FiRST Editor 1.09b - dla Was mój program do edycji wyników FRST

frst
edytor
farbar
(iJuliusz) #1

Program można pobrać w wersji spakowanej .zip
Nie wymaga instalacji. Wersja portable 32/64-bit.

Pobierz FiRST Editor 1.09b 64bit
Pobierz FiRST Editor 1.09b 32bit

TODO: -> 1.10b - 1.12b

Do zrobienia (kliknij aby rozwinąć)
  • Wersja angielska całego programu - na ukończeniu
  • Lista najczęściej używanych komend dodawanych do fixlist

Wersja 1.09b

Dziennik zmian (kliknij aby rozwinąć)

Baza danych z ostrzeżeniami jest teraz OnLine w Serwerowej Chmurze.
Jest pobierana automatycznie przy starcie programu.
Aktualizuję ją na bieżąco, potem jest szyfrowana i wysyłana na serwer.

Dodałem kilka nowych funkcji i ostrzeżeń (Baza nr 128), kolejne będą opisywane osobno

  • zaznaczanie CloudPrinter, Logic Cramble
  • zaznaczanie Baidu
  • zaznaczanie Tachyon
  • nowa wersja koparki System Updates
  • nowe losowe exe

Zmiany w kodzie programu

  • W dole ekranu pojawia się numer Bazy danych

Zmieniono

  • Infekcje wykryte przez Windows Defender nie są zaznaczane

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.08b

Dziennik zmian (kliknij aby rozwinąć)

Dodałem kilka nowych funkcji i ostrzeżeń

  • zaznaczanie Autoaktywatorów Windows - wcześniej były tylko wykrywane
  • zaznaczanie eHome w Zaplanowanych Zadaniach - tylko tam może sprawiać problemy
  • zaznaczanie Opera Autoupdate
  • zaznaczanie Quoteexs NewTab
  • zaznaczanie Search i Home hxxps://%66%65%
  • infekcja superdomain, (VideoDriver)
  • nowa wersja koparki bitcoin
  • nowa wersja Autoaktywatora Windows
  • program Restoro

Przeglądarki:

  • Chrome - rozszerzenie newtab
  • Opera - rozszerzenie chrome_filter

Zmiany w kodzie programu

  • Maksymalizacja okna - Pełny ekran
  • Przycisk - Ważne informacje
    W Ważnych Informacjach pojawiają się informacje identyczne z tymi po wczytaniu pliku.
    Przycisk służy przypomnieniu o oznaczonych i nieoznaczonych ostrzeżeniach.
    Przykładowo program zaznacza AlternateDataStreams, które w połączeniu z Comodo zostaną przywrócone przy powtórnym uruchomieniu komputera. W Ważnych Informacjach będzie to zaznaczone.

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.07b

Dziennik zmian (kliknij aby rozwinąć)

Dodałem kilka nowych oznaczeń

  • Windows messanger - program szpiegujący/keylogger BlackShades Spy Software
  • Plumbytes Anti-Malware i Spyware Terminator - wątpliwej jakości skanery malware
  • Alcohol Soft - kłopotliwe ostatnio i niepotrzebne instalacje dodatków wraz z programem
  • Linie TCP/IP ze zmienionymi IP - często fałszywe serwery DNS

Zmiany w kodzie programu

  • Poprawione wykrywanie w Zaplanowanych zadaniach
  • Automatyczne dodawanie komendy resetującej proxy w momencie wykrycia przekierowań - z TODO

Usunięte z wykrywania

  • Cybereason - rzadko ostatnio spotykany program zabezpieczający

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.06b

Dziennik zmian (kliknij aby rozwinąć)

Dodałem kilka nowych oznaczeń

  • nowa infekcja dipladoks, w logach jest oznaczana już na etapie skanu FRST, choć w momencie wrzucania tego oznaczenia do kodu, jeszcze nie była, postanowiłem go zostawić oraz dodałem pojawiające się mysearch i gmaegames
  • przekierowania Proxy i AutoConfig
  • aktywacja bibliotek i/lub programów wirusów w Zaplanowanych Zadaniach (Task)

Dodałem okno

  • informacja o wykryciu wirusa przez Windows Defendera zapisana w logach
    Zwrócenie na to szczególnej uwagi zmusza użytkownika do bardziej wnikliwej analizy

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.05b

Dziennik zmian (kliknij aby rozwinąć)

Kilka nowych opcji zaznaczania.

