Skrypty FRST

[Anonim8]

Chciałem zapytać Picasso, co robi przełącznik F (tak go nazwę). W takim oto skrypciku. Tak sobie studiuję instrukcję z FRST.

Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKLM\SOFTWARE\Google /f

[picasso]

Belfegor to nie jest przełącznik własny FRST, to jest przełącznik polecenia systemowego reg. Uruchom cmd, wklep reg /? oraz inne podskładowe np. reg delete /? i otrzymasz rozbudowaną składnię poleceń z opisem parametrów (/f jest tam wyjaśnione). Jedna uwaga dlaczego ten przełącznik zawsze musi być w komendach: przy jego braku FRST się zapętli.

 

 

 

.

[Anonim8]

Uruchom cmd, wklep reg /?

No wklepałem. Jest piekna lista poleceń. Dziękuję za wyjaśnienie. Jeśli pozwolisz - nie zamykajmy tematu. Od czasu do czasu zadam kolejne pytania. Uczę się FRST. Tak z ciekawości.

 

I teraz mam kolejne pytanie: po wklepaniu reg /? na liście jest polecenie reg /export ? Czy jak podam kluczyk to mi go wyświetli? Sorki za banały.

[picasso]

Polecenie reg export zrzuca do pliku REG. Przykładowa składnia:

 

reg export "HKLM\Wybrany klucz" C:\plik.reg

 

Natomiast bezpośrednie wyświetlanie zawartości danego klucza to reg query:

 

reg query "HKLM\Wybrany klucz"

 

lub rekursywnie:

 

reg query "HKLM\Wybrany klucz" /s

 

 

.

[Anonim8]

wkleiłem takie coś i jest pliczek na dysku C. Fantastyczne

reg export "HKLM\SYSTEM\CurrentControlSet\services\AudioSrv" C:\plik.reg

 

ale pojawia się inne pytanie

 

czy gdybyś chciała uzyskać z poziomu FRST wgląd w taki klucz, to on to przetworzy i poda odpowiednie wartości rejestru. Pytanie czysto teoretyczne.

[picasso]

czy gdybyś chciała uzyskać z poziomu FRST wgląd w taki klucz, to on to przetworzy i poda odpowiednie wartości rejestru. Pytanie czysto teoretyczne.

Nie za bardzo rozumiem pytanie.

- Podałam, że do "drukowania" bezpośrednio w logu FRST zawartości danego klucza służy reg query. To polecenie także dekoduje niektóre wartości przedstawiając je w formie czytelnej, w przeciwieństwie do reg export (ale eksport jest oczywiście idealnie wierny).

- Każda komenda reg musi być poprzedzona w skrypcie dyrektywą własną FRST Reg:, by FRST wiedział, że ma się wykonać polecenie reg.

 

 

.

[Anonim8]

- Podałam, że do "drukowania" bezpośrednio w logu FRST zawartości danego klucza służy reg query. Każda komenda reg musi być poprzedzona w skrypcie dyrektywą własną FRST Reg:, by FRST wiedział, że ma się wykonać polecenie reg.

Bardzo sprytny program. Ja myślałem, że to dotyczy jedynie cmd. A tu mi piękny fixlog sie pojawił z kluczykiem.

[picasso]

FRST ma nieograniczone możliwości w tym zakresie. Ba, Reg: się wykonuje także z poziomu środowiska zewnętrznego WinRE, tylko rzecz jasna trzeba brać poprawki na to, że rejestr w takim środowisku wygląda inaczej niż w działającym Windows. Prócz Reg: jest jeszcze dyrektywa cmd: w której można używać multum komend akceptowanych przez systemowe cmd. Tak więc tutaj nie chodzi o znajomość FRST, tylko o znajomość możliwości Windows. FRST po prostu umożliwia zbiorcze zastosowanie różnych akcji w jednym skrypcie.

 

 

.

[Anonim8]

W takim razie następne pytanie. Oczywiście możesz nie odpowiadać.

 

 

Skoro OTL jest przestarzały > nie pracuje się nad programem, po co prosić o logi z OTL? Z przyzwyczajenia użytkowników? Nie lepiej skasować instrukcję z OTL i zostawić jedynie FRST?

[picasso]

Skoro OTL jest przestarzały > nie pracuje się nad programem, po co prosić o logi z OTL? Z przyzwyczajenia użytkowników? Nie lepiej skasować instrukcję z OTL i zostawić jedynie FRST?

Z kilku względów:

1. Programy pobierają dane w inny sposób. Porównanie wyników tych części, które są skanowane przez oba programy. Alternatywna opinia.

