Auteur Sujet: Tutoriel FRST - Farbar Recovery Scanner Tool  (Lu 83266 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Tutoriel FRST - Farbar Recovery Scanner Tool
« le: septembre 09, 2013, 20:00:07 »


Farbar Recovery Scan Tool


La dernière version peut être téléchargée depuis:

Lien 1  |  Lien 2



Farbar Recovery Scan Tool (FRST) est un outil de diagnostic intégrant la possibilité d'exécuter des scripts [NdT: un "script" est un petit programme, un ensemble d'instructions à exécuter], que l'on prépare au préalable, sur des PCs infectés par des malveillants. Il fonctionnera aussi bien en Mode normal qu'en Mode sans échec, et lorsqu'un PC a des problèmes d'amorçage [boot], il fonctionnera efficacement dans l'Environnement de récupération Windows [Windows Recovery Environment - WinRE]. Sa capacité à travailler dans l'Environnement de récupération le rend particulièrement utile pour traiter les problèmes liés aux machines qui éprouvent des difficultés lors de l'amorçage.


**********************************************************



Informations sur ce Tutoriel


Ce tutoriel a été créé à l'origine par emeraldnzl de concert avec farbar et avec l'aimable coopération de BC (Bleeping Computer) et G2G (Geeks to Go).  emeraldnzl s'est depuis retiré et maintenant le tutoriel est mis à jour et maintenu par picasso en consultation avec Farbar.
Cette traduction en français, officielle et autorisée, a été réalisée à l'origine par nickW et est maintenant suivie par chantal11. Le sujet d'origine se trouve sur Bleeping Computer.
L'autorisation de picasso et de Farbar est indispensable avant toute utilisation ou toute citation de ce tutoriel sur d'autres sites. Veuillez noter également que ce tutoriel a été écrit initialement pour fournir des conseils aux assistants qui offrent une aide pour la suppression des nuisibles sur divers forums.



Traduction de l'avertissement "Disclaimer" :
Citer
Clause de non-responsabilité!

Ce logiciel est fourni "tel quel" sans aucune garantie d'aucune sorte.
Vous pouvez utiliser ce logiciel à vos propres risques.

L'utilisation de ce logiciel est interdite à des fins commerciales.

Êtes-vous sûr de vouloir continuer?

Cliquez sur Oui pour continuer. Cliquez sur Non pour quitter.



Traductions de ce tutoriel

Allemand (myrtille - M-K-D-B)

Espagnol (jruizgarcia)

Français (chantal11)

Néerlandais (Pays-Bas) | Néerlandais (Belgique) (kape)

Polonais (picasso)

Portuguais  (Lusitano)

Russe (Dragokas)



Table des matières

1. Introduction
2. Zones d'analyse par défaut

3. Analyse principale (FRST.txt)
4. Analyse supplémentaire (Addition.txt)
5. Autres analyses facultatives
6. Instructions/Commandes
7. Discours en conserve


Les experts et assistants ayant l'accès peuvent se tenir au courant des derniers développements de l'outil dans le sujet FRST Discussion sur BC.


« Modifié: mars 14, 2024, 15:02:06 par chantal11 »
 

Security-X

Tutoriel FRST - Farbar Recovery Scanner Tool
« le: septembre 09, 2013, 20:00:07 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #1 le: septembre 09, 2013, 20:00:52 »
Introduction


Un des points forts de FRST est sa simplicité. Il est conçu pour être facile à utiliser. Les lignes contenant des références à des éléments infectés peuvent être identifiées, copiées à partir du rapport d'analyse, collées dans le Bloc-notes (notepad) et enregistrées. Ensuite, avec un simple clic sur un bouton l'outil fera le reste. Cela permet une grande flexibilité, et lorsque de nouvelles infections apparaissent elles peuvent être identifiées et incluses dans un correctif.



Avec quoi il fonctionne

Farbar Recovery Scan Tool est conçu pour être exécuté sous les systèmes d'exploitation Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 et Windows 11. Il y a deux versions, une version 32-bit et une version 64-bit.

Note: FRST64 n'est pas conçu pour fonctionner sur un système XP 64-bit.



********************

Diagnostic

FRST crée un rapport d'analyse [log] qui couvre des zones particulières du système d'exploitation Windows. Ceci peut être utilisé pour l'analyse initiale du problème et pour vous donner quelques informations sur le système.

L'outil est en constant développement, des évolutions dont une partie comprend l'ajout de nouvelles étiquettes d'identification de malveillants. En conséquence, il est fortement recommandé de le mettre à jour régulièrement. Si l'ordinateur est connecté à internet il y aura une recherche automatique de mise à jour lorsque FRST est lancé. Une notification apparaîtra et la dernière version pourra alors être téléchargée.

Quand une nouvelle infection se présente ou si la mise à jour est impossible, par exemple sans connexion internet pour quelque raison que ce soit, l'expert doit être au fait des derniers développements dans le domaine des infections par malveillant pour pouvoir repérer le problème dès le début. L'utilisateur profane devrait demander l'aide d'experts lorsque de nouvelles infections apparaissent ou quand il rencontre des difficultés à identifier le problème sur son PC.

Par défaut, comme de nombreux autres programmes d'analyse, FRST utilise des listes blanches (whitelisting). Ceci permet d'éviter les rapports d'analyse très longs. Si vous voulez vraiment obtenir un rapport d'analyse complet, vous devez dé-cocher la case correspondante dans le paragraphe Listeblanche de l'écran de FRST (Registre, Services, Pilotes, Processus, Internet). Attendez-vous à un rapport d'analyse très long, qui ne pourra être envoyé sur un forum pour analyse que sous forme de pièce jointe.
  • Les entrées Microsoft par défaut sont ajoutées à la liste blanche.
  • Dans le cas des services et pilotes, la liste blanche contient non seulement les services Microsoft par défaut, mais aussi tous les autres services et pilotes légitimes.
  • Les exécutables Microsoft signés sont en liste blanche dans la section "Un mois (créés)"
  • Les éléments fichiers non signés ne sont pas en liste blanche
  • Tout fichier de service ou de pilote qui n'a pas de Nom d'Entreprise n'est pas en liste blanche.
  • Aucun programme de sécurité (Antivirus ou pare-feu) n'est en liste blanche.
  • Le service SPTD n'est pas en liste blanche.




********************

Préparation avant utilisation

Assurez-vous que FRST est exécuté avec des privilèges Administrateur. L'outil ne fonctionnera correctement que s'il est lancé depuis un compte d'utilisateur ayant ces privilèges Administrateur. Si un utilisateur n'a pas les privilèges Administrateur, vous verrez un avertissement à ce sujet dans l'entête du fichier rapport FRST.txt.

Dans certains cas un programme de sécurité peut empêcher l'outil de pleinement fonctionner. En général il n'y aura pas de problème, mais soyez conscient de la possibilité que lorsqu'une analyse est demandée un programme de sécurité peut empêcher l'exécution de l'outil. Lors d'une correction, il est préférable de désactiver des programmes comme Comodo qui pourrait empêcher le programme de faire son travail.

Une recommandation générale valable pour tout le monde est que lorsque vous êtes confronté à un rootkit, il est préférable de n’exécuter qu’un outil de correction à la fois et d'attendre le résultat avant d'exécuter un autre outil.

Il n'est pas nécessaire de créer une sauvegarde du Registre. FRST effectue une sauvegarde des ruches du Registre la première fois où il est exécuté. La sauvegarde se trouve dans %SystemDrive%\FRST\Hives (dans la plupart des cas C:\FRST\Hives). Voir la commande RestoreFromBackup: pour de plus amples détails.

FRST existe en plusieurs langues. Si, dans le cadre d'une assistance sur un forum, les rapports d'analyse vous sont présentés dans une langue qui vous est totalement étrangère, il est possible de forcer la création de rapports d'analyse en anglais. Pour ce faire, il suffit de renommer le fichier exécutable de FRST (FRST.exe ou FRST64.exe) en lui ajoutant le mot English, comme EnglishFRST.exe, FRSTEnglish.exe, FRSTEnglish64.exe ou EnglishFRST64.exe. Les rapports d'analyse seront alors créés en anglais.


********************

Exécuter FRST

L'utilisateur reçoit pour consigne de télécharger FRST sur le Bureau. De là, il suffit simplement de faire un double clic sur l'icône de FRST, accepter l'avertissement, et exécuter FRST. L'icône de FRST ressemble à ceci :



Note: Vous devez utiliser la version qui est compatible avec le système de l'utilisateur. Il y a une version 32-bit et une version 64-bit. Si vous n'êtes pas sûr de la version à employer, demandez à l'utilisateur de télécharger les deux versions et d'essayer de les exécuter. Une seule d'entre elles fonctionnera sur le système, ce sera la bonne version.


Une fois que FRST/FRST64 est ouvert, l'utilisateur verra une fenêtre comme celle-ci :


Quand FRST a terminé ses analyses, il enregistre des rapports d'analyse en format texte (Bloc-notes) dans le dossier à partir duquel FRST/FRST64 a été lancé. Lors de chaque analyse, un rapport FRST.txt et un rapport Addition.txt sont créés.

Des copies de ces rapports d'analyse sont sauvegardées dans %SystemDrive%\FRST\Logs (dans la plupart des cas, ce sera C:\FRST\Logs).


********************

Correction

Attention, Très Important : Farbar Recovery Scan Tool est non invasif et en mode analyse (Scan) il ne peut pas nuire à un PC.

Cependant FRST est aussi très efficace pour exécuter les instructions qui lui sont données. Lorsque vous appliquez un correctif, s'il est demandé de supprimer un élément, dans 99% des cas, il le fera. Bien qu'il existe certains garde-fous intégrés, ils sont nécessairement globaux et conçus pour ne pas gêner l'élimination de l'infection. L'utilisateur doit être conscient de cela. Utilisé à mauvais escient (comme par exemple si on demande de supprimer des fichiers essentiels), l'exécution de l'outil peut avoir pour conséquence d'empêcher l'ordinateur de démarrer.


Si vous avez des doutes à propos d'un élément quelconque dans un rapport d'analyse FRST,
demandez toujours l'aide d'un expert avant d'appliquer un correctif.


FRST dispose d'une gamme de commandes et commutateurs qui peuvent être utilisés pour manipuler les processus de l'ordinateur et pour résoudre les problèmes que vous avez identifiés.


********************

Préparation du Fixlist :

1 - Méthode fixlist.txt : Pour corriger les problèmes détectés, copiez et collez les lignes du rapport FRST.txt dans un fichier texte nommé fixlist.txt et enregistré dans le même répertoire où l'outil a été exécuté.

Note: Il est important que le Bloc-notes soit utilisé. La correction ne fonctionnera pas si Word ou un autre programme est utilisé.


2 - Méthode avec ctrl+y  : Le raccourci clavier peut être utilisé pour créer et ouvrir automatiquement un fichier vide à remplir.
Lancez FRST, appuyez sur Ctrl+y pour ouvrir le fichier, collez le correctif, appuyez sur Ctrl+s pour enregistrer.


3 - Méthode avec le Presse-papier : Insérer les lignes du correctif entre Start:: et End:: comme ceci :

Start::
contenu du correctif
End::


L'utilisateur copie tout le contenu, y compris Start:: et End:: et clique sur le bouton Corriger.



********************

Unicode

Pour corriger un élément contenant un(des) caractère(s) Unicode, le correctif doit être enregistré en format Unicode, sinon les(s) caractère(s) Unicode sera(ont) perdu(s).
Le raccourci Ctrl + y enregistre le fichier texte en format Unicode. Mais si le fixlist.txt est créé manuellement, un encodage approprié doit être choisi dans le Bloc-notes (voir ci-dessous).

Exemple :

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\Utilisateur\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

Faites un copier/coller des éléments dans une fenêtre ouverte du Bloc-notes [notepad], sélectionnez Enregistrer sous..., dans la rubrique Encodage sélectionnez UTF-8, donnez le nom fixlist puis cliquez sur le bouton Enregistrer.

Si vous l'enregistrez dans un Bloc-notes normal, sans sélectionner UTF-8, le Bloc-notes émettra un avertissement; si vous passez outre et enregistrez le fichier, après fermeture puis réouverture du fichier, vous verrez :

Citer
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

Et FRST sera incapable de le traiter.


********************

Noms d'utilisateurs manipulés

Certains utilisateurs modifient les rapports en supprimant ou en remplaçant un nom d'utilisateur. Pour vous assurer que les chemins d'accès corrects seront traités, vous pouvez remplacer le nom d'utilisateur potentiellement manipulé dans les chemins d'accès avec CurrentUserName (pour l'utilisateur connecté) ou AllUserName (pour tous les utilisateurs). FRST traduira automatiquement les mots-clé par un nom d'utilisateur correct.

Note : CurrentUserName n'est pas pris en charge dans l'environnement de récupération.


********************

Pour éviter que FRST ne se bloque pendant des heures en raison de scripts incorrects, le temps d'exécution des commandes cmd: et Powershell: est limité à 60 minutes.

