Директивы и команды
Каждая команда или директива в FRST должна быть расположена отдельной строкой, т.к. FRST обрабатывает строки скрипта одну за другой
Краткое описание директив и команд.
Примечание: Директивы и команды не чувствительны к регистру символов.
Для использования только в Обычном режиме:
CreateRestorePoint:
SystemRestore:
TasksDetails:
Для использования в Обычном и Безопасном режимах:
CloseProcesses:
EmptyEventLogs:
DeleteKey: и DeleteValue:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VirusTotal:
Zip:
Для использования в Обычном, Безопасном режимах и среде восстановления (RE):
cmd:
Comment:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteQuarantine:
DisableService:
ExportKey: и ExportValue:
File:
FilesInDirectory: и Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
Symlink:
testsigning on:
Unlock:
Для использования только в среде восстановления (RE):
LastRegBack:
Restore From Backup:
RestoreMbr:
Примеры использования
CloseProcesses:
Завершает все процессы, не представляющие особой важности для системы. Помогает произвести фикс более эффективно и быстрее.
Если эта директива включена в фикс, она автоматически применит перезагрузку. Нет необходимости использовать директиву
Reboot: . Директива
CloseProcesses: не нужна и не доступна в среде восстановления.
CMD:
Иногда Вам нужно выполнить команду в CMD. В этом случае необходимо использовать директиву “CMD:”.
Скрипт будет таким:
Если у Вас более одной команды, поместите CMD: в начало каждой строки, чтобы получить вывод в логе для каждой команды.
Пример:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Первая команда скопирует файлы минидампа на флешку (если у флешки буква диска – E).
Вторая команда используется для фикса MBR в Windows Vista и выше.
Альтернативно, можно воспользоваться директивами
StartBatch: — EndBatch: (см. ниже).
Примечание: В отличие от родных и прочих директив FRST, команды cmd должны иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае наличия пробелов в пути к файлу или каталогу.
Comment:
Добавляет текстовое описание того, что будет выполнено следующими командами.
Пример:
Comment: Следующая команда удалит все сетевые прокси из системы
RemoveProxy:
Copy:
Для копирования файлов и папок в стиле, подобному xcopy.
Синтаксис таков:
Copy: исходный файл/папка целевая папка
Целевая папка будет создана автоматически (если не существует).
Пример:
Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\
Примечание: для замены одного файла рекомендуется использовать директиву
Replace:. В случае, если целевой файл существует, Copy: будет пытаться только перезаписать файл, в то время как Replace: дополнительно попробует разблокировать и переместить файл в карантин.
CreateDummy:
Создаёт заблокированную пустую папку, чтобы предотвратить восстановление плохого файла или папки. Пустую папку необходимо удалить после нейтрализации вредоносного ПО.
Синтаксис таков:
Пример:
CreateDummy: C:\Windows\System32\Плохой.exe
CreateDummy: C:\ProgramData\Плохой
CreateRestorePoint:
Предназначен для создания точки восстановления.
Примечание: эта директива работает только в Обычном режиме. Она также не будет выполняться, если отключена система восстановления.
DeleteJunctionsInDirectory:
Для удаления точек соединения (junction) используйте приведенный синтаксис:
DeleteJunctionsInDirectory: Путь
Пример:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
DeleteKey: и DeleteValue:
Наиболее эффективный способ удаления ключей/параметров, который обходит ограничения стандартных алгоритмов удаления, присутствующих в директивах Reg: и StartRegedit: — EndRegedit:.
Синтаксис таков:
1. Для ключей:
Альтернативно, можно использовать формат файлов редактора реестра:
2. Для параметров:
DeleteValue: ключ|параметр
Если параметр является параметров по умолчанию, оставьте имя параметра пустым:
Примеры:
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]
Способность удаления ключей с помощью FRST распространяется на символические ссылки, ключи, которые заблокированы из-за отсутствия необходимых привилегий и ключи, которые содержат символы Null.
Нет необходимости использовать директиву Unlock:.
Для ключей и параметров, которые защищены с помощью запущенной программы (по ним будет получен "отказ в доступе"), вам необходимо использовать Безопасный режим (чтобы обойти защиту запущенных программ) или удалить ее основные компоненты перед использованием команд.
Примечание: если среди перечисленных для удаления ключей есть ссылки на другой ключ реестра, будет удален ключ-источник, который является символической ссылкой. Цель этого ключа не будет удалена. Это сделано для предотвращения удаления обоих ключей, вредоносной символической ссылки, которая могла указывать на легитимный ключ и самого легитимного ключа. В ситуациях, когда оба ключа являются вредоносными – ключ-источник и его цель, необходимо перечислить их оба при удалении.
DeleteQuarantine:
После завершения очистки папки %SystemDrive%\FRST (обычно, C:\FRST), созданной инструментом FRST, ее необходимо удалить с компьютера. В некоторых случаях эту папку не получается удалить вручную в связи с тем, что в папке
%SystemDrive%\FRST\Quarantine содержатся заблокированные или необычные вредоносные файлы или папки. Команда DeleteQuarantine: удалит папку Quarantine.
Не следует использовать инструментарий перемещения файлов для удаления файлов из C:\FRST, поскольку эти инструменты лишь перемещают файлы в свой собственный каталог и он все равно остается в системе.
Примечание: автоматическая деинсталляция FRST (см. описание под инструкцией) включает такую же возможность удаления заблокированного карантина.
DisableService:
Для удаления обычной службы или службы драйвера, вы можете использовать следующий скрипт:
DisableService: ИмяСлужбы
Пример:
DisableService: sptd
DisableService: Wmware Nat Service
FRST установит тип запуска службы на «Отключено» и служба не запустится при следующей загрузке ОС.
EmptyEventLogs:
Очищает журнал событий Windows. Будет отображено общее число логов и любые возможные ошибки.
EmptyTemp:
Следующие папки будут очищены:
- Temp папки Windows
- Temp пользователей
- Кеши, хранилища HTML5, куки и история (для браузеров, проверенных FRST, кроме клонов Firefox)
- Кеш недавно открытых файлов
- Кеш Discord
- Кеш Java
- Кеш Steam HTML
- Кеш миниатюр Explorer и кеш иконок
- Очередь передачи BITS (файлы qmgr.db и qmgr*.dat)
- Кеш WinHTTP AutoProxy
- Кеш DNS
- Корзина.
Если используется директива EmptyTemp:, после фикса система будет перезагружена. Нет необходимости использовать директиву Reboot:.
Также вне зависимости от того, в какую часть скрипта добавлена EmptyTemp:, в начало, средину или конец fixlist, она будет выполнена после исполнения всех остальных строк fixlist.
Важно: при использовании директивы EmptyTemp: объекты удаляются
навсегда. Они не перемещаются в карантин.
Примечание: директива отключена в среде восстановления с целью предотвращения нанесения вреда.
ExportKey: и ExportValue:
Более надежный способ просмотра содержимого ключа. Директивы преодолевают некоторые ограничения regedit.exe и reg.exe. Разница между директивами заключается в объеме данных. ExportKey: перечисляет все параметры и подразделы рекурсивно, а ExportValue: показывает только параметры в разделе.
Синтаксис таков:
Пример:
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ
================== ExportKey: ===================
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\НедействительныйКлюч ]
"Скрытый параметр"="Скрытое значение"
[HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ]
HKEY_LOCAL_MACHINE\SOFTWARE\Подозрительный Ключ\Заблокированный Ключ => Access Denied.
=== End of ExportKey ===
Примечание: Экспорт предназначен только для исследовательских целей и не может быть использован для резервного копирования или операции импорта.
File:
Используется для проверки свойств файла. Можно включить несколько файлов, разделив их точкой с запятой:
Примечание: для более, чем 4 файлов, используйте единственную директиву с точку с запятой в качестве разделителя вместо множества директив, чтобы гарантировать, чтобы все доступные ссылки VirusTotal будут отображены.
Пример:
File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe
========================= File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================
File not signed
MD5: 4793A9663376EF3A9044E07A9A45D966
Creation and modification date: 2017-07-30 12:04 - 2017-07-30 12:04
Size: 000242688
Attributes: ----A
Company Name:
Internal Name: wmplayer.exe
Original Name: wmplayer.exe
Product: Windows Media Player
Description: Windows Media Player
File Version: 1.0.0.0
Product Version: 1.0.0.0
Copyright: Copyright © 2017
VirusTotal:
Antivirus scan for 8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9 at 2017-08-18 21:59:16 UTC - VirusTotal
====== End of File: ======
Примечание: Проверка цифровой подписи не доступна в Режиме Восстановления.
Примечание: Директива File: не предоставляет автоматическую загрузку на VirusTotal, в отличие от директивы VirusTotal:
FilesInDirectory: и
Folder:
Используются для проверки содержимого папки. Директива FilesInDirectory: предназначена для перечисления только файлов, которые соответствуют одному или нескольким шаблонам *, в то время как Folder: предназначена для получения всего содержимого папки. Вывод обоих директив будет отображать контрольную сумму MD5 (для всех файлов) и цифровые подписи (для файлов .exe, .dll, .sys и .mui).
