Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

FRST - Tutorial obsługi Farbar Recovery Scan Tool

Windows 10 Windows 8 Windows 7 Vista XP

  • Zaloguj się, aby dodać odpowiedź
16 odpowiedzi w tym temacie

#1
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

farbarlogo.png

Farbar Recovery Scan Tool

 

Najnowsza wersja dostępna z autoryzowanych stron:

 

Link 1 | Link 2


Farbar Recovery Scan Tool (FRST) jest narzędziem diagnostycznym posiadającym zdolność wykonania przygotowanych skryptów na zainfekowanych przez malware komputerach. Narzędzie działa tak samo dobrze w trybie normalnym jak i awaryjnym, a w przypadku gdy komputer ma problemy z poprawnym uruchomieniem, FRST będzie działać równie efektywnie w Środowisku odzyskiwania Windows (RE).

 

**********************************************************


Informacja o możliwości wsparcia finansowego dla projektu

Jakkolwiek FRST jest darmowy, jest wynikiem wielogodzinnej pracy Farbara. Program zawiera wiele tysięcy linii kodu i jest często aktualizowany. Poza utrzymaniem narzędzia, Farbar poświęca niezliczoną liczbę godzin wspierając osoby pomagające innym na forach oraz ofiary malware. Jeśli uważasz, że FRST jest pomocny i chciałbyś wesprzeć finansowo wysiłki autora, to wystarczy, że klikniesz poniższy przycisk PayPal:
 



paypal.jpg


 
Informacja o tutorialu

Tutorial powstał na bazie współpracy serwisów BC (Bleeping Computer) i G2G (Geeks to Go) - jego oryginalnym autorem jest emeraldnzl, a treść została skonsultowana z Farbarem. emeraldnzl odszedł na emeryturę. Obecnie opieka nad tutorialem i jego aktualizacje są w gestii picasso w konsultacji z Farbarem. Zgoda obojga jest wymagana przed użyciem lub cytowaniem na innych stronach. Uwaga dodatkowa - tutorial ten został oryginalnie utworzony jako zestaw wskazówek dla osób pomagających przy usuwaniu malware na różnych forach.


Tłumaczenia

Francuskie

Niemieckie
Polskie (wykonane przez mgrzeg i picasso)
Rosyjskie


Spis treści

1. Wprowadzenie
2. Domyślne obszary skanowania
3. Skan główny (FRST.txt)

  • Processes (Procesy)
  • Registry (Rejestr)
  • Internet
  • Services (Usługi)
  • Drivers (Sterowniki)
  • NetSvcs
  • One Month Created Files and Folders (Jeden miesiąc - utworzone pliki i foldery) i One Month Modified Files and Folders (Jeden miesiąc - zmodyfikowane pliki i foldery)
  • Files to move or delete (Pliki do przeniesienia lub usunięcia)
  • Some content of TEMP (Niektóre pliki w TEMP)
  • Known DLLs
  • Bamital & volsnap
  • Association (Powiązania plików)
  • Restore Points (Punkty Przywracania systemu)
  • Memory info (Statystyki pamięci)
  • Drives i MBR & Partition Table (Dyski i MBR & Tablica partycji)
  • LastRegBack

4. Skan dodatkowy (Addition.txt)

  • Accounts (Konta użytkowników)
  • Security Center (Centrum zabezpieczeń)
  • Installed Programs (Zainstalowane programy)
  • Custom CLSID (Niestandardowe rejestracje CLSID)
  • Scheduled Tasks (Zaplanowane zadania)
  • Shortcuts & WMI (Skróty & WMI)
  • Loaded Modules (Załadowane moduły)
  • Alternate Data Streams
  • Safe Mode (Tryb awaryjny)
  • Association (Powiązania plików)
  • Internet Explorer trusted/restricted (Internet Explorer - Witryny zaufane i z ograniczeniami)
  • Hosts content (Hosts - zawartość)
  • Other Areas (Inne obszary)
  • MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER - Wyłączone elementy)
  • FirewallRules (Reguły Zapory systemu Windows)
  • Restore Points (Punkty Przywracania systemu)
  • Faulty Device Manager Devices (Wadliwe urządzenia w Menedżerze urządzeń)
  • Event log errors (Błędy w Dzienniku zdarzeń)
  • Memory info (Statystyki pamięci)
  • Drives (Dyski)
  • MBR & Partition Table (MBR & Tablica partycji)

5. Pozostałe skany opcjonalne

  • List BCD (Lista BCD)
  • Drivers MD5 (MD5 sterowników)
  • Shortcut.txt
  • 90 Days Files (Pliki z 90 dni)
  • Search Files (Szukaj plików)
  • Search Registry (Szukaj w rejestrze)

6. Dyrektywy/Polecenia

  • CloseProcesses:
  • CMD:
  • CreateDummy:
  • CreateRestorePoint:
  • DeleteJunctionsInDirectory:
  • DeleteKey: i DeleteValue:
  • DeleteQuarantine:
  • DisableService:
  • EmptyTemp:
  • ExportKey: i ExportValue:
  • File:
  • FilesInDirectory: i Folder:
  • FindFolder:
  • Hosts:
  • ListPermissions:
  • Move:
  • nointegritychecks on:
  • Powershell:
  • Reboot:
  • Reg:
  • RemoveDirectory:
  • RemoveProxy:
  • Replace:
  • Restore From Backup:
  • RestoreErunt:
  • RestoreMbr:
  • RestoreQuarantine:
  • SaveMbr:
  • SetDefaultFilePermissions:
  • StartBatch: — EndBatch:
  • StartPowershell: — EndPowershell:
  • StartRegedit: — EndRegedit:
  • Tasksdetails:
  • testsigning on:
  • Unlock:
  • VerifySignature:
  • VirusTotal:
  • Zip:

Zaufane osoby oraz eksperci, którzy mają odpowiedni dostęp, mogą śledzić na bieżąco postępy przy FRST w wątku dyskusyjnym FRST.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#2
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngWprowadzenie


 
Jedną z zalet FRST jest jego prostota. Został zaprojektowany, aby być przyjaznym użytkownikowi. Linie zawierające odniesienia do zainfekowanych obiektów mogą zostać zidentyfikowane, skopiowane z raportu, wklejone do Notatnika i zapisane. Następnie wystarczy nacisnąć przycisk, a narzędzie wykona resztę. Pozwala to na dużą swobodę, gdy tylko pojawi się nowa infekcja, może zostać zidentyfikowana i włączona do fixa.


Obsługiwane systemy

Farbar Recovery Scan Tool jest przeznaczony do pracy na systemach Windows XP, Windows Vista, Windows 7, Windows 8 oraz Windows 10. Są dwie wersje: 32-bit oraz 64-bit.

FRST64 nie ma zgodności z systemami XP 64-bit.




Zakres diagnostyki

FRST tworzy log pokrywający specyficzne obszary systemów Windows, który może być wykorzystany przy początkowej analizie problemu oraz dostarczy określonych informacji o systemie.

Narzędzie jest nieustannie rozwijane, m.in. pod kątem sukcesywnego dodawania kolejnych etykiet identyfikujących nowe formy malware. W związku z tym narzędzie należy regularnie aktualizować. Jeśli komputer jest podłączony do internetu, FRST przy uruchomieniu automatycznie sprawdzi dostępne aktualizacje. Pojawi się komunikat i najnowsza wersja zostanie pobrana.
 
W przypadku wystąpienia nowej infekcji lub niemożności aktualizacji w wyniku braku połączenia z internetem ekspert musi być na bieżąco z nowościami w obszarze infekcji malware, aby dostatecznie wcześnie zlokalizować gdzie leży problem. Przeciętni użytkownicy, przy trudnościach z identyfikacją problemu na komputerze, powinni szukać pomocy u ekspertów.

Domyślnie, podobnie do innych skanerów, FRST stosuje filtrowanie / whitelisting. Pozwala to uniknąć bardzo długich logów. Jeśli jednak chcesz zobaczyć kompleksowy log, to wystarczy, że odznaczysz odpowiednią opcję w sekcji Whitelist. Bądź przygotowany na bardzo długie logi, które mogą wymagać użycia systemu załączników, by się zmieścić.

  • FRST filtruje domyślne wpisy Microsoft w rejestrze, które powtarzają się na każdym systemie Windows.
  • W przypadku usług i sterowników filtrowanie obejmuje nie tylko domyślne usługi MS, ale także inne legalne (zaufane) usługi i sterowniki.
  • Usługi lub sterowniki bez nazwy firmy nie są filtrowane.
  • Żaden program zabezpieczający (AV lub Firewall) nie jest ukryty.
  • Sterownik SPTD również nie jest wykluczony.

.
 
Przygotowanie do uruchomienia


Upewnij się, że FRST jest uruchomiony z uprawnieniami administratora. Narzędzie działa poprawnie tylko wówczas, gdy zostanie uruchomione z uprawnieniami administratora. Jeśli użytkownik nie ma przywilejów administratora, zobaczysz ostrzeżenie w nagłówku FRST.txt.

W niektórych przypadkach program zabezpieczający może uniemożliwić pełne uruchomienie narzędzia. Zasadniczo nie powinno być problemu, ale miej na uwadze taką ewentualność zablokowania programu podczas próby skanowania. Natomiast podczas naprawy zaleca się wyłączenie programów typu Comodo, które mogą uniemożliwić narzędziu wykonanie jego zadania.

Ogólnym zaleceniem w przypadku infekcji rootkit jest podział zadań, lepiej jest wykonywać naprawy pojedynczo i poczekać na wynik przed uruchomieniem kolejnego narzędzia.

Nie jest konieczne tworzenie kopii bezpieczeństwa rejestru. FRST tworzy taką kopię przy pierwszym uruchomieniu. Backup zapisany jest w %SystemDrive%\FRST\Hives (w większości przypadków C:\FRST\Hives). Więcej szczegółów w opisie dyrektywy Restore From Backup:.
 
FRST ma wbudowane różne tłumaczenia językowe, w tym polskie mojego autorstwa. Jeśli wynikowe logi są w niezrozumiałym dla danego pomocnika języku, istnieje możliwość wymuszenia raportów w języku angielskim. Wystarczy zmienić nazwę pobranego pliku FRST (FRST.exe lub FRST64.exe) dodając słowo English, np. EnglishFRST.exe / FRSTEnglish.exe lub EnglishFRST64.exe / FRST64English.exe. Wynikowy log będzie całościowo w języku angielskim.
 


Uruchamianie FRST

Instrukcja zaleca użytkownikowi pobranie FRST na Pulpit. Stąd wystarczy dwukrotnie kliknąć ikonę FRST, zaakceptować zrzeczenie się gwarancji i uruchomić. Ikona FRST wygląda następująco:




frstdeskicon.png



Należy użyć wersji zgodnej z architekturą systemu użytkownika - wersję 32-bit lub 64-bit. Przy braku pewności w tej kwestii możesz zalecić użytkownikowi pobranie obu i uruchomienie ich. Tylko jedna z nich uruchomi się w systemie, to będzie ta odpowiednia.


 

Gdy FRST zostanie już uruchomiony, użytkownik zobaczy konsolę wyglądającą jak ta:

 

frstconsole.png


Na polskim systemie zostanie wyświetlony polski interfejs:
 

frstconsolepl.png

 
 
 
Przykładowa instrukcja do uruchomienia FRST w trybie normalnym:
 
Instrukcje dla użytkowników fixitpc.pl tutaj.
 
Przykładowa instrukcja do uruchomienia FRST na Vista, Windows 7, Windows 8 i Windows 10 w Środowisku odzyskiwania systemu (RE):
 
Instrukcje dla użytkowników fixitpc.pl tutaj.
 
 
Gdy tylko FRST zakończy skan, pliki tekstowe zawierające wyniki skanu zostaną zapisane w tym samym katalogu, z którego został uruchomiony FRST. Podczas pierwszego i kolejnych uruchomień poza Środowiskiem odzyskiwania systemu (RE) są generowane dwa raporty, FRST.txt oraz Addition.txt.

Kopie logów są zapisywane w %SystemDrive%\FRST\Logs (w większości przypadków będzie to C:\FRST\Logs).
 
 
 
Naprawianie

Instrukcje dla użytkowników fixitpc.pl są dostosowywane do konkretnego przypadku
 

Uwaga, bardzo ważne: Farbar Recovery Scan Tool w trybie skanowania jest nieinwazyjny i nie może wyrządzić szkód w komputerze.

Jednakże FRST jest także bardzo efektywny w wykonywaniu podanych mu instrukcji. Podczas stosowania naprawy (Fix), jeśli zostanie poinstruowany aby usunąć jakiś obiekt, w 99% przypadków to zrobi. I chociaż są pewne wbudowane zabezpieczenia, ich zakres i konstrukcja nie mogą wchodzić w interferencję z usuwaniem infekcji. Użytkownik musi być świadom tego. Niewłaściwie użyte narzędzie (np. poproszone o usunięcie ważnych plików) może sprawić, że system nie wstanie.

Jeśli nie jesteś pewien odnośnie jakiegoś wpisu w raporcie FRST, zawsze zwracaj się do eksperta, który pomoże przygotować skrypt.


 
 
FRST posiada wachlarz poleceń i przełączników, które mogą zostać użyte zarówno do manipulowania procesami komputera, jak i do naprawy zidentyfikowanych problemów.
 
 
 
 
Przygotowanie skryptu:
 
1. Metoda z fixlist.txt - Aby naprawić znalezione problemy, skopiuj linie z raportów FRST i wklej do nowego pliku tekstowego pod nazwą fixlist.txt, zapisanego w tym samym folderze z którego jest uruchamiane narzędzie.

Istotne jest użycie Notatnika. Skrypt naprawy nie zadziała, jeśli zostanie użyty Word lub inny program.


 
2. Metoda z Ctrl+y - FRST posiada skrót klawiaturowy do automatycznego generowania i otwierania pustego pliku do wypełnienia. Uruchom FRST, wciśnij kombinację Ctrl+y by otworzyć plik, wklej skrypt naprawy, wciśnij Ctrl+s by zapisać zmiany.

 

3. Metoda ze schowkiem systemowym -  Wstaw linie przenaczone do naprawy pomiędzy oznaczenia Start:: i End:: jak podane poniżej:
 

Start::
zawartość skryptu
End::

 
Zaleć użytkownikowi skopiowanie całej treści, włącznie ze Start:: i End::, a następnie kliknięcie przycisku Napraw (Fix) w oknie FRST.
 
 
 
 
Unicode (kodowanie znaków):

Przetwarzanie wpisów zawierających znaki Unicode wymusza konieczność zapisania również i skryptu w Unicode, w przeciwnym przypadku znaki Unicode zostaną utracone.


 
Skrót Ctrl+y automatycznie zapisuje plik tekstowy w Unicode. Ale jeśli plik fixlist.txt jest tworzony ręcznie, odpowiednie kodowanie musi być wybrane w Notatniku (jak pokazane poniżej).

Przykład:

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat


Skopiuj i wklej wpisy do otwartego Notatnika, wybierz "Zapisz jako", jako Kodowanie: wybierz UTF-8, wprowadź nazwę fixlist i zapisz.