2. Bardzo silna biała lista sterowników i usług w FRST (nie zostanie to zmienione), co oznacza, że by zobaczyć wszystkie wpisy niedomyślne (istotne pod kątem innej diagnostyki niż malware) trzeba wyłączyć Whitelist i robić log z FRST dwa razy albo od razu ogromny log. OTL (mający mniej restrykcyjną białą listę, choć i tak ukrywa pewne rzeczy) pokazuje od razu większą ilość wyników. To mi wystarczy, by nie prosić ponownie o skan FRST zwracający bardzo długą listę serwisów (bo wszystkie wpisy Microsoftu też się ujawnią), której analiza trwa dłużej i przez nieuwagę można pominąć coś.

3. FRST ma o wiele lepsze skany, ale są jednak pewne obszary, których nie sprawdza (i autor nie wprowadzi raczej tego), to uzupełnia OTL:

- Detekcja plików "no company name" niezależnie od czasu ich powstanie. Jeśli są oszukane daty plików, OTL nadal może pokazać pewne rzeczy (w wybranych lokalizacjach), których FRST nie pokaże (ograniczenie do 30 dni, którego nie można zmanipulować)

- Detekcja plików autorun.inf w root wszystkich dysków

- Spis autoryzacji Zapory

- Drobna sprawa z rozszerzeniami IE (menu kontekstowe i pozycje w menu narzędzi), tam malware nie widziane od lat, pobieram te dane raczej pod kątem czyszczenia martwych wpisów legalnych programów.

- Niefiltrowane SearchScopes (w FRST muszę wyłączyć Whitelist). Mając ten spis z OTL wiem co ustawić via FRST jako domyślne.

 

 

 

.

[Anonim8]

Za szybko odpowiadasz. Powinnaś się koncentrować na sprawach ważniejszych niż pytanka Belfegora Ja mogę poczekać. Szkoda tracić czasu nad skryptami.

 

Niemniej, dziękuję za odpowiedź.

 

Bardzo mi się spodobało wyłączenie usługi w jednym z wątków za pomocą FRST. Bajka..

[Anonim8]

Pojedźmy w takim razie dalej mam takie coś w skrypcie (znowu ten cholerny chrome). Co to znaczy Picasso?

 

GroupPolicyUsers\S-1-5-21-2941844871-2282510305-1331822995-1003\User: Group Policy restriction detected <======= ATTENTION

[picasso]

To funkcja dodana niedawno, dlatego pewnie nie ma jej jeszcze w tutorialu. Jestem autorem tej detekcji i korespondującego fiksa. Wykryłam nową metodę blokowania rozszerzeń malware Google Chrome poprzez podrabianie Zasad grup. Conajmniej jeden temat z tym widziałeś, czyli "Media Player" w Google Chrome: KLIK. Ta nowa sztuczka jest wynikiem zmian wprowadzonych w Google Chrome 28, które miały nieco utrudnić malware instalacje: KLIK. Od Google Chrome 28 polityki nie są wczytywane z rejestru tylko wprost z Zasad grup Windows. To oznacza, że te klucze dodane ręcznie nie mają znaczenia (Google ich nie interpretuje):

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction

CHR HKCU\SOFTWARE\Policies\Google: Policy restriction

 

Malware dostosowało się do nowych warunków i zaczęło wstawiać blokady metodą Zasad grup. Zasady grup (do zarządzania służy znana Ci przystawka gpedit.msc) zapisują konfigurację ustawień strony rejestru w plikach Registry.pol:

 

C:\Windows\system32\GroupPolicy\Machine\Registry.pol (konfiguracja komputera)

C:\Windows\system32\GroupPolicy\User\Registry.pol (konfiguracja użytkownika)

 

Standardowo te pliki nie istnieją. Pojawiają się dopiero po skonfigurowaniu polityk via gpedit.msc. FRST ma detekcję obecności plików Registry.pol. Jeśli plik zostanie wykryty:

 

1. FRST wykonuje w nim detekcję polityk Google Chrome. Znalezione są notowane komunikatem:

 

GroupPolicy: Group Policy on Chrome detected

 

2. Jeśli natomiast w Registry.pol (Machine lub User) brak polityk związanych z Google Chrome, jest tylko adnotacja ogólna o obecności pliku wg formuły którą cytujesz. Skutki uboczne / niedopowiedzenia: jako że jest to tylko ogólna detekcja obecności pliku a nie jego zawartości, zawartość pliku jest nieznana i nie wiadomo co za polityki są w środku (ogromna ilość możliwości), czy są poprawne (w rozumieniu celowo wprowadzone) czy wręcz przeciwnie. Tu na forum zgłaszają się użytkownicy z kompami służbowymi lub uwiązanymi w większy zespół, więc polityki na tych systemach mogą być celowym zagraniem administratora. W takich przypadkach nie należy w ciemno usuwać tych wpisów tylko sprawdzić co jest w plikach Registry.pol.

 

 

Przetworzenie tych linii zeruje Lokalne zasady grup wg metody, którą użyłam po raz pierwszy tu w tematach, czyli: usunięcie całego folderu Machine/User z plikiem Registry.pol + pliku GPT.INI. Podklucz History nie jest usuwany z rejestru, jak pierwotnie to robiłam, po usunięciu GPT.INI + restart systemu historia polityk jest czyszczona.

