farbar recovery scan tool что за программа
Скачать бесплатно Farbar Recovery Scan Tool 29.10.2021
Farbar Recovery Scan Tool – небольшая утилита для сканирования системных файлов и служб Windows: процессы, службы, реестр, драйвера и т. д. После завершения программа составляет подробный отчет, который используется для диагностики и выявления неполадок. Также она устраняет некоторые проблемы.
Пользоваться Farbar Recovery Scan Tool довольно просто. Запустите программу и выберите объекты, которые необходимо проверить. По умолчанию установлены реестр, процессы, службы, интернет, драйвера. Также вы можете указать дополнительные параметры. Для запуска сканирования нажмите Scan.
После завершения программа сформирует отчет, которой сохраняется в той же директории, где находится сама программа. Их этого отчета вы узнаете информацию о вашем ПК, загрузке системы, процессах, реестре, драйверах и т. д. По этим данным специалист может проверить стабильность системы и наличие вредоносных программ.
Особенности программы
• Проверка системных файлов, процессов, реестра и служб Windows на стабильность и наличие вирусов.
• Формирование подробного отчета по каждой проверке.
• Сохранение отчета в текстовом формате.
• Простой и удобный интерфейс.
• Поддерживает Windows XP и выше.
Программу Farbar Recovery Scan Tool можно скачать абсолютно бесплатно.
Farbar Recovery Scan Tool (32bit)
Farbar Recovery Scan Tool (FRST) — это бесплатный и очень удобный сканер безопасности операционной системы.
Почему стоит бесплатно скачать Farbar Recovery Scan Tool (FRST)
Приложение Farbar Recovery Scan Tool предназначена для анализа ключевых элементов операционной системы Windows, а затем, по результату своей работы, представит подробный отчет о выявленных проблемах в системе. Программа осуществит проверку работоспособности компьютера на наличие уязвимостей и протестирует установленные на компьютере компоненты и, в частности, проверит систему на наличие проблем, вызванных вредоносными программами. Приложение может быть запущено в безопасном режиме в среде Windows Recovery Environment.
Принцип работы программы
Поддержка приложений в Farbar Recovery Scan Tool очень проста — нужно всего лишь указать область системы, которую нужно проверить, а затем нажать на «Scan». После проведения анализа будет создан тестовый файл FRST.txt в котором подробно описаны выявленные проблемы. Возможности для тестирования операционной системы очень обширны и достаточно просто запустить программу и проверить это. В отчете после проверки, вы найдете: ключи реестра, службы, изменения в файловой системе, информация о драйверах и установленном программном обеспечении, версия ос Windows, перечень активных процессов, настройки браузеров Internet Explorer, Chrome, Mozilla Firefox, свойства памяти и жесткого диска, содержимое папки TEMP, записи в Hosts, загруженные модули, права пользователя, вошедшего в систему. Приложение оснащено дополнительной функцией по восстановлению системы после возникшего сбоя при работе операционной системы.
К интересным особенностям программы можно отнести следующее — это проверка контрольных сумм MD5 для ключевых системных процессов, а также поиск нужных пользователю файлов.
Farbar Recovery Scan Tool является бесплатным для скачивания и использования программным обеспечением, доступным на условиях лицензии freeware. Приложение может быть использовано как для некоммерческих, так и коммерческих организаций. Программу не нужно устанавливать в операционную систему, а достаточно просто перенести приложение на жесткий диск или на флешку и запустить.
Если нужна 64 битная версия
Здесь представлена версия Farbar Recovery Scan Tool для 32-х битной версии операционной системы Windows. Если вам нужно скачать и установить Фарбар Рекавери Скан Тул для 64-х битной ОС Виндовс, то перейдите по следующей ссылке:
Farbar Recovery Scan Tool (64-bit) — удобное приложение сканирования системы
Вы можете не только бесплатно скачать Farbar Recovery Scan Tool для 32-х битной версии операционной системы Windows с нашего сайта, но и если вы ищите приложения сканирования системы, то вам будут полезны и другие бесплатные программы:
Trojan Remover – полезный инструмент для удаления троянских программ.
UnHackMe – практичная программа для обнаружения и удаления вредоносных программ-руткитов
Farbar Recovery Scan Tool (64bit)
Farbar Recovery Scan Tool (FRST) 64bit — это бесплатный и очень удобный сканер безопасности операционной системы.
Приложение Farbar Recovery Scan Tool 64 bit предназначена для анализа ключевых элементов операционной системы Windows, а затем, по результату своей работы, представит подробный отчет о выявленных проблемах в системе. Программа осуществит проверку работоспособности компьютера на наличие уязвимостей и протестирует установленные на компьютере компоненты и, в частности, проверит систему на наличие проблем, вызванных вредоносными программами. Приложение может быть запущено в безопасном режиме в среде Windows Recovery Environment.
Поддержка приложений в Farbar Recovery Scan Tool 64 bit очень проста — нужно всего лишь указать область системы, которую нужно проверить, а затем нажать на «Scan». После проведения анализа будет создан тестовый файл FRST.txt в котором подробно описаны выявленные проблемы. Возможности для тестирования операционной системы очень обширны и достаточно просто запустить программу и проверить это. В отчете после проверки, вы найдете: ключи реестра, службы, изменения в файловой системе, информация о драйверах и установленном программном обеспечении, версия ос Windows, перечень активных процессов, настройки браузеров Internet Explorer, Chrome, Mozilla Firefox, свойства памяти и жесткого диска, содержимое папки TEMP, записи в Hosts, загруженные модули, права пользователя, вошедшего в систему. Приложение оснащено дополнительной функцией по восстановлению системы после возникшего сбоя при работе операционной системы. К интересным особенностям программы можно отнести следующее — это проверку контрольных сумм MD5 для ключевых системных процессов, а также поиск нужных пользователю файлов.
Farbar Recovery Scan Tool 64 bit является бесплатным для скачивания и использования программным обеспечением, доступным на условиях лицензии freeware. Приложение может быть использовано как для некоммерческих, так и коммерческих организаций. Программу не нужно устанавливать в операционную систему, а достаточно просто перенести приложение на жесткий диск или на флешку и запустить.
Если нужна 32 битная версия
Здесь представлена версия Farbar Recovery Scan Tool для 64-х битной версии операционной системы Windows. Если вам нужно скачать и установить Фарбар Рекавери Скан Тул для 32-х битной ОС Виндовс, то перейдите по следующей ссылке:
Farbar Recovery Scan Tool (64-bit) — удобное приложение сканирования системы
Вы можете не только бесплатно скачать Farbar Recovery Scan Tool для 64-х битной версии операционной системы Windows с нашего сайта, но и если вы ищите приложения сканирования системы, то вам будут полезны и другие бесплатные программы:
Trojan Remover – полезный инструмент для удаления троянских программ.
UnHackMe – практичная программа для обнаружения и удаления вредоносных программ-руткитов
Руководство по Farbar Recovery Scan Tool (FRST)
Dragokas
Very kind Developer
Farbar Recovery Scan Tool
Последнюю версию можно скачать здесь:
Farbar Recovery Scan Tool (FRST) является диагностическим инструментом, который также способен выполнять специально подготовленные решения на основе скриптов для лечения систем, зараженных вредоносным ПО. Он одинаково хорошо работает как в обычном, так и в безопасном режимах загрузки ОС. Инструмент эффективно работает и в среде восстановления Windows, когда у системы имеются проблемы с загрузкой. Способность работать в среде восстановления делает его весьма полезным при решении проблем на системах, где возникают сложности в процессе загрузки.
Информация о руководстве
(Прим. переводчика – краткое описание директив выше было добавлено мною для удобства)
Подтверждённые хелперы и эксперты, которые имеют необходимый доступ, могут быть в курсе последних разработок, заглянув в тему FRST Discussion Thread: https://bleepingcomputer.com/forums/t/360106/farbar-recovery-scan-t
Dragokas
Very kind Developer
Одной из самых сильных сторон FRST является его простота. Он разработан с учетом удобства для пользователя. Строки, которые содержат ссылки на инфицированные объекты, можно распознать, скопировать из лога, вставить в блокнот и сохранить. Дальше после нажатия на кнопку программа сделает все остальное. Это обеспечивает значительную гибкость. Как только появляются новые вирусы, они сразу же могут быть опознаны и включены в список для фикса.
Где он может работать
Farbar’s Recovery Scan Tool предназначен для работы на операционных системах Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 и Windows 11. Существуют 2 версии – для 32-битных и 64-битных систем.
Примечание: FRST64 не разрабатывался для работы на 64-битной Windows XP.
Диагностика
FRST создает отчёт, который охватывает определенные области системы. Его можно использовать для первичного анализа проблемы и получения некоторой информации о системе.
Программа постоянно совершенствуется. Часть разработки состоит в том, чтобы вносить сигнатуры новых вирусов. Соответственно, очень рекомендуется периодически обновлять программу. Как только FRST будет запущен, если ПК подключен к сети интернет, произойдет автоматическая проверка на наличие обновлений. В этом случае появится уведомление о том, что можно скачать последнюю версию.
Если проявляется новое заражение, либо по какой-то причине нет подключения к сети, эксперт должен быть в курсе последних разработок в области вредоносного ПО, чтобы обеспечить раннее выявление проблемы. Неопытный пользователь должен обратиться за помощью к эксперту, если заметит новое заражение или будет не в состоянии опознать проблему на своей машине.
Убедитесь, что FRST запущен с правами Администратора. Программа будет работать правильно только при условии, что запущена пользователем, который имеет права администратора. Если у пользователя нет административных привилегий, вы увидите об этом предупреждение в заголовке отчёта FRST.txt.