Przy zapisie standardowym z pominięciem wyboru UTF-8 Notatnik ostrzeże o utracie znaków. Jeśli mimo to będziesz kontynuował i zapiszesz plik, po zamknięciu i ponownym otwarciu otrzymasz:

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat


I FRST nie będzie w stanie przetworzyć wpisów.
 
 
 
Zmanipulowana nazwa użytkownika:
 
Niektórzy użytkownicy zmiekształcają zawartość logów poprzez usunięcie lub podmianę nazwy użytkownika. By zagwarantować przetworzenie poprawnych ścieżek dostępu, możesz podmienić w ścieżkach dostępu potencjalnie zmanipulowane nazwy użytkownika słowem kluczowym CurrentUserName. FRST automatycznie przetłumaczy to słowo kluczowe na odpowiednią nazwę użytkownika.
 

Metoda nie jest obsługiwana w Środowisku odzyskiwania systemu (RE).


 
 
 
By zapobiec zawieszeniu FRST na wiele godzin na skutek błędów skryptów lub innych nieprzewidzianych czynników, czas naprawy jest ograniczony do 40 minut.
 
Elementy przeniesione przez skrypt naprawy są przechowywane w %SystemDrive%\FRST\Quarantine, w większości przypadków będzie to C:\FRST\Quarantine, do momentu wyczyszczenia i usunięcia FRST.

Po szczegółowe informacje o sposobie przygotowania skryptów napraw zajrzyj do poniższych sekcji.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#3
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngDomyślne obszary skanowania

 
Podczas każdego uruchomienia poza Środowiskiem odzyskiwania systemu (RE) są generowane dwa raporty, FRST.txt oraz Addition.txt. Log Addition.txt nie jest generowany, gdy FRST jest uruchomiony w Środowisku odzyskiwania systemu (RE).


Skan uruchomiony w trybie normalnym:
 


Skan główny

Processes (Procesy)
Registry (Rejestr)
Internet
Services (Usługi)
Drivers (Sterowniki)
NetSvcs
One Month Created Files and Folders (Jeden miesiąc - utworzone pliki i foldery)
One Month Modified Files and Folders (Jeden miesiąc - zmodyfikowane pliki i foldery)
Files in the root of some directories (Pliki w katalogu głównym wybranych folderów)
Files to move or delete (Pliki do przeniesienia lub usunięcia)
Some content of TEMP (Niektóre pliki w TEMP)
Some zero byte size files/folders (Niektóre zerobajtowe pliki/foldery)
Bamital & volsnap
LastRegBack

Skan dodatkowy

Accounts (Konta użytkowników)
Security Center (Centrum zabezpieczeń)
Installed Programs (Zainstalowane programy)
Scheduled Tasks (Zaplanowane zadania)
Shortcuts & WMI (Skróty & WMI)
Loaded Modules (Załadowane moduły)
Alternate Data Streams
Safe Mode (Tryb awaryjny)
Association (Powiązania plików)
Internet Explorer trusted/restricted (Internet Explorer - Witryny zaufane i z ograniczeniami)
Hosts content (Hosts - zawartość)
Other Areas (Inne obszary)
MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER - Wyłączone elementy)
FirewallRules (Reguły Zapory systemu Windows)
Restore Points (Punkty Przywracania systemu)
Faulty Device Manager Devices (Wadliwe urządzenia w Menedżerze urządzeń)
Event log errors (Błędy w Dzienniku zdarzeń)
Memory info (Statystyki pamięci)
Drives (Dyski)
MBR & Partition Table (MBR & Tablica partycji)

Skany opcjonalne

List BCD (Lista BCD)
Drivers MD5 (MD5 sterowników)
Shortcut.txt
Addition.txt
90 Days Files (Pliki z 90 dni)

 

Search Files (Szukaj plików)

Search Registry (Szukaj w rejestrze)
 


 
 
Skan uruchomiony w Środowisku odzyskiwania systemu (RE):
 

Skan główny

Registry (Rejestr)
Services (Usługi)
Drivers (Sterowniki)
NetSvcs
One Month Created Files and Folders (Jeden miesiąc - utworzone pliki i foldery)
One Month Modified Files and Folders (Jeden miesiąc - zmodyfikowane pliki i foldery)
Files to move or delete (Pliki do przeniesienia lub usunięcia)
Some content of TEMP (Niektóre pliki w TEMP)
Known DLLs
Bamital & volsnap
Association (Powiązania plików)
Restore Points (Punkty Przywracania systemu)
Memory info (Statystyki pamięci)
Drives (Dyski)
MBR & Partition Table (MBR & Tablica partycji)
LastRegBack

 

Skany opcjonalne

List BCD (Lista BCD)
Drivers MD5 (MD5 sterowników)
90 Days Files (Pliki z 90 dni)

 

Search Files (Szukaj plików)
 


 
 
.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#4
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngSkan główny (FRST.txt)



Nagłówek

Poniżej przykładowy nagłówek:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 20-10-2017
Ran by User (administrator) on DESKTOP-3DJ40NK (21-10-2017 14:15:41)
Running from C:\Users\User\Desktop
Loaded Profiles: User (Available Profiles: User & Administrator)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Language: English (United States)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

 
W polskiej wersji:
 
Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja:20-10-2017
Uruchomiony przez NazwaUżytkownika (administrator)  DESKTOP-3DJ40NK (21-10-2017 14:15:41)
Uruchomiony z C:\Users\NazwaUżytkownika\Desktop
Załadowane profile: NazwaUżytkownika (Dostępne profile: NazwaUżytkownika & Administrator)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Język: Polski (Polska)
Internet Explorer Wersja 11 (Domyślna przeglądarka: FF)
Tryb startu: Normal
Instrukcja obsługi Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

 
Informacje z nagłówka mogą być pomocne:

  • Pierwsza linia wskazuje czy program został uruchomiony w wariancie 32-bit czy 64-bit. Numer wersji FRST również jest pokazany. Numer wersji jest szczególnie ważny. Stara wersja może nie mieć najnowszej funkcjonalności.
  • Druga linia pokazuje jaki użytkownik uruchomił narzędzie i z jakimi uprawnieniami. Może to być ostrzeżenie, czy użytkownik ma odpowiednie uprawnienia. Ta linia pokazuje także nazwę komputera razem z datą i czasem uruchomienia narzędzia. Czasem przez pomyłkę użytkownik załączy starszy log.
  • Trzecia linia mówi skąd został uruchomiony FRST. Jeśli został uruchomiony z innego miejsca niż Pulpit, może mieć to znaczenie przy instrukcjach naprawczych.
  • Czwarta linia informuje które konto użytkownika jest zalogowane, czyli która gałąź rejestru użytkownika została załadowana. W nawiasie "Available profiles" / "Dostępne profile" punktuje dostępne wszystkie standardowe konta użytkowników, włączając te nie załadowane.
  • Piąta linia rejestruje edycję platformy Windows, w tym główne aktualizacje (Wersja i kompilacja Windows 10, "Update" Windows 8.1, dodatek Service Pack Windows 7 i starszych), oraz używany język. Brak najświeższych aktualizacji głównych może być ostrzeżeniem odnośnie potencjalnych problemów aktualizacji.
  • Szósta linia podaje wersję Internet Explorer oraz domyślną przeglądarkę.
  • Siódma linia mówi w jakim trybie został wykonany skan.
  • Ostatnią pozycją jest link do oficjalnego tutoriala.

Odnośnie linii numer cztery: podczas logowania do Windows tylko gałąź rejestru zalogowanego użytkownika zostaje załadowana. Jeśli użytkownik zaloguje się na inne konto bez restartowania systemu (przy udziale opcji "Przełącz użytkownika" lub "Wyloguj"), zostaje załadowana druga gałąź rejestru, lecz pierwsza nie zostaje odładowana. W takiej sytuacji FRST pokaże wpisy rejestru obu kont, lecz nie wylistuje wejść rejestru związanych z innymi kontami, których gałęzie nie zostały załadowane.


 

Nagłówek raportu utworzonego z poziomu Środowiska odzyskiwania systemu (RE) wygląda podobnie, z wyłączeniem informacji "Loaded Profile" / "Załadowane profile", gdyż w RE nie są załadowane standardowe profile kont użytkowników.


 
 
 
Ostrzeżenia które mogą się pojawić w nagłówku:

W przypadku problemów ze startem możesz zobaczyć coś podobnego do:
 
ATTENTION: Could not load system hive.

UWAGA: Nie można załadować gałęzi System.

To informacja o braku gałęzi "system" rejestru. Potencjalnym rozwiązaniem jest przywrócenie gałęzi przy użyciu techniki LastRegBack: (patrz dalej).
 
Default: ControlSet001

Domyślne: ControlSet001

To informacja która z gałęzi CS (ControlSet) jest bieżącą w systemie. W normalnych okolicznościach wiadomość nie jest kluczowa, o ile nie wchodzą w grę przypadki zaawansowanych ręcznych operacji na konfiguracji, która zostanie załadowana podczas następnego bootowania Windows. Na podstawie tej informacji będzie wiadomym która z gałęzi CS jest odpowiednią do edycji. Modyfikacje w innych kopiach CS niż bieżąca nie mają żadnego efektu w systemie.
 
 
.
Processes
Uruchomione procesy
 
Zatrzymywanie uruchomionego procesu może mieć dwa uzasadnienia: wstrzymanie pracy programu zabezpieczającego pod kątem ewentualnej interferencji z naprawą lub zatrzymanie szkodliwego procesu w celu usunięcia powiązanego pliku / folderu.

Aby zatrzymać proces dodaj odpowiednią linię ze skanu FRST. Przykład:
 
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe

 
W pliku Fixlog.txt zostanie nagrany odpowiedni rekord z etykietą Nazwa procesu => process closed successfully / proces pomyślnie zamknięty

W przypadku szkodliwego procesu usuwanie skojarzonego z nim pliku lub katalogu wymaga załączenia każdego elementu z osobna, jak w poniższym przykładzie:
 
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot


 
Registry
Skan rejestru
 
FRST posiada bardzo skuteczny algorytm usuwania kluczy i wartości rejestru. Wszystkie oporne obiekty, zablokowane przy udziale niedostatecznych uprawnień lub znaków null, zostaną skasowane. Klucze zwracające odmowę dostępu zostaną zaplanowane do usunięcia przy restarcie. Jedyne klucze, które nie zostaną usunięte, to klucze nadal chronione przez aktywny sterownik poziomu kernel. Ten szczególny typ kluczy/wartości powinien zostać usunięty dopiero po zdjęciu aktywności sterownika kernel poprzez jego usunięcie lub wyłączenie.
 
Skopiowanie elementów z raportu do skryptu naprawczego spowoduje uruchomienie jednej z dwóch akcji FRST na danym kluczu rejestru:

  • Przywrócenie domyślnej postaci klucza
  • Usunięcie obiektu

Wartości Winlogon (Userinit, Shell, System), LSA, AppInit_DLLs - elementy skopiowane do fixlist.txt zostaną zresetowane do domyślnych wartości Windows.
 

W przypadku wielościeżkowej wartości AppInit_DLLs, gdy tylko jedna ze ścieżek jest szkodliwa, przetworzenie jej za pomocą FRST nie naruszy pozostałych.


 
Nie ma potrzeby wykonania żadnych alternatywnych napraw. To samo odnosi się do niektórych pozostałych istotnych kluczy, które mogą zostać zmodyfikowane przez malware.

FRST nie rusza plików, które są ładowane lub uruchamiane z kluczy rejestru. Pliki do usunięcia, wraz pełną ścieżką bez jakichkolwiek dodatkowych informacji, muszą być wypisane osobno.



Run i Runonce - wpisy skopiowane do fixlist.txt zostaną usunięte z rejestru. Uruchamiane powiązane pliki nie zostaną usunięte. Jeśli chcesz je usunąć, musisz dodać odpowiednie wpisy osobno. Aby usunąć szkodliwy wpis Run razem z plikiem, wpisujesz je w pliku fixlist.txt następująco (pierwsza linia skopiowana bezpośrednio z raportu):
 
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\User\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\User\AppData\Roaming\xF9HhFtI.exe

 
Notify - wejścia dołączone do fixlist.txt są traktowane dwojako, w zależności od typu klucza. Jeśli klucz należy do grupy domyślnych, narzędzie przywróci oryginalną wartość (DllName). Natomiast klucz niestandardowy zostanie usunięty.

Image File Execution Options - wpisy dołączone do fixlist.txt zostaną usunięte.

Startup - wejścia się ujawniają, gdy FRST wykryje plik lub skrót w folderze Startup (Autostart). Jeśli plik jest skrótem, druga linia wylistuje element docelowy skrótu (czyli plik wykonywalny uruchamiany ze skrótu). W celu usunięcia zarówno skrótu jak i pliku docelowego należy załączyć oba wejścia. Przykład:
 
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\User\1800947.exe ()

 

Pierwsza linia usuwa skrót. Druga usuwa plik 1800947.exe. Załączenie tylko drugiej linii spowoduje wprawdzie usunięcie pliku wykonywalnego, lecz z pozostawieniem skrótu w katalogu Startup. Przy następnym uruchomieniu systemu ów skrót, próbujący uruchamiać już nieistniejący program, wygeneruje błąd.


 
Ograniczenia
 
W przypadku malware wykorzystującego technikę Niezaufanych certyfikatów (Untrusted Certificates) lub Zasad zabezpieczeń lokalnych (Software Restriction Policies) zobaczysz linie podobne do tych:

 

HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION [UWAGA]

 
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION [UWAGA]

 
By odblokować programy zabezpieczające, załącz linie tego rodzaju w fixlist.txt.
 

Detekcja Software Restriction Policies jest ogólna i może skutkować oznaczaniem poprawnych wejść stworzonych w celu zabezpieczenia przed infekcjami. Zobacz: How to manually create Software Restriction Policies to block ransomware.


 
FRST wykrywa również Obiekty Zasady grupy (Group Policy Objects) takie jak Registry.pol i Scripts, które mogą być wykorzystywane przez malware. Ograniczenia Google Chrome (patrz dalej na opis Chrome) i Windows Defender zlokalizowane w pliku Registry.pol zostaną zaraportowane z osobna:
 
GroupPolicy: Restriction - Windows Defender <======= ATTENTION

 
GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA

 
Dla innych ograniczeń i skryptów otrzymasz jednak tylko ogólne powiadomienie bez żadnych szczegółów:
 
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

 
GroupPolicy: Ograniczenia ? <======= UWAGA
GroupPolicyScripts: Ograniczenia <======= UWAGA

 
By zresetować Zasady grupy, załącz linie w fixlist.txt. FRST opróżni foldery GroupPolicy i wymusi restart systemu. Przykład:
 
C:\Windows\system32\GroupPolicy\Machine => moved successfully [pomyślnie przeniesiono]
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully [pomyślnie przeniesiono]

 

Ta detekcja jest przystosowana dla standardowego domowego komputera z nieskonfigurowanymi Zasadami grupy i może skutkować oznaczaniem poprawnych wpisów wprowadzonych ręcznie via gpedit.msc.


 
Przywracanie systemu wyłączone przy udziale Zasady grupy zostanie zaraportowane w następujący sposób:
 
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION [UWAGA]

 
Załączenie linii w fixlist skutkuje usunięciem całego klucza (domyślnie nie występuje w systemie).
 

