Farbar Recovery Scan Tool

Farbar Recovery Scan Tool

La última versión disponible puede ser descargada desde:
Enlace 1 | Enlace 2

Farbar Recovery Scan Tool (FRST) es una herramienta de diagnóstico que incorpora la posibilidad de ejecutar correcciones mediante scripts previamente elaborados en máquinas infectadas con malware. Ésta funciona perfectamente tanto en Modo Normal como en Modo Seguro, y también en equipos que presentan problemas de arranque, trabajando de manera eficiente en el Entorno de Recuperación de Windows. Esta capacidad de trabajar en el Entorno de Recuperación la hacen particularmente útil para tratar los problemas asociados con las máquinas que experimentan dificultades para iniciar.


Información sobre este tutorial

Este tutorial fue creado originalmente por emeraldnzl en consulta y bajo la supervisión de farbar y con la inestimable colaboración de BC (Bleeping Computer) y G2G (Geeks to Go). emeraldnzl se ha retirado y ya no puede seguir actualizándolo, por lo que ahora el tutorial es puesto al día y mantenido por picasso en consulta y bajo la supervisión de farbar. Se requiere los permisos y las autorizaciones correspondientes tanto de picasso como de farbar antes de utilizar o publicar el tutorial en otros medios. Debe tener en cuenta que este tutorial fue creado originalmente para ofrecer orientación a los ayudantes que ofrecen asistencia para eliminar malware en diversos foros.


Traducciones

Holandés (Países Bajos) | Holandés (Bélgica)
Francés
Alemán
Polaco
Ruso  (advertencia: última actualización en mayo de 2018)


Tabla de contenidos

      1. Introducción
      2. Áreas de Análisis predeterminadas
      3. Análisis Principal (FRST.txt)
        • Processes  –  Procesos
        • Registry  –  Registro
        • Scheduled Tasks  – Tareas Programadas
        • Internet
        • Services/Drivers  –  Servicios/Controladores
        • NetSvcs
        • One month (Created/Modified)  –  Un mes (Creado/Modificado)
        • FLock
        • FCheck
        • KnownDLLs
        • SigCheck
        • Association  –  Asociación
        • Restore Points  –  Puntos de restauración
        • Memory info – Información de la memoria
        • Drives y MBR & Partition Table  – Unidades/Discos y MBR & Tabla de Partición
        • LastRegBack
      4. Análisis Adicional (Addition.txt)
        • Accounts  –  Cuentas
        • Security Center  –  Centro de Seguridad
        • Installed Programs  –  Programas Instalados
        • Custom CLSID  –  CLSID personalizado
        • Codecs
        • Shortcuts & WMI  –  Accesos directos & WMI
        • Loaded Modules  –  Módulos Cargados
        • Alternate Data Streams  –  Secuencias de Datos Alternativas
        • Safe Mode  –  Modo Seguro
        • Association  –  Asociación
        • Internet Explorer trusted/restricted  –  Internet Explorer Sitios de confianza/Sitios restringidos
        • Hosts content  –  Contenido Hosts
        • Other Areas  –  Otras Áreas
        • MSCONFIG/TASK MANAGER disabled items  –  Elementos deshabilitados MSCONFIG/TASK MANAGER
        • FirewallRules  –  Reglas de Cortafuegos
        • Restore Points  –  Puntos de Restauración
        • Faulty Device Manager Devices  –  Dispositivos defectuosos en el Administrador de dispositivos
        • Event log errors  –  Errores de registro de eventos
        • Memory info  –  Información de la Memoria
        • Drives  –  Unidades/Discos
        • MBR & Partition Table  –  MBR & Tabla de Partición
      5. Otros Análisis Opcionales
        • List BCD  –  Listado BCD
        • SigCheckExt
        • Shortcut.txt
        • 90 Days Files  –  Archivos 90 días
        • Search Files  –  Buscar Archivos
        • Search Registry  –  Buscar en Registro
      6. Directivas/Comandos
        • CloseProcesses:
        • CMD:
        • Copy:
        • CreateDummy:
        • CreateRestorePoint:
        • DeleteJunctionsInDirectory:
        • DeleteKey: y DeleteValue:
        • DeleteQuarantine
        • DisableService:
        • EmptyTemp:
        • ExportKey: y ExportValue:
        • File:
        • FilesInDirectory: y Folder:
        • FindFolder:
        • Hosts:
        • ListPermissions:
        • Move:
        • Powershell:
        • Reboot:
        • Reg:
        • RemoveDirectory:
        • RemoveProxy:
        • Replace:
        • RestoreFromBackup:
        • RestoreMbr:
        • RestoreQuarantine:
        • SaveMbr:
        • SetDefaultFilePermissions:
        • StartBatch: – EndBatch:
        • StartPowershell: – EndPowershell:
        • StartRegedit: – EndRegedit:
        • SystemRestore:
        • TasksDetails:
        • testsigning on:
        • Unlock:
        • VirusTotal:
        • Zip:
      7. Discurso Enlatado


Los ayudantes y expertos de confianza que tienen el acceso requerido, pueden estar al tanto de las últimas novedades de la herramienta en el Hilo de Discusión de FRST.


Introducción

Una de las fortalezas por la que destaca FRST es por su simplicidad. Esta herramienta ha sido diseñada para ser fácil de utilizar. Las líneas que contienen referencias a los elementos infectados se pueden identificar, ser copiadas desde el registro de resultados, pegadas a continuación en el Bloc de notas y ser finalmente guardadas en un archivo. Luego, con solo presionar un botón, la herramienta hace el resto. Esto permite una gran flexibilidad, ya que a medida que aparecen nuevas infecciones, éstas pueden ser identificadas e incluidas en una solución.


¿En qué Sistemas Operativos funcionará?

Farbar’s Recovery Scan Tool ha sido desarrollado para ejecutarse en los Sistemas Operativos: Windows XP, Windows Vista, Windows 7, Windows 8 y Windows 10. El software se encuentra disponible para las arquitecturas tanto de 32-bits como de 64-bits.

Nota: FRST64 no ha sido diseñada para ejecutarse en Windows XP de 64 bits.


Diagnóstico

FRST crea un archivo de registro que cubre áreas específicas del Sistema Operativo Windows. Este puede ser utilizado para el análisis inicial de los problemas y para brindarle información sobre el sistema.

La herramienta está en constante desarrollo, parte del cual incluye la adición de nuevas etiquetas de identificación de malware. En consecuencia, se recomienda encarecidamente actualizarla periódicamente. Si la computadora está conectada a Internet, se producirá una verificación automática de actualizaciones disponibles cuando se abra FRST. Una notificación será mostrada y la última versión disponible podrá entonces ser descargada.

Cuando una nueva amenaza aparezca o la actualización de la herramienta no sea posible de realizar, por ejemplo, por problemas con la conexión a internet, el experto debe estar al tanto de las últimas amenazas desarrolladas en el campo de la infección por malware para poder realizar una identificación temprana del problema. El usuario no profesional debe buscar la ayuda de expertos cuando aparecen nuevas infecciones o cuando encuentra dificultades para identificar el problema en su máquina.

De manera predeterminada, como ocurre con otras herramientas de diagnóstico, FRST aplica una protección de seguridad basada en listas blancas. Esto evita recibir como resultados informes de registros demasiado extensos. Si quiere visualizar un informe de registro completo; entonces deberá desactivar la casilla de verificación correspondiente a la sección Lista. Prepárese para recibir un registro muy extenso.

  • FRST incluye en la lista blanca las entradas predeterminadas del registro de MS.
  • En el caso de Servicios (Services) y Controladores (Drivers), la lista blanca cubre no solo los servicios predeterminados de MS, sino también todos los demás servicios y controladores legítimos.
  • Las entradas con archivos no firmados no son incluidas en la lista blanca.
  • Ningún programa de seguridad (Antivirus o Cortafuegos) se mostrará en la lista blanca.
  • El servicio SPTD no estará presente en la lista blanca.


Preparar la herramienta para su utilización

Asegúrese de que FRST se ejecuta bajo privilegios de administrador. Solo cuando la herramienta sea ejecutada por un usuario que tenga privilegios de administrador o desde una cuenta de administrador funcionará correctamente. Si un usuario no tiene privilegios de administrador, verá una advertencia al respecto en el encabezado del archivo FRST.txt.

En algunos casos, un programa de seguridad puede evitar que la herramienta se ejecute plenamente. Por norma general, esto no va a ocurrir, pero tenga en cuenta la posibilidad de que cuando se solicita un análisis, un programa de seguridad puede impedir la ejecución de la herramienta. A la hora de corregir los problemas encontrados en el análisis, es preferible desactivar programas de seguridad que pudieran impedir que la herramienta haga su trabajo como por ejemplo Comodo.

Una recomendación general para todos los usuarios, es que cuando se tenga que lidiar con un rootkit, es mejor corregir el problema en el momento, y esperar a ver el resultado obtenido antes de ejecutar otra herramienta.

No es necesario crear una copia de seguridad del registro. FRST realiza una copia de seguridad del registro la primera vez que se ejecuta. La copia de seguridad se encuentra en %SystemDrive%\FRST\Hives (en la mayoría de los casos C:\FRST\Hives). Consulte la directiva RestoreFromBackup: para obtener información más detallada.

FRST está disponible en varios idiomas diferentes. El personal encargado de ofrecer ayuda a los usuarios menos expertos, tienden a utilizar el inglés como el idioma de su elección para el análisis de los problemas. Si un ayudante o alguien que busca ayuda desea obtener o proporcionar los logs del programa en inglés, solamente tiene que ejecutar FRST añadiendo la palabra English al nombre del ejecutable de la herramienta. Por ejemplo, EnglishFRST.exe o EnglishFRST64.exe o FRSTEnglish.exe o FRSTEnglish64.exe. De esta manera, el log de resultados será proporcionado en el idioma inglés.


Ejecutar FRST

El usuario debe descargar la herramienta Farbar en el Escritorio del sistema. Desde esa ubicación es muy sencillo hacer doble clic en el ejecutable de la herramienta (FRST.exe o FRTS64.exe), aceptar la exclusión de toda responsabilidad (disclaimer) haciendo clic en el botón , y acceder a las distintas opciones de la misma. El icono de FRST tiene la siguiente apariencia:

FRST

Nota: Debe ejecutarse la versión compatible con el sistema del usuario. Como hemos comentado anteriormente existen versiones de 32 bits y 64 bits. Si el usuario no está seguro de qué versión debe utilizar debido a su falta de conocimientos informáticos, tiene la opción de descargar ambas versiones e intentar ejecutarlas. Solamente una de ellas se ejecutará en el sistema, esa será la versión correcta que debe utilizar.

Al abrir FRST, se presenta en pantalla una ventana con la siguiente apariencia:

frstconsole-org

Una vez que FRST haya completado el proceso de análisis, guardará las copias en archivos de bloc de notas, en la misma ubicación en la que fue ejecutado. En los análisis realizados fuera del Entorno de Recuperación, la herramienta creará como resultado los archivos de registro FRST.txt y Addition.txt.

Las copias de estos dos archivos de los informes son guardadas en %SystemDrive%\FRST\Logs (en la mayoría de los casos esta ubicación será C:\FRST\Logs).


Corrección de Problemas

Advertencia, Muy Importante: La herramienta Farbar Recovery Scan Tool no es invasiva y en su modo de exploración (Scan) no puede dañar bajo ninguna circunstancia un equipo.

Sin embargo, FRST también es muy efectivo ejecutando las instrucciones. Al aplicar una solución; si se le pide que elimine un elemento; en el 99% de los casos esta herramienta lo hará. Si bien la herramienta cuenta con algunas medidas de seguridad incorporadas, éstas son necesariamente generales y han sido diseñadas para no ser un obstaculo para el proceso de eliminación de las infecciones. El usuario debe ser consciente de esto. Si se usa de manera incorrecta (es decir, si se le solicita a Farbar que elimine archivos esenciales), la herramienta puede hacer que una computadora no pueda iniciar el sistema operativo.

Si no está completamente seguro sobre la información de algún elemento que aparezca en los informes proporcionados por la herramienta, busque la opinión y la ayuda de algún experto antes de crear un archivo de corrección.

FRST tiene una amplia gama de comandos e interruptores que pueden ser utilizados tanto para manipular los procesos de la computadora como para corregir los problemas que se hayan identificado.



Preparando el “Fixlist” [archivo de corrección]

1. Procedimiento Fixlist.txt – Para corregir los problemas identificados, copie y pegue las líneas afectadas de los archivos de los informes FRST en un archivo de texto creado con el nombre de fixlist.txt, y guárdelo en el mismo directorio desde el que está ejecutando la herramienta de diagnóstico.

Nota: Es importante que se utilice para ello el Bloc de Notas. La solución no funcionará si se utiliza Word o cualquier otro procesador de textos.

2. Procedimiento Ctrl + Y – El atajo de teclado Ctrl + Y puede ser utilizado para crear y abrir automáticamente un archivo vacío para ser rellenado. Ejecute FRST, pulse al mismo tiempo la combinación de teclas Ctrl + Y para abrir el archivo, pegue la solución siguiendo los pasos que se detallan a continuación, y pulse Ctrl + S para guardarlo.

3. Procedimiento Portapapeles – Introduzca (copie y pegue) las líneas a corregir entre los comandos Start:: y End:: tal y como se muestra a continuación:

Start::
contenido del script
End::

Asegúrese si está ayudando a un usuario inexperto, que éste copie todo el contenido de la solución, incluyendo los comandos Start:: y End::, y que haga clic en el botón Fix.



Unicode

Para corregir una entrada que contenga caracteres Unicode, el archivo del script de solución debe ser guardado en Unicode, de lo contario los caracteres Unicode se perderán. El atajo de teclado Ctrl + Y, guarda el archivo de texto en Unicode. Pero debe tener en cuenta que al crear un archivo de corrección fixlist.txt manualmente, se debe elegir una codificación adecuada en el Bloc de notas (véase más abajo).