В некоторых случаях антивирусные программы могут помешать нормальному запуску и работе FRST. Чаще всего это не будет являться проблемой, но будьте готовы к тому, что антивирусная программа может заблокировать запуск FRST, когда вы запрашиваете сканирование. Во время фикса предпочтительно отключать защитные программы, в частности Comodo, которые могут помешать инструменту при выполнении своей работы.
Основная рекомендация для каждого – при заражении руткитом не рекомендуется давать в одной рекомендации сразу несколько программ лечения.
Следует сперва получить отчёт о лечении FRST, и только затем давать другие программы.
Резервную копию реестра создавать не обязательно. При первом запуске FRST создаёт резервную копию ульев реестра. Бекапы располагаются по пути: %SystemDrive%\FRST\Hives (в большинстве случаев: C:\FRST\Hives). Подробности см. в секции «RestoreFromBackup:».
FRST доступен на нескольких языках. Хелперы, как правило, выбирают английский для анализа проблем. Если хелпер или кто-то другой, кому нужна помощь, желает предоставить логи на английском языке, достаточно просто запустить FRST, добавив слово «English» к имени файла, например, EnglishFRST.exe или EnglishFRST64.exe, или FRSTEnglish.exe, или FRSTEnglish64.exe. Лог получится на английском.
Пользователь инструктируется, что необходимо скачать FRST на рабочий стол. Оттуда проще простого дважды щелкнуть мышкой по иконке FRST, принять условия отказа от ответственности, и запустить программу. Иконка FRST похожа на эту:
Примечание: Вам нужна версия, совместимая с системой пользователя. Существует 32 и 64-разрядные версии. Если вы не уверены, какая из версий применима, пользователю необходимо скачать обе и попробовать запустить каждую. Только одна из них сможет запуститься. Это и будет правильная версия.
Когда FRST запустится, пользователю будет представлено окно, подобное этому:
Как только FRST завершит анализ, он сохраняет отчёт в той же папке, из которой был запущен. При первом и последующих сканированиях вне среды восстановления будут созданы отчёты FRST.txt и Addition.txt.
Копии лога сохраняются по пути: %systemdrive%\FRST\Logs (в большинстве случаев это будет путь: C:\FRST\Logs).
Внимание, очень важно : Farbar Recovery Scan Tool не является агрессивным и в режиме сканирования не может навредить машине.
В FRST есть целый ряд команд и ключей, которые можно использовать для управления процессами компьютера и для исправления обнаруженных проблем.
____________________________________________________________________________
Примечание: важно использовать именно Блокнот*. Фикс не будет работать, если использовать MS Word или какую-нибудь другую программу.
*Прим. переводчика: тем не менее можно использовать и другие продвинутые редакторы, которые не добавляют в файл специальное форматирование, например, такие как AkelPad, Bred3, Notepad++, SynWrite и др.
2. Метод Ctrl+Y. Можно использовать комбинацию клавиш Ctrl+Y, чтобы создать и открыть пустой файл для заполнения. Запустите FRST, нажмите Ctrl+Y, чтобы открыть пустой файл, вставьте фикс, нажмите Ctrl+s для сохранения.
Попросите пользователя скопировать всё содержимое, включая Start:: и End:: и нажать кнопку «Fix».
___________________________________________________________________________
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки и работает только за пределами Среды Восстановления.
Dragokas
Very kind Developer
При первом и последующих запусках за пределами среды восстановления создаются логи FRST.txt и Addition.txt. Лог Addition.txt не создается, если FRST запущен в среде восстановления.
1. Сканирования, которые выполняются в обычном режиме:
2. Сканирования, которые выполняются в среде восстановления:
Вот пример заголовка:
Чтение заголовка может оказаться очень полезным:
Первая строка: говорит о том, какой из вариантов FRST запущен – 32 или 64-битный. Также указывается версия FRST. Запись о версии является особенно важной. Старая версия может не содержать наиболее свежего функционала.
Вторая строка: показывает, кем запущен инструмент и с какими правами. Это может предупредить Вас, владеет ли пользователь необходимыми правами. Строка также показывает имя компьютера, а также производителя системы и модель (если доступна). Дата и время, когда был запущен инструмент, полезны для опознавания старых логов, которые пользователь мог случайно выложить.
Третья строка: говорит Вам, откуда был запущен FRST. Это может быть полезно при подготовке инструкций для фикса, если инструмент запущен из другого расположения, нежели рабочий стол.
Четвертая строка: говорит Вам, под какой учетной записью (профилем) вошел пользователь, т.е. загруженные пользовательские улья (ntuser.dat и UsrClass.dat).
Примечание: если загружен более, чем один аккаунт (с использованием «Сменить пользователя» или «Выйти из системы» для перехода между аккунтами) FRST перечисляет все аккаунты в секции «Loaded Profiles» и их записи в реестре. Остальные не загруженные аккаунты не будут перечисляться в секции «Loaded Profiles», но FRST будет автоматически монтировать соответствующие улья (только ntuser.dat) для сканирования реестра.
Пятая строка: ведет запись о редакции Windows на машине, включая данные об основных обновлениях (версию и билд ОС для Windows 11 и Windows 10; «Update» для Windows 8.1; Service Pack для Windows 7 и более ранних ОС), а также используемый язык. Это может предупредить Вас о проблеме с обновлениями, если они устарели.
Шестая строка: показывает Вам браузер по-умолчанию.
Седьмая строка: говорит Вам, в каком режиме была загружена ОС.
После этого указывается строка со ссылкой на руководство.
Примечание 2: Информация в заголовке при запуске в среде восстановления является точно такой же, за исключением строки с пользователями, т.к. она специально урезана, поскольку профили пользователей не загружены.
Предупреждения, которые могут указываться в заголовке
Если возникают проблемы при загрузке, вы можете увидеть что-то наподобие «ATTENTION: Could not load system hive» («Внимание: не могу загрузить системный улей»). Это говорит о том, что потерян улей системы. В качестве решения проблемы может быть восстановление улья через команду LastRegBack: (см. ниже).
«Default: Controlset001» – уведомление говорит Вам, какой из конфигурационных разделов (CS) в системе загружен по умолчанию. Зачем Вам это нужно? В обычной ситуации Вам это не нужно, но в случае, если вы желаете заглянуть вовнутрь или воздействовать на CS, который был загружен, когда Windows запустилась, то теперь вы знаете имя необходимого CS. Попытка сделать что-либо с другими доступными CS не окажет влияния на систему.
____________________________________________________________________________
, добавленный в конец строки, указывает на кол-во экземпляров процесса.
Есть две причины, по которым может понадобиться остановить процесс. Во-первых, вы можете остановить защитное ПО, которое может помешать фиксу. Во-вторых, вы можете остановить вредоносный процесс и затем удалить папку или файл, связанный с ним.
Чтобы остановить процесс, добавьте соответствующую строку из анализа FRST.
Будет создан Fixlog.txt с пометкой: Имя процесса => Process closed successfully (процесс успешно завершен).
Если у Вас есть вредоносный процесс, и вы желаете удалить связанный с ним файл или папку, то Вам нужно включить этот пункт отдельно в ваш фикс, подобно этому:
Записи реестра (ключи и параметры), взятые из лога FRST, и включенные в fixlist для удаления, будут удалены. FRST содержит мощную процедуру удаления ключей и параметров. Все ключи и параметры, которые сопротивляются удалению из-за недостатка привилегий или включенных null символов, будут удалены. Ключи, которые сопротивляются удалению из-за блокировки прав, будут запланированы для удаления после перезагрузки. Единственные ключи, которые не будут удалены, это те, которые всё ещё защищены драйвером режима ядра. Такие ключи/параметры необходимо удалять после того, как будет удален или отключен драйвер режима ядра, защищающий их.
Копирование и вставка пунктов лога в фикс приведет к тому, что FRST выполнит одно из двух действий над перечисленными ключами/параметрами реестра:
— Восстановит ключ/параметр по умолчанию или
— Удалит ключ/параметр.
Если в fixlist скопированы записи лога, которые относятся к параметрам BootExecute, winlogon (Userinit, Shell, System), LSA и AppInit_DLLs, то инструмент восстановит значения по умолчанию.
Примечание: в случае с AppInit_DLLs, когда есть один вредоносный путь, FRST удаляет только этот конкретный путь из значений AppInit_DLLs без удаления остальных.
Нет необходимости в написании батника или фикса реестра. Тоже самое касается и некоторых других важных ключей/параметров, которые могут быть подменены вирусом.
Примечание: FRST не трогает файлы, которые указаны в этих ключах. Если вам нужно переместить эти файлы, перечислите их отдельно, указав полный путь без прочей информации.
Скопированные в fixlist записи Run, Runonce, Image File Execution Options и другие записи реестра будут удалены из реестра. Файлы, которые они загружают или выполняют, не будут удалены. Если вы желаете удалить их, Вам нужно перечислить их отдельно.
Например, чтобы удалить вредоносную запись run вместе с файлом, Вам нужно перечислить их в fixlist следующим образом (первая строка была скопирована непосредственно из лога):
Примечание: Первая строка перемещает только ярлык. При указании второй строки будет перемещен файл helper.vbs. Если вы укажете только вторую строку, исполняемый файл будет удален, но ярлык останется в папке автозагрузки. Как только следующий раз система загрузится, она выведет ошибку при попытке ярлыка запустить исполняемый файл, так как он не сможет найти свою цель.