Dodatkowo FRST zgłasza w Addition.txt Przywracanie systemu wyłączone przez użytkownika a nie za pomocą Zasad grupy. W tym przypadku FRST nic nie naprawia. Użytkownik powinien zostać poinstruowany, by włączyć Przywracanie systemu. Brak polityk uniemożliwiających przeprowadzenie operacji.


 
 
.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#5
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngSkan główny (FRST.txt)

 
 
Internet

Poza kilkoma wyjątkami, elementy skopiowane do fixlist.txt zostaną usunięte. Jeżeli wejście rejestru jest skorelowane z plikami/folderami, powiązane pliki/foldery muszą zostać skopiowane osobno do skryptu naprawczego. Nie dotyczy wejść przeglądarek (z wyjątkiem Internet Explorer), sięgnij po poniższe opisy po więcej szczegółów.



Winsock

W raporcie będą pokazane obiekty spoza białej listy. W przypadku załączenia do naprawy wpisu kategorii Catalog5 FRST przeprowadzi jedną z dwóch akcji:

  • Domyślne wejścia szkodliwie zmodyfikowane zostaną przywrócone do domyślnej postaci.
  • Niestandardowe wejścia zostaną usunięte, a ilość wejść w katalogu przeliczona ponownie.

W przypadku naprawy wejść typu Catalog9 zalecaną metodą jest wykorzystanie "netsh winsock reset". Jeśli nadal będzie istniała konieczność naprawy niestandardowych wpisów Catalog9, mogą zostać załączone w skrypcie, a FRST je usunie i przeliczy ponownie wejścia w katalogu.

Uszkodzony łańcuch Winsock uniemożliwi maszynie połączenie z Internetem.



Brak dostępu do internetu z powodu wybrakowanych wpisów Winsock zostanie zgłoszony w logu następująco:

Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION

 
Winsock: -> Catalog5 - Uszkodzony dostęp do internetu z powodu brakującego wejścia. <===== UWAGA
Winsock: -> Catalog9 - Uszkodzony dostęp do internetu z powodu brakującego wejścia. <===== UWAGA


Aby naprawić tę usterkę, wystarczy dodać do fixlist.txt w/w wpisy.

W przypadku infekcji ZeroAccess możemy otrzymać log jak poniżej:

Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll => No File
Winsock: Catalog9 02 mswsock.dll => No File
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll => No File
Winsock: Catalog9-x64 02 mswsock.dll => No File

 

Winsock: Catalog5 01 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll => Brak pliku
Winsock: Catalog9 02 mswsock.dll => Brak pliku
Winsock: Catalog5-x64 01 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll => Brak pliku
Winsock: Catalog9-x64 02 mswsock.dll => Brak pliku


Gdy wpisy zostaną umieszczone w fixlist, FRST zresetuje wpisy Catalog5, lecz przy problematycznych wpisach Catalog9 zakomunikuje, by użyć "netsh winsock reset" do rozwiązania problemu. Kompletny skrypt mógłby wyglądać następująco:

Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset

 

Winsock: Catalog5 01 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset


Zwróć uwagę na polecenie cmd: netsh winsock reset umieszczone w skrypcie naprawy. Fixlog wygenerowany po powyższym skrypcie naprawy może wyglądać następująco:

Winsock: Catalog5 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5-x64 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)

========= netsh winsock reset =========

"Successfully reset the Winsock Catalog. You must restart the computer in order to complete the reset."

========= End of CMD: =========

 

Winsock: Catalog5 000000000001\\LibraryPath => pomyślnie przywrócono (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5 000000000006\\LibraryPath => pomyślnie przywrócono (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 000000000001\\LibraryPath => pomyślnie przywrócono (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5-x64 000000000006\\LibraryPath => pomyślnie przywrócono (%SystemRoot%\System32\mswsock.dll)

========= netsh winsock reset =========

"Pomyślnie zresetowano Winsock Catalog. Musisz ponownie uruchomić komputer, aby ukończyć resetowanie."

========= Koniec CMD: =========


W pewnych sytuacjach polecenie netsh winsock reset może nie zadziałać. Gdy tak się stanie, użytkownik powinien uruchomić ponownie komputer i powtórzyć skrypt cmd: netsh winsock reset.




hosts

W przypadku, gdy w pliku Hosts są niestandardowe wpisy, w logu FRST.txt w sekcji Internet pojawi się linia o treści:

Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt

 
Hosts: W pliku Hosts jest więcej niż jedno wejście. Sprawdź sekcję Hosts w Addition.txt


Jeśli plik hosts nie zostanie wykryty, pojawi się wpis zawiadamiający o niemożności jego wykrycia:

Hosts: Hosts file not detected in the default directory

 
Hosts: Nie znaleziono pliku Hosts w domyślnym katalogu


Aby zresetować plik, wystarczy skopiować i wkleić linię do fixlist.txt i hosts zostanie zresetowany. W Fixlog.txt pojawi się linia potwierdzająca reset.


Tcpip i pozostałe wejścia

Te wejścia dołączone do fixlist.txt zostaną usunięte.



W przypadku modyfikacji StartMenuInternet dla IE, FF, Chrome i Opera domyślne wartości będą ukryte na białej liscie. Ich widoczność w logu FRST oznacza niedomyślną ścieżkę w rejestrze. Należy zanalizować czy jest ona poprawna, czy też szkodliwie zmodyfikowana. Niepoprawny wpis można dołączyć do fixlist, a domyślna wartość rejestru zostanie przywrócona.




Internet Explorer:
=================


Strony przeglądarki (strona startowa, etc.), SearchScopes (dostawcy wyszukiwania) oraz pozostałe wejścia nie powiązane z plikami/folderami: w zależności od typu obiektu, FRST skasuje elementy z rejestru lub przywróci ich domyślną postać.

 

Przykład:
 

HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}

 
URLSearchHooks, BHO, Toolbar, Handler i Filter mogą zostać skopiowane do fixa, a wynikowo powiązane wpisy rejestru zostaną usunięte. Towarzyszące pliki/foldery muszą być wpisane osobno, jeśli mają zostać usunięte.

 

Przykład:
 

BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz

 
 
 
Edge:
======


FRST wykrywa HomeButtonPage (przycisk strony domowej na pasku kierujący do niedomyślnej strony), Session Restore (aktywne przywracanie poprzedniej sesji) i Extensions (zainstalowane rozszerzenia):
 
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> is enabled. [funkcja włączona]
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]

 
Załącznie wejść HomeButtonPage i Session Restore w fixlist.txt spowoduje ich usunięcie z rejestru.
 
Załączenie wejść typu Extension w fixlist.txt spowoduje usunięcie klucza z rejestru oraz przesunięcie powiązanego folderu.
 
 
Firefox:
========


FRST listuje klucze FF w rejestrze oraz profile na dysku (o ile obecne), niezależnie od tego czy przeglądarka jest zainstalowana. W przypadku układu z wieloma profilami Firefox lub klonów Firefox FRST wykrywa preferencje, user.js, Extensions (rozszerzenia) i SearchPlugins (wyszukiwarki) we wszystkich profilach. Niestandardowe profile wprowadzone przez adware są oznaczane.
 
Preferencje: wklejenie linii do fixlist.txt spowoduje usunięcie wartości. Przy następnym uruchomieniu Firefox lub klon Firefox przywróci domyślne ustawienia. Wpisy wprowadza się przeklejając linie bezpośrednio z raportu, np.:
 
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T

 
FRST weryfikuje podpisy cyfrowe dodatków. Brak sygnatury zostanie oznaczony etykietą Not signed / Brak podpisu cyfrowego:
 
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [not signed]

 
Extensions (dodatki/rozszerzenia) i Plugins (wtyczki): wpisy mogą być wprowadzane bezpośrednio z raportu do fixlist i elementy zostaną usunięte. Dla obiektów zapisanych na poziomie rejestru powiązane wejście rejestru zostanie usunięte, zaś skorelowany plik/folder przesunięty (przykłady poniżej).
 
Przykład dla rozszerzeń:
 
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\User\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\User\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]

 
Przykład dla wtyczek:

fixlist content [zawartość]:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************

HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => key removed successfully [klucz pomyślnie usunięto]
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => moved successfully [pomyślnie przeniesiono]
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => key removed successfully [klucz pomyślnie usunięto]
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => not found [nie znaleziono]



Chrome:
=======


FRST listuje klucze Chrome w rejestrze oraz profile na dysku (o ile obecne), niezależnie od tego czy przeglądarka jest zainstalowana. W przypadku układu z wieloma profilami FRST odczytuje ostatnio używany i listuje jego preferencje. Extensions (rozszerzenia) są wykrywane we wszystkich profilach. Niestandardowe profile wprowadzone przez adware są oznaczane.
 
Skan preferencji uwzględnia zmodyfikowane wartości HomePage i StartupUrls, włączone Session Restore oraz niektóre parametry niestandardowego domyślnego dostawcy wyszukiwania:
 
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> is enabled. [funkcja włączona]

 
Załączenie wejść HomePage i StartupUrls w fixlist.txt spowoduje ich usunięcie. Natomiast przetworzenie pozostałych wpisów skutkuje częściowym resetem Chrome i użytkownik zobaczy na stronie ustawień Chrome następujący komunikat: "Chrome detected that some of your settings were corrupted by another program and reset them to their original defaults" / "Przeglądarka Chrome wykryła, że niektóre z jej ustawień zostały zmodyfikowane przez inny program, i przywróciła im pierwotne wartości domyślne".

 

FRST wykrywa również przekierowania nowej karty (New Tab) kontrolowane przez rozszerzenia. W celu usunięcia przekierowań, zidentyfikuj pasujące rozszerzenie (o ile istnieje) i poprawnie je odinstaluj przy udziale opcji Chrome (popatrz poniżej).

 

CHR NewTab: Default ->  Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

 

[Wyszukaj wspólny identyfikator w liniach CHR NewTab i CHR Extension. W przykładzie jest to algadicmefalojnlclaalabdcjnnmclc.]

 

 

FRST nie jest w stanie usunąć rozszerzenia. Rozszerzenie nadal będzie widoczne na liście rozszerzeń, a powiązany folder zostanie odtworzony przez Chrome. Z tego też powodu linie CHR Extension są ignorowane w skrypcie naprawy, zamiennie użyj narzędzia własne przeglądarki do pełnej deinstalacji rozszerzenia:

Wpisz chrome://extensions w pasku adresów i wciśnij Enter.
Kliknij ikonkę kosza zlokalizowaną przy rozszerzeniu, które ma być usunięte.
Pojawi się dialog potwierdzający, wybierz Usuń.

 

 
Wyjątkiem jest instalator rozszerzenia zlokalizowany w rejestrze. Załączenie wejścia w fixlist.txt spowoduje usunięcie klucza oraz powiązanego pliku (jeśli znaleziony):
 

fixlist content [zawartość]:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <not found> [nie znaleziono]
*****************

"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => key removed successfully [klucz pomyślnie usunięto]
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => moved successfully [pomyślnie przeniesiono]
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => key removed successfully [klucz pomyślnie usunięto]

 
Adware może utylizować Zasady grupy (Group Policy) do zablokowania rozszerzeń lub innych funkcji przeglądarki:
 
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

 
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA

 
Zobacz wcześniejszy opis Group Policy Objects w sekcji Rejestr.
 
 
CHR dev: Chrome dev build detected! <======= ATTENTION

 
CHR dev: Chrome dev build wykryto! <======= UWAGA

 
Komunikat sygnalizuje obecność Google Chrome typu "development" (wersja eksperymentalna bez limitacji ograniczającej instalację rozszerzeń do Chrome Web Store). Prawdopodobnie adware w trybie cichym przekształciło typ przeglądarki, o ile użytkownik samodzielnie nie zainstalował takiej wersji. FRST nie naprawia tej usterki. Komunikat wskazuje, iż po usunięciu adware z systemu jest wymagana reinstalacja przeglądarki Google Chrome i zastąpienie jej standardową stabilną wersją.
 
 
Opera:
=======


FRST listuje klucze Opery w rejestrze oraz profil na dysku (o ile obecne), niezależnie od tego czy przeglądarka jest zainstalowana.
 
Obecnie skan Opery jest ograniczony do StartMenuInternet, StartupUrls, przywracania sesji i rozszerzeń:

OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> is enabled. [funkcja włączona]
OPR Extension: (iWebar) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

 
StartupUrls i Session Restore - załączenie wejścia w fixlist.txt usunie wejścia

Extension (Rozszerzenia) - załączenie wejścia w fixlist.txt spowoduje usunięcie rozszerzenia z dysku.

 

Rozszerzenie nie będzie już aktywne, ale nie zostanie usunięte z listy rozszerzeń przeglądarki i będzie nadal widoczne w opcjach. Pełna deinstalacja rozszerzenia odbywa się przy udziale narzędzi własnych Opera:
 
Wpisz chrome://extensions w pasku adresów i wciśnij Enter.
W celu usunięcia wybranych rozszerzeń posłuż się ikoną X zlokalizowaną przy każdym obiekcie i zatwierdź OK.



 

Przeglądarki nie wskazywane w logu najlepiej w całości odinstalować, po czym uruchomić ponownie komputer i ponownie zainstalować.



 
.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#6
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngSkan główny (FRST.txt)

 
 

Services - Drivers
Usługi - Sterowniki
 
Usługi i sterowniki są sformatowane w następujący sposób:

StatusUruchomienia TypStartu NazwaUsługi; ImagePath lub ServiceDll [Rozmiar DataUtworzenia] (NazwaProducenta)


StatusUruchomienia - litera przed liczbą odpowiada aktualnemu stanowi uruchomienia:

R=Running (Uruchomiony)
S=Stopped (Zatrzymany)
U=Undetermined (Nieokreślony)

TypStartu - identyfikowany numerami:

0=Boot
1=System
2=Auto (Automatyczny)
3=Demand (Ręczny)
4=Disabled (Wyłączony)
5=Przypisany przez FRST w przypadku, gdy nie można określić typu startu
 

 
[X] zlokalizowany na końcu linii oznacza, że FRST nie potrafił odznaleźć powiązanego z daną usługą/sterownikiem pliku i w zamian jest pokazana ścieżka ImagePath lub ServiceDll w całościowej formie widzianej w rejestrze.
 
 
Dla tych sekcji FRST prowadzi skan pod kątem wielu znanych infekcji oraz weryfikuje podpisy cyfrowe plików. Plik pozbawiony cyfrowej sygnatury zostanie oznaczony etykietą File not signed / Brak podpisu cyfrowego. Przykład:
 
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]


Nie podpisany cyfrowo plik Microsoftu wymaga podmiany przy udziale poprawnej kopii. Skorzystaj z komendy Replace:, by naprawić plik.

Weryfikacja podpisów cyfrowych nie jest dostępna z poziomu Środowiska odzyskiwania systemu (RE).


 
W celu usunięcia szkodliwej usługi lub sterownika należy skopiować linię z raportu do pliku fixlist.txt. Powiązany plik powinien zostać dodany osobno. Przykład:
 
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig


Narzędzie zatrzymuje każdą usługę, której wpis jest umieszczony w fixlist.txt i usuwa klucz usługi.