Ejemplo:

S2 敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥坜獩履楗敳䌠牡潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 – 2016-08-17 16:23 – 00000000 _____ C:\ProgramData\oole hroe.lnk.bat

Copie y pegue las entradas en el Bloc de Notas, haga clic en el menú Archivo y seleccione Guardar como…, en la opción Codificación: seleccione UTF-8, otorgue el nombre de fixlist al archivo, y guárdelo en la misma ubicación donde se ejecuta la herramienta de diagnóstico Farbar Recovery Scan Tool (se recomienda que esta ubicación sea el escritorio del sistema).

Si al guardar el archivo no selecciona la opción UTF-8, recibirá una advertencia por parte del Bloc de Notas. Si ignora la advertencia y realiza el proceso de guardado, tras cerrar el archivo y volverlo a abrir, obtendrá algo parecido a lo siguiente:

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 – 2016-08-17 16:23 – 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

Y FRST no podrá procesar las entradas.



Nombres de usuario manipulados

Algunos usuarios alteran los informes de registro eliminando o reemplazando el nombre de usuario. Para asegurarse que las rutas correctas sean procesadas, puede reemplazar el nombre de usuario potencialmente manipulado en las rutas con CurrentUserName (para el usuario cuya sesión se encuentra cargada e iniciada) o AllUserName (para todos los usuarios existentes en el sistema). FRST interpretará y convertirá automáticamente la palabra reservada de este método, a un nombre de usuario válido existente.

Nota: CurrentUserName no puede ser utilizado en el Entorno de Recuperación.


Para evitar que FRST se cuelgue durante horas debido a secuencias de comandos de scripts incorrectas u otras circunstancias inesperadas, el tiempo total de la solución completa está limitado a 40 minutos.

Los elementos movidos por la solución son mantenidos en el directorio %SystemDrive%\FRST\Quarantine, en la mayoría de los casos esta ruta será C:\FRST\Quarantine hasta la limpieza y eliminación de FRST.

Para obtener información detallada sobre cómo preparar las soluciones, consulte las secciones que se muestran a continuación.



Eliminar FRST

Para eliminar automáticamente todos los archivos/carpetas creados por FRST y la propia herramienta, cambie el nombre de FRST/FRST64.exe a uninstall.exe y ejecútela. Este procedimiento requiere de un reinicio del sistema, y funciona solamente fuera del Entorno de Recuperación.


Áreas de análisis predeterminadas

En el primero y en los subsecuentes análisis fuera del Entorno de Recuperación, se generará un archivo de informe de registro FRST.txt y otro archivo de informe de registro Addition.txt. El archivo de informe de registro Addition.txt no se produce cuando se ejecuta FRST en el Entorno de Recuperación.


Ejecución del análisis en modo normal:

Análisis Principal

Processes  –  Procesos [verificación de firmas digitales]
Registry  –  Registro [verificación de firmas digitales]
Scheduled Tasks  –  Tareas Programadas [verificación de firmas digitales]
Internet [verificación de firmas digitales]
Services –  Servicios [verificación de firmas digitales]
Drivers  –  Controladores [verificación de firmas digitales]
NetSvcs
One month (Created)  –  Un mes (Creado)
One month (Modified)  –  Un mes (Modificado)
Files in the root of some directories  –  Archivos en la raíz de algunos directorios
FLock
FCheck
SigCheck [verificación de firmas digitales]
LastRegBack


Análisis Adicional

Accounts  –  Cuentas
Security Center  –  Centro de Seguridad
Installed Programs  –  Programas Instalados
Custom CLSID  –  CLSID personalizado [verificación de firmas digitales]
Codecs [verificación de firmas digitales]
Shortcuts & WMI – Accesos Directos & WMI
Loaded Modules  –  Módulos Cargados [verificación de firmas digitales]
Alternate Data Streams  –  Secuencias de Datos Alternativas
Safe Mode  –  Modo Seguro
Association  –  Asociación
Internet Explorer trusted/restricted – Internet Explorer Sitios de confianza/Sitios restringidos
Hosts content  –  Contenido Hosts
Other Areas  –  Otras Áreas
MSCONFIG/TASK MANAGER disabled ítems  –  Elementos deshabilitados MSCONFIG/TASK MANAGER
FirewallRules  –  Reglas de Cortafuegos
Restore Points  –  Puntos de Restauración
Faulty Device Manager Devices  –  Dispositivos defectuosos en el Administrador de dispositivos
Event log errors  –  Errores de registro de eventos
Memory info  –  Información de la Memoria
Drives  –  Unidades/Discos
MBR & Partition Table  –  MBR & Tabla de Partición


Análisis
Opcional

List BCD  –  Listado BCD
SigCheckExt [verificación de firmas digitales]
Shortcut.txt
Addition.txt
90 Days Files  –  Archivos 90 días

Search Files  –  Buscar Archivos [verificación de firmas digitales]
Search Registry  –  Buscar en Registro

Nota: [File not signed] será indicado para archivos sin firma digital o archivos con firma no verificada.


Ejecución del análisis en el Entorno de Recuperación:

Análisis Principal

Registry  –  Registro
Scheduled Tasks – Tareas Programadas
Services  –  Servicios
Drivers  –  Controladores
NetSvcs
One month (Created)  –  Un mes (Creado)
One month (Modified)  –  Un mes (Modificado)
KnownDLLs
SigCheck
Association  –  Asociación
Restore Points  –  Puntos de restauración
Memory info  –  Información de la memoria
Drives  –  Unidades/Discos
MBR & Partition Table  –  MBR & Tabla de Partición
LastRegBack


Análisis
Opcional

List BCD  –  Listado BCD
90 Days Files  –  Archivos 90 días

Search Files  –  Buscar Archivos

Nota: La verificación de firmas digitales no se encuentra disponible en el Entorno de Recuperación.


Análisis Principal (FRST.txt)

Cabecera

A continuación, un ejemplo de cabecera:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 27.04.2019
Ran by User (administrator) on DESKTOP-3DJ40NK (Dell Inc. Inspiron 7352) (27-04-2019 12:58:02)
Running from C:\Users\User\Desktop
Loaded Profiles: User
Platform: Windows 10 Pro Version 1809 17763.437 (X64) Language: English (United States)
Default browser: FF
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

La lectura del encabezado puede ser muy útil:

Primera línea: indica si se ha ejecutado la versión FRST de 32 bits (x86) o 64 bits (x64). También se muestra el número identificativo de la versión FRST utilizada. El identificador del número de versión es particularmente importante. Una versión no actualizada, puede presentar una funcionalidad menos avanzada.

Segunda línea: muestra qué usuario ejecutó la herramienta y bajo qué permisos lo hizo. Esta línea puede alertarlo sobre si el usuario tiene o no los permisos apropiados requeridos. La línea también muestra el nombre de la computadora junto con el Fabricante y Modelo del Sistema (si está disponible). La fecha y la hora en que se ejecutó la herramienta son de utilidad para reconocer un posible informe antiguo que un usuario pueda proporcionar inadvertidamente.

Tercera línea: indica desde qué ubicación se ejecutó la herramienta de diagnóstico FRST. Esto puede ser relevante para la instrucción de la solución, si se ha ejecutado desde otro lugar que no sea el escritorio.

Cuarta línea: indica con qué cuenta (perfil) ha iniciado sesión el usuario, es decir, la cuenta actual cargada y utilizada en ese instante por parte del usuario.

Nota: Cuando se inicia sesión en Windows, solamente se proporciona la información hive del usuario que ha iniciado la sesión. Si el usuario inicia sesión en otra cuenta sin reiniciar (por ejemplo, utilizando las opciones del sistema “Cambiar de usuario” o “Cerrar sesión”), también se proporciona la información hive de la segunda cuenta de usuario. En esa situación, FRST listará las entradas de registro de ambos usuarios, pero no listará las entradas de registro específicas a cualquier otro usuario existente, ya que esos hives no han sido cargados.

Quinta línea: registra la edición de Windows del equipo, incluyendo las compilaciones o actualizaciones más importantes (Versión y OS build en Windows 10, “Update” en Windows 8.1, Service Pack en Windows 7 y Sistemas anteriores) junto con el idioma utilizado. Esto puede alertarle sobre un problema de actualizaciones, si la actualización mostrada no es la última o de las últimas lanzada/s por Microsoft.

Sexta línea: proporciona la versión de Internet Explorer (en Windows 7 y Sistemas anteriores) y el navegador predeterminado.

Séptima línea: informa en qué modo se ejecutó el análisis.

La última línea muestra un enlace al tutorial de la herramienta.

Nota: La información de la cabecera proporcionada por la herramienta, cuando ésta se ejecuta en el Entorno de Recuperación, es similar aunque está forzosamente truncada ya los perfiles de usuario que no han iniciado sesión no están cargados.



Alertas que se pueden mostrar en la cabecera:

Cuando haya problemas de arranque, es posible que aparezca la siguiente advertencia: “ATTENTION: Could not load system hive”. Un hive [en inglés] es un grupo lógico de claves, subclaves y valores del registro que presentan un conjunto de archivos secundarios que contienen copias de seguridad de sus datos. El mensaje de advertencia le anuncia, por tanto, que el hive o grupo lógico de claves del sistema falta o no se encuentra. Restaurar el hive utilizando el comando LastRegBack: podría ser una solución eficaz (véase más abajo).

“Default: Controlset001” – La notificación indica que el CS (ControlSet) del sistema, es el CS predeterminado. ¿Por qué se necesita esta información? Normalmente no se necesita, pero en el caso de que se desee examinar o manipular el CS que se cargará cuando se inicie Windows, entonces ya se tendrá la información de qué CS debe examinarse o manipularse. Hacer cualquier cosa a otro CS disponible no tiene ningún efecto en el sistema.



Processes – Procesos

<número> adjunto al final de la línea indica varias instancias del mismo proceso.

Hay dos razones por las que se puede querer detener un proceso. En primer lugar, para detener un posible software legítimo que pueda interceptar o bloquear una solución. En segundo lugar, para detener un proceso malicioso y eliminar la carpeta o el archivo asociado a éste.

Para detener un proceso incluya las líneas correspondientes al mismo, que aparecen en el informe de registro de diagnóstico FRST.

Ejemplo:

(Microsoft Windows -> Microsoft Corporation)
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Un archivo Fixlog.txt será generado con esta etiqueta en su interior Nombre del Proceso => Process closed successfully.

Si en el informe aparece un proceso maligno, y se desea eliminar el archivo o carpeta a la que está asociado, es necesario incluir cada elemento por separado en el archivo de la solución:

Ejemplo:

(PresencePoliceman -> CalienSoln) [File not signed] C:\Program Files (x86)\Common Files\CalienSolnTHB\CalienSolnTHB.exe
C:\Program Files (x86)\Common Files\CalienSolnTHB


Registry – Registro

Las entradas del Registro (claves o valores) que sean tomadas desde FRST y sean incluidas en el fixlist serán eliminadas. FRST incorpora una poderosa rutina de eliminación de claves y valores. Todas las claves y valores que se resistan a eliminarse debido a permisos insuficientes o caracteres incrustados no válidos serán eliminados. Aquellas claves que se resistan a ser eliminadas debido a causas de acceso denegado, se programarán para su eliminación después del reinicio del sistema. Las únicas claves que no se eliminarán son aquellas que están protegidas por un controlador de kernel. Esas claves / valores deben eliminarse después de que se elimine o deshabilite el controlador del kernel que las protege.

Copiar y pegar los elementos desde un informe a un archivo de solución, desencadena que FRST realice una de las siguientes acciones en la clave / valor del registro listado:

    1. Restaurar la clave/valor por defecto o
    2. Eliminar la clave/valor

Cuando las entradas del informe relacionadas con BootExecute, valores Winlogon (Userinit, Shell, System), LSA, y AppInit_DLLs son copiadas al fixlist, la herramienta restaura los valores predeterminados de Windows.

Nota: Cuando entre los valores de AppInit_DLLs hay una ruta maliciosa, FRST elimina esta ruta del valor de AppInit_DLLs sin eliminar el resto de valores.

No hay necesidad de utilizar un procesamiento por lotes (batch) ni de utilizar una solución de registro (regfix). Lo mismo ocurre con algunas otras claves/valores importantes que podrían ser secuestrados por el malware.

Nota: FRST no toca los archivos que las claves de registro están cargando o ejecutando. Los archivos que se moverán deben enumerarse por separado mediante la ruta completa sin ninguna información adicional.

Run, RunOnce, Image File Execution Options y otras entradas del registro, si se copian al fixlist, serán eliminadas del registro. Los archivos que estas entradas del registro están cargando o ejecutando no serán eliminados. Si desea eliminarlos debe enumerarlos por separado.

Por ejemplo, para eliminar la entrada maliciosa junto con el archivo, se incluirían en el listado del fixlist de la siguiente manera (la primera línea es copiada directamente desde el informe/ registro de diagnóstico):

HKLM\…\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [File not signed] <==== ATTENTION
C:\WINDOWS\TEMP\gA652.tmp.exe

Cuando se detecta un archivo o acceso directo en la carpeta Startup, FRST lista el archivo en las entradas Startup:. Si el archivo es un acceso directo, la línea siguiente mostrará el destino al que hace referencia el acceso directo (es decir, el archivo ejecutable que se ejecuta al hacer doble clic en el acceso directo). Para eliminar tanto el acceso directo como el archivo de destino, debe incluir ambos en el archivo de solución fixlist.txt.

Ejemplo:

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [File not signed]

Nota: La primera línea solamente mueve el acceso directo. La segunda línea del listado mueve el archivo helper.vbs. Si solamente se añade al listado la segunda línea, el archivo ejecutable será eliminado, pero el acceso directo permanecerá en la carpeta Startup. La próxima vez que se inicie el sistema, se producirá un error cuando el acceso directo intente ejecutar el archivo ejecutable y no lo encuentre.

En casos de que un malware abuse de Certificados que no sean de Confianza o de Políticas de Restricción de Software [en inglés], encontrará entradas como estas:

HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION

Para desbloquear programas de seguridad incluya las líneas en el fixlist.

Nota: La detección de Políticas de Restricción de Software es genérica y puede dar lugar a la notificación de otras entradas legítimas creadas para proteger al sistema contra infecciones. Véase: Cómo crear manualmente Políticas de Restricción de Software para bloquear ataques por ransomware [en inglés].

