Skocz do zawartości

Skrypty FRST


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Belfegor to nie jest przełącznik własny FRST, to jest przełącznik polecenia systemowego reg. Uruchom cmd, wklep reg /? oraz inne podskładowe np. reg delete /? i otrzymasz rozbudowaną składnię poleceń z opisem parametrów (/f jest tam wyjaśnione). Jedna uwaga dlaczego ten przełącznik zawsze musi być w komendach: przy jego braku FRST się zapętli.

 

 

 

.

Odnośnik do komentarza

Uruchom cmd, wklep reg /?

No wklepałem. Jest piekna lista poleceń. Dziękuję za wyjaśnienie. Jeśli pozwolisz - nie zamykajmy tematu. Od czasu do czasu zadam kolejne pytania. Uczę się FRST. Tak z ciekawości.

 

I teraz mam kolejne pytanie: po wklepaniu reg /? na liście jest polecenie reg /export ? Czy jak podam kluczyk to mi go wyświetli? Sorki za banały.

Odnośnik do komentarza

czy gdybyś chciała uzyskać z poziomu FRST wgląd w taki klucz, to on to przetworzy i poda odpowiednie wartości rejestru. Pytanie czysto teoretyczne.

Nie za bardzo rozumiem pytanie.

- Podałam, że do "drukowania" bezpośrednio w logu FRST zawartości danego klucza służy reg query. To polecenie także dekoduje niektóre wartości przedstawiając je w formie czytelnej, w przeciwieństwie do reg export (ale eksport jest oczywiście idealnie wierny).

- Każda komenda reg musi być poprzedzona w skrypcie dyrektywą własną FRST Reg:, by FRST wiedział, że ma się wykonać polecenie reg.

 

 

.

Odnośnik do komentarza

- Podałam, że do "drukowania" bezpośrednio w logu FRST zawartości danego klucza służy reg query. Każda komenda reg musi być poprzedzona w skrypcie dyrektywą własną FRST Reg:, by FRST wiedział, że ma się wykonać polecenie reg.

Bardzo sprytny program. Ja myślałem, że to dotyczy jedynie cmd. A tu mi piękny fixlog sie pojawił z kluczykiem.

Odnośnik do komentarza

FRST ma nieograniczone możliwości w tym zakresie. Ba, Reg: się wykonuje także z poziomu środowiska zewnętrznego WinRE, tylko rzecz jasna trzeba brać poprawki na to, że rejestr w takim środowisku wygląda inaczej niż w działającym Windows. Prócz Reg: jest jeszcze dyrektywa cmd: w której można używać multum komend akceptowanych przez systemowe cmd. Tak więc tutaj nie chodzi o znajomość FRST, tylko o znajomość możliwości Windows. FRST po prostu umożliwia zbiorcze zastosowanie różnych akcji w jednym skrypcie.

 

 

.

Odnośnik do komentarza

Skoro OTL jest przestarzały > nie pracuje się nad programem, po co prosić o logi z OTL? Z przyzwyczajenia użytkowników? Nie lepiej skasować instrukcję z OTL i zostawić jedynie FRST?

Z kilku względów:

1. Programy pobierają dane w inny sposób. Porównanie wyników tych części, które są skanowane przez oba programy. Alternatywna opinia.

2. Bardzo silna biała lista sterowników i usług w FRST (nie zostanie to zmienione), co oznacza, że by zobaczyć wszystkie wpisy niedomyślne (istotne pod kątem innej diagnostyki niż malware) trzeba wyłączyć Whitelist i robić log z FRST dwa razy albo od razu ogromny log. OTL (mający mniej restrykcyjną białą listę, choć i tak ukrywa pewne rzeczy) pokazuje od razu większą ilość wyników. To mi wystarczy, by nie prosić ponownie o skan FRST zwracający bardzo długą listę serwisów (bo wszystkie wpisy Microsoftu też się ujawnią), której analiza trwa dłużej i przez nieuwagę można pominąć coś.