 

FRST zgłosi (nie)powodzenie zatrzymywania uruchomionych usług. FRST próbuje daną usługę usunąć, niezależnie od tego czy zostanie ona zatrzymana. W sytuacji gdy jest usuwana usługa uruchomiona, FRST poinformuje użytkownika o ukończeniu naprawy i konieczności ponownego uruchomienia. Następnie FRST zrestartuje system. W pliku Fixlog ujrzysz końcową linię korespondującą do wymogu restartu. Jeżeli usługa nie jest uruchomiona, FRST usunie ją bez wymuszania restartu.


 
Są dwa wyjątki gdy usługa nie zostanie usunięta lecz naprawiona. Dotyczy to usług Themes (Kompozycje) i Windows Management Instrumentation (Instrumentacja zarządzania Windows) zmanipulowanych przez malware:

 

S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION [UWAGA]

 
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)


Załączenie wejść w fixlist spowoduje przywrócenie ich domyślnej postaci.

 
 
Jeśli FRST nie jest w stanie uzyskać dostępu do usługi, pojawi się następujący odczyt:
 

"1b36535375971e1b" => service could not be unlocked. <===== ATTENTION

 
"1b36535375971e1b" => serwis nie został odblokowany. <===== UWAGA


Ten rodzaj komunikatu może odbijać modyfikacje rootkit lub uszkodzenia rejestru. Identyfikacja i rozwiązanie problemu wymaga pomocy eksperta.
 
 
NetSvcs

Znane autoryzowane wpisy są na białej liście. Podobnie do pozostałych obszarów skanowanych opierających się o białe listy, to nie znaczy, że wpisy pojawiające się w FRST.txt są szkodliwe, a tylko że powinny zostać sprawdzone.

Wpisy NetSvc listowane są w osobnych liniach, jak poniżej:
 
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> No File [Brak pliku]
NETSVC: WUSB54GCSVC -> No Filepath [Brak ścieżki do pliku]

 
Pierwszy wpis ma etykietę infekcji ====> ZeroAccess i należy się nim zająć.

Drugi wpis oznacza, że w rejestrze znajduje się wartość ServiceDll powiązana z usługą pMgt, ale brakuje pliku.

Trzeci wpis oznacza, że usługa WUSB54GCSVC nie ma wartości ServiceDll w rejestrze. Drugi i trzeci wpis są pozostałościami.

Załączenie linii NETSVC usuwa jedynie powiązaną wartość z rejestru. Skojarzona usługa powinna zostać osobno dodana do usunięcia.



Przyjrzyjmy się poniższemu przykładowi. W raporcie FRST w sekcji Services / Usługi znajduje się usługa skojarzona z wpisem NETSVC, prezentowana w ten sposób:
 
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess

 
Do usunięcia wartości Netsvc, skojarzonej usługi w rejestrze oraz pliku DLL należałoby wykorzystać następujący skrypt:
 
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
C:\Windows\System32\smcservice.dll


.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#7
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngSkan główny (FRST.txt)

 
 
One Month Created Files and Folders - One Month Modified Files and Folders
Pliki i Katalogi utworzone w ciągu ostatniego miesiąca - Pliki i Katalogi zmodyfikowane w ciągu ostatniego miesiąca

Pierwszy skan raportuje datę i czas utworzenia pliku lub katalogu jako pierwszą pozycję, zaś datę i czas ostatniej modyfikacji na drugim miejscu. Drugi skan pokazuje odwrotną kolejność, tzn. data i czas modyfikacji są na pierwszym miejscu, a data i czas utworzenia na drugim. Rozmiar (w bajtach) pliku również jest pokazany. W przypadku folderu będzie to 00000000, gdyż folder jako taki ma zero bajtów.
 

Skan jest ograniczony do wybranych predefiniowanych lokalizacji, w celu uniknięcia długiego czasu skanowania i bardzo długich logów. Ponadto, FRST tylko wylicza niedomyślne foldery, lecz nie ich zawartość. By sprawdzić zawartość takich folderów, skorzystaj z dyrektywy Folder:.


 
 

FRST dodaje oznaczenia atrybutów do określonych wejść w raporcie:
 
C - Compressed (Skompresowany)
D - Directory (Katalog)
H - Hidden (Ukryty)
L - Symbolic Link (Link symboliczny)
N - Normal (Zwykły - nie ma ustawionych innych atrybutów)
O - Offline
R - Readonly (Tylko do odczytu)
S - System (Systemowy)
T - Temporary (Tymczasowy)
X - No scrub (Wykluczony ze skanu integralności danych - wsparcie w Windows 8+)


 
W celu usunięcia pliku lub folderu z listy z ostatniego miesiąca wystarczy skopiować i wkleić całą linię do fixlist.txt, jak poniżej:

2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys


Listowanie atrybutu L (Link symboliczny) jest szczególnie pomocne w przypadku rozpoznawania katalogów utworzonych przez infekcję ZeroAccess. Przykład:
 
2013-07-14 18:17 - 2013-07-14 18:17 - 00000000 ___DL C:\Windows\system64

 
Przed załączeniem do usunięcia tego rodzaju folderów należy wykorzystać dyrektywę DeleteJunctionsInDirectory: ŚcieżkaFolderu (może zostać użyta w dowolnym trybie). Przykład:

DeleteJunctionsInDirectory: C:\Windows\system64

 
Inne pliki/foldery można usunąć wpisując korespondującą ścieżkę w fixlist.txt, nie ma potrzeby dodawania cudzysłowów w ścieżce zawierającej spację:
 
C:\Windows\System32\Drivers\szkodnik.sys
C:\Program Files (x86)\Szkodnik


Do zbiorowego usunięcia plików z podobnymi nazwami można wykorzystać symbol wieloznaczny * w skrypcie. Możesz zatem wypisać wszystkie pliki po kolei:
 
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

... lub uprościć:
 
C:\Windows\Tasks\At*.job

 

Znak pytajnika "?" jest ignorowany ze względów bezpieczeństwa, niezależnie od tego czy to znak wieloznaczny czy też substytut znaków Unicode (popatrz do opisu "Unicode" w sekcji Wprowadzenie). Znaki wieloznaczne nie są też obsługiwane dla folderów.




Files to move or delete
Pliki do przeniesienia lub usunięcia
 
Pliki wyliczane w tej sekcji albo są szkodliwe, albo są w niewłaściwej lokalizacji.

Przykładami nieszkodliwych autoryzowanych plików "do przeniesienia" są te które zostały pobrane przez użytkownika i umieszczone katalogu użytkownika. Innym przykładem jest sytuacja, gdy autoryzowane oprogramowanie firmy trzeciej przechowuje jeden ze swoich plików w katalogu użytkownika. To jest zła praktyka w przypadku dowolnego dostawcy oprogramowania i te pliki powinny zostać przeniesione nawet wówczas, gdy są autoryzowane. Zostało odnotowanych wiele infekcji ukrywających swoje sfabrykowane pliki (przypominające autoryzowane, ale będące jednak malware) w tym katalogu i uruchamiane stamtąd.

Przetwarzanie w skrypcie plików/folderów z tej sekcji wygląda tak samo jak w przypadku omawianej już sekcji "One Month".
 
 
Some content of TEMP
Wybiórcza zawartość folderu Temp użytkownika

Jest to nierekursywny skan ograniczony do konkretnych rozszerzeń plików, którego celem jest wstępna identyfikacja obecności pliku malware w głównym katalogu Temp. Sekcja nie jest widoczna, jeśli brak plików spełniających warunki tego wyszukiwania. Nie oznacza to jednak, że folder Temp jest pusty lub wolny od malware (np. malware może występować w podfolderze nie skanowanym przez FRST), tylko po prostu brak wyników odpowiadających tym szczególnym parametrom wyszukiwania. Do kompleksowego czyszczenia plików temp opcją jest wykorzystanie komendy EmptyTemp:.


Known DLLs
Tzw. "znane biblioteki"
 
Określone elementy z tej sekcji mogą powodować problemy z uruchomieniem systemu jeśli ich brak, są zmodyfikowane lub uszkodzone. W związku z tym ten skan pojawia się tylko, gdy narzędzie zostaje uruchomione w trybie Środowiska odzyskiwania systemu (RE).

Wpisy są ukryte na białej liście poza przypadkami gdy wymagają sprawdzenia.

Wymagana jest szczególna ostrożność w obchodzeniu się z elementami zidentyfikowanymi w tej sekcji. Widoczność określonego wpisu systemowego oznacza brak lub modyfikację pliku. Wskazana jest pomoc eksperta, aby mieć pewność, że problematyczny plik jest poprawnie zidentyfikowany i zostanie przetworzony w odpowiedni sposób. W większości przypadków w systemie znajduje się poprawny zamiennik, który może zostać znaleziony przy użyciu funkcji Search Files / Szukaj plików. Zajrzyj do sekcji Dyrektyw (by dowiedzieć się jak zamienić plik) oraz Pozostałe skany opcjonalne (by dowiedzieć się jak przeprowadzić wyszukiwanie).




Bamital & volsnap
 
Pierwotnie sekcja dedykowana wykrywaniu infekcji Bamital i volsnap, obecnie rozszerzona o detekcje innych anomalii.
 
1. Zmodyfikowane pliki systemowe to ostrzeżenie o prawdopodobnej infekcji malware. Po zidentyfikowaniu infekcji należy zachować ostrożność przy akcji naprawczej oraz skorzystać ze wsparcia eksperta, gdyż usunięcie pliku systemowego może spowodować, że system nie uruchomi się.
 
Jeśli plik nie jest podpisany cyfrowo, zamiennie zostaną pokazanie jego właściwości. Przykład infekcji Hijacker.DNS.Hosts:
 
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

 
W tej sytuacji plik musi zostać podmieniony poprawną kopią. Skorzystaj z komendy Replace:.
 

Weryfikacja podpisów cyfrowych nie jest dostępna z poziomu Środowiska odzyskiwania systemu (RE).



2. FRST sprawdza katalog %SystemDrive%\Windows\system32\drivers i listuje zablokowane lub zerobajtowe pliki (oba typy oznaczane jako "0-byte MD5").  Przykład infekcji SmartService:
 
C:\WINDOWS\system32\drivers\vdhmqtwa.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= ATTENTION [UWAGA]

 

Losowe sterowniki tej infekcji rootkit są ukryte i z poziomu trybu normalnego nie będą wykryte w sekcji Drivers/Sterowniki. W celu usunięcia sterowników i zablokowanych plików skorzystaj z trybu Recovery lub innego narzędzia o właściwościach anti-rootkit.


 
Niektóre warianty infekcji SmartService wyłączają dostęp do trybu Recovery. FRST automatycznie odkręca tę modyfikację BCD już podczas skanowania:
 
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully [pomyślnie przywrócono]

 
3. W przypadku modyfikacji BCD wykonanej przez malware zobaczysz następującą linię:
 
TDL4: custom:26000022 <===== ATTENTION [UWAGA]

 
Ten niestandardowy wpis w BCD, jeśli przy usuwaniu infekcji typu bootkit zostanie ominięty, może uniemożliwić uruchomienie systemu. Jeśli linia zostanie dołączona w fixlist, niestandardowy wpis malware zostanie usunięty z BCD i domyślna wartość zostanie przywrócona.

 

4. Najbezpieczniejszy sposób uruchomienia systemu w Trybie awaryjnym polega na użyciu klawisza F8 (Windows 7 i starsze systemy) lub opcji Uruchamianie zaawansowane (Windows 10 i Windows 8). Niekiedy użytkownicy używają "Narzędzie konfiguracji systemu" (msconfig) aby wystartować w Trybie awaryjnym. W przypadku, gdy Tryb awaryjny jest uszkodzony, komputer jest zablokowany i system nie uruchomi się w trybie normalnym, ponieważ został skonfigurowany do startu w Trybie awaryjnym. W takim przypadku zobaczysz:
 

safeboot: ==> The system is configured to boot to Safe Mode <===== ATTENTION

 
safeboot: ==> Ustawiony trwały rozruch w Trybie awaryjnym <===== UWAGA

 
Aby naprawić ten problem, dodaj powyższą linię do fixlist. FRST ustawi normalny tryb jako domyślny i system wyjdzie z pętli.

Dotyczy tylko systemu Vista i nowszych systemów Windows.



.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#8
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.png Skan główny (FRST.txt)

 
 
Association
Powiązania plików

Sekcja pojawi się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt. Skan w Środowisku odzyskiwania systemu (RE) jest ograniczony do rozszerzenia .exe.


 
Wylicza zmodyfikowane globalne skojarzenie plików .exe, podobne do tego odczytu:

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION [UWAGA]


Tak jak w przypadku innych wpisów rejestru, wystarczy że skopiujesz i wkleisz problematyczne wpisy do pliku fixlist.txt, a zostaną przywrócone do domyślnej postaci. Nie ma potrzeby stosowania dodatkowych napraw rejestru.


Restore Points
Punkty Przywracania systemu
 

Sekcja pojawi się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt.


 

Tylko w Windows XP mogą zostać przywrócone gałęzie rejestru przy użyciu FRST. Punkty przywracania w Vista oraz nowszych systemach powinny być przywracane z poziomu Środowiska odzyskiwania systemu (RE) przy użyciu stosownych opcji.



Aby naprawić system XP korzystając z jednego z punktów przywracania, dodaj linię tego punktu przywracania w skrypcie fixlist.txt. Przykładowy spis punktów przywracania XP:
 
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

 
Aby przywrócić gałęzie z punktu przywracania 82 (datowanego na 2010-10-24), wystarczy skopiować i wkleić do fixlist.txt linię:
 
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82


By przywrócić z kopii zapasowej utworzonej przez dany program (gałęzie zapisane przez FRST, ERUNT lub CF) na systemie Vista i nowszym, zajrzyj do sekcji Dyrektyw w tym tutorialu.


Memory info
Statystyki pamięci

Sekcja pojawi się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt.


 
Wskazuje ile pamięci RAM (Random Access Memory) jest zainstalowane w komputerze wraz z informacją o ilości dostępnej pamięci fizycznej i procentowo dostępnej pamięci. Czasem pozwala to wyjaśnić zachowanie komputera. Na przykład wykazana liczba może różnić się od tej, którą użytkownik uważa za obecną w systemie. Wskazanie RAM może być niższe, niż to, które jest aktualnie w systemie. Tak się może stać w przypadku, gdy komputer nie ma dostępu do całej pamięci, którą ma zainstalowaną. W skład możliwości wchodzą: uszkodzone kości RAM, problem ze slotami na płycie głównej, lub czynnik nie pozwalający BIOSowi na rozpoznanie jej (np. BIOS może wymagać aktualizacji).
W przypadku systemów 32-bit z większą, niż 4GB ilością pamięci, maksymalną zaraportowaną ilością będzie tylko 4GB. To jest ograniczenie dla 32-bitowych aplikacji.
 
Są również podane informacje o procesorze, pamięć wirtualna oraz dostępna pamięć wirtualna.
 
 
Drives - MBR & Partition Table
Dyski - MBR & Tablica partycji

Sekcje pojawią się w logu FRST.txt w przypadku, gdy FRST zostanie uruchomiony ze Środowiska odzyskiwania systemu (RE). Jeśli FRST zostanie uruchomiony poza tym środowiskiem, sekcja ta pojawi się w Addition.txt.