FRST también detecta la presencia de Objetos de Directiva de Grupo [en inglés] (Registry.pol y Scripts), que pueden ser utilizados indebidamente por el malware. Firefox, Google Chrome y las políticas de Windows Defender definidas en el archivo Registry.pol serán presentadas por separado:

GroupPolicy: Restriction – Windows Defender <======= ATTENTION

Para otras políticas o scripts, solamente se recibirá una advertencia genérica sin mayores detalles:

GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Para restablecer las políticas a su estado original, incluya las líneas en el fixlist. FRST eliminará las carpetas de Políticas de Grupo (GroupPolicy) y forzará un reinicio del sistema.

Ejemplo:

C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully

Nota: La detección se adapta a una computadora doméstica estándar sin políticas configuradas, y el resultado podría provocar el señalamiento legítimo de entradas introducidas manualmente a través de gpedit.msc.


Scheduled Tasks – Tareas Programadas

Se muestran las tareas programadas que no se encuentran en la lista blanca. Cuando una entrada es incluida en el archivo fixlist, la propia tarea en sí será corregida.

Ejemplo:

Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} – System32\Tasks\csrss =>
C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [File not signed] <==== ATTENTION

“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}” => removed successfully
“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}” => removed successfully
C:\Windows\System32\Tasks\csrss => moved successfully
“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss” => removed successfully

Tenga en cuenta que FRST solamente elimina las entradas del registro y mueve el archivo de tareas, pero no mueve el archivo ejecutable de la misma. Si el archivo ejecutable es malicioso, éste debe ser añadido en una línea distinta dentro del archivo fixlist para que sea movido de su ubicación.

Nota:Un malware puede hacer uso de un ejecutable legítimo (por ejemplo, usar sc.exe para ejecutar sus propios servicios) para ejecutarse. En otras palabras, debe verificar el ejecutable para determinar si es legítimo o no antes de tomar las medidas oportunas.

La siguiente línea no debe sera incluida en el fixlist:

“{GUID aleatorio}” => key was unlocked. <==== ATTENTION

El mensaje indica que FRST detectó permisos quebrantados y los reparó automáticamente durante el proceso de exploración. Se deberá realizar un nuevo análisis con FRST y verificar en los resultados obtenidos, si la tarea desbloqueada es visible (tarea personalizada) o no (entrada de Microsoft en la lista blanca). Si es necesario, incluya la línea de tareas estándar en el fixlist.


Internet

Salvo algunas excepciones, los elementos copiados al  fixlist son eliminados. Para las entradas de registro que involucran archivos/carpetas, los archivos/carpetas deben ser añadidos en el listado de la solución por separado, para que sean movidos correctamente. Esto no se aplica a las entradas de los navegadores (exceptuando Internet Explorer), véase las descripciones siguientes para obtener más detalles.


Winsock

Los elementos que no estén en la lista predeterminada se mostrarán en el informe/registro de diagnóstico. Si se incluye una entrada Catalog5 en el listado de la solución, FRST hará una de estas dos cosas:

    1. En el caso de las entradas predeterminadas secuestradas, se restaurará la entrada predeterminada.
    2. En el caso de las entradas modificadas, las eliminará y volverá a numerar las entradas de catálogo automáticamente.

Cuando se incluyen entradas Catalog9 para que sean reparadas, se recomienda utilizar el comando “netsh winsock reset”:

cmd: netsh winsock reset

En caso de que todavía queden entradas Catalog9 por ser corregidas, éstas pueden ser listadas en el archivo fixlist. En cuyo caso, FRST eliminará las entradas y volverá a numerar las entradas de catálogo.

Precaución: una cadena rota impedirá que una máquina pueda conectarse a internet.

Un acceso de la conexión a internet quebrantado debido a la falta de algunos elementos Winsock, se advertirá en el informe/registro de diagnóstico de la siguiente manera:

Winsock: -> Catalog5 – Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 – Broken internet access due to missing entry. <===== ATTENTION

Para solucionar el problema, las entradas pueden ser incluidas en el fixlist.


hosts

Cuando se encuentren entradas incluidas en el archivo Hosts, aparecerá una línea en la sección Internet del archivo FRST.txt que indicará lo siguiente:

Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt

Si el archivo hosts no fuese encontrado, una línea indicará la imposibilidad de detectarlo [the hosts file is not detected in the default folder] [el archivo host no ha sido detectado en el directorio predeterminado].

Para restablecer el archivo hosts, simplemente copie y pegue las líneas en el listado del fixlist, y el archivo será restablecido. Verá una línea en el archivo Fixlog.txt que confirmará el restablecimiento.


Tcpip y otras entradas

Las entradas incluidas en el archivo fixlist serán eliminadas.

Nota: Los servidores DNS configurados en el registro (DhcpNameServer y NameServer) pueden ser comparados con los “DNS Servers” mostrados en el archivo Addition.txt para detectar cuál configuración está activa.



Nota:
En el caso de secuestro los valores de registro de StartMenuInternet, las entradas predeterminadas se incluirán en la lista blanca. Cuando la entrada aparece en el registro del informe de diagnóstico FRST, significa que se presenta una ruta no predeterminada. Puede o no haber algo sospechoso en la ruta de acceso del registro y se debe realizar una investigación adicional. Cuando haya un problema, la entrada puede ser incluida en el fixlist para restaurar la entrada de registro afectada a su valor predeterminado.


Nota:
Las extensiones no instaladas a través de los repositorios oficiales (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera add-ons) tendrán una URL de actualización detectada.


Internet Explorer

Para las páginas del navegador, los motores de búsqueda (SearchScopes) y otras entradas que no involucran archivos/carpetas: dependiendo del tipo de objeto, FRST eliminará el elemento del registro o restaurará el valor actual a su estado predeterminado.

Ejemplo:

HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}

Las entradas URLSearchHook, BHO, Toolbar, Handler y Filter pueden ser copiadas en el archivo de solución para eliminar las entradas del registro afectadas. Los archivos/carpetas asociados deben ser incluidos por separado en caso de que sea necesario moverlos.

Ejemplo:

BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] () [File not signed]
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] () [File not signed]
C:\Program Files\shopperz


Edge

En Windows 10, ambas versiones del navegador son detectadas y listadas juntas en el registro.

Edge clásico: Exceptuando DownloadDir, las líneas pueden ser añadidas en el listado de corrección, siendo los elementos eliminados.

Edge basado en Chromium: se aplican las mismas reglas que para Google Chrome. Ver la descripción a continuación.


Firefox

FRST lista las claves y perfiles de FF (si están presentes), independientemente de si FF está o no instalado. Cuando existan varios perfiles de Firefox o de clones de Firefox, FRST listará las preferencias y extensiones disponibles en todos los perfiles. Los perfiles no estándar creados por adware son marcados.

Exceptuando FF DefaultProfile y FF DownloadDir, todas las demás líneas pueden ser incluidas en el fixlist para que los elementos sean eliminados.

FRST verifica la firma de los Complementos. Los Complementos sin firmar son etiquetados.

Ejemplo:

FF Extension: (Adblocker for Youtube™) – C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [not signed]


Chrome

FRST lista las claves y perfiles de Chrome (si están presentes), independientemente de si Chrome está o no instalado. Cuando existan varios perfiles, FRST listará las preferencias y extensiones de todos los perfiles. Las Extensiones son detectadas en todos los perfiles. Los perfiles no estándar creados por adware son marcados.

El análisis de las preferencias incluye las entradas de la Página Principal (HomePage) y las Direcciones URL de inicio modificadas (StartupUrls), la Session Restore si está habilitada,  algunos parámetros del proveedor de búsqueda predeterminado personalizado y las notificaciones (Notifications) autorizadas/permitidas:

CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> “hxxp://www.web-pl.com/”
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> is enabled.
CHR Notifications: Default -> hxxps://www.speedtestace.co

Las entradas HomePage, StartupUrls y Notifications serán eliminadas cuando sean incluidas en el fixlist. El procesamiento de otras entradas dará como resultado un restablecimiento parcial de Chrome, dando lugar a que el usuario pueda visualizar el siguiente mensaje en la página de configuración de Chrome: “Chrome detectó que algunos de los ajustes de configuración fueron dañados por otro programa y los restableció a sus valores predeterminados originales“.

FRST también identifica redirecciones de Nueva Pestaña (New Tab) controladas por extensiones. Para eliminar la redirección, identifique la extensión correspondiente (si está presente) y desinstálela correctamente a través de las herramientas de Chrome (véase más abajo).

CHR NewTab: Default ->  Active:”chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html”
CHR Extension: (RadioRage) – C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

La eliminación de extensiones no está soportada. Las líneas pertenecientes a CHR Extension no son procesadas cuando se añaden a un fixlist. Utilice las propia herramienta de Chrome en su lugar:

  • Teclee chrome://extensions en la barra de direcciones del navegador y presione Enter.
  • Haga clic en Eliminar disponible bajo la extensión que desea eliminar por completo.
  • Un cuadro de diálogo de confirmación aparece en pantalla. Haga clic en Eliminar.

Una excepción es un instalador de extensión ubicado en el registro (etiquetas CHR HKLM y HKU). Cuando la entrada se incluya en el fixlist, la clave será eliminada.


Opera

FRST lista las claves y perfiles de Opera (si están presentes), independientemente de si Opera está o no instalado.

El informe destinado a Opera está actualmente limitado a StartMenuInternet, Notificaciones (Notifications), Direcciones URL de inicio modificadas (StartupUrls), Session Restore y extensiones (Extensions).

Las entradas pueden ser incluidas en el fixlist, con la única excepción que se indica a continuación.

La eliminación de extensiones no está soportada. Las líneas pertenecientes a OPR Extension no son procesadas cuando se añaden a un fixlist. Utilice las propia herramienta de Opera en su lugar:

    • Teclee opera://extensions en la barra de direcciones del navegador y presione Enter.
    • Para eliminar cada extensión afectada individualmente, haga clic en la X situada a la derecha de cada una de ellas y, a continuación, haga clic en Aceptar.

Para aquellos navegadores que no se muestran en el registro de diagnóstico/informe, la mejor opción es desinstalarlo completamente, reiniciar el Sistema y volver a instalar el navegador afectado.



Services y Drivers – Servicios y Controladores

Los Servicios y Controladores se presentan bajo el siguiente formato:

EstadoDeEjecución TipoDeInicio NombreDelServicio; ImagePath o ServiceDll [Tamaño FechaCreación] (NombreFirmante -> NombreCompañía) [verificación de firma]

Estado de Ejecución – La letra que precede al número representa el Estado de Ejecución:

R=En Ejecución
S=Detenido
U=Indeterminado

Los números pertenecientes a “Tipo de Inicio” son:

0=Boot (Controlador de dispositivo iniciado por el cargador del sistema)
1=System (Controlador de dispositivo. El servicio es un controlador iniciado por la
función IOInitSystem)
2=Auto (Automático)
3=Demand (Manual)
4=Disabled (Deshabilitado)
5=Asignado por FRST cuando no puede leer el tipo de inicio

Cuando vea una [X] al final de una entrada de la lista, significa que FRST no pudo encontrar los archivos asociados con el Servicio o el Controlador correspondiente, y listó en su lugar el ImagePath o ServiceDll introducidos en el Registro.

Los servicios predeterminados de Microsoft que apuntan a archivos no firmados requieren una corrección.

Ejemplo:

==================== Services (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]

En este caso, el archivo debe ser reemplazado, necesita ser reemplazado por una copia legítima del archivo original. Para corregirlo, utilice el comando Replace:

Para eliminar un Servicio o Controlador malicioso, copie y pegue la línea afectada del registro de diagnóstico al fixlist. Cualquier archivo asociado al mismo, debe ser incluido por separado.

Ejemplo:

R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== ATTENTION
C:\Windows\94BE3917F6DF.sys

La herramienta detendrá cualquier elemento del Servicio que se incluya en el fixlist, y luego eliminará la clave del Servicio.

Nota: FRST informará satisfactoriamente o desfavorablemente de la detención de los Servicios que se encuentran en ejecución. Independientemente de si el Servicio fue o no detenido, FRST intentará eliminar el Servicio. Cuando un Servicio en ejecución es eliminado, FRST informará al usuario acerca de cómo completar la corrección y sobre la necesidad de reiniciar el Sistema. A continuación, FRST reiniciará el Sistema. Una línea al final del archivo de la solución, indicará sobre la necesidad de reiniciar el Sistema. Si un servicio no se encuentra en ejecución, FRST lo eliminará directamente sin forzar un reinicio.

Existe una excepción por las que un Servicio será reparado, en lugar de ser eliminado. En el caso de que Themes haya sido secuestrado por malware, verá algo como lo que se muestra a continuación:

S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION

Cuando la entrada sea incluida en el fixlist, será restaurada a su estado predeterminado.

La siguiente línea no debe ser incluida en el fixlist:

“Nombre del Servicio” => service was unlocked. <==== ATTENTION

El mensaje indica que FRST ha detectado permisos dañados y los ha corregido automáticamente durante el análisis de diagnóstico. Se ha de realizar un nuevo informe  de diagnóstico con FRST para verificar el resultado. Si es necesario, incluya la línea de servicio estándar en el fixlist.



NetSvcs

Las entradas reconocidas como legítimas se encuentran listadas en la lista blanca. Al igual que con otras áreas analizadas que contienen una lista blanca, esto no significa que los elementos que aparecen en el informe FRST.txt sean maliciosos, sino que deben verificarse.

Cada una de las entradas NetSvc es listada en una línea, como esta:

NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc ->  no filepath

Nota: Incluir una entrada Netsvc en el archivo de solución, solamente elimina el valor asociado del registro. El servicio asociado (si está presente bajo la sección Services) debe ser incluido para su eliminación por separado.