В случае, если вредоносное ПО эксплуатирует недоверенные сертификаты или политики ограничения ПО (Software Restriction Policies), вы увидите записи, подобные этим:
Примечание: опознавание настроено на обычный домашний компьютер без настроенных политик и может привести к пометке легитимных записей, внесённых вручную через gpedit.msc.
Секция Scheduled Tasks
(планировщик заданий)
Если запись включена в fixlist, будет исправлено само задание.
Пожалуйста, обратите внимание, что FRST удаляет только записи реестра и перемещает файл задачи, но не перемещает исполняемый файл. Если исполняемый файл является вредоносным, его необходимо добавить отдельной строкой в fixlist, чтобы удалить.
Примечание: вредоносное ПО может использовать легитимные исполняемые файлы (например, через sc.exe запускать свою службу) для запуска своего собственного файла. Другими словами, Вам нужно проверять исполняемый файл, чтобы убедиться, легитимный он или нет, прежде чем принимать меры.
Следующая строка не должна включаться в fixlist:
За исключением нескольких случаев, все записи, скопированные в fixlist, будут удалены. Для связанных с записями реестра файлов и папок, их необходимо отдельно внести в фикс, чтобы они переместились. Это не относится к записям браузеров. Подробнее, см. описание ниже.
Если запись «Catalog5» взята для фикса, FRST сделает одну из двух вещей:
1. В случае подмены стандартных записей, он восстановит значение по умолчанию.
2. В случае с другими записями, он удалит их и перенумерует каталог записей.
Если собираетесь фиксить запись «Catalog9», то сначала рекомендуется воспользоваться «netsh winsock reset»:
Если посторонние записи «Catalog9» все еще останутся, их можно перечислить для фикса. В этом случае FRST удалит записи и перенумерует каталог.
Будьте осторожны: поврежденная цепочка помешает машине подключиться к интернет.
Повреждения при доступе к сети интернет в связи с потерянными записями в Winsock будут указаны в логе подобно этому:
Если в Hosts присутствуют сторонние записи, вы увидите строку в секции «Internet» в отчёте FRST.txt, в которой будет сказано:
Если файл Hosts не обнаружен, там будет запись о том, что программа не в состоянии обнаружить Hosts.
Чтобы сбросить записи в файле Hosts, просто скопируйте и вставьте строки в fixlist и файл hosts будет сброшен. Вы увидите строки в Fixlog.txt подтверждающие сброс.
См. также Hosts в разделе Addition этого руководства.
TCP/IP и прочие записи
Если записи включены в fixlist, они будут удалены.
Примечание: DNS сервера, настроенные в реестре (DhcpNameServer и NameServer) можно сравнить с секцией «DNS servers» из Addition.txt, чтобы определить, какие из настроек являются активными.
_______________________________________________________________________________________________
Примечание: в случае с подменой StartMenuInternet для IE, FF, Chrome и Opera – стандартные записи внесены в белый список. Если в логе FRST появляется запись, это означает, что путь не является стандартным. Здесь могло пойти что-то не так с доступом к ветви реестра. В таком случае необходимо провести дополнительное расследование. Проблемные записи могут быть включены в fixlist, что приведет к восстановлению значения по умолчанию.
Примечание: расширения, которые устанавливались не через официальные репозитории (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera add-ons), будут определяться через ссылку на URL обновления.
На Windows 10 обе версии браузеров определяются и перечисляются вместе в отчёте.
Классический Edge: кроме DownloadDir, остальные строки можно указывать в fixlist и элементы будут удалены.
Edge на движке хрома: применяются те же правила, что и для Google Chrome. См. описание ниже.
FRST перечисляет ключи и профили браузера Firefox (FF) (если они присутствуют) вне зависимости от того, установлен FF или нет. Если существует несколько профилей Firefox-a или его клонов, FRST перечислит настройки и расширения (Extensions) всех профилей. Нестандартные профили, добавленные рекламным ПО, будут помечены.
Кроме FF DefaultProfile и FF DownloadDir, остальные строки можно указывать в fixlist и элементы будут удалены.
FRST проверяет цифровые подписи дополнений. Неподписанные дополнения будут помечены.
FRST перечисляет ключи Хрома (если они присутствуют) вне зависимости от того, установлен он или нет. При наличии нескольких профилей, FRST будет читать настройки и расширения во всех профилях. Помечаются нестандартные профили, добавленные рекламным ПО.
Сканирование настроек (preferences) включает изменение домашней страницы и StartupUrls, включённое восстановление сессии, некоторые параметры прочих поисковых провайдеров по-умолчанию и разрешённые уведомления:
При включении в fixlist домашней страницы, StartupUrls и оповещений (Notifications), они будут удалены. Обработка других записей приведёт к частичному сбросу Chrome и пользователь может увидеть следующее сообщение на странице настроек Chrome: «Chrome обнаружил, что некоторые из настроек были повреждены другой программой и сбросил их на исходные».
FRST также определяет переадресации «Новой вкладки», которые контролируются расширениями. Чтобы удалить переадресацию, найдите соответствующее расширение (если присутствует) и удалите его как положено с помощью Инструментов Chrome (см. ниже).
Исключением является расширение инсталлятора, расположенное в реестре (метки CHR HKLM and HKU). Если запись включена в fixlist, ключ будет удалён.
Другие браузеры, основанные на движке Хрома
На данный момент поддерживаются следующие браузеры: Brave, Opera, Vivaldi, Yandex Browser.
Такие же правила применяются для браузера Google Chrome. См. описание выше.
Для браузеров, которые не отображаются в логе, лучшим способом будет полное удаление с перезагрузкой системы и переустановкой браузера.
Dragokas
Very kind Developer
Services / Drivers
(Службы и драйвера)
Записи служб и драйверов выводятся в таком формате:
Состояние работы – это буква рядом с цифрой, которая обозначает текущее состояние работы:
R=Running (Запущена)
S=Stopped (Остановлена)
U=Undetermined (Неопределенное)
Цифры «Тип запуска» есть такие:
0=Boot (загрузочный)
1=System (системный)
2=Auto (автоматически)
3=Demand (вручную)
4=Disabled (отключен)
5=назначается FRST, если он не в состоянии прочитать значение Start Type
Если вы видите [X] на конце строки записи, это означает, что FRST не смог найти файл, ассоциированный с этой конкретной службой или драйвером, и записал в лог путь к ImagePath или ServiceDll таким, как он указан в реестре.
Стандартные службы Microsoft, указывающие на неподписанные файлы, требуют ремонта.
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
В данном случае файл необходимо заменить на оригинальную копию. Чтобы его исправить, используйте команду Replace:.
Чтобы удалить вредоносную службу или драйвер, скопируйте строку из лога сканирования в fixlist. Любой связанный со службой файл необходимо указывать отдельно.
Каждая запись NetSvc перечислена в отдельной строке, подобно этому:
Примечание: перечисление NetSvc лишь удаляет ассоциированное значение из реестра. Связанная с ним служба должна быть указана для удаления отдельно.
Пример:
Чтобы удалить значение NetSvc, ассоциированную с ней службу в реестре и связанный с ней файл DLL, полный скрипт будет выглядеть следующим образом:
Анализ «Created» сообщает о файлах и папках с указанием сперва даты и времени создания, а рядом даты и времени модификации. В анализе «Modified» указано наоборот, сперва – дата и время изменения файла или папки, а затем – дата и время создания. Также указывается их размер (число байтов). Для папок указывается 00000000, поскольку папка не имеет размера.
Примечание: чтобы избежать длительного сканирования, а также создания длинных логов, сканирование ограничено только некоторыми заранее определенными папками. Также, FRST перечисляет определённые папки, но не их содержимое. Если вы желаете узнать, что внутри, используйте директиву Folder:.
Примечание: Проверка ЭЦП ограничена исполняемыми файлами Microsoft (внесены в белый список по умолчанию). Проверка ЭЦП других файлов не выполняется. Чтобы получить дополнительный список неподписанных исполняемых файлов, используйте опциональную проверку SigCheck.
FRST добавляет пометки к определенным записям лога:
C – Compressed (сжатый)
D – Directory (папка)
H – Hidden (скрытый)
L – Symbolic Link (символическая ссылка)
N – Normal (обычный – не имеет других атрибутов)
O – Offline (вне сети)
R – Readonly (только для чтения)
S – System (системный)
T – Temporary (временный)
X – атрибут «No scrub» (не выполнять проверку файла для коррекции ошибок на томах ReFS) (Windows 8+)
Чтобы удалить файл или папку, указанную в этой секции, просто скопируйте и вставьте всю строку в fixlist.
Строки, которые указывают на символические ссылки (атрибут L), обрабатываются корректно.
Пример:
Альтернативно, можно воспользоваться директивой DeleteJunctionsInDirectory:.
Чтобы пофиксить остальные файлы и папки, их пути можно перечислить в fixlist. Для путей с пробелами не нужны кавычки:
Если у Вас есть много файлов с похожими именами и вы желаете переместить их одним скриптом, можно использовать подстановочный символ *
Таким образом, вы можете либо перечислить эти файлы так:
Примечание: символ знака вопроса «?» игнорируется в целях безопасности вне зависимости от того, является ли он подстановочным символом или заменой юникодного знака (см. описание в разделе «Юникод» под введением). Также, подстановочные знаки не поддерживаются для папок.
FLock
В секции перечисляются заблокированные файлы и папки в стандартных директориях.
FCheck
Эта секция предназначена для перечисления плохих файлов при их обнаружении, например, подмена DLL. Также некоторые файлы нулевого размера (exe и dll файлы) в стандартных директориях. Секция появляется только, если обнаружены совпадения.
