[завершено] Перевод руководства FRST

[iskander-k]

можно просто написать -- защитное ПО

 

[Dragokas]

Там речь идет о том, какие действия производятся с секцией процессы при их включении в fixlist

Спойлер

Процессы:


Есть две причины, по которым вы могли бы захотеть остановить процесс. Во-первых, вы можете остановить антивирусную программу, котораяможет помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.


Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.


Например:

(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe

Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно закрыт).


Если у Вас есть вредоносный процесс и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в Ваш фикс, подобно этому:

(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot

 

[Dragokas]

Всем спасибо за помощь.
Разрешение на перевод у emeraldnzl получено. Farbar также читал переписку, но ничего не ответил. Молчание - знак согласия.
Орфографию проверил, документ полностью вычитал, поправил все более милозвучнее. Принимайте:
Руководство по Farbar’s Recovery Scan Tool (FRST) (если все как надо, переносите в открытый)

Хух. Пойду возьму шоколадку.

P.S. Для тех, кто уже знакомился с руководством на англ. ранее - я в конце дописал список изменений. Их за этот месяц было много.

 

[shestale]

 

[regist]

Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчет о лечении FRST, и только затем давать другие программы.

Если вредоносное ПО создает стороннюю запись в BCD, вы увидите следующую строку:

Пример взят из заражения Hijacker.DNS.Hosts:

Для нас привычней Trojan.Win32.Patched.qw разбор этого трояна здесь.

(отключенные элементы msconfig и Диспетчера задач)

добавлю, что при внесение этих записей в фихлист они не будут исправлены автоматически, так что надо самостоятельно редактировать строку и добавлять команду для исправления.

 

[regist]

Нет, именно основные (primary) и расширенные (extended).

я видел что написано в оригинале, но знаю что обычно в этой секции. Так что это не у тебя неправильно переведено, а в оригинале не совсем корректно названо.

Пример можешь привести, что ты туда добавляешь для исправления?
И ты проверял на каких ОС ?

Изначально думал, чтобы ты добавлял примечания переводчика. Но после твоего предыдущего поста подумал, что наверно лучше не искажать и просто снизу допишу дополнение от своего имени. А по этой секции и тому, что записи из MSCONFIG не удаляются, так это он даже сам всегда в логе пишет (в принципе он обычно у тех секции, которые не удаляет не удаляет он там предупреждает, в том числе и про удаление программ). Как именно удалить есть несколько вариантов, даже Ноздря в практике Чинашки их перечислял, хотя лично я всегда использую для них команду такого вида

[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YandexElements]

Заменить моим вариантом? :

замени, но "несколько программ лечения." это тоже не очень то звучит.

А вообще хочу написать, что при заражение руткитом/буткитом лучше (и правильней) использовать антируткиты, в частности TDSSKiller. Единственный плюс FRST это то что его можно в среде восстановления запускать, а вот по антируткитам не уверен.
И он пишет, что при TDL4 может не загрузиться система из-за мусорных записей в BCD, точней TDL4 - кране неудачный пример. Я гарантирую, что конкретно при этом вирусе такого никогда не будет, и вообще он в BCD кажись ничего не пишет (хотя по этой части ручаться не буду, надо бы перепроверить). Максим, что останется после него это мусор в виде неразмеченной части диска, который при при изменение разделов можно будет прикрепить к любому из разделов.

А по остальному хочется всё выверить, надеюсь и остальные тоже напишут свои замечания/пожелания. Тем более я построчно всё не сверяю, на англ. смотрю только те места, которые мне кажется сомнительными в русском. А после того как всё выверим написать им про замеченные нами неточности, дополнения. А заодно уточнить если будут какие-то непонятные (спорные) моменты, например по эффективности удаления расширения.

 

[Dragokas]

Ясно. Это мнение хелпера. И если есть много чего сказать / добавить / детализировать, то тогда лучше действительно после публикации перевода.
Тогда если считаешь правильным, удали пока и примечание про оперу.