Ejemplo:

Para eliminar el valor de Netsvc, el servicio asociado en el registro y el archivo DLL asociado, el script completo debería tener el siguiente aspecto:

S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi



One month (Created/Modified) – Un mes (Creado/Modificado)

El análisis de diagnóstico “Created” enumera la fecha y la hora en que se creó el archivo o la carpeta, seguido de la fecha y la hora en la que se produjo la última modificación.
El análisis de diagnóstico “Modified” enumera la fecha y la hora en la que se produjo la última modificación del archivo o carpeta seguido de la fecha y la hora de creación.
El tamaño (número de bytes contenidos) del archivo es también especificado. Una carpeta mostrará 00000000, ya que la carpeta en sí no tiene bytes.

Nota: Para evitar un tiempo de análisis muy largo, así como también evitar la producción de informes excesivamente grandes, el análisis se limita a algunas ubicaciones predefinidas. Además, FRST solamente lista el nombre de las carpetas creadas, pero no sus contenidos. Si desea conocer el contenido de una carpeta creada, utilice la directiva Folder:.

Nota: Las firmas digitales no serán comprobadas. Para obtener una lista adicional de ejecutables sin firmar, utilice el análisis opcional SigCheckExt.

FRST añade notaciones a ciertas entradas del informe:

C – Comprimido

D – Directorio

H – Oculto

L – Vínculo simbólico

N – Normal (no tiene otros atributos establecidos)

O – Desconectado / Fuera de línea

R – Solo lectura

S – Sistema

T – Temporal

X – No scrub (Windows 8+)  –  Depurar Analizar y Verificar (Windows 8+)

Para eliminar un archivo o carpeta que se liste dentro de esta sección Un Mes (Creado/Modificado), simplemente copie y pegue la línea completa en el fixlist.

Las líneas que apuntan a enlaces simbólicos (atributo L) son tratados correctamente.

Ejemplo:

2018-02-21 21:04 – 2018-02-21 21:04 – 000000000 ___DL C:\WINDOWS\system32\Vñinculo

Cuando la línea se incluye en el fixlist, FRST eliminará únicamente el vínculo, dejando el objetivo al que apunta (Objetivo) sin tocar:

Symbolic link found: “C:\WINDOWS\system32\Vínculo” => “C:\Windows\System32\Objetivo”
“C:\WINDOWS\system32\Vínculo” => Symbolic link removed successfully
C:\WINDOWS\system32\Vínculo => moved successfully

De manera alternativa, también puede ser utilizada la directiva DeleteJunctionsInDirectory:

Para corregir otros archivos/carpetas, sus rutas deben ser incluidas en el fixlist, sin utilizar comillas para los espacios del nombre de la ruta:

C:\Windows\System32\Drivers\bad.sys
C:\Program Files (x86)\Bad

Si tiene muchos archivos con nombres similares y desea eliminarlos con un solo script, puede usar el comodín *

Por tanto, puede listar los archivos de la siguiente forma:

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

O de una manera mucho más sencilla de esta otra:

C:\Windows\Tasks\At*.job

Nota: Un carácter “?” (signo de interrogación) será ignorado por razones de seguridad, indiferentemente de si éste es un carácter comodín o un carácter de sustitución para un carácter Unicode (véase la descripción “Unicode” bajo la sección Introducción). También debe tener en cuenta, que los caracteres comodín no son compatibles con los directorios ni carpetas.


FLock

La sección lista los archivos y carpetas bloqueados en directorios estándar.


FCheck

La sección está diseñada para listar archivos maliciosos si son identificados, por ejemplo DLL Hijacking. Como también, algunos archivos zero byte (.exe y .dll files) listados en directorios estándares. La sección solamente se muestra cuando se encuentran elementos coincidentes con lo descrito anteriormente.

Cuando una entrada es incluida en el fixlist, el archivo/carpeta será movido/a.


KnownDLLs

Algunos elementos en esta sección, si faltan / se modifican (parchean) o se encuentran dañados, podrían causar incidencias en el arranque del sistema. En consecuencia, este análisis aparece solo cuando la herramienta se ejecuta en el modo RE (Entorno de Recuperación).

Los elementos son listados en la lista blanca a menos que requieran de verificación.

Se requiere tener precaución al tratar los elementos identificados en esta sección. Incluso si falta un archivo o parece que ha sido modificado de alguna manera. Se recomienda contar con la ayuda de algún experto, para garantizar que el archivo problemático sea identificado correctamente y sea tratado de manera adecuada. En la mayoría de los casos, existe una forma adecuada de reemplazarlo que debe ser encontrada con la función de búsqueda (Search) de FRST. Por favor, revise la sección Directivas (Ejemplos de uso) de este tutorial para obtener información sobre cómo reemplazar un archivo y la sección Otros análisis opcionales para saber cómo efectuar una búsqueda.


SigCheck

FRST verifica un gran número de archivos importantes del sistema. Los archivos sin una firma digital válida o archivos faltantes serán reportados. La sección se incluye en la lista blanca fuera del Entorno de Recuperación cuando no se encuentran incidencias en los archivos.

Los archivos del sistema modificados, alertan sobre una posible infección por malware. Cuando una infección es identificada, se debe tener cuidado con la adopción de las medidas correctivas. En este punto, se debería buscar la ayuda de un experto, ya que la eliminación de un archivo del sistema podría provocar que una máquina no pueda iniciar.

Ejemplo tomado de una infección Hijacker.DNS.Hosts:

C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] – [2015-07-10 13:00] – 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E
C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] – [2015-07-10 13:00] – 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

En este caso el archivo necesita ser reemplazado por una copia legitima del mismo. Utilice para ello el comando Replace:.

Algunas versiones de SmartService, desactivan el Modo de Recuperación. FRST revierte automáticamente la modificación BCD durante la exploración:

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully

La forma más segura de iniciar el sistema en Modo seguro es utilizando las teclas F8 (Windows 7 y versiones anteriores) o mediante un Inicio avanzado (Windows 10 y Windows 8). En algunos casos, los usuarios usan la “Utilidad de configuración del sistema” para iniciar el sistema en Modo Seguro. En el caso de que el Modo Seguro se encuentre dañado, la computadora se bloqueará y el sistema no se iniciará en modo normal debido a que está configurada para iniciarse en Modo Seguro. En ese caso, visualizaremos lo siguiente:

safeboot: Minimal ==> The system is configured to boot to Safe Mode <===== ATTENTION

Para corregir el problema, incluya la línea anterior en el fixlist.
FRST establecerá el modo normal como el modo predeterminado de inicio, y el sistema saldrá del bucle en el que se encuentra.

Nota: Esta solución se aplica a Vista y versiones posteriores de Windows.


Association – Asociación

Nota: La sección “Association” aparece en el archivo de informe FRST.txt cuando FRST es ejecutado desde el Entorno de Recuperación. Cuando FRST es ejecutado fuera del Entorno de Recuperación, la sección aparece en el archivo Addition.txt. El análisis en el Entorno de Recuperación está limitado a la asociación de archivos .exe.

Realice un listado de la asociación de archivos .exe de toda la máquina de la siguiente manera:

HKLM\…\exefile\open\command: C:\Windows\svchost.com “%1” %* <===== ATTENTION

Al igual que con otras entradas de registro, puede copiar y pegar las entradas relacionadas con el problema en el fixlist para restablecerlas. No hay necesidad de hacer correcciones en el registro.


Restore Points  –  Puntos de Restauración

Nota: La sección “Puntos de Restauración” aparece en el archivo de informe FRST.txt cuando FRST es ejecutado desde el Entorno de Recuperación. Cuando FRST es ejecutado fuera del Entorno de Recuperación, la sección aparece en el archivo Addition.txt.

Los puntos de restauración son listados.

Nota: Solo en Windows XP se pueden restaurar los hives (grupo lógico de claves, subclaves y valores del registro que presentan un conjunto de archivos secundarios que contienen copias de seguridad de sus datos) utilizando FRST. Los puntos de restauración listados en Vista y versiones superiores, deben ser restaurados desde el RE (Entorno de Recuperación) usando las Opciones de Recuperación del Sistema de Windows.

Para corregir, incluya la línea del punto de restauración que desea restaurar dentro del script del fixlist.

Ejemplo desde un equipo que utiliza Windows XP:

RP: -> 2010-10-26 19:51 – 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 – 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 – 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

Para restaurar los hives desde el Punto de Restauración 82 (con fecha de 24-10-2010), la línea deberá ser copiada y pegada al fixlist de la siguiente manera:

RP: -> 2010-10-24 13:57 – 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82


Memory Info – Información de la Memoria

Nota: La sección “Memory info” aparece en el archivo de informe FRST.txt cuando FRST es ejecutado desde el Entorno de Recuperación. Cuando FRST es ejecutado fuera del Entorno de Recuperación, la sección aparece en el archivo Addition.txt, conteniendo mayor información (BIOS, placa base, procesador).

Le muestra la cantidad de RAM (memoria de acceso aleatorio) instalada en la máquina, así como la memoria física disponible y el porcentaje de memoria libre disponible. A veces esto puede ayudar a entender los síntomas que presenta una máquina. Por ejemplo, el número que se muestra puede no reflejar lo que el usuario cree que tiene instalado a nivel de hardware. La memoria RAM indicada podría ser inferior a la que realmente está instalada en la máquina. Esto puede suceder cuando la máquina no puede acceder a toda la memoria RAM que tiene el equipo. Las posibles causas incluyen RAM defectuosa, un problema del zócalo [slot] de la placa base, o algo que impida que la BIOS la reconozca (por ejemplo, si la BIOS necesita ser actualizada).
Además, para los sistemas de 32 bits con más de 4 GB de RAM instalados, la cantidad máxima de memoria ram mostrada será de tan solo 4 GB. Esta es una limitación para las aplicaciones de 32 bits.

En esta sección, también se incluye la memoria virtual total y la memoria virtual disponible.


Drives y MBR & Partition Table – Unidades/Discos y MBR & Tabla de Partición

Nota: La sección “Drives” y “MBR & Partition Table” aparece en el informe del archivo de diagnóstico FRST.txt, cuando FRST es ejecutado desde el Entorno de Recuperación. Cuando FRST es ejecutado fuera del Entorno de Recuperación, la sección aparece en el archivo Addition.txt.

Enumera las unidades fijas y extraíbles conectadas a la máquina en el momento del análisis. Los volúmenes no montados se identifican mediante rutas GUID de volumen.

Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

Esquema de partición basado en UEFI/GPT: solo se detecta la disposición GPT básica, pero no un listado completo de particiones disponibles.

Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

Esquema de partición basado en BIOS/MBR: el código MBR y las entradas de partición son detectadas. Sin embargo, las particiones lógicas en particiones extendidas no son listadas.

Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) – (Size=39.1 GB) – (Type=07 NTFS)
Partition 2: (Not Active) – (Size=426.7 GB) – (Type=0F Extended)

Cuando aparece una indicación de que se ha detectado algo erróneo en el MBR, lo más apropiado es realizar una comprobación del MBR. Para realizar dicho proceso, se necesita obtener un volcado del MBR. Ejecute la siguiente corrección con FRST en cualquiera de sus modos:

SaveMbr: drive=0 (o número de unidad apropiado)

Tras realizar esta operación, se creará y guardará un archivo MBRDUMP.txt en la ubicación desde la que fue ejecutada la herramienta FRST/FRST64.

Nota: Aunque se puede obtener un volcado MBR tanto en Modo Normal como en Modo RE, algunas infecciones de MBR pueden falsificar el MBR mientras Windows se está cargando. Como consecuencia se recomienda hacer este proceso en el Modo RE.


LastRegBack

FRST examina el sistema y lista la última copia de seguridad del registro realizada por el sistema. La copia de seguridad del registro contiene una copia de seguridad de todos los hives. Ésta es diferente de la copia de seguridad de la LKGC (Última Configuración Válida Conocida) del ControlSet.

Existen varias razones por las que podría querer usar esta copia de seguridad como solución a un problema, pero una de las más comunes es cuando se han producido pérdidas o daños de datos como resultado de una eliminación accidental, ataques malintencionados o fallo del disco duro.

Posiblemente vea esto en la cabecera del archivo FRST:

ATTENTION: Could not load system hive.

Para corregir este problema, incluya la siguiente línea en el fixlist:

LastRegBack: >>fechayhora<<

Ejemplo:

LastRegBack: 2013-07-02 15:09


Análisis suplementario (Addition.txt)

Cabecera

La cabecera del informe del archivo de análisis Addition.txt, contiene un breve resumen de información útil.

A continuación, un ejemplo de cabecera:

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Ran by User (21-10-2017 14:16:13)
Running from C:\Users\User\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Boot Mode: Normal

Primera línea: indica si se ha ejecutado la versión FRST de 32-bits o de 64-bits. También se muestra el número identificador de la versión utilizada.

Segunda línea: muestra qué usuario ejecutó la herramienta junto con la fecha y la hora.

Tercera línea: indica la ubicación desde la que se ejecutó FRST.

Cuarta línea: muestra la versión de Windows instalada en el equipo, y la fecha en la que fue instalado.

Quinta línea: indica bajo qué modo se realizó el informe de análisis.


Accounts – Cuentas

Lista las cuentas de usuario estándar existentes en el sistema en el siguiente formato: nombre de cuenta local (SID de la cuenta – privilegios – Activada/Desactivada) => ruta de perfil de usuario. Los nombres de cuentas de Microsoft no se muestran.

Ejemplo:

Administrator (S-1-5-21-12236832-921050215-1751123909-500 – Administrator – Enabled) => C:\Users\Administrator
User (S-1-5-21-12236832-921050215-1751123909-1001 – Administrator – Enabled) => C:\Users\User
Guest (S-1-5-21-12236832-921050215-1751123909-501 – Limited – Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 – Limited – Enabled)HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 – Limited – Enabled)


Security Center – Centro de Seguridad

Es posible que la lista contenga restos de un programa de seguridad previamente desinstalado. En ese caso, la línea puede ser incluida en el fixlist para que sea eliminado.

Algunos programas de seguridad que impiden la eliminación de la entrada si no se encuentran completamente desinstalados. En ese caso, en lugar de encontrar en el archivo fixlog una confirmación de la eliminación de la entrada, visualizará lo siguiente:

Entrada Centro de Seguridad => The item is protected. Make sure the software is uninstalled and its services is removed.