Les éléments déplacés lors de la correction sont conservés dans %systemdrive%\FRST\Quarantine, dans la plupart des cas ce sera C:\FRST\Quarantine, jusqu'à la purge finale (clean up) et la suppression de FRST.

Pour des informations détaillées sur la préparation des scripts de correction, voyez les sections ci-dessous.


********************

Suppression de FRST
 
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage et fonctionne uniquement en dehors de l'environnement de récupération.

« Modifié: septembre 24, 2023, 08:25:57 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #2 le: septembre 09, 2013, 20:01:57 »
Zones d'analyse par défaut



Lors de chaque exécution hors de l'Environnement de récupération, un rapport FRST.txt et un rapport Addition.txt sont générés. Le rapport Addition.txt n'est pas créé quand FRST est exécuté dans l'Environnement de récupération.



**********

Analyses effectuées en mode normal :


Analyse principale

Processus [vérification des signatures numériques]
Registre [vérification des signatures numériques]
Tâches planifiées [vérification des signatures numériques]
Internet [vérification des signatures numériques]
Services [vérification des signatures numériques]
Pilotes [vérification des signatures numériques]
NetSvcs
Un mois (Créés)  [vérification des signatures numériques Microsoft]
Un mois (Modifiés)
Fichiers à la racine de certains dossiers
FLock
FCheck
SigCheck [vérification des signatures numériques]
LastRegBack:


Analyse supplémentaire (Addition.txt)

Comptes
Centre de sécurité
Programmes installés
Personnalisé CLSID [vérification des signatures numériques]
Codecs [vérification des signatures numériques]
Raccourcis & WMI
Modules chargés [vérification des signatures numériques]
Alternate Data Streams (Flux de Données Additionnels)
Mode sans échec
Association
Internet Explorer [vérification des signatures numériques]
Hosts contenu
Autres zones
MSCONFIG/TASK MANAGER éléments désactivés
Règles Pare-feu [vérification des signatures numériques]
Points de restauration
Éléments en erreur du Gestionnaire de périphériques
Erreurs du Journal des événements
Infos Mémoire
Lecteurs
MBR & Table des partitions


Analyses facultatives

Liste BCD (Boot Configuration Data)
SigCheckExt [vérification des signatures numériques]
Shortcut.txt
Addition.txt
Fichiers 90 jours

Recherche de fichiers [vérification des signatures numériques]
Recherche dans le Registre


Note : [Fichier non signé] sera imprimé pour les fichiers sans signature numérique ou les fichiers sans signature vérifiée.



**********

Analyses effectuées dans l'Environnement de récupération :


Analyse principale

Registre
Tâches planifiées
Services
Pilotes
NetSvcs
Un mois (Créés)
Un mois (Modifiés)
KnownDLLs
SigCheck
Association
Points de restauration
Infos Mémoire
Lecteurs
MBR & Table des partitions
LastRegBack:

Analyses facultatives

Liste BCD (Boot Configuration Data)
Fichiers 90 jours

Recherche de fichiers


Note : La vérification des signatures numériques n'est pas disponible dans l'environnement de récupération.


.
« Modifié: novembre 23, 2020, 15:43:15 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #3 le: septembre 09, 2013, 20:02:41 »
Analyse principale (FRST.txt)



Entête

Voici un exemple d'entête :

Citer
Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-08-2023
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (Dell Inc. Inspiron 7352) (03-09-2023 22:20:17)
Exécuté depuis C:\Users\Utilisateur\Desktop\FRST64.exe
Profils chargés: Utilisateur
Plate-forme: Windows 10 Pro Version 22H2 19045.3324 (X64) Langue: Français (France)
Navigateur par défaut: FF
Mode d'amorçage: Normal

La lecture attentive de l'entête peut être très utile:

1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.

2ème ligne : indique quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne affiche aussi le nom de l'ordinateur aainsi que le fabricant et le modèle du système (le cas échéant). La date et l'heure de l'exécution de l'outil sont utiles pour reconnaître un ancien journal fourni par inadvertance par un utilisateur.

3ème ligne : indique depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.

4ème ligne : indique sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire les ruches utilisateur chargées (ntuser.dat et UsrClass.dat).

Note : Dans le cas de plusieurs comptes chargés (en utilisant «Changer d'utilisateur» ou «Déconnecter» pour changer de compte), FRST listera tous les comptes sous «Profils chargés» et leurs entrées de registre. Les autres comptes non chargés ne seront pas répertoriés sous «Profils chargés», mais FRST montera automatiquement les ruches correspondantes (uniquement ntuser.dat) pour l'analyse du registre.

5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (Version et build du système d'exploitation sur Windows 11 et Windows 10, "Update" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures).  Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.

6ème ligne : indique le navigateur par défaut.

7ème ligne : indique dans quel mode l'analyse a été exécutée.

8ème ligne : lien vers le tutoriel officiel (en anglais).

Note : Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.


Alertes qui peuvent apparaître dans l'entête

Quand il y a des problèmes d'amorçage [boot], vous pouvez voir quelque chose comme "ATTENTION: Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche en utilisant LastRegBack: peut être une solution (voir ci-dessous).

"Par défaut: Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi en auriez-vous besoin ? Normalement, vous n'en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.


********************

Processus

Citer
    (cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    (Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>

Dans le cas où un processus est exécuté par un autre processus (processus parent ->), il sera listé.

<nombre> attaché à la fin de la ligne indique plusieurs instances du même processus.

Il y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d’abord, vous pouvez arrêter un processus légitime qui pourrait bloquer un correctif.  Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le fichier qui lui sont associés.

Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.

Une ligne sera créée dans le fichier Fixlog.txt avec cet intitulé: Nom du processus => Processus fermé avec succès

Si vous avez un processus nuisible et si vous voulez supprimer le fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif.




********************

Registre


Les éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un fixlist afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression en raison d'autorisations insuffisantes ou de caractères Null encapsulés (Null embedded) seront supprimées. Si des clés résistent à la suppression en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau (kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.

Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution de l'une des deux actions suivantes sur la clé/valeur de registre  :
  • Restaurer la clé/valeur par défaut ou
  • Supprimer la clé/valeur.

Quand des éléments du rapport relatifs à BootExecute, les valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le fixlist, l'outil restaure les valeurs Windows par défaut.

Note : Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.

Pas besoin d'un batch ni d'un correctif-Registre. Il en va de même pour certaines autres clés/valeurs importantes qui pourraient être détournées par un malveillant.

Note: FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.

Les éléments Run et Runonce, Image File Execution Options et autres entrées de registre, s'ils sont copiés dans le fixlist, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.

Par exemple, pour supprimer le mauvais élément Run ainsi que le fichier, vous devez les inclure dans le fixlist comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :

HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [Fichier non signé] <==== ATTENTION
C:\WINDOWS\TEMP\gA652.tmp.exe


Quand un fichier ou un raccourci est détecté dans le dossier Démarrage, FRST liste le fichier dans les éléments 'Startup:'. Si le fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci) [avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le fichier cible vous devez inclure les deux dans le correctif.

Exemple :

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [Fichier non signé]

Note : La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier helper.vbs. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.


FRST détecte les redirections des dossiers de démarrage (par utilisateur et par système).

Exemple :

StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\  <==== ATTENTION
Pour corriger, vous devez inclure l'entrée dans la liste de correctifs et FRST restaurera le chemin par défaut.


Dans le cas d'un nuisible qui impose des certificats non approuvés [en anglais] ou des stratégies de restriction logicielle [en anglais], vous verrez des éléments comme ceci :

Citer
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION

Citer
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION

Pour débloquer les programmes de sécurité, incluez les lignes dans le fixlist.

Note : La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir: How to manually create Software Restriction Policies to block ransomware [en anglais].



FRST détecte aussi la présence d'objets de stratégie de groupe (Group Policy Objects - GPO [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible.
Les stratégies Firefox, Google Chrome, Edge et Windows Defender dans le fichier Registry.pol seront signalées individuellement :

Citer
GroupPolicy: Restriction - Windows Defender <======= ATTENTION

Pour les autres stratégies ou scripts, vous verrez une notification générique sans détails :

Citer
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Pour réinitialiser les stratégies, placez les lignes dans le fixlist. FRST va élaguer les dossiers de stratégie de groupe (GroupPolicy) et forcer un redémarrage.

Exemple :
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès

Note : La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.



********************

Tâches planifiées

Quand une entrée est inscrite dans dans un fixlist, la tâche elle-même est corrigée.

Exemple :

Citer
Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [fichier non signé] <==== ATTENTION

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\csrss => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => supprimé(es) avec succès

Notez bien que FRST ne fait que supprimer les éléments du Registre et déplacer le fichier de la tâche mais il ne déplace pas l'exécutable.
Si l'exécutable est néfaste, il doit être ajouté sur une ligne distincte dans le fixlist afin qu'il soit déplacé.

Note : un malveillant peut utiliser un exécutable légitime (par exemple, utiliser sc.exe pour lancer ses propres services) pour exécuter son propre fichier.
En d'autres termes, vous devez vérifier l'exécutable pour déterminer s'il est légitime ou non avant d'agir.


La ligne suivante ne doit pas être incluse dans le fixlist :

Citer
"{GUID aléatoire}" => clé a été déverrouillée. <==== ATTENTION


Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier si la tâche déverrouillée est listée (tâche personnalisée) ou non (entrée Microsoft dans la liste blanche). Si nécessaire, incluez la ligne de tâche standard dans le fixlist.



********************

Internet

Hormis quelques exceptions, les éléments copiés dans le fixlist seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs, voir les descriptions ci-dessous pour plus de détails.



■ Winsock

Si un élément Catalog5 est inclus pour être corrigé, FRST va effectuer une de ces deux actions :

  1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
  2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile (catalog).

Quand des éléments Catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset" :

cmd: netsh winsock reset
S'il reste des éléments Catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un fixlist. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile (catalog).

Attention: une rupture de la chaîne empêchera le PC de se connecter à Internet.

Une rupture de connexion internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :

Citer
Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.


Pour corriger le problème, l'élément peut être copié dans le fixlist.



■ hosts

S'il y a des éléments personnalisés dans le fichier hosts, il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :

Citer
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt


Si le fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter [Fichier hosts non détecté dans le dossier par défaut].

Pour réinitialiser le fichier hosts, copiez/collez simplement la ligne dans le fixlist et le fichier sera réinitialisé. Vous verrez une ligne dans le fichier Fixlog.txt confirmant la réinitialisation.



■ Tcpip et autres entrées

Les éléments inclus dans le fixlist, seront supprimés.

Note : Les serveurs DNS configurés dans le registre (DhcpNameServer et NameServer) peuvent être comparés à l'analyse "Serveurs DNS" dans Addition.txt pour détecter la configuration active.

______________________________________________________________________________________________________________________________________________________________________________________

 
Note : Dans le cas d'un piratage de StartMenuInternet les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fixlist et l'élément par défaut sera restauré dans le Registre.


Note : Les extensions non installées via les référentiels officiels (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera Add-ons) auront une url de mise à jour détectée.





■ Edge

Sous Windows 10, les deux versions du navigateur sont détectées et listées ensemble dans le rapport.
 
Edge classique : sauf pour DownloadDir, des lignes peuvent être incluses dans un fixlist et les éléments seront supprimés.
 
Edge basé sur Chromium : Les mêmes règles que pour Google Chrome s'appliquent. Voir la description ci-dessous.




■ Firefox

FRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y a plusieurs profils Firefox ou clones de Firefox, FRST répertorie les préférences et les extensions dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.

A l'exception de FF DefaultProfile et FF DownloadDir, les lignes peuvent être entrées dans un fixlist et les éléments seront supprimés.


FRST vérifie la signature des modules complémentaires. Les modules complémentaires non signés sont signalés.

Exemple :
Citer
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [non signé]





■ Chrome

FRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST répertorie les préférences et les extensions dans tous les profils. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.

L'analyse des préférences comprend les HomePage (page d'accueil) et StartupUrls (pages de démarrage) modifiés, l'activation de Session Restore (Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé et les notifications autorisées :

Citer
CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> est activé.
CHR Notifications: Default -> hxxps://www.speedtestace.co

S'ils sont inscrits dans le fixlist, les éléments HomePage, StartupUrls et Notifications seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome: "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".

FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).

Citer
CHR NewTab: Default ->  Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]


La suppression d'extensions n'est pas prise en charge.  Les lignes "CHR Extension" ne sont pas traitées dans un correctif, utilisez plutôt les propres outils de Chrome :

  - Tapez chrome://extensions dans la barre d'adresse et validez par Entrée.
  - Cliquez sur Supprimer sous l'extension que vous voulez supprimer complètement.
  - Une fenêtre pop-up de confirmation apparaît, cliquez sur Supprimer.

Une exception pour une installation d'extension située dans le registre (libellée CHR HKLM et HKU). Lorsque l'entrée est incluse dans le fixlist, la clé sera supprimée.