3. FRST ma o wiele lepsze skany, ale są jednak pewne obszary, których nie sprawdza (i autor nie wprowadzi raczej tego), to uzupełnia OTL:

- Detekcja plików "no company name" niezależnie od czasu ich powstanie. Jeśli są oszukane daty plików, OTL nadal może pokazać pewne rzeczy (w wybranych lokalizacjach), których FRST nie pokaże (ograniczenie do 30 dni, którego nie można zmanipulować)

- Detekcja plików autorun.inf w root wszystkich dysków

- Spis autoryzacji Zapory

- Drobna sprawa z rozszerzeniami IE (menu kontekstowe i pozycje w menu narzędzi), tam malware nie widziane od lat, pobieram te dane raczej pod kątem czyszczenia martwych wpisów legalnych programów.

- Niefiltrowane SearchScopes (w FRST muszę wyłączyć Whitelist). Mając ten spis z OTL wiem co ustawić via FRST jako domyślne.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

To funkcja dodana niedawno, dlatego pewnie nie ma jej jeszcze w tutorialu. Jestem autorem tej detekcji i korespondującego fiksa. Wykryłam nową metodę blokowania rozszerzeń malware Google Chrome poprzez podrabianie Zasad grup. Conajmniej jeden temat z tym widziałeś, czyli "Media Player" w Google Chrome: KLIK. Ta nowa sztuczka jest wynikiem zmian wprowadzonych w Google Chrome 28, które miały nieco utrudnić malware instalacje: KLIK. Od Google Chrome 28 polityki nie są wczytywane z rejestru tylko wprost z Zasad grup Windows. To oznacza, że te klucze dodane ręcznie nie mają znaczenia (Google ich nie interpretuje):

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction

CHR HKCU\SOFTWARE\Policies\Google: Policy restriction

 

Malware dostosowało się do nowych warunków i zaczęło wstawiać blokady metodą Zasad grup. Zasady grup (do zarządzania służy znana Ci przystawka gpedit.msc) zapisują konfigurację ustawień strony rejestru w plikach Registry.pol:

 

C:\Windows\system32\GroupPolicy\Machine\Registry.pol (konfiguracja komputera)

C:\Windows\system32\GroupPolicy\User\Registry.pol (konfiguracja użytkownika)

 

Standardowo te pliki nie istnieją. Pojawiają się dopiero po skonfigurowaniu polityk via gpedit.msc. FRST ma detekcję obecności plików Registry.pol. Jeśli plik zostanie wykryty:

 

1. FRST wykonuje w nim detekcję polityk Google Chrome. Znalezione są notowane komunikatem:

 

GroupPolicy: Group Policy on Chrome detected

 

2. Jeśli natomiast w Registry.pol (Machine lub User) brak polityk związanych z Google Chrome, jest tylko adnotacja ogólna o obecności pliku wg formuły którą cytujesz. Skutki uboczne / niedopowiedzenia: jako że jest to tylko ogólna detekcja obecności pliku a nie jego zawartości, zawartość pliku jest nieznana i nie wiadomo co za polityki są w środku (ogromna ilość możliwości), czy są poprawne (w rozumieniu celowo wprowadzone) czy wręcz przeciwnie. Tu na forum zgłaszają się użytkownicy z kompami służbowymi lub uwiązanymi w większy zespół, więc polityki na tych systemach mogą być celowym zagraniem administratora. W takich przypadkach nie należy w ciemno usuwać tych wpisów tylko sprawdzić co jest w plikach Registry.pol.

 

 

Przetworzenie tych linii zeruje Lokalne zasady grup wg metody, którą użyłam po raz pierwszy tu w tematach, czyli: usunięcie całego folderu Machine/User z plikiem Registry.pol + pliku GPT.INI. Podklucz History nie jest usuwany z rejestru, jak pierwotnie to robiłam, po usunięciu GPT.INI + restart systemu historia polityk jest czyszczona.

 

 

 

.

Odnośnik do komentarza

Tytułem wstepu - dziekuje Ci serdecznie za tak kompleksowe wyjaśnienie tematu.