Installed Programs – Programas Instalados

Lista los programas de escritorio clásicos y los paquetes de Windows 8/10.

Los paquetes de Microsoft limpios preinstalados son incluidos en la lista blanca. Los paquetes con publicidad de Microsoft y otros editores son marcados con la etiqueta [MS Ad].

Ejemplo:

App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]

FRST contiene una base de datos integrada para poder identificar y marcar un gran número de aplicaciones de escritorio Potencialmente No Deseados (PUP) que incluyen adware.

Las entradas habilitadas o deshabilitadas visibles bajo Inicio son etiquetadas con [Startup Task].

Ejemplo:

Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\…\Zip Opener Packages) (Version: – ) <==== ATTENTION

Se recomienda encarecidamente desinstalar los programas marcados de esta manera, antes de ejecutar cualquier herramienta o programas automático para eliminar el adware. El desinstalador de adware elimina la mayoría de sus elementos y revierte los cambios producidos en la configuración.

Las aplicaciones de escritorio que no son mostradas en “Programas y Características” son marcados bajo la etiqueta Hidden:

Google Update Helper (HKLM-x32\…\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 – Google LLC) Hidden

No todos los programas ocultos son maliciosos. Hay muchos programas legítimos que son ocultados con buen criterio, incluyendo algunos de la propia Microsoft. En el caso de que pertenezcan a programas maliciosos, las entradas pueden ser incluidas en el fixlist.

Nota: Esta solución solo hace que el programa sea visible, no lo desinstala. El programa debe ser desinstalado por el usuario.


Custom CLSID – CLSID Personalizado

Lista las clases personalizadas creadas en las secciones hives del Registro del usuario, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers y FolderExtensions.

Ejemplos:

ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2018-03-03] (Диспетчер источников) [File not signed]

Para corregir las entradas maliciosas, simplemente añádalas al fixlist, y FRST eliminará las claves del registro. El archivo/carpeta asociado debe ser añadido en una nueva línea por separado para que sea movido.

Nota: El software legítimo de terceros puede crear un CLSID personalizado, por lo que debe tener precaución para no cometer el error de eliminar una entrada legítima.

El término CLSID proviene de CLasS IDentifier, un término utilizado por Microsoft para referirse a un “identificador único global que identifica a un objeto COM”.


Codecs

Las entradas predeterminadas se encuentran en la lista blanca. Cuando sean incluidas en el fixlist, las entradas predeterminadas modificadas se restaurarán y las entradas personalizadas se eliminarán del registro. Los archivos asociados deberán ser listados por separado para que sean movidos.


Shotcuts & WMI – Accesos Directos & WMI

Lista los accesos directos secuestrados o sospechosos ubicados en la carpeta de usuario de la que inició sesión y en la carpeta raíz de
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
y
C:\Users\Public\Desktop.

Las entradas pueden ser incluidas en el fixlist para que sean corregidas – véase Shortcut.txt en Otros análisis opcionales a continuación.

Nota: Un análisis Shortcut.txt contiene todos los accesos directos correspondientes a todos los usuarios, mientras que un análisis Addition.txt solo contiene los accesos directos secuestrados/sospechosos encontrados en el perfil del usuario que inició la sesión.

FRST analiza los espacios de nombres WMI en búsqueda de registros no estándares. Las infecciones conocidas son marcadas.

Ejemplo tomado de una infección por Minado de Criptomonedas:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\”****youmm4\””,Filter=”__EventFilter.Name=\”****youmm3\”:: <==== ATTENTION

WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’] <==== ATTENTION

WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc “JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAu
AFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAa
QBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHM
AdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION

Para eliminar el malware, incluya las líneas en el fixlist.

Nota: El software OEM (por ejemplo, Dell) puede crear registros personalizados. Estudie e investigue las entradas para obtener información sobre si éstas son o no legítimas.


Loaded Modules – Módulos Cargados

Los Módulos Cargados son filtrados a través de la lista blanca basándose en la presencia de una firma digital válida. En consecuencia, los elementos que no pasen la validación de la firma serán mostrados en el listado.


Alternate Data Streams – Secuencias de Datos Alternativas

FRST lista las Secuencias de Datos Alternativas (ADS – Alternate Data Streams) de la siguiente manera:

=============== Alternate Data Streams (whitelisted) ================

AlternateDataStreams: C:\Windows\System32\archivolegítimo:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

El tamaño de la Secuencia de Datos Alternativa – ADS (número de bytes contenidos) es mostrada entre paréntesis al final de la ruta.

Si la Secuencia de Datos Alternativa (ADS) se encuentra en un archivo legítimo/carpeta legítima, la corrección que debe copiar y pegar debe incluir toda la línea que se muestra en el informe en el fixlist.

Ejemplo:

AlternateDataStreams: C:\Windows\System32\archivolegítimo:malware.exe [134]

Si está en un archivo malicioso o carpeta maliciosa, la corrección/solución deberá ser:

C:\malware

En el primer caso, FRST solamente eliminará la Secuencia de Datos Alternativa (ADS) del archivo/carpeta.

En el último caso, el archivo/carpeta será eliminado/a.


Safe Mode – Modo Seguro

Las entradas predeterminadas son incluidas en una lista blanca. Así pues, si la sección se encuentra vacía, significa que no existe ninguna entrada personalizada en el sistema.

Si falta algunas de las claves principales (SafeBoot, SafeBoot\Minimal y SafeBoot\Network), se informará de ello. En ese caso, ésta debe ser corregida manualmente.

Si hay creada una entrada de malware, ésta podría ser incluida en el fixlist para que sea eliminada.


Association
Asociación  Consúlte la sección Association aparecida previamente en este tutorial

Lista las asociaciones de archivos .bat, .cmd, .com, .exe, .reg y .scr.

Las entradas predeterminadas son incluidas en una lista blanca. Así pues, si la sección se encuentra vacía, significa que no existe ninguna entrada personalizada en el sistema.

Cuando cualquier entrada predeterminada modificada es incluida en el fixlist, la entrada predeterminada será restaurada. Cualquier clave de usuario, que sea incluida en el fixlist, será eliminada.


Internet Explorer trusted/restricted Internet Explorer Sitios de confianza/Sitios restringidos

Lista los sitios de Internet Explorer de confianza y restringidos.

Si una entrada es incluida en el fixlist, la entrada asociada será eliminada del registro.


Hosts content Contenido Hosts
Consúlte la sección Hosts aparecida previamente en este tutorial

Proporciona más detalles relacionados con el archivo Hosts: propiedades del archivo Hosts y primeras 30 entradas activas. Las entradas inactivas (comentadas) son ocultadas.

Ejemplo:

2009-07-14 04:34 – 2016-04-13 15:39 – 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

Las líneas no pueden ser procesadas individualmente.

– Para restablecer el archivo estándar, utilice la directiva Hosts: o incluya la línea de advertencia relativa al archivo Hosts desde el informe FRST.txt.

– En caso de un archivo hosts.ics personalizado, incluya la ruta del archivo en el fixlist.


Other Areas Otras Áreas

Hay algunos elementos analizados por FRST, que no están cubiertos bajo otros encabezados. No existe una corrección automática en este momento.

Path – La entrada es visible bajo las siguientes condiciones: falta la cadena predeterminada, una ubicación incorrecta de la cadena predeterminada, sin valor Path.

Ejemplo:

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

Para corregir la variable Path, puede realizar una corrección manual del registro o utilizar el Editor de Variables de Entorno.

Nota: La corrupción Path, puede afectar los procesos que realizan algunos de los comandos FRST (cmd: y Reg:), utilizando una ruta relativa a las herramientas de la consola.

Wallpaper (Fondo de escritorio) – Varias variantes de crypto-malware utilizan este parámetro para mostrar una pantalla de rescate (ransomware).

Ejemplo:

Una ruta normal tendría este aspecto:

HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Una ruta y archivo malicioso, tendría este otro:

HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\My Documents\!Decrypt-All-Files-scqwxua.bmp

En caso de entradas de malware, la ruta del archivo puede ser incluida en el fixlist junto con los archivos relacionados que se encuentren en FRST.txt.

Nota: Al eliminar el archivo de Fondo de escritorio perteneciente al malware, se eliminará el fondo del escritorio.

El usuario debe restablecer este fondo de escritorio:

– En Windows XP:

Para establecer el fondo del escritorio, haga clic derecho sobre cualquier área vacía en del escritorio y seleccione Propiedades, haga clic en la pestaña Escritorio, seleccione una imagen, haga clic en “Aplicar” y “Aceptar”.

– En Windows Vista y versiones superiores:

Para establecer el fondo del escritorio, haga clic derecho sobre cualquier área vacía en del escritorio y seleccione Personalizar, seleccione Fondo del escritorio, seleccione una de las imágenes disponibles y haga clic en “Aceptar”.

DNS servers (Servidores DNS) – DNS actualmente en uso. Esta información es de utilidad para detectar secuestros DNS/Router.

Ejemplo:

DNS Servers: 213.46.228.196 – 62.179.104.196

Busque la dirección en WhoisLookup para obtener información sobre si el servidor es legítimo o no.

Nota: El listado de servidores no se lee del registro, por lo que el sistema debe estar conectado a Internet.

Cuando FRST es ejecutado en Modo Seguro o el Sistema no está conectado a internet, se obtendrá el siguiente resultado:

DNS Servers: “Media is not connected to internet.”


UAC (Control de Cuentas de Usuario)

Activado (configuración predeterminada):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Desactivado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Esto puede deberse a que el usuario ha desactivado el Control de Cuentas de Usuario (UAC), o como efecto secundario de una actividad maliciosa. A menos que sea obvio que la causa provenga de una actividad maliciosa, es mejor preguntar al usuario antes de tomar la determinación de corregir el problema.

SmartScreen (Windows 8+)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Valor del dato)

Valores soportados por Windows: Block | Warn | Off (Windows 10 Version 1703+) o RequireAdmin | Prompt | Off (sistemas antiguos).

Los valores faltantes (configuración predeterminada en Windows 10 versión 1703+) o vacíos, serán presentados de la siguiente manera:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )


Telephony Service Providers (TSP) Proveedores de servicios de telefonía (TSP)

Las entradas predeterminadas y algunas entradas legítimas de terceros están en la lista blanca. La línea es visible solo si se detecta una entrada personalizada.

Ejemplo:

HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\desconocido.tsp (Editor/Fabricante)

Las entradas dañadas o maliciosas requieren de una corrección manual del registro. Elimine las entradas ProviderIDx y ProviderFileNamex correspondientes, y renumere las entradas restantes en consecuencia. Consúlte: Correcting The Registry When TAPI Providers Are Corrupted. (Corregir el Registro cuando los proveedores de Servicios TAPI se encuentran dañados)

Windows Firewall

Ejemplo:

Windows Firewall is enabled.

Farbar también informa si Windows Firewall está activado o desactivado. Cuando FRST se ejecuta en Modo seguro, o cuando hay algún problema con el sistema, no se mostrará ninguna línea relacionada con el Firewall.

Network Binding (Windows 8+)

Lista los componentes no estándar conectados a adaptadores de red. Compare los resultados con los de la sección Controladores (Drivers) para encontrar un elemento coincidente.

Ejemplo:

Network Binding:
=============
Ethernet: COMODO Internet Security Firewall Driver -> inspect (enabled)
Wi-Fi: COMODO Internet Security Firewall Driver -> inspect (enabled)

R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)

En caso de que la desinstalación de un programa estándar no elimine los elementos, el enlace de red deberá eliminarse antes de procesar el controlador. Siga los pasos descritos en la Base de conocimiento de ESET.

Nota: Asegúrese de eliminar el enlace de red antes de incluir el controlador en el listado de correción. Si no lo hace así, al eliminar el controlador quebrantará una conexión de red.

MSCONFIG/TASK MANAGER disabled ítems MSCONFIG/TASK MANAGER elementos deshabilitados

El informe de análisis es útil cuando un usuario ha utilizado MSCONFIG o TASK MANAGER para deshabilitar entradas de malware en lugar de eliminarlas. O, si ha deshabilitado demasiados elementos y algunos de los servicios o aplicaciones esenciales no se pueden ejecutar correctamente.

Ejemplo:

MSCONFIG in Windows 7 y versiones previas

MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Estos datos del informe se interpretan de la siguiente manera:

Servicios deshabilitados:

MSCONFIG\Services: NombreDelServicio => Tipo de inicio original

Elementos deshabilitados en la carpeta de Inicio:

MSCONFIG\startupfolder: Ruta original (se reemplaza “\” con “^” por Windows) => Ruta de respaldo realizada por Windows.

Entradas deshabilitadas que se ejecutan al iniciar:

MSCONFIG\startupreg: NombreDelValor => Ruta al archivo.


TASK MANAGER en Windows 8 y Windows 10 ADMINISTRADOR DE TAREAS en Windows 8 y Windows 10

HKLM\…\StartupApproved\Run32: => “win_en_77”
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\…\StartupApproved\StartupFolder: => “SmartWeb.lnk”
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\…\StartupApproved\Run: => “svchost0”

Nota: Windows 8 y versiones posteriores, utilizan msconfig solo para servicios Los elementos de inicio se mueven al Administrador de tareas, que almacena los elementos deshabilitados en diferentes claves. Un elemento deshabilitado no faltante se muestra dos veces: en FRST.txt (sección de Registro) y en Addition.txt.

Las entradas pueden ser incluidas en el fixlist para que sean eliminadas. FRST realizará las siguientes acciones:

– En el caso de servicios deshabilitados, FRST eliminará la clave creada por MSCONFIG y el propio servicio en sí.

– En el caso de elementos Run que se ejecutan al iniciar, FRST eliminará la clave/valor creado por MSCONFIG/Administrador de tareas. La propia entrada Run en sí que se ejecuta al iniciar en los sistemas más actuales será también eliminada.

– En el caso de los elementos en las carpetas de Inicio, FRST eliminará la clave / valor creado por MSCONFIG/Task Manager, y moverá la copia de seguridad del archivo creado por Windows (en sistemas más antiguos) o el propio archivo en sí (en sistemas más actuales).