Lista podstawowych oraz rozszerzonych partycji w systemie, włącznie z ich rozmiarem oraz ilością wolnego miejsca. Informacja o dyskach przenośnych podłączonych do komputera podczas skanu również jest zawarta w logu.
Kod MBR (Master Boot Record) jest listowany.
 

ATTENTION: Malware custom entry on BCD on drive Dysk: detected. Check for MBR/Partition infection.

 
Przy obecności powyższego wpisu, podobnie jak w przypadku innych skomplikowanych infekcji, zalecana jest pomoc eksperta przy znalezieniu poprawnego rozwiązania. Błędny krok w tym miejscu sprawi, że system nie będzie się uruchamiał.

Niekiedy w innych partiach raportu FRST pojawią się etykiety infekcji malware, które wskażą rozwiązanie. W innych przypadkach konieczna może być naprawa przy wykorzystaniu komendy uruchomionej z poziomu Środowiska odzyskiwania systemu (RE). Zajrzyj do sekcji Dyrektyw w tym tutorialu.

Przy sygnałach, że jest coś nie w porządku z MBR, stosownym krokiem jest jego skontrolowanie. Należy przygotować zrzut MBR do analizy. Uruchom następujący skrypt w dowolnym trybie FRST:
 
SaveMbr: drive=0 (lub inny odpowiedni numer dysku)

 
Po wykonaniu tego polecenia zostanie utworzony plik MBRDUMP.txt w miejscu, z którego został uruchomiony FRST/FRST64.

O ile zrzut MBR może zostać wykonany zarówno w Trybie normalnym jak i Środowisku odzyskiwania systemu (RE), niektóre infekcje MBR są zdolne zmanipulować zrzut MBR w momencie, gdy Windows jest uruchomiony. Wówczas najlepiej wykonać taki zrzut w Środowisku odzyskiwania systemu (RE).




LastRegBack
Ostatnia kopia rejestru utworzona przez system

FRST wyszukuje i listuje ostatnią kopię bezpieczeństwa rejestru utworzoną przez system. Kopia ta zawiera wszystkie gałęzie rejestru i znacznie różni się od kopii Ostatnia poprawna konfiguracja (Last Known Good Configuration) adresującej tylko podzespół ControlSet w gałęzi system.

Istnieje wiele powodów, dla których wykorzystanie tej kopii jako rozwiązania dla problemu jest zasadne, lecz najczęstszym jest przypadek, gdy pojawiła się utrata danych lub uszkodzenie systemu. Sytuację zobrazuje następujący wpis w nagłówku FRST:
 
ATTENTION: Could not load system hive.

 

UWAGA: Nie można załadować gałęzi System.

 
Aby to naprawić, dodaj linię w fixlist.txt wg schematu:
 
LastRegBack: >>data<< >>czas<<

 
Przykład:
 
LastRegBack: 2013-07-02 15:09


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#9
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngSkan dodatkowy (Addition.txt)

 
 
 
Nagłówek

Nagłówek skanu dodatkowego zawiera krótkie zestawienie przydatnych informacji. Oto przykładowy nagłówek:
 

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Ran by User (21-10-2017 14:16:13)
Running from C:\Users\User\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Boot Mode: Normal

 
W polskiej wersji:
 
Rezultaty skanu uzupełniającego Farbar Recovery Scan Tool (x64) Wersja: 20-10-2017
Uruchomiony przez NazwaUżytkownika (21-10-2017 14:16:13)
Uruchomiony z C:\Users\NazwaUżytkownika\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Tryb startu: Normal

.

  • Pierwsza linia mówi czy program został uruchomiony w wariancie 32-bit czy 64-bit. Numer wersji FRST również jest pokazany.
  • Druga linia pokazuje który użytkownik i w jakim czasie uruchomił skan.
  • Trzecia linia to informacja skąd został uruchomiony FRST.
  • Czwarta linia podaje wersję systemu operacyjnego oraz datę jego instalacji.
  • Piąta linia podaje tryb w którym uruchomiono skan.

.
 
Accounts
Konta użytkowników

Lista standardowych kont użytkowników formatowana wg schematu: Lokalna nazwa konta (Identyfikator SID - Uprawnienia - Status) => Ścieżka profilu. Nazwy kont Microsoftu nie są pokazywane.

Przykład:
 

Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
NazwaUżytkownika (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\NazwaUżytkownika
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)



Security Center
Centrum zabezpieczeń

Lista może wykazać pozostałości poprzednio usuwanych programów zabezpieczających. W tej sytuacji linia tego rodzaju może zostać załączona w fixlist.txt w celu jej usunięcia.
Określone programy zabezpieczające (jak np. Spybot Search&Destroy) uniemożliwiają usunięcie takiego wpisu, jeśli nie są w pełni odinstalowane. W takich przypadkach zamiast potwierdzenia usunięcia w Fixlog zobaczysz:
 
Obiekt Centrum zabezpieczeń => The item is protected. Make sure the software is uninstalled and its services is removed.

 
Obiekt Centrum zabezpieczeń => Element zabezpieczony. Upewnij się, że powiązane oprogramowanie zostało odinstalowane, a jego usługi usunięte.

 

Installed Programs
Zainstalowane programy
 
FRST dysponuje wbudowaną bazą danych używaną do oznaczania programów typu adware/PUP. Przykład:

DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version:  - Mindspark Interactive Network) <==== ATTENTION [UWAGA]
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION [UWAGA]


Zdecydowanie zaleca się, by oznaczony program w poprawny sposób odinstalować przed użyciem automatycznego programu do usuwania adware. Deinstalator programu adware może usunąć większość swoich wpisów i odwrócić zmiany konfiguracyjne.
 
Programy figurujące na liście zainstalowanych programów, lecz nie wyświetlające się na niej, zostaną przez FRST wyliczone i oznaczone etykietą Hidden:
 
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden

 
Etykieta ta związana jest tylko z poziomem widzialności i nie jest równoznaczna ze szkodliwością programu. Programy tego typu nie są widoczne na liście Dodaj/Usuń programy (XP) lub Programy i Funkcje (Vista i nowsze) i użytkownik nie może ich odinstalować tym sposobem. Niewidoczność definiuje w rejestrze wartość o nazwie "SystemComponent" typu REG_DWORD ustawiona na 1. FRST może usunąć "SystemComponent" i uczynić program widocznym dla użytkownika.

Jeśli wpis z raportu Addition.txt zostanie dodany do fixlist.txt, otrzymasz:
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ObiektAdware\\SystemComponent => Value deleted successfully [Wartość pomyślnie usunięto]

 

Ta naprawa tylko czyni dany program widocznym, nie odinstalowuje go. Program powinien zostać odinstalowany przez użytkownika.



Jak już wcześniej zostało to napisane, nie każdy ukryty program jest szkodliwy. Jest wiele autoryzowanych programów (włączając w to programy MS), które są ukryte z dobrych powodów.


Custom CLSID
Niestandardowe rejestracje klas
 
Wylicza niedomyślne klasy w gałęziach użytkowników, ShellIconOverlayIdentifiers, ContextMenuHandlers i FolderExtensions.
 
Przykłady:
 
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== ATTENTION [UWAGA]

 
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-01] ()

 
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] ()


By usunąć szkodliwe wejścia, po prostu załącz je w fixlist.txt, a FRST usunie klucze z rejestru. Powiązane pliki/foldery przeznaczone do usunięcia muszą być załączone z osobna.

Należy zachować ostrożność, gdyż autoryzowane oprogramowanie firm trzecich może tworzyć niedomyślne wpisy CLSID, które nie powinny być usuwane.




Scheduled Tasks
Zaplanowane zadania

Są pokazywane Zaplanowane zadania, które nie są na białej liście. Załączenie wpisu w fixlist.txt spowoduje usunięcie zadania jako takiego. Przykład:
 
fixlist content [zawartość]:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION [UWAGA]
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION [UWAGA]
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully [klucz pomyślnie usunięto]
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully [klucz pomyślnie usunięto]
C:\Windows\System32\Tasks\FocusPick => moved successfully [pomyślnie przeniesiono]
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => key removed successfully [klucz pomyślnie usunięto]
C:\windows\Tasks\FocusPick.job => moved successfully [pomyślnie przeniesiono]

 
 
Co istotne, FRST usuwa tylko wpisy w rejestrze oraz plik zadania, ale nie usuwa powiązanego pliku wykonywalnego. W przypadku, gdy plik wykonywalny jest szkodliwy, powinien zostać dodany w osobnej linii do fixlist.txt w celu usunięcia.

Malware może użyć do uruchomienia własnego pliku autoryzowanego programu, np. sc.exe do uruchamiania własnych usług. Przed podjęciem akcji należy się upewnić, czy program wykonywalny jest autoryzowany, czy wręcz przeciwnie.


 
 
Shortcuts & WMI
Skróty & WMI
 
Spis szkodliwie zmodyfikowanych lub objętych podejrzeniem modyfikacji skrótów w ścieżkach bieżącego zalogowanego użytkownika, wliczając też ścieżki współdzielone między użytkownikami (główny katalog C:\ProgramData\Microsoft\Windows\Start Menu\Programs i C:\Users\Public\Desktop).
Wejścia mogą zostać załączone w fixlist.txt w celu naprawy - zobacz opis Shortcut.txt w sekcji Pozostałe skany opcjonalne.
 

Skan Shortcut.txt zawiera wszystkie skróty wszystkich użytkowników, omawiany tu skan Addition.txt wylicza tylko zmodyfikowane lub podejrzane skróty bieżącego zalogowanego użytkownika.


 
W przypadku malware WMI modyfikującego skróty pojawi się następujące ostrzeżenie:
 
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION [UWAGA]

 
By usunąć szkodliwy skrypt, załącz powyższą linię w fixlist.txt.
 
 
Loaded Modules
Załadowane moduły
 
Załadowane moduły są filtrowane w oparciu o detekcję nazwy producenta. W związku z tym w sekcji tej pokazują się tylko obiekty jej pozbawione. Bierz więc pod uwagę możliwość, że szkodliwy moduł posiadający nazwę producenta nie zostanie pokazany.


Alternate Data Streams
Alternatywne Strumienie Plików
 
Strumienie są prezentowane w następujący sposób:

AlternateDataStreams: C:\Windows\System32\poprawnyplik:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]


Na końcu ścieżki dostępu w klamrach jest pokazany rozmiar strumienia ADS (w bajtach).
 
Jeśli dany strumień ADS jest podwiązany do autoryzowanego pliku/katalogu, naprawa polega na skopiowaniu linii z logu i wklejeniu jej do pliku fixlist.txt. Przykład:

AlternateDataStreams: C:\Windows\System32\poprawnyplik:malware.exe [134]


Niemniej gdy będzie on podwiązany na szkodliwym pliku/katalogu, naprawą będzie:

C:\malware


W pierwszym przypadku FRST usunie wyłącznie strumień ADS z pliku/katalogu. W drugim przypadku plik/katalog zostanie usunięty.


Safe Mode
Tryb Awaryjny

Domyślne wpisy są na białej liście. Pusta sekcja oznacza, iż nie ma żadnego niestandardowego wpisu w systemie.
Jeśli brakuje któregokolwiek z głównych kluczy (SafeBoot, SafeBoot\Minimal oraz SafeBoot\Network), zostanie to zaraportowane. W takim przypadku powinno to zostać naprawione ręcznie.
Jeśli figuruje wpis stworzony przez malware, może zostać zawarty w fixlist.txt do usunięcia.


Association
Powiązania plików

---> Zajrzyj do wcześniejszej sekcji Association.
 
Lista skojarzeń plików .bat, .cmd, .com, .exe, .reg i .scr. Domyślne wejścia są na białej liście, więc przy braku ich modyfikacji lub braku obecności niestandardowych wejść nic nie pokaże się w raporcie.
Przetwarzanie wejść w fixlist.txt odbywa się w następujący sposób: zmodyfikowanym wpisom domyślnym zostanie przywrócona domyślna postać wejścia, zaś niestandardowy klucz użytkownika zostanie skasowany.
 
 
Internet Explorer trusted/restricted
Zaufane witryny i Witryny z ograniczeniami

Lista Zaufanych witryn i Witryn z ograniczeniami skonfigurowanych w Internet Explorer.
Załączenie wejścia w fixlist.txt spowoduje usunięcie powiązanego klucza z rejestru.
 
 
Hosts content
Zawartość pliku Hosts

---> Zajrzyj do wcześniejszej sekcji Hosts.
 
Przedstawia więcej detali związanych z plikiem Hosts: właściwości pliku Hosts oraz pierwsze 30 aktywnych wejść w pliku. Nieaktywne wejścia (skomentowane znakiem #) są ukryte. Przykład:
 
2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

 
Wejścia nie mogą być przetworzone indywidualnie. By zresetować plik, skorzystaj z dyrektywy Hosts: lub załącz linię z ostrzeżeniem Hosts z głównego raportu FRST.txt.



Other Areas
Inne obszary

FRST skanuje pewne elementy nie uwzględnione w innych sekcjach. Na chwilę obecną są raportowane: ścieżka tapety systemowej, serwery DNS, ustawienia UAC, ustawienia SmartScreen oraz status Zapory systemowej. FRST tylko wylicza wejścia, brak automatycznej naprawy za pośrednictwem skryptu.
 
 
Wallpaper (Tapeta) - Różne infekcje szyfrujące dane wykorzystują to ustawienie, by wyświetlić ekran z żądaniem okupu. Przykład:
 
Standardowa ścieżka może wyglądać podobnie do:
 
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

 
Ścieżka infekcji może wyglądać podobnie do:
 
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\Moje Dokumenty\!Decrypt-All-Files-scqwxua.bmp

 
W przypadku szkodliwych wejść ścieżka do pliku może zostać załączona w Fixlist wraz z innymi powiązanymi plikami pokazanymi w głównym raporcie FRST.txt.
 

Usunięcie pliku tapety malware spowoduje usunięcie tła Pulpitu.


 

Użytkownik powinien ręcznie ustawić tło Pulpitu:
 
Windows XP:
Kliknij prawym w dowolnym miejscu Pulpitu i wybierz Właściwości, wybierz kartę Pulpit, wybierz obrazek, kliknij "Zastosuj" i "OK".

Windows Vista i nowsze:
Kliknij prawym w dowolnym miejscu Pulpitu i wybierz Personalizuj, wybierz Tło Pulpitu, wybierz jeden z dostępnych obrazów i kliknij "Zapisz zmiany".
 



DNS Servers (serwery DNS) - Lista przydatna do detekcji infekcji DNS routera. Pokazane adresy IP sprawdź przy udziale wyszukiwarki Whois Lookup, by zweryfikować ich pochodzenie.

Przykład wpisów:

DNS Servers: 213.46.228.196 - 62.179.104.196


Lista serwerów nie jest pobierania z rejestru, system powinien być podłączony do internetu.



Jeśli FRST zostanie uruchomiony z poziomu Trybu awaryjnego lub system nie jest podłączony do internetu, w raporcie pojawi się następujący komunikat:

DNS Servers: Media is not connected to internet.

 
DNS Servers: Urządzenie nie jest podłączone do internetu.

 
 
Kontrola konta użytkownika (UAC)
 
Włączone UAC (domyślne ustawienie):
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

 
Wyłączone UAC:
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

 
Wyłączona Kontrola konta użytkownika może mieć źródło w ręcznym ustawieniu użytkownika, bądź też być skutkiem aktywności malware. O ile nie jest pewne, że przyczyną jest malware, należy przed rozpoczęciem naprawy skonsultować ustawienia z użytkownikiem.
 