 

 

 

.

[Anonim8]

Tytułem wstepu - dziekuje Ci serdecznie za tak kompleksowe wyjaśnienie tematu.

 

2. Jeśli natomiast w Registry.pol (Machine lub User) brak polityk związanych z Google Chrome, jest tylko adnotacja ogólna o obecności pliku wg formuły którą cytujesz. Skutki uboczne / niedopowiedzenia: jako że jest to tylko ogólna detekcja obecności pliku a nie jego zawartości, zawartość pliku jest nieznana i nie wiadomo co za polityki są w środku (ogromna ilość możliwości), czy są poprawne (w rozumieniu celowo wprowadzone) czy wręcz przeciwnie. Tu na forum zgłaszają się użytkownicy z kompami służbowymi lub uwiązanymi w większy zespół, więc polityki na tych systemach mogą być celowym zagraniem administratora. W takich przypadkach nie należy w ciemno usuwać tych wpisów tylko sprawdzić co jest w plikach Registry.pol.


Przetworzenie tych linii zeruje Lokalne zasady grup wg metody, którą użyłam po raz pierwszy tu w tematach, czyli: usunięcie całego folderu Machine/User z plikiem Registry.pol + pliku GPT.INI. Podklucz History nie jest usuwany z rejestru, jak pierwotnie to robiłam, po usunięciu GPT.INI + restart systemu historia polityk jest czyszczona.

 

 

 

 

 

Ja wiem że tuman jestem, ale zapytam. Objaw jest taki że na google chrome nie otwierają się żadne strony związane z google. Wiem masło maślane. Na innych przeglądarkach nie ma problemu. Czy to google.pl,  czy gmail. Wnioskuje z tego że podanie tych lini w skrypcie przywróci własciwe działanie chrome?

[picasso]

Objaw jest taki że na google chrome nie otwierają się żadne strony związane z google. Wiem masło maślane. Na innych przeglądarkach nie ma problemu. Czy to google.pl, czy gmail. Wnioskuje z tego że podanie tych lini w skrypcie przywróci własciwe działanie chrome?

Ale tu nie została wykryta modyfikacja Google Chrome, w przeciwnym wypadku FRST powinien wyraźnie zaznaczyć, że chodzi o Google Chrome. To ogólna sygnalizacja innych modyfikacji (spoza Google Chrome):

 

GroupPolicyUsers\S-1-5-21-2941844871-2282510305-1331822995-1003\User: Group Policy restriction detected

 

Jak mówiłam: to opcje z gpedit.msc, w tym przypadku strony Konfiguracja użytkownika, czyli to może być cokolwiek (możliwości sporo). Przed jakimkolwiek usuwaniem po prostu otwórz ręcznie plik C:\Windows\system32\GroupPolicyUsers\S-1-5-21-2941844871-2282510305-1331822995-1003\User\Registry.pol w Notatniku lub programie Registry.Pol Viewer Utility, by sprawdzić co tam jest.

 

 

.

[Anonim8]

Przedstawiam zawartość pliku Registry.pol

 

PReg [ S o f t w a r e \ P o l i c i e s \ M i c r o s o f t \ W i n d o w s \ S a f e r ; ; ; ; ] 

 

Edytowałem tego cudoka i chrome działa.

Edytowane 25 Lutego 2014 przez Belfegor

[picasso]

OK.

 

PS. Ale mnie to mimo wszystko dziwi. Widziany tu klucz Safer (związany z restrykcjami oprogramowania) nie tylko nie posiadał żadnych odnośników do Google, on nie posiadał w ogóle składowych czyniących politykę czynną (brak wartości i podkluczy)... Jaki to miałoby mieć związek z ładowaniem stron w Google Chrome, nie wiem. Poglądowo link KLIK ("Storage of Software Restriction Policies Settings").

 

 

 

.

[Anonim8]

PS. Ale mnie to mimo wszystko dziwi. Widziany tu klucz Safer (związany z restrykcjami oprogramowania) nie tylko nie posiadał żadnych odnośników do Google, on nie posiadał w ogóle składowych czyniących politykę czynną (brak wartości i podkluczy)... Jaki to miałoby mieć związek z ładowaniem stron w Google Chrome, nie wiem. Poglądowo link KLIK ("Storage of Software Restriction Policies Settings").

To jest Nas dwoje. Jak mówię, zaproponowałem uzytkownikowi jedynie edycję pliku i =to od razu pomogło. Strona google.pl zaraz sie wyświetliła. Też byłem zdziwiony tym skromnym wpisem. Nie wiem, czy to się da w jakikolwiek sposób powielić, aby sprawdzić rzeczywisty wpływ edycji na zachowanie przeglądarki chrome. Jak mówiłem, problem dotyczył jedynie tej przegladarki.