Importante: Repare/Corrija una entrada de esta sección solo si está seguro de que es una entrada de malware. Si no está seguro de la naturaleza de la entrada, no corrija/repare la entrada, para así evitar la eliminación de elementos legítimos. En el caso de que se encuentren elementos legítimos deshabilitados que deberían estar habilitados, debe indicarse al usuario que los vuelva a habilitar a través de la utilidad MSCONFIG o del Administrador de tareas.


FirewallRules Reglas de Cortafuegos

Lista FirewallRules, AuthorizedApplications y GloballyOpenPorts.

Ejemplo (Windows 10):

FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe (Chao Wei -> )
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)

Ejemplo (Windows XP):

StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)

Si una entrada es incluida en el fixlist, será eliminada del registro. Ningún archivo será movido.


Restore Points Puntos de Restauración 
Consúlte la sección Restore Points – Puntos de Restauración aparecida previamente en este tutorial

Lista los Puntos de Restauración disponibles bajo el siguiente formato:

18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

Las funciones deshabilitadas serán reportadas:

ATTENTION: System Restore is disabled (Total:59.04 GB) (Free:43.19 GB) (73%)

Nota: La entrada hace referencia a la desactivación de la Restauración del Sistema de manera estándar. La Restauración del Sistema deshabilitada a través de la Directiva de Grupo será reportada en el archivo FRST.txt (bajo la sección Registry – Registro). En ambos casos, Restaurar Sistema puede ser habilitada automáticamente. Consúlte la directiva SystemRestore:.


Faulty Device Manager Devices Dispositivos Defectuosos en el Administrador de Dispositivos

Ejemplo:

Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver

Problem: This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)

Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears. Remove the device, and this error should be resolved.


Event log errors Errores de registro de eventos

Errores de Aplicación
Errores del Sistema
Errores de CodeIntegrity [Errores de Integridad de Código]
Errores y advertencias de Windows Defender


Memory Info Información de la memoria 
Consúlte la sección Memory Info – Información de la memoria aparecida previamente en este tutorial


Drives Unidades


MBR & Partition Table MBR & Tabla de Particiones
– Consúlte la sección MBR & Partition Table – MBR & Tabla de Particiones aparecida previamente en este tutorial


Otros análisis opcionales

Otros análisis opcionales

Al marcar alguna de las casillas de verificación existentes en la sección Optional Scan (Análisis opcional), FRST analizará los elementos solicitados.


List BCD Listado BCD

Los Datos de configuración de arranque (Boot Configuration Data (BCD) en inglés) son listados.


SigCheckExt

Esta sección lista todos los archivos .exe y .dll existentes en carpetas estándar. El resultado de salida es formateado de la misma forma en la que se listan las entradas de la sección “One Month” (“Un Mes”).


Shortcut.txt

Enumera todos los tipos de accesos directos existentes en todas las cuentas estándar. Las entradas secuestradas, pueden ser incluidas en el fixlist para que sean restauradas o eliminadas.

Ejemplo:

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> “hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336”
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

Para corregir las líneas ShortcutWithArgument:, solamente copie y pegue las líneas correspondientes al fixlist. Para eliminar los objetos Shortcut:, añada las rutas correspondientes al archivo de corrección por separado.

Un script de corrección completo tendría el siguiente aspecto:

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> “hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336”
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Nota: FRST elimina el argumento de los accesos directos, exceptuando el del acceso directo Internet Explorer (No Add-ons).lnk. De forma predeterminada, el argumento de este acceso directo no está vacío (el argumento es -extoff) y se utiliza para iniciar Internet Explorer sin complementos. Éste es vital para poder solucionar incidencias que afecten a IE, por lo que este argumento de acceso directo será restaurado.
También debe tener en cuenta que si ejecuta otra herramienta de eliminación de software malintencionado para eliminar el argumento de Internet Explorer (No Add-ons).lnk, FRST no lo listará bajo ShortcutWithArgument: y por lo tanto, el argumento no podrá ser restaurado con FRST. En ese caso, el usuario puede restaurar el argumento manualmente.

Para restaurar el argumento manualmente, el usuario deberá dirigirse a la ubicación del archivo Internet Explorer (No Add-ons).lnk:

Hacer clic con el botón derecho sobre el archivo y seleccionar Propiedades.

En el campo Destino, añadir dos espacios y justo después -extoff a la ruta mostrada.

Hacer clic en Aplicar y finalmente en Aceptar.


90 Days Files – Archivos 90 Días

Cuando la opción “90 Days Files” es marcada, FRST listará en el informe de análisis “Three months (Created/Modified)” – (“Tres meses (Creado/Modificado)”, en lugar de “One month (Created/Modified)” – “Un mes (Creado/Modificado)”.

 


Funciones de Búsqueda


Search Files – Buscar Archivos

Existe un botón denominado Search Files (Buscar Archivos) en la interfaz principal del programa FRST. Para buscar archivos, puede escribir o copiar y pegar los nombres que desea buscar en el cuadro de búsqueda. Los caracteres comodines son permitidos. Si necesita buscar más de un archivo, los nombres de los archivos deben estar separados por un caracter punto y coma ;

término;término

*término*;*término*

Cuando el botón Search Files (Buscar Archivos) es presionado, el usuario es informado de que la búsqueda se está ejecutando, se muestra una barra de progreso, y finalmente un mensaje que indica que la búsqueda ha finalizado. Un archivo de informe de resultado de búsqueda Search.txt, es creado y guardado en la ubicación desde la que se ejecutó FRST.

Los archivos encontrados son listados junto con su fecha de creación, fecha de modificación, tamaño, atributos, nombre de la empresa/compañía de software, MD5 y firma digital bajo el siguiente formato:

C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll

[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [File is digitally signed]

La funcionalidad de búsqueda de archivos, está limitada a la unidad del sistema. En algunos casos, falta un archivo del sistema legítimo o está dañado, lo que causa problemas de arranque y no exista un archivo de reemplazo en el sistema. Cuando la funcionalidad de búsqueda de archivos es utilizada, en el Modo de Recuperación (Windows Vista y versiones posteriores), la búsqueda también incluye los archivos en X: (la unidad de arranque virtual). En algunos casos, esto puede ser un salvavidas. Un ejemplo de esto es cuando se presenta el problema de que no se encuentra el archivo services.exe, el cual puede ser copiado desde X:\Windows\System32 a C:\Windows\System32

Nota: La unidad X: solo contendrá ejecutables de 64 bits para sistemas de 64 bits.

El botón Search Files, puede ser utilizado para realizar búsquedas adicionales, véase a continuación, FindFolder: y SearchAll:. Los resultados serán guardados en el informe de resultado de búsqueda Search.txt.


Search Registry – Buscar en el Registro

Existe un botón denominado Search Registry (Buscar en el Registro) en la interfaz principal del programa FRST. Puede introducir, o copiar / pegar, los nombres de los elementos que desea buscar en el cuadro de búsqueda Search [Buscar:]. Si necesita buscar más de un elemento, los nombres deben estar separados por un carácter punto y coma ;

término;término

Al contrario de lo que ocurre con la búsqueda de archivos, al realizar una búsqueda en el registro, se debe evitar literalmente añadir caracteres comodines al término de búsqueda. Si se añade un carácter comodín (“*” o “?”) al comienzo o al final de un término de búsqueda, FRST lo ignorará y buscará el término de búsqueda sin el carácter especificado.

Un archivo de informe de resultado de búsqueda SearchReg.txt, es creado y guardado en la ubicación desde la que se ejecutó.

Nota: La funcionalidad de Buscar en el Registro, solamente funcionará fuera del Entorno de Recuperación (RE).


FindFolder:

Para buscar carpetas en la unidad del sistema introduzca la siguiente sintaxis en el cuadro de búsqueda y presione el botón “Search Files”:

FindFolder: término;término

Los caracteres comodines son admitidos:

FindFolder: *término*;*término*


SearchAll:

Para realizar una búsqueda completa (archivos, carpetas, registro) de uno o más términos, introduzca la siguiente sintaxis en el cuadro de búsqueda y presione el botón “Search Files”:

SearchAll: *término*;*término*

No añada caracteres comodines a los términos de búsqueda. FRST interpreta automáticamente los términos como *término(s)* en el caso de archivos y carpetas.

Nota: La búsqueda completa realizada en el Entorno de Recuperación (Recovery Environment) se encuentra limitada a los archivos y carpetas.


Directivas/Comandos

Todos los comandos/directivas en FRST, deben presentarse en una línea, ya que FRST procesa el script línea por línea.

Referencia rápida de Directivas/Comandos

Nota: Las Directivas/Comandos no distinguen entre mayúsculas y minúsculas.

Para utilizar en Modo Normal

CreateRestorePoint:
SystemRestore:
TasksDetails:

Para utilizar solo en Modo Normal, Modo Seguro

CloseProcesses:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VirusTotal:
Zip:

Para utilizar en Modo Normal, Modo Seguro y en el Entorno de Recuperación (RE)

cmd:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: y DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: y ExportValue:
File:
FilesInDirectory: y Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
testsigning on:
Unlock:

Para utilizar solo en el Entorno de Recuperación (RE)

LastRegBack:
RestoreFromBackup:
RestoreMbr:

Cuando la opción “90 Days Files” es marcada, FRST listará en el informe de análisis “Tres meses (Creado/Modificado)”, en lugar de “Un mes (Creado/Modificado)”.

Ejemplos de uso


CloseProcesses:

Cierra todos los procesos no esenciales. Contribuye a que la corrección sea más eficiente y más rápida.

Ejemplo:

CloseProcesses:

Cuando esta directiva sea incluida en una solución, se aplicará un reinicio automático del sistema. No hay necesidad de utilizar la directiva Reboot:
La directiva CloseProcesses: no es necesaria, y no se encuentra disponible en el Entorno de Recuperación.


CMD:

Ocasionalmente, se necesita ejecutar el comando CMD. En ese caso, se debe utilizar la directiva “CMD:”.

El script debe tener el siguiente aspecto:

CMD: comando

Si hay más de un comando, comience cada línea con CMD: para obtener un registro de salida para cada comando.

Ejemplo:

CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr

El primer comando copiará los archivos minidump a la unidad flash (si la letra de la unidad flash es E).
El segundo comando se utiliza para corregir el MBR en Windows Vista y versiones posteriores.

De manera alternativa, podrían ser utilizadas las directivas StartBatch: – EndBatch: (véase más abajo).

Nota: A diferencia de las directivas FRST nativas u otras, los comandos cmd deben tener la sintaxis cmd.exe precisa, por lo que, por ejemplo, se deben incluir los caracteres de dobles comillas (“) cuando exista un espacio en la ruta de los archivos / carpetas que lo necesiten.


Copy:

Para copiar archivos o carpetas de una manera similar a xcopy.

La sintaxis es la siguiente:

Copy: archivo o carpeta de origen/carpeta destino

La carpeta de destino, será creada automáticamente (si previamente no existe).

Ejemplo:

Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

Nota: Para reemplazar archivos individuales, se recomienda usar la directive Replace:. En el caso de un archivo de destino existente, Copy: solamente trata de sobrescribir el archivo, mientras Replace: trata adicionalmente de desbloquear el archivo y moverlo a Quarantine (Cuarentena).


CreateDummy:

Crea un archivo/carpeta ficticio/a bloqueado/a para prevenir una posible restauración de un archivo/carpeta malicioso/a. El archivo o la carpeta ficticia bloquedo/a, debe ser eliminado/a después de neutralizar el malware.

La sintaxis es la siguiente:

CreateDummy: ruta

Ejemplo:

CreateDummy: C:\Windows\System32\bad.exe
CreateDummy: C:\ProgramData\Bad


CreateRestorePoint:

Para crear un punto de restauración.

Ejemplo:

CreateRestorePoint:

Nota: Esta directiva solamente se puede utilizar en Modo Normal. No funcionará si el servicio de restauración del sistema ha sido desactivado.


DeleteJunctionsInDirectory:

Para eliminar Junctions (puntos de unión en Windows/enlaces simbólicos en Linux) utilice la siguiente sintaxis.

DeleteJunctionsInDirectory: ruta

Ejemplo:

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender


DeleteKey:
y DeleteValue:

El método más eficiente para eliminar claves/valores, evitando las limitaciones de los algoritmos de eliminación estándar presentes en Reg: y StartRegedit: – EndRegedit:.

La sintaxis en la siguiente:

1. Para claves:

DeleteKey: clave

Alternativamente, se podría utilizar un formato regedit:

[-clave]

2. Para valores:

DeleteValue: clave|valor

Si el valor es un valor predeterminado, deje el nombre del valor vacío:

DeleteValue: clave|

Ejemplo:

DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

Las directivas pueden eliminar claves / valores que se encuentren bloqueados debido a permisos insuficientes, claves / valores que contengan caracteres null incrustados y enlaces de registro simbólicos.
No es necesario utilizar la directiva Unlock:

Para claves/valores que están protegidos por un software en ejecución (responde con el mensaje de “Acceso denegado”), debe utilizar el Modo Seguro (para eludir el software en ejecución) o eliminar los componentes principales antes de utilizar los comandos.

Nota: Si la clave incluida para su eliminación es un enlace de registro hacía otra clave, se eliminará la clave (origen) que es el enlace de registro simbólico. La clave de destino no será eliminada. Esto se hace para evitar eliminar tanto un enlace de registro simbólico erróneo que podría apuntar a una clave legítima como la propia clave legítima. En el caso de que tanto la clave de origen como la clave destino sean maliciosas, debe incluir ambas para su eliminación.


DeleteQuarantine
:

Tras finalizar el proceso de corrección y eliminación, la carpeta %SystemDrive%\FRST (generalmente C:\FRST) creada por la herramienta FRST debe ser eliminada de la computadora. En algunos casos, la carpeta no puede ser eliminada manualmente debido a que la carpeta %SystemDrive%\FRST\Quarantine contiene archivos o directorios de malware bloqueados o inusuales. El comando DeleteQuarantine: eliminará la carpeta Quarantine (Cuarentena).