  • rozpoznawanie plików trojana z losowymi nazwami podszywającymi się pod pliki Microsoft
    (Microsoft Corporation) C:\Program Files (x86)\IxOXd.exe
  • przekierowania na Exinarium i podobne
    explorer.exe hxxp://exinariuminix.info
  • programy Filefacts i kilka innych oznaczanych jako szkodliwe/niepotrzebne
    Smart File Advisor - Filefacts.net <==== UWAGA
  • nadmiar otwartych portów Firewall dla svchost.exe

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.04b

Dziennik zmian (kliknij aby rozwinąć)
  1. Od tej wersji program rozpoznaje wersję angielską logów FRST
  2. Podczas tworzenia nowego pliku fixlist dodawane są automatycznie komendy:
    CloseProcesses , CreateRestorePoint - oba wykonywane na początku
    EmptyTemp - jest wykonywana zawsze na końcu

Dodałem wiele nowych opcji zaznaczania.

  • Koparki i pozostałości (tylko te z którymi miałem styczność w logach)
  • Rosyjskie strony najczęściej powiązane z MailRu
  • Jeden nowy Autoaktywator Windows
  • mylucky123, YourSites123 i podobne
  • fałszywe Java Update, niepotrzebne SweetLabs, Cybereason, AskPartner, i inne
  • podmienione “odwrotne” skróty np. exe.emorhc.bat
  • niestandardowe ustawienia Zasad Grupy
  • wpisy Zaplanowanych zadań z Windows Media Center, których nadmiar powodował pojawianie się “czarnych okienek” CMD przy starcie Windows

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.
Program pomaga jedynie w oznaczaniu najczęściej pojawiających się zagrożeń.

Wersja 1.03b

Dziennik zmian (kliknij aby rozwinąć)

Wygląd okna głównego nie zmienił się.
Zmiany są za to w kodzie programu.
Program rozpoznaje linie do usunięcia automatycznie.
Można by nazwać je Pewniakami, gdyż wykryte linie były umieszczane w plikach naprawczych zawsze. Nowe będą dodawane na bieżąco.

Program zaznacza:

  • Brak pliku, brak ImagePath
  • Puste i nie znalezione
  • Ostrzeżenia UWAGA
  • Google crx
  • Alternate Data Streams
  • Strony startowe i wyszukiwania
  • Katalog roboczy ADWCleaner
  • Koparkę GamerHash
  • Pliki MailRu i oznaczone Cyrillyc
  • Szkodliwe Filseclab

2018-02-10_13h59_19

Program wyszukuje Autoaktywatory Windows, ale tylko informuje o tym.
2018-02-10_14h01_59

Zaznaczone linie Shortcut zostają obcięte to wersji, które usuwają skrót. Linia przykładowa:
Shortcut: C:\Users\Wik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Еxрlоrеr Вrowser.lnk -> C:\Users\Wik\AppData\Roaming\Browsers\exe.erolpxei.bat (Brak pliku)
Zostaje zapisana do pliku naprawczego jako:
C:\Users\Wik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Еxрlоrеr Вrowser.lnk

Ponieważ pojawiają się również ostrzeżenia w sekcji Bamital & volsnap (na samym dole frst.txt), a dotyczy to ważnych plików systemowych, nie będą one oznaczone.

Nadal należy przejrzeć dokładnie załączone pliki i oznaczyć pozostałe zagrożenia.

Program został napisany w skrypcie AutoHotKey.

Dlaczego napisałem ten program?

Widząc jak często umieszczane są na Forum wyniki skanów do analizy i ile jeszcze trzeba zrobić, aby zakończyć “sprzątanie” to postanowiłem napisać program ułatwiający niektóre działania.

Dla samodzielnie analizujących, wczytamy pliki i zaznaczymy linie do usunięcia tworząc jednocześnie plik końcowy. Uruchomimy FRST i po sprawie.
Nie jesteś pewien co należy usunąć? Rozpocznij temat i wrzuć pliki z FRST. Eksperci pomogą. Wynik tekstowy analizy skopiuj do schowka i wrzuć do edytora. Kliknij Zapisz jako fixlist.txt
Dla ekspertów, po wrzuceniu zawartości pliku do edytora, zaznaczeniu linii, stworzymy plik wynikowy i wrzucimy go lub jego zawartość ze schowka na forum.