■ Autres navigateurs basés sur Chromium

Actuellement, les navigateurs suivants sont pris en charge: Brave, Opera, Vivaldi, Yandex Browser.

Les mêmes règles s'appliquent que pour Google Chrome. Voir la description ci-dessus.


Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.



********************

Services et Pilotes

Les Services et Pilotes sont présentés comme ceci :

ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomSignataire -> NomEntreprise) (vérification de la signature)


ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :

R=Actif
S=Arrêté
U=Indéterminé.

Les chiffres du "TypeDémarrage" sont:

0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.

Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.

Les services Microsoft par défaut pointant vers des fichiers non signés nécessitent une réparation.


Exemple :
Citer
==================== Services (Avec liste blanche) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]

Dans ce cas le fichier qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande Replace:.


Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le fixlist. Tout fichier associé doit être inclus séparément.

Exemple :

R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== ATTENTION
C:\Windows\94BE3917F6DF.sys

L'outil va arrêter tout élément de service inclus dans le fixlist puis supprimer la clé du service.

Note: FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage.

Il y a une exception où le service sera réparé au lieu d'être supprimé. Dans le cas d'un détournement de Themes, vous verrez :

Citer
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION

Si cette ligne est incluse dans le fixlist, l'élément sera restauré à sa valeur par défaut.


La ligne suivante ne doit pas être incluse dans le fixlist :

Citer
"NomService" => service n'a pas pu être déverrouillé. <==== ATTENTION


Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier le résultat. Si nécessaire, incluez la ligne de service standard dans le fixlist.


********************

NetSvcs


Les éléments NetSvc figurent chacun sur une ligne, comme ceci :

Citer
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> Pas de chemin du fichier


Note: L'inscription de Netsvc dans le fixlist supprime seulement la valeur associée du Registre. Le service associé (si présent dans la section Services) doit être inscrit séparément afin d'être supprimé.

Exemple :

Pour supprimer la valeur Netsvc, le service associé dans le Registre et le fichier associé, le script complet devrait ressembler à ceci :

S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi



********************

Un mois (Créés/Modifiés)

L'analyse "Créés" liste la date et l'heure de création du fichier ou dossier suivies par la date et l'heure de dernière modification.
L'analyse "Modifiés" liste la date et l'heure de dernière modification du fichier ou dossier suivies par la date et l'heure de création.
La taille (nombre d'octets) du fichier est aussi listée. Un dossier affichera 00000000 car le dossier lui-même n'a pas d'octet.

Note : Pour éviter une durée d'analyse très importante et la production de rapports d'analyse extrêmement longs, l'analyse se limite à certains emplacements prédéfinis. De plus, FRST liste les dossiers personnalisés, mais pas leur contenu. Si vous voulez connaître le contenu d'un dossier personnalisé, utilisez la commande Folder:.

Note : La vérification des signatures numériques est limitée aux exécutables Microsoft (mis en liste blanche par défaut). Les autres signatures numériques ne sont pas vérifiées. Pour obtenir une liste supplémentaire d'exécutables non signés, utilisez l'analyse facultative SigCheckExt.


FRST ajoute des indications dans certains éléments du rapport d'analyse :

C - Compressé
D - Dossier
H - Caché
L - Lien symbolique
N - Normal (pas d'autres attributs définis)
O - Hors ligne
R - Lecture seule
S - Système
T - Temporaire
X - No scrub (Windows 8+)  - Attribut d'absence de fichier de nettoyage

Pour supprimer un fichier ou un dossier de l'une des listes "lors du dernier mois" copiez/collez simplement la totalité de la ligne dans le fixlist.

Les lignes pointant vers des liens symboliques (attribut L) sont gérées correctement.

Exemple :

2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Lien
Si la ligne est incluse dans le fixlist, FRST va supprimer uniquement le lien, laissant la cible intacte :

Citer
Lien symbolique trouvé(e): "C:\WINDOWS\system32\Lien" => "C:\Windows\System32\Cible"
"C:\WINDOWS\system32\Lien" => Lien symbolique supprimé(es) avec succès
C:\WINDOWS\system32\Lien=> déplacé(es) avec succès

La commande DeleteJunctionsInDirectory: peut aussi être utilisée.


Pour corriger d'autres fichiers/dossiers, leur chemin d'accès doit être inscrit dans le fixlist, les guillemets ne sont pas nécessaires pour un chemin d'accès comportant un espace :

c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible


Si vous avez de nombreux fichiers avec des noms similaires et si vous voulez les supprimer avec un seul script, le joker * peut être utilisé:

Vous pouvez soit inscrire tous les fichiers comme ceci :

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

soit simplement :

C:\Windows\Tasks\At*.job
Note: Un caractère "?" (point d'interrogation) sera ignoré pour des raisons de sécurité, qu'il soit un joker ou un caractère de substitution pour un caractère Unicode (voir le paragraphe Unicode sous Introduction). De plus, les jokers ne sont pas pris en charge pour les dossiers.



********************

FLock

La section liste les fichiers et dossiers verrouillés dans des répertoires standard.



********************

FCheck

La section est conçue pour lister les fichiers néfastes détectés, par exemple le détournement de DLL. De plus, certains fichiers de zéro octet (fichiers .exe et .dll) dans les répertoires standards sont listés. La section n'apparaît que lorsque des éléments correspondants sont présents.

Lorsqu'une entrée est incluse dans la liste des corrections, un fichier/dossier sera déplacé.



*******************

KnownDLLs

Certains éléments dans cette section, s'ils sont absents ou modifiés [patchés] ou corrompus pourraient entraîner des problèmes d'amorçage [boot]. En conséquence, cette analyse apparaît uniquement lorsque l'outil est exécuté en mode RE (Environnement de récupération).

Les éléments sont en liste blanche à moins qu'ils ne nécessitent une vérification.

Il faut faire attention quand on s'occupe des éléments identifiés dans cette section. Soit un fichier est manquant, soit il semble avoir été modifié d'une manière quelconque. L'aide d'un expert est recommandée pour s'assurer que le fichier problématique est correctement identifié et traité de manière appropriée. Dans la majorité des cas, il existe sur le système un bon fichier de remplacement qui peut être trouvé avec la fonction de recherche de FRST. Voyez la section Instructions/Commandes (Exemples d'utilisation) de ce tutoriel pour savoir comment remplacer un fichier et la section Autres analyses facultatives pour savoir comment effectuer une recherche.



********************

SigCheck

FRST vérifie un certain nombre de fichiers système importants. Les fichiers sans signature numérique correcte ou les fichiers manquants seront signalés. La section est ajoutée à la liste blanche en dehors de l'Environnement de Récupération (RE) lorsqu'il n'y a aucun problème avec les fichiers.

Des fichiers système modifiés peuvent vous alerter sur une possible infection malveillante. Quand l'infection est identifiée il faut faire attention lors des actions de réparation. L'aide d'un expert devrait être demandée car la suppression d'un fichier système pourrait empêcher le PC de démarrer.

Exemple tiré d'une infection Hijacker.DNS.Hosts :
Citer
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E


Dans ce cas, le fichier doit être remplacé par une copie valide. Utilisez la commande Replace:.


Certaines versions de l'infection SmartService désactivent le mode de récupération. FRST rectifie automatiquement la modification BCD lors d'une analyse :

Citer
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restauré(e) avec succès


Le moyen le plus sûr de démarrer en Mode sans échec est d'utiliser la touche F8 au démarrage (Windows 7 et plus ancien) ou les Options avancées de démarrage (Windows 11, Windows 10 et Windows 8). Dans certains cas, les utilisateurs utilisent l'"Utilitaire de configuration système" pour démarrer en Mode sans échec. Dans le cas où le mode sans échec est corrompu, l'ordinateur est bloqué et le système ne démarrera pas en mode normal parce qu'il est configuré pour un démarrage en Mode sans échec. Dans ce cas, vous verrez :

Citer
safeboot: Minimal ==> Le système est configuré pour démarrer en Mode sans échec <===== ATTENTION

Pour corriger le problème, inscrivez la ligne ci-dessus dans le fixlist. FRST va définir le mode normal comme mode par défaut et le système sortira de la boucle.

Note : Ceci s'applique à Windows Vista et aux versions ultérieures de Windows.



********************

Association

Note: la section "Association" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Dans l'Environnement de récupération, l'analyse se limite à l'association de fichier .exe.

Liste l'association de fichier .exe (valeur appliquée à la machine, HKLM) comme ceci :

Citer
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION

Comme avec les autres éléments du Registre, vous pouvez simplement copier/coller les éléments avec le problème dans le fixlist et ils seront rétablis. Pas besoin de créer des correctifs-Registre.



********************

Points de restauration

Note : la section "Points de restauration" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.

Les points de restauration sont listés.

Note : il n'y a que dans Windows XP que les ruches peuvent être restaurées en utilisant FRST. Les points de restauration listés sur Windows Vista et ultérieur doivent être restaurés depuis l'Environnement de récupération (RE) en utilisant les Options de récupération du système Windows.


Pour corriger, inscrivez la ligne du point de restauration que vous voulez restaurer dans le fixlist.

Exemple venant d'un PC sous XP :
Citer
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81


Pour restaurer les ruches à partir du point de restauration 82 (daté de 2010-10-24) la ligne sera copiée et collée dans le fixlist, comme ceci :

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82



********************

Infos Mémoire

Note : la section "Infos Mémoire" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de Récupération (RE). Quand FRST est exécuté en dehors de l'Environnement de Récupération, la section est dans le fichier Addition.txt et contiendra plus d'informations (BIOS, carte mère, processeur).

Vous indique la quantité de RAM (Random Access Memory) installée sur la machine ainsi que la mémoire physique disponible et le pourcentage de mémoire disponible. Parfois cela peut aider à expliquer les symptômes d'une machine. Par exemple le nombre affiché peut ne pas refléter ce que l'utilisateur pense avoir installé au niveau matériel. La RAM indiquée peut apparaître inférieure à ce qui est en fait sur la machine. Ceci peut se produire quand la machine ne peut pas accéder vraiment à toute la RAM qu'il a. Les causes possibles comprennent de la RAM défectueuse, ou un problème de connecteur [slot] sur la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (par exemple si le BIOS a besoin d'être mis à jour). De plus, pour les systèmes 32-bit avec plus de 4 Go de RAM installés, le montant maximal indiqué ne sera que 4 Go. C'est une limitation sur les applications 32-bit.


La mémoire virtuelle et la mémoire virtuelle disponible sont aussi listées. 



********************

Lecteurs et MBR & Table des partitions

Note : La section "Lecteurs et MBR & Table des partitions" apparaîtra dans le rapport d'analyse FRST.txt quand FRST est exécuté depuis l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section apparaîtra dans le fichier Addition.txt


Énumère les lecteurs fixes et amovibles connectés à la machine au moment de l'analyse. Les volumes non montés sont identifiés par les chemins GUID du volume.

Citer
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Modèle : Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Modèle : Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

Schéma de partitionnement basé sur UEFI / GPT : seule la disposition GPT de base est détectée, mais la liste complète des partitions n'est pas disponible.

Citer
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

Schéma de partitionnement basé sur le BIOS/MBR : le code MBR et les entrées des partitions sont détectés. Cependant, les partitions logiques dans les partitions étendues ne sont pas répertoriées.

Citer
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)


Quand il y a une indication que quelque chose ne va pas avec le MBR, une vérification du MBR peut être indiquée. Pour ce faire, on doit obtenir un vidage [dump] du MBR. Voici comment :

Exécutez le correctif suivant avec FRST en mode quelconque :

SaveMbr: drive=0 (ou numéro de lecteur adéquat)

Ce faisant, un fichier MBRDUMP.txt sera enregistré à l'emplacement à partir duquel FRST/FRST64 a été exécuté.

Note : bien qu'un vidage du MBR puisse être obtenu en mode normal comme en mode RE, certaines infections du MBR sont capables de contrefaire le MBR quand Windows est chargé. En conséquence, il est conseillé de faire ceci dans l'Environnement de récupération (RE).



********************

LastRegBack:

FRST cherche dans le système et liste la dernière sauvegarde du Registre effectuée par le système. La sauvegarde du Registre contient une sauvegarde de toutes les ruches. C'est différent de la sauvegarde LKGC [Last Known Good Configuration - Dernière configuration correcte connue] du ControlSet.

Il y a plusieurs raisons pour lesquelles vous pouvez vouloir utiliser cette sauvegarde pour résoudre un problème, mais fréquemment c'est quand une perte ou une corruption s'est produite.

Vous pouvez voir ceci dans l'entête de FRST :

Citer
ATTENTION: Impossible de charger la ruche System


Pour corriger, inscrivez simplement la ligne dans le fixlist comme ceci :

LastRegBack: >>date<< >>heure<<

Exemple :

LastRegBack: 2013-07-02 15:09


.
« Modifié: décembre 16, 2023, 09:27:46 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #4 le: septembre 09, 2013, 20:03:28 »
Analyse supplémentaire (Addition.txt)



Entête

L'entête du rapport d'analyse Addition.txt contient un bref résumé d'informations utiles.