 
SmartScreen (Windows 8+)
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Dane wartości)

 
Dane wartości obsługiwane przez Windows: RequireAdmin (domyślne ustawienie), Prompt, Off. Brakująca lub pusta wartość zostanie zgłoszona w następujący sposób:
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )

 
Z dużym prawdopodobieństwem jest to wynik aktywności malware i wymagana ręczna naprawa.
 
 
Windows Firewall (Zapora systemu Windows)
 
FRST zgłasza stan Zapory, jeśli jest włączona lub wyłączona:
 
Windows Firewall is enabled.

 
Zapora systemu Windows [funkcja włączona]

 
Jeśli FRST został uruchomiony z poziomu Trybu awaryjnego lub istnieje uszkodzenie systemowe, wejście relatywne do Zapory nie zostanie pokazane.


MSCONFIG/TASK MANAGER disabled items
Wyłączone elementy w MSCONFIG i Menedżerze zadań

Log jest użyteczny w sytuacji, gdy użytkownik użył MSCONFIG lub Menedżer zadań aby wyłączyć wpisy malware, zamiast je usunąć. Lub też usunął za dużo i nie może sprawić, by niektóre niezbędne usługi lub aplikacje działały poprawnie.
 
 
MSCONFIG w Windows 7 i starszych systemach:
 
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

 
Powyższy przykład odczytujemy następująco:
 
Wyłączone usługi:
 
MSCONFIG\Services: NazwaUsługi => Oryginalny typ startu

 
Wyłączone elementy z katalogu Startup (Autostart):
 
MSCONFIG\startupfolder: Oryginalna Ścieżka (znaki "\" zastąpione "^" przez Windows)  => Ścieżka do kopii zapasowej utworzonej przez Windows

 
Wyłączone wpisy Run:
 
MSCONFIG\startupreg: NazwaWartości => Ścieżka do pliku

 
 
Menedżer zadań w Windows 8 i Windows 10:
 
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

 

W Windows 8 i nowszych systemach msconfig służy tylko do wyłączania usług. Elementy startowe zostały przeniesione do Menedżera zadań, który gromadzi wyłączone wpisy w innych kluczach. Wyłączony istniejący obiekt jest wyliczany podwójnie: w FRST.txt (sekcja Rejestr) i w Addition.txt.


 
 
Wejścia mogą zostać załączone w fixlist.txt w celu ich usunięcia. FRST przeprowadzi następujące akcje:
- W przypadku wyłączonych usług, zostanie usunięty klucz utworzony przez MSCONFIG oraz usługa jako taka.
- W przypadku wyłączonych obiektów Run, zostaną usunięte klucz/wartość utworzone przez MSCONFIG/Menedżer zadań. Wejście Run na nowszych systemach również zostanie usunięte.
- W przypadku obiektów w folderach Startup (Autostart), zostaną usunięte klucz/wartość utworzone przez MSCONFIG/Menedżer zadań i przeniesiony plik kopii zapasowej utworzony przez Windows (na starszych systemach) lub plik jako taki (na nowszych systemach).

Ważne: Wejścia z tej sekcji powinny być przetwarzane, gdy jest pewność że to wejścia malware. Przy braku pewności co do natury wejść, nie przetwarzaj ich by uniknąć usunięcia poprawnych obiektów. W przypadku prawidłowych wejść które powinny zostać włączone, należy poinstruować użytkownika, by je aktywował przy udziale narzędzia MSCONFIG lub Menedżera zadań.


 
 
FirewallRules
Reguły Zapory systemu Windows

Spis autoryzacji typu FirewallRules, AuthorizedApplications i GloballyOpenPorts.
 
Przykład z Windows 10:
 
FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

 
Przykład z Windows XP:
 
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

 
Jeśli dane wejście zostanie załączone w fixlist.txt, rekord zostanie usunięty z rejestru. Powiązany plik nie zostanie usunięty z dysku.
 
 
Restore Points
Punkty Przywracania systemu

---> Zajrzyj do wcześniejszej sekcji Restore Points.
 
Lista punktów Przywracania systemu formatowana w następujący sposób:
 
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

 
Jeśli funkcja jest wyłączona, pojawi się ostrzeżenie:
 
ATTENTION: System Restore is disabled

 
UWAGA: Przywracanie systemu jest wyłączone


 
 
Faulty Device Manager Devices
Wadliwe urządzenia w Menedżerze urządzeń
 
Przykład:
 
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

 
 
Event log errors
Błędy w Dzienniku zdarzeń

  • Dziennik Aplikacja
  • Dziennik System
  • CodeIntegrity

.
Memory info
Statystyki pamięci

---> Zajrzyj do wcześniejszej sekcji Memory Info.


Drives
Dyski


MBR & Partition Table
MBR & Tablica partycji

---> Zajrzyj do wcześniejszej sekcji Drives - MBR & Partition Table.
 
 
.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#10
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngPozostałe skany opcjonalne



Skany opcjonalne

Po zaznaczeniu danego pola w sekcji "Optional Scan" / "Skan opcjonalny" FRST zwróci skan żądanych obiektów.


List BCD
Lista BCD

Wyciąg konfiguracji Boot Configuration Data (BCD).


Drivers MD5
MD5 sterowników

Tworzy listę sterowników wraz z ich sumami kontrolnymi MD5 prezentowaną w następujący sposób:

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451


Sumy kontrolne mogą być sprawdzone pod kątem poprawności.


Shortcut.txt
Skróty użytkowników

Spis wszystkich typów skrótów wszystkich standardowych kont użytkowników. Szkodliwie zmodyfikowane wejścia mogą zostać załączone w fixlist.txt w celu ich naprawy lub usunięcia.

Przykład:

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%


By naprawić wpisy typu ShortcutWithArgument:, po prostu skopiuj i przeklej linie do fixlist.txt. Jednakże w celu usunięcia wpisów typu Shortcut: załącz ścieżki z osobna. Całościowy skrypt wyglądałby następująco:

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk


FRST usuwa argumenty ze skrótów z pominięciem skrótu Internet Explorer (No Add-ons).lnk / Internet Explorer (bez dodatków).lnk, który jest przywracany do postaci domyślnej (argument -extoff). Ten parametr skrótu odpowiada za uruchomienie Internet Explorer bez dodatków i jest istotny w diagnostyce przeglądarki.



Jeśli inne narzędzie niepoprawnie usunęło argument skrótu Internet Explorer (No Add-ons).lnk / Internet Explorer (bez dodatków).lnk, skrót traci etykietę ShortcutWithArgument: w logu i jego naprawa z poziomu FRST nie będzie możliwa. W tym przypadku użytkownik musi przywrócić argument ręcznie.




By uzupełnić brakujący argument ręcznie, użytkownik powinien wyszukać skrót Internet Explorer (Bez dodatków).lnk:

Kliknąć prawym i wybrać Właściwości. W polu Element docelowy na końcu pokazanej ścieżki dodać dwie spacje a następnie -extoff. Kliknąć Zastosuj i OK.


Notatka dla użytkowników fixitpc.pl:

Na polskich systemach Vista i nowszych ścieżka do skrótu jest widziana w polskiej formie tylko z poziomu eksploratora Windows, ale faktyczna struktura jest anglojęzyczna:
C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Na polskich systemach XP jednak ścieżka jest w pełni spolonizowana:
C:\Documents and Settings\Użytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk




90 Days Files
Pliki i katalogi utworzone w ciągu ostatnich trzech miesięcy

Jeśli opcja "90 Days Files" / "Pliki z 90 dni" zostanie zaznaczona, FRST w skanie głównym wyliczy "Three Months Created/Modified Files and Folders" / "Trzy miesiące - utworzone/zmodyfikowane pliki i foldery" zamiast "One Month Created/Modified Files and Folders" / "Jeden miesiąc - utworzone/zmodyfikowane pliki i foldery".



Funkcja wyszukiwania


Search Files
Wyszukiwanie plików

W konsoli FRST znajduje się przycisk Search Files / Szukaj plików. W celu wyszukania plików wpisz ręcznie lub przeklej ich nazwy do pola Search / Szukaj. Symbole wieloznaczne są dozwolone. Przy wyszukiwaniu więcej niż jednego pliku nazwy plików powinny zostać rozdzielone średnikiem ;

fraza;fraza

*fraza*;*fraza*


Po naciśnięciu przycisku użytkownik zostaje poinformowany, że wyszukiwanie zostało rozpoczęte, pojawia się pasek postępu, a na koniec zgłasza się komunikat informujący, że wyszukiwanie zostało zakończone. Wynikowy raport Search.txt zostaje zapisany w tym samym miejscu, w którym znajduje się FRST.

Odnalezione pliki zostają wylistowane wraz z datą utworzenia, modyfikacji, rozmiarem, atrybutami, nazwą producenta, sumą kontrolną MD5 oraz podpisem cyfrowym w następującym formacie:

C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Plik podpisany cyfrowo]


Weryfikacja podpisów cyfrowych nie jest dostępna z poziomu Środowiska odzyskiwania systemu (RE).



Funkcja wyszukiwania jest ograniczona do dysku systemowego. Są sytuacje, gdy autoryzowany plik systemowy jest nieobecny lub uszkodzony powodując problemy z uruchomieniem systemu, a brak zamiennika w systemie. Jeśli opcja zostanie użyta w Środowisku odzyskiwania systemu (Vista lub nowsze), wyszukiwanie obejmie także pliki na dysku X: (wirtualny dysk startowy). W niektórych przypadkach może to być ostatnia deska ratunku. Za przykład może posłużyć brakujący plik services.exe, który mógłby zostać skopiowany z X:\Windows\System32 do C:\Windows\System32.

Dysk X: będzie zawierać wyłącznie programy 64-bit na systemach 64-bit.


 

Przycisk Search Files / Szukaj plików udostępnia też dodatkowe wyszukiwanie, zobacz poniższe opisy FindFolder: i SearchAll:. Rezultaty są nagrywane w pliku Search.txt.




Search Registry
Wyszukiwanie w rejestrze

W konsoli FRST znajduje się również przycisk Search Registry / Szukaj w rejestrze. W polu Search / Szukaj można wpisać bezpośrednio lub wkleić ciągi planowane do wyszukiwania. Przy wyszukiwaniu większej ilości fraz powinny zostać one rozdzielone średnikiem ;

fraza;fraza


Przy wyszukiwaniu w rejestrze, w odróżnieniu od wyszukiwania plików, wykorzystanie symboli wieloznacznych w wyszukiwanych frazach jest niepożądane, gdyż owe symbole zostaną zinterpretowane dosłownie. Z tego też powodu jeśli symbol wieloznaczny ("*" lub "?") zostanie wykorzystany na początku lub końcu wyszukiwanej frazy, FRST zignoruje znak i przeprowadzi wyszukiwanie na frazę go pozbawioną.
 
Wynikowy raport SearchReg.txt zostaje zapisany w tym samym miejscu, w którym znajduje się FRST.

Funkcja wyszukiwania w rejestrze działa tylko poza Środowiskiem odzyskiwania systemu (RE).


 
 
 
FindFolder:
Wyszukiwanie folderów

By wyszukać folder(y) na dysku systemowym, wprowadź następującą składnię w polu Search / Szukaj i wciśnij przycisk Search Files / Szukaj plików:

FindFolder: fraza;fraza


Znaki wieloznaczne są obsługiwane:

FindFolder: *fraza*;*fraza*

 
 
 
SearchAll:
Pełne wyszukiwanie

By przeprowadzić pełne wyszukiwanie (pliki, foldery, rejestr) dla jednej lub większej ilości fraz, wprowadź następującą składnię w polu Search / Szukaj i wciśnij przycisk Search Files / Szukaj plików:

SearchAll: fraza;fraza


Nie dodawaj znaków wieloznacznych do fraz. FRST automatycznie interpretuje frazy jako *frazy* w przypadku plików i folderów.

Pełne wyszukiwanie przeprowadzone w Środowisku odzyskiwania systemu (RE) jest ograniczone do plików i folderów.


 
.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#11
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngDyrektywy/Polecenia




Wszystkie dyrektywy/polecenia w FRST powinny być w osobnych liniach, ze względu na to, że FRST przetwarza skrypt linia po linii.



Wielkość liter nie ma znaczenia w przypadku dyrektyw/poleceń.






Szybki przegląd Dyrektyw/Poleceń:


Do użycia tylko w Trybie normalnym:

CreateRestorePoint:

TasksDetails:

Do użycia tylko w Trybie normalnym, Trybie awaryjnym:

CloseProcesses:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:

StartPowershell: — EndPowershell:

VerifySignature:

VirusTotal:
Zip:

Do użycia w Trybie normalnym, Trybie awaryjnym, Środowisku odzyskiwania systemu (RE):

cmd:

CreateDummy:
DeleteJunctionsInDirectory:

DeleteKey:
DeleteQuarantine:

DeleteValue:
DisableService:

ExportKey:

ExportValue:
File:

FilesInDirectory:
FindFolder:
Folder:
Hosts:
ListPermissions:
Move:
nointegritychecks on:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:

StartBatch: — EndBatch:

StartRegedit: — EndRegedit:
testsigning on:
Unlock:

Do użycia tylko w Środowisku odzyskiwania systemu (RE):

LastRegBack:

Restore From Backup:
RestoreErunt:
RestoreMbr:


.
 


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#12
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

frstico.pngDyrektywy/Polecenia




CloseProcesses:

Do zabijania wszystkich nieesencjonalnych procesów, co zwiększa efektywność i szybkość procesu naprawy. Przykład:

CloseProcesses:


Załączenie dyrektywy w skrypcie naprawy skutkuje automatycznym resetem systemu. Nie ma potrzeby używania dyrektywy Reboot:. Dyrektywa CloseProcesses: jest zbędna, a więc i niedostępna w Środowisku odzyskiwania systemu (RE).


CMD:

Gdy zachodzi potrzeba uruchomienia polecenia CMD, możesz skorzystać z dyrektywy "CMD:" Skrypt będzie wyglądał następująco:

CMD: komenda


Jeśli ma zostać użyte więcej niż jedno polecenie, każde z nich należy umieścić w osobnych liniach rozpoczynających się od "CMD:". Przykład:

CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr


Pierwsze polecenie skopiuje pliki minidump na dysk przenośny (jeśli literką dysku dla dysku przenośnego jest E).
Drugie polecenie służy do naprawy MBR w Windows Vista i nowszych.
 
Alternatywnie można skorzystać z dyrektyw StartBatch:EndBatch: (patrz dalej).

W odróżnieniu od natywnych lub innych dyrektyw FRST, polecenia cmd muszą mieć odpowiednią składnię, jak np. użycie cudzysłowów " w przypadku spacji w ścieżkach plików/katalogów.


 
 
CreateDummy:
 
Tworzy atrapę w postaci zablokowanego folderu, by zapobiec odtwarzaniu szkodliwego pliku/folderu. Folder-atrapa powinien zostać usunięty po kompletnym zneutralizowaniu malware. Składnia polecenia:
 
CreateDummy: ścieżka

 
Przykład:

CreateDummy: C:\Windows\system32\szkodnik.exe
CreateDummy: C:\ProgramData\Szkodnik

 
 
 
CreateRestorePoint:

Do tworzenia punktu Przywracania systemu. Składnia polecenia:

CreateRestorePoint:


Dyrektywa działa tylko w Trybie normalnym i pod warunkiem, że Przywracanie systemu nie jest wyłączone.