Las herramientas que mueven archivos en lugar de eliminarlos no deben utilizarse para eliminar C:\FRST, ya que esas herramientas simplemente mueven los archivos a su propio directorio y éstos permanecerán en el sistema.

El comando solamente necesita ser incluido en el fixlist de la siguiente manera:

DeleteQuarantine:

Nota: El proceso de desinstalación automático de FRST (consulte los detalles indicados bajo la sección Introducción), incluye la misma capacidad para eliminar carpetas Quarantine (Cuarentena) bloqueadas.


DisableService
:

Para deshabilitar un servicio o controlador de servicio, puede utilizar el siguiente script:

DisableService: NombreServicio

Ejemplo:

DisableService: sptd
DisableService: Wmware Nat Service

FRST establecerá el servicio en Deshabilitado, y éste no será iniciado a partir del siguiente arranque.

Nota: El nombre del servicio se debe ingresar tal como aparece en el Registro o en el Informe de análisis proporcionado por FRST, sin añadir nada. Por ejemplo, las comillas no son requeridas.


EmptyTemp
:

Los siguientes directorios serán vaciados:

  • Archivos temporales de Windows
  • Carpetas temporales de Usuarios
  • Cachés, Cookies, Almacenamiento HTML5 e Historial de Edge, IE, FF, Chrome y Opera
  • Caché de archivos abiertos recientemente
  • Caché de Flash Player
  • Caché de Java
  • Caché HTML de Steam HTML
  • Cachés de iconos y miniaturas del Explorador
  • Cola de transferencia de BITS (archivos qmgr*.dat)
  • Papelera de reciclaje

Si la directiva EmptyTemp: es utilizada, el Sistema se reiniciará después de realizarse el proceso de corrección. No es necesario utilizar la directiva Reboot:.
Por otra parte, no importa si al añadir la directiva EmptyTemp: lo hace al principio, a la mitad, o al final del listado del fixlist. Ésta se ejecutará después de que se procesen todas las demás líneas incluidas en el archivo de corrección.

Importante: Cuando la directiva EmptyTemp: es utilizada, los elementos son eliminados permanentemente. Por lo tanto, éstos no son movidos a cuarentena.

Nota: La directiva está deshabilitada en el Entorno de Recuperación para evitar daños.


ExportKey: y ExportValue:

El método más confiable de inspeccionar un contenido clave. Las directivas superan algunas limitaciones de regedit.exe y reg.exe.
La diferencia entre las directivas es un ámbito de la exportación.

ExportKey: lista todos los valores y subclaves de manera recursiva, mientras ExportValue: solamente muestra los valores de la clave.

La sintaxis en la siguiente:

ExportKey: clave

ExportValue: clave

Ejemplo:

ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Clave sospechosa

================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Clave Sospechosa]
[HKEY_LOCAL_MACHINE\SOFTWARE\Clave Sospechosa\ClaveNoVálida  ]
“Valor Oculto”=”Dato Oculto”

[HKEY_LOCAL_MACHINE\SOFTWARE\Clave Sospechosa\ClaveBloqueada]
HKEY_LOCAL_MACHINE\SOFTWARE\Clave Sospechosa\ClaveBloqueada => Access Denied.

================== End of ExportKey: ===================

Nota: La exportación se proporciona solamente para fines de investigación, y no puede ser utilizada para operaciones de copia de seguridad e importación.


File
:

Para comprobar las propiedades del archivo. Se pueden incluir múltiples archivos, separados por caracteres punto y coma.

File: ruta;ruta

Nota: Para incluir más de 4 archivos, utilice una sola directiva con delimitador de punto y coma en lugar de varias directivas. Este método garantiza que se carguen y sean devueltos todos los enlaces que queremos cargar y recibir a la plataforma VirusTotal.

Ejemplo:

File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe

=== File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ===

File not signed
MD5: 4793A9663376EF3A9044E07A9A45D966
Creation and modification date: 2017-07-30 12:04 – 2017-07-30 12:04
Size: 000242688
Attributes: —-A
Company Name:
Internal Name: wmplayer.exe
Original Name: wmplayer.exe
Product: Windows Media Player
Description: Windows Media Player
File Version: 1.0.0.0
Product Version: 1.0.0.0
Copyright: Copyright ©  2017
VirusTotal:
https://www.virustotal.com/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9/analysis/1503093556/

================== End of File: ===================

Nota: La comprobación de firmas digitales no se encuentra disponible en el Entorno de Recuperación.

Nota: La directiva File: no proporciona una carga/subida automática a VirusTotal, a diferencia de la directiva VirusTotal:.


FilesInDirectory:
y Folder:

Para comprobar el contenido de una carpeta. FilesInDirectory: está destinado a listar archivos específicos que coincidan con uno o más patrones comodines *, mientras Folder: está diseñado para obtener el contenido completo de una carpeta. La salida de ambas directivas incluye las sumas de comprobación MD5.

La sintaxis es la siguiente:

FilesInDirectory: ruta\patrón;patrón

Folder: ruta

Ejemplo:

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

============== FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll ==============

2017-10-05 11:11 – 2016-01-22 05:45 – 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 – 2016-01-22 05:45 – 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team – www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 – 2017-09-20 02:20 – 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe

=================== End of Filesindirectory ====================

============== Folder: C:\Windows\desktop-7ec3qg0 ==============

2017-10-05 11:11 – 2016-03-28 15:22 – 000000407 ____A [4FED6C66502829268459034D6A2D51F6] () C:\Windows\desktop-7ec3qg0\config.txt
2017-10-05 11:11 – 2016-02-07 07:10 – 000000021 ____A [141C4B266FCC6204D7EE7C6EDCCC2D70] () C:\Windows\desktop-7ec3qg0\default.action
2017-10-05 11:11 – 2017-09-20 02:05 – 000000117 ____A [4A44010B8D5F3455F5447ED376294FF4] () C:\Windows\desktop-7ec3qg0\default.filter
2017-10-05 11:11 – 2016-01-22 05:45 – 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 – 2016-01-22 05:45 – 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team – www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 – 2017-10-05 11:11 – 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Windows\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 – 2017-09-20 02:20 – 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe
2017-10-05 11:11 – 2016-09-09 16:32 – 000000215 ____A [7198513210A07AB63043FA7A84635AE2] () C:\Windows\desktop-7ec3qg0\uninstall.bat

================== End of Folder ===================

Nota: La directiva Folder: trabaja de forma recursiva y lista el contenido de todas las subcarpetas. En consecuencia, podría producir informes de registros gigantescos.


Find
Folder:

Consulte el apartado Funciones de Búsqueda en la sección Otros análisis opcionales. La directiva trabaja de la misma manera que lo hace FindFolder: en el cuadro de búsqueda, pero los resultados se registran en el archivo Fixlog.txt.


Hosts
:

Para restablecer el archivo hosts. Consulte el apartado hosts, disponible bajo la sección Análisis Principal (FRST.txt).


ListPermissions
:

Se utiliza para listar los permisos en los archivos/directorios/claves incluidos en el script.

ListPermissions: ruta/clave

Ejemplo:

ListPermissions: C:\Windows\Explorer.exe
ListPermissions: C:\Users\User\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd


Move
:

En ciertas ocasiones, renombrar o mover un archivo, especialmente cuando se realiza entre unidades, puede ser problemático y el comando MS Rename podría fallar. Para mover o renombrar un archivo, utilice el siguiente script:

Move: origen destino

Ejemplo:

Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

La herramienta mueve el archivo de destino (si existe) a la carpeta Quarantine [carpeta de cuarentena], y luego mueve el archivo de origen a la ubicación de destino.

Nota: El renombrado puede llevarse a cabo, al utilizar la directiva Move:.

Nota: La ruta de destino debe contener el nombre del archivo, incluso si el archivo se encuentra ausente en el directorio de destino.


Powershell
:

Para ejecutar comandos PowerShell o archivos de script.

1. Para ejecutar un solo comando PowerShell independiente, y obtener la salida en el archivo Fixlog.txt, la sintaxis a utilizar es la siguiente:

Powershell: comando

Ejemplo:

Powershell: Get-Service

2. Para ejecutar un solo comando PowerShell independiente, y obtener la salida en un archive de texto (y no en el archivo Fixlog.txt) utilice operadores de redireccionamiento o el cmdlet Out-File:

Powershell: comando > “Ruta a un archivo de texto”

Powershell: comando | Out-File “Ruta a un archivo de texto”

Ejemplo:

Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

3. Para ejecutar un archivo de script (.ps1), preparado de antemano, conteniendo uno o más comandos/líneas de PowerShell, la sintaxis es la siguiente:

Powershell: “Ruta a un archivo script

Ejemplos:

Powershell: C:\Users\UserName\Desktop\script.ps1
Powershell: “C:\Users\User Name\Desktop\script.ps1”

4. Para ejecutar varios comandos/líneas de PowerShell como si estuvieran dentro de un archivo de script (.ps1), pero sin crear el archivo .ps1, utilice un carácter punto y coma ; para separarlos, en lugar de utilizar saltos de línea:

Powershell: línea 1; línea 2; (y así sucesivamente)

Ejemplo:

Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile(“http://server/file.exe”, “C:\Users\User\Desktop\file.exe”)

De manera alternativa, podría utilizar las directivas StartPowershell:EndPowershell: (véase más abajo).


Reboot
:

Para forzar un reinicio.

No importa si al añadir la directiva Reboot: lo hace al principio, a la mitad, o al final del listado del fixlist. Ésta se ejecutará después de que se procesen todas las demás líneas incluidas en el archivo de corrección.

Nota: Este comando no funcionará en el Entorno de Recuperación al no ser necesario.


Reg
:

Para manipular el Registro de Windows utilizando la herramienta de línea de comandos Reg.

La sintaxis es la siguiente:

Reg: commando reg

Ejemplo:

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList” C:\Users\User\Desktop\backup.reg

Nota: A diferencia de las directivas FRST nativas u otras, el comando reg debe tener la sintaxis reg.exe precisa, por lo que por ejemplo, se deben incluir los caracteres de dobles comillas (“) cuando existan espacios en el nombre clave/valor.

Nota: La directiva no procesará claves/valores bloqueados o no válidos. Consulte las directivas DeleteKey: y DeleteValue: descritos anteriormente en este tutorial.


RemoveDirectory
:

Para eliminar (no mover a la carpeta Quarantine [carpeta de Cuarentena]) directorios con permisos limitados y rutas o nombres no válidos. No es necesario utilizar la directiva Unlock:. La directiva RemoveDirectory: debe ser utilizada para directorios que opongan resistencia a la operación de movimiento habitual. Si se utiliza en Modo Seguro será muy poderoso, mientras que en el Entorno de Recuperación (RE) será extremadamente poderoso.

El script será:

RemoveDirectory: ruta


RemoveProxy
:

Elimina algunas configuraciones de restricción de políticas de Internet Explorer como “HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer” o ProxySettingsPerUser en HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings. Esta directiva elimina los valores “ProxyEnable” (si se encuentra establecido a 1), “ProxyServer”, “AutoConfigURL”, “DefaultConnectionSettings” y “SavedLegacySettings” de la máquina y las claves de usuario. Ésta también aplica al comando BITSAdmin con NO_PROXY.

Adicionalmente, elimina el valor predeterminado de la clave “HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies” si ha sido modificada.

Nota: Cuando exista un servicio o software ejecutándose, que restaure estas configuraciones, se debe desinstalar el software y eliminar el servicio antes de utilizar la directiva. Esto para asegurar que la configuración del proxy no vuelva.


Replace
:

Para reemplazar un archivo, utilice el siguiente script:

Replace: origen destino

Ejemplo:

Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

La herramienta mueve el archivo de destino (si existe), a la carpeta Quarantine [carpeta de cuarentena], y luego mueve el archivo de origen a la ubicación de destino.

Éste no mueve el archivo origen, si se encuentra en su ubicación original. Así pues, en el ejemplo anterior, el archivo dnsapi.dll permanecerá en el directorio WinSxS.

Nota: La ruta de destino debe contener el nombre del archivo, incluso si el archivo no se encuentra actualmente en el directorio de destino.

Nota: En caso de que falte o no se encuentre el directorio de destino, el comando fallará. FRST no reconstruye una estructura de directorios completa. La directiva Copy: podría ser utilizada como alternativa.


RestoreFromBackup
:

La primera vez que la herramienta es ejecutada, ésta copia los hives del registro al directorio %SystemDrive%\FRST\Hives (generalmente C:\FRST\Hives) como copia de seguridad. Esta copia de seguridad no será sobrescrita con las siguientes ejecuciones de la herramienta, a menos que esta copia de seguridad tenga más de dos meses. Si algo saliera mal, cualquiera de los hives del registro puede ser restaurado con este comando.

La sintaxis será:

RestoreFromBackup: NombreHive

Ejemplos:

RestoreFromBackup: software
RestoreFromBackup: system


RestoreMbr
:

Para restaurar el MBR, FRST utilizará MbrFix, el cual debe ser guardado en una unidad flash junto con el archivo MBR.bin a restaurar. Será necesario: la utilidad MbrFix/MbrFix64, el archivo MBR.bin a restaurar y el script que muestra la unidad:

RestoreMbr: Drive=#

Ejemplo:

RestoreMbr: Drive=0

Nota: El MBR a ser restaurado, debe tener por nombre MBR.bin y debe ser comprimido y adjuntado.


RestoreQuarantine
:

Para restaurar todo el contenido de Quarantine [cuarentena], o restaurar un solo archivo o varios archivos de la cuarentena.

Para restaurar todo el contenido de Quarantine [cuarentena], la sintaxis a utilizar puede ser:

RestoreQuarantine:

O:

RestoreQuarantine: C:\FRST\Quarantine

Para restaurar un solo archivo o carpeta, la sintaxis a utilizar es:

RestoreQuarantine: RutaEnQuarantine

Ejemplo:

RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\Desktop\ANOTB.exe.xBAD

Para encontrar la ruta en Quarantine [cuarentena], puede utilizar:

Folder: C:\FRST\Quarantine

O:

CMD: dir /a/b/s C:\FRST\Quarantine

Nota: Si un archivo ya existe (fuera de Quarantine [cuarentena]) en la ubicación de destino, FRST no lo sobrescribirá. El archivo original no será movido y permanecerá en Quarantine [cuarentena]. Por tanto, si necesita restaurar el archivo de la cuarentena, entonces antes de nada deberá renombrar/eliminar el archivo que se encuentra en la ubicación de destino.