 

[regist]

Заметка от себя:

RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD

это если хотите восстановить файл, который исходно был

C:\Users\Someperson\Desktop\ANOTB.exe

____________

Where the malware is still present on the machine there will also be a (hidden) unsigned driver showing in the log like this:

Если вирус все еще присутствует на машине, в логе также будет неподписанный (скрытый) драйвер, отображающийся подобно этому:

... в логе также будет отображён (скрытый) неподписанный драйвер, отображённый подобный этому.
Подчёркнутое именно в таком порядке, потому что неподписанный это не значит скрытый. То есть драйвер будет не подписан и при этом он также может быть и скрыт, а может и нек быть скрытым - поэтому и в скобках. При этом часто пользователи самостоятельно включают этот режим, например чтобы использовать самостоятельно собранный (и поэтому не имеющий легальной цифровой подписи) virtualbox, или просто чтобы использовать патченный драйвер с обходом лицензионной защиты программы.

Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.

Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:

либо просто перетащить и бросить этот ярлык на ClearLNK
И ещё вопрос к Фарбару остался. В статье несколько раз упоминаются постановочные знаки, в примерах используется только звёздочка. Можно ли употреблять какие-либо ещё маски (подстановочные знаки) ?

 

[Dragokas]

И ещё вопрос к Фарбару остался. В статье несколько раз упоминаются постановочные знаки, в примерах используется только звёздочка. Можно ли употреблять какие-либо ещё маски (подстановочные знаки) ?

Стоит спросить. А еще не сказано что функция SearchFiles в обычном режиме охватывает только диск C:

 

[Dragokas]

например

Подправил.

Больше замечаний ни у кого не будет?

 

[Dragokas]

функция SearchFiles

По моим тестам знаки ? нормально воспринимает, в том числе и как подстановочные вместо юникодного символа.
Но вот конкретную папку для поиска задавать нельзя. По остальным директивам и пр. не тестировал.

что-то не видно.

Ааа, въехал. Я оказывается этот кусок вообще потерял при переводе.

Примечание: FRST не трогает файлы ключей реестра, которые загружаются или выполняются. Если вам нужно переместить файлы, перечислите их отдельно, указав полный путь без прочей информации.

Но что-то мне не понравилось как получилось. Т.е. получилось как будто бы не трогает только файлы, которые использует система.
Может подразумевалось что-то вроде файлов загрузочных ключей реестра. (там выше речь шла про AppInit dlls)

 

[regist]

Примечание: FRST не трогает файлы, указанные в ключах реестра, которые загружаются или выполняются. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.

Этот вариант конечно лучше твоего первоначально, но всё-таки думаю лучше так:
Примечание: FRST не трогает файлы которые указаны в этих ключах реестра. Если вам нужно....

 

[Dragokas]

Тогда:
Примечание: FRST не трогает файлы, указанные в ключах автозагрузки.

 

[regist]

: FRST не трогает файлы, указанные в ключах автозагрузки.

как я понял из твоего перевода он их не трогает везде за исключением ключей одноразового запуска. То есть для удаления файла его надо указывать отдельно.

 

[Dragokas]

Я именно так и понял. И честно говоря по-английски как то кривовато написано:

Note: FRST does not touch the files the registry keys are loading or executing.

 

[regist]

Поэтому предлагаю

Примечание: FRST не трогает файлы которые указаны в этих ключах реестра. Если вам нужно....

если ближе к оригиналу, то: FRST не трогает файлы которые загружаются в этих ключах реестра... но думаю не обязательно указывать загружаются, а то будут понимать как автозапуск.

Перечисляет основные и расширенные разделы всех дисков,

и всё-таки я этого не понимаю. Кто-нибудь мне может объяснить какие диски основные, а какие расширенные?

 

[Dragokas]

На 1 жестком диске может быть не более 4 основных (первичных) разделов,
либо 3 основных + 1 расширенный, который может делиться еще на N-е кол-во логических.

Разделы жесткого диска и файловые системы | Русскоязычная документация по Ubuntu
Читать
"Структура диска, разбитого на разделы (MBR)" (пп. 2, 5)
и
"Виды разделов".

 

[regist]

Тогда просто терминология не понятная. Я привык к названиям "Основной" и "Логический" диск, предположу, что и для остальных эти названия более привычны и понятны. А если не понятны, то можно добавить Что такое разделы и логические диски?

 

[Dragokas]

Согласен. В данном случае лучше поменять "расширенный" на "логический".

 

[Dragokas]

Lists machine-wide .exe file association like this:

Перевел так:

Перечисляет ассоциации для файлов EXE, действующие для всей системы, например так:

Может как-то более грамотно связать с HKLM?