Voici un exemple d'entête :

Citer
Résultats de l'Analyse supplémentaire de Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Exécuté par Utilisateur (21-10-2017 14:16:13)
Exécuté depuis C:\Users\Utilisateur\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Mode d'amorçage: Normal

1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé.

2ème ligne : montre quel utilisateur a exécuté l'outil, ainsi que les date et heure d'exécution.

3ème ligne : vous dit depuis quel emplacement FRST a été lancé.

4ème ligne : montre la version de Windows ainsi que sa date d'installation.

5ème ligne : vous dit dans quel mode l'analyse a été exécutée



********************

Comptes

Liste les comptes d'utilisateur standard présents sur le système, dans le format suivant :
Nom du compte local (SID du compte -> Privilèges - Activé/Désactivé) => Chemin du profil. Les noms de comptes Microsoft ne sont pas affichés.

NdT : SID = Security IDentifier, identifiant unique de sécurité alphanumérique attribué par le système.

Des entrées malveillantes peuvent être incluses pour être supprimées.

Exemple :

Citer
WgaUtilAcc (S-1-5-21-1858304819-142153404-3944803098-1002 - Administrator - Enabled) => supprimé avec succès

Note : Seul le compte lui-même sera supprimé. L'éventuel dossier utilisateur dans le répertoire Utilisateurs doit être listé séparément pour être déplacé.



********************

Centre de sécurité

Vous pouvez découvrir que la liste contient des résidus d'un programme de sécurité précédemment désinstallé.
Dans ce cas, la ligne peut être incluse dans le fixlist afin qu'elle soit supprimée.
Certains programmes de sécurité empêchent la suppression de l'élément s'ils ne sont pas totalement désinstallés.
Dans ce cas, au lieu de la confirmation de la suppression, vous verrez dans le rapport de correction Fixlog :
Citer
Entrée Centre de sécurité => L'élément est protégé. Vérifiez que le logiciel est désinstallé et que ses services sont supprimés.



********************

Programmes installés

Liste les programmes de Bureau classiques et les packages Windows 11/10/8. Les progressives web apps (PWA) sont regroupées sous « Applications Chrome ».

Les packages sains Microsoft (NdT : Applications "modernes" du Microsoft Store) préinstallés sont sur liste blanche. Les packages pris en charge par la publicité de Microsoft et d'autres éditeurs sont étiquetés avec [MS Ad].

Exemple :
Citer
App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]

Les entrées activées ou désactivées visibles dans Démarrage sont marquées avec [Startup Task].

FRST a une base de données interne qui permet de marquer de nombreux programmes de Bureau publicitaires/potentiellement indésirables (adware/PUP).

Exemple :
Citer
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version:  - ) <==== ATTENTION

Il est fortement conseillé de désinstaller tous les programmes ainsi marqués avant d'exécuter un programme automatique pour supprimer les logiciels publicitaires. Le désinstalleur du logiciel publicitaire supprime la majorité de ses éléments et annule les modifications de la configuration.
 
Les programmes de Bureau qui ne sont pas affichés dans "Programmes et fonctionnalités" sont listés avec une étiquette comme ceci :
Citer
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 - Google LLC) Hidden

De nombreux programmes légitimes sont cachés à juste titre. Dans le cas de programmes illégitimes, les entrées peuvent être incluses dans le fixlist.

Note : Ce correctif ne fait que rendre le programme visible, il ne désinstalle pas le programme. Le programme devra être désinstallé par l'utilisateur.



********************

Personnalisé CLSID

Liste les entrées des classes personnalisées créées dans les ruches de Registre de l'utilisateur, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers et FolderExtensions.


Exemple :

Citer
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] [2018-03-03] (Диспетчер источников) [Fichier non signé]


Pour corriger des éléments nuisibles, ajoutez-les simplement dans le fixlist et FRST va supprimer les clés du registre. Le fichier/dossier associé doit être indiqué séparément pour être déplacé.

Note : des programmes tiers légitimes peuvent créer un CLSID personnalisé, donc faites attention et ne supprimez pas d'élément légitime.
[NdT : CLSID vient de CLasS IDentifier, terme utilisé par Microsoft pour désigner un "identificateur globalement unique" (GUID -Globally Unique IDentifier).]



********************

Codecs

Une fois incluses dans le fixlist, les entrées par défaut modifiées seront restaurées et les entrées personnalisées seront supprimées du registre. Les fichiers associés doivent être listés séparément pour être déplacés.



********************

Raccourcis et WMI

Les raccourcis piratés ou suspects situés dans le dossier utilisateur de celui qui a ouvert la session et dans le dossier racine de C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes [C:\ProgramData\Microsoft\Windows\Start Menu\Programs] et C:\Utilisateurs\Public\Bureau [C:\Users\Public\Desktop] sont listés.

Les éléments peuvent être inclus dans un fixlist pour correction - voir Shortcut.txt dans Autres analyses facultatives ci-dessous.

Note : Une analyse Shortcut.txt contient tous les raccourcis de tous les utilisateurs, alors que le rapport d'analyse dans Addition.txt contient seulement les raccourcis piratés/suspects trouvés dans le profil de l'utilisateur ayant ouvert la session.


FRST analyse les espaces de noms pour les enregistrements non standard WMI. Les infections connues sont signalées.

Exemple tiré d'une infection Cryptocurrency Miner :

Citer
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"****youmm4\"",Filter="__EventFilter.Name=\"****youmm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (l'élément de données a 665 caractères en plus).] <==== ATTENTION


Pour supprimer le malware, incluez les lignes dans le fixlist.

Note : Les logiciels OEM (par exemple, Dell) peuvent créer des enregistrements personnalisés. Recherchez les entrées inconnues pour vérifier si elles sont légitimes ou non.



********************

Modules chargés

Les modules chargés sont filtrés en liste blanche en fonction de la signature numérique valide. Autrement dit, les éléments ne satisfaisant pas à la vérification de la signature sont affichés.



********************

Alternate Data Streams

FRST liste les Flux de Données Additionnels [ADS - Alternate Data Streams] comme ceci :

Citer
==================== Alternate Data Streams (Avec liste blanche) ==========

AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]
AlternateDataStreams: C:\malveillant:nuisible.exe [134]

Note : La taille de l'ADS (nombre d'octets qu'il contient) est affichée entre crochets après le chemin d'accès.

Si l'ADS est sur un fichier/dossier légitime, la correction consistera à copier/coller la totalité de la ligne depuis le rapport d'analyse dans le fixlist.

Exemple :
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]

S'il est sur un fichier/dossier nuisible, ce sera :
C:\malveillant

Dans le premier cas, FRST supprime seulement l'ADS du fichier/dossier.

Dans le second cas, le fichier/dossier est supprimé.



********************

Mode sans échec

Si l'une des clés principales (SafeBoot, SafeBoot\Minimal et SafeBoot\Network) est absente, cela sera signalé. Dans ce cas, il faut la réparer manuellement.
S'il y a un élément créé par un nuisible, il peut être inclus dans le fixlist afin qu'il soit supprimé.



********************

Association - Voir Association précédemment dans le tutoriel

Liste les associations de fichier .bat, .cmd, .com, .exe, .reg et .scr
Quand un élément par défaut est inclus dans le fixlist, la valeur par défaut sera restaurée. Tout élément créé par l'utilisateur, s'il est inclus dans le fixlist, sera supprimé.



********************

Internet Explorer

Le titre de la section contient la version d'Internet Explorer sous Windows 7 et versions antérieures.

En fonction du type d'objet, FRST supprime les éléments du registre ou rétablit leur état par défaut.
Les fichiers/dossiers d'accompagnement doivent être saisis séparément s'ils doivent être déplacés.



********************

Hosts contenu - Voir Hosts précédemment dans le tutoriel

Fournit de plus amples détails relatifs au fichier hosts: les propriétés du fichier hosts ainsi que les 30 premières lignes actives. Les lignes inactives (mises en commentaire) sont masquées.

Exemple :
Citer
2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

Les lignes ne peuvent être traitées individuellement.
- Pour restaurer le fichier standard, utilisez la commande Hosts: ou placez la ligne d'avertissement concernant le fichier hosts (fichier d'analyse FRST.txt) dans le fixlist.
- Dans le cas d'un fichier hosts.ics personnalisé, incluez le chemin du fichier dans le fixlist.



********************

Autres zones

Ce paragraphe regroupe certains éléments analysés par FRST qui ne sont pas répertoriés ailleurs.   
FRST ne fait que lister ces éléments. Pour l'instant, il n'y a pas de correction automatique.


Path

L'entrée est visible dans les conditions suivantes : la chaîne par défaut est manquante, un placement incorrect de la chaîne par défaut, aucune valeur Path.

Exemple :

Citer
HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

Pour corriger la variable Path, vous pouvez utiliser un correctif de registre manuel ou un éditeur de variables d’environnement.

Note : Une corruption Path peut affecter les opérations des commandes cmd: et Powershell: en utilisant un chemin relatif aux outils de la console.



Arrière-plan du Bureau (Wallpaper)

Plusieurs variantes de nuisibles cryptant les fichiers (crypto-malware) utilisent ce paramètre afin d'afficher un écran de demande de rançon.
Exemple :
Citer
Exemple de chemin d'accès normal:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Exemple de chemin d'accès et de fichier nuisibles :
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Utilisateur\My Documents\!Decrypt-All-Files-scqwxua.bmp

Dans le cas d'un nuisible, le chemin d'accès du fichier peut être placé dans un fixlist, ainsi que tous les fichiers associés listés dans le rapport d'analyse FRST.txt.

Note : Supprimer le fichier du Papier peint installé par le nuisible va supprimer l'arrière-plan du Bureau.
L'utilisateur doit re-paramétrer cet arrière-plan du Bureau :
- Sous Windows XP, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Propriétés, cliquez sur l'onglet Bureau, sélectionnez l'une des images disponibles, puis cliquez sur Appliquer et OK.
- Sous Windows Vista et ultérieur, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Personnaliser, sélectionnez Arrière-plan du Bureau, sélectionnez l'une des images disponibles, puis cliquez sur OK




Serveurs DNS (DNS Servers)

DNS actuellement utilisé. Ceci est utile pour détecter un piratage DNS/Routeur.

Exemple :

Citer
DNS Servers: 213.46.228.196 - 62.179.104.196

Cherchez l'adresse sur WhoisLookup pour savoir si le serveur est légitime ou non.

Note : La liste des serveurs ne provient pas du Registre, donc le système doit être connecté à internet.

Si FRST est exécuté en Mode sans échec, ou si le système n'est pas connecté à internet, vous verrez :
Citer
DNS Servers: "Le média n'est pas connecté à internet."



Paramètres du Contrôle de compte d'utilisateur (UAC - User Account Control)

Activé (paramètre par défaut) :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Désactivé :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Il peut en être ainsi parce que l'utilisateur a désactivé le Contrôle de compte d'utilisateur (UAC), ou comme effet secondaire de l'activité d'un malveillant. A moins qu'il soit évident que la cause est malveillante, il faut interroger l'utilisateur avant de tenter une correction.



SmartScreen (Windows 8+)

Pour les applications du Bureau et fichiers :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Donnée de la valeur)

Données de la valeur prises en charge par Windows : Block | Warn | Off (Windows 10 Version 1703+) ou RequireAdmin | Prompt | Off (systèmes plus anciens).

Une donnée manquante (paramètre par défaut sur Windows 10 Version 1703+) ou vide sera signalée de la manière suivante :

Citer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )



Fournisseurs de services de téléphonie (TSP) (Telephony Service Providers) (TSP)

Les entrées par défaut et certaines entrées légitimes tierces sont inscrites à la liste blanche. La ligne n'est visible que si une entrée personnalisée est détectée.

Exemple :

Citer
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\inconnu.tsp (Editeur)

Les entrées malveillantes ou corrompues nécessitent une correction manuelle du registre. Supprimez les entrées correspondantes ProviderIDx et ProviderFileNamex et renumérotez les entrées restantes en conséquence. Voir : Correcting The Registry When TAPI Providers Are Corrupted (Correction du registre lorsque les fournisseurs TAPI sont corrompus).



BITS

Répertorie les tâches BITS utilisant une notification en ligne de commande. Voir : Attacker Use of the Windows Background Intelligent Transfer Service (Utilisation par un attaquant du service de transfert intelligent en arrière-plan Windows)

Citer
BITS : {ID de tâche} - (Nom de la tâche) -> [NotifyCmdLine : Commande] [fichiers : Chemin distant -> Chemin local]

Pour supprimer toutes les tâches BITS, utilisez la commande EmptyTemp:



Pare-feu Windows (Windows Firewall)

Exemple :
Citer
Windows Firewall est activé.

Que le Pare-feu Windows soit activé ou désactivé est aussi signalé. Quand FRST est exécuté en Mode sans échec, ou s'il existe un problème avec le système, il n'y aura aucune ligne à propos du Pare-feu.