Known DLLs
(хорошо известные DLL)
Если некоторые записи из этой секции потеряны, пропатчены или повреждены, это может привести к проблемам с загрузкой. Соответственно, это сканирование появляется только при загрузке инструмента в среде восстановления (Recovery Environment).
Все записи, кроме тех, что нуждаются во внимании, внесены в белый список.
Требуется осторожность при работе с записями, указанными в этой секции. Файл либо отсутствует, либо, по-видимому, был каким-то образом изменен. Поэтому необходима помощь эксперта, чтобы убедится в том, что проблемный файл был правильно определен, и затем обрабатывать его соответствующим образом. В большинстве случаев в системе уже есть оригинальный файл для замены, который можно найти с помощью функции Поиска FRST. Пожалуйста, посмотрите секцию «Директивы и команды» этого руководства для того, чтобы узнать, как заменять файл, а также секцию «Другие опциональные сканирования», чтобы узнать, как осуществлять поиск.
FRST проверяет множество важных системных файлов. Файлы без правильной ЭЦП или потерянные файлы будут отображены. Вне среды восстановления секция спрятана, когда у файлов не обнаружено проблем.
Модификация системных файлов является признаком возможного заражения. Если инфекция опознана, необходимо принять меры для выполнения лечебных действий. Нужно получить помощь у эксперта, так как удаление системных файлов может привести к тому, что система откажется загружаться.
Пример взят из заражения (Hijacker.DNS.Hosts):
В таком случае файл необходимо заменить оригинальной копией. Используйте команду Replace:
Некоторые версии заражения SmartService отключают Режим восстановления. FRST делает автоматический откат изменений BCD во время сканирования:
Примечание: секция «Association» появится в логе FRST.txt, если запустить проверку в среде восстановления. Если FRST запускать не в среде восстановления, то она появится в Addition.txt. Проверка в среде восстановления ограничена выводом ассоциаций только для EXE-файлов.
Перечисляет ассоциации для файлов EXE, действующие для всей системы, например так:
HKLM\. \exefile\open\command: C:\Windows\svchost.com «%1» %* Restore Points
(Контрольные точки восстановления)
Примечание: секция «Restore Points» указывается в логе FRST.txt, когда FRST запущен в Среде восстановления. При запуске вне Среды восстановления эта секция будет находиться в Addition.txt.
Здесь перечисляются точки восстановления.
Примечание: FRST может восстанавливать улья только в Windows XP. В Windows Vista и выше восстанавливаться из точек восстановления следует через Опции системы восстановления, загрузившись в RE (Среду восстановления).
Чтобы пофиксить, включите строку, из которой вы хотите восстановиться, в скрипт fixlist.
Пример для Windows XP:
Memory info
(Информация о памяти)
Примечание: секция «Memory info» появится в логе FRST.txt только при запуске в среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt и будет содержать больше информации (BIOS, материнская плата, процессор).
Сообщает объем ОЗУ (Оперативного Запоминающего Устройства), установленного на машине, а также доступный объем физической памяти и процент свободной памяти. Иногда это может объяснить симптомы машины. Например, отображаемый объем может не соответствовать тому, что пользователь считает, что у него установлен. В логе может указываться меньший объем, чем реально установленный на машине. Это может случиться, когда ОС не в состоянии получить доступ ко всему объему памяти, который установлен. К вероятным проблемам можно причислить: сбойные модули ОЗУ или слоты на материнской плате либо что-то, мешающее BIOS в определении объема памяти (например, необходимо обновление BIOS). Также, в 32-битных системах при установке более, чем 4 ГБ памяти, будет сообщаться максимум о 4 гигабайтах. Это ограничение 32-битных приложений.
Также перечисляется информация об общем и доступном объёме виртуальной памяти.
Drives / MBR & Partition Table
(Диски, MBR и таблица разделов.)
Примечание: секции «Drives» и «MBR & Partition Table» появятся в логе FRST.txt только при запуске в Среде восстановления. Вне среды восстановления эта секция указывается в логе Addition.txt.
Перечисляет несъёмные и съёмные диски, подключённые к машине в момент сканирования. Несмонтированные разделы идентифицируются по их путям в формате «Volume GUID».
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)
После выполнения этого, в папку, куда загружен FRST/FRST64, будет сохранен файл MBRDUMP.txt.
Примечание: несмотря на то, что дамп MBR может быть сделан как в обычном режиме, так и в среде восстановления, некоторые вирусы могут подделать MBR. Таким образом, рекомендуется делать дамп именно в среде восстановления.
Есть много причин, по которым вы можете захотеть воспользоваться этим бекапом в качестве решения проблемы, но наиболее общая из них – когда произошло повреждение.
Вы можете увидеть это в заголовке FRST:
Dragokas
Very kind Developer
Заголовок отчёта Additional
Содержит краткое изложение информации, которая будет полезна.
Вот пример заголовка:
1-я строка: говорит, какой из вариантов FRST запущен – 32 или 64 битный. Также указываются сведения о версии программы.
2-я строка: показывает, кем запущен инструмент, а также дату и время.
3-я строка: говорит, откуда FRST был запущен.
4-я строка: записывает версию Windows и дату установки.
5-я строка: говорит, в каком режиме была запущена проверка.
Вредоносные записи можно добавлять в fixlist для удаления.
Примечание: будет удалён только сам аккаунт. Вероятная папка пользователя в директории Users должна быть указана отдельно, чтобы её удалить.
Security Center
(Центр безопасности)
Вы могли заметить, что список содержит остатки от ранее удаленных программ защиты. В этом случае строку можно включить в fixlist, чтобы удалить запись.
Существуют некоторые программы защиты, которые сопротивляются удалению записи, если они не были полностью удалены. В этом случае, вместо подтверждения об удалении, вы увидите в Fixlog:
Installed Programs
(установленные программы)
Перечисляет классические настольные программы и пакеты Windows 11/10/8.
Предустановленные чистые пакеты Microsoft исключаются. Пакеты от Microsoft и других издателей, поддерживающие рекламу, помечены как [MS Ad].
Включённые или отключённые элементы, которые видно в автозапуске, помечены как [Startup Task].
Перечисляются сторонниe классы, созданныe в пользовательских ульях, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers и FolderExtensions.
Чтобы пофиксить вредоносные записи, просто добавьте их в fixlist и FRST удалит ключи из реестра. Связанные файлы и папки необходимо перечислить отдельно, чтобы их переместить.
Примечание: легитимные программы сторонних производителей могут создавать Custom CLSID, поэтому необходима осторожность, т.к. легитимные записи удалять не нужно.
Если включены в fixlist, изменённые стандартных записи будут восстановлены, а сторонние записи будут удалены из реестра. Связанные файлы должны быть перечислены отдельно для удаления.
Shortcuts & WMI
(ярлыки и WMI)
Перечисляются подмененные и подозрительные ярлыки в папке пользователя, который вошел в систему, а также в корне папок C:\ProgramData\Microsoft\Windows\Start Menu\Programs и C:\Users\Public\Desktop.
Записи можно включить в fixlist для исправления – см. Shortcut.txt в разделе «Другие опциональные сканирования».
Примечание: в анализе Shortcut.txt содержатся все ярлыки всех пользователей, а в отчёте Addition.txt – только подмененные / подозрительные ярлыки в профиле пользователя, который вошел в систему.
FRST проверяет пространство WMI на нестандартные регистрации. Известные инфекции помечаются.
Пример, полученный после заражения майнером Cryptocurrency:
Загруженные модули внесены в белый список на основе валидной цифровой подписи. Таким образом, пункты, не прошедшие проверку ЭЦП, будут отображены.
Alternate Data Streams
(альтернативные потоки данных)
FRST перечисляет ADS подобно этому:
AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]
Размер ADS (количество содержащихся байт) отображается в квадратных скобках в конце пути.
Если поток присоединен к легитимному файлу или папке, то для фикса нужно целиком скопировать и вставить всю строку из лога в fixlist:
В первом случае FRST удалит только сам поток из файла или папки.
Во втором случае файл или папка будет удалена.
Safe Mode
(безопасный режим)
Если какой-либо из главных ключей отсутствует (SafeBoot, SafeBoot\Minimal или SafeBoot\Network), об этом будет сказано. В таком случае, их необходимо исправить вручную.
Если там будет запись, созданная вирусом, ее можно включить в fixlist для удаления.
Association
(обратитесь к секции «Association» ранее в этом руководстве)
Заголовок секции содержит версию Internet Explorer на Windows 7 и старее.
В зависимости от типа объекта, FRST удалит пункы из реестра или восстановит их состояние по умолчанию.
Связанные файлы и папки необходимо указать отдельно, если их нужно переместить.
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
Строки нельзя обработать индивидуально:
— чтобы сбросить стандартный файл, используйте директиву Hosts: или включите строку с предупреждением о Hosts из главного файла FRST.txt.
— в случае с файлом hosts.ics, включите путь к файлу в fixlist.
Other Areas
(другие области)
Есть некоторые элементы в числе проверок FRST, которые не охватываются другими секциями. На данный момент для этих записей нет фикса.
Чтобы исправить переменную Path, можно воспользоваться ручным фиксом реестра или редактором переменных среды.
Примечание: повреждения Path могут повлиять на выполнение некоторых директив FRST (cmd: и Reg:), если использовались относительные пути к консольным инструментам.
Wallpaper
(рисунок рабочего стола).
Различные виды шифровальщиков используют эти настройки, чтобы отобразить вымогательское сообщение.
Нормальный путь может выглядеть так:
Если это вирусные записи, то путь к файлу можно добавить к фиксу вместе с другими связанными с ним файлами, найденными в FRST.txt.
