FiRST Editor 1.07b - dla Was mój program do edycji wyników FRST

edytor
farbar
frst

(iJuliusz) #1

Program można pobrać w wersji spakowanej .zip

Pobierz FiRST Editor 1.07b

obraz
Nie wymaga instalacji. Wersja portable 32/64-bit.
TODO: -> 1.08b - 1.10b

Do zrobienia (kliknij aby rozwinąć)
  • Wersja angielska całego programu
  • Lista najczęściej używanych komend dodawanych do fixlist

Wersja 1.07b

Dziennik zmian (kliknij aby rozwinąć)

Dodałem kilka nowych oznaczeń

  • Windows messanger - program szpiegujący/keylogger BlackShades Spy Software
  • Plumbytes Anti-Malware i Spyware Terminator - wątpliwej jakości skanery malware
  • Alcohol Soft - kłopotliwe ostatnio i niepotrzebne instalacje dodatków wraz z programem
  • Linie TCP/IP ze zmienionymi IP - często fałszywe serwery DNS

Zmiany w kodzie programu

  • Poprawione wykrywanie w Zaplanowanych zadaniach
  • Automatyczne dodawanie komendy resetującej proxy w momencie wykrycia przekierowań - z TODO

Usunięte z wykrywania

  • Cybereason - rzadko ostatnio spotykany program zabezpieczający

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.06b

Dziennik zmian (kliknij aby rozwinąć)

Dodałem kilka nowych oznaczeń

  • nowa infekcja dipladoks, w logach jest oznaczana już na etapie skanu FRST, choć w momencie wrzucania tego oznaczenia do kodu, jeszcze nie była, postanowiłem go zostawić oraz dodałem pojawiające się mysearch i gmaegames
  • przekierowania Proxy i AutoConfig
  • aktywacja bibliotek i/lub programów wirusów w Zaplanowanych Zadaniach (Task)

Dodałem okno

  • informacja o wykryciu wirusa przez Windows Defendera zapisana w logach
    Zwrócenie na to szczególnej uwagi zmusza użytkownika do bardziej wnikliwej analizy

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.05b

Dziennik zmian (kliknij aby rozwinąć)

Kilka nowych opcji zaznaczania.

  • rozpoznawanie plików trojana z losowymi nazwami podszywającymi się pod pliki Microsoft
    (Microsoft Corporation) C:\Program Files (x86)\IxOXd.exe
  • przekierowania na Exinarium i podobne
    explorer.exe hxxp://exinariuminix.info
  • programy Filefacts i kilka innych oznaczanych jako szkodliwe/niepotrzebne
    Smart File Advisor - Filefacts.net <==== UWAGA
  • nadmiar otwartych portów Firewall dla svchost.exe

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.04b

Dziennik zmian (kliknij aby rozwinąć)
  1. Od tej wersji program rozpoznaje wersję angielską logów FRST
  2. Podczas tworzenia nowego pliku fixlist dodawane są automatycznie komendy:
    CloseProcesses , CreateRestorePoint - oba wykonywane na początku
    EmptyTemp - jest wykonywana zawsze na końcu

Dodałem wiele nowych opcji zaznaczania.

  • Koparki i pozostałości (tylko te z którymi miałem styczność w logach)
  • Rosyjskie strony najczęściej powiązane z MailRu
  • Jeden nowy Autoaktywator Windows
  • mylucky123, YourSites123 i podobne
  • fałszywe Java Update, niepotrzebne SweetLabs, Cybereason, AskPartner, i inne
  • podmienione “odwrotne” skróty np. exe.emorhc.bat
  • niestandardowe ustawienia Zasad Grupy
  • wpisy Zaplanowanych zadań z Windows Media Center, których nadmiar powodował pojawianie się “czarnych okienek” CMD przy starcie Windows

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.03b

Dziennik zmian (kliknij aby rozwinąć)

Wygląd okna głównego nie zmienił się.
Zmiany są za to w kodzie programu.
Program rozpoznaje linie do usunięcia automatycznie.
Można by nazwać je Pewniakami, gdyż wykryte linie były umieszczane w plikach naprawczych zawsze. Nowe będą dodawane na bieżąco.