Network Binding (Liaison Réseau) (Windows 8+)

Répertorie les composants non standard attachés aux adaptateurs réseau. Comparez la section Pilotes pour trouver un élément correspondant.

Exemple :
Citer
Network Binding:
=============
Ethernet: COMODO Internet Security Firewall Driver -> inspect (enabled)
Wi-Fi: COMODO Internet Security Firewall Driver -> inspect (enabled)

Citer
R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)

Si la désinstallation standard d'un programme ne parvient pas à supprimer les éléments, la liaison réseau doit être supprimée avant de traiter le pilote. Suivez les étapes décrites dans ESET Knowledgebase.
 
Note : Assurez-vous que la liaison réseau est supprimée avant d'inclure le pilote dans un fixlist. Sinon, la suppression du pilote entraînera la rupture d'une connexion réseau.




********************

MSCONFIG/TASK MANAGER éléments désactivés

Le rapport d'analyse est utile lorsqu'un utilisateur a utilisé MSCONFIG ou TASK MANAGER [Gestionnaire des tâches] pour désactiver des éléments nuisibles au lieu de les supprimer. Ou bien, s'il a désactivé trop d'éléments et si certains services ou applications indispensables ne peuvent plus s'exécuter correctement.

Exemples :

MSCONFIG dans Windows 7 et systèmes antérieurs :
Citer
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^Utilisateur^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Ce qui se lit comme ceci :

Services désactivés :
Citer
MSCONFIG\Services: NomService => Type de démarrage d'origine

Éléments désactivés dans le dossier Démarrage :
Citer
MSCONFIG\startupfolder: Chemin d'accès d'origine (avec "\" remplacé par "^" par Windows) => Chemin de la sauvegarde créée par Windows.

Éléments Run désactivés :
Citer
MSCONFIG\startupreg: NomValeur => Chemin du fichier.


TASK MANAGER dans Windows 8 et systèmes plus récents :
Citer
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"


Note : Windows 8 et ultérieurs utilisent msconfig seulement pour les services. Les éléments du démarrage sont déplacés vers le Gestionnaire de tâches [Task Manager] qui stocke les éléments désactivés dans plusieurs clés. Un élément désactivé non-absent est listé deux fois : dans FRST.txt (section Registre) et dans Addition.txt.

Les éléments peuvent être inclus dans un fixlist afin de les supprimer. FRST exécutera les actions ci-dessous:
 - Dans le cas des services désactivés, FRST va supprimer la clé créée par MSCONFIG et le service lui-même.
 - Dans le cas des éléments Run désactivés, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches]. L'élément Run lui-même sur les systèmes plus récents sera également supprimé.
 - Dans le cas des éléments dans les dossiers Démarrage, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches] et déplacer la sauvegarde du fichier créée par Windows (sur les anciens systèmes) ou le fichier lui-même (sur les systèmes plus récents).

Important: Ne corrigez un élément dans cette section que si vous êtes sûr qu'il s'agit d'un élément malveillant. Si vous doutez de la nature de l'élément, ne le corrigez pas afin d'éviter la suppression d'éléments légitimes. Dans le cas d'éléments légitimes désactivés qui devraient être activés, il faut donner à l'utilisateur des instructions pour qu'il les active via l'utilitaire MSCONFIG ou le Gestionnaire des tâches [Task Manager].



********************

Règles Pare-feu

Liste les règles du pare-feu (FirewallRules), les applications autorisées (AuthorizedApplications), ainsi que les ports globalement ouverts (GloballyOpenPorts).

Exemple (Windows 10) :

Citer
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe (Chao Wei -> )
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)

NdT: Allow = Autoriser, Block = Bloquer.

Exemple (XP) :
Citer
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

NdT: Enabled = Autorisé, Disabled = Bloqué.

Si un élément est inclus dans un fixlist, il sera supprimé du Registre. Aucun fichier éventuel ne sera déplacé.



********************

Points de restauration - Voir Points de restauration précédemment dans le tutoriel.

Liste les Points de restauration disponibles dans le format suivant :

Citer
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

Si la fonction est désactivée, cela sera signalé :

Citer
ATTENTION: La Restauration système est désactivée (Total:59.04 GB) (Free:43.19 GB) (73%)

Note : L'entrée fait référence à la restauration du système désactivée de manière standard. La restauration du système désactivée via la stratégie de groupe sera signalée dans FRST.txt (sous la section Registre). Dans les deux cas, la restauration du système peut être activée automatiquement. Voir la commande SystemRestore:



********************

Éléments en erreur du Gestionnaire de périphériques

Exemple :

Citer
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.



********************

Erreurs du Journal des événements

- Erreurs Application
- Erreurs système
- Erreurs CodeIntegrity [Erreurs Intégrité du code]
- Erreurs Windows Defender et avertissements



********************

Infos Mémoire

Voir Infos Mémoire précédemment dans le tutoriel.



********************

Lecteurs



********************

MBR & Table des partitions

Voir Lecteurs et MBR & Table des partitions précédemment dans le tutoriel.



« Modifié: mars 08, 2024, 08:46:06 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #5 le: septembre 09, 2013, 20:04:06 »
Autres analyses facultatives



********************

Analyses facultatives

En cochant une case sous "Analyse facultative", FRST va analyser les éléments demandés.



********************

Liste BCD

Les données du BCD Magasin de données de configuration de démarrage - Boot Configuration Data ([en anglais]) sont listées.



********************

SigCheckExt

Liste tous les fichiers .exe et .dll non signés dans des dossiers standard. Le résultat est formaté de la même manière que la liste "Un mois".



********************

Shortcut.txt

Liste tous les types de raccourcis de tous les comptes standard. Les éléments piratés peuvent être inclus dans le fixlist afin qu'ils soient restaurés ou supprimés.

Exemple :
Citer
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

NdT : sur certains systèmes, les noms apparaissant dans les chemins d'accès peuvent être francisés, selon les équivalences ci-dessous:
(sans module complémentaire) <==> (No Add-ons)
Accessoires <==> Accessories
Bureau <==> Desktop
Menu Démarrer <==> Start Menu
Outils système <==> System Tools
Programmes <==> Programs


Pour corriger les lignes ShortcutWithArgument:, faites simplement un copier-coller de ces lignes dans le fixlist. Mais pour supprimer les objets Shortcut:, vous devez ajouter les chemins d'accès séparément dans le correctif.

Un script de correction complet ressemblerait à ceci :
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk


Note : FRST supprime l'argument des raccourcis sauf pour le raccourci Internet Explorer (No Add-ons).lnk. Par défaut l'argument de ce raccourci n'est pas vide (l'argument est -extoff) et il est utilisé pour lancer Internet Explorer sans modules complémentaires. Il est vital pour dépanner les problèmes sur IE, et donc cet argument de raccourci sera restauré.

Notez aussi que si vous avez utilisé un autre outil de nettoyage pour supprimer l'argument de Internet Explorer (No Add-ons).lnk, FRST ne le listera pas sous ShortcutWithArgument:, et donc l'argument ne pourra plus être restauré avec FRST. Dans ce cas, l'utilisateur peut restaurer l'argument manuellement.

Pour restaurer l'argument manuellement, l'utilisateur doit aller (via l'Explorateur) jusqu'à Internet Explorer (No Add-ons).lnk :

Faire un clic droit dessus et choisir Propriétés.

Dans la zone Cible ajouter deux espaces puis -extoff au chemin d'accès affiché.

Cliquer sur Appliquer puis OK.



********************

Fichiers 90 jours

Si l'option "Fichiers 90 jours" est cochée, FRST listera dans le rapport d'analyse "Trois mois (Créés/Modifiés)" au lieu de "Un mois (Créés/Modifiés)".



********************

Fonctions de recherche


■ Recherche de fichiers

Il y a un bouton Chercher fichiers dans la fenêtre de programme de FRST. Pour rechercher des fichiers, vous pouvez saisir, ou copier/coller, leurs noms dans la zone de recherche [Chercher:]. Les jokers sont permis. Si vous avez besoin de rechercher plus d'un fichier, les noms des fichiers doivent être séparés par un point-virgule ;

terme;terme
*terme*;*terme*

Quand il a cliqué sur le bouton Chercher fichiers, l'utilisateur est informé que la recherche est lancée [La recherche est en cours, veuillez patienter...], une barre de progression apparaît, puis un message s'affiche indiquant que la recherche est terminée [Chercher terminé(e)]. Un fichier rapport de recherche Search.txt est enregistré dans le dossier à partir duquel FRST.exe/FRST64.exe a été exécuté.

Les fichiers trouvés sont listés avec leurs date de création, date de modification, taille, attributs, Nom d'entreprise, MD5, et signature numérique dans le format suivant :

Citer
C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Le fichier est signé numériquement]


La recherche de fichiers est limitée au lecteur système. Dans certains cas, un fichier système légitime est absent ou corrompu, ce qui provoque des problèmes d'amorçage (boot), et il n'existe aucun fichier de remplacement sur le système. Quand l'option de recherche de fichiers (Chercher) est utilisée en mode de récupération (Vista et ultérieur), la recherche inclut aussi les fichiers dans X: (le lecteur d'amorçage virtuel). Dans certains cas, cela peut sauver la vie. Un exemple est l'absence de services.exe qui pourrait être copié de X:\Windows\System32 vers C:\Windows\System32.

Note : La partition X: ne contiendra que les exécutables 64-bit pour les systèmes 64-bit.

Le bouton "Chercher Fichiers" peut être utilisé pour effectuer des recherches supplémentaires, voir FindFolder: et SearchAll: ci-dessous. Les résultats seront enregistrés dans le journal Search.txt.



■ Recherche dans le Registre

Il y a un bouton Chercher Registre dans la fenêtre de programme de FRST. Vous pouvez saisir, ou copier/coller, les noms des éléments que vous souhaitez rechercher dans la zone de recherche [Chercher:]. Si vous voulez rechercher plus d'un élément, les noms doivent être séparés par un point-virgule ;

terme;terme
Contrairement à une recherche de fichiers, lorsqu'on effectue une recherche dans le Registre, l'ajout de jokers dans les termes de recherche doit être évité car ces caractères jokers seront interprétés littéralement. Quand un joker ("*" ou "?") est ajouté au début ou à la fin d'un terme de recherche dans le Registre, FRST va l'ignorer et rechercher ce terme de recherche sans ce caractère.

Un fichier journal SearchReg.txt est enregistré dans le dossier à partir duquel FRST/FRST64 a été lancé.

Note: La fonction de recherche dans le Registre ne fonctionnera qu'en dehors de l'environnement de récupération (RE).



■ FindFolder:

Pour rechercher un ou plusieurs dossiers sur le lecteur système, renseignez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :

FindFolder: terme;terme
Les jokers sont autorisés.

FindFolder: *terme*;*terme*


■ SearchAll:

Pour effectuer une recherche complète (fichiers, dossiers, registre) pour un ou plusieurs termes, entrez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :

SearchAll: terme;terme
N'ajoutez pas de joker au(x) terme(s). FRST interprète automatiquement le terme comme *terme(s)* dans le cas de fichiers et de dossiers.
 
Note :Dans l'environnement de récupération, la recherche complète effectuée est limitée aux fichiers et dossiers.



.
« Modifié: septembre 05, 2023, 16:51:57 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #6 le: septembre 09, 2013, 20:05:15 »
Instructions/Commandes


Toutes les commandes/instructions dans FRST doivent être sur une seule ligne car FRST traite le script ligne par ligne.

Note: Les instructions/commandes sont insensibles à la casse.


********************

Catalogue des instructions/commandes



■ À utiliser seulement en Mode normal

CreateRestorePoint:
SystemRestore:
TasksDetails:



■ À utiliser seulement en Mode normal et en Mode sans échec

CloseProcesses:
EmptyEventLogs:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: - EndPowershell:
Virusscan:
Zip:



■ À utiliser en Mode normal, en Mode sans échec et dans l'Environnement de récupération (RE)

cmd:
Comment:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: et DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: et ExportValue:
File:
FilesInDirectory: et Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: - EndBatch:
StartRegedit: - EndRegedit:
Symlink:
testsigning on:
Unlock:



■ À utiliser seulement dans l'Environnement de récupération (RE)

LastRegBack
RestoreFromBackup:
RestoreMbr:




Exemples d'utilisation


********************

CloseProcesses:

Arrête tous les processus non essentiels. Contribue à rendre la correction plus efficace et plus rapide.

Quand cette commande est incluse dans un correctif, elle provoquera automatiquement un redémarrage. Il n'est pas nécessaire d'utiliser la commande Reboot:. La commande CloseProcesses: n'est pas nécessaire ni disponible dans l'Environnement de récupération.



********************

CMD:

Parfois vous avez besoin d'exécuter une commande CMD. Dans ce cas vous devez utiliser l'instruction "CMD:".

Le script sera :

Citer
CMD: commande

S'il y a plus d'une commande, commencez chaque ligne par CMD: pour avoir un résultat dans le rapport de correction pour chaque commande.

Exemple :
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr

La première commande va copier les fichiers minidump sur la clé USB (si la lettre de lecteur de la clé USB est E).
La seconde commande est utilisée pour corriger le MBR dans Windows Vista et versions ultérieures.

On peut également utiliser les commandes StartBatch: - EndBatch: (voir ci-dessous).

Note : Contrairement aux instructions natives ou autres instructions de FRST, les commandes CMD doivent avoir la syntaxe correcte de cmd.exe, comme l'utilisation de guillemets (") en cas de présence d'un espace dans le chemin d'accès du fichier/dossier.


********************

Comment:

Ajoute une note pour fournir des commentaires sur le contenu du correctif.

Exemple :

Comment: La commande suivante supprimera tous les proxys réseau du système
RemoveProxy:



********************

Copy:

Pour copier des fichiers ou des dossiers dans un style similaire à xcopy.

La syntaxe est :

Copy: source fichier/dossier destination dossier
Le dossier de destination sera automatiquement créé (s'il n'est pas présent).

Exemple :

Citer
Copy: C:\Users\Utilisateur\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\Utilisateur\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

Note : Pour remplacer des fichiers individuels, il est recommandé d'utiliser la commande Replace:
Dans le cas d'un fichier cible existant, Copy: essaie seulement d'écraser le fichier, tandis que Replace: tente en outre de déverrouiller et de déplacer le fichier en quarantaine.




********************

CreateDummy:

Crée un fichier/dossier factice verrouillé pour empêcher la restauration de fichiers nuisibles. Le dossier factice doit être supprimé après avoir neutralisé le malware.

La syntaxe est :

CreateDummy: Chemin
Exemple :

Citer
CreateDummy: C:\Windows\System32\nuisible.exe
CreateDummy: C:\ProgramData\Nuisible



********************

CreateRestorePoint:

Pour créer un point de restauration.

Note : Cette commande n'est utilisable qu'en mode normal. Elle ne fonctionnera pas si le service de Restauration système a été désactivé.



********************

DeleteJunctionsInDirectory:

Pour supprimer les jonctions utilisez la syntaxe suivante :

Citer
DeleteJunctionsInDirectory: Chemin

Exemple :
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
 

********************

DeleteKey: et DeleteValue:

La méthode la plus efficace pour supprimer des clés/valeurs, contournant les limitations des algorithmes de suppression standards présents dans Reg: et StartRegedit: - EndRegedit :.

La synthaxe est :

1. Pour supprimer des clés :
Citer
DeleteKey: clé

Alternativement, le format regedit peut être utilisé :
Citer
[-clé]

2. Pour supprimer des valeurs :
Citer
DeleteValue: clé|valeur

Si la valeur est une valeur par défaut, laissez le nom de la valeur vide :
Citer
DeleteValue: clé|

Exemples :
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

Les commandes sont capables de supprimer des clés/valeurs qui sont verrouillées en raison d’autorisations insuffisantes, des clés/valeurs qui contiennent des caractères NULL incorporés (embedded-null characters) et des liens symboliques de registre.
La commande Unlock: est inutile.

Pour les clés/valeurs qui sont protégées par un logiciel en cours d’exécution (réponse "Accès refusé") vous devez utiliser le Mode sans échec (pour contourner le logiciel en cours d’exécution) ou supprimer les principaux composants avant d’utiliser les commandes.

Note : Si la clé inscrite pour la suppression est un lien de Registre vers une autre clé, la clé (source) qui est le lien symbolique de Registre sera supprimée. La clé cible ne sera pas supprimée. Ceci est fait pour éviter de supprimer à la fois un mauvais lien symbolique de Registre qui pourrait pointer vers une clé légitime et la clé légitime elle-même. Dans le cas où la clé source et la clé cible sont nuisibles, les deux doivent être inscrites pour suppression.




********************

DeleteQuarantine:

Après la fin du nettoyage, le dossier %SystemDrive%\FRST (en général C:\FRST) créé par l'outil FRST doit être supprimé de l'ordinateur. Dans certains cas le dossier ne peut pas être supprimé manuellement parce que le dossier %SystemDrive%\FRST\Quarantine contient des fichiers ou dossiers malveillants verrouillés ou bizarres. La commande DeleteQuarantine: va supprimer le dossier Quarantine.

Les outils qui déplacent les fichiers au lieu de les supprimer ne doivent pas être utilisés pour supprimer %SystemDrive%\FRST car ces outils se contentent de déplacer les fichiers dans leur propre dossier et ils resteront quand même sur le système.

Note : La désinstallation automatique de FRST (voir la description dans Introduction) inclut la même possibilité de suppression d'une quarantaine verrouillée.



********************

DisableService:

Pour désactiver un service ou un service de pilote, vous pouvez utiliser le script suivant :

Citer
DisableService: NomService

Exemple :
DisableService: sptd
DisableService: Wmware Nat Service

FRST va positionner le service sur Désactivé et le service ne sera pas lancé lors du démarrage suivant.

Note : Le nom du service doit être inscrit comme il apparaît dans le Registre ou le rapport d'analyse de FRST, sans rien ajouter. Par exemple, les guillemets ne sont pas nécessaires.



********************

EmptyEventLogs:

Efface les journaux d'événements Windows. Le nombre total de journaux effacés et les erreurs éventuelles seront répertoriés.



********************

EmptyTemp:

Les dossiers suivants sont vidés :
 - Fichiers temporaires de Windows.
 - Dossiers temporaires de l'utilisateur.
 - Caches, zones de stockage HTML5, cookies et historique pour les navigateurs analysés par FRST à l'exception des clones de Firefox.
 - Cache des fichiers ouverts récemment.
 - Cache de Discord.
 - Cache de Java.
 - Cache HTML de Steam
 - Cache des miniatures et des icônes de l'Explorateur
 - File d'attente de transfert BITS (fichiers qmgr.db et qmgr*.dat)
 - Cache WinHTTP AutoProxy
 - Cache DNS
 - Corbeille.

Si la commande EmptyTemp: est utilisée, il y aura redémarrage du système après la correction. Inutile d'utiliser la commande Reboot:.
De plus, peu importe si EmptyTemp: est placée au début, au milieu ou à la fin du fixlist, elle sera exécutée après le traitement de toutes les autres lignes du fixlist.

Important : Quand la commande EmptyTemp: est utilisée, les éléments sont supprimés définitivement. Ils ne sont pas déplacés dans la quarantaine.

Note : La commande est désactivée dans l'Environnement de récupération pour éviter tout dommage.



********************

ExportKey: et ExportValue:

Moyen plus fiable pour inspecter le contenu d'une clé, les commandes permettent de surmonter certaines limitations de regedit.exe et reg.exe.
Les différences des commandes portent sur l'export.
ExportKey: liste toutes les valeurs et les sous-clés récursivement, tandis que ExportValue: affiche uniquement les valeurs de la clé.
 
La syntaxe est :

Citer
ExportKey: clé

Citer
ExportValue: clé

Exemple :
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte
Citer
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte]
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé invalide ]
"Valeur cachée"="Donnée cachée"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée]
HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée => Accès refusé.

=== Fin de ExportKey ===

Note : L'export est destiné uniquement à des fins de recherche et ne peut pas être utilisé pour des opérations de sauvegarde et d'importation.



********************

File:

Pour vérifier les propriétés d'un fichier. Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.

Citer
File: chemin;chemin


Exemple :
File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
Citer
========================= File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe ========================

C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
Fichier non signé
MD5 : A209B88B9B2CF7339BE0AC5126417875
Dates de création et modification : 2024-03-09 12:20 - 2017-04-10 11:44
Taille : 002546176
Attributs : ----A
Nom Entreprise : PainteR
Nom Interne : ProxyEmu
Nom d'origine : emuext.exe
Produit : ProxyEmu
Description : ProxyEmu
Fichier Version : 0.9.1.0
Produit Version : 0.9.1.0
Copyright : painter
Virusscan: https://virusscan.jotti.org/filescanjob/k4nj4qatm6

====== Fin de File: ======

Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).




********************

FilesInDirectory: et Folder:

Pour vérifier le contenu d'un dossier. FilesInDirectory: est destiné à répertorier des fichiers spécifiques correspondant à un ou plusieurs modèles avec joker *, tandis que Folder: est conçu pour obtenir le contenu complet d'un dossier. La sortie des deux commandes inclut les sommes de contrôle MD5 (pour tous les fichiers) et les signatures numériques (pour les fichiers .exe, .dll, .sys et .mui).

La syntaxe est :

Citer
FilesInDirectory: chemin\modèle;modèle

Citer
Folder: chemin

Exemple :

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

Note : La commande Folder: fonctionne de manière récursive et répertorie le contenu de tous les sous-dossiers. Par conséquent, il pourrait en résulter des rapports gigantesques.



********************

FindFolder:

Voir la section Fonctions de recherche dans Autres analyses facultatives. La commande fonctionne de la même manière que FindFolder: dans la zone Rechercher, mais les résultats sont enregistrés dans le fichier Fixlog.txt.



********************

Hosts:

Pour réinitialiser le fichier hosts. Voir aussi hosts dans la section Analyse principale (FRST.txt).



********************

ListPermissions:

Utilisé pour lister les autorisations sur les fichiers/dossiers/clés mentionnés dans le script.

Citer
ListPermissions: chemin/clé

Exemple :
Listpermissions: C:\Windows\Explorer.exe

Listpermissions: C:\users\Utilisateur\appdata

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip

ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd




********************

Move:

Parfois, renommer ou déplacer un fichier, surtout quand cela se passe entre des lecteurs, peut s'avérer compliqué et la commande MS Rename peut échouer. Pour déplacer ou renommer un fichier, utilisez le script suivant :

Citer
Move: source destination

Exemple :
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis déplace le fichier source vers l'emplacement de destination.

Note 1 : On peut renommer un fichier en utilisant l'instruction Move:.

Note 2 : Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.



********************

Powershell:

Pour exécuter des commandes ou des fichiers script PowerShell.

1. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans le fichier Fixlog.txt, la syntaxe est :

Powershell: commande
Exemple :
Citer
Powershell: Get-Service

2. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans un fichier texte (et non dans le fichier Fixlog.txt), utilisez about_Redirection ou Out-File

Citer
Powershell: commande > "Chemin d'accès d'un fichier texte"
Citer
Powershell: commande | Out-File "Chemin d'accès d'un fichier texte"

Exemple :
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

3. Pour exécuter un fichier script (.ps1), préparé à l'avance, contenant une ou plusieurs commandes/lignes PowerShell, la syntaxe est :

Citer
Powershell: "Chemin d'accès d'un fichier script"

Exemples :
Powershell: C:\Users\NomUtilisateur\Desktop\script.ps1Powershell: "C:\Users\Nom Utilisateur\Desktop\script.ps1"

4. Pour exécuter plusieurs commandes/lignes PowerShell comme si elles étaient dans un fichier script (.ps1), mais sans créer de fichier .ps1, utilisez un point-virgule ; pour les séparer, au lieu de retours à la ligne :

Powershell: ligne 1; ligne 2; (et ainsi de suite)
Exemple :
Citer
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\Utilisateur\Desktop\file.exe")

On peut également utiliser les commandes StartPowershell: - EndPowershell: (voir ci-dessous).



********************

Reboot:

Pour forcer un redémarrage.

Peu importe l'endroit où vous placez cette commande dans le fixlist. Même si vous la mettez au début, le redémarrage sera effectué après le traitement de toutes les autres commandes/instructions.

Note : Cette commande ne fonctionnera pas et n'est pas nécessaire dans l'Environnement de récupération.



********************

Reg:

Pour manipuler le Registre Windows en utilisant l'outil de ligne de commande Reg.

La syntaxe est :

Citer
Reg: commande reg


Exemple :

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\Utilisateur\Desktop\backup.reg


Note : Contrairement aux instructions natives de FRST, la commande Reg doit respecter la syntaxe correcte de reg.exe, comme l'utilisation des guillemets en cas de présence d'espaces dans le nom de la clé/valeur.

Note: Cette commande ne traitera pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: décrits précédemment dans le tutoriel.



********************

RemoveDirectory:

Pour supprimer (et non déplacer dans la Quarantaine) des dossiers avec des droits limités et des chemins ou noms invalides. La commande Unlock: est inutile.
Cette commande doit être utilisée pour les dossiers qui résistent à l'opération de déplacement normale. Si elle est utilisée en Mode sans échec, elle sera très puissante, et en mode RE (Environnement de récupération) elle sera extrêmement puissante.

Le script sera :

Citer
RemoveDirectory: chemin




********************

RemoveProxy:

Supprime certains paramètres de restriction de stratégie d'Internet Explorer comme "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" et "ProxySettingsPerUser" dans "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings".
Cette commande supprime les valeurs "ProxyEnable" (si elle est définie à 1), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" et "SavedLegacySettings" des clés machine et utilisateur.
Elle applique aussi la commande BITSAdmin avec NO_PROXY.

De plus, elle supprime la valeur par défaut de la clé "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" si elle a été modifiée.

Note : S'il existe un programme ou un service actif qui restaure ces paramètres, le logiciel doit être désinstallé, et le service doit être supprimé, avant d'utiliser la commande. Ceci afin que les paramètres de proxy ne reviennent pas.



********************

Replace:

Pour remplacer un fichier, utilisez le script suivant :

Citer
Replace: source destination

Exemple :
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis copie le fichier source à l'emplacement de destination.

Il ne déplace pas le fichier source, qui se trouve toujours à son emplacement d'origine. Donc dans l'exemple ci-dessus, le fichier dnsapi.dll est resté dans les dossiers WinSxS.

Note : Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.

Note : Si le dossier de destination est absent, la commande ne fonctionnera pas. FRST ne reconstruit pas une structure de dossier complète. La commande Copy: pourrait être utilisée à la place.



********************

RestoreFromBackup:

La première fois où l'outil est exécuté, il copie les ruches du Registre dans le dossier %SystemDrive%\FRST\Hives (généralement C:\FRST\Hives) en tant que sauvegarde.
Ceci ne sera pas écrasé par les exécutions suivantes de l'outil, sauf si cette sauvegarde date de plus de deux mois. Si quelque chose s'est mal passé, l'une ou l'autre des ruches peut être restaurée.
La syntaxe sera :

RestoreFromBackup: NomRuche


Exemples :
RestoreFromBackup: software
RestoreFromBackup: system



********************

RestoreMbr:

Pour restaurer le MBR, FRST va utiliser MbrFix qui est enregistré sur la clé USB pour écrire un fichier MBR.bin sur un lecteur. Ce qui est nécessaire: l'utilitaire MbrFix/MbrFix64, le MBR.bin à restaurer et le script montrant le lecteur :

Citer
RestoreMbr: Drive=#

Exemple :
RestoreMbr: Drive=0
(Note : Le MBR à restaurer doit être nommé MBR.bin, mis en archive zip et attaché).



********************

RestoreQuarantine:

Pour restaurer l'ensemble du contenu de la quarantaine, ou restaurer un seul fichier ou plusieurs fichiers depuis la quarantaine.

Pour restaurer tout le contenu de la quarantaine, la syntaxe est

soit :
RestoreQuarantine:
soit :
RestoreQuarantine: C:\FRST\Quarantine
Pour restaurer un fichier ou un dossier, la syntaxe est :

Citer
RestoreQuarantine: CheminDansLaQuarantaine

Exemple :
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Utilisateur\Desktop\ANOTB.exe.xBAD

Pour trouver le chemin d'accès dans la quarantaine, vous pouvez utiliser :

soit :
Folder: C:\FRST\Quarantine
soit :
CMD: dir /a/b/s C:\FRST\Quarantine
Note : Si un fichier existe déjà (hors de la quarantaine) dans l'emplacement de destination, FRST ne l'écrasera pas. Le fichier d'origine ne sera pas déplacé et restera dans la quarantaine. Cependant, si vous devez restaurer le fichier depuis la quarantaine, le fichier présent dans l'emplacement de destination doit au préalable être renommé/supprimé.



********************

SaveMbr:

Voir la section Lecteurs et MBR & Table des partitions dans le tutoriel.

Pour faire une copie du MBR la syntaxe suivante est utilisée :

Citer
SaveMbr: Drive=#

Exemple :
SaveMbr: Drive=0
En faisant ceci, un fichier MBRDUMP.txt sera créé sur la clé USB, qui doit être attaché au message par l'utilisateur.

Note: Bien qu'un vidage du MBR puisse être obtenu en mode normal ou en environnement de récupération (RE), certaines infections sont capables de contrefaire le MBR quand Windows est chargé. Par conséquent, il est conseillé de le faire en environnement de récupération (RE).



********************

SetDefaultFilePermissions:

Commande créée pour les fichiers/dossiers système verrouillés. Elle définit le groupe "Administrateurs" en tant que propriétaire et selon le système, accorde les droits d'accès aux groupes standard.

Note : elle ne définira pas TrustedInstaller en tant que propriétaire, mais cependant elle peut être utilisée pour des fichiers système qui sont verrouillés par le malveillant.

Le script sera :

Citer
SetDefaultFilePermissions: chemin




********************

StartBatch: — EndBatch:

Pour créer et exécuter un fichier batch.

La syntaxe est :
StartBatch:
Ligne 1
Ligne 2
Etc.
EndBatch:
Le résultat sera inscrit dans le fichier Fixlog.txt.


********************

StartPowershell: — EndPowershell:

Une meilleure alternative pour créer et exécuter un fichier PowerShell contenant plusieurs lignes (voir la commande Powershell: précédemment dans le tutoriel).

La syntaxe est :
StartPowershell:
Ligne 1
Ligne 2
Etc.
EndPowershell:
Le résultat sera inscrit dans le fichier Fixlog.txt.



********************

StartRegedit: — EndRegedit:

Pour créer et importer un fichier Registre (.reg).

La syntaxe est :
StartRegedit:
fichier en format .reg
EndRegedit:

Inclure l'entête Windows Registry Editor Version 5.00 est facultatif, mais l'entête REGEDIT4 est nécessaire.

Exemple :
Citer
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:

Il y aura une ligne de confirmation dans le fichier Fixlog.txt :

Citer
Registre ====> L'opération s'est terminée avec succès.

Note: La ligne de confirmation apparaît en dépit d'éventuelles erreurs dans votre fichier .reg.

Note: Ces commandes ne traiteront pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: décrits précédemment dans le tutoriel.



********************

Symlink:

Pour lister les liens symboliques ou les jonctions dans un dossier.

La syntaxe est :

Symlink: Chemin
Exemple :

Citer
Symlink: C:\Windows

Note : La directive fonctionne de manière récursive. Par conséquent, l’analyse peut prendre un temps considérable en fonction de l’emplacement.




********************

SystemRestore:

Pour activer ou désactiver la restauration du système.

La syntaxe est la suivante :

SystemRestore: On
SystemRestore: Off
Lorsque le commutateur On est utilisé, FRST vérifie s'il y a suffisamment d'espace libre pour activer la restauration du système. Si l'exigence n'est pas remplie, une erreur sera indiquée.



********************

TasksDetails:

Liste des détails supplémentaires sur les tâches planifiées relatifs à l'horaire d'exécution.


Exemple :
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
Note: Cette commande n'est pas prise en charge sous Windows XP et ne fonctionne qu'en mode normal.



********************

testsigning on:

Note : Pour Windows Vista et versions ultérieures, non pris en charge sur les périphériques avec le démarrage sécurisé (Secure Boot) activé.

L'activation testsigning est une modification BCD non définie par défaut, qui pourrait être introduite par des logiciels malveillants ou des utilisateurs qui tentent d'installer des pilotes non pris en charge. Lorsque FRST trouve des preuves de ce genre de falsification, il le signalera comme ceci :

Citer
testsigning: ==> 'testsigning' est activé. Rechercher un éventuel pilote non signé <===== ATTENTION

Inspectez la section Pilotes à la recherche d'un pilote correspondant à l'avertissement. Selon la situation, inclure le pilote avec l'avertissement ou l'avertissement seul dans la liste de correctifs.

En cas d'effets secondaires après le traitement des entrées, utilisez la commande pour réactiver la signature de test pour un dépannage supplémentaire :



********************

Unlock:

Cette commande, dans le cas de fichiers/dossiers, définit le groupe "Administrateurs" en tant que propriétaire et accorde l'accès aux "Administrateurs", "Utilisateurs" et "SYSTÈME". Elle doit être utilisée pour les fichiers/dossiers nuisibles.
Pour déverrouiller des éléments système, utilisez la commande SetDefaultFilePermissions:.
 
Dans le cas de clés du Registre, elle définit le groupe "Administrateurs" en tant que propriétaire, et donne au groupe l'accès normal, et ne fonctionne que sur la clé concernée.
Elle peut être utilisée à la fois sur des clés légitimes et des clés nuisibles.

Le script sera :

Citer
Unlock: chemin

Note : Pour supprimer un élément, vous n'avez pas besoin de le déverrouiller avant de le supprimer :
- Pour les fichiers/dossiers, incluez simplement le chemin dans la liste de correctifs et FRST réinitialisera les autorisations et déplacera les objets en dans le dossier Quarantine. Pour supprimer définitivement un dossier, utilisez la commande RemoveDirectory:.
- Pour les clés de registre, utilisez la commande DeleteKey:.





********************

Virusscan:

Pour vérifier les fichiers avec Jotti.
FRST recherchera des analyses antérieures dans la base de données Jotti. Un fichier qui n'a jamais été soumis à Jotti sera téléchargé pour analyse.

Virusscan: chemin d'accès;chemin d'accès
Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.




********************

Zip:

Pour mettre des fichiers/dossiers dans une archive nommée Date_Heure.zip, placée sur le Bureau de l'utilisateur, qui pourra ensuite être transférée (upload) manuellement par l'utilisateur.
Dans le cas de fichiers/dossiers ayant le même nom, plusieurs archives seront créées.

Zip: chemin d'accès;chemin d'accès
Autant de fichiers/dossiers que nécessaire peuvent être inclus, séparés par des points-virgules.

Exemple :
Citer
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log




********************


.

« Modifié: mars 14, 2024, 15:20:54 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #7 le: septembre 09, 2013, 20:06:07 »
Discours en conserve


********************

Analyse


Exemple d'instructions (pour l'expert offrant de l'aide) pour que l'utilisateur exécute FRST en Mode normal - Windows Vista, 7, 8, 10 et 11 :

Téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Too[/b]l[/url] et enregistrez-le sur le Bureau.

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]

[LIST]
[*]Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur. Validez la "clause de non-responsabilité".
[*]Cliquez sur le bouton [b]Analyser[/b].
[*]L'outil va créer deux rapports [b]FRST.txt[/b] et [b]Addition.txt[/b] situés dans le dossier depuis lequel l'outil s'exécute.
[*]Copiez et collez ces rapports dans votre réponse.
[/LIST]



Exemple d'instructions pour exécuter FRST dans l'Environnement de récupération (RE) - Windows Vista et Windows 7:

Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] et enregistrez-le sur une clé USB.

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]

Branchez la clé USB sur le PC infecté.


[color=#0000FF][b]Pour entrer dans le menu Options de récupération du système depuis les Options de démarrage avancées :[/b][/color]
[list]
[*]Faites redémarrer l'ordinateur.
[*]Dès que le BIOS est chargé, appuyez sur la touche [b] F8[/b] jusqu'à ce que l'écran Options de démarrage avancées apparaisse.
[*]Utilisez les touches flèches pour sélectionner l'élément de menu [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue du clavier, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez le système d'exploitation que vous voulez réparer, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]



[color=#0000FF][b]Pour entrer dans les Options de récupération du système en utilisant le disque d'installation Windows ou un [url=https://support.microsoft.com/fr-fr/help/17423/windows-7-create-system-repair-disc]disque de récupération[/url] :[/b][/color]
[list]
[*]Insérez le disque d'installation ou le disque de récupération.
[*]Faites redémarrer le PC.
[*]A l'invite, cliquez sur une touche pour faire démarrer Windows depuis le disque d'installation. Si votre ordinateur n'est pas configuré pour démarrer depuis un CD ou un DVD, vérifiez les paramètres du BIOS.
[*]Cliquez sur [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue et de clavier, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez le système d'exploitation à réparer, et cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]



[color=#0000FF][b]Dans le menu Options de récupération système vous verrez les options suivantes :[/b][/color]
[b]Réparation du démarrage
Restaurer le système
Récupération de l'image système
Diagnostic de mémoire Windows
Invite de commandes[/b]

Sélectionnez [b]Invite de commandes[/b]

[color=#0000FF][b]Dans l'Invite de commandes:[/b][/color]
[list]
[*]Dans la fenêtre de commande saisissez [b]notepad[/b] puis appuyez sur [b]Entrée[/b].
[*]Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b].
[*]Sélectionnez "Poste de travail" cherchez la lettre associée à votre clé USB et fermez le Bloc-notes.
[*]Dans la fenêtre de commande, saisissez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et appuyez sur [b]Entrée[/b]
[b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre du lecteur de la clé USB.
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*]Cliquez sur le bouton [b]Analyser[/b].
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.
[/list]




Exemple d'instructions pour exécuter FRST dans l'Environnement de récupération (RE) - Windows 8, 10 et 11 :

Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] et enregistrez-le sur une clé USB.

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]

Branchez la clé USB sur le PC infecté.