DeleteJunctionsInDirectory:

Do usuwania junkcji / linku symbolicznego do katalogu. Składnia polecenia:

DeleteJunctionsInDirectory: ścieżka


Przykład:

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender



DeleteKey: i DeleteValue:

Najskuteczniejszy sposób usuwania kluczy/wartości rejestru, obchodzący ograniczenia standardowych algorytmów usuwania obecnych w dyrektywach Reg: i StartRegedit: — EndRegedit:.
 
Składnia poleceń:
 
1. Dla kluczy:
 
DeleteKey: klucz

 
Alternatywnie można też zastosować format regedit:
 
[-klucz]


2. Dla wartości:
 
DeleteValue: klucz|wartość

 
Jeśli wartość jest wartością domyślną, pozostaw nazwę wartości pustą:
 
DeleteValue: klucz|

 
Przykład:
 
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]


Dyrektywy adresują klucze/wartości zablokowane, które mają ograniczone uprawnienia lub zawierają znaki zerowe null, oraz linki symboliczne rejestru. Nie ma potrzeby stosowania dyrektywy Unlock:.

W przypadku kluczy/wartości, które są zabezpieczone aktywnym oprogramowaniem i zwracają komunikat "Odmowa dostępu", przed podjęciem próby z komendami należy przeprowadzić jedną z tych akcji: ograniczyć uruchomione procesy poprzez przejście do Trybu awaryjnego lub usunąć ofensywne komponenty.

Przy przetwarzaniu linka symbolicznego rejestru jest usuwany tylko klucz źródłowy, czyli link per se. Klucz docelowy nie zostanie usunięty. Ma to na celu zabezpieczenie pod kątem sytuacji, gdy szkodliwy link jest podwiązany do autoryzowanego klucza, który zostałby omyłkowo usunięty. Jeżeli zarówno klucz źródłowy jak i docelowy mają szkodliwy charakter, oba powinny zostać załączone do usunięcia.




DeleteQuarantine:

Po zakończeniu czyszczenia, katalog %SystemDrive%\FRST (zazwyczaj C:\FRST) utworzony przez FRST powinien zostać usunięty z komputera. W niektórych przypadkach katalog ten nie może zostać usunięty ręcznie, ponieważ podkatalog %SystemDrive%\FRST\Quarantine zawiera zablokowane lub nietypowe pliki / katalogi malware. Polecenie DeleteQuarantine: usuwa katalog Quarantine. Polecenie powinno zostać dołączone w fixlist, jak poniżej:

DeleteQuarantine:


Narzędzia, które przenoszą pliki, a nie usuwają, nie powinny być używane do kasowania C:\FRST, ponieważ narzędzia te przenoszą pliki do swoich własnych katalogów, które pozostają mimo wszystko w systemie.


DisableService:

Do wyłączania usługi lub sterownika. Składnia polecenia:

DisableService: NazwaUsługi


Przykład:

DisableService: sptd
DisableService: Wmware Nat Service


FRST ustawi typ startu usługi na wyłączony i usługa nie zostanie uruchomiona przy następnym starcie systemu.

Należy użyć nazwy usługi występującej w rejestrze lub logu FRST, bez dodawania czegokolwiek. Na przykład cudzysłowy nie są wymagane.




EmptyTemp:

Opróżnia następujące katalogi:

  • Windows Temp
  • Foldery Temp użytkowników
  • Cache, magazyny HTML5, Cookies i Historia Edge, IE, FF, Chrome i Opera (wyjątek: Historia FF nie jest usuwana)
  • Cache ostatnio otwieranych plików
  • Cache Flash Player
  • Cache Java
  • Cache HTML Steam
  • Cache ikon oraz miniatur Windows Explorer
  • Kolejka transferu BITS (pliki qmgr*.dat)
  • Kosz

Uruchomienie komendy EmptyTemp: zaowocuje automatycznym restartem systemu po ukończeniu zadania, co znosi konieczność posługiwania się odrębną dyrektywą Reboot:.
Nie ma również znaczenia lokalizacja dyrektywy EmptyTemp: w fixlist (początek, środek lub koniec), gdyż zostanie ona uruchomiona dopiero po przetworzeniu wszystkich innych linii w fixlist.

Ważne: Dyrektywa EmptyTemp: usuwa obiekty permanentnie. Nie są one przesuwane do kwarantanny. Dyrektywa jest nieczynna w Środowisku odzyskiwania systemu (RE), by zapobiec ewentualnym szkodom.


 
 
ExportKey: i ExportValue:
 
Bardziej niezawodny sposób inspekcji zawartości klucza. Dyrektywy omijają niektóre ograniczenia narzędzi systemowych regedit.exe i reg.exe. Różnicą pomiędzy dyrektywami jest zakres eksportu. ExportKey: listuje wszystkie wartości i podklucze rekursywnie, natomiast ExportValue: pokazuje tylko wartości w kluczu.
 
Składnia poleceń:
 
ExportKey: klucz

 
ExportValue: klucz

 
Przykład:
 
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz

 
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz]
[HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz\NiepoprawnyKlucz ]
"Ukryta wartość"="Ukryte dane"
[HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz\ZablokowanyKlucz]
HKEY_LOCAL_MACHINE\SOFTWARE\Podejrzany klucz\ZablokowanyKlucz => Odmowa dostępu.

=== Koniec ExportKey ===

 

Eksport jest przeznaczony tylko do celów analitycznych i nie może zostać użyty do operacji z kopią zapasową i importem.




File:

Do sprawdzania właściwości pliku. Można załączyć wiele plików, rozdzielonych średnikami. Składnia polecenia:

File: ścieżka;ścieżka


Przykład:

File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe


========================= File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================

Brak podpisu cyfrowego
MD5: 4793A9663376EF3A9044E07A9A45D966
Data utworzenia i modyfikacji: 2017-07-30 12:04 - 2017-07-30 12:04
Rozmiar: 000242688
Atrybuty: ----A
Firma:
Wewnętrzna nazwa: wmplayer.exe
Oryginalna nazwa: wmplayer.exe
Produkt: Windows Media Player
Opis: Windows Media Player
Plik Wersja: 1.0.0.0
Produkt Wersja: 1.0.0.0
Prawa autorskie: Copyright ©  2017
VirusTotal: https://www.virustotal.com/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9/analysis/1503093556/

====== Koniec File: ======

 

Weryfikacja podpisów cyfrowych nie jest dostępna z poziomu Środowiska odzyskiwania systemu (RE).


 

Dyrektywa File: nie udostępnia automatycznego przesyłania plików na VirusTotal, w przeciwieństwie do dyrektywy VirusTotal:.


 
 
FilesInDirectory: i Folder:
 
Do sprawdzania zawartości folderu. FilesInDirectory: jest przeznaczone do listowania plików pasujących do jednego lub większej ilości wzorów z użyciem znaków wieloznacznych *. Natomiast Folder: jest zaprojektowany do pobrania pełnej zawartości folderu. Rezultaty obu dyrektyw zawierają sumy kontrolne MD5.
 
Składnia poleceń:
 
FilesInDirectory: ścieżka\wzór;wzór

 
Folder: ścieżka

 
Przykład:
 
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

 
========================= FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll ========================

2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe

====== Koniec Filesindirectory ======

========================= Folder: C:\Windows\desktop-7ec3qg0 ========================

2017-10-05 11:11 - 2016-03-28 15:22 - 000000407 ____A [4FED6C66502829268459034D6A2D51F6] () C:\Windows\desktop-7ec3qg0\config.txt
2017-10-05 11:11 - 2016-02-07 07:10 - 000000021 ____A [141C4B266FCC6204D7EE7C6EDCCC2D70] () C:\Windows\desktop-7ec3qg0\default.action
2017-10-05 11:11 - 2017-09-20 02:05 - 000000117 ____A [4A44010B8D5F3455F5447ED376294FF4] () C:\Windows\desktop-7ec3qg0\default.filter
2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Windows\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A [7198513210A07AB63043FA7A84635AE2] () C:\Windows\desktop-7ec3qg0\uninstall.bat

====== Koniec Folder: ======

 

Dyrektywa Folder: działa rekursywnie i drukuje zawartość wszystkich podfolderów, w konsekwencji może produkować gigantyczne logi.




FindFolder:

Zobacz opis Funkcji wyszukiwania w sekcji Pozostałe skany opcjonalne. Dyrektywa działa w taki sam sposób jak FindFolder: w polu Search/Szukaj, tylko rezultaty są nagrywane w pliku Fixlog.txt.


Hosts:

Do resetu pliku hosts. Popatrz również na ustęp hosts w sekcji Skan główny (FRST.txt).


ListPermissions:

Używana do pobierania spisu uprawnień plików, folderów oraz kluczy załączonych w skrypcie. Składnia polecenia:

ListPermissions: ścieżka/klucz


Przykład:

ListPermissions: C:\Windows\Explorer.exe
ListPermissions: C:\Users\User\AppData
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd



Move:

Do przenoszenia lub zmiany nazwy pliku, gdy zawodzi standardowa komenda MS Rename, szczególnie wówczas, gdy odbywa się to pomiędzy dyskami. Składnia polecenia:

Move: źródło cel


Przykład:

Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys


Narzędzie przenosi plik docelowy do kwarantanny Quarantine (o ile istnieje), następnie przenosi plik źródłowy do lokalizacji docelowej.

Zmiana nazwy może być przeprowadzona przy użyciu dyrektywy Move:.



Ścieżka docelowa powinna zawierać nazwę pliku, nawet w przypadku, gdy plik nie istnieje w docelowym katalogu.




nointegritychecks on:

Stosuje się do Visty i nowszych wersji systemu Windows. Wyłączona funkcja kontroli integralności jest raportowana następującą linią w logu FRST:

nointegritychecks: ==> "Integrity Checks" is disabled <===== ATTENTION

 
nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] <===== UWAGA


Oznacza to, że BCD jest zmodyfikowane i kontrola integralności jest wyłączona przy starcie. Aby włączyć kontrolę integralności, skopiuj i wklej powyższą linię do fixlist.txt.

W przypadku niektórych niestartujących komputerów wyłączenie kontroli integralności rozwiązuje problem startu do momentu ponownego włączenia tej funkcji. Aby wyłączyć tę funkcję w celu ustalenia przyczyny, lub utworzenia kopii bezpieczeństwa w trybie normalnym przed reinstalacją Windows, użyj następującej składni:

nointegritychecks on:

 
 
Powershell:

Do uruchamiania komend lub skryptów PowerShell. Składnia polecenia:
 
1. By uruchomić pojedynczą niezależną komendę PowerShell i uzyskać wyniki w Fixlog.txt:

Powershell: komenda


Przykład:

Powershell: Get-Service

 
2. By uruchomić pojedynczą niezależną komendę PowerShell i przekierować wyniki do zewnętrznego pliku tekstowego (nie do Fixlog.txt) zastosuj operatory przekierowania lub cmdlet Out-File:
 
Powershell: komenda > "ścieżka do pliku tekstowego"

 
Powershell: komenda | Out-File "ścieżka do pliku tekstowego"

 
Przykład:
 
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

 
3. By uruchomić gotowy plik skryptu (.ps1) zawierający jedną lub więcej komend/linii skryptu PowerShell:
 
Powershell: "ścieżka do pliku skryptu"

 
Przykłady:
 
Powershell: C:\Users\NazwaUżytkownika\Desktop\skrypt.ps1

 
Powershell: "C:\Users\Nazwa Użytkownika\Desktop\skrypt.ps1"

 
4. By uruchomić więcej komend/linii skryptu PowerShell tak jakby były w pliku skryptu (.ps1), ale bez tworzenia pliku .ps1, zastosuj średnik ; zamiast przejść do nowej linii by je oddzielić:
 
Powershell: linia 1; linia 2; (i tak dalej)

 
Przykład:

Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://serwer/plik.exe", "C:\Users\User\Desktop\plik.exe")

 
Alternatywnie można skorzystać z dyrektyw StartPowershell:EndPowershell: (patrz dalej).
 
 
Reboot:

Do wymuszania restartu systemu. Pozycja komendy w pliku fixlist jest bez znaczenia. Nawet po umieszczeniu jej na początku skryptu restart zostanie wykonany dopiero po przetworzeniu wszystkich innych poleceń naprawczych.

W Środowisku odzyskiwania systemu (RE) komenda nie działa, gdyż jest zbędna.




Reg:

Do manipulowania rejestrem Windows przy udziale konsolowego narzędzia Reg. Składnia polecenia:

Reg: komenda reg


Przykład:

Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f


W odróżnieniu od natywnych dyrektyw FRST, polecenie Reg powinno mieć poprawną składnię polecenia reg.exe, jak np. użycie cudzysłowów " w przypadku obecności spacji w nazwie klucza/wartości.


 

Dyrektywa ta nie jest zdolna przetworzyć kluczy/wartości zablokowanych lub z niepoprawną nazwą. Zobacz opis dyrektyw DeleteKey: i DeleteValue: wcześniej w tutorialu.




RemoveDirectory:

Do usuwania (a nie przenoszenia do Quarantine) katalogów z ograniczonymi uprawnieniami i niepoprawnymi ścieżkami lub nazwami. Nie ma potrzeby stosowania dyrektywy Unlock:. Dyrektywa ta powinna zostać użyta dla katalogów, które opierają się standardowym operacjom przesunięcia. W przypadku Trybu awaryjnego powinna być bardzo silna, a w przypadku środowiska naprawy RE powinna być najsilniejsza.

Skrypt będzie następujący:

RemoveDirectory: ścieżka



RemoveProxy:

Usuwa ustawienia proxy:
- Polityki restrykcji Internet Explorer HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer oraz ProxySettingsPerUser w HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings.
- Wartości ProxyEnable (jeśli równe 1), ProxyServer, AutoConfigURL, DefaultConnectionSettings i SavedLegacySettings z kluczy globalnych i użytkownika. Wykonuje także komendę BITSAdmin z przełącznikiem NO_PROXY.
- Modyfikację domyślnej wartości w kluczu HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies.

W przypadku gdy jest aktywne oprogramowanie lub usługa przywracające te ustawienia, oprogramowanie powinno zostać odinstalowane a usługa usunięta przed skorzystaniem z dyrektywy. Ma to na celu zapobiec odtwarzaniu ustawień proxy.




Replace:

Do podmiany pliku. Składnia polecenia:

Replace: źródło cel


Przykład:

Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll


Narzędzie przenosi docelowy plik (o ile jest obecny) do katalogu kwarantanny (Quarantine) i następnie kopiuje źródłowy w miejsce docelowe.

Nie przenosi pliku źródłowego i jest on dalej obecny w oryginalnej lokalizacji. A zatem w powyższym przykładzie dnsapi.dll w katalogach WinSxS pozostanie niezmieniony.

Ścieżka docelowa powinna zawierać nazwę pliku nawet wtedy, gdy plik nie istnieje w katalogu docelowym.



Komenda zakończy się niepowodzeniem w przypadku braku docelowego katalogu. FRST nie odbudowuje kompletnej struktury katalogów.