Program zaznacza:

  • Brak pliku, brak ImagePath
  • Puste i nie znalezione
  • Ostrzeżenia UWAGA
  • Google crx
  • Alternate Data Streams
  • Strony startowe i wyszukiwania
  • Katalog roboczy ADWCleaner
  • Koparkę GamerHash
  • Pliki MailRu i oznaczone Cyrillyc
  • Szkodliwe Filseclab

2018-02-10_13h59_19

Program wyszukuje Autoaktywatory Windows, ale tylko informuje o tym.
2018-02-10_14h01_59

Zaznaczone linie Shortcut zostają obcięte to wersji, które usuwają skrót. Linia przykładowa:
Shortcut: C:\Users\Wik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Еxрlоrеr Вrowser.lnk -> C:\Users\Wik\AppData\Roaming\Browsers\exe.erolpxei.bat (Brak pliku)
Zostaje zapisana do pliku naprawczego jako:
C:\Users\Wik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Еxрlоrеr Вrowser.lnk

Ponieważ pojawiają się również ostrzeżenia w sekcji Bamital & volsnap (na samym dole frst.txt), a dotyczy to ważnych plików systemowych, nie będą one oznaczone.

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.

Program został napisany w skrypcie AutoHotKey.

Dlaczego napisałem ten program?

Widząc jak często umieszczane są na Forum wyniki skanów do analizy i ile jeszcze trzeba zrobić, aby zakończyć “sprzątanie” to postanowiłem napisać program ułatwiający niektóre działania.

Dla samodzielnie analizujących, wczytamy pliki i zaznaczymy linie do usunięcia tworząc jednocześnie plik końcowy. Uruchomimy FRST i po sprawie.
Nie jesteś pewien co należy usunąć? Rozpocznij temat i wrzuć pliki z FRST. Eksperci pomogą. Wynik tekstowy analizy skopiuj do schowka i wrzuć do edytora. Kliknij Zapisz jako fixlist.txt
Dla ekspertów, po wrzuceniu zawartości pliku do edytora, zaznaczeniu linii, stworzymy plik wynikowy i wrzucimy go lub jego zawartość ze schowka na forum.

Opis programu:

Program służy do edytowania plików wynikowych z Farbar Recovery Scan Tool

Jest przydatny do analizy ewentualnych zagrożeń wykrytych przez FRST.
Wystarczy dodać plik z dysku lub wkleić zawartość z internetu.
Dzięki niemu można szybko zaznaczyć linie do usunięcia z plików zaraz po skanowaniu i stworzyć plik końcowy fixlist.txt.
Pliki można wczytać z dysku.
Program automatycznie rozpozna plik i ustawi katalog docelowy dla pliku fixlist.txt

obraz

Dla tekstu skopiowanego z internetu, do analizy dla osób wyszukujących zagrożenia na prośbę innych użytkowników.

Po zaznaczeniu całości tekstu, kopiujemy go do schowka. Dla przypomnienia Ctrl+A Ctrl+C . Dotyczy to również plików z FRST otwartych zaraz po zakończonym skanowaniu.

obraz

Wstawiamy zawartość do Edytora klikając Ze schowka
Program automatycznie ustawi katalog docelowy, w tym przypadku, na katalog z którego uruchomiliśmy edytor.

obraz

Gdy już mamy plik w edytorze zaczynamy wybierać linie do usunięcia. Wystarczy zaznaczyć checkbox z lewej strony lub kliknąć dwa razy na wybranej linii.

Wybrane linie zapisujemy do pliku fixlist.txt jednym kliknięciem.
Po zmianie pliku do edycji, na przykład z FRST.txt na Addons.txtzaznaczamy kolejne linie i dodajemy do pliku.

Po skończonej edycji mamy kilka możliwości.
Oprócz wyświetlenia pliku w notatniku, możemy skopiować jego zawartość do schowka.
Ze schowka możemy wrzucić wynik na Forum, dla użytkownika, który poprosił o analizę.
Możemy również wkleić do edytora jeszcze raz, gdy po wyświetleniu zauważyliśmy linie, które nie muszą być analizowane.
Należy przy tym pamiętać, aby po powtórnej edycji, skasować pierwotny fixlist.txt , a dopiero potem dodać właściwe linie do nowego fixlist.txt

Jeśli edytujesz własne pliki, to po zakończeniu, możesz uruchomić FRST z katalogu docelowego.
Domyślnie program uruchamia wersję 64-bit, lecz gdy jej nie znajdzie, można właściwy plik wybrać z katalogu docelowego.

iJuliusz.pl


Freez systemu
(Kwasiarz) #3

Program działa na tych samych systemach, co FRST, czy od W7 wzwyż? (pytam, bo takie to oczywiste może nie być)
Edit: Żeby nie było, nie ja ponoszę winę za odkop (przynajmniej nie pełną), forum twierdzi, że temat jest w miarę świeży.


(krystian3w) #4

Odkop robiła aktualizacja pierwszego wpisu wątku i jak jest w pełni to kod na AutoHotKey to raczej będzie działał nawet na XP.