Примечание: удаление вредоносной записи Wallpaper приведет к удалению фонового рисунка рабочего стола.
Пользователь должен будет настроить обои на рабочем столе.
Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Свойства», нажмите на вкладку «Рабочий стол», выберите картинку, нажмите «Применить» и «ОК».
В Windows Vista и выше:
Чтобы установить обои рабочего стола, нажмите правой кнопкой мыши в любом месте рабочего стола и выберите «Персонализация», нажмите на надписи «Фон рабочего стола», выберите одну из картинок и нажмите «Сохранить изменения».
DNS servers
(используемые в данный момент DNS)
Эта подсекция полезна для определения подмены DNS / настроек роутера.
Поищите информацию на сайте WhoisLookup, чтобы узнать является ли сервер легитимным.
Примечание: список серверов считывается не из реестра, поэтому система должна иметь выход в интернет.
Если FRST запущена в безопасном режиме или система не подключена к интернету, вы получите:
UAC
(контроль учётных записей)
Включён (настройка по умолчанию):
Это может случится потому что пользователь сам отключил UAC или из-за последствий воздействия вредоносного ПО. Если непонятно, является ли причиной этому вирус, следует обратиться с вопросом к пользователю, прежде чем давать фикс.
SmartScreen (Windows 8+)
Значения, поддерживаемые Windows:
Block (блокировать) | Warn (предупреждать) | Off (отключено) (на Windows 10 Version 1703+) либо
RequireAdmin (требуются права администратора) | Prompt (выдавать запрос) | Off (отключено) (на более старых системах).
Отсутствующее значение (настройка по-умолчанию на Windows 10 Version 1703+) или пустое значение будут отображаться в логе в таком виде:
Telephony Service Providers (TSP)
(телефония)
Стандартные записи и некоторые сторонние легитимные записи внесены в белый список. Строка видна только, когда была обнаружена сторонняя запись.
Вредоносные и испорченные записи требуют ручного фикса в реестре. Удалите соответствующие записи ProviderIDx и ProviderFileNamex и перенумеруйте соответственно остальные записи.
BITS
(фоновая интеллектуальная служба передачи данных)
Для удаления всех заданий BITS используйте директиву EmptyTemp:
Windows Firewall
(Сетевой экран Windows)
Отображает, включен или нет сетевой экран Windows. Если с системой возникли какие-то проблемы и FRST запущен в безопасном режиме, то записи о файрволе не будет.
Network Binding (Windows 8+)
(сетевая привязка)
Перечисляет нестандартные компоненты, привязанные к сетевым адаптерам. Сравните с секцией «Drivers» для поиска совпадающих пунктов.
В случае, если стандартный деинсталлятор не смог удалить элемент, сетевая привязка должна быть удалена прежде, чем вы будете обрабатывать драйвер. Следуйте процедуре, указанной в ESET Knowledgebase.
Примечание: убедитесь, что сетевая привязка удалена прежде, чем включать драйвер в fixlist. Иначе, удаление драйвера приведёт к поломке сетевого подключения.
MSCONFIG/TASK MANAGER disabled items
(отключённые элементы msconfig и Диспетчера задач)
Лог будет полезным, если пользователь воспользовался MSConfig или Диспетчером задач для отключения вредоносных записей вместо того, чтобы удалить их. Либо, если он отключил слишком много записей, и теперь не может добиться корректного запуска необходимых ему служб и программ.
Пример:
MSCONFIG в Windows 7 и более старых системах:
Читается следующим образом:
Примечание: Windows 8 и новее используют msconfig только для служб. Элементы Автозапуска перенесены в Диспетчер Задач, который хранит отключенные записи в разных ключах. Отключенные не отсутствующие элементы перечисляются дважды – в FRST.txt (секция Registry) и в Addition.txt.
Важно: Исправляйте записи из этой секции только, если вы уверены, что это вредоносная запись. Если вы не уверены в происхождении этой записи, не делайте исправление, чтобы избежать удаления легитимных элементов. В случае с отключёнными легитимными элементами, которые необходимо включить, пользователь должен быть проинструктирован, как включить их с помощью утилиты «Конфигурация системы» (MSCONFIG) или Диспетчера задач.
FirewallRules
(правила сетевого экрана)
Перечисляются FirewallRules, AuthorizedApplications и GloballyOpenPorts (правила файрвола, доверенные приложения и глобально открытые порты).
Примеры (Windows 10):
Если запись включена в fixlist, она будет удалена из реестра. Ни один из связанных с ней файлов не будет перемещен.
Restore Points
(Точки восстановления) – обратитесь к секции «Restore Points» ранее в этом руководстве.
Перечисляет доступные точки восстановления в таком формате:
Примечание: запись относится к точке восстановления, отключённой стандартным путём. Восстановление системы, отключённое через групповые политики, отображается в FRST.txt (в секции «Registry»). В обоих случаях восстановление системы можно автоматически включить. См. директиву SystemRestore:
Faulty Device Manager Devices
(неисправные устройства в «Диспетчере Устройств»)
Event log errors :
(Ошибки из журнала событий)
— Application errors (Ошибки приложений)
— System errors (Ошибки системы)
— CodeIntegrity errors (Ошибки проверки целостности ЭЦП)
— Windows Defender errors and warnings (Ошибки и предупреждения Защитника Windows)
Memory info
(информация о памяти) – обратитесь к подразделу «Memory info» ранее в этом руководстве.
MBR & Partition Table
(Главная загрузочная запись и Таблица разделов) – Обратитесь к разделу «Drives / MBR & Partition Table» ранее в этом руководстве.
Dragokas
Very kind Developer
Поставив галочку в чекбоксе в области «Optional Scan», FRST проверит запрошенные элементы.
List BCD
Перечисляются записи Данных конфигурации загрузки (Boot Configuration Data).
Перечисляет все виды ярлыков во всех стандартных учетных записях. Подмененные записи можно включить в fixlist для восстановления или удаления.
Чтобы пофиксить строки ShortcutWithArgument: просто скопируйте и вставьте их в fixlist. А для удаления объектов Shortcut: добавьте пути отдельно в фикс.
Полный скрипт может выглядеть примерно так:
Примечание: FRST удаляет из всех ярлыков аргументы, за исключением ярлыка Internet Explorer (No Add-ons).lnk. Аргумент этого ярлыка по умолчанию не пустой (он содержит ключ -extoff) и используется для запуска браузера Internet Explorer с отключением дополнений. Это очень важно для устранения неполадок с IE, поэтому аргумент этого ярлыка будет восстановлен.
Также примите к сведению, что если вы запустите какую-то другую программу, которая удаляет аргумент из Internet Explorer (No Add-ons).lnk, FRST не покажет его в списке ShortcutWithArgument: и таким образом аргумент больше нельзя будет восстановить через FRST. В таком случае пользователь может восстановить аргумент самостоятельно.
Чтобы восстановить аргумент самостоятельно, пользователь должен перейти к файлу Internet Explorer (No Add-ons).lnk:
Нажать правой кнопкой мыши по нему и выбрать «Свойства».
На вкладке «Ярлык» в поле ввода «Объект» добавить к указанному пути два пробела и -extoff
Нажать Применить и ОК.
90 Days Files
( файлы за последние 90 дней)
Если отмечена опция «90 Days Files», FRST перечислит «Three Months (Created/Modified)» вместо «One Month (Created/Modified)».
Search Files
(поиск файлов)
В окне FRST есть кнопка «Search Files». Для поиска файлов вы можете ввести или скопировать и вставить в окно поиска имена, которые желаете найти. Допускаются подстановочные знаки. Если вам нужно найти более одного файла имена файлов необходимо разделить знаком точки с запятой ;
Функция поиска файлов работает только в пределах системного диска. Бывают случаи, когда легитимный системный файл отсутствует или поврежден, что приводит к проблемам с загрузкой, а в системе нет для него замены. Если поиск проводится в Режиме восстановления (Vista и выше), он также включает файлы на диске X: (виртуальный загрузочный диск). В некоторых случаях он может оказаться спасителем. В качестве примера – отсутствующий файл services.exe, который можно скопировать из X:\Windows\System32 в C:\Windows\System32.
Примечание: Диск X: будет содержать только 64-битные исполняемые файлы в случае с 64-битной ОС.
Кнопка «Search Files» может быть использована для выполнения дополнительных видов поиска, см. ниже директивы FindFolder: и SearchAll:. Результаты будут записаны в отчёт Search.txt.
Search Registry
(поиск в реестре)
В окне FRST есть кнопка «Search Registry». Вы можете ввести или скопировать и вставить в окно поиска имя (имена) записей, которые желаете найти. Если Вам необходимо найти более одной записи, то имена нужно разделять знаком точки с запятой ;
В отличие от поиска файла, при выполнении поиска в реестре необходимо избегать добавления подстановочных знаков к поисковым фразам, потому что подстановочные знаки будут восприняты буквально. Если подстановочный знак («*» или «?») добавлен в начало или в конец искомой фразы реестра, FRST проигнорирует его и будет искать эту фразу без данного знака.
Отчёт SearchReg.txt сохраняется в ту же папку, где расположен FRST.
Примечание: функция поиска в реестре будет работать только вне Среды восстановления.
Для поиска папки(ок) на системном диске введите фразу со следующим синтаксисом в окно поиска и нажмите кнопку «Search Files»:
Для выполнения полного поиска (файлы, папки, реестр) на предмет наличия одного или нескольких терминов введите фразу со следующим синтаксисом в окно поиска и нажмите кнопку «Search Files»:
Не добавляйте подстановочные знаки к термину(ам). FRST автоматически интерпретирует термин(ы) как *термин(ы)* в случае с файлами и папками.
Примечание: Полный поиск, выполняемый в Режиме восстановления, ограничен только файлами и папками.
Dragokas
Very kind Developer
Директивы и команды
Каждая команда или директива в FRST должна быть расположена отдельной строкой, т.к. FRST обрабатывает строки скрипта одну за другой
Краткое описание директив и команд.
Примечание: Директивы и команды не чувствительны к регистру символов.
Для использования только в Обычном режиме:
Для использования в Обычном и Безопасном режимах:
Для использования в Обычном, Безопасном режимах и среде восстановления (RE):
Для использования только в среде восстановления (RE):
Завершает все процессы, не представляющие особой важности для системы. Помогает произвести фикс более эффективно и быстрее.
Иногда Вам нужно выполнить команду в CMD. В этом случае необходимо использовать директиву “CMD:”.
Скрипт будет таким:
Если у Вас более одной команды, поместите CMD: в начало каждой строки, чтобы получить вывод в логе для каждой команды.
Первая команда скопирует файлы минидампа на флешку (если у флешки буква диска – E).
Вторая команда используется для фикса MBR в Windows Vista и выше.
Альтернативно, можно воспользоваться директивами StartBatch: — EndBatch: (см. ниже).
Примечание: В отличие от родных и прочих директив FRST, команды cmd должны иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае наличия пробелов в пути к файлу или каталогу.
Для копирования файлов и папок в стиле, подобному xcopy.
Целевая папка будет создана автоматически (если не существует).
Примечание: для замены одного файла рекомендуется использовать директиву Replace:. В случае, если целевой файл существует, Copy: будет пытаться только перезаписать файл, в то время как Replace: дополнительно попробует разблокировать и переместить файл в карантин.
Создаёт заблокированную пустую папку, чтобы предотвратить восстановление плохого файла или папки. Пустую папку необходимо удалить после нейтрализации вредоносного ПО.
Для создания точки восстановления.
Примечание: эта директива работает только в Обычном режиме. Она также не будет выполняться, если отключена система восстановления.
Для удаления точек соединения (junction) используйте приведенный синтаксис:
DeleteKey: и DeleteValue:
Наиболее эффективный способ удаления ключей/параметров, который обходит ограничения стандартных алгоритмов удаления, присутствующих в директивах Reg: и StartRegedit: — EndRegedit:.
Способность удаления ключей с помощью FRST распространяется на символические ссылки, ключи, которые заблокированы из-за отсутствия необходимых привилегий и ключи, которые содержат символы Null. Нет необходимости использовать директиву Unlock:.
Для ключей и параметров, которые защищены с помощью запущенной программы (по ним будет получен «отказ в доступе»), вам необходимо использовать Безопасный режим (чтобы обойти защиту запущенных программ) или удалить ее основные компоненты перед использованием команд.
Примечание: если среди перечисленных для удаления ключей есть ссылки на другой ключ реестра, будет удален ключ-источник, который является символической ссылкой. Цель этого ключа не будет удалена. Это сделано для предотвращения удаления обоих ключей, вредоносной символической ссылки, которая могла указывать на легитимный ключ и самого легитимного ключа. В ситуациях, когда оба ключа являются вредоносными – ключ-источник и его цель, необходимо перечислить их оба при удалении.
После завершения очистки папки %SystemDrive%\FRST (обычно, C:\FRST), созданной инструментом FRST, ее необходимо удалить с компьютера. В некоторых случаях эту папку не получается удалить вручную в связи с тем, что в папке %SystemDrive%\FRST\Quarantine содержатся заблокированные или необычные вредоносные файлы или папки. Команда DeleteQuarantine: удалит папку Quarantine.
Не следует использовать инструментарий перемещения файлов для удаления файлов из C:\FRST, поскольку эти инструменты лишь перемещают файлы в свой собственный каталог и он все равно остается в системе.
Команду нужно просто добавить в fixlist, подобно этому:
Примечание: автоматическая деинсталляция FRST (см. описание под инструкцией) включает такую же возможность удаления заблокированного карантина.
Для удаления обычной службы или службы драйвера, вы можете использовать следующий скрипт:
FRST установит тип запуска службы на «Отключено» и служба не запустится при следующей загрузке ОС.
Следующие папки будут очищены:
— Temp папки Windows
— Temp пользователей
— Кеши, хранилища HTML5, куки и история (для браузеров, проверенных FRST, кроме клонов Firefox)
— Кеш недавно открытых файлов
— Кеш Flash Player
— Кеш Java
— Кеш Steam HTML
— Кеш миниатюр Explorer и кеш иконок
— Очередь передачи BITS (файлы qmgr.db и qmgr*.dat)
— Корзина.
Если используется директива EmptyTemp:, после фикса система будет перезагружена. Нет необходимости использовать директиву Reboot:.
Также вне зависимости от того, в какую часть скрипта добавлена EmptyTemp:, в начало, средину или конец fixlist, она будет выполнена после исполнения всех остальных строк fixlist.
Важно: при использовании директивы EmptyTemp: объекты удаляются навсегда. Они не перемещаются в карантин.
Примечание: директива отключена в среде восстановления с целью предотвращения нанесения вреда.
Более надежный способ просмотра содержимого ключа. Директивы преодолевают некоторые ограничения regedit.exe и reg.exe. Разница между директивами заключается в объеме данных. ExportKey: перечисляет все параметры и подразделы рекурсивно, а ExportValue: показывает только параметры в разделе.
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\НедействительныйКлюч ]
«Скрытый параметр»=»Скрытое значение»
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ]
HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ => Access Denied.
Примечание: Экспорт предназначен только для исследовательских целей и не может быть использован для резервного копирования или операции импорта.
Используется для проверки свойств файла. Можно включить несколько файлов, разделив их точкой с запятой:
Примечание: для более, чем 4 файлов, используйте единственную директиву с точку с запятой в качестве разделителя вместо множества директив, чтобы гарантировать, чтобы все доступные ссылки VirusTotal будут отображены.
Примечание: Проверка цифровой подписи не доступна в Режиме Восстановления.
Примечание: Директива File: не предоставляет автоматическую загрузку на VirusTotal, в отличие от директивы VirusTotal:
Используются для проверки содержимого папки. Директива FilesInDirectory: предназначена для перечисления только файлов, которые соответствуют одному или нескольким шаблонам *, в то время как Folder: предназначена для получения всего содержимого папки. Вывод обоих директив будет отображать контрольную сумму MD5.
====== End of Filesindirectory ======
Примечание: директива Folder: работает рекурсивно и перечисляет содержимое всех подкаталогов. Поэтому она может создавать гигантские отчёты.
См. Функции поиска в секции «Другие опциональные сканирования». Директива работает подобным образом, как и FindFolder: в окне поиска, но результат сохраняется в Fixlog.txt.
Предназначена для сброса Hosts. Также, см. hosts в секции «Основное сканирование (FRST.txt)».
Используется для перечисления разрешений на файлы / каталоги / ключи, включенные в скрипт:
Иногда операция переименования или перемещения файла, особенно если она выполняется между дисками, бывает проблематичной и команда MS Rename может завершиться неудачей. Чтобы переместить или переименовать файл, используйте следующий скрипт:
Инструмент перемещает файл-назначение в папку Quarantine (если этот файл существует). Затем перемещает файл-источник в расположение указанного назначения.
Примечание: С помощью директивы Move: можно выполнять переименование.
Примечание 2: путь назначения должен содержать имя файла, даже если файл отсутствует в папке назначения.
Предназначен для запуска команды или файла-скрипта в оболочке PowerShell.
1. Для выполнения единственной команды в PowerShell и получения ее вывода в Fixlog.txt синтаксис будет таким:
2. Для выполнения единственной команды в PowerShell и получения ее вывода в текстовый файл (не Fixlog.txt) используйте операторы перенаправления или командлет Out-File:
3. Для запуска готового файла-скрипта (.ps1), который содержит одну или более строк (команд) PowerShell, синтаксис будет таким:
Альтернативно, можете воспользоваться директивами StartPowershell: — EndPowershell: (см. ниже).
Для перезагрузки компьютера.
Не имеет значения, в какую часть fixlist вы ее добавите. Даже если она будет добавлена в начало, перезагрузка будет выполнена по завершению всех остальных фиксов.
Примечание: эта команда не будет работать и не нужна в среде восстановления.
Для управления реестром Windows с помощью консольной утилиты reg.exe.
Примечание: в отличие от родных директив FRST, команда Reg должна иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае, когда имя ключа или параметра содержит пробел.
Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.
Предназначена для удаления (не перемещения в карантин) каталогов с урезанными правами или ошибками в пути или имени. Не нужно использовать директиву Unlock:. Эта директива должна использоваться для каталогов, которые сопротивляются обычной операции перемещения. Если она будет использована в Безопасном режиме, то окажется очень мощной, а в среде восстановления – еще более мощной.
Скрипт будет выглядеть так:
Убирает некоторые из ограничений, связанные с настройками политик Internet Explorer, подобно «HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer» или ProxySettingsPerUser в HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Команда удаляет параметр «ProxyEnable» (если он задан как 1), параметры «ProxyServer», «AutoConfigURL», «DefaultConnectionSettings» и «SavedLegacySettings» из ключей HKLM и пользователей. Команда также устанавливает параметр BITSAdmin в значение NO_PROXY.
Дополнительно, команда удаляет значение по-умолчанию ключа «HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies», если он изменен.
Примечание: Если запущена программа или служба, которая восстанавливает эти параметры, ее необходимо деинсталлировать, а службу удалить, прежде чем использовать команду. Это будет гарантировать, что настройки прокси не вернутся обратно.
Для замены файла используйте следующий скрипт:
Инструмент перемещает файл-назначение (если он существует) в папку Quarantine. Затем копирует файл-источник в позицию назначения.
Он не переместит файл-источник и он останется в оригинальном расположении. Таким образом, на примере выше файлы dnsapi.dll в папках WinSxS останутся там на будущее.
Примечание: путь назначения должен включать в себя имя файла, даже если он сейчас отсутствует в папке назначения.
Примечание 2: в случае, если папка назначения отсутствует, команда не выполнится. FRST не восстанавливает полную структуру каталога. Вместо этого можно воспользоваться директивой Copy:.
Restore From Backup:
При первом запуске FRST копирует ульи в папку %SystemDrive%\FRST\Hives (обычно, C:\FRST\Hives) в качестве резервной копии. Она не будет перезаписана при последующих запусках утилиты, если только не была создана более 2 месяцев назад. Если что-то пошло не так, любой из ульев можно восстановить. Синтаксис будет таким:
Вы можете восстановить целиком содержимое карантина, один или несколько файлов или папок из карантина.
Чтобы восстановить содержимое карантина целиком синтаксис будет либо:
Примечание: Если файл уже существует (за пределами карантина) по пути назначения, FRST не перезапишет его. Оригинальный файл не будет перемещен и останется в карантине. Однако если вам все же нужно восстановить файл из карантина, необходимо удалить или переименовать файл в папке назначения.
Служит для восстановления MBR. Для записи файла MBR.bin на диск FRST использует программу MbrFix, которая сохранена на флеш-накопитель. Вот что необходимо для фикса:
1. Программа MbrFix/MbrFix64
2. MBR.bin, который требуется восстановить.
3. Скрипт, в котором указана буква диска:
Примечание: MBR, который нужно восстановить, следует назвать MBR.bin, упаковать в архив и прикрепить в теме.
Обратитесь к секции Drives / MBR & Partition Table этого руководства.
Чтобы создать копию MBR, используйте следующий синтаксис:
Примечание: после выполнения этого, на флеш-накопителе будет создан файл MBRDUMP.txt, который пользователю необходимо прикрепить к своему сообщению в теме.
Директива создана для работы с заблокированными системными файлами. Она назначает группу «Администраторы» владельцем и в зависимости от системы предоставляет привилегии разрешения для стандартных групп.
Примечание: директива не назначит Trusted-installer владельцем, тем не менее, директиву можно использовать на системных файлах, которые были заблокированы вредоносным ПО.
Скрипт будет таким:
Для создания и запуска пакетного файла.
Вывод будет переадресован в Fixlog.txt.
См. также директиву CMD: ранее в этом руководстве.
Более лучшая альтернатива для создания и запуска файла PowerShell, который содержит несколько строк (см. директиву Powershell: ранее в этом руководстве).
Вывод будет переадресован в Fixlog.txt.
Предназначена для создания и импорта файла реестра (.reg).
Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив DeleteKey: и DeleteValue: ранее в этом руководстве.
Используется для включения или отключения восстановления системы.
Если используется переключатель «On», FRST проверяет, достаточно ли свободного места для включения восстановления системы. Если условия не соблюдены, будет напечатана ошибка.
Выводит подробности о задании, связанные с временем выполнения.
Синтаксис таков:
Примечание: Директива не поддерживается в Windows XP и работает полнофункционально только в обычном режиме.
В безопасном режиме вы получите информацию только о файлах *.job.
Применим к Windows Vista и выше; не поддерживается на устройствах со включённым Secure Boot.
Прим. переводчика: см. также описание Secure Boot.
Включённый testsigning (тестовый режим) является нестандартной модификацией BCD (Boot Configuration Data – Данные конфигурации загрузки ОС), которая сделана вредоносным ПО или пользователем, пытающимися установить несовместимый драйвер. Если FRST находит улики подобного вмешательства, он сообщит примерно так:
Прим. переводчика:
Кроме того на рабочем столе появится надпись, подобная этой:
Осмотрите секцию «Drivers» в поисках драйвера, связанного с предупреждением. В зависимости от ситуации, включите драйвер вместе с предупреждением или только само предупреждение в fixlist.
Если после обработки fixlist-а возникнут побочные эффекты, воспользуйтесь этой директивой, чтобы заново включить тестовый режим для дальнейшего поиска и решения проблемы:
В случае с файлами и папками, директива меняет владельца на группу «Все», а также даёт ей права и работает рекурсивно, если применяется к каталогам. Директиву необходимо применять к вредоносным файлам и каталогам. Чтобы разблокировать системные файлы, используйте директиву SetDefaultFilePermissions:
В случае с элементами реестра она меняет владельца на группу «Администраторы», даёт группам обычный доступ и применяется только для указанного ключа. Её можно использовать как для вредоносных, так и легитимных ключей.
Скрипт будет таким:
Иногда обычная операция перемещения не работает из-за привилегий. Вы поймёте это, когда увидите в логе Fixlog.txt «Could not move» (Не могу переместить Файл/Каталог). В этом случае вы можете использовать директиву «Unlock:» на тех файлах или папках.
Примечание: Директива DeleteKey: может быть использована вместо комбинации Unlock: и Reg:.
Для проверки файлов через VirusTotal. FRST выполнит поиск предыдущей проверки файла в базе данных VirusTotal. Если файл ни разу не проверялся на VirusTotal, он будет загружен для анализа.
Можно включить несколько файлов, разделив их точкой с запятой
Для более, чем 4 файлов, используйте единственную директиву с точку с запятой в качестве разделителя вместо множества директив, чтобы гарантировать, чтобы все доступные ссылки VirusTotal будут отображены.
Метка «0-byte MD5» указывает на то, что либо файл используется, либо заблокирован, либо путь указывает на символическую ссылку.
Для упаковки файлов / папок и сохранения их на рабочий стол под именем Дата_Время.zip с целью последующей загрузки пользователем. Для файлов и папок с дублирующимися именами будет создано более одного архива.
Можно включать как угодно много файлов, разделив их точкой с запятой.
Через точку с запятой можно перечислить сколько угодно много файлов или папок.
Dragokas
Very kind Developer
Пример инструкции для экспертов, специализирующихся в помощи по борьбе с вредоносным ПО.
Для запуска пользователем FRST в обычном режиме:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также «Shortcut.txt».
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте [URL=»https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/»]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также «Shortcut.txt».
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в [URL=’https://safezone.cc/threads/17759/’]этом руководстве[/URL].
Для запуска FRST на Windows Vista / 7 / 8 / 8.1 / 10 в среде восстановления (RE).
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.
Скопируйте FRST на флэш-накопитель:
Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер.
Выберите Командная строка
В командной строке введите следующее:
notepad и нажмите клавишу Enter.
Откроется Блокнот. В меню Файл выберите Открыть.
Выберите «Компьютер», найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду e :\frst64.exe и нажмите клавишу Enter
Примечание: Замените букву e на букву вашего флэш-накопителя.
Скачайте [URL=’https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/’][B]Farbar Recovery Scan Tool[/B][/URL] и сохраните на Рабочем столе.
[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.
Скопируйте FRST на флэш-накопитель:
Загрузитесь в среду восстановления с жесткого диска (нажмите [B]F8[/B] и выберите пункт [B]Устранение неполадок компьютера[/B]). Вставьте USB-накопитель в компьютер.
Выберите [B]Командная строка [/B]
В командной строке введите следующее:
[B]notepad[/B] и нажмите клавишу [B]Enter[/B].
Откроется Блокнот. В меню Файл выберите [B]Открыть[/B].
Выберите «Компьютер», найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду [B][COLOR=#FF0000]e[/COLOR]:\frst64.exe[/B] и нажмите клавишу [B]Enter
Примечание:[/B] Замените букву [COLOR=#FF0000][B]e[/B][/COLOR] на букву вашего флэш-накопителя.
[LIST]
[*]После того, как программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.
[*]Нажмите кнопку [B]Scan[/B].
[*]После окончания сканирования на флэш-накопителе будет создан отчёт ([B]FRST.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.
[/LIST]
Подробнее читайте в [URL=’https://safezone.cc/threads/17759/#post-190088′]этом руководстве[/URL].
Для выполнения фикса из файла в обычном и безопасном режимах загрузки Windows.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]Start::
CreateRestorePoint:
EmptyTemp:
Reboot:
End::[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в [URL=’https://safezone.cc/threads/17760/’]этом руководстве[/URL].
[List]
[*] Отключите до перезагрузки антивирус.
[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
Подробнее читайте в [URL=’http://safezone.cc/threads/17760/’]этом руководстве[/URL].
Для выполнения фикса в среде восстановления (RE):
Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем fixlist.txt.
ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.
Теперь, пожалуйста, войдите в консоль Среды восстановления.
Запустите FRST/FRST64 и нажмите кнопку Fix всего один раз и подождите.
Инструмент создаст лог на флешке (Fixlog.txt). Пожалуйста, разместите его в своем ответе.
Откройте блокнот. Пожалуйста, скопируйте в него содержимое из окна ниже. Чтобы это сделать, выделите содержимое окна, нажмите правой кнопкой мыши на нём и выберите «Скопировать». Вставьте это в открытый блокнот. Сохраните файл на флешке под именем [B]fixlist.txt[/B].
[quote]
Содержимое скрипта
[/quote]
[COLOR=red][B]ВНИМАНИЕ: Этот скрипт написан специально для данного пользователя для использования на конкретной машине. Если вы запустите его на другой машине, это может привести к повреждению операционной системы.[/B][/COLOR]
Теперь, пожалуйста, войдите в консоль Среды восстановления.