Opis programu:

Program służy do edytowania plików wynikowych z Farbar Recovery Scan Tool

Jest przydatny do analizy ewentualnych zagrożeń wykrytych przez FRST.
Wystarczy dodać plik z dysku lub wkleić zawartość z internetu.
Dzięki niemu można szybko zaznaczyć linie do usunięcia z plików zaraz po skanowaniu i stworzyć plik końcowy fixlist.txt.
Pliki można wczytać z dysku.
Program automatycznie rozpozna plik i ustawi katalog docelowy dla pliku fixlist.txt

obraz

Dla tekstu skopiowanego z internetu, do analizy dla osób wyszukujących zagrożenia na prośbę innych użytkowników.

Po zaznaczeniu całości tekstu, kopiujemy go do schowka. Dla przypomnienia Ctrl+A Ctrl+C . Dotyczy to również plików z FRST otwartych zaraz po zakończonym skanowaniu.

obraz

Wstawiamy zawartość do Edytora klikając Ze schowka
Program automatycznie ustawi katalog docelowy, w tym przypadku, na katalog z którego uruchomiliśmy edytor.

obraz

Gdy już mamy plik w edytorze zaczynamy wybierać linie do usunięcia. Wystarczy zaznaczyć checkbox z lewej strony lub kliknąć dwa razy na wybranej linii.

Wybrane linie zapisujemy do pliku fixlist.txt jednym kliknięciem.
Po zmianie pliku do edycji, na przykład z FRST.txt na Addons.txtzaznaczamy kolejne linie i dodajemy do pliku.

Po skończonej edycji mamy kilka możliwości.
Oprócz wyświetlenia pliku w notatniku, możemy skopiować jego zawartość do schowka.
Ze schowka możemy wrzucić wynik na Forum, dla użytkownika, który poprosił o analizę.
Możemy również wkleić do edytora jeszcze raz, gdy po wyświetleniu zauważyliśmy linie, które nie muszą być analizowane.
Należy przy tym pamiętać, aby po powtórnej edycji, skasować pierwotny fixlist.txt , a dopiero potem dodać właściwe linie do nowego fixlist.txt

Jeśli edytujesz własne pliki, to po zakończeniu, możesz uruchomić FRST z katalogu docelowego.
Domyślnie program uruchamia wersję 64-bit, lecz gdy jej nie znajdzie, można właściwy plik wybrać z katalogu docelowego.

iJuliusz.pl

Freez systemu
(Kwasiarz) #3

Program działa na tych samych systemach, co FRST, czy od W7 wzwyż? (pytam, bo takie to oczywiste może nie być)
Edit: Żeby nie było, nie ja ponoszę winę za odkop (przynajmniej nie pełną), forum twierdzi, że temat jest w miarę świeży.

(krystian3w) #4

Odkop robiła aktualizacja pierwszego wpisu wątku i jak jest w pełni to kod na AutoHotKey to raczej będzie działał nawet na XP.

2 Likes
(iJuliusz) #5

Nowa baza Online nr 128 do wersji 1.09b

  • zaznaczanie CloudPrinter, Logic Cramble
  • zaznaczanie Baidu
  • zaznaczanie Tachyon
  • nowa wersja koparki System Updates
  • nowe losowe exe
(Bogdan_G) #6

Dzięki za program :smiley:Jest mała uwaga. Na moim optoplexie 780 z win7 x64 mam komunikat, że mam pobrać FRST w wersji x64. Na laptopie acer aspire też z win7 x64 mogłem uruchamiać FRST 32 bit.Jednak do FRST x64 trzeba programu naprawczego i rozumiem, żeby pobrać FiRST Editor 1.09b 64.
A gdybym nie zwrócił uwagi na bits i zastosował do FRST x64 - program naprawczy 32 bit, który się elegancko otwiera w moim optiplexie?
Rozumiem, że w programie otwiera się log z FRST x64.
Ma to, czy nie ma znaczenia?