Security-X

Forum Security-X => Sécurité Générale => Tutoriels => Discussion démarrée par: chantal11 le septembre 09, 2013, 20:00:07

Titre: Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:00:07
(https://security-x.fr/img/public/FRST/Farbar.png)


Farbar Recovery Scan Tool


La dernière version peut être téléchargée depuis:

Lien 1 (http://www.geekstogo.com/forum/files/file/435-frst-farbars-recovery-scan-tool/) | Lien 2 (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/)



Farbar Recovery Scan Tool (FRST) est un outil de diagnostic intégrant la possibilité d'exécuter des scripts [NdT: un "script" est un petit programme, un ensemble d'instructions à exécuter], que l'on prépare au préalable, sur des PCs infectés par des malveillants. Il fonctionnera aussi bien en Mode normal qu'en Mode sans échec, et lorsqu'un PC a des problèmes d'amorçage [boot], il fonctionnera efficacement dans l'Environnement de récupération Windows [Windows Recovery Environment - WinRE]. Sa capacité à travailler dans l'Environnement de récupération le rend particulièrement utile pour traiter les problèmes liés aux machines qui éprouvent des difficultés lors de l'amorçage.


**********************************************************



Informations sur ce Tutoriel


Ce tutoriel a été créé à l'origine par emeraldnzl (http://www.geekstogo.com/forum/user/229568-emeraldnzl/) de concert avec farbar (http://www.geekstogo.com/forum/user/329828-farbar/) et avec l'aimable coopération de BC (https://www.bleepingcomputer.com/) (Bleeping Computer) et G2G (http://www.geekstogo.com/forum/index.php?) (Geeks to Go). emeraldnzl s'est depuis retiré et maintenant le tutoriel est mis à jour et maintenu par picasso (http://www.geekstogo.com/forum/user/384336-picasso/) en consultation avec Farbar.
Cette traduction en français, officielle et autorisée, a été réalisée à l'origine par nickW et est maintenant suivie par chantal11. Le sujet d'origine se trouve sur Geeks to Go (http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/).
L'autorisation de picasso et de Farbar est indispensable avant toute utilisation ou toute citation de ce tutoriel sur d'autres sites. Veuillez noter également que ce tutoriel a été écrit initialement pour fournir des conseils aux assistants qui offrent une aide pour la suppression des nuisibles sur divers forums.



Traduction de l'avertissement "Disclaimer" :
Citer
Clause de non-responsabilité!

Ce logiciel est fourni "tel quel" sans aucune garantie d'aucune sorte.
Vous pouvez utiliser ce logiciel à vos propres risques.

L'utilisation de ce logiciel est interdite à des fins commerciales.

Êtes-vous sûr de vouloir continuer?

Cliquez sur Oui pour continuer. Cliquez sur Non pour quitter.



Traductions de ce tutoriel

Français (https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scanner-tool-11007/) (nickW - chantal11)

Allemand (https://www.trojaner-board.de/145752-anleitung-farbar-recovery-scan-tool-frst.html) (myrtille - M-K-D-B)

Polonais (https://www.fixitpc.pl/topic/23904-frst-tutorial-obs%C5%82ugi-farbar-recovery-scan-tool/) (picasso)

Russe (https://safezone.cc/threads/rukovodstvo-po-farbars-recovery-scan-tool-frst.27540/) (Dragokas)



Table des matières

1. Introduction (#post_introduction)
2. Zones d'analyse par défaut (#post_analyse)

3. Analyse principale (FRST.txt) (#post_correction)
4. Analyse supplémentaire (Addition.txt) (#post_addition)
5. Autres analyses facultatives (#post_autres2)
6. Instructions/Commandes (#post_commandes)
7. Discours en conserve (#post_lien)


Les experts et assistants ayant l'accès peuvent se tenir au courant des derniers développements de l'outil dans le sujet FRST Discussion (https://www.bleepingcomputer.com/forums/t/360106/farbar-recovery-scan-tool/) sur BC.


Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:00:52
Introduction


Un des points forts de FRST est sa simplicité. Il est conçu pour être facile à utiliser. Les lignes contenant des références à des éléments infectés peuvent être identifiées, copiées à partir du rapport d'analyse, collées dans le Bloc-notes (notepad) et enregistrées. Ensuite, avec un simple clic sur un bouton l'outil fera le reste. Cela permet une grande flexibilité, et lorsque de nouvelles infections apparaissent elles peuvent être identifiées et incluses dans un correctif.



Avec quoi il fonctionne

Farbar Recovery Scan Tool est conçu pour être exécuté sous les systèmes d'exploitation Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10. Il y a deux versions, une version 32-bit et une version 64-bit.

Note: FRST64 n'est pas conçu pour fonctionner sur un système XP 64-bit.



********************

Diagnostic

FRST crée un rapport d'analyse [log] qui couvre des zones particulières du système d'exploitation Windows. Ceci peut être utilisé pour l'analyse initiale du problème et pour vous donner quelques informations sur le système.

L'outil est en constant développement, des évolutions dont une partie comprend l'ajout de nouvelles étiquettes d'identification de malveillants. En conséquence, il est fortement recommandé de le mettre à jour régulièrement. Si l'ordinateur est connecté à internet il y aura une recherche automatique de mise à jour lorsque FRST est lancé. Une notification apparaîtra et la dernière version pourra alors être téléchargée.

Quand une nouvelle infection se présente ou si la mise à jour est impossible, par exemple sans connexion internet pour quelque raison que ce soit, l'expert doit être au fait des derniers développements dans le domaine des infections par malveillant pour pouvoir repérer le problème dès le début. L'utilisateur profane devrait demander l'aide d'experts lorsque de nouvelles infections apparaissent ou quand il rencontre des difficultés à identifier le problème sur son PC.

Par défaut, comme de nombreux autres programmes d'analyse, FRST utilise des listes blanches (whitelisting). Ceci permet d'éviter les rapports d'analyse très longs. Si vous voulez vraiment obtenir un rapport d'analyse complet, vous devez dé-cocher la case correspondante dans le paragraphe Listeblanche de l'écran de FRST (Registre, Services, Pilotes, Processus, Internet). Attendez-vous à un rapport d'analyse très long, qui ne pourra être envoyé sur un forum pour analyse que sous forme de pièce jointe.
********************

Préparation avant utilisation

Assurez-vous que FRST est exécuté avec des privilèges Administrateur. L'outil ne fonctionnera correctement que s'il est lancé depuis un compte d'utilisateur ayant ces privilèges Administrateur. Si un utilisateur n'a pas les privilèges Administrateur, vous verrez un avertissement à ce sujet dans l'entête du fichier rapport FRST.txt.

Dans certains cas un programme de sécurité peut empêcher l'outil de pleinement fonctionner. En général il n'y aura pas de problème, mais soyez conscient de la possibilité que lorsqu'une analyse est demandée un programme de sécurité peut empêcher l'exécution de l'outil. Lors d'une correction, il est préférable de désactiver des programmes comme Comodo qui pourrait empêcher le programme de faire son travail.

Une recommandation générale valable pour tout le monde est que lorsque vous êtes confronté à un rootkit, il est préférable de n’exécuter qu’un outil de correction à la fois et d'attendre le résultat avant d'exécuter un autre outil.

Il n'est pas nécessaire de créer une sauvegarde du Registre. FRST effectue une sauvegarde des ruches du Registre la première fois où il est exécuté. La sauvegarde se trouve dans %SystemDrive%\FRST\Hives (dans la plupart des cas C:\FRST\Hives). Voir la commande Restore From Backup: (#post_restorebackup) pour de plus amples détails.

FRST existe en plusieurs langues. Si, dans le cadre d'une assistance sur un forum, les rapports d'analyse vous sont présentés dans une langue qui vous est totalement étrangère, il est possible de forcer la création de rapports d'analyse en anglais. Pour ce faire, il suffit de renommer le fichier exécutable de FRST (FRST.exe ou FRST64.exe) en lui ajoutant le mot English, comme EnglishFRST.exe, FRSTEnglish.exe, FRSTEnglish64.exe ou EnglishFRST64.exe. Les rapports d'analyse seront alors créés en anglais.


********************

Exécuter FRST

L'utilisateur reçoit pour consigne de télécharger FRST sur le Bureau. De là, il suffit simplement de faire un double clic sur l'icône de FRST, accepter l'avertissement, et exécuter FRST. L'icône de FRST ressemble à ceci :


(https://security-x.fr/img/public/FRST/FRST64.jpg)

Note: Vous devez utiliser la version qui est compatible avec le système de l'utilisateur. Il y a une version 32-bit et une version 64-bit. Si vous n'êtes pas sûr de la version à employer, demandez à l'utilisateur de télécharger les deux versions et d'essayer de les exécuter. Une seule d'entre elles fonctionnera sur le système, ce sera la bonne version.


Une fois que FRST/FRST64 est ouvert, l'utilisateur verra une fenêtre comme celle-ci :

(https://security-x.fr/img/public/FRST/FRST.jpg)

Quand FRST a terminé ses analyses, il enregistre des rapports d'analyse en format texte (Bloc-notes) dans le dossier à partir duquel FRST/FRST64 a été lancé. Lors de chaque analyse, un rapport FRST.txt et un rapport Addition.txt sont créés.

Des copies de ces rapports d'analyse sont sauvegardées dans %SystemDrive%\FRST\Logs (dans la plupart des cas, ce sera C:\FRST\Logs).


********************

Correction

Attention, Très Important : Farbar Recovery Scan Tool est non invasif et en mode analyse (Scan) il ne peut pas nuire à un PC.

Cependant FRST est aussi très efficace pour exécuter les instructions qui lui sont données. Lorsque vous appliquez un correctif, s'il est demandé de supprimer un élément, dans 99% des cas, il le fera. Bien qu'il existe certains garde-fous intégrés, ils sont nécessairement globaux et conçus pour ne pas gêner l'élimination de l'infection. L'utilisateur doit être conscient de cela. Utilisé à mauvais escient (comme par exemple si on demande de supprimer des fichiers essentiels), l'exécution de l'outil peut avoir pour conséquence d'empêcher l'ordinateur de démarrer.


Si vous avez des doutes à propos d'un élément quelconque dans un rapport d'analyse FRST,
demandez toujours l'aide d'un expert avant d'appliquer un correctif.


FRST dispose d'une gamme de commandes et commutateurs qui peuvent être utilisés pour manipuler les processus de l'ordinateur et pour résoudre les problèmes que vous avez identifiés.


********************

Préparation du Fixlist :

1 - Méthode fixlist.txt : Pour corriger les problèmes détectés, copiez et collez les lignes du rapport FRST.txt dans un fichier texte nommé fixlist.txt et enregistré dans le même répertoire où l'outil a été exécuté.

Note: Il est important que le Bloc-notes soit utilisé. La correction ne fonctionnera pas si Word ou un autre programme est utilisé.


2 - Méthode avec ctrl+y  : Le raccourci clavier peut être utilisé pour créer et ouvrir automatiquement un fichier vide à remplir.
Lancez FRST, appuyez sur Ctrl+y pour ouvrir le fichier, collez le correctif, appuyez sur Ctrl+s pour enregistrer.


3 - Méthode avec le Presse-papier : Insérer les lignes du correctif entre Start:: et End:: comme ceci :

Start::
contenu du correctif
End::


L'utilisateur copie tout le contenu, y compris Start:: et End:: et clique sur le bouton Corriger.



********************

Unicode

Pour corriger un élément contenant un(des) caractère(s) Unicode, le correctif doit être enregistré en format Unicode, sinon les(s) caractère(s) Unicode sera(ont) perdu(s).
Le raccourci Ctrl + y enregistre le fichier texte en format Unicode. Mais si le fixlist.txt est créé manuellement, un encodage approprié doit être choisi dans le Bloc-notes (voir ci-dessous).

Exemple :

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\Utilisateur\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

Faites un copier/coller des éléments dans une fenêtre ouverte du Bloc-notes [notepad], sélectionnez Enregistrer sous..., dans la rubrique Codage sélectionnez Unicode, donnez le nom fixlist puis cliquez sur le bouton Enregistrer.

Si vous l'enregistrez dans un Bloc-notes normal, sans sélectionner Unicode, le Bloc-notes émettra un avertissement; si vous passez outre et enregistrez le fichier, après fermeture puis réouverture du fichier, vous verrez :

Citer
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

Et FRST sera incapable de le traiter.


********************

Noms d'utilisateurs manipulés

Certains utilisateurs modifient les rapports en supprimant ou en remplaçant un nom d'utilisateur. Pour vous assurer que les chemins d'accès corrects seront traités dans le contexte d'un seul compte chargé, vous pouvez remplacer le nom d'utilisateur potentiellement manipulé dans les chemins d'accès avec CurrentUserName. FRST traduira automatiquement le mot-clé par un nom d'utilisateur correct.

