V součastné době je využitelný především na strojích napadených havětí Win32\Ransomware, známější spíše jako Policejní virus. Tento typ malware blokuje spuštění PC v běžném režimu, ale i v Nouzovém režimu (s\bez sítě). Ransomware se nespouští v Nouzovém režimu s příkazovým řádkem MS-DOS a zde je proto možné využít FRST.
Postup získání logu z FRST
Na nenakaženém PC si stáhneme FRST a uložíme přímo na kořen flash-disku.
- Odkaz ke stažení: http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
- Na stránce vybereme dle verze svého systému verzi FRST (32bit nebo 64bit) a tu si stáhneme.
- Zapojíme flashku do nakaženého PC a spustíme (restartujeme jej).
- Ihned začneme mačkat klávesu F8 (na některých noteboocích klávesu F2).
- Vyskočí nám nabídka možnosti spuštění systému (liší se dle OS).
- Na Win XP zvolíme možnost Stav nouze se systémem MS-DOS.
- Na Win Vista, W7 a W8 zvolíme možnost Nouzový režim s příkazovým řádkem.
- Dojde ke spuštění Nouzového režimu (černá plocha s příkazovým řádkem).
Zjištění písmene disku, typu systému:- Do příkazového řádku napíšeme notepad a odenterujeme.
- Otevře se Poznámkový blok alias Notepad. V něm klikneme na nabídku Soubor -> Otevřít.
- V Průzkumníku se proklikáme až na Tento počítač, rozklikeme a podíváme se pod jakým písmenem se ukrývá připojený flashdisk (F:\, G:\ apod.).
- Poznamenáme si jeho písmeno (důležité pro další práci).
- Zároveň se v Průzkumníku podíváme, zda-li se nachází složka C:\WINDOWS\SYSWOW64 - pokud ano, jedná se o 64-bit OS.
- Ukončíme Notepad (zavřeme křížkem).
- Nyní v příkazovém řádku napíšeme skutečné písmeno jednotky s flashdiskem a verzi programu FSRT.
- Pro 32-bit OS zadejte příkaz "písmeno disku":\FRST.exe a odenterujte (např. F:\FRST.exe).
- Pro 64-bit OS zadejte příkaz "písmeno disku":\FRST64.exe a odenterujte (např. G:\FRST64.exe).
- Tímto se spustí uživatelsky přívětivější prostředí FRST.
- Po spuštění FRST odsouhlasíme licenční podmínky kliknutím na Ano.
- Dooznačíme případně položku Addition.txt - nastavení viz obrázek.
- Klikneme na tlačítko Scan čímž spustíme skenování.
- Počkáme na dokončení skenování a odklikneme info o uložení logů.
- Otevřou se dva textové soubory s logy, ty zavřeme.
- Nyní můžeme i vypnout PC.
- Na flash disku máme vytvořené logy FRST.txt a Addition.txt.
- Do svého tématu vložíme pouze log FRST.txt.
- Druhý log Addition.txt vložíme jen pokud nás o to Rádce požádá.
Návod vytvořen dvojící Naughty & vyosek. Drobné úpravy provedl Mc_Murphy.