Синтаксис таков:
FilesInDirectory: путь\шаблон;шаблон
Пример:
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0
Примечание: директива Folder: работает рекурсивно и перечисляет содержимое всех подкаталогов. Поэтому она может создавать гигантские отчёты.
FindFolder:
См.
Функции поиска в секции "Другие опциональные сканирования". Директива работает подобным образом, как и FindFolder: в окне поиска, но результат сохраняется в Fixlog.txt.
Hosts:
Предназначена для сброса Hosts. Также, см.
hosts в секции «Основное сканирование (FRST.txt)».
ListPermissions:
Используется для перечисления разрешений на файлы / каталоги / ключи, включенные в скрипт:
ListPermissions: путь/ключ
Пример:
Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\User\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
Move:
Иногда операция переименования или перемещения файла, особенно если она выполняется между дисками, бывает проблематичной и команда MS Rename может завершиться неудачей. Чтобы переместить или переименовать файл, используйте следующий скрипт:
Move: источник назначение
Пример:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
Инструмент перемещает файл-назначение в папку Quarantine (если этот файл существует). Затем перемещает файл-источник в расположение указанного назначения.
Примечание: С помощью директивы Move: можно выполнять переименование.
Примечание 2: путь назначения должен содержать имя файла, даже если файл отсутствует в папке назначения.
Powershell:
Предназначен для запуска команды или файла-скрипта в оболочке PowerShell.
1. Для выполнения единственной команды в PowerShell и получения ее вывода в Fixlog.txt синтаксис будет таким:
Пример:
2. Для выполнения единственной команды в PowerShell и получения ее вывода в текстовый файл (не Fixlog.txt) используйте
операторы перенаправления или
командлет Out-File:
Powershell: команда > "Путь к текстовому файлу"
Powershell: команда | Out-File "Путь к текстовому файлу"
Пример:
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt
3. Для запуска готового файла-скрипта (.ps1), который содержит одну или более строк (команд) PowerShell, синтаксис будет таким:
Powershell: "Путь к файлу скрипта"
Примеры:
Powershell: C:\Users\UserName\Desktop\script.ps1
Powershell: "C:\Users\User Name\Desktop\script.ps1"
4. Для выполнения большего числа команд (строк) PowerShell, как если бы они находились в файле-скрипте (.ps1), но без создания файла .ps1, используйте в качестве разделителя "точку с запятой" ; вместо перевода строки:
Powershell: строка 1; строка 2; (и так далее)
Пример:
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")
Альтернативно, можете воспользоваться директивами
StartPowershell: — EndPowershell: (см. ниже).
Reboot:
Для перезагрузки компьютера.
Не имеет значения, в какую часть fixlist вы ее добавите. Даже если она будет добавлена в начало, перезагрузка будет выполнена по завершению всех остальных фиксов.
Примечание: эта команда не будет работать и не нужна в среде восстановления.
Reg:
Для управления реестром Windows с помощью
консольной утилиты reg.exe.
Синтаксис таков:
Пример:
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\User\Desktop\backup.reg
Примечание: в отличие от родных директив FRST, команда Reg должна иметь синтаксис, присущий cmd.exe, например, использование кавычек в случае, когда имя ключа или параметра содержит пробел.
Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив
DeleteKey: и
DeleteValue: ранее в этом руководстве.
RemoveDirectory:
Предназначена для удаления (не перемещения в карантин) каталогов с урезанными правами или ошибками в пути или имени.
Не нужно использовать директиву Unlock:. Эта директива должна использоваться для каталогов, которые сопротивляются обычной операции перемещения. Если она будет использована в Безопасном режиме, то окажется очень мощной, а в среде восстановления – еще более мощной.
Скрипт будет выглядеть так:
RemoveProxy:
Убирает некоторые из ограничений, связанные с настройками политик Internet Explorer, подобно "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" или ProxySettingsPerUser в HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Команда удаляет параметр "ProxyEnable" (если он задан как 1), параметры "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" и "SavedLegacySettings" из ключей HKLM и пользователей. Команда также устанавливает параметр BITSAdmin в значение NO_PROXY.
Дополнительно, команда удаляет значение по-умолчанию ключа "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies", если он изменен.
Примечание: Если запущена программа или служба, которая восстанавливает эти параметры, ее необходимо деинсталлировать, а службу удалить, прежде чем использовать команду. Это будет гарантировать, что настройки прокси не вернутся обратно.
Replace:
Для замены файла используйте следующий скрипт:
Replace: источник назначение
Пример:
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
Инструмент перемещает файл-назначение (если он существует) в папку Quarantine. Затем копирует файл-источник в позицию назначения.
Он не переместит файл-источник и он останется в оригинальном расположении. Таким образом, на примере выше файлы dnsapi.dll в папках WinSxS останутся там на будущее.
Примечание: путь назначения должен включать в себя имя файла, даже если он сейчас отсутствует в папке назначения.
Примечание 2: в случае, если папка назначения отсутствует, команда не выполнится. FRST не восстанавливает полную структуру каталога. Вместо этого можно воспользоваться директивой
Copy:.
Restore From Backup:
При первом запуске FRST копирует ульи в папку
%SystemDrive%\FRST\Hives (обычно, C:\FRST\Hives) в качестве резервной копии. Она не будет перезаписана при последующих запусках утилиты, если только не была создана более 2 месяцев назад. Если что-то пошло не так, любой из ульев можно восстановить. Синтаксис будет таким:
Restore From Backup: ИмяУлья
Пример:
Restore From Backup: software
Restore From Backup: system
RestoreQuarantine:
Вы можете восстановить целиком содержимое карантина, один или несколько файлов или папок из карантина.
Чтобы восстановить содержимое карантина целиком синтаксис будет либо:
либо
RestoreQuarantine: C:\FRST\Quarantine
Чтобы восстановить файл или папку, синтаксис будет таким:
RestoreQuarantine: ПутьВнутриQuarantine
Пример восстановления папки C:\Program Files\Microsoft Office
и файла, который изначально имел путь: C:\Users\User\Desktop\ANOTB.exe
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\Desktop\ANOTB.exe.xBAD
Чтобы найти путь в карантине, вы можете использовать:
Folder: C:\FRST\Quarantine
или:
CMD: dir /a/b/s C:\FRST\Quarantine
Примечание: Если файл уже существует (за пределами карантина) по пути назначения, FRST не перезапишет его. Оригинальный файл не будет перемещен и останется в карантине. Однако если вам все же нужно восстановить файл из карантина, необходимо удалить или переименовать файл в папке назначения.
RestoreMBR:
Служит для восстановления MBR. Для записи файла MBR.bin на диск FRST использует программу
MbrFix, которая сохранена на флеш-накопитель. Вот что необходимо для фикса:
1. Программа
MbrFix/MbrFix64
2. MBR.bin, который требуется восстановить.
3. Скрипт, в котором указана буква диска:
Пример:
Примечание: MBR, который нужно восстановить, следует назвать
MBR.bin, упаковать в архив и прикрепить в теме.
SaveMbr:
Обратитесь к секции
Drives / MBR & Partition Table этого руководства.
Чтобы создать копию MBR, используйте следующий синтаксис:
Пример:
Примечание: после выполнения этого, на флеш-накопителе будет создан файл
MBRDUMP.txt, который пользователю необходимо прикрепить к своему сообщению в теме.
SetDefaultFilePermissions:
Директива создана для работы с заблокированными системными файлами. Она назначает группу "Администраторы" владельцем и в зависимости от системы предоставляет привилегии разрешения для стандартных групп.
Примечание: директива не назначит Trusted-installer владельцем, тем не менее, директиву можно использовать на системных файлах, которые были заблокированы вредоносным ПО.
Скрипт будет таким:
SetDefaultFilePermissions: путь
StartBatch: — EndBatch:
Для создания и запуска пакетного файла.
Синтаксис таков:
StartBatch:
Строка 1
Строка 2
И т.д.
EndBatch:
Вывод будет переадресован в Fixlog.txt.
См. также директиву
CMD: ранее в этом руководстве.
StartPowershell: — EndPowershell:
Более лучшая альтернатива для создания и запуска файла PowerShell, который содержит несколько строк (см. директиву
Powershell: ранее в этом руководстве).
Синтаксис таков:
StartPowershell:
Строка 1
Строка 2
И т.д.
EndPowershell:
Вывод будет переадресован в Fixlog.txt.
StartRegedit: — EndRegedit:
Предназначена для создания и импорта файла реестра (.reg).
Синтаксис таков:
StartRegedit:
формат файла .reg
EndRegedit:
Включение заголовка формата
Windows Registry Editor Version 5.00 является опциональным, но заголовок формата
REGEDIT4 - обязателен.
Пример:
StartRegedit:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:
Вы получите подтверждение в Fixlog.txt:
Registry ====> The operation completed successfully.
Примечание: строка с подтверждением появится вне зависимости от наличия любых возможных ошибок в вашем файле .reg.
Примечание: директива не сможет обработать заблокированные или недействительные ключи. Смотрите описание директив
DeleteKey: и
DeleteValue: ранее в этом руководстве.