Restore From Backup:

Przy pierwszym uruchomieniu narzędzie tworzy kopię zapasową kopiując gałęzie rejestru do katalogu %SystemDrive%\FRST\Hives (zazwyczaj C:\FRST\Hives). Nie zostanie ona nadpisana / usunięta podczas kolejnych uruchomień programu, o ile nie jest starsza niż dwa miesiące. Gdyby coś poszło nie tak, wybrana gałąź może zostać przywrócona. Składnia jest następująca:

Restore From Backup: NazwaGałęzi


Przykłady:

Restore From Backup: software
Restore From Backup: system



RestoreErunt:

Aby przywrócić gałąź z Erunt, skrypt będzie wyglądał następująco:

RestoreErunt: ścieżka


Aby przywrócić z kopii utworzonej przez CF (ComboFix), skrypt będzie wyglądał następująco:

RestoreErunt: cf



RestoreMbr:

Do przywrócenia MBR z pliku MBR.bin FRST wykorzystuje narzędzie MbrFix zapisane na dysku przenośnym. Wymagany jest zestaw: narzędzie MbrFix/MbrFix64, plik MBR.bin do odtworzenia i skrypt wskazujący dysk:

RestoreMbr: Drive=#


Przykład:

RestoreMbr: Drive=0


Kopia MBR używana do przywracania musi mieć nazwę MBR.bin i zostać dostarczona w postaci zzipowanej.
 
 
RestoreQuarantine:

Umożliwia odtworzenie całej zawartości kwarantanny Quarantine lub wyselekcjonowanych z niej obiektów (pojedynczego pliku, bądź też większej ilości plików/folderów).

Składnia polecenia do kompleksowego przywrócenia całej zawartości Quarantine:

RestoreQuarantine:


Lub:

RestoreQuarantine: C:\FRST\Quarantine


Składnia polecenia do przywracania konkretnego pliku lub folderu:

RestoreQuarantine: ŚcieżkaWQuarantine


Przykład:

RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\NazwaUżytkownika\Desktop\ANOTB.exe.xBAD


W celu odnalezienia konkretnej ścieżki w Quarantine możesz użyć:

Folder: C:\FRST\Quarantine


Lub:

CMD: dir /a/b/s C:\FRST\Quarantine


Jeśli plik już istnieje (poza Quarantine) w ścieżce docelowej, FRST nie nadpisze go. Oryginalny plik nie zostanie przeniesiony i pozostanie w Quarantine. Gdy nadal będzie istniała konieczność odtworzenia tego pliku, wtedy należy plik w ścieżce docelowej usunąć lub zmienić mu nazwę.




SaveMbr:

Zajrzyj do sekcji Drives - MBR & Partition Table.

Aby utworzyć kopię MBR, użyj następującego skryptu:

SaveMbr: Drive=#


Przykład:

SaveMbr: Drive=0


Wynikowo zostanie utworzony plik MBRDUMP.txt na dysku przenośnym, który powinien zostać załączony przez użytkownika do postu.


SetDefaultFilePermissions:

Dedykowana zablokowanym plikom systemowym. Ustawia grupę "Administratorzy" jako właściciela oraz przyznaje prawa dostępowe określonym standardowym grupom w zależności od systemu.

Komenda nie asygnuje konta TrustedInstaller jako właściciela, niemniej może zostać użyta do plików systemowych zablokowanych przez malware.



Skrypt będzie wyglądał następująco:

SetDefaultFilePermissions: ścieżka

 
 
StartBatch:EndBatch:

Do tworzenia i uruchamiania plików batch. Składnia polecenia:
 
StartBatch:
Linia 1
Linia 2
Etc.
EndBatch:

 
Wyniki zostaną przekierowane do pliku Fixlog.txt.
 
 
StartPowershell:EndPowershell:

Lepsza alternatywa do tworzenia i uruchamiania plików PowerShell zawierających wiele linii skryptu (zobacz wcześniejszy opis dyrektywy Powershell:). Składnia polecenia:
 
StartPowershell:
Linia 1
Linia 2
Etc.
EndPowershell:

 
Wyniki zostaną przekierowane do pliku Fixlog.txt.
 
 
StartRegedit: — EndRegedit:
 
Do tworzenia i importu pliku rejestru (.reg). Składnia polecenia:

StartRegedit:
format pliku .reg
EndRegedit:


Załączenie nagłówka Windows Registry Editor Version 5.00 jest opcjonalne, w przeciwieństwie do nagłówka REGEDIT4 który jest wymagany.
 
Przykład:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:


W pliku Fixlog.txt pojawi się potwierdzenie operacji:

====> Registry [Rejestr]


Linia potwierdzająca pojawia się niezależnie od ewentualnych błędów w pliku .reg.



Te dyrektywy nie są zdolne przetworzyć kluczy/wartości zablokowanych lub z niepoprawną nazwą. Zobacz opis dyrektyw DeleteKey: i DeleteValue: wcześniej w tutorialu.




TasksDetails:

Do wyliczania dodatkowych detali zadań Harmonogramu związanych z czasem uruchomienia. Składnia polecenia:

TasksDetails:


Przykład:

========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)


Dyrektywa nie jest obsługiwana na Windows XP i działa tylko w trybie normalnym.


 
 
testsigning on:

Dotyczy systemu Windows Vista i nowszych. Malware może ominąć weryfikację integralności przy uruchamianiu systemu poprzez dodanie niestandardowego wpisu w BCD (Boot Configuration Data) włączającego tzw. "Tryb testu". Wymaganą procedurą jest wyczyszczenie systemu z malware i przywrócenie domyślnego BCD.

Należy zachować ostrożność przy manipulacjach na BCD, gdyż nieprawidłowo przeprowadzona naprawa spowoduje, iż komputer nie będzie się uruchamiał.



Gdy FRST zlokalizuje dowód na tego rodzaju modyfikację, zaraportuje to w następujący sposób:

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

 
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika <===== UWAGA


W przypadku, gdy malware jest nadal aktywny w systemie, znajdziemy również (ukryty) niepodpisany sterownik, objawiający się w logu na przykład tak:

S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()


Użytkownik może także opisać, iż widzi na swoim pulpicie:
"Właśnie zauważyłem, że w prawym dolnym rogu na moim pulpicie jest napis "Tryb testu, Windows 7, Build 7601". Nigdy wcześniej tego nie zauważyłem"

Pełny skrypt usuwający będzie następujący:

S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION


Poza usunięciem sterownika malware, FRST usunie wartość, która była dodana do BCD. Żadna dodatkowa akcja nie jest wymagana.

W sytuacji gdy inne narzędzia już częściowo wyczyściły system, z pominięciem jednak naprawy BCD, można wykorzystać następujący skrypt:

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION


Jeśli przywrócenie domyślnej (wyłączonej) postaci testsigning spowoduje problemy, w celu dalszej analizy skorzystaj z polecenia ponownie aktywującego ten tryb:

testsigning on:



Unlock:

Dyrektywa ta dla plików/katalogów ustawia jako właściciela grupę "Wszyscy" i daje dostęp Wszystkim. W przypadku katalogów działa rekursywnie. Powinna być stosowana w kontekście szkodliwych plików/katalogów. Do zablokowanych plików systemowych służy dyrektywa SetDefaultFilePermissions:.

W przypadku obiektów rejestru ustawia jako właściciela grupę "Administratorzy" i przyznaje grupom typowy dostęp. Działa wyłącznie na kluczu nadrzędnym (brak rekursywności). Ma zastosowanie do zarówno szkodliwych jak i autoryzowanych kluczy.

Skrypt będzie wyglądał następująco:

Unlock: ścieżka


Dyrektywa może zostać użyta na obiektach, dla których typowa operacja przenoszenia ukończyła się niepowodzeniem ze względu na brak uprawnień, co zostało odnotowane w pliku Fixlog.txt w postaci komunikatu "Could not move" / "Nie można przenieść". Przykład:

Unlock: C:\Windows\System32\szkodnik.exe


Aby przenieść plik po prostu dodaj osobno ścieżkę do skryptu naprawy:

Unlock: C:\Windows\System32\szkodnik.exe
C:\Windows\System32\szkodnik.exe


Polecenie można wykorzystać także do odblokowania zablokowanych kluczy rejestru. Przykładowe zastosowanie w skrypcie naprawczym uruchomionym z poziomu Środowiska odzyskiwania systemu (RE), przy założeniu, że bieżącą gałęzią konfiguracyjną jest ControlSet001:

Unlock: hklm\system\controlset001\SzkodliwaUsługa\NazwaPodklucza


Do usunięcia wpisu skorzystaj z dyrektywy Reg:. Pełna składnia będzie następująca:

Unlock: hklm\system\controlset001\SzkodliwaUsługa\NazwaPodklucza
Reg: reg delete hklm\system\controlset001\SzkodliwaUsługa /f

 

Zamiast kombinacji Unlock: i Reg: można zastosować dyrektywę DeleteKey:.




VerifySignature:

Sprawdzanie podpisu cyfrowego pliku. Składnia polecenia:

VerifySignature: ścieżka


Przykład:

VerifySignature: C:\Windows\notepad.exe

 
 
 
VirusTotal:
 
Do sprawdzania plików na VirusTotal. FRST wyszukuje poprzednio dostępną analizę w bazie VirusTotal. W przypadku jej braku, plik zostanie przesłany do analizy.
 
Można załączyć wiele plików, rozdzielonych średnikami. Składnia polecenia:

VirusTotal: ścieżka;ścieżka


Przykład:

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys

 
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)

 
Odczyt "0-byte MD5" oznacza jedno z tych: plik jest w użyciu, plik jest zablokowany, plik jest pusty, obiekt nie jest plikiem lecz linkiem symbolicznym.
 
 
Zip:

Pakowanie wybranych plików/folderów do archiwum Data_Czas.zip na Pulpicie, w celu dostarczenia przez użytkownika do analizy. W przypadku plików/folderów z powielonymi nazwami zostanie utworzone więcej niż jedno archiwum.
 
Można załączyć dowolną ilość ścieżek, rozdzielonych średnikami. Składnia polecenia:

Zip: ścieżka;ścieżka


Przykład:

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#13
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

Komentarze do tutorialu można umieszczać tutaj.

Rewizje tutorialu:
01/18/2017 W sekcji Registry dodana informacja o zablokowanych kluczach zaplanowanych do usunięcia przy restarcie
01/24/2017 Usunięty link do niemieckiej wersji tutoriala
02/01/2017 Podmieniony link do francuskiej wersji tutoriala
02/13/2017 Opis Unicode przeniesiony z sekcji FRST.txt do Wprowadzenia i zaktualizowany o nowe przykłady
02/13/2017 Instrukcje czyszczenia wpisów wtyczek typu "No file" usunięte z opisu Chrome (kontrola wtyczek nie jest dostępna w Chrome 56+)
02/13/2017 Zaktualizowane różne przykłady i poprawione linki
02/19/2017 Dodana dyrektywa ExportKey:
02/23/2017 Dodana dyrektywa ExportValue:
03/05/2017 Dodana dyrektywa DeleteValue:
03/05/2017 Dyrektywa DeleteKey: jest już obsługiwana w trybie Recovery
05/05/2017 Dodany skrót Ctrl+y automatycznie generujący pusty fixlist.txt
05/05/2017 Opis Chrome zaktualizowany o instrukcje poprawnego obchodzenia się z przekierowaniami Nowej karty oraz rozszerzeniami
05/05/2017 Różne mniejsze zmiany
05/06/2017 Dodane tworzenie skryptu naprawy za pośrednictwem schowka systemowego
05/06/2017 Uaktualnione tzw. "wklejki" (Canned Speeches) -> nie dotyczy polskiej wersji tutoriala
06/05/2017 Dodana detekcja Niezaufanych certyfikatów w sekcji Registry
06/07/2017 Dodana dyrektywa CreateDummy:
06/07/2017 W opisie Firefox dodane flagowanie profilów
06/14/2017 Etykieta "Shortcuts" przemianowana na "Shortcuts & WMI" w Addition.txt
06/14/2017 Uściślone wyjaśnienia tyczące rozszerzeń Chrome na poziomie rejestru
07/04/2017 Niemiecki tutorial zaktualizowany i ponownie dodany do oficjalnej listy tłumaczeń
07/04/2017 Rozszerzony skan Custom CLSID
07/04/2017 Dodane ustawienia SmartScreen w sekcji Other Areas
07/04/2017 Zaktualizowany opis Internet Explorer
07/04/2017 Różne uproszczenia i mniejsze zmiany
07/08/2017 Linie CHR Extension nie są już przetwarzane w skrypcie naprawy
08/19/2017 Zaktualizowany ustęp "Informacja o tutorialu"
08/19/2017 Dodana dyrektywa VirusTotal:
08/19/2017 Dyrektywa File: zaktualizowana o sprawdzanie VirusTotal
08/19/2017 Uściślone zachowanie dyrektywy Folder: w kontekście rekursywności
08/19/2017 W opisie Accounts dodana informacja, że konta Microsoftu nie są wykrywane
10/05/2017 Dodana adnotacja na temat limitu czasowego naprawy
10/05/2017 W sekcji Bamital & volsnap dodana detekcja zablokowanych/zerobajtowych sterowników oraz wyłączonego trybu Recovery
10/05/2017 Dodana dyrektywa FilesInDirectory:
10/05/2017 Opisy dyrektyw File: i Folder: rozdzielone oraz zaktualizowane
10/10/2017 Dodane funkcje FindFolder: i SearchAll: do przycisku "Search Files"
10/10/2017 Zaktualizowany opis dyrektywy FindFolder:
10/21/2017 Zaktualizowane przykładowe nagłówki FRST.txt i Addition.txt pokazujące kompilację Windows 10
10/24/2017 W opisie Fixing dodane objaśnienie słowa kluczowego "CurrentUserName"
11/27/2017 Rozdzielone opisy przygotowywania skryptu via Fixlist.txt i Ctrl+y


Aktulizacje z lat 2013-2016 w spoilerze:

Spoiler


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#14
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

Drobne zawiadomienie. Obecnie odpowiadam także za aktualizacje angielskiej wersji tutoriala FRST, czyli zmiany wprowadzane w obu wersjach językowych powinny być bardziej "zgrane czasowo", o ile w moim wykonaniu. Wcześniej moja rola była ograniczona do sugerowania zmian. Moje aktualizacje zaczynają się od dnia 04/20/2016.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#15
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

Dodana nowa dyrektywa FilesInDirectory:, oraz kilka detekcji w sekcji Bamital.

 

[post na kasację]


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#16
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

Dodane funkcje FindFolder: i SearchAll: do pola Szukaj, podwiązane pod przycisk Szukaj plików (drobna niezgodność nazewnicza).

 

[post na kasację]


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#17
picasso

picasso

    Administrator

  • Administratorzy
  • 36845 postów
  • Skąd:Holandia

Dodane obejście dla logów zmodyfikowanych przez użytkownika (podmiana nazwy użytkownika w fałszywym przeświadczeniu "ochrony prywatności") poprzez zastosowanie słowa kluczowego CurrentUserName.

 

[post na kasację]


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Również z jednym lub większą ilością słów kluczowych: Windows 10, Windows 8, Windows 7, Vista, XP

Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych