем давать фикс.


    SmartScreen (Windows 8+)

    Виды значений, поддерживаемые Windows: RequireAdmin (настройка по умолчанию), Prompt, Off. Отсутствующее или пустое значение будет отображено в логе в таком виде:
    Это скорее всего последствия действий вредоносного ПО. В таком случае требуется ручной фикс.


    Windows Firewall
    (Сетевой экран Windows)

    Пример:
    Отображает, включен или нет сетевой экран Windows. Если с системой возникли какие-то проблемы и FRST запущен в безопасном режиме, то записи о файрволе не будет.


    MSCONFIG/TASK MANAGER disabled items
    (отключенные элементы msconfig и Диспетчера задач)

    Лог будет полезным, если пользователь воспользовался MSConfig или Диспетчером задач для отключения вредоносных записей вместо того, чтобы удалить их. Либо, если он отключил слишком много записей, и теперь не может добиться корректного запуска необходимых ему служб и программ.

    Пример:
    MSCONFIG в Windows 7 и более старых системах:
    Читается следующим образом:

    Отключенные службы:
    Отключенные элементы в папке Автозагрузки:
    Отключенные записи Run:
    Диспетчер задач в Windows 8 и Windows 10:
    Примечание: Windows 8 и новее используют msconfig только для служб. Элементы Автозапуска перенесены в Диспетчер Задач, который хранит отключенные записи в разных ключах. Отключенные не отсутствующие элементы перечисляются дважды – в FRST.txt (секция Registry) и в Addition.txt.

    Записи можно включить в fixlist.txt для удаления. FRST выполнит следующие действия:
    - В случае с отключёнными службами он удалит ключ, созданный MSCONFIG и саму службу.
    - В случае с отключёнными элементами загрузки (Run) он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач. Сама запись Run будет также удалена на новых ОС (прим. переводчика - подразумевается Windows 8 и новее).
    - В случае с элементами папки "Автозагрузка" (Startup), он удалит ключ / параметр, созданный MSCONFIG/Диспетчером задач и переместит резервную копию файла, созданную Windows (на старых ОС) или сам файл (на новых системах). (прим. переводчика - под старыми ОС подразумевается XP / 2003)

    Важно: Исправляйте записи из этой секции только, если вы уверены, что это вредоносная запись. Если вы не уверены в происхождении этой записи, не делайте исправление, чтобы избежать удаления легитимных элементов. В случае с отключёнными легитимными элементами, которые необходимо включить, пользователь должен быть проинструктирован, как включить их с помощью утилиты "Конфигурация системы" (MSCONFIG) или Диспетчера задач.



    FirewallRules
    (правила файрвола)
    Перечисляются FirewallRules, AuthorizedApplications и GloballyOpenPorts (правила файрвола, доверенные приложения и глобально открытые порты).

    Примеры (Windows 10):
    Примеры (XP):
    Если запись включена в fixlist.txt, она будет удалена из реестра. Ни один из связанных с ней файлов не будет перемещен.


    Restore Points
    (Точки восстановления)обратитесь к секции «Restore Points» ранее в этом руководстве.
    Перечисляет доступные точки восстановления в таком формате:
    Если функция отключена, будет оповещение:

    Faulty Device Manager Devices
    (неисправные устройства в «Диспетчере Устройств»)

    Пример:

    Event log errors:
    (Ошибки из журнала событий)
    - Application errors (Ошибки приложений)
    - System errors (Ошибки системы)
    - CodeIntegrity (Целостность ЭЦП)

    Memory info
    (информация о памяти) – обратитесь к подразделу «Memory info» ранее в этом руководстве.

    Drives (диски)

    MBR & Partition Table
    (Главная загрузочная запись и Таблица разделов) – Обратитесь к разделу «Drives / MBR & Partition Table» ранее в этом руководстве.
     
    Последнее редактирование: 20 авг 2017
    Кирилл нравится это.
  6. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Другие опциональные сканирования

    Опциональные сканирования

    Поставив галочку в чекбоксе в области «Optional Scan», FRST проверит запрошенные элементы.


    List BCD
    Перечисляются записи Данных конфигурации загрузки (Boot Configuration Data).


    Drivers MD5
    Создаст список драйверов и их контрольных сумм MD5, что будет выглядеть примерно так:
    Затем можно будет проверить их легитимность.


    Shortcut.txt

    Перечисляет все виды ярлыков во всех стандартных учетных записях. Подмененные записи можно включить в fixlist.txt для восстановления или удаления.

    Пример:
    Чтобы пофиксить строки ShortcutWithArgument: просто скопируйте и вставьте их в fixlist.txt. А для удаления объектов Shortcut: добавьте пути отдельно в фикс.

    Полный скрипт может выглядеть примерно так:
    Примечание: FRST удаляет из всех ярлыков аргументы, за исключением ярлыка Internet Explorer (No Add-ons).lnk. Аргумент этого ярлыка по умолчанию не пустой (он содержит ключ -extoff) и используется для запуска браузера Internet Explorer с отключением дополнений. Это очень важно для устранения неполадок с IE, поэтому аргумент этого ярлыка будет восстановлен.

    Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

    Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:

    Нажать правой кнопкой мыши по нему и выбрать «Свойства».

    На вкладке «Ярлык» в поле ввода «Объект» добавить к указанному пути два пробела и -extoff

    Нажать Применить и ОК.


    90 Days Files
    (файлы за последние 90 дней)

    Если отмечена опция "90 Days Files", FRST перечислит "Three Months Created/Modified Files and Folders" вместо "One Month Created/Modified Files and Folders".