Symlink:
Для перечисления символических ссылок и точек повторной обработки в папке.
Синтаксис:
Пример:
Примечание: директива работает рекурсивно. The directive works recursively. Поэтому сканирование может занять значительное время в зависимости от местоположения.
SystemRestore:
Используется для включения или отключения восстановления системы.
Синтаксис таков:
Если используется переключатель "On", FRST проверяет, достаточно ли свободного места для включения восстановления системы. Если условия не соблюдены, будет напечатана ошибка.
TasksDetails:
Выводит подробности о задании, связанные с временем выполнения.
Пример:
========================= TasksDetails: ========================
UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
Примечание: Директива не поддерживается в Windows XP и работает полнофункционально только в обычном режиме.
В безопасном режиме вы получите информацию только о файлах *.job.
testsigning on:
Применим к Windows Vista и выше; не поддерживается на устройствах со включённым
Secure Boot.
Прим. переводчика: см. также описание
Secure Boot.
Включённый
testsigning (тестовый режим) является нестандартной модификацией BCD (Boot Configuration Data – Данные конфигурации загрузки ОС), которая сделана вредоносным ПО или пользователем, пытающимися установить несовместимый драйвер. Если FRST находит улики подобного вмешательства, он сообщит примерно так:
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
(testsigning: ==> установлен режим ‘testsigning'. Проверьте систему на предмет наличия неподписанных драйверов.)
Прим. переводчика:
Кроме того на рабочем столе появится надпись, подобная этой:
Осмотрите секцию "
Drivers" в поисках драйвера, связанного с предупреждением. В зависимости от ситуации, включите драйвер вместе с предупреждением или только само предупреждение в fixlist.
Если после обработки fixlist-а возникнут побочные эффекты, воспользуйтесь директивой, чтобы заново включить тестовый режим для дальнейшего поиска и решения проблемы.
Unlock:
В случае с файлами и папками, директива меняет владельца на группу «Все», а также даёт ей права и работает рекурсивно, если применяется к каталогам. Директиву необходимо применять к вредоносным файлам и каталогам. Чтобы разблокировать системные файлы, используйте директиву
SetDefaultFilePermissions:
В случае с элементами реестра она меняет владельца на группу «Администраторы», даёт группам обычный доступ и применяется только для указанного ключа. Её можно использовать как для вредоносных, так и легитимных ключей.
Скрипт будет таким:
Иногда обычная операция перемещения не работает из-за привилегий. Вы поймёте это, когда увидите в логе Fixlog.txt «Could not move» (Не могу переместить Файл/Каталог). В этом случае вы можете использовать директиву «Unlock:» на тех файлах или папках.
Пример:
Unlock: C:\Windows\System32\плохой.exe
Чтобы
переместить файл просто укажите путь отдельно в фиксе:
Unlock: C:\Windows\System32\плохой.exe
C:\Windows\System32\плохой.exe
Вы можете использовать команду для разблокировки элементов реестра, если они заблокированы. Например, если вы запускаете фикс в среде восстановления и текущим конфигурационным разделом является ControlSet001, то будет применяться следующее:
Unlock: hklm\system\controlset001\ПлохаяСлужба\ИмяПодраздела
Чтобы удалить ключ, используйте директиву
Reg:. Полный синтаксис может быть таким:
Unlock: hklm\system\controlset001\ПлохаяСлужба\ИмяПодраздела
Reg: reg delete hklm\system\controlset001\ПлохаяСлужба /f
Примечание: Директива DeleteKey: может быть использована вместо комбинации Unlock: и Reg:.
VirusTotal:
Для проверки файлов через VirusTotal. FRST выполнит поиск предыдущей проверки файла в базе данных VirusTotal. Если файл ни разу не проверялся на VirusTotal, он будет загружен для анализа.
Можно включить несколько файлов, разделив их точкой с запятой
Для более, чем 4 файлов, используйте единственную директиву с точку с запятой в качестве разделителя вместо множества директив, чтобы гарантировать, чтобы все доступные ссылки VirusTotal будут отображены.
Пример:
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)
Метка "0-byte MD5" указывает на то, что либо файл используется, либо заблокирован, либо путь указывает на символическую ссылку.
Zip:
Для упаковки файлов / папок и сохранения их на рабочий стол под именем
Дата_Время.zip с целью последующей загрузки пользователем. Для файлов и папок с дублирующимися именами будет создано более одного архива.
Можно включать как угодно много файлов, разделив их точкой с запятой.
Через точку с запятой можно перечислить сколько угодно много файлов или папок.
Пример:
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log