Note : Cette méthode n'est pas prise en charge dans l'environnement de récupération.


********************

Pour empêcher FRST de figer pendant des heures en raison de scripts incorrects ou d'autres circonstances imprévues, le temps total de l'ensemble de la correction est limité à 40 minutes.

Les éléments déplacés lors de la correction sont conservés dans %systemdrive%\FRST\Quarantine, dans la plupart des cas ce sera C:\FRST\Quarantine, jusqu'à la purge finale (clean up) et la suppression de FRST.

Pour des informations détaillées sur la préparation des scripts de correction, voyez les sections ci-dessous.


********************

Suppression de FRST
 
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage et fonctionne uniquement en dehors de l'environnement de récupération.

Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:01:57
Zones d'analyse par défaut



Lors de chaque exécution hors de l'Environnement de récupération, un rapport FRST.txt et un rapport Addition.txt sont générés. Le rapport Addition.txt n'est pas créé quand FRST est exécuté dans l'Environnement de récupération.



**********

Analyses effectuées en mode normal:


Analyse principale

Processus
Registre
Internet
Services
Pilotes
NetSvcs
Un mois - Créés - fichiers et dossiers
Un mois - Modifiés - fichiers et dossiers
Fichiers à la racine de certains dossiers
Fichiers à déplacer ou supprimer
Certains fichiers dans TEMP
Certains fichiers/dossiers de taille zéro octet
Bamital & volsnap
LastRegBack:


Analyse supplémentaire (Addition.txt)

Comptes
Centre de sécurité
Programmes installés
Personnalisé CLSID
Tâches planifiées
Raccourcis & WMI
Modules chargés
Alternate Data Streams (Flux de Données Additionnels)
Mode sans échec
Association
Internet Explorer sites de confiance/sensibles
Hosts contenu
Autres zones
MSCONFIG/TASK MANAGER éléments désactivés
Règles Pare-feu
Points de restauration
Éléments en erreur du Gestionnaire de périphériques
Erreurs du Journal des événements
Infos Mémoire
Lecteurs
MBR & Table des partitions


Analyses facultatives

Liste BCD (Boot Configuration Data)
MD5 Pilotes
Shortcut.txt
Addition.txt
Fichiers 90 jours

Recherche de fichiers
Recherche dans le Registre



**********

Analyses effectuées dans l'Environnement de récupération :


Analyse principale

Registre
Services
Pilotes
NetSvcs
Un mois - Créés - fichiers et dossiers
Un mois - Modifiés - fichiers et dossiers
Fichiers à déplacer ou supprimer
Certains fichiers dans TEMP
Known DLLs (DLLs connues)
Bamital & volsnap
Association
Points de restauration
Infos Mémoire
Lecteurs
MBR & Table des partitions
LastRegBack:

Analyses facultatives

Liste BCD (Boot Configuration Data)
MD5 Pilotes
Fichiers 90 jours

Recherche de fichiers


.
Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:02:41
Analyse principale (FRST.txt)



Entête

Voici un exemple d'entête :

Citer
Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 20-10-2017
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (21-10-2017 14:15:41)
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Administrateur)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Langue: Français (France)
Internet Explorer Version 11 (Navigateur par défaut: FF)
Mode d'amorçage: Normal
Tutoriel pour Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

La lecture attentive de l'entête peut être très utile:

1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.

2ème ligne : montre quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne montre aussi le nom de l'ordinateur ainsi que le jour et l'heure de l'exécution de l'outil. Parfois, un utilisateur peut par inadvertance envoyer un ancien rapport d'analyse.

3ème ligne : vous dit depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.

4ème ligne : vous dit sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire la ruche (de Registre) utilisateur chargée. Puis, entre parenthèses, "Profils disponibles" liste tous les profils présents sur le PC, y compris ceux qui ne sont pas actuellement chargés.
Note : Lors de la connexion sous Windows, seule la ruche utilisateur de l'utilisateur connecté est chargée. Si l'utilisateur se connecte sous un autre compte sans redémarrage (en utilisant "Changer d'utilisateur" ou "Fermer la session"), la seconde ruche utilisateur est chargée mais la première n'est pas déchargée. Dans cette situation, FRST listera les éléments de Registre des deux utilisateurs, mais ne listera pas les éléments de Registre relatifs aux autres utilisateurs puisque leurs ruches utilisateur ne sont pas chargées.

5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (Version et OS Build sur Windows 10 (https://www.microsoft.com/fr-fr/itpro/windows-10/release-information), "Mise à jour" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures), ainsi que la langue utilisée. Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.

6ème ligne : vous donne la version d'Internet Explorer, ainsi que le navigateur par défaut.

7ème ligne : vous dit dans quel mode l'analyse a été exécutée.

8ème ligne : lien vers le tutoriel officiel (en anglais).

Note : Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.


Alertes qui peuvent apparaître dans l'entête

Quand il y a des problèmes d'amorçage [boot], vous pouvez voir quelque chose comme "ATTENTION: Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche en utilisant LastRegBack: peut être une solution (voir ci-dessous).

"Par défaut: Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi en auriez-vous besoin ? Normalement, vous n'en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.


********************

Processus

Il y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d'abord, vous pouvez arrêter un programme de sécurité qui pourrait bloquer un correctif. Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le fichier qui lui sont associés.

Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.

Exemple :

Citer
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe

Une ligne sera créée dans le fichier Fixlog.txt avec cet intitulé: Nom du processus => Processus fermé avec succès

Si vous avez un processus nuisible et si vous voulez supprimer le fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif, comme ceci:

Exemple :

(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot


********************

Registre


Les éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un fixlist afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression en raison d'autorisations insuffisantes ou de caractères Null encapsulés (Null embedded) seront supprimées. Si des clés résistent à la suppression en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau (kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.

Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution sur la clé de Registre de l'une des deux actions ci-dessous :

Quand des éléments du rapport relatifs à des valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le fixlist, l'outil restaure les valeurs Windows par défaut.
Note : Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.

Pas besoin d'un batch ni d'un correctif-Registre. Il en va de même pour certaines autres clés importantes qui pourraient être détournées par un malveillant.

Note: FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.

Les éléments Run et Runonce, s'ils sont copiés dans le fixlist, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.

Par exemple, pour supprimer le mauvais élément Run ainsi que le fichier, vous devez les inclure dans le fixlist comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :

HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe


Dans le cas des clés Notify, si elles figurent dans le fixlist :
Si elles font partie des clés par défaut, l'outil restaure les données de la valeur (DllName) associées à cette clé. Si la clé n'est pas une clé par défaut, elle sera supprimée.

Les éléments Image File Execution Options, s'ils sont inclus dans le fixlist, seront supprimés.


Quand un fichier ou un raccourci est détecté dans le dossier Démarrage, FRST liste le fichier dans les éléments 'Startup:'. Si le fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci) [avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le fichier cible vous devez inclure les deux dans le correctif.

Exemple :

Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\Utilisateur\1800947.exe ()

Note : La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier 1800947.exe. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.


Dans le cas d'un nuisible qui impose des certificats non approuvés (https://www.bleepingcomputer.com/news/security/certlock-trojan-blocks-security-programs-by-disallowing-their-certificates/) [en anglais] ou des stratégies de restriction logicielle (https://blog.trendmicro.com/trendlabs-security-intelligence/windows-security-feature-abused-blocks-security-software/) [en anglais], vous verrez des éléments comme ceci :

Citer
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION

Citer
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION

Pour débloquer les programmes de sécurité, incluez les lignes dans le fixlist.

Note : La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir: How to manually create Software Restriction Policies to block ransomware (https://www.bleepingcomputer.com/virus-removal/locky-ransomware-information-help#manual) [en anglais].



FRST détecte aussi la présence d'objets de stratégie de groupe (Group Policy Objects - GPO (https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc779745(v%3Dws.10)#local-group-policy-objects) [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible. Les stratégies Firefox, Google Chrome (voir les sections des navigateurs ci-dessous) et Windows Defender dans le fichier Registry.pol seront signalées individuellement :

Citer
GroupPolicy: Restriction - Windows Defender <======= ATTENTION

Pour les autres stratégies ou scripts, vous verrez une notification générique sans détails :

Citer
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Pour réinitialiser les stratégies, placez les lignes dans le fixlist. FRST va élaguer les dossiers de stratégie de groupe (GroupPolicy) et forcer un redémarrage.

Exemple :
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès

Note : La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.

La Restauration système désactivée par une stratégie de groupe (Group Policy) sera signalée comme ceci :

Citer
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION

Inclure la ligne dans le fixlist provoquera la suppression de la clé (qui n'existe pas par défaut).

Note : FRST génère aussi un avertissement dans le rapport d'analyse Addition.txt si la Restauration système [SR] est désactivée, même si elle n'a pas été désactivée par une Stratégie de groupe [Group Policy] mais par l'utilisateur. Dans ce cas FRST ne fait rien. Il faut conseiller à l'utilisateur d'activer la Restauration système. Il n'existe pas de Stratégie de groupe empêchant cette activation.


********************

Internet

Hormis quelques exceptions, les éléments copiés dans le fixlist seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs (sauf Internet Explorer), voir les descriptions ci-dessous pour plus de détails.



■ Winsock

Les éléments Winsock qui ne sont pas dans la liste par défaut seront listés dans le rapport d'analyse. Si un élément Catalog5 est inclus pour être corrigé, FRST va effectuer une de ces deux actions :

  1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
  2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile (catalog).

Quand des éléments Catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset" :

cmd: netsh winsock reset
S'il reste des éléments Catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un fixlist. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile (catalog).

Attention: une rupture de la chaîne empêchera le PC de se connecter à Internet.

Une rupture de connexion internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :

Citer
Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.


Pour corriger le problème, l'élément peut être copié dans le fixlist.



■ hosts

S'il y a des éléments personnalisés dans le fichier hosts (https://fr.wikipedia.org/wiki/Hosts), il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :

Citer
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt


Si le fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter [Fichier hosts non détecté dans le dossier par défaut].

Pour réinitialiser le fichier hosts, copiez/collez simplement la ligne dans le fixlist et le fichier sera réinitialisé. Vous verrez une ligne dans le fichier Fixlog.txt confirmant la réinitialisation.



■ Tcpip et autres entrées

Les éléments Tcpip et les autres éléments, s'ils sont inclus dans le fixlist, seront supprimés.

Note : Dans le cas d'un piratage de StartMenuInternet pour IE, FF, Chrome et Opera. Les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fixlist et l'élément par défaut sera restauré dans le Registre. 



■ Internet Explorer

Pour les pages du navigateur, moteurs de recherche (SearchScopes) et d'autres entrées n'impliquant pas de fichiers/dossiers : en fonction du type d'objet, FRST supprime les éléments du registre ou rétablit leur état par défaut.

Exemple :

Citer
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}

Les URLSearchHooks, les BHOs (Browser Helper Objects), les barres d'outils, les gestionnaires (Handlers) et les filtres (Filters) peuvent être copiés dans le correctif et les entrées de registre seront supprimées. Les fichiers/dossiers associés doivent être inclus séparément s'ils doivent être déplacés.

Exemple :

Citer
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz



■ Edge

FRST liste les éléments: HomeButtonPage (bouton d'accueil) s'il pointe vers une page personnalisée, Session Restore (restaurer la session) s'il est activé, ainsi que les extensions installées.

Citer
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> est activé.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]

S'ils sont inclus dans un fixlist, les éléments HomeButtonPage et Session Restore seront supprimés du Registre.

Pour les éléments associés aux extensions, s'ils sont inclus dans un fixlist, la clé de Registre sera supprimée et le fichier sera déplacé.



■ Firefox

FRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y plusieurs profils Firefox ou clones de Firefox, FRST va lister les préférences, le fichier user.js, les extensions et les plugins de recherche (SearchPlugins) de tous les profils. Les profils non-standard insérés par un nuisible sont signalés.

Si les préférences sont copiées dans un fixlist, les valeurs seront supprimées. La fois suivante où Firefox (ou un clone de Firefox) s'ouvrira, il reviendra aux paramètres par défaut. La liste de correction ressemblerait à ceci (la ligne est copiée/collée directement depuis le rapport d'analyse) :

Citer
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&amp;ts=1476183215&amp;from=3a211011&amp;uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&amp;z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&amp;ts=1476182952551&amp;z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&amp;from=official&amp;uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T

FRST vérifie la signature des modules complémentaires (https://support.mozilla.org/en-US/kb/add-on-signing-in-firefox). Les modules complémentaires non signés sont signalés.

Exemple :
Citer
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [non signé]


Les lignes FF Extension et d'autres lignes peuvent être incluses dans le fixlist, les éléments seront supprimés.