SaveMbr
:

Consulte la sección Drives y MBR & Partition Table – Unidades/Discos y MBR & Tabla de Partición de este tutorial.

Para hacer una copia del MBR, se utiliza la siguiente sintaxis:

SaveMbr: Drive=#

Ejemplo:

SaveMbr: Drive=0

Nota: Al ejecutar este script, se creará un archivo MBRDUMP.txt en la unidad flash, que el usuario debe adjuntar a la publicación.


SetDefaultPermissions
:

Comando creado para archivos del sistema bloqueados. Establece el grupo “Administradores” como el propietario y, según el sistema, otorga derechos de acceso a los grupos estándar.

Nota: La directiva no establecerá TrustedInstaller como el propietario, pero aun así podría utilizarse para archivos del sistema que están bloqueados por el malware.

El script a utilizar es el siguiente:

SetDefaultFilePermissions: ruta


StartBatch: — EndBatch
:

Para crear y ejecutar un archivo por lotes.

La sintaxis a utilizar es la siguiente:

StartBatch:
Línea 1
Línea 2
Etc.
EndBatch:


StartPowershell: — EndPowershell
:

Una mejor alternativa para crear y ejecutar un archivo de PowerShell que contenga varias líneas (consulte la directiva Powershell: descrita anteriormente en este tutorial).

La sintaxis a utilizar es:

StartPowershell:
Línea 1
Línea 2
Etc.
EndPowershell:

El resultado será reportado en el archivo Fixlog.txt.


StartRegedit: — EndRegedit
:

Para crear e importar un archivo de registro (.reg).

La sintaxis a utilizar es:

StartRegedit:
archivo en formato .reg
EndRegedit

Incluir el encabezado Windows Registry Editor Version 5.00 es opcional, pero el encabezado REGEDIT4 es requerido.

Ejemplo:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
“Start”=dword:00000002
EndRegedit:

Obtendrá una confirmación en el archivo Fixlog.txt:

Registry ====> La operación se completó con éxito.

Nota: La línea de confirmación aparece independientemente de cualquier error eventual en el archivo .reg.

Nota: Las directivas no manejarán claves/valores bloqueados o no válidos. Consulte los comandos DeleteKey: y DeleteValue: descritos anteriormente en el tutorial.


SystemRestore:

Para habilitar o deshabilitar Restaurar Sistema.

La sintaxis a utilizar es:

SystemRestore: On

SystemRestore: Off

Cuando se utiliza el la primera sintaxis On, FRST verifica si existe suficiente espacio libre para habilitar Restaurar sistema. Si no se cumple el requisito, se imprimirá un error.


TaskDetails
:

Lista detalles de tareas adicionales relacionados al tiempo de ejecución.

La sintaxis a utilizar es la siguiente:

TasksDetails:

Ejemplo:

=============================== TasksDetails: ===============================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

Nota: La directiva no es compatible con Windows XP y solo trabaja en Modo Normal.


testsigning on
:

Nota: Para Windows Vista y versiones posteriores, no es compatible con dispositivos con Secure Boot habilitado.

La habilitación testsigning es una modificación BCD no predeterminada, que podría ser introducida por malware o usuarios que intentan instalar controladores no compatibles. Cuando FRST encuentre evidencias de este tipo de manipulación, lo reportará de la siguiente manera:

testsigning: ==> ‘testsigning’ is set. Check for possible unsigned driver <===== ATTENTION

Inspeccione la sección Drivers – Controladores en busca de un controlador que coincida con la advertencia. Dependiendo de la situación, incluya el controlador junto con la advertencia o únicamente la advertencia en el fixlist.

En caso de encontrar efectos colaterales no esperados tras procesar las entradas, utilice la directiva para volver a habilitar la firma de verificación de controladores para solucionar problemas adicionales:

testsigning on:


Unlock
:

Este comando, en el caso de archivos / directorios, establece al grupo “Everyone” [“Todos”] como propietario, otorga derechos de acceso a Everyone [Todos] y trabaja de manera recursiva cuando se aplica sobre directorios. Ésta debe ser utilizara para archivos / directorios maliciosos. Para desbloquear archivos del sistema, utilice la directiva SetDefaultFilePermissions:.

En el caso de elementos del registro, ésta establece al gurpo “Administrators” [Administradores] como propietario, y otorga a los grupos el acceso habitual trabajando solo sobre la clave aplicada. Ésta puede ser utilizada tanto para claves maliciosas como legítimas.

El script a utilizar es el siguiente:

Unlock: ruta

En algunas ocasiones, la operación de movimiento habitual no funciona debido a los permisos. Cuando esto ocurre, será notificado con una advertencia “Could not move” (“No se pudo mover”) en el archivo Fixlog.txt. En este tipo de casos, puede utilizar la directiva “Unlock:” sobre esos archivos y carpetas.

Ejemplo:

Unlock: C:\Windows\System32\bad.exe

Para mover el archivo completamente, simplemente añada la ruta por separado a la corrección:

Unlock: C:\Windows\System32\bad.exe
C:\Windows\System32\bad.exe

Puede utilizar este comando para desbloquear los elementos del registro donde un elemento se encuentre bloqueado. Por ejemplo, Si está ejecutando la corrección en el Modo de Recuperación y el conjunto de control actual es ControlSet001, la siguiente corrección sería aplicable:

Unlock: hklm\system\controlset001\serviciomalicioso\nombresubclave

Para eliminar la entrada, utilice la directiva Reg:. La sintaxis complete debería ser:

Unlock: hklm\system\controlset001\serviciomalicioso\nombresubclave
Reg: reg delete hklm\system\controlset001\serviciomalicioso /f

Nota: La directiva DeleteKey: puede ser utilizada alternativamente a la combinación Unlock: y Reg:.


VirusTotal:

Para comprobar archivos con VirusTotal. FRST buscará un análisis previo en la base de datos de VirusTotal. Un archivo que nunca haya sido suministrado a VirusTotal, será cargado y subido para su análisis.

Se pueden incluir múltiples archivos, separados por punto y coma.

VirusTotal: ruta;ruta

Nota: Para incluir más de 4 archivos, utilice una sola directiva con delimitador de punto y coma en lugar de varias directivas. Este método garantiza que se carguen y sean devueltos todos los enlaces que queremos cargar y recibir a la plataforma VirusTotal.

Ejemplo:

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)

“0-byte MD5” indica que un archivo está en uso o está bloqueado o vacío, o la ruta hace referencia a un enlace simbólico.


Zip:

Para incluir archivos / carpetas en un archivo comprimido llamado Fecha_Hora.zip, que será creado en el escritorio del usuario, para posteriormente poder ser cargado/subido manualmente por el usuario. En el caso de archivos / carpetas con el mismo nombre, se crearán múltiples archivos.

Se pueden incluir tantos archivos / carpetas como se requiera, separados por punto y coma.

Zip: ruta;ruta

Ejemplo:

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log

 


Canned Speeches – Discurso Enlatado

Análisis

Ejemplo de instrucciones (para el experto en malware que está ofreciendo su ayuda) para que el usuario ejecute FRST en Modo Normal:

Por favor, descargue [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/url] y guárdelo en el Escritorio del sistema.

[color=green][b]Nota[/b]: Necesita ejecutar la version compatible con la arquitectura de su sistema. Si no está seguro qué versión se aplica a su sistema, descargue ambos y pruebe a ejecutarlos. Tan solo una de ellas, podrá ser ejecutada en el sistema, así que esa será la version correcta.[/color]

[LIST]
[*]Haga clic con el botón derecho del ratón sobre el archivo ejecutable, para ejecutar la herramienta con permisos de administrador. Cuando la herramienta se abra, haga clic en [b]Sí[/b] para aceptar el descargo de responsabilidad.
[*]Haga clic en el botón [b]Scan (Analizar)[/b].
[*]La herramienta creará dos informes [b]FRST.txt[/b] y [b]Addition.txt[/b] ubicados en el mismo directorio desde el que se ejecuta la herramienta.
[*]Por favor, copie y pegue ambos informes en su próxima respuesta.
[/LIST]

Ejemplo de instrucciones para ejecutar FRST en el Entorno de Recuperación (RE) – Windows 7, Windows 8 y Windows 10:

[LIST]
[*]Sobre un PC libre de virus, descargue [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/url] y guárdelo en un dispositivo flash.

[color=green][b]Nota[/b]: Necesita ejecutar la version compatible con la arquitectura de su Sistema, es decir 32-bits o 64-bits.[/color]

Conecte la unidad flash al PC infectado.

[*]Ingrese al [b]Símbolo del Sistema desde las Opciones de Arranque Avanzadas[/b]:

[url=https://www.tenforums.com/tutorials/2880-open-command-prompt-boot-windows-10-a.html]Instructions for Windows 10[/url]
[url=https://www.bleepingcomputer.com/tutorials/windows-8-recovery-environment-command-prompt/]Instructions for Windows 8[/url]
[url=https://www.bleepingcomputer.com/tutorials/windows-7-recovery-environment-command-prompt/]Instructions for Windows 7[/url]

[*][color=#FF0000][b] Una vez en el símbolo del sistema:[/b][/color]
[LIST]
[*]En la ventana de comandos, introduzca: [b]notepad[/b] y presione [b]Enter[/b].
[*]El bloc de notas se abrirá. En el menú Archivo, seleccione la opción [b]Abrir[/b].
[*]Seleccione “Equipo”, compruebe la letra de la unidad del dispositivo flash y cierre el bloc de notas.
[*]En la ventana de comandos, introduzca: [b][color=#FF0000]e[/color]:\frst[/b] (para la version de x64, introduzca [b][color=#FF0000]e[/color]:\frst64[/b]) y presione [b]Enter[/b]
[b]Nota:[/b] Reemplace la letra de la unidad del comando [b][color=#FF0000]e[/color][/b] por la que verdaderamente esté utilizando el dispositivo flash.
[*]La herramienta se ejecutará.
[*]Cuando la herramienta abra, haga clic en Sí para aceptar el descargo de responsabilidad.
[*]Haga clic en el botón [b]Scan[/b].
[*]La herramienta creará el informe (FRST.txt) y lo guardará en el dispositivo flash. Por favor, copie y pegue este informe en su próxima respuesta.
[/LIST]
[/LIST]


Fixes – Archivo de Solución / Correcciones

Instrucciones de ejemplo para una corrección realizada en modo normal o seguro, es decir, dentro del propio Windows:

Descargue el archivo adjunto [b]fixlist.txt[/b] y guárdelo en el Escritorio del sistema.

[u][b]NOTA.[/b][/u] Es importante que ambos archivos, [b]FRST/FRST64[/b] y [b]fixlist.txt[/b] se encuentren en la misma ubicación o la herramienta no funcionará.

[b][color=red]AVISO: Este script fue escrito específicamente para este usuario, y para su uso en esa máquina en particular. Ejecutar este script en otra máquina puede causar daños al sistema operativo de su máquina. [/color][/b]

Ejecute [b][color=#0000FF]FRST/FRST64[/color][/b] y haga clic en el botón [b]Fix[/b] una sola vez y espere a que finalice el proceso.
Si, por algún motivo, la herramienta necesita reiniciar el sistema, asegúrese de que nada se lo impida. Después de eso deje que la herramienta complete el proceso que está realizando.
Cuando FRST finalice de completar definitivamente el proceso de corrección, creará un archivo en el Escritorio (Fixlog.txt). Por favor, copie y pegue este informe en su próxima en su próxima respuesta.

Instrucciones de ejemplo para una corrección realizada en el Entorno de Recuperación (RE):

Abra el bloc de notas. Por favor, a continuación, copie / pegue todo el contenido del campo [b]quote[/b]. Para hacer esto, resalte el contenido del campo, haga clic con el botón derecho del ratón sobre éste y seleccione copiar. Pegue el contenido en el archivo del bloc de notas abierto. Guarde el archivo en el dispositivo flash con el nombre de [b]fixlist.txt[/b]

[quote]
Contenido del script
[/quote]

[color=red][b]AVISO: Este script fue escrito específicamente para este usuario, y para su uso en esa máquina en particular. Ejecutar este script en otra máquina puede causar daños al sistema operativo de su máquina. [/b][/color]

A continuación, ingrese al [b]Símbolo del Sistema desde las Opciones de Arranque Avanzadas[/b].

Ejecute [b]FRST/FRST64[/b] y haga clic en el botón [b]Fix[/b] una sola vez y espere a que finalice el proceso.
La herramienta creará un archivo en el Escritorio (Fixlog.txt). Por favor, copie y pegue este informe en su próxima en su próxima respuesta.



Comentarios y observaciones sobre este tutorial pueden ser enviados desde aquí.

Revisiones de este tutorial:

08/11/2019 Traducción al español añadida
08/11/2019 Descripciones actualizadas de Firefox, Chrome y Opera
08/11/2019 Las líneas OPR Extension ya no son procesadas en un fix
08/11/2019 Descripción de los paquetes instalados actualizada para incluir la detección [Startup Task]
08/11/2019 EmptyTemp: descripción actualizada para cubrir el Historial de Firefox
25/01/2020 Descripción de Edge reemplazada para cubrir Edge basado en Chromium
25/01/2020 Nota relacionada con los repositorios de extensiones oficiales actualizada para incluir Microsoft Edge Addons
25/01/2020 Descripción de Chrome modificada para indicar que las preferencias ahora se detectan en todos los perfiles
25/01/2020 Network Binding añadido Otras Áreas
26/01/2020 Traducción rusa marcada como obsoleta
16/05/2020 Las referencias de “Perfiles disponibles” se eliminaron de la descripción de la Cabecera del archivo FRST.txt
16/05/2020 Descripción de Procesos actualizada para incluir los detalles y explicación de <número>
16/05/2020 Varios cambios menores

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s