Запустите [B]FRST/FRST64[/B] и нажмите кнопку [B]Fix[/B] всего один раз и подождите.
Инструмент создаст лог на флешке ([B]Fixlog.txt[/B]). Пожалуйста, разместите его в своем ответе.
Примечание: удобно использовать шаблоны из сборника шаблонов (от regist), который периодически обновляется (доступ только для студентов 2 курса).
____________________________
Спасибо regist за полную вычитку и правки.
Этот перевод является официальным и обновляется сихронно с оригиналом.
Информацию о предыдущих обновлениях можно найти ниже.
Dragokas
Very kind Developer
Изменения за предыдущие года:
04.01.2016 – Флаг «Attention» убран из разъяснения секции «Shortcuts».
04.01.2016 – В FirewallRules добавлено GloballyOpenPorts.
05.03.2016 – Внесены правки в секцию «Alternate Data Streams» (информация о размере)
05.03.2016 – Добавлена директива Zip:
20.04.2016 – Обновлено описание подсекции «Opera»
20.04.2016 – Более доходчиво описана секция «Services and Drivers»
20.04.2016 – Добавлен атрибут «X» в секцию «One month. Scans»
20.04.2016 – Ссылка на «Alternate Data Streams» удалена из секции «Лечение»
20.04.2016 – Обновлена секция «Bamital & volsnap»
20.04.2016 – Заменена ссылка «Internet Explorer zones»
20.04.2016 – Описания секций «Hosts content» и «Restore Points» добавлены в раздел Addition.txt
20.04.2016 – В список очистки EmptyTemp: добавлены кеш Steam HTML и BITS.
20.04.2016 – Описание «Search Files» дополнено заметкой о проверке цифровой подписи.
20.04.2016 – Добавлена заметка о том, что проверка цифровой подписи не доступна в Среде восстановления
20.04.2016 – Различные мелкие и косметические правки
28.04.2016 – Добавлено замечание, касающееся ограничений в сканировании «One month. »
28.04.2016 – Обнаружение заражения WMI добавлено в анализ Shortcuts (Addition.txt)
28.04.2016 – Обновлено описание «Shortcut.txt»
10.05.2016 – Секция «Ассоциации EXE» переименована в «Ассоциации» (во всех сканированиях) и расширена (только в сканировании Addition.txt)
10.05.2016 – Подправлен вывод директивы File:
12.05.2016 – Содержание руководства реорганизовано и упрощено
11.06.2016 – Добавлена ссылка на русский перевод
16.06.2016 – Обновлен список областей сканирования по умолчанию.
16.06.2016 – Убрана поддержка подстановочного знака «?» при обработке файлов и папок, а также при поиске в реестре.
16.06.2016 – Добавлена директива Powershell:
16.06.2016 – Правки в описание директивы Zip:
16.06.2016 – Указаны ограничения области поиска директивы FindFolder: и функции Search Files.
18.06.2016 – К перечислению EmptyTemp: добавлен кеш иконок.
05.07.2016 – Обновлено описание директивы Powershell.
22.07.2016 – Добавлены парные директивы StartBatch: — EndBatch: и StartPowershell: — EndPowershell:
22.07.2016 – Исправлены описания SetDefaultFilePermissions: и Unlock:
22.07.2016 – Отчёт «Search Registry» переименован в SearchReg.txt
25.07.2016 – Добавлена парная директива StartRegedit: — EndRegedit:
25.07.2016 – Обновлено описание директивы Reg:
15.08.2016 – Секция Edge дополнена расширениями
22.09.2016 – Обновлено описание отключённых элементов MSCONFIG/Диспетчера задач новыми примерами и пояснениями о фиксе.
13.10.2016 – Старое определение, связанное с модификацией ZeroAccess («File name is altered») удалено из секции «Реестр»
13.10.2016 – Расширено пояснение политик в секции «Реестр», чтобы охватить ограничения SAFER, скрипты GPO, обновлено определение Registry.pol
13.10.2016 – Обновлено описание Firefox, чтобы отразить переделанную проверку, которая теперь включает все профили (включая также клоны Firefox)
13.10.2016 – Обновлено описание Chrome, чтобы включить пометку профилей и обработку настроек
13.10.2016 – Поле Addition.txt теперь всегда заранее отмечено
13.10.2016 – Добавлена директива TasksDetails:
09.12.2016 – Фикс службы «Themes» (Темы) был добавлен в исключения в секции «Службы».
09.12.2016 – Резервная копия кустов реестра старше 2 месяцев будет перезаписываться
09.12.2016 – Описание директивы Zip: обновлено, чтобы отобразить изменения, связанные с порядком именования архивов
18.01.2017 – Описание секции «Реестр» расширено и включает информацию, что заблокированные ключи будут запланированы для удаления после перезагрузки.
24.01.2017 – Удалена ссылка на немецкий перевод
01.02.2017 – Заменена ссылка на французский перевод
13.02.2017 – Описание секции «Юникод» перенесено из раздела с описанием «FRST.txt» в раздел «Лечение» и обновлено новыми примерами
13.02.2017 – Убрана очистка плагинов с пометками «No file» из описания «Chrome» (управление плагинами недоступно в Chrome 56+)
13.02.2017 – Обновлены различные примеры и скорректированы ссылки
19.02.2017 – Добавлена директива ExportKey:
23.02.2017 – Добавлена директива ExportValue:
05.03.2017 – Добавлена директива DeleteValue:
05.03.2017 – Директива DeleteKey: теперь поддерживается в Режиме Восстановления
05.05.2017 – Добавлена горячая клавиша Ctrl+y для автоматического создания пустого fixlist.txt
05.05.2017 – Обновлено описание секции «Chrome» и теперь включает инструкции, как обрабатывать переадресацию «Новой вкладки» и расширения
05.05.2017 – Различные небольшие правки
06.05.2017 – Добавлено создание фикса через буфер обмена
06.05.2017 – В раздел «Реестр» добавлено определение «Недоверенных сертификатов»
07.06.2017 – Добавлена директива CreateDummy:
07.06.2017 – Обновлено описание секции «Firefox» и теперь включает пометку профилей
14.06.2017 – метка «Shortcuts» переименована в «Shortcuts & WMI» в файле Addition.txt
14.06.2017 – Уточнено объяснение по поводу расширений Chrome в реестре
04.07.2017 – Обновлён перевод на немецкий и включён в список официальных переводов
04.07.2017 – Расширено сканирование сторонних классов CLSID
04.07.2017 – Добавлены настройки SmartScreen в секцию «Other Areas» (Другие области)
04.07.2017 – Обновлено описание Internet Explorer
04.07.2017 – Различные изменения и упрощения
08.07.2017 – Строки CHR Extension больше не обрабатываются в фиксе
08.07.2017 – Список шаблонов инструкции заменён на наш собственный из сборника шаблонов
19.08.2017 – Обновлена информация о руководстве
19.08.2017 – Добавлена директива VirusTotal:
19.08.2017 – Директива File: обновлена, чтобы включать информацию о проверке VirusTotal
19.08.2017 – Уточнение на счёт рекурсии в директиве Folder:
19.08.2017 – В описание секции «Учётные записи» внесены правки о том, что учётные записи Microsoft не обнаруживаются
05.10.2017 – Добавлено пояснение ограничения времени лечения в секцию «Лечение»
05.10.2017 – Добавлено детектирование заблокированных файлов и файлов с объёмом в 0 байт, а также определение отключённого Режима восстановления в секцию «Bamital & volsnap»
05.10.2017 – Добавлена директива FilesInDirectory:
05.10.2017 – Описания директив File: и Folder: разделены и обновлены.
10.10.2017 – Для кнопки «Search Files» добавлены функции FindFolder: и SearchAll:
10.10.2017 – Обновлено описание директивы FindFolder:
21.10.2017 – Заменены залоговки примеров логов FRST.txt и Addition.txt для отображения версии билда Windows 10.
24.10.2017 – Пояснение замены «CurrentUserName» добавлено в секцию «Лечение».
27.11.2017 – разделены описания Fixlist.txt и Ctrl+y.
17.01.2018 – Упрощено описание определения заблокированных драйверов в секции «Bamital & volsnap».
17.02.2018 – Добавлена директива Copy:
17.02.2018 – Добавлен лог событий защитника Windows.
17.02.2018 – Описания «Диски», а также «MBR и таблица разделов» обновлены и включают несмонтированные тома и схемы, основанные на UEFI/GPT.
20.02.2018 – Удалены описания обнаружений руткита TDL4 из секций «Bamital & volsnap» и «Диски».
25.02.2018 – отсылки на ZeroAccess удалены из описаний в секциях Winsock, NetSvcs, One Month.
25.02.2018 – Заменено объяснение символических ссылок под секцией «One Month».
25.02.2018 – Директива nointegritychecks on: удалена (больше не поддерживается).
25.02.2018 – Описание testsigning on: заменено на более общую и упрощённую версию.
25.02.2018 – Удалено определение «Chrome dev build detected!».
25.02.2018 – Из описаний «Firefox» и «Chrome» удалены старые описания.
25.02.2018 – Описание секции «SmartScreen» поправлено, чтобы включить Windows 10 Version 1703
25.02.2018 – Различные мелкие изменения
11.03.2018 – Информация о пожертвованиях удалена
17.03.2018 – Разные технические правки от regist
03.05.2018 – Добавлено описание деинсталляции FRST
17.05.2018 – Добавлена проверка политик Firefox
17.05.2018 – Уточнение пояснения «Установленных программ»