    Функции поиска
    Search Files
    (поиск файлов)

    В окне FRST есть кнопка «Search Files». Для поиска файлов вы можете ввести или скопировать и вставить в окно поиска имена, которые желаете найти. Допускаются подстановочные знаки. Если вам нужно найти более одного файла имена файлов необходимо разделить знаком точки с запятой ;

    Каждый из приведенных ниже вариантов будет работать:
    После нажатия кнопки «Search Files» пользователь информируется о запуске поиска и появляется прогрессбар. Затем появляется всплывающее сообщение, оповещающее, что поиск завершен. Отчет Search.txt сохраняется в ту же папку, где расположен FRST.
    Найденные файлы перечисляются вместе с датой создания, изменения, размером, атрибутами, названием компании, MD5, и цифровой подписью в следующем формате:
    Примечание: проверка цифровой подписи не доступна в Среде восстановления.

    Функция поиска файлов работает только в пределах системного диска.

    Бывают случаи, когда легитимный системный файл отсутствует или поврежден, что приводит к проблемам с загрузкой, а в системе нет для него замены. Если поиск проводится в Режиме восстановления (Vista и выше), он также включает файлы на диске X: (виртуальный загрузочный диск). В некоторых случаях он может оказаться спасителем. В качестве примера – отсутствующий файл services.exe, который можно скопировать из X:\Windows\System32 в C:\Windows\System32.

    Примечание: Раздел X: будет содержать только 64-битные исполняемые файлы в случае с 64-битной ОС.


    Search Registry
    (поиск в реестре)

    В окне FRST есть кнопка «Search Registry». Вы можете ввести или скопировать и вставить в окно поиска имя (имена) записей, которые желаете найти. Если Вам необходимо найти более одной записи, то имена нужно разделять знаком точки с запятой ;

    Поиск одной фразы может выглядеть так:
    Поиск нескольких фраз может выглядеть так:
    В отличие от поиска файла, при выполнении поиска в реестре необходимо избегать добавления подстановочных знаков к поисковым фразам, потому что подстановочные знаки будут восприняты буквально. Если подстановочный знак ("*" или "?") добавлен в начало или в конец искомой фразы реестра, FRST проигнорирует его и будет искать эту фразу без данного знака.

    Отчет SearchReg.txt сохраняется в ту же папку, где расположен FRST.

    Примечание: функция поиска в реестре будет работать только вне Среды восстановления.
     
    Последнее редактирование: 6 июл 2017
    Кирилл нравится это.
  7. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Директивы и команды

    Каждая команда или директива в FRST должна быть расположена отдельной строкой, т.к. FRST обрабатывает строки скрипта одну за другой

    Краткое описание директив и команд.

    Примечание:
    Директивы и команды не чувствительны к регистру символов.

    Для использования только в Обычном режиме:

    CreateRestorePoint:
    TasksDetails:

    Для использования в Обычном и Безопасном режимах:

    CloseProcesses:
    DeleteKey: и DeleteValue:
    EmptyTemp:
    Powershell:
    Reboot:
    RemoveProxy:
    StartPowershell: — EndPowershell:
    VerifySignature:
    VirusTotal:
    Zip:

    Для использования в Обычном, Безопасном режимах и среде восстановления (RE):

    cmd:
    CreateDummy:
    DeleteJunctionsInDirectory:
    DeleteQuarantine:
    DisableService:
    ExportKey: и ExportValue:
    File: и Folder:
    FindFolder:
    Hosts:
    ListPermissions:
    Move:
    nointegritychecks on:
    Reg:
    RemoveDirectory:
    Replace:
    RestoreQuarantine:
    SaveMbr:
    SetDefaultFilePermissions:
    StartBatch: — EndBatch:
    StartRegedit: — EndRegedit:
    testsigning on:
    Unlock:

    Для использования только в среде восстановления (RE):

    LastRegBack:
    Restore From Backup:
    RestoreErunt:
    RestoreMbr:


    Примеры использования

    CloseProcesses:

    Завершает все процессы, не представляющие особой важности для системы. Помогает произвести фикс более эффективно и быстрее.

    Пример:
    Код (Text):

    CloseProcesses:
     
    Если эта директива включена в фикс, она автоматически применит перезагрузку. Нет необходимости использовать директиву Reboot: . Директива CloseProcesses: не нужна и не доступна в среде восстановления.


    CMD:

    Иногда Вам нужно выполнить команду в CMD. В этом случае необходимо использовать директиву “CMD:”.

    Скрипт будет таким:
    Код (Text):

    CMD: Команда
     
    Если у Вас более одной команды, поместите CMD: в начало каждой строки, чтобы получить вывод в логе для каждой команды.

    Пример:
    Код (Text):

    CMD: copy /y c:\windows\minidump\*.dmp e:\
    CMD: bootrec /FixMbr
     
    Первая команда скопирует файлы минидампа на флешку (если у флешки буква диска – E).
    Вторая команда используется для фикса MBR в Windows Vista и выше.

    Альтернативно, можно воспользоваться директивами StartBatch: — EndBatch: (см. ниже).

    Примечание: В отличие от родных и прочих директив FRST, команды cmd должны иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае наличия пробелов в пути к файлу или каталогу.


    CreateDummy:

    Создаёт заблокированную пустую папку, чтобы предотвратить восстановление плохого файла или папки. Пустую папку необходимо удалить после нейтрализации вредоносного ПО.

    Синтаксис таков:
    Код (Text):

    CreateDummy: путь
     
    Пример:
    Код (Text):

    CreateDummy: C:\Windows\System32\Плохой.exe
    CreateDummy: C:\ProgramData\Плохой
     

    CreateRestorePoint:

    Для создания точки восстановления.

    Пример:
    Код (Text):

    CreateRestorePoint:
     
    Примечание: эта директива работает только в Обычном режиме. Она также не будет выполняться, если отключена система восстановления.


    DeleteJunctionsInDirectory:

    Для удаления точек соединения (junction) используйте приведенный синтаксис:
    Код (Text):

    DeleteJunctionsInDirectory: Путь
     
    Пример:
    Код (Text):

    DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
     

    DeleteKey: и DeleteValue:

    Наиболее эффективный способ удаления ключей/параметров, который обходит ограничения стандартных алгоритмов удаления, присутствующих в директивах Reg: и StartRegedit: — EndRegedit:.

    Синтаксис таков:

    1. Для ключей:
    Код (Text):

    DeleteKey: ключ
     
    Альтернативно, можно использовать формат файлов редактора реестра:
    Код (Text):

    [-ключ]
     
    2. Для параметров:
    Код (Text):

    DeleteValue: ключ|параметр
     
    Если параметр является параметров по умолчанию, оставьте имя параметра пустым:
    Код (Text):

    DeleteValue: ключ|
     
    Примеры:
    Код (Text):
    DeleteKey: HKLM\SOFTWARE\Microleaves
    DeleteValue: HKEY_CURRENT_USER\Environment|SNF
    DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
    [-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]
     
    Способность удаления ключей с помощью FRST распространяется на символические ссылки, ключи, которые заблокированы из-за отсутствия необходимых привилегий и ключи, которые содержат символы Null. Нет необходимости использовать директиву Unlock:.

    Для ключей и параметров, которые защищены с помощью запущенной программы (по ним будет получен "отказ в доступе"), вам необходимо использовать Безопасный режим (чтобы обойти защиту запущенных программ) или удалить ее основные компоненты перед использованием команд.

    Примечание: если среди перечисленных для удаления ключей есть ссылки на другой ключ реестра, будет удален ключ-источник, который является символической ссылкой. Цель этого ключа не будет удалена. Это сделано для предотвращения удаления обоих ключей, вредоносной символической ссылки, которая могла указывать на легитимный ключ и самого легитимного ключа. В ситуациях, когда оба ключа являются вредоносными – ключ-источник и его цель, необходимо перечислить их оба при удалении.


    DeleteQuarantine:

    После завершения очистки папки %SystemDrive%\FRST (обычно, C:\FRST), созданной инструментом FRST, ее необходимо удалить с компьютера. В некоторых случаях эту папку не получается удалить вручную в связи с тем, что в папке %SystemDrive%\FRST\Quarantine содержатся заблокированные или необычные вредоносные файлы или папки. Команда DeleteQuarantine: удалит папку Quarantine.

    Не следует использовать инструментарий перемещения файлов для удаления файлов из C:\FRST, поскольку эти инструменты лишь перемещают файлы в свой собственный каталог и он все равно остается в системе.

    Команду нужно просто добавить в fixlist.txt, подобно этому:
    Код (Text):

    DeleteQuarantine:
     

    DisableService:

    Для удаления обычной службы или службы драйвера, вы можете использовать следующий скрипт:
    Код (Text):

    DisableService: ИмяСлужбы
     
    Пример:
    Код (Text):

    DisableService: sptd
    DisableService: Wmware Nat Service
     
    FRST установит тип запуска службы на «Отключено» и служба не запустится при следующей загрузке ОС.


    EmptyTemp:

    Следующие папки будут очищены:
    - Temp папки Windows
    - Temp пользователей
    - Кеш браузеров Edge, IE, FF, Chrome и Opera, хранилища HTML5, Cookies и History (Примечание: история FF не удаляется).
    - Кеш недавно открытых файлов
    - Кеш Flash Player
    - Кеш Java
    - Кеш Steam HTML
    - Кеш миниатюр Explorer и кеш иконок
    - Очередь передачи BITS (файлы qmgr*.dat)
    - Корзина.

    Если используется директива EmptyTemp:, после фикса система будет перезагружена. Нет необходимости использовать директиву Reboot:.

    Также вне зависимости от того, в какую часть скрипта добавлена EmptyTemp:, в начало, средину или конец fixlist, она будет выполнена после исполнения всех остальных строк fixlist.

    Важно: при использовании директивы EmptyTemp: объекты удаляются навсегда. Они не перемещаются в карантин.

    Примечание: директива отключена в среде восстановления с целью предотвращения нанесения вреда.



    ExportKey: и ExportValue:

    Более надежный способ просмотра содержимого ключа. Директивы преодолевают некоторые ограничения regedit.exe и reg.exe. Разница между директивами заключается в объеме данных. ExportKey: перечисляет все параметры и подразделы рекурсивно, а ExportValue: показывает только параметры в разделе.

    Синтаксис таков:
    Код (Text):

    ExportKey: ключ
     
    Код (Text):

    ExportValue: ключ
     
    Пример:
    Код (Text):

    ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ
     
    Примечание: Экспорт предназначен только для исследовательских целей и не может быть использован для резервного копирования или операции импорта.



    File: и Folder:

    Используются для просмотра характеристик файла или содержимого каталога. Директива Folder: работает рекурсивно и перечисляет содержимое всех подкаталогов, поэтому она может создавать гигантские отчёты.
    Код (Text):

    File: путь
    Folder: путь
     
    Примеры:
    Код (Text):

    File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe
    Folder: C:\Users\User\AppData\Local\Microsoft\Protect
     
    Примечание: Проверка цифровой подписи не доступна в Режиме Восстановления.

    Примечание: Директива File: не предоставляет автоматическую загрузку на VirusTotal, в отличие от директивы VirusTotal:



    FindFolder:

    Служит для поиска папки на системном диске. Допустимы подстановочные знаки. Если вам нужно найти более одной папки, искомые фразы должны быть разделены символом «точки с запятой» ;

    Пример:
    Код (Text):

    FindFolder: bestcleaner;gtfhaughton*
     

    Hosts:

    Предназначена для сброса Hosts. Также, см. hosts в секции «Основное сканирование (FRST.txt)».


    ListPermissions:

    Используется для перечисления разрешений на файлы / каталоги / ключи, включенные в скрипт:

    Код (Text):

    ListPermissions: путь/ключ
     
    Пример:
    Код (Text):

    Listpermissions: C:\Windows\Explorer.exe
    Listpermissions: C:\users\farbar\appdata
    ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
    ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
     

    Move:

    Иногда операция переименования или перемещения файла, особенно если она выполняется между дисками, бывает проблематичной и команда MS Rename может завершиться неудачей. Чтобы переместить или переименовать файл, используйте следующий скрипт:
    Код (Text):

    Move: источник назначение
     
    Пример:
    Код (Text):

    Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
    Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
     
    Инструмент перемещает файл-назначение в папку Quarantine (если этот файл существует). Затем перемещает файл-источник в расположение указанного назначения.

    Примечание: С помощью директивы Move: можно выполнять переименование.

    Примечание 2: путь назначения должен содержать имя файла, даже если файл отсутствует в папке назначения.


    nointegritychecks on:

    Применима к версиям Windows Vista и выше.

    Если функция проверки целостности отключена, Вы увидите следующую строку в логе FRST:
    Это означает, что BCD была изменена для обхода проверки подписи при загрузке ОС. Чтобы включить проверку подписи, скопируйте и вставьте указанную выше строку в fixlist.

    На некоторых компьютерах, которые не могут загрузиться, отключение проверки подписи решает проблему с загрузкой до тех пор, пока мы снова не включим эту проверку. Чтобы отключить функцию с целью поиска и устранения неисправностей или создания бекапа в Обычном режиме перед переустановкой Windows, используйте следующий синтаксис:
    Код (Text):

    nointegritychecks on:
     

    Powershell:

    Предназначен для запуска команды или файла-скрипта в оболочке PowerShell.

    1. Для выполнения единственной команды в PowerShell и получения ее вывода в Fixlog.txt синтаксис будет таким:
    Код (Text):
    Powershell: команда
    Пример:
    Код (Text):
    Powershell: Get-Service

    2. Для выполнения единственной команды в PowerShell и получения ее вывода в текстовый файл (не Fixlog.txt) используйте операторы перенаправления или командлет Out-File:
    Код (Text):
    Powershell: команда > "Путь к текстовому файлу"
    Код (Text):
    Powershell: команда | Out-File "Путь к текстовому файлу"
    Пример:
    Код (Text):

    Powershell: Get-Service > C:\log.txt
    Powershell: Get-Process >> C:\log.txt
     

    3. Для запуска готового файла-скрипта (.ps1), который содержит одну или более строк (команд) PowerShell, синтаксис будет таким:
    Код (Text):
    Powershell: "Путь к файлу скрипта"
    Примеры:
    Код (Text):
    Powershell: C:\Users\UserName\Desktop\script.ps1
    Код (Text):
    Powershell: "C:\Users\User Name\Desktop\script.ps1"

    4. Для выполнения большего числа команд (строк) PowerShell, как если бы они находились в файле-скрипте (.ps1), но без создания файла .ps1, используйте в качестве разделителя "точку с запятой" ; вместо перевода строки:
    Код (Text):
    Powershell: строка 1; строка 2; (и так далее)
    Пример:
    Код (Text):
    Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")
    Альтернативно, можете воспользоваться директивами StartPowershell: — EndPowershell: (см. ниже).



    Reboot:

    Для перезагрузки компьютера.

    Не имеет значения, в какую часть fixlist вы ее добавите. Даже если она будет добавлена в начало, перезагрузка будет выполнена по завершению всех остальных фиксов.

    Примечание: эта команда не будет работать и не нужна в среде восстановления.


    Reg:

    Для управления реестром Windows с помощью консольной утилиты reg.exe.

    Синтаксис таков:
    Код (Text):

    Reg: reg команда
     
    Пример:
    Код (Text):

    Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
    Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
    Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
     
    Примечание: в отличие от родных директив FRST, команда Reg должна иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае, когда имя ключа или параметра содержит пробел.

    Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.



    RemoveDirectory:

    Предназначена для удаления (не перемещения в карантин) каталогов с урезанными правами или ошибками в пути или имени. Не нужно использовать директиву Unlock:. Эта директива должна использоваться для каталогов, которые сопротивляются обычной операции перемещения. Если она будет использована в Безопасном режиме, то окажется очень мощной, а в среде восстановления – еще более мощной.

    Скрипт будет выглядеть так:
    Код (Text):

    RemoveDirectory: путь
     

    RemoveProxy:

    Убирает некоторые из ограничений, связанные с настройками политик Internet Explorer, подобно "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" или ProxySettingsPerUser в HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Команда удаляет параметр "ProxyEnable" (если он задан как 1), параметры "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" и "SavedLegacySettings" из ключей HKLM и пользователей. Команда также устанавливает параметр BITSAdmin в значение NO_PROXY.

    Дополнительно, команда удаляет значение по-умолчанию ключа "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies", если он изменен.

    Примечание: Если запущена программа или служба, которая восстанавливает эти параметры, ее необходимо деинсталлировать, а службу удалить, прежде чем использовать команду. Это будет гарантировать, что настройки прокси не вернутся обратно.


    Replace:

    Для замены файла используйте следующий скрипт:
    Пример:
    Код (Text):

    Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
    Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
     
    Инструмент перемещает файл-назначение (если он существует) в папку Quarantine. Затем копирует файл-источник в позицию назначения.

    Он не переместит файл-источник и он останется в оригинальном расположении. Таким образом, на примере выше файлы dnsapi.dll в папках WinSxS останутся там на будущее.

    Примечание: путь назначения должен включать в себя имя файла, даже если он сейчас отсутствует в папке назначения.

    Примечание 2: в случае, если папка назначения отсутствует, команда не выполнится. FRST не восстанавливает полную структуру каталога.


    Restore From Backup:

    При первом запуске FRST копирует ульи в папку %SystemDrive%\FRST\Hives (обычно, C:\FRST\Hives) в качестве резервной копии. Она не будет перезаписана при последующих запусках утилиты, если только не была создана более 2 месяцев назад. Если что-то пошло не так, любой из ульев можно восстановить. Синтаксис будет таким:

    Код (Text):

    Restore From Backup: ИмяУлья
     
    Пример:
    Код (Text):

    Restore From Backup: software
    Restore From Backup: system
     

    RestoreErunt:

    Для восстановления ульев, созданных Erunt, скрипт будет таким:
    Код (Text):

    RestoreErunt: путь
     
    Для восстановления из бекапов, созданных CF (ComboFix) скрипт будет таким:
    Код (Text):

    RestoreErunt: cf
     

    RestoreQuarantine:

    Вы можете восстановить целиком содержимое карантина, один или несколько файлов или папок из карантина.

    Чтобы восстановить содержимое карантина целиком синтаксис будет либо:
    Код (Text):

    RestoreQuarantine:
     
    либо
    Код (Text):

    RestoreQuarantine: C:\FRST\Quarantine
     
    Чтобы восстановить файл или папку, синтаксис будет таким:
    Код (Text):

    RestoreQuarantine: ПутьВнутриQuarantine
     
    Пример восстановления папки C:\Program Files\Microsoft Office
    и файла, который изначально имел путь: C:\Users\Someperson\Desktop\ANOTB.exe
    Код (Text):

    RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
    RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD
     
    Чтобы найти путь в карантине, вы можете использовать:
    Код (Text):

    Folder: C:\FRST\Quarantine
     
    или:
    Код (Text):

    CMD: dir /a/b/s C:\FRST\Quarantine
     
    Примечание: Если файл уже существует (за пределами карантина) по пути назначения, FRST не перезапишет его. Оригинальный файл не будет перемещен и останется в карантине. Однако если вам все же нужно восстановить файл из карантина, необходимо удалить или переименовать файл в папке назначения.


    RestoreMBR:

    Служит для восстановления MBR. Для записи файла MBR.bin на диск FRST использует программу MbrFix, которая сохранена на флеш-накопитель. Вот что необходимо для фикса:
    1. Программа MbrFix/MbrFix64
    2. MBR.bin, который требуется восстановить.
    3. Скрипт, в котором указана буква диска:
    Код (Text):

    RestoreMbr: Drive=#
     
    Пример:
    Код (Text):

    RestoreMbr: Drive=0
     
    Примечание: MBR, который нужно восстановить, следует назвать MBR.bin, упаковать в архив и прикрепить в теме.


    SaveMbr:

    Обратитесь к секции Drives / MBR & Partition Table этого руководства.

    Чтобы создать копию MBR, используйте следующий синтаксис:
    Код (Text):

    SaveMbr: Drive=#
     
    Пример:
    Код (Text):

    SaveMbr: Drive=0
     
    Примечание: после выполнения этого, на флеш-накопителе будет создан файл MBRDUMP.txt, который пользователю необходимо прикрепить к своему сообщению в теме.


    SetDefaultFilePermissions:

    Директива создана для работы с заблокированными системными файлами. Она назначает группу "Администраторы" владельцем и в зависимости от системы предоставляет привилегии разрешения для стандартных групп.

    Примечание: директива не назначит Trusted-installer владельцем, тем не менее, директиву можно использовать на системных файлах, которые были заблокированы вредоносным ПО.

    Скрипт будет таким:
    Код (Text):

    SetDefaultFilePermissions: путь
     


    StartBatch: — EndBatch:

    Для создания и запуска пакетного файла.

    Синтаксис таков:
    Код (Text):

    StartBatch:
    Строка 1
    Строка 2
    И т.д.
    EndBatch:
     
    Вывод будет переадресован в Fixlog.txt.

    См. также директиву CMD: ранее в этом руководстве.



    StartPowershell: — EndPowershell:

    Более лучшая альтернатива для создания и запуска файла PowerShell, который содержит несколько строк (см. директиву Powershell: ранее в этом руководстве).

    Синтаксис таков:
    Код (Text):

    StartPowershell:
    Строка 1
    Строка 2
    И т.д.
    EndPowershell:
     
    Вывод будет переадресован в Fixlog.txt.



    StartRegedit: — EndRegedit:

    Предназначена для создания и импорта файла реестра (.reg).

    Синтаксис таков:
    Код (Text):

    StartRegedit:
    формат файла .reg
    EndRegedit:
     
    Включение заголовка формата Windows Registry Editor Version 5.00 является опциональным, но заголовок формата REGEDIT4 - обязателен.

    Пример:
    Код (Text):

    StartRegedit:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
    "Start"=dword:00000002

    EndRegedit:
     
    Вы получите подтверждение в Fixlog.txt:
    Примечание: строка с подтверждением появится вне зависимости от наличия любых возможных ошибок в вашем файле .reg.

    Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.



    TasksDetails:

    Выводит подробности о задании, связанные с временем выполнения.
    Синтаксис таков:
    Код (Text):

    TasksDetails:
     
    Пример:
    Примечание: Директива не поддерживается в Windows XP и работает полнофункционально только в обычном режиме.
    В безопасном режиме вы получите информацию только о файлах *.job.


    testsigning on:

    Применим к Windows Vista и выше.

    Вирус иногда может добавить запись к BCD (Boot Configuration Data – Данные конфигурации загрузки ОС) для обхода режима проверки подписи при загрузке. Вредоносное ПО необходимо вычистить из системы, а затем восстановить BCD по умолчанию. Осторожно: управление записями BCD является тонкой работой, которая при неверном подходе может привести систему к незагружаемому состоянию.

    Если FRST найдет улики подобного вмешательства, он сообщит примерно так:
    Если вирус все еще присутствует на машине, в логе также будет (скрытый) неподписанный драйвер, отображающийся подобно этому:
    Кроме того, пользователь может сообщить, что видит нечто необычное на рабочем столе:
    «Я только что заметил кое-что в правом нижнем углу моего рабочего стола. Там написано: Тестовый режим, Windows 7, Сборка 7601. Я никогда не видел этого раньше».

    Test_mode_win7.

    Полный скрипт удаления будет таким:
    Код (Text):

    S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
    C:\Windows\System32\Drivers\442564429e863a90.sys
    testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
     
    Кроме удаления вредоносного драйвера, FRST удалит значение, добавленное к BCD. Никаких дальнейших действий не требуется.

    Однако иногда сторонние инструменты выполняют частичную чистку системы, но не восстанавливают BCD. В таких случаях можно использовать следующее:
    Код (Text):

    testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
     
    В ситуациях, когда после установки ‘testsigning’ в значение по умолчанию (его отключения) что-то происходит не так, то для включения 'testsigning' с целью дальнейшего поиска и устранения неисправностей используйте следующую команду:

    Код (Text):

    testsigning on:
     

    Unlock:

    В случае с файлами и папками, директива меняет владельца на группу «Все», а также даёт ей права и работает рекурсивно, если применяется к каталогам. Директиву необходимо применять к вредоносным файлам и каталогам. Чтобы разблокировать системные файлы, используйте директиву SetDefaultFilePermissions:

    В случае с элементами реестра она меняет владельца на группу «Администраторы», даёт группам обычный доступ и применяется только для указанного ключа. Её можно использовать как для вредоносных, так и легитимных ключей.

    Скрипт будет таким:
    Код (Text):

    Unlock: путь
     
    Иногда обычная операция перемещения не работает из-за привилегий. Вы поймёте это, когда увидите в логе Fixlog.txt «Could not move» (Не могу переместить Файл/Каталог). В этом случае вы можете использовать директиву «Unlock:» на тех файлах или папках.

    Пример:

    Код (Text):

    Unlock: C:\Windows\System32\плохой.exe
     
    Чтобы переместить файл просто укажите путь отдельно в фиксе:
    Код (Text):

    Unlock: C:\Windows\System32\плохой.exe
    C:\Windows\System32\плохой.exe
     
    Вы можете использовать команду для разблокировки элементов реестра, если они заблокированы. Например, если вы запускаете фикс в среде восстановления и текущим конфигурационным разделом является ControlSet001, то будет применяться следующее:
    Код (Text):

    Unlock: hklm\system\controlset001\ПлохаяСлужба\ИмяПодраздела
     
    Чтобы удалить ключ, используйте директиву Reg:. Полный синтаксис может быть таким:
    Код (Text):

    Unlock: hklm\system\controlset001\ПлохаяСлужба\ИмяПодраздела
    Reg: reg delete hklm\system\controlset001\ПлохаяСлужба /f
     
    Примечание: Директива DeleteKey: может быть использована вместо комбинации Unlock: и Reg:.


    VerifySignature:

    Служит для проверки цифровой подписи у файла.
    Код (Text):

    VerifySignature: путь
     
    Пример:
    Код (Text):

    VerifySignature: C:\Windows\notepad.exe
     

    VirusTotal:

    Для проверки файлов через VirusTotal. FRST выполнит поиск предыдущей проверки файла в базе данных VirusTotal. Если файл ни разу не проверялся на VirusTotal, он будет загружен для анализа.

    Можно включить несколько файлов, разделив их точкой с запятой
    Пример:
    Метка "0-byte MD5" указывает на то, что либо файл используется, либо заблокирован, либо путь указывает на символическую ссылку.


    Zip:

    Для упаковки файлов / папок и сохранения их на рабочий стол под именем Дата_Время.zip с целью последующей загрузки пользователем. Для файлов и папок с дублирующимися именами будет создано более одного архива.

    Код (Text):

    Zip: путь;путь
     
    Через точку с запятой можно перечислить сколько угодно много файлов или папок.

    Пример:
    Код (Text):

    Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
     
     
    Последнее редактирование модератором: 7 окт 2017
    akok и Кирилл нравится это.
  8. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Шаблоны ответов
    Пример инструкции для экспертов, специализирующихся в помощи по борьбе с вредоносным ПО.

    Для запуска пользователем FRST в обычном режиме:

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.


    Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку [B]Scan[/B].
    После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в [URL='https://safezone.cc/threads/17759/']этом руководстве[/URL].

    Для запуска FRST на Windows Vista / 7 / 8 / 8.1 / 10 в среде восстановления (RE).

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

    Скопируйте FRST на флэш-накопитель:

    Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер.

    Выберите Командная строка

    В командной строке введите следующее:

    notepad и нажмите клавишу Enter.
    Откроется Блокнот. В меню Файл выберите Открыть.
    Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
    В окне введите команду e:\frst64.exe и нажмите клавишу Enter
    Примечание:
    Замените букву e на букву вашего флэш-накопителя.

    • После того, как программа запустится, нажмите Yes для соглашения с предупреждением.
    • Нажмите кнопку Scan.
    • После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Подробнее читайте в этом руководстве.



    Скачайте [URL='https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/'][B]Farbar Recovery Scan Tool[/B][/URL] и сохраните на Рабочем столе.

    [B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

    Скопируйте FRST на флэш-накопитель:

    Загрузитесь в среду восстановления с жесткого диска (нажмите [B]F8[/B] и выберите пункт [B]Устранение неполадок компьютера[/B]). Вставьте USB-накопитель в компьютер.

    Выберите [B]Командная строка [/B]

    В командной строке введите следующее:

    [B]notepad[/B] и нажмите клавишу [B]Enter[/B].
    Откроется Блокнот. В меню Файл выберите [B]Открыть[/B].
    Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
    В окне введите команду [B][COLOR=#FF0000]e[/COLOR]:\frst64.exe[/B] и нажмите клавишу [B]Enter
    Примечание:[/B] Замените букву [COLOR=#FF0000][B]e[/B][/COLOR] на букву вашего флэш-накопителя.

    [LIST]
    [*]После того, как программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.
    [*]Нажмите кнопку [B]Scan[/B].
    [*]После окончания сканирования на флэш-накопителе будет создан отчёт ([B]FRST.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.
    [/LIST]
    Подробнее читайте в [URL='https://safezone.cc/threads/17759/#post-190088']этом руководстве[/URL].


    Фиксы

    Для выполнения фикса из файла в обычном и безопасном режимах загрузки Windows.

    Из файла:
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    Start::
    CreateRestorePoint:


    EmptyTemp:
    Reboot:
    End::
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    [code]Start::
    CreateRestorePoint:


    EmptyTemp:
    Reboot:
    End::[/code]
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
    Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в [URL='https://safezone.cc/threads/17760/']этом руководстве[/URL].


    Из буфера обмена:
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код (Text):
      Start::
      CreateRestorePoint:


      EmptyTemp:
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Подробнее читайте в этом руководстве.


    [List]
    [*] Отключите до перезагрузки антивирус.
    [*] Выделите следующий код:
    [code]Start::
    CreateRestorePoint:


    EmptyTemp:
    Reboot:
    End::[/code]

    [*] Скопируйте выделенный текст (правой кнопкой - Копировать).
    [*] Запустите FRST (FRST64) от имени администратора.
    [*] Нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    [/List]
    Компьютер будет перезагружен автоматически.

    Подробнее читайте в [URL='http://safezone.cc/threads/17760/']этом руководстве[/URL].

    Для выполнения фикса в среде восстановления (RE):

    Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем fixlist.txt.

    ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.

    Теперь, пожалуйста, войдите в консоль Среды восстановления.

    Запустите FRST/FRST64 и нажмите кнопку Fix всего один раз и подождите.
    Инструмент создаст лог на флешке (Fixlog.txt). Пожалуйста, разместите его в своем ответе.


    Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем [B]fixlist.txt[/B].

    [quote]
    Содержимое скрипта
    [/quote]

    [COLOR=red][B]ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.[/B][/COLOR]

    Теперь, пожалуйста, войдите в консоль Среды восстановления.

    Запустите [B]FRST/FRST64[/B] и нажмите кнопку [B]Fix[/B] всего один раз и подождите.
    Инструмент создаст лог на флешке ([B]Fixlog.txt[/B]). Пожалуйста, разместите его в своем ответе.

    Примечание: удобно использовать шаблоны из сборника шаблонов (от regist), который периодически обновляется (доступ только для студентов 2 курса).

    ____________________________
    Спасибо regist за полную вычитку и правки.
    Этот перевод является официальным и обновляется сихронно с оригиналом.
    Информацию о предыдущих обновлениях можно найти ниже.
     
    Последнее редактирование: 8 июл 2017
    akok и Кирилл нравится это.
  9. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090

    Обсуждение программы FRST и перевода руководства проводится в теме: FRST - обсуждение


    Перечень последних обновлений:
    04.01.2016 – Флаг «Attention» убран из разъяснения секции «Shortcuts».
    04.01.2016 – В FirewallRules добавлено GloballyOpenPorts.
    05.03.2016 – Внесены правки в секцию «Alternate Data Streams» (информация о размере)
    05.03.2016 – Добавлена директива Zip:
    20.04.2016 – Обновлено описание подсекции «Opera»
    20.04.2016 – Более доходчиво описана секция «Services and Drivers»
    20.04.2016 – Добавлен атрибут «X» в секцию «One month... Scans»
    20.04.2016 – Ссылка на «Alternate Data Streams» удалена из секции «Лечение»
    20.04.2016 – Обновлена секция «Bamital & volsnap»
    20.04.2016 – Заменена ссылка «Internet Explorer zones»
    20.04.2016 – Описания секций «Hosts content» и «Restore Points» добавлены в раздел Addition.txt
    20.04.2016 – В список очистки EmptyTemp: добавлены кеш Steam HTML и BITS.
    20.04.2016 – Описание «Search Files» дополнено заметкой о проверке цифровой подписи.
    20.04.2016 – Добавлена заметка о том, что проверка цифровой подписи не доступна в Среде восстановления
    20.04.2016 – Различные мелкие и косметические правки
    28.04.2016 – Добавлено замечание, касающееся ограничений в сканировании «One month...»
    28.04.2016 – Обнаружение заражения WMI добавлено в анализ Shortcuts (Addition.txt)
    28.04.2016 – Обновлено описание «Shortcut.txt»
    10.05.2016 – Секция "Ассоциации EXE" переименована в "Ассоциации" (во всех сканированиях) и расширена (только в сканировании Addition.txt)
    10.05.2016 – Подправлен вывод директивы File:
    12.05.2016 – Содержание руководства реорганизовано и упрощено
    11.06.2016 – Добавлена ссылка на русский перевод
    16.06.2016 – Обновлен список областей сканирования по умолчанию.
    16.06.2016 – Убрана поддержка подстановочного знака "?" при обработке файлов и папок, а также при поиске в реестре.
    16.06.2016 – Добавлена директива Powershell:
    16.06.2016 – Правки в описание директивы Zip:
    16.06.2016 – Указаны ограничения области поиска директивы FindFolder: и функции Search Files.
    18.06.2016 – К перечислению EmptyTemp: добавлен кеш иконок.
    05.07.2016 – Обновлено описание директивы Powershell.
    22.07.2016 – Добавлены парные директивы StartBatch: — EndBatch: и StartPowershell: — EndPowershell:
    22.07.2016 – Исправлены описания SetDefaultFilePermissions: и Unlock:
    22.07.2016 – Отчёт "Search Registry" переименован в SearchReg.txt
    25.07.2016 – Добавлена парная директива StartRegedit: — EndRegedit:
    25.07.2016 – Обновлено описание директивы Reg:
    15.08.2016 – Секция Edge дополнена расширениями
    22.09.2016 – Обновлено описание отключённых элементов MSCONFIG/Диспетчера задач новыми примерами и пояснениями о фиксе.
    13.10.2016 – Старое определение, связанное с модификацией ZeroAccess ("File name is altered") удалено из секции "Реестр"
    13.10.2016 – Расширено пояснение политик в секции "Реестр", чтобы охватить ограничения SAFER, скрипты GPO, обновлено определение Registry.pol
    13.10.2016 – Обновлено описание Firefox, чтобы отразить переделанную проверку, которая теперь включает все профили (включая также клоны Firefox)
    13.10.2016 – Обновлено описание Chrome, чтобы включить пометку профилей и обработку настроек
    13.10.2016 – Поле Addition.txt теперь всегда заранее отмечено
    13.10.2016 – Добавлена директива TasksDetails:
    09.12.2016 – Фикс службы "Themes" (Темы) был добавлен в исключения в секции "Службы".
    09.12.2016 – Резервная копия кустов реестра старше 2 месяцев будет перезаписываться
    09.12.2016 – Описание директивы Zip: обновлено, чтобы отобразить изменения, связанные с порядком именования архивов

    18.01.2017 – Описание секции "Реестр" расширено и включает информацию, что заблокированные ключи будут запланированы для удаления после перезагрузки.
    24.01.2017 – Удалена ссылка на немецкий перевод
    01.02.2017 – Заменена ссылка на французский перевод
    13.02.2017 – Описание секции "Юникод" перенесено из раздела с описанием "FRST.txt" в раздел "Лечение" и обновлено новыми примерами
    13.02.2017 – Убрана очистка плагинов с пометками "No file" из описания "Chrome" (управление плагинами недоступно в Chrome 56+)
    13.02.2017 – Обновлены различные примеры и скорректированы ссылки
    19.02.2017 – Добавлена директива ExportKey:
    23.02.2017 – Добавлена директива ExportValue:
    05.03.2017 – Добавлена директива DeleteValue:
    05.03.2017 – Директива DeleteKey: теперь поддерживается в Режиме Восстановления
    05.05.2017 – Добавлена горячая клавиша Ctrl+y для автоматического создания пустого fixlist.txt
    05.05.2017 – Обновлено описание секции "Chrome" и теперь включает инструкции, как обрабатывать переадресацию "Новой вкладки" и расширения
    05.05.2017 – Различные небольшие правки
    06.05.2017 – Добавлено создание фикса через буфер обмена
    06.05.2017 – В раздел "Реестр" добавлено определение "Недоверенных сертификатов"
    07.06.2017 – Добавлена директива CreateDummy:
    07.06.2017 – Обновлено описание секции "Firefox" и теперь включает пометку профилей
    14.06.2017 – метка "Shortcuts" переименована в "Shortcuts & WMI" в файле Addition.txt
    14.06.2017 – Уточнено объяснение по поводу расширений Chrome в реестре
    04.07.2017 – Обновлён перевод на немецкий и включён в список официальных переводов
    04.07.2017 – Расширено сканирование сторонних классов CLSID
    04.07.2017 – Добавлены настройки SmartScreen в секцию "Other Areas" (Другие области)
    04.07.2017 – Обновлено описание Internet Explorer
    04.07.2017 – Различные изменения и упрощения
    08.07.2017 – Строки CHR Extension больше не обрабатываются в фиксе
    08.07.2017 – Список шаблонов инструкции заменён на наш собственный из сборника шаблонов
    19.08.2017 – Обновлена информация о руководстве
    19.08.2017 Добавлена директива VirusTotal:
    19.08.2017 Директива File: обновлена, чтобы включать информацию о проверке VirusTotal
    19.08.2017 Уточнение на счёт рекурсии в директиве Folder:
    19.08.2017 В описание секции "Учётные записи" внесены правки о том, что учётные записи Microsoft не обнаруживаются
     
    Последнее редактирование: 19 авг 2017
    akok, Sandor, mike 1 и 2 другим нравится это.
  10. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.619
    Немного дополню.
    При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.
    Думаю, для русско-язычной части интернета более привычно название Trojan.Win32.Patched.qw. Перевод описания этого трояна можете почитать здесь.
    Для удаления этих элементов нужно самостоятельно составить команду для удаления этих ключей реестра. При простом копировании строки из лога они удалены не будут. Как именно написать команду см. раздел Директивы и команды. По моей просьбе farbar добавил обработку этих и с 19-го сентябра можно просто скопировать строку из лога и она будет обработана.
    Хочу обратить внимание, что наличие такого драйвера, а также включение тестового режима необязательно говорит о наличии вируса. Как пример, использование неофициальной сборки VirtualBox, в которой в отличие от официальной отключён hardening. Для того, чтобы эту сборку можно было использовать на x64 системах, драйверы подписаны самосгенерированным сертификатом, а пользователь самостоятельно должен включить тестовый режим.
    Нельзя будет восстановить через FRST, зато с этим хорошо справится ClearLNK. Достачно просто перетащить или любым другим способом "скормить" ClearLNK этот ярлык. Аналогично с помощью ClearLNK можно исправить и другие ярлыки, в том числе и перечисленные в логе "Shortcut.txt".
     
    Последнее редактирование: 12 окт 2016
    akok и Кирилл нравится это.
  11. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.225
    Симпатии:
    5.090
    Последнее редактирование: 19 авг 2017
    Кирилл нравится это.
Загрузка...
Похожие темы - Руководство Farbar Recovery
  1. Dragokas
    Ответов:
    17
    Просмотров:
    3.349
  2. mike 1
    Ответов:
    11
    Просмотров:
    3.410

Поделиться этой страницей

Поисковый запрос:

  1. Farbar Recovery Scan Tool