Une stratégie de Groupe verrouillant les fonctionnalités de Firefox seront présentées de la façon suivante :

Citer
GroupPolicy: Restriction - Firefox <==== ATTENTION
GroupPolicy-Firefox: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION

Voir la description des objets de stratégie de groupe (Group Policy Objects - GPO)  sous la section Registre pour plus de détails.



■ Chrome

FRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST va trouver le dernier profil utilisé et lister les préférences de ce profil particulier. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.

L'analyse des preferences comprend les HomePage (page d'accueil) et StartupUrls (pages de démarrage) modifiés, l'activation de Session Restore (Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé :

Citer
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&amp;ts=1473242946&amp;z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;from=che0812&amp;uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&amp;ts=1473242946&amp;z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;from=che0812&amp;uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&amp;ts=1473242946&amp;z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;from=che0812&amp;uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&amp;q={searchTerms}
CHR Session Restore: Default -> est activé.

S'ils sont inscrits dans le fixlist, les éléments HomePage et StartupUrls seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome: "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".

FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).

Citer
CHR NewTab: Default ->  Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

FRST est incapable de supprimer une extension. L'extension sera toujours affichée dans la liste des extensions et le dossier associé sera restauré par Chrome. Pour cette raison, les lignes d'extension CHR ne sont pas traitées dans un correctif, utilisez plutôt les outils propres à Chrome :

  - Tapez chrome://extensions dans la barre d'adresse et validez par Entrée.
  - Cliquez sur l'icône de la corbeille à côté de l'extension que vous voulez supprimer complètement.
  - Une fenêtre pop-up de confirmation apparaît, cliquez sur Supprimer.

Une exception pour une installation d'extension située dans le registre (libellée CHR HKLM et HKU). Lorsque l'entrée est incluse dans le fixlist, la clé sera supprimée.

Certains nuisibles utilisent une stratégie de groupe (Group Policy) pour bloquer les modifications des extensions ou d'autres fonctions :

Citer
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Voir la description objets de stratégie de groupe (Group Policy Objects) dans la section Registre pour de plus amples détails.




■ Opera

FRST liste les clés et les profils Opera (si présents), que Opera soit installé ou non.

Pour l'instant, l'analyse se limite à StartMenuInternet, StartupUrls, Session Restore ainsi que les extensions :

Citer
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> est activé.
OPR Extension: (iWebar) - C:\Users\Utilisateur\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

Inclure un élément "StartupUrls" ou "Session Restore"' dans le fixlist provoque la suppression de cet élément.

Inclure un élément "Extension" dans le fixlist provoque le déplacement de l'extension. Inutile d'inclure le chemin d'accès séparément.

Bien que n'étant plus activé, l'élément affiché dans le panneau "Extensions" du navigateur ne sera pas supprimé. Utilisez les propres outils d'Opera, comme décrit ci-dessous :

  - Tapez chrome://extensions dans la barre d'adresse et validez par Entrée.
  - Pour supprimer chaque extension concernée, cliquez sur le X, puis sur OK.


Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.



********************

Services et Pilotes

Les Services et Pilotes sont présentés comme ceci :

ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomEntreprise)
Note : les paramètres ÉtatExécution et TypeDémarrage sont listés ensemble.

ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :

R=Actif
S=Arrêté
U=Indéterminé.

Les chiffres du "TypeDémarrage" sont:

0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.

Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.


FRST recherche plusieurs infections connues et vérifie la signature numérique des fichiers pour les Services et les Pilotes. Si un fichier n'est pas signé numériquement, cela sera signalé.

Exemple :
Citer
==================== Services (Avec liste blanche) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]

Un fichier système Microsoft qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande Replace:.

Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).

Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le fixlist. Tout fichier associé doit être inclus séparément.

Exemple :

R2 Khiufa; C:\Users\Utilisateur\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\Utilisateur\AppData\Roaming\Eepubseuig

L'outil va arrêter tout élément de service inclus dans le fixlist puis supprimer la clé du service.

Note: FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage.

Il y a deux exceptions où le service sera réparé au lieu d'être supprimé. Dans le cas de Themes et de Windows Management Instrumentation, s'il a été piraté par un malveillant, vous verrez quelque chose comme ceci :

Citer
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
Citer
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)


Si ces lignes sont incluses dans le fixlist, les éléments seront restaurés à leur valeur par défaut.

Note: Si FRST ne peut absolument pas accéder à un service, ce qui suit sera imprimé dans le rapport :

Citer
"1b36535375971e1b" => service n'a pas pu être déverrouillé. <===== ATTENTION

Ceci peut révéler des modifications créées par un rootkit ou une corruption du Registre. Il faut demander l'aide d'un expert afin d'identifier et de résoudre le problème.


********************

NetSvcs

Les éléments connus comme légitimes sont en liste blanche. Comme pour d'autres zones soumises à l'analyse et qui ont une liste blanche, cela ne signifie pas que les éléments apparaissant dans le rapport FRST.txt sont tous néfastes, mais simplement qu'ils doivent être contrôlés.

Les éléments NetSvc figurent chacun sur une ligne, comme ceci :

Citer
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> Pas de chemin du fichier


Note: L'inscription de Netsvc dans le fixlist supprime seulement la valeur associée du Registre. Le service associé (si présent dans la section Services) doit être inscrit séparément afin d'être supprimé.

Exemple :

Pour supprimer la valeur Netsvc, le service associé dans le Registre et le fichier associé, le script complet devrait ressembler à ceci :

S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi



********************

Un mois - Créés - fichiers et dossiers / Un mois - Modifiés - fichiers et dossiers

L'analyse "Un mois - Créés" liste la date et l'heure de création du fichier ou dossier suivies par la date et l'heure de dernière modification.
L'analyse "Un mois - Modifiés" liste la date et l'heure de dernière modification du fichier ou dossier suivies par la date et l'heure de création.
La taille (https://en.wikipedia.org/wiki/File_size) (nombre d'octets) du fichier est aussi listée. Un dossier affichera 00000000 car le dossier lui-même n'a pas d'octet.

Note : Pour éviter une durée d'analyse très importante et la production de rapports d'analyse extrêmement longs, l'analyse se limite à certains emplacements prédéfinis. De plus, FRST liste les dossiers personnalisés, mais pas leur contenu. Si vous voulez connaître le contenu d'un dossier personnalisé, utilisez la commande Folder:.

FRST ajoute des indications dans certains éléments du rapport d'analyse :

C - Compressé
D - Dossier
H - Caché
L - Lien symbolique
N - Normal (pas d'autres attributs définis)
O - Hors ligne
R - Lecture seule
S - Système
T - Temporaire
X - No scrub (Windows 8+)  - Attribut d'absence de fichier de nettoyage

Pour supprimer un fichier ou un dossier de l'une des listes "lors du dernier mois" copiez/collez simplement la totalité de la ligne dans le fixlist.

Les lignes pointant vers des liens symboliques (attribut L) sont gérées correctement.

Exemple :

2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Lien
Si la ligne est incluse dans le fixlist, FRST va supprimer uniquement le lien, laissant la cible intacte :

Citer
Lien symbolique trouvé(e): "C:\WINDOWS\system32\Lien" => "C:\Windows\System32\Cible"
"C:\WINDOWS\system32\Lien" => Lien symbolique supprimé(es) avec succès
C:\WINDOWS\system32\Lien=> déplacé(es) avec succès

La commande DeleteJunctionsInDirectory: peut aussi être utilisée.


Pour corriger d'autres fichiers/dossiers, leur chemin d'accès doit être inscrit dans le fixlist, les guillemets ne sont pas nécessaires pour un chemin d'accès comportant un espace :

c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible


Si vous avez de nombreux fichiers avec des noms similaires et si vous voulez les supprimer avec un seul script, le joker * peut être utilisé:

Vous pouvez soit inscrire tous les fichiers comme ceci :

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

soit simplement :

C:\Windows\Tasks\At*.job
Note: Un caractère "?" (point d'interrogation) sera ignoré pour des raisons de sécurité, qu'il soit un joker ou un caractère de substitution pour un caractère Unicode (voir le paragraphe Unicode (#post_unicode) sous Introduction). De plus, les jokers ne sont pas pris en charge pour les dossiers.





********************

Fichiers à déplacer ou supprimer

Les fichiers listés dans cette section sont ceux qui soit sont nuisibles, soit sont placés dans un mauvais emplacement.

Des exemples de fichiers légitimes sont les fichiers que les utilisateurs ont téléchargés et enregistrés dans le dossier de l'utilisateur [User]. Un autre exemple est quand un logiciel tierce partie légitime laisse un de ses fichiers dans le dossier de l'utilisateur. C'est une mauvaise habitude de la part de n'importe quel fournisseur de logiciel, et ces fichiers devraient être déplacés, même s'ils sont légitimes. Nous avons vu de nombreuses infections cachant leurs fichiers fictifs (apparemment légitimes mais en réalité des fichiers malveillants) dans ce répertoire et les exécutant à partir de là.

La façon de traiter ces fichiers/dossiers dans un correctif est la même que dans la section "Un mois - Créés - Modifiés -fichiers et dossiers" ci-dessus.



********************

Certains fichiers dans TEMP

C'est une recherche non récursive limitée à certaines extensions particulières, pour avoir une idée générale sur la présence d'un fichier nuisible dans la racine du dossier Temp. Cette section n'est pas présente si aucun fichier ne répond aux critères de recherche. Cela ne signifie pas que le dossier Temp est vide ou exempt de tout nuisible (par exemple, un nuisible pourrait se trouver dans un sous-dossier non analysé par FRST), mais seulement que rien ne satisfait aux critères spécifiques de recherche. Pour un nettoyage plus complet des fichiers temporaires, on peut utiliser la commande EmptyTemp:  (#post_emptytemp).



*******************

Known DLLs (DLLs connues)

Certains éléments dans cette section, s'ils sont absents ou modifiés [patchés] ou corrompus pourraient entraîner des problèmes d'amorçage [boot]. En conséquence, cette analyse apparaît uniquement lorsque l'outil est exécuté en mode RE (Environnement de récupération).

Les éléments sont en liste blanche à moins qu'ils ne nécessitent une vérification.

Il faut faire attention quand on s'occupe des éléments identifiés dans cette section. Soit un fichier est manquant, soit il semble avoir été modifié d'une manière quelconque. L'aide d'un expert est recommandée pour s'assurer que le fichier problématique est correctement identifié et traité de manière appropriée. Dans la majorité des cas, il existe sur le système un bon fichier de remplacement qui peut être trouvé avec la fonction de recherche de FRST. Voyez la section Instructions/Commandes (#post_commandes) (Exemples d'utilisation) de ce tutoriel pour savoir comment remplacer un fichier et la section Autres analyses facultatives (#post_autres2) pour savoir comment effectuer une recherche.



********************

Bamital & volsnap

Conçu principalement pour une recherche des malveillants Bamital (https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fBamital) et volsnap (https://home.mcafee.com/virusinfo/virusprofile.aspx?key=457262#none), il a maintenant été étendu pour détecter d'autres anomalies.

Des fichiers système modifiés peuvent vous alerter sur une possible infection malveillante. Quand l'infection est identifiée il faut faire attention lors des actions de réparation. L'aide d'un expert devrait être demandée car la suppression d'un fichier système pourrait empêcher le PC de démarrer.

Si un fichier n'a pas une signature numérique correcte, vous verrez à la place les propriétés du fichier.

Exemple tiré d'une infection Hijacker.DNS.Hosts :
Citer
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E


Dans ce cas, le fichier doit être remplacé par une copie valide. Utilisez la commande Replace:.

Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).

FRST vérifie le répertoire %SystemDrive%\Windows\System32\Drivers et liste les fichiers verrouillés.

Exemple dans le cas d'une infection SmartService (https://www.bleepingcomputer.com/news/security/smartservice-and-s5mark-acts-like-an-adware-bodyguard-by-blocking-antivirus-software/) :

Citer
C:\WINDOWS\system32\drivers\vdhmqtwa.sys -> Accès refusé <======= ATTENTION

Note : Les pilotes aléatoires du rootkit sont cachés et ne seront pas répertoriés dans la section Drivers en mode normal. Pour supprimer les pilotes et les fichiers verrouillés, utilisez le mode de récupération ou un autre outil avec des fonctionnalités anti-rootkit.

Certaines versions de l'infection SmartService désactivent le mode de récupération. FRST rectifie automatiquement la modification BCD lors d'une analyse :

Citer
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restauré(e) avec succès


Le moyen le plus sûr de démarrer en Mode sans échec est d'utiliser la touche F8 (https://support.microsoft.com/fr-fr/help/17419/windows-7-advanced-startup-options-safe-mode) au démarrage (Windows 7 et plus ancien) ou les Options avancées de démarrage (https://support.microsoft.com/fr-fr/help/12376/windows-10-start-your-pc-in-safe-mode) (Windows 10 et Windows 8). Dans certains cas, les utilisateurs utilisent l'"Utilitaire de configuration système" pour démarrer en Mode sans échec. Dans le cas où le mode sans échec est corrompu, l'ordinateur est bloqué et le système ne démarrera pas en mode normal parce qu'il est configuré pour un démarrage en Mode sans échec. Dans ce cas, vous verrez :

Citer
safeboot: ==> Le système est configuré pour démarrer en Mode sans échec <===== ATTENTION

Pour corriger le problème, inscrivez la ligne ci-dessus dans le fixlist. FRST va définir le mode normal comme mode par défaut et le système sortira de la boucle.

Note : Ceci s'applique à Windows Vista et aux versions ultérieures de Windows.



********************

Association

Note: la section "Association" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Dans l'Environnement de récupération, l'analyse se limite à l'association de fichier .exe.

Liste l'association de fichier .exe (valeur appliquée à la machine, HKLM) comme ceci :

Citer
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION

Comme avec les autres éléments du Registre, vous pouvez simplement copier/coller les éléments avec le problème dans le fixlist et ils seront rétablis. Pas besoin de créer des correctifs-Registre.



********************

Points de restauration

Note : la section "Points de restauration" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.

Les points de restauration sont listés.

Note : il n'y a que dans Windows XP que les ruches peuvent être restaurées en utilisant FRST. Les points de restauration listés sur Windows Vista et ultérieur doivent être restaurés depuis l'Environnement de récupération (RE) en utilisant les Options de récupération du système Windows.


Pour corriger, inscrivez la ligne du point de restauration que vous voulez restaurer dans le fixlist.

Exemple venant d'un PC sous XP :
Citer
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81


Pour restaurer les ruches à partir du point de restauration 82 (daté de 2010-10-24) la ligne sera copiée et collée dans le fixlist, comme ceci :

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
Pour un correctif de restauration à partir d'un logiciel de sauvegarde (Ruches sauvegardées par FRST, ERUNT ou CF) sur Windows Vista et ultérieur, reportez-vous à la section Instructions (#post_restorebackup) de ce tutoriel.



********************

Infos Mémoire

Note : la section "Infos Mémoire" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.

Vous indique la quantité de RAM (Random Access Memory) installée sur la machine ainsi que la mémoire physique disponible et le pourcentage de mémoire disponible. Parfois cela peut aider à expliquer les symptômes d'une machine. Par exemple le nombre affiché peut ne pas refléter ce que l'utilisateur pense avoir installé au niveau matériel. La RAM indiquée peut apparaître inférieure à ce qui est en fait sur la machine. Ceci peut se produire quand la machine ne peut pas accéder vraiment à toute la RAM qu'il a. Les causes possibles comprennent de la RAM défectueuse, ou un problème de connecteur [slot] sur la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (par exemple si le BIOS a besoin d'être mis à jour). De plus, pour les systèmes 32-bit avec plus de 4 Go de RAM installés, le montant maximal indiqué ne sera que 4 Go. C'est une limitation sur les applications 32-bit.

Les informations sur le processeur, la mémoire virtuelle et la mémoire virtuelle disponible sont aussi listées. 



********************

Lecteurs et MBR & Table des partitions

Note : La section "Lecteurs et MBR & Table des partitions" apparaîtra dans le rapport d'analyse FRST.txt quand FRST est exécuté depuis l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section apparaîtra dans le fichier Addition.txt


Énumère les lecteurs fixes et amovibles connectés à la machine au moment de l'analyse. Les volumes non montés sont identifiés par les chemins GUID du volume.

Citer
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

Schéma de partitionnement basé sur UEFI / GPT (https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/configure-uefigpt-based-hard-drive-partitions) : seule la disposition GPT (http://thestarman.narod.ru/asm/mbr/GPT.htm) de base est détectée, mais la liste complète des partitions n'est pas disponible.

Citer
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

Schéma de partitionnement basé sur le BIOS/MBR (https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/configure-biosmbr-based-hard-drive-partitions) : le code MBR (http://thestarman.narod.ru/asm/mbr/W7MBR.htm) et les entrées des partitions sont détectés. Cependant, les partitions logiques dans les partitions étendues ne sont pas répertoriées.

Citer
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)


Quand il y a une indication que quelque chose ne va pas avec le MBR, une vérification du MBR peut être indiquée. Pour ce faire, on doit obtenir un vidage [dump] du MBR. Voici comment :

Exécutez le correctif suivant avec FRST en mode quelconque :

SaveMbr: drive=0 (ou numéro de lecteur adéquat)

Ce faisant, un fichier MBRDUMP.txt sera enregistré à l'emplacement à partir duquel FRST/FRST64 a été exécuté.

Note : bien qu'un vidage du MBR puisse être obtenu en mode normal comme en mode RE, certaines infections du MBR sont capables de contrefaire le MBR quand Windows est chargé. En conséquence, il est conseillé de faire ceci dans l'Environnement de récupération (RE).



********************

LastRegBack:

FRST cherche dans le système et liste la dernière sauvegarde du Registre effectuée par le système. La sauvegarde du Registre contient une sauvegarde de toutes les ruches. C'est différent de la sauvegarde LKGC [Last Known Good Configuration - Dernière configuration correcte connue] du ControlSet.

Il y a plusieurs raisons pour lesquelles vous pouvez vouloir utiliser cette sauvegarde pour résoudre un problème, mais fréquemment c'est quand une perte ou une corruption s'est produite.

Vous pouvez voir ceci dans l'entête de FRST :

Citer
ATTENTION: Impossible de charger la ruche System


Pour corriger, inscrivez simplement la ligne dans le fixlist comme ceci :

LastRegBack: >>date<< >>heure<<

Exemple :

LastRegBack: 2013-07-02 15:09


.
Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:03:28
Analyse supplémentaire (Addition.txt)



Entête

L'entête du rapport d'analyse Addition.txt contient un bref résumé d'informations utiles.

Voici un exemple d'entête :

Citer
Résultats de l'Analyse supplémentaire de Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Exécuté par Utilisateur (21-10-2017 14:16:13)
Exécuté depuis C:\Users\Utilisateur\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Mode d'amorçage: Normal

1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé.

2ème ligne : montre quel utilisateur a exécuté l'outil, ainsi que les date et heure d'exécution.

3ème ligne : vous dit depuis quel emplacement FRST a été lancé.

4ème ligne : montre la version de Windows ainsi que sa date d'installation.

5ème ligne : vous dit dans quel mode l'analyse a été exécutée



********************

Comptes

Liste les comptes d'utilisateur standard présents sur le système, dans le format suivant :
Nom du compte local (SID du compte -> Privilèges - Activé/Désactivé) => Chemin du profil. Les noms de comptes Microsoft ne sont pas affichés.

NdT : SID = Security IDentifier, identifiant unique de sécurité alphanumérique attribué par le système.

Exemple:
Citer
Administrateur (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrateur
Utilisateur (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\Utilisateur
Invité (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)



********************

Centre de sécurité

Vous pouvez découvrir que la liste contient des résidus d'un programme de sécurité précédemment désinstallé.
Dans ce cas, la ligne peut être incluse dans le fixlist afin qu'elle soit supprimée.
Certains programmes de sécurité (comme Spybot S&D) empêchent la suppression de l'élément s'ils ne sont pas totalement désinstallés.
Dans ce cas, au lieu de la confirmation de la suppression, vous verrez dans le rapport de correction Fixlog :
Citer
Entrée Centre de sécurité => L'élément est protégé. Vérifiez que le logiciel est désinstallé et que ses services sont supprimés.



********************

Programmes installés

Liste les programmes de bureau classiques. Les applications "modernes" installées via Windows Store ou préinstallées sur Windows 10/8 sont exclues.
FRST a une base de données interne qui permet de marquer de nombreux programmes publicitaires/potentiellement indésirables (adware/PUP).
Exemple :
Citer
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version:  - Mindspark Interactive Network) <==== ATTENTION
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version:  - ) <==== ATTENTION

Il est fortement conseillé de désinstaller tous les programmes ainsi marqués avant d'exécuter un programme automatique pour supprimer les logiciels publicitaires. Le désinstalleur du logiciel publicitaire supprime la majorité de ses éléments et annule les modifications de la configuration.
 
Dans les cas où des programmes ne sont pas affichés dans la liste des programmes installés de l'utilisateur, mais sont présents, FRST va les lister en leur ajoutant une étiquette (Hidden), comme ceci :
Citer
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden

Ces programmes ne sont pas obligatoirement néfastes ... ils sont simplement cachés. Ils ont dans le Registre une valeur nommée "SystemComponent" avec un REG_DWORD positionné à 1.
Ces programmes ne sont pas visibles dans Ajout/Suppression de programmes (XP) ou Programmes et fonctionnalités (Vista et ultérieur) et l'utilisateur ne peut pas les désinstaller depuis ce menu.
FRST peut supprimer la valeur "SystemComponent" et ainsi rendre le programme visible.

Si l'élément trouvé dans le rapport Addition.txt est inclus dans le fixlist, vous verrez :
Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff \\SystemComponent => Valeur supprimé(es) avec succès.

Note : Ce correctif ne fait que rendre le programme visible, il ne désinstalle pas le programme. Le programme devra être désinstallé par l'utilisateur.

Comme indiqué ci-dessus, tout programme caché n'est pas néfaste. Il existe de nombreux programmes légitimes (y compris des programmes Microsoft) qui sont cachés à juste titre.



********************

Personnalisé CLSID

Liste les entrées des classes personnalisées créées dans les ruches de Registre de l'utilisateur, ShellIconOverlayIdentifiers, ContextMenuHandlers et FolderExtensions.


Exemples :

Citer
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== ATTENTION

Citer
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-01] ()

Citer
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] ()

Pour corriger des éléments nuisibles, ajoutez-les simplement dans le fixlist et FRST va supprimer les clés du registre. Le fichier/dossier associé doit être indiqué séparément pour être déplacé.

Note : des programmes tiers légitimes peuvent créer un CLSID personnalisé, donc faites attention et ne supprimez pas d'élément légitime.
[NdT : CLSID vient de CLasS IDentifier, terme utilisé par Microsoft pour désigner un "identificateur globalement unique" (GUID -Globally Unique IDentifier).]


********************

Tâches planifiées

Les tâches planifiées non en liste blanche sont montrées. Quand un élément est inscrit dans un fixlist, la tâche elle-même est corrigée.

Exemple :
Citer
fixlist contenu:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\FocusPick => déplacé(es) avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => clé supprimé(es) avec succès
C:\windows\Tasks\FocusPick.job => déplacé(es) avec succès.


Notez bien que FRST ne fait que supprimer les éléments du Registre et déplacer le fichier de la tâche mais il ne déplace pas l'exécutable.
Si l'exécutable est néfaste, il doit être ajouté sur une ligne distincte dans le fixlist afin qu'il soit déplacé.
 Note : un malveillant peut utiliser un exécutable légitime (par exemple, utiliser sc.exe pour lancer ses propres services) pour exécuter son propre fichier.
En d'autres termes, vous devez vérifier l'exécutable pour déterminer s'il est légitime ou non avant d'agir.




********************

Raccourcis et WMI

Les raccourcis piratés ou suspects situés dans le dossier utilisateur de celui qui a ouvert la session et dans le dossier racine de C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes [C:\ProgramData\Microsoft\Windows\Start Menu\Programs] et C:\Utilisateurs\Public\Bureau [C:\Users\Public\Desktop] sont listés.

Les éléments peuvent être inclus dans un fixlist pour correction - voir Shortcut.txt (#post_shortcut) dans Autres analyses facultatives (#post_autres2) ci-dessous.

Note : Une analyse Shortcut.txt contient tous les raccourcis de tous les utilisateurs, alors que le rapport d'analyse dans Addition.txt contient seulement les raccourcis piratés/suspects trouvés dans le profil de l'utilisateur ayant ouvert la session.

Dans le cas d'une infection WMI malware (https://www.bleepingcomputer.com/news/security/yeabests-cc-a-fileless-infection-using-wmi-to-hijack-your-browser/) qui détourne les raccourcis, vous verrez un avertissement comme ceci :
Citer
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION

Pour supprimer le script nuisible, placez la ligne ci-dessus dans le fixlist.



********************

Modules chargés

Les modules chargés sont filtrés en fonction de la présence d'un Nom d'Entreprise. Autrement dit, les éléments sans Nom d'Entreprise sont listés. Gardez ceci à l'esprit, car il pourrait arriver qu'un module nuisible ayant un Nom d'Entreprise ne soit pas listé lors de cette analyse.



********************

Alternate Data Streams (Flux de Données Additionnels)

FRST liste les Flux de Données Additionnels [ADS - Alternate Data Streams] comme ceci :

Citer
==================== Alternate Data Streams (Avec liste blanche) ==========

AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]
AlternateDataStreams: C:\malveillant:nuisible.exe [134]

Note : La taille de l'ADS (nombre d'octets qu'il contient) est affichée entre crochets après le chemin d'accès.

Si l'ADS est sur un fichier/dossier légitime, la correction consistera à copier/coller la totalité de la ligne depuis le rapport d'analyse dans le fixlist.

Exemple :
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]

S'il est sur un fichier/dossier nuisible, ce sera :
C:\malveillant

Dans le premier cas, FRST supprime seulement l'ADS du fichier/dossier.

Dans le second cas, le fichier/dossier est supprimé.



********************

Mode sans échec

Les éléments par défaut sont en liste blanche. Donc si la section est vide, cela signifie qu'il n'y a pas d'élément particulier dans le système.
Si l'une des clés principales (SafeBoot, SafeBoot\Minimal et SafeBoot\Network) est absente, cela sera signalé. Dans ce cas, il faut la réparer manuellement.
S'il y a un élément créé par un nuisible, il peut être inclus dans le fixlist afin qu'il soit supprimé.



********************

Association - Voir Association (#post_association) précédemment dans le tutoriel

Liste les associations de fichier .bat, .cmd, .com, .exe, .reg et .scr
Les éléments par défaut sont en liste blanche, donc si aucun élément n'a été ajouté ou modifié rien n'apparaîtra dans le rapport.
Quand un élément par défaut est inclus dans le fixlist, la valeur par défaut sera restaurée. Tout élément créé par l'utilisateur, s'il est inclus dans le fixlist, sera supprimé.



********************

Internet Explorer sites de confiance/sensibles

Liste les sites de confiance/sensibles d'Internet Explorer.

Si un élément est inclus dans le fixlist, l'élément associé sera supprimé du Registre.



********************

Hosts contenu - Voir Hosts (#post_hosts1) précédemment dans le tutoriel

Fournit de plus amples détails relatifs au fichier hosts: les propriétés du fichier hosts ainsi que les 30 premières lignes actives. Les lignes inactives (mises en commentaire) sont masquées.

Exemple :
Citer
2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

Les lignes ne peuvent être traitées individuellement. Pour restaurer le fichier, utilisez la commande Hosts: ou placez la ligne d'avertissement concernant le fichier hosts (fichier d'analyse FRST.txt) dans le fixlist.



********************

Autres zones

Ce paragraphe regroupe certains éléments analysés par FRST qui ne sont pas répertoriés ailleurs. Actuellement dans ce paragraphe, FRST liste les chemins d'accès de l'arrière-plan du Bureau (Papier peint), les serveurs DNS, les paramètres du Contrôle de compte d'utilisateur (UAC - User Account Control) et l'état du Pare-feu Windows. 
FRST ne fait que lister ces éléments. Pour l'instant, il n'y a pas de correction automatique.


Arrière-plan du Bureau (Wallpaper)

Plusieurs variantes de nuisibles cryptant les fichiers (crypto-malware) utilisent ce paramètre afin d'afficher un écran de demande de rançon.
Exemple :
Citer
Exemple de chemin d'accès normal:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Exemple de chemin d'accès et de fichier nuisibles :
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Utilisateur\My Documents\!Decrypt-All-Files-scqwxua.bmp

Dans le cas d'un nuisible, le chemin d'accès du fichier peut être placé dans un fixlist, ainsi que tous les fichiers associés listés dans le rapport d'analyse FRST.txt.

Note : Supprimer le fichier du Papier peint installé par le nuisible va supprimer l'arrière-plan du Bureau.
L'utilisateur doit re-paramétrer cet arrière-plan du Bureau :
- Sous Windows XP, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Propriétés, cliquez sur l'onglet Bureau, sélectionnez l'une des images disponibles, puis cliquez sur Appliquer et OK.
- Sous Windows Vista et ultérieur, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Personnaliser, sélectionnez Arrière-plan du Bureau, sélectionnez l'une des images disponibles, puis cliquez sur OK




Serveurs DNS (DNS Servers)

Les serveurs DNS sont listés. Ceci est utile pour détecter un piratage DNS/Routeur.
Exemple :
Citer
DNS Servers: 213.46.228.196 - 62.179.104.196

Cherchez l'adresse sur WhoisLookup (http://whois.domaintools.com/) pour savoir si le serveur est légitime ou non.

Note : La liste des serveurs ne provient pas du Registre, donc le système doit être connecté à internet.

Si FRST est exécuté en Mode sans échec, ou si le système n'est pas connecté à internet, vous verrez :
Citer
DNS Servers: "Le média n'est pas connecté à internet."



Paramètres du Contrôle de compte d'utilisateur (UAC - User Account Control)

Activé (paramètre par défaut) :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Désactivé :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Il peut en être ainsi parce que l'utilisateur a désactivé le Contrôle de compte d'utilisateur (UAC), ou comme effet secondaire de l'activité d'un malveillant. A moins qu'il soit évident que la cause est malveillante, il faut interroger l'utilisateur avant de tenter une correction.



SmartScreen (Windows 8+)

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Donnée de la valeur)

Données de la valeur prises en charge par Windows : Block | Warn | Off (Windows 10 Version 1703+) ou RequireAdmin | Prompt | Off (systèmes plus anciens).

Une donnée manquante (paramètre par défaut sur Windows 10 Version 1703+) ou vide sera signalée de la manière suivante :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )



Pare-feu Windows (Windows Firewall)

Exemple :
Citer
Windows Firewall est activé.

Que le Pare-feu Windows soit activé ou désactivé est aussi signalé. Quand FRST est exécuté en Mode sans échec, ou s'il existe un problème avec le système, il n'y aura aucune ligne à propos du Pare-feu.



********************

MSCONFIG/TASK MANAGER éléments désactivés

Le rapport d'analyse est utile lorsqu'un utilisateur a utilisé MSCONFIG ou TASK MANAGER [Gestionnaire des tâches] pour désactiver des éléments nuisibles au lieu de les supprimer. Ou bien, s'il a désactivé trop d'éléments et si certains services ou applications indispensables ne peuvent plus s'exécuter correctement.

Exemples :

MSCONFIG dans Windows 7 et systèmes antérieurs :
Citer
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^Utilisateur^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Ce qui se lit comme ceci :

Services désactivés :
Citer
MSCONFIG\Services: NomService => Type de démarrage d'origine

Éléments désactivés dans le dossier Démarrage :
Citer
MSCONFIG\startupfolder: Chemin d'accès d'origine (avec "\" remplacé par "^" par Windows) => Chemin de la sauvegarde créée par Windows.

Éléments Run désactivés :
Citer
MSCONFIG\startupreg: NomValeur => Chemin du fichier.


TASK MANAGER dans Windows 8 et Windows 10 :
Citer
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"


Note : Windows 8 et ultérieurs utilisent msconfig seulement pour les services. Les éléments du démarrage sont déplacés vers le Gestionnaire de tâches [Task Manager] qui stocke les éléments désactivés dans plusieurs clés. Un élément désactivé non-absent est listé deux fois : dans FRST.txt (section Registre) et dans Addition.txt.

Les éléments peuvent être inclus dans un fixlist afin de les supprimer. FRST exécutera les actions ci-dessous:
 - Dans le cas des services désactivés, FRST va supprimer la clé créée par MSCONFIG et le service lui-même.
 - Dans le cas des éléments Run désactivés, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches]. L'élément Run lui-même sur les systèmes plus récents sera également supprimé.
 - Dans le cas des éléments dans les dossiers Démarrage, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches] et déplacer la sauvegarde du fichier créée par Windows (sur les anciens systèmes) ou le fichier lui-même (sur les systèmes plus récents).

Important: Ne corrigez un élément dans cette section que si vous êtes sûr qu'il s'agit d'un élément malveillant. Si vous doutez de la nature de l'élément, ne le corrigez pas afin d'éviter la suppression d'éléments légitimes. Dans le cas d'éléments légitimes désactivés qui devraient être activés, il faut donner à l'utilisateur des instructions pour qu'il les active via l'utilitaire MSCONFIG ou le Gestionnaire des tâches [Task Manager].



********************

Règles Pare-feu

Liste les règles du pare-feu (FirewallRules), les applications autorisées (AuthorizedApplications), ainsi que les ports globalement ouverts (GloballyOpenPorts).

Exemple (Windows 10) :
Citer
FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

NdT: Allow = Autoriser, Block = Bloquer.

Exemple (XP) :
Citer
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

NdT: Enabled = Autorisé, Disabled = Bloqué.

Si un élément est inclus dans un fixlist, il sera supprimé du Registre. Aucun fichier éventuel ne sera déplacé.



********************

Points de restauration - Voir Points de restauration (#post_restauration) précédemment dans le tutoriel.

Liste les Points de restauration disponibles dans le format suivant :

Citer
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

Si la fonction est désactivée, cela sera signalé :

Citer
ATTENTION: La Restauration système est désactivée



********************

Éléments en erreur du Gestionnaire de périphériques

Exemple :

Citer
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.



********************

Erreurs du Journal des événements

- Erreurs Application
- Erreurs système
- Erreurs CodeIntegrity [Erreurs Intégrité du code]
- Erreurs Windows Defender et avertissements



********************

Infos Mémoire

Voir Infos Mémoire (#post_memoire) précédemment dans le tutoriel.



********************

Lecteurs



********************

MBR & Table des partitions

Voir Lecteurs et MBR & Table des partitions (#post_lecteurs) précédemment dans le tutoriel.



Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:04:06
Autres analyses facultatives



********************

Analyses facultatives

En cochant une case sous "Analyse facultative", FRST va analyser les éléments demandés.



********************

Liste BCD

Les données du BCD [Magasin de données de configuration de démarrage - Boot Configuration Data] (https://fr.wikipedia.org/wiki/Boot_Configuration_Data) sont listées ([BCD, en anglais] (https://en.wikipedia.org/wiki/Windows_Vista_startup_process#Boot_Configuration_Data)).



********************

MD5 Pilotes

Va générer une liste des pilotes avec leur somme de contrôle MD5 qui ressemblera à ceci :

Citer
========================== MD5 Pilotes =======================

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451

On peut alors vérifier leur validité.



********************

Shortcut.txt

Liste tous les types de raccourcis de tous les comptes standard. Les éléments piratés peuvent être inclus dans le fixlist afin qu'ils soient restaurés ou supprimés.

Exemple :
Citer
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

NdT : sur certains systèmes, les noms apparaissant dans les chemins d'accès peuvent être francisés, selon les équivalences ci-dessous:
(sans module complémentaire) <==> (No Add-ons)
Accessoires <==> Accessories
Bureau <==> Desktop
Menu Démarrer <==> Start Menu
Outils système <==> System Tools
Programmes <==> Programs


Pour corriger les lignes ShortcutWithArgument:, faites simplement un copier-coller de ces lignes dans le fixlist. Mais pour supprimer les objets Shortcut:, vous devez ajouter les chemins d'accès séparément dans le correctif.

Un script de correction complet ressemblerait à ceci :
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk


Note : FRST supprime l'argument des raccourcis sauf pour le raccourci Internet Explorer (No Add-ons).lnk. Par défaut l'argument de ce raccourci n'est pas vide (l'argument est -extoff) et il est utilisé pour lancer Internet Explorer sans modules complémentaires. Il est vital pour dépanner les problèmes sur IE, et donc cet argument de raccourci sera restauré.

Notez aussi que si vous avez utilisé un autre outil de nettoyage pour supprimer l'argument de Internet Explorer (No Add-ons).lnk, FRST ne le listera pas sous ShortcutWithArgument:, et donc l'argument ne pourra plus être restauré avec FRST. Dans ce cas, l'utilisateur peut restaurer l'argument manuellement.

Pour restaurer l'argument manuellement, l'utilisateur doit aller (via l'Explorateur) jusqu'à Internet Explorer (No Add-ons).lnk :

Faire un clic droit dessus et choisir Propriétés.

Dans la zone Cible ajouter deux espaces puis -extoff au chemin d'accès affiché.

Cliquer sur Appliquer puis OK.



********************

Fichiers 90 jours

Si l'option "Fichiers 90 jours" est cochée, FRST listera dans le rapport d'analyse "Trois mois - Créés/Modifiés - fichiers et dossiers" au lieu de "Un mois - Créés/Modifiés - fichiers et dossiers".



********************

Fonctions de recherche


■ Recherche de fichiers

Il y a un bouton Chercher fichiers dans la fenêtre de programme de FRST. Pour rechercher des fichiers, vous pouvez saisir, ou copier/coller, leurs noms dans la zone de recherche [Chercher:]. Les jokers sont permis. Si vous avez besoin de rechercher plus d'un fichier, les noms des fichiers doivent être séparés par un point-virgule ;

terme;terme
*terme*;*terme*

Quand il a cliqué sur le bouton Chercher fichiers, l'utilisateur est informé que la recherche est lancée [La recherche est en cours, veuillez patienter...], une barre de progression apparaît, puis un message s'affiche indiquant que la recherche est terminée [Chercher terminé(e)]. Un fichier rapport de recherche Search.txt est enregistré dans le dossier à partir duquel FRST.exe/FRST64.exe a été exécuté.

Les fichiers trouvés sont listés avec leurs date de création, date de modification, taille, attributs, Nom d'entreprise, MD5, et signature numérique dans le format suivant :

Citer
C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Le fichier est signé numériquement]

Note: La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).

La recherche de fichiers est limitée au lecteur système. Dans certains cas, un fichier système légitime est absent ou corrompu, ce qui provoque des problèmes d'amorçage (boot), et il n'existe aucun fichier de remplacement sur le système. Quand l'option de recherche de fichiers (Chercher) est utilisée en mode de récupération (Vista et ultérieur), la recherche inclut aussi les fichiers dans X: (le lecteur d'amorçage virtuel). Dans certains cas, cela peut sauver la vie. Un exemple est l'absence de services.exe qui pourrait être copié de X:\Windows\System32 vers C:\Windows\System32.

Note : La partition X: ne contiendra que les exécutables 64-bit pour les systèmes 64-bit.

Le bouton "Chercher Fichiers" peut être utilisé pour effectuer des recherches supplémentaires, voir FindFolder: (#post_findfolder) et SearchAll: (#post_searchall) ci-dessous. Les résultats seront enregistrés dans le journal Search.txt.



■ Recherche dans le Registre

Il y a un bouton Chercher Registre dans la fenêtre de programme de FRST. Vous pouvez saisir, ou copier/coller, les noms des éléments que vous souhaitez rechercher dans la zone de recherche [Chercher:]. Si vous voulez rechercher plus d'un élément, les noms doivent être séparés par un point-virgule ;

terme;terme
Contrairement à une recherche de fichiers, lorsqu'on effectue une recherche dans le Registre, l'ajout de jokers dans les termes de recherche doit être évité car ces caractères jokers seront interprétés littéralement. Quand un joker ("*" ou "?") est ajouté au début ou à la fin d'un terme de recherche dans le Registre, FRST va l'ignorer et rechercher ce terme de recherche sans ce caractère.

Un fichier journal SearchReg.txt est enregistré dans le dossier à partir duquel FRST/FRST64 a été lancé.

Note: La fonction de recherche dans le Registre ne fonctionnera qu'en dehors de l'environnement de récupération (RE).



■ FindFolder:

Pour rechercher un ou plusieurs dossiers sur le lecteur système, renseignez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :

FindFolder: terme;terme
Les jokers sont autorisés.

FindFolder: *terme*;*terme*


■ SearchAll:

Pour effectuer une recherche complète (fichiers, dossiers, registre) pour un ou plusieurs termes, entrez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :

SearchAll: terme;terme
N'ajoutez pas de joker au(x) terme(s). FRST interprète automatiquement le terme comme *terme(s)* dans le cas de fichiers et de dossiers.
 
Note :Dans l'environnement de récupération, la recherche complète effectuée est limitée aux fichiers et dossiers.



.
Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:05:15
Instructions/Commandes


Toutes les commandes/instructions dans FRST doivent être sur une seule ligne car FRST traite le script ligne par ligne.

Note: Les instructions/commandes sont insensibles à la casse.


********************

Catalogue des instructions/commandes



■ À utiliser seulement en Mode normal

CreateRestorePoint: (#post_createrestore)
TasksDetails: (#post_taskdetails)



■ À utiliser seulement en Mode normal et en Mode sans échec

CloseProcesses:  (#post_closeprocesses)
EmptyTemp:  (#post_emptytemp)
Powershell: (#post_powershell)
Reboot: (#post_reboot)
RemoveProxy: (#post_removeproxy)
StartPowershell: - EndPowershell: (#post_startendpws)
VerifySignature: (#post_verifysignature)
VirusTotal: (#post_virustotal)
Zip: (#post_zip)



■ À utiliser en Mode normal, en Mode sans échec et dans l'Environnement de récupération (RE)

cmd: (#post_cmd)
Copy: (#post_copy)
CreateDummy: (#post_createdummy)
DeleteJunctionsInDirectory: (#post_deletejunctions)
DeleteKey: et DeleteValue: (#post_deletekey)
DeleteQuarantine: (#post_deletequarantine)
DisableService: (#post_disableservice)
ExportKey: et ExportValue: (#post_exportkey)
File: (#post_filefolder)
FilesInDirectory: et Folder: (#post_filesInDirectory)
FindFolder: (#post_findfolder2)
Hosts:  (#post_hosts)
ListPermissions: (#post_listpermissions)
Move: (#post_move)
Reg: (#post_reg)
RemoveDirectory: (#post_removedirectory)
Replace: (#post_replace)
RestoreQuarantine: (#post_restorequarantine)
SaveMbr: (#post_savembr)
SetDefaultFilePermissions: (#post_setdefault)
StartBatch: - EndBatch: (#post_startendbatch)
StartRegedit: - EndRegedit: (#post_startendreg)
testsigning on: (#post_testsigning)
Unlock: (#post_unlock)



■ À utiliser seulement dans l'Environnement de récupération (RE)

LastRegBack (#post_lastregback)
RestoreErunt: (#post_restoreerunt)
Restore From Backup: (#post_restorebackup)
RestoreMbr: (#post_restorembr)




Exemples d'utilisation


********************

CloseProcesses:

Arrête tous les processus non essentiels. Contribue à rendre la correction plus efficace et plus rapide.

Exemple :
CloseProcesses:
Quand cette commande est incluse dans un correctif, elle provoquera automatiquement un redémarrage. Il n'est pas nécessaire d'utiliser la commande Reboot:. La commande CloseProcesses: n'est pas nécessaire ni disponible dans l'Environnement de récupération.



********************

CMD:

Parfois vous avez besoin d'exécuter une commande CMD. Dans ce cas vous devez utiliser l'instruction "CMD:".

Le script sera :

Citer
CMD: commande

S'il y a plus d'une commande, commencez chaque ligne par CMD: pour avoir un résultat dans le rapport de correction pour chaque commande.

Exemple :
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr

La première commande va copier les fichiers minidump sur la clé USB (si la lettre de lecteur de la clé USB est E).
La seconde commande est utilisée pour corriger le MBR dans Windows Vista et versions ultérieures.

On peut également utiliser les commandes StartBatch: - EndBatch: (voir ci-dessous).

Note : Contrairement aux instructions natives ou autres instructions de FRST, les commandes CMD doivent avoir la syntaxe correcte de cmd.exe, comme l'utilisation de guillemets (") en cas de présence d'un espace dans le chemin d'accès du fichier/dossier.



********************

Copy:

Pour copier des fichiers ou des dossiers dans un style similaire à xcopy.

La syntaxe est :

Copy: source fichier/dossier destination dossier
Le dossier de destination sera automatiquement créé (s'il n'est pas présent).

Exemple :

Citer
Copy: C:\Users\Utilisateur\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\Utilisateur\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

Note : Pour remplacer des fichiers individuels, il est recommandé d'utiliser la commande Replace:
Dans le cas d'un fichier cible existant, Copy: essaie seulement d'écraser le fichier, tandis que Replace: tente en outre de déverrouiller et de déplacer le fichier en quarantaine.




********************

CreateDummy:

Crée un fichier/dossier factice verrouillé pour empêcher la restauration de fichiers nuisibles. Le dossier factice doit être supprimé après avoir neutralisé le malware.

La syntaxe est :

CreateDummy: Chemin
Exemple :

Citer
CreateDummy: C:\Windows\System32\nuisible.exe
CreateDummy: C:\ProgramData\Nuisible



********************

CreateRestorePoint:

Pour créer un point de restauration.

Exemple :
CreateRestorePoint:
Note : Cette commande n'est utilisable qu'en mode normal. Elle ne fonctionnera pas si le service de Restauration système a été désactivé.



********************

DeleteJunctionsInDirectory:

Pour supprimer les jonctions utilisez la syntaxe suivante :

Citer
DeleteJunctionsInDirectory: Chemin

Exemple :
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
 

********************

DeleteKey: et DeleteValue:

La méthode la plus efficace pour supprimer des clés/valeurs, contournant les limitations des algorithmes de suppression standards présents dans Reg: et StartRegedit: - EndRegedit :.

La synthaxe est :

1. Pour supprimer des clés :
Citer
DeleteKey: clé

Alternativement, le format regedit peut être utilisé :
Citer
[-clé]

2. Pour supprimer des valeurs :
Citer
DeleteValue: clé|valeur

Si la valeur est une valeur par défaut, laissez le nom de la valeur vide :
Citer
DeleteValue: clé|

Exemples :
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

Les commandes sont capables de supprimer des clés/valeurs qui sont verrouillées en raison d’autorisations insuffisantes, des clés/valeurs qui contiennent des caractères NULL incorporés (embedded-null characters) et des liens symboliques de registre.
La commande Unlock: est inutile.

Pour les clés/valeurs qui sont protégées par un logiciel en cours d’exécution (réponse "Accès refusé") vous devez utiliser le Mode sans échec (pour contourner le logiciel en cours d’exécution) ou supprimer les principaux composants avant d’utiliser les commandes.

Note : Si la clé inscrite pour la suppression est un lien de Registre vers une autre clé, la clé (source) qui est le lien symbolique de Registre sera supprimée. La clé cible ne sera pas supprimée. Ceci est fait pour éviter de supprimer à la fois un mauvais lien symbolique de Registre qui pourrait pointer vers une clé légitime et la clé légitime elle-même. Dans le cas où la clé source et la clé cible sont nuisibles, les deux doivent être inscrites pour suppression.




********************

DeleteQuarantine:

Après la fin du nettoyage, le dossier %SystemDrive%\FRST (en général C:\FRST) créé par l'outil FRST doit être supprimé de l'ordinateur. Dans certains cas le dossier ne peut pas être supprimé manuellement parce que le dossier %SystemDrive%\FRST\Quarantine contient des fichiers ou dossiers malveillants verrouillés ou bizarres. La commande DeleteQuarantine: va supprimer le dossier Quarantine.

Les outils qui déplacent les fichiers au lieu de les supprimer ne doivent pas être utilisés pour supprimer %SystemDrive%\FRST car ces outils se contentent de déplacer les fichiers dans leur propre dossier et ils resteront quand même sur le système.

Il suffit simplement d'inscrire la commande dans un fixlist comme ceci :
DeleteQuarantine:
Note : La désinstallation automatique de FRST (voir la description dans Introduction) inclut la même possibilité de suppression d'une quarantaine verrouillée.



********************

DisableService:

Pour désactiver un service ou un service de pilote, vous pouvez utiliser le script suivant :

Citer
DisableService: NomService

Exemple :
DisableService: sptd
DisableService: Wmware Nat Service

FRST va positionner le service sur Désactivé et le service ne sera pas lancé lors du démarrage suivant.

Note : Le nom du service doit être inscrit comme il apparaît dans le Registre ou le rapport d'analyse de FRST, sans rien ajouter. Par exemple, les guillemets ne sont pas nécessaires.



********************

EmptyTemp:

Les dossiers suivants sont vidés :
 - Fichiers temporaires de Windows.
 - Dossiers temporaires de l'utilisateur.
 - Cache, cookies, historique et zones de stockage HTML5 pour Edge, IE, FF, Chrome et Opera (Note: l'historique de Firefox n'est pas supprimé).
 - Cache des fichiers ouverts récemment.
 - Cache de Flash Player.
 - Cache de Java.
 - Cache HTML de Steam
 - Cache des miniatures et des icônes de l'Explorateur
 - File d'attente de transfert BITS (fichiers qmgr*.dat)
 - Corbeille.

Si la commande EmptyTemp: est utilisée, il y aura redémarrage du système après la correction. Inutile d'utiliser la commande Reboot:.
De plus, peu importe si EmptyTemp: est placée au début, au milieu ou à la fin du fixlist, elle sera exécutée après le traitement de toutes les autres lignes du fixlist.

Important : Quand la commande EmptyTemp: est utilisée, les éléments sont supprimés définitivement. Ils ne sont pas déplacés dans la quarantaine.

Note : La commande est désactivée dans l'Environnement de récupération pour éviter tout dommage.



********************

ExportKey: et ExportValue:

Moyen plus fiable pour inspecter le contenu d'une clé, les commandes permettent de surmonter certaines limitations de regedit.exe et reg.exe.
Les différences des commandes portent sur l'export.
ExportKey: liste toutes les valeurs et les sous-clés récursivement, tandis que ExportValue: affiche uniquement les valeurs de la clé.
 
La syntaxe est :

Citer
ExportKey: clé

Citer
ExportValue: clé

Exemple :
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte
Citer
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte]
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé invalide ]
"Valeur cachée"="Donnée cachée"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée]
HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée => Accès refusé.

=== Fin de ExportKey ===

Note : L'export est destiné uniquement à des fins de recherche et ne peut pas être utilisé pour des opérations de sauvegarde et d'importation.



********************

File:

Pour vérifier les propriétés d'un fichier. Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.

Citer
File: chemin;chemin

Exemple :
File: C:\Users\Utilisateur\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe
Citer
========================= File: C:\Users\Utilisateur\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================

Fichier non signé
MD5: 4793A9663376EF3A9044E07A9A45D966
Dates de création et modification : 2017-07-30 12:04 - 2017-07-30 12:04
Taille : 000242688
Attributs : ----A
Nom Entreprise :
Nom Interne : wmplayer.exe
Nom D'origine : wmplayer.exe
Produit : Windows Media Player
Description : Windows Media Player
Fichier Version : 1.0.0.0
Produit Version: 1.0.0.0
Copyright : Copyright ©  2017
VirusTotal : https://www.virustotal.com/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9/analysis/1503093556/

====== Fin de File: ======

Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).

Note : La commande File: ne déclenche pas de téléchargement automatique vers VirusTotal, contrairement à la commande VirusTotal:.


********************

FilesInDirectory: et Folder:

Pour vérifier le contenu d'un dossier. FilesInDirectory: est destiné à répertorier des fichiers spécifiques correspondant à un ou plusieurs modèles avec joker *, tandis que Folder: est conçu pour obtenir le contenu complet d'un dossier. La sortie des deux commandes inclut les sommes de contrôle MD5.

La syntaxe est :

Citer
FilesInDirectory: chemin\modèle;modèle

Citer
Folder: chemin

Exemple :

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

Citer
========================= FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll ========================

2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe

====== Fin de Filesindirectory ======

========================= Folder: C:\Windows\desktop-7ec3qg0 ========================

2017-10-05 11:11 - 2016-03-28 15:22 - 000000407 ____A [4FED6C66502829268459034D6A2D51F6] () C:\Windows\desktop-7ec3qg0\config.txt
2017-10-05 11:11 - 2016-02-07 07:10 - 000000021 ____A [141C4B266FCC6204D7EE7C6EDCCC2D70] () C:\Windows\desktop-7ec3qg0\default.action
2017-10-05 11:11 - 2017-09-20 02:05 - 000000117 ____A [4A44010B8D5F3455F5447ED376294FF4] () C:\Windows\desktop-7ec3qg0\default.filter
2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Windows\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A [7198513210A07AB63043FA7A84635AE2] () C:\Windows\desktop-7ec3qg0\uninstall.bat

====== Fin de Folder: ======

Note : La commande Folder: fonctionne de manière récursive et répertorie le contenu de tous les sous-dossiers. Par conséquent, il pourrait en résulter des rapports gigantesques.



********************

FindFolder:

Voir la section Fonctions de recherche dans Autres analyses facultatives. La commande fonctionne de la même manière que FindFolder: (#post_findfolder) dans la zone Rechercher, mais les résultats sont enregistrés dans le fichier Fixlog.txt.



********************

Hosts:

Pour réinitialiser le fichier hosts. Voir aussi hosts (#post_hosts1) dans la section Analyse principale (FRST.txt).



********************

ListPermissions:

Utilisé pour lister les autorisations sur les fichiers/dossiers/clés mentionnés dans le script.

Citer
ListPermissions: chemin/clé

Exemple :
Listpermissions: C:\Windows\Explorer.exe

Listpermissions: C:\users\Utilisateur\appdata

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip

ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd




********************

Move:

Parfois, renommer ou déplacer un fichier, surtout quand cela se passe entre des lecteurs, peut s'avérer compliqué et la commande MS Rename peut échouer. Pour déplacer ou renommer un fichier, utilisez le script suivant :

Citer
Move: source destination

Exemple :
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis déplace le fichier source vers l'emplacement de destination.

Note 1 : On peut renommer un fichier en utilisant l'instruction Move:.

Note 2 : Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.



********************

Powershell:

Pour exécuter des commandes ou des fichiers script PowerShell.

1. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans le fichier Fixlog.txt, la syntaxe est :

Powershell: commande
Exemple :
Citer
Powershell: Get-Service

2. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans un fichier texte (et non dans le fichier Fixlog.txt), utilisez Opérateurs de redirection (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_redirection) ou Applet de commande Out-File (https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Utility/Out-File) :

Citer
Powershell: commande > "Chemin d'accès d'un fichier texte"
Citer
Powershell: commande | Out-File "Chemin d'accès d'un fichier texte"

Exemple :
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

3. Pour exécuter un fichier script (.ps1), préparé à l'avance, contenant une ou plusieurs commandes/lignes PowerShell, la syntaxe est :

Citer
Powershell: "Chemin d'accès d'un fichier script"

Exemples :
Powershell: C:\Users\NomUtilisateur\Desktop\script.ps1Powershell: "C:\Users\Nom Utilisateur\Desktop\script.ps1"

4. Pour exécuter plusieurs commandes/lignes PowerShell comme si elles étaient dans un fichier script (.ps1), mais sans créer de fichier .ps1, utilisez un point-virgule ; pour les séparer, au lieu de retours à la ligne :

Powershell: ligne 1; ligne 2; (et ainsi de suite)
Exemple :
Citer
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\Utilisateur\Desktop\file.exe")

On peut également utiliser les commandes StartPowershell: - EndPowershell: (voir ci-dessous).



********************

Reboot:

Pour forcer un redémarrage.

Peu importe l'endroit où vous placez cette commande dans le fixlist. Même si vous la mettez au début, le redémarrage sera effectué après le traitement de toutes les autres commandes/instructions.

Note : Cette commande ne fonctionnera pas et n'est pas nécessaire dans l'Environnement de récupération.



********************

Reg:

Pour manipuler le Registre Windows en utilisant l'outil de ligne de commande Reg (https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/reg).

La syntaxe est :

Citer
Reg: commande reg


Exemple :
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f

Note : Contrairement aux instructions natives de FRST, la commande Reg doit respecter la syntaxe correcte de reg.exe, comme l'utilisation des guillemets en cas de présence d'espaces dans le nom de la clé/valeur.

Note: Cette commande ne traitera pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: (#post_deletekey) décrits précédemment dans le tutoriel.



********************

RemoveDirectory:

Pour supprimer (et non déplacer dans la Quarantaine) des dossiers avec des droits limités et des chemins ou noms invalides. La commande Unlock: est inutile.
Cette commande doit être utilisée pour les dossiers qui résistent à l'opération de déplacement normale. Si elle est utilisée en Mode sans échec, elle sera très puissante, et en mode RE (Environnement de récupération) elle sera extrêmement puissante.

Le script sera :

Citer
RemoveDirectory: chemin




********************

RemoveProxy:

Supprime certains paramètres de restriction de stratégie d'Internet Explorer comme "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" et "ProxySettingsPerUser" dans "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings".
Cette commande supprime les valeurs "ProxyEnable" (si elle est définie à 1), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" et "SavedLegacySettings" des clés machine et utilisateur.
Elle applique aussi la commande BITSAdmin avec NO_PROXY.

De plus, elle supprime la valeur par défaut de la clé "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" si elle a été modifiée.

Note : S'il existe un programme ou un service actif qui restaure ces paramètres, le logiciel doit être désinstallé, et le service doit être supprimé, avant d'utiliser la commande. Ceci afin que les paramètres de proxy ne reviennent pas.



********************

Replace:

Pour remplacer un fichier, utilisez le script suivant :

Citer
Replace: source destination

Exemple :
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis copie le fichier source à l'emplacement de destination.

Il ne déplace pas le fichier source, qui se trouve toujours à son emplacement d'origine. Donc dans l'exemple ci-dessus, le fichier dnsapi.dll est resté dans les dossiers WinSxS.

Note : Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.

Note : Si le dossier de destination est absent, la commande ne fonctionnera pas. FRST ne reconstruit pas une structure de dossier complète. La commande Copy: pourrait être utilisée à la place.



********************

Restore From Backup:

La première fois où l'outil est exécuté, il copie les ruches du Registre dans le dossier %SystemDrive%\FRST\Hives (généralement C:\FRST\Hives) en tant que sauvegarde.
Ceci ne sera pas écrasé par les exécutions suivantes de l'outil, sauf si cette sauvegarde date de plus de deux mois. Si quelque chose s'est mal passé, l'une ou l'autre des ruches peut être restaurée.
La syntaxe sera :

Restore From Backup: NomRuche


Exemples :
Restore From Backup: software
Restore From Backup: system



********************

RestoreErunt:

Pour restaurer les ruches depuis Erunt, le script serait :

Citer
RestoreErunt: chemin

Pour restaurer depuis les sauvegardes créées par CF (ComboFix), le script serait :

RestoreErunt: cf


********************

RestoreMbr:

Pour restaurer le MBR, FRST va utiliser MbrFix qui est enregistré sur la clé USB pour écrire un fichier MBR.bin sur un lecteur. Ce qui est nécessaire: l'utilitaire MbrFix/MbrFix64 (http://sysint.no/mbrfix/), le MBR.bin à restaurer et le script montrant le lecteur :

Citer
RestoreMbr: Drive=#

Exemple :
RestoreMbr: Drive=0
(Note : Le MBR à restaurer doit être nommé MBR.bin, mis en archive zip et attaché).



********************

RestoreQuarantine:

Pour restaurer l'ensemble du contenu de la quarantaine, ou restaurer un seul fichier ou plusieurs fichiers depuis la quarantaine.

Pour restaurer tout le contenu de la quarantaine, la syntaxe est

soit :
RestoreQuarantine:
soit :
RestoreQuarantine: C:\FRST\Quarantine
Pour restaurer un fichier ou un dossier, la syntaxe est :

Citer
RestoreQuarantine: CheminDansLaQuarantaine

Exemple :
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Utilisateur\Desktop\ANOTB.exe.xBAD

Pour trouver le chemin d'accès dans la quarantaine, vous pouvez utiliser :

soit :
Folder: C:\FRST\Quarantine
soit :
CMD: dir /a/b/s C:\FRST\Quarantine
Note : Si un fichier existe déjà (hors de la quarantaine) dans l'emplacement de destination, FRST ne l'écrasera pas. Le fichier d'origine ne sera pas déplacé et restera dans la quarantaine. Cependant, si vous devez restaurer le fichier depuis la quarantaine, le fichier présent dans l'emplacement de destination doit au préalable être renommé/supprimé.



********************

SaveMbr:

Voir la section Lecteurs et MBR & Table des partitions (#post_lecteurs) dans le tutoriel.

Pour faire une copie du MBR la syntaxe suivante est utilisée :

Citer
SaveMbr: Drive=#

Exemple :
SaveMbr: Drive=0
En faisant ceci, un fichier MBRDUMP.txt sera créé sur la clé USB, qui doit être attaché au message par l'utilisateur.

Note: Bien qu'un vidage du MBR puisse être obtenu en mode normal ou en environnement de récupération (RE), certaines infections sont capables de contrefaire le MBR quand Windows est chargé. Par conséquent, il est conseillé de le faire en environnement de récupération (RE).



********************

SetDefaultFilePermissions:

Commande créée pour les fichiers système verrouillés. Elle définit le groupe "Administrateurs" en tant que propriétaire et selon le système, donne/accorde les droits d'accès aux groupes standard.

Note : elle ne définira pas TrustedInstaller en tant que propriétaire, mais cependant elle peut être utilisée pour des fichiers système qui sont verrouillés par le malveillant.

Le script sera :

Citer
SetDefaultFilePermissions: chemin




********************

StartBatch: — EndBatch:

Pour créer et exécuter un fichier batch.

La syntaxe est :
StartBatch:
Ligne 1
Ligne 2
Etc.
EndBatch:
Le résultat sera inscrit dans le fichier Fixlog.txt.


********************

StartPowershell: — EndPowershell:

Une meilleure alternative pour créer et exécuter un fichier PowerShell contenant plusieurs lignes (voir la commande Powershell: précédemment dans le tutoriel).