 

2. Jeśli natomiast w Registry.pol (Machine lub User) brak polityk związanych z Google Chrome, jest tylko adnotacja ogólna o obecności pliku wg formuły którą cytujesz. Skutki uboczne / niedopowiedzenia: jako że jest to tylko ogólna detekcja obecności pliku a nie jego zawartości, zawartość pliku jest nieznana i nie wiadomo co za polityki są w środku (ogromna ilość możliwości), czy są poprawne (w rozumieniu celowo wprowadzone) czy wręcz przeciwnie. Tu na forum zgłaszają się użytkownicy z kompami służbowymi lub uwiązanymi w większy zespół, więc polityki na tych systemach mogą być celowym zagraniem administratora. W takich przypadkach nie należy w ciemno usuwać tych wpisów tylko sprawdzić co jest w plikach Registry.pol.


Przetworzenie tych linii zeruje Lokalne zasady grup wg metody, którą użyłam po raz pierwszy tu w tematach, czyli: usunięcie całego folderu Machine/User z plikiem Registry.pol + pliku GPT.INI. Podklucz History nie jest usuwany z rejestru, jak pierwotnie to robiłam, po usunięciu GPT.INI + restart systemu historia polityk jest czyszczona.

 

 

 

 

 

Ja wiem że tuman jestem, ale zapytam. Objaw jest taki że na google chrome nie otwierają się żadne strony związane z google. Wiem masło maślane. Na innych przeglądarkach nie ma problemu. Czy to google.pl,  czy gmail. Wnioskuje z tego że podanie tych lini w skrypcie przywróci własciwe działanie chrome?

Odnośnik do komentarza

Objaw jest taki że na google chrome nie otwierają się żadne strony związane z google. Wiem masło maślane. Na innych przeglądarkach nie ma problemu. Czy to google.pl, czy gmail. Wnioskuje z tego że podanie tych lini w skrypcie przywróci własciwe działanie chrome?

Ale tu nie została wykryta modyfikacja Google Chrome, w przeciwnym wypadku FRST powinien wyraźnie zaznaczyć, że chodzi o Google Chrome. To ogólna sygnalizacja innych modyfikacji (spoza Google Chrome):

 

GroupPolicyUsers\S-1-5-21-2941844871-2282510305-1331822995-1003\User: Group Policy restriction detected

 

Jak mówiłam: to opcje z gpedit.msc, w tym przypadku strony Konfiguracja użytkownika, czyli to może być cokolwiek (możliwości sporo). Przed jakimkolwiek usuwaniem po prostu otwórz ręcznie plik C:\Windows\system32\GroupPolicyUsers\S-1-5-21-2941844871-2282510305-1331822995-1003\User\Registry.pol w Notatniku lub programie Registry.Pol Viewer Utility, by sprawdzić co tam jest.

 

 

.

Odnośnik do komentarza

OK.

 

PS. Ale mnie to mimo wszystko dziwi. Widziany tu klucz Safer (związany z restrykcjami oprogramowania) nie tylko nie posiadał żadnych odnośników do Google, on nie posiadał w ogóle składowych czyniących politykę czynną (brak wartości i podkluczy)... Jaki to miałoby mieć związek z ładowaniem stron w Google Chrome, nie wiem. Poglądowo link KLIK ("Storage of Software Restriction Policies Settings").

 

 

 

.

Odnośnik do komentarza

PS. Ale mnie to mimo wszystko dziwi. Widziany tu klucz Safer (związany z restrykcjami oprogramowania) nie tylko nie posiadał żadnych odnośników do Google, on nie posiadał w ogóle składowych czyniących politykę czynną (brak wartości i podkluczy)... Jaki to miałoby mieć związek z ładowaniem stron w Google Chrome, nie wiem. Poglądowo link KLIK ("Storage of Software Restriction Policies Settings").

To jest Nas dwoje. Jak mówię, zaproponowałem uzytkownikowi jedynie edycję pliku i =to od razu pomogło. Strona google.pl zaraz sie wyświetliła. Też byłem zdziwiony tym skromnym wpisem. Nie wiem, czy to się da w jakikolwiek sposób powielić, aby sprawdzić rzeczywisty wpływ edycji na zachowanie przeglądarki chrome. Jak mówiłem, problem dotyczył jedynie tej przegladarki.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...