La syntaxe est :
StartPowershell:
Ligne 1
Ligne 2
Etc.
EndPowershell:
Le résultat sera inscrit dans le fichier Fixlog.txt.



********************

StartRegedit: — EndRegedit:

Pour créer et importer un fichier Registre (.reg).

La syntaxe est :
StartRegedit:
fichier en format .reg
EndRegedit:

Inclure l'entête Windows Registry Editor Version 5.00 est facultatif, mais l'entête REGEDIT4 est nécessaire.

Exemple :
Citer
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:

Il y aura une ligne de confirmation dans le fichier Fixlog.txt:
====> Registry
Note: La ligne de confirmation apparaît en dépit d'éventuelles erreurs dans votre fichier .reg.

Note: Ces commandes ne traiteront pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: (#post_deletekey) décrits précédemment dans le tutoriel.



********************

TasksDetails:

Liste des détails supplémentaires sur les tâches planifiées relatifs à l'horaire d'exécution.

La syntaxe est :
Citer
TasksDetails:

Exemple :
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
Note: Cette commande n'est pas prise en charge sous Windows XP et ne fonctionne qu'en mode normal.



********************

testsigning on:

Note : Pour Windows Vista et versions ultérieures, non pris en charge sur les périphériques avec le démarrage sécurisé (Secure Boot (https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/disabling-secure-boot)) activé.

L'activation testsigning (https://docs.microsoft.com/en-us/windows-hardware/drivers/install/the-testsigning-boot-configuration-option) est une modification BCD non définie par défaut, qui pourrait être introduite par des logiciels malveillants ou des utilisateurs qui tentent d'installer des pilotes non pris en charge. Lorsque FRST trouve des preuves de ce genre de falsification, il le signalera comme ceci :

Citer
testsigning: ==> 'testsigning' est activé. Rechercher un éventuel pilote non signé <===== ATTENTION

Inspectez la section Pilotes à la recherche d'un pilote correspondant à l'avertissement. Selon la situation, inclure le pilote avec l'avertissement ou l'avertissement seul dans la liste de correctifs.

En cas d'effets secondaires après le traitement des entrées, utilisez la commande pour réactiver la signature de test pour un dépannage supplémentaire :

Citer
testsigning on:



********************

Unlock:

Cette commande, dans le cas de fichiers/dossiers, définit le groupe "Tout le monde" en tant que propriétaire, donne les droits d'accès à Tout le monde, et travaille de façon récursive quand elle s'applique à des dossiers. Elle doit être utilisée pour les fichiers/dossiers nuisibles.
Pour déverrouiller des fichiers système, utilisez la commande SetDefaultFilePermissions: (#post_setdefault).
 
Dans le cas d'éléments du Registre, elle définit le groupe "Administrateurs" en tant que propriétaire, et donne au groupe l'accès normal, et ne fonctionne que sur la clé concernée.
Elle peut être utilisée à la fois sur des clés légitimes et des clés nuisibles.

Le script sera :

Citer
Unlock: chemin

Parfois l'opération normale de déplacement ne fonctionne pas à cause des autorisations Vous le remarquerez en voyant "Impossible à déplacer" dans le rapport de correction Fixlog.txt. Dans ce cas vous pouvez utiliser l'instruction "Unlock:" sur ces fichiers ou dossiers.

Exemple :
Unlock: C:\Windows\System32\nuisible.exe

Pour supprimer en même temps le fichier, ajoutez simplement son chemin d'accès sur une ligne séparée dans le script :
Unlock: C:\Windows\System32\nuisible.exe
C:\Windows\System32\nuisible.exe

Vous pouvez utiliser cette commande pour déverrouiller des éléments du Registre lorsqu'ils sont bloqués.

Par exemple si vous exécutez une correction en mode de récupération et si le ControlSet actuel est ControlSet001, ce qui suit pourrait s'appliquer :
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle

Pour supprimer l'élément, utilisez l'instruction Reg:. Le script complet serait :
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle
Reg: reg delete hklm\system\controlset001\mauvaisservice /f

Note : La commande DeleteKey: (#post_deletekey) peut être utilisée à la place de la combinaison Unlock: et Reg:


********************

VerifySignature:

Pour vérifier la signature numérique d'un fichier.

Citer
VerifySignature: chemin

Exemple :
VerifySignature: C:\Windows\notepad.exe



********************

VirusTotal:

Pour vérifier des fichiers avec VirusTotal.
FRST va rechercher une analyse antérieure dans la base de données VirusTotal. Un fichier qui n'a jamais été soumis à VirusTotal sera téléchargé pour analyse.

Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.

VirusTotal: chemin d'accès;chemin d'accès

Exemple :

Citer
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys

Citer
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)

"0-byte MD5" indique qu'un fichier est en cours d'utilisation ou verrouillé ou vide ou le chemin d'accès fait référence à un lien symbolique.



********************

Zip:

Pour mettre des fichiers/dossiers dans une archive nommée Date_Heure.zip, placée sur le Bureau de l'utilisateur, qui pourra ensuite être transférée (upload) manuellement par l'utilisateur.
Dans le cas de fichiers/dossiers ayant le même nom, plusieurs archives seront créées.

Zip: chemin d'accès;chemin d'accès
Autant de fichiers/dossiers que nécessaire peuvent être inclus, séparés par des points-virgules.

Exemple :
Citer
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log




********************


.

Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le septembre 09, 2013, 20:06:07
Discours en conserve


********************

Analyse


Exemple d'instructions (pour l'expert offrant de l'aide) pour que l'utilisateur exécute FRST en Mode normal - Windows Vista, 7, 8 et 10 :

Téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Too[/b]l[/url] et enregistrez-le sur le Bureau.

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]

[LIST]
[*]Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur. Validez la "clause de non-responsabilité".
[*]Cliquez sur le bouton [b]Analyser[/b].
[*]L'outil va créer deux rapports [b]FRST.txt[/b] et [b]Addition.txt[/b] situés dans le dossier depuis lequel l'outil s'exécute.
[*]Copiez et collez ces rapports dans votre réponse.
[/LIST]



Exemple d'instructions pour exécuter FRST dans l'Environnement de récupération (RE) - Windows Vista et Windows 7:

Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] et enregistrez-le sur une clé USB.

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]

Branchez la clé USB sur le PC infecté.


[color=#0000FF][b]Pour entrer dans le menu Options de récupération du système depuis les Options de démarrage avancées :[/b][/color]
[list]
[*]Faites redémarrer l'ordinateur.
[*]Dès que le BIOS est chargé, appuyez sur la touche [b] F8[/b] jusqu'à ce que l'écran Options de démarrage avancées apparaisse.
[*]Utilisez les touches flèches pour sélectionner l'élément de menu [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue du clavier, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez le système d'exploitation que vous voulez réparer, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]



[color=#0000FF][b]Pour entrer dans les Options de récupération du système en utilisant le disque d'installation Windows ou un [url=https://support.microsoft.com/fr-fr/help/17423/windows-7-create-system-repair-disc]disque de récupération[/url] :[/b][/color]
[list]
[*]Insérez le disque d'installation ou le disque de récupération.
[*]Faites redémarrer le PC.
[*]A l'invite, cliquez sur une touche pour faire démarrer Windows depuis le disque d'installation. Si votre ordinateur n'est pas configuré pour démarrer depuis un CD ou un DVD, vérifiez les paramètres du BIOS.
[*]Cliquez sur [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue et de clavier, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez le système d'exploitation à réparer, et cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]



[color=#0000FF][b]Dans le menu Options de récupération système vous verrez les options suivantes :[/b][/color]
[b]Réparation du démarrage
Restaurer le système
Récupération de l'image système
Diagnostic de mémoire Windows
Invite de commandes[/b]

Sélectionnez [b]Invite de commandes[/b]

[color=#0000FF][b]Dans l'Invite de commandes:[/b][/color]
[list]
[*]Dans la fenêtre de commande saisissez [b]notepad[/b] puis appuyez sur [b]Entrée[/b].
[*]Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b].
[*]Sélectionnez "Poste de travail" cherchez la lettre associée à votre clé USB et fermez le Bloc-notes.
[*]Dans la fenêtre de commande, saisissez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et appuyez sur [b]Entrée[/b]
[b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre du lecteur de la clé USB.
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*]Cliquez sur le bouton [b]Analyser[/b].
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.
[/list]




Exemple d'instructions pour exécuter FRST dans l'Environnement de récupération (RE) - Windows 8 et 10 :

Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] et enregistrez-le sur une clé USB.

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]

Branchez la clé USB sur le PC infecté.


[color=#0000FF][b]Pour démarrer sur les Options Avancées de Démarrage :[/b][/color]

[list][*] Dans [b]Paramètres[/b] -> [b]Mise à jour et sécurité[/b] -> [b]Récupération[/b] -> dans la rubrique [b]Démarrage avancé[/b], cliquez sur [b]Redémarrer maintenant[/b]
[*] Le système redémarre sur les [b]Options Avancées[/b]
[*] Cliquez sur l'option [b]Dépannage[/b], puis sur [b]Options avancées[/b]
[*] Dans les [b]Options avancées[/b], cliquez sur [b]Invite de commandes[/b]
[*] Le système redémarre
[*] Sélectionnez le [b]Compte Utilisateur [/b]et renseignez le mot de passe, puis cliquez sur [b]Continuer[/b]
[*] L'[b]Invite de commandes[/b] s'ouvre

[i][u]Note[/u] : Si Windows ne démarre plus, les Options Avancées de Démarrage s'affichent au démarrage. Si ce n'est pas le cas, forcez l'arrêt du système trois fois de suite. La réparation automatique se lance, puis cliquez sur Options avancées[/i][/list]

[list][*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]
[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et validez par [b]Entrée[/b]
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]f[/color] par la lettre de lecteur associée à la clé USB[/i]
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*] Cliquez sur le bouton [b]Analyser[/b]
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.
[/list]




********************

Correction


Exemples d'instructions pour une correction réalisée en Mode normal ou sans échec, c'est-à-dire depuis Windows :

Téléchargez le fichier attaché [b]fixlist.txt[/b] et enregistrez-le sur le Bureau.

[u][b]NOTE.[/b][/u] Il est important que les deux fichiers, [b]FRST/FRST64[/b] et [b]fixlist.txt [/b] se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

[b][color=#FF0000]AVERTISSEMZNT : Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.[/color][/b]

Exécutez [b][color=#0000FF]FRST/FRST64[/color][/b], cliquez une seule fois sur le bouton [b]Corriger[/b] et attendez.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement. Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copiez/collez ce rapport dans votre réponse.


[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Copiez la totalité du contenu, de [b]Start::[/b] à [b]End::[/b] de la zone Code ci-dessous ([i]clic-droit -> Sélectionner -> Copier[/i])

Start::
.......
End::

[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps de la correction
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans votre réponse.[/list]

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows[/i] /!\[/b][/color]


[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Appuyez simultanément sur les touches [b]Ctrl + y[/b]. Un fichier [b]fixlist.txt[/b] s'ouvre
[*]Copiez/collez la totalité du contenu de la zone Code ci-dessous dans ce fichier

start
.........
end

[*]Appuyez simultanément sur les touches [b]Ctrl + s[/b] pour enregistrer, puis refermez le fichier [b]fixlist.txt[/b]
[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps de la correction
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans ta réponse.[/list]

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows[/i] /!\[/b][/color]



Exemple d'instructions pour une correction réalisée dans l'Environnement de récupération (WinRE) :

[list][*] Depuis le PC sain, ouvrez le [b]Bloc-notes[/b] (Démarrer => Tous les programmes => Accessoires => Bloc-notes).

[*] Copiez/collez la totalité du contenu de la zone [b]Code[/b] ci-dessous dans le Bloc-notes

start
.........
end

[*] Enregistrez le fichier [b]sur la clé USB[/b] sous le nom [b]fixlist.txt[/b]
[*] Connectez la clé la sur le PC infecté, qui est normalement sous WinRE

[*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]
[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et validez par [b]Entrée[/b]
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre de lecteur associée à la clé USB[/i]
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*] Cliquez sur le bouton [b]Corriger[/b]
[*] A la fin de l'analyse, un rapport d'analyse [b]Fixlog.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.[/list]

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows[/i] /!\[/b][/color]

Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le juillet 30, 2014, 14:51:41
Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici (https://forum.security-x.fr/tutoriels-317/tutoriel-frst-commentaires/).





Merci à nickW
Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le août 25, 2017, 13:41:04
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici (https://forum.security-x.fr/tutoriels-317/tutoriel-frst-commentaires/).

Titre: Re : Tutoriel FRST - Farbar Recovery Scanner Tool
Posté par: chantal11 le mai 04, 2018, 14:01:22
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici (https://forum.security-x.fr/tutoriels-317/tutoriel-frst-commentaires/).