[color=#0000FF][b]Pour démarrer sur les Options Avancées de Démarrage :[/b][/color]

[list][*] Dans [b]Paramètres[/b] -> [b]Mise à jour et sécurité[/b] -> [b]Récupération[/b] -> dans la rubrique [b]Démarrage avancé[/b], cliquez sur [b]Redémarrer maintenant[/b]
[*] Le système redémarre sur les [b]Options Avancées[/b]
[*] Cliquez sur l'option [b]Dépannage[/b], puis sur [b]Options avancées[/b]
[*] Dans les [b]Options avancées[/b], cliquez sur [b]Invite de commandes[/b]
[*] Le système redémarre
[*] Sélectionnez le [b]Compte Utilisateur [/b]et renseignez le mot de passe, puis cliquez sur [b]Continuer[/b]
[*] L'[b]Invite de commandes[/b] s'ouvre

[i][u]Note[/u] : Si Windows ne démarre plus, les Options Avancées de Démarrage s'affichent au démarrage. Si ce n'est pas le cas, forcez l'arrêt du système trois fois de suite. La réparation automatique se lance, puis cliquez sur Options avancées[/i][/list]

[list][*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]
[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et validez par [b]Entrée[/b]
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]f[/color] par la lettre de lecteur associée à la clé USB[/i]
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*] Cliquez sur le bouton [b]Analyser[/b]
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.
[/list]




********************

Correction


Exemples d'instructions pour une correction réalisée en Mode normal ou sans échec, c'est-à-dire depuis Windows :

Téléchargez le fichier attaché [b]fixlist.txt[/b] et enregistrez-le sur le Bureau.

[u][b]NOTE.[/b][/u] Il est important que les deux fichiers, [b]FRST/FRST64[/b] et [b]fixlist.txt [/b] se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

[b][color=#FF0000]AVERTISSEMZNT : Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.[/color][/b]

Exécutez [b][color=#0000FF]FRST/FRST64[/color][/b], cliquez une seule fois sur le bouton [b]Corriger[/b] et attendez.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement. Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copiez/collez ce rapport dans votre réponse.


[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Copiez la totalité du contenu, de [b]Start::[/b] à [b]End::[/b] de la zone Code ci-dessous ([i]clic-droit -> Sélectionner -> Copier[/i])

Start::
.......
End::

[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps de la correction
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans votre réponse.[/list]

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows[/i] /!\[/b][/color]


[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Appuyez simultanément sur les touches [b]Ctrl + y[/b]. Un fichier [b]fixlist.txt[/b] s'ouvre
[*]Copiez/collez la totalité du contenu de la zone Code ci-dessous dans ce fichier

start
.........
end

[*]Appuyez simultanément sur les touches [b]Ctrl + s[/b] pour enregistrer, puis refermez le fichier [b]fixlist.txt[/b]
[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps de la correction
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans ta réponse.[/list]

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows[/i] /!\[/b][/color]



Exemple d'instructions pour une correction réalisée dans l'Environnement de récupération (WinRE) :

[list][*] Depuis le PC sain, ouvrez le [b]Bloc-notes[/b] (Démarrer => Tous les programmes => Accessoires => Bloc-notes).

[*] Copiez/collez la totalité du contenu de la zone [b]Code[/b] ci-dessous dans le Bloc-notes

start
.........
end

[*] Enregistrez le fichier [b]sur la clé USB[/b] sous le nom [b]fixlist.txt[/b]
[*] Connectez la clé la sur le PC infecté, qui est normalement sous WinRE

[*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]
[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et validez par [b]Entrée[/b]
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre de lecteur associée à la clé USB[/i]
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*] Cliquez sur le bouton [b]Corriger[/b]
[*] A la fin de l'analyse, un rapport d'analyse [b]Fixlog.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.[/list]

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows[/i] /!\[/b][/color]

« Modifié: novembre 15, 2021, 13:52:10 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #8 le: juillet 30, 2014, 14:51:41 »
Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici.


(2013 -> 2016)
Spoiler: ShowHide
  • 09/09/2013 - Création
  • 11/09/2013 - Éclaircissements: entête, clés Run, DefaultScope, StartMenuInternet, Chrome, Services
  • 11/09/2013 - Ajout de l'attribut N
  • 11/09/2013 - Ajout d'un paragraphe sur l'Unicode
  • 11/09/2013 - Ajout d'une note explicative à DeleteJunctionsInDirectory:
  • 24/09/2013 - Ajout, dans Addition.txt, d'explications sur les analyses Centre de sécurité (Security Center) et Mode sans échec (Safe Mode)
  • 01/11/2013 - Modification de la section Winsock: Catalog5 pour procéder au "netsh winsock reset" après redémarrage
  • 02/11/2013 - Modification de la modification du 01/11/2013 (redémarrage avant la commande "netsh winsock reset" seulement si nécessaire)
  • 20/11/2013 - Correction - ajout d'informations sur l'entête Fixlog
  • 15/12/2013 - Modification - DeleteJunctionsInDirectory: utilisable désormais dans tous les modes
  • 15/12/2013 - Section Winsock: Catalog5, ajout d'un exemple de correction d'une rupture d'accès à internet
  • 30/12/2013 - Ajout de RemoveDirectory: et SetDefaultFilePermissions: dans Instructions/Commandes
  • 30/12/2013 - Ajout d'explications sur ce que fait la commande Unlock:
  • 30/12/2013 - Ajout d'explications supplémentaires sur la fonction de recherche (Search)
  • 19/01/2014 - Ajout d'une information: FRST ne fonctionne pas sur les machines XP 64-bit
  • 19/01/2014 - Ajout d'explications sur les listes blanches
  • 19/01/2014 - Exemple d'entête modifié et mis à jour
  • 22/01/2014 - Ajout d'une note explicative sur la correction AppInit_DLLs dans la section Registre
  • 29/01/2014 - Modification de la description de la fonction de recherche (Search) pour indiquer que la recherche sur X: intervient en mode récupération.
  • 12/02/2014 - Modification de la description de la liste des programmes installés dans Addition.txt pour les programmes cachés
  • 12/02/2014 - Ajout du rapport Éléments désactivés depuis MSCONFIG (Disabled items from MSCONFIG) dans Addition.txt
  • 04/03/2014 - Mise à jour de la liste des analyses facultatives, modification de l'image de la console FRST
  • 06/03/2014 - Ajout de la commande Reboot:   
  • 15/03/2014 - Ajout de la commande RestoreQuarantine:
  • 15/03/2014 - Analyses facultatives, ajout de MD5 Pilotes (Drivers MD5) et Shortcut.txt
  • 15/03/2014 - Ajout d'un exemple de correctif pour le cas où les stratégies de groupe sont utilisées pour bloquer les modifications sur les extensions de Google Chrome
  • 24/04/2014 - Ajout de la commande ListPermissions:
  • 24/04/2014 - Ajout d'une explication sur la façon dont FRST gère les corrections relatives aux services (section Correction)
  • 24/04/2014 - SaveMbr: ajouté dans la liste au début de la section Instructions/Commandes
  • 02/05/2014 - Ajout de la commande DeleteKey:
  • 08/05/2014 - Ajout d'une explication sur Association de fichier EXE dans le chapitre Addition.txt dans la section Correction
  • 16/05/2014 - Modification de la section Fonctions de recherche, paragraphe Search Files modifié et ajout de la fonction Search Registry
  • 02/06/2014 - Modification du paragraphe Chrome dans la section Correction: erreur sur fichier "Preferences"
  • 10/06/2014 - Ajout de la commande VerifySignature:
  • 10/06/2014 - Développement des explications sur le Registre dans la section Correction
  • 24/06/2014 - Clarifications dans le paragraphe "Zones d'analyse par défaut"
  • 22/07/2014 - Les clés Firefox sont listées, que le programme soit ou non installé
  • 22/07/2014 - La commande DeleteKey: peut supprimer des liens symboliques de Registre
  • 29/07/2014 - Liste "CLSID personnalisé" ajoutée dans l'analyse Addition.txt
  • 11/08/2014 - Ajout de la commande EmptyTemp:
  • 14/08/2014 - Cache Java ajouté à la liste EmptyTemp:, et informations processeur ajoutées sous Informations mémoire
  • 19/08/2014 - Modification de la section Chrome. Tous les éléments sauf DefaultSearchProvider peuvent désormais être corrigés via FRST
  • 24/08/2014 - Modification du paragraphe DeleteJunctionsInDirectory:
  • 27/08/2014 - Ajout d'explications sur "Certains fichiers du dossier TEMP" ("Some content of TEMP")
  • 27/08/2014 - Ajout de la commande Hosts:
  • 27/08/2014 - Mise à jour de certains intitulés et ajout de Platform: dans l'exemple d'entête
  • 28/08/2014 - Ajout d'une note précisant que le joker ne fonctionne pas pour les dossiers dans les sections "One Month Created Files and Folders" et "One Month Modified Files and Folders" (Fichiers créés ou modifiés lors du dernier mois).
  • 28/08/2014 - Ajout d'une explication sur l'emplacement des sections "EXE ASSOCIATION" (Association de fichier EXE), "Restore Points" (Points de restauration) et "Memory info" (Informations mémoire) quand l'analyse est effectuée dans ou en dehors de l'Environnement de récupération.
  • 31/08/2014 - Ajout d'un lien vers la traduction polonaise.
  • 02/09/2014 - Ajout d'une explication sous Programmes installés (Installed Programs) à propos du marquage des programmes publicitaires/indésirables
  • 02/09/2014 - Ajout d'une explication sous Modules chargés (Loaded Modules)
  • 02/09/2014 - Ajout d'une explication sur la correction des plugins dans Firefox
  • 07/09/2014 - Simplification des explications sur les add-ons, extensions et plugins de Firefox
  • 07/09/2014 - Les clés Chrome sont listées, que le programme soit ou non installé
  • 08/09/2014 - Ajout de la commande CloseProcesses:
  • 19/09/2014 - Mise à jour de la section État de sortie, paragraphe Entête
  • 11/10/2014 - Mise à jour de l'exemple d'entête: ajout des informations de profil
  • 11/10/2014 - Mise à jour du paragraphe Addition.txt: ajout des informations sur les comptes
  • 11/10/2014 - Mise à jour des informations sur les listes blanches dans Introduction
  • 13/10/2014 - Ajout de la commande FindFolder:
  • 15/10/2014 - Mise à jour de l'exemple et des informations de l'entête du rapport de correction
  • 16/10/2014 - Ajout d'une explication sur l'entête RE (Environnement de récupération) après l'exemple d'entête FRST
  • 02/12/2014 Exemples IE HKCU remplacés par HKU
  • 02/12/2014 Exemples FF HKCU remplacés par HKU
  • 02/12/2014 Ajout de l'alerte à propos de la version "dev" de Chrome
  • 02/12/2014 Suppression de l'alerte au sujet d'une possible corruption du fichier "preferences" de Chrome. Devenu obsolète après les modifications de Chrome.
  • 02/12/2014 Suppression de la référence à Google Chrome DefaultSearchProvider. Devenu obsolète après les modifications de Chrome.
  • 13/12/2014 - Mise à jour du libellé de l'alerte testsigning:
  • 19/12/2014 - Ajout de la commande CreateRestorePoint:
  • 29/12/2014 - Ajout de la mention du navigateur par défaut dans l'entête
  • 12/01/2015 - Clarification du paragraphe Firefox de la section Correction
  • 24/01/2015 - Ajout d'informations sur l'entête du rapport d'analyse Addition.txt
  • 24/01/2015 - Ajout, dans la section Registre, d'un exemple de détection de la présence d'une valeur DisableSR ou DisableConfig
  • 27/01/2015 - Ajout d'une note dans la section Registre pour signaler aux lecteurs que lorsque la Restauration système est désactivée, il y a aussi un avertissement dans le rapport d'analyse Addition.txt
  • 28/01/2015 - Ajout du navigateur Opera dans la section Correction
  • 28/01/2015 - Ajout d'un guide pour supprimer des extensions dans Chrome
  • 09/02/2015 - Ajout, dans la description de la commande DeleteKey:, des suppressions de clé via le format regedit
  • 16/02/2015 - Ajout, dans la section Addition.txt, d'une explication sur les analyses "Autres zones"
  • 01/03/2015 - Mise à jour de l'image de la console FRST
  • 01/03/2015 - Mise à jour de la description de la commande EmptyTemp:, ajout de Opera et de HTML5 Local Storage
  • 05/03/2015 - Mise à jour des liens de téléchargement
  • 05/03/2015 - Clarification du paragraphe Services et Pilotes de la section Correction
  • 09/03/2015 - Ajout de la commande RemoveProxy:
  • 09/03/2015 - Ajout de l'option d'analyse 90 Days Files
  • 13/04/2015 - Modification de la description de la commande EmptyTemp:, l'historique de FF n'est pas supprimé
  • 22/04/2015 - Ajout, dans la section Addition.txt, de la liste des sites de confiance/sensibles d'Internet Explorer
  • 27/04/2015 - Ajout de l'analyse Règles du pare-feu (FirewallRules) dans la section Addition.txt
  • 21/07/2015 - Explication du [X] ajouté dans le paragraphe Services et Pilotes (Drivers) de la section Correction
  • 22/07/2015 - Ajout du Contrôle de compte d'utilisateur (UAC) et du Pare-feu Windows dans le paragraphe Autres zones (Other areas) de la section Addition.txt
  • 28/08/2015 - Francisation des libellés
  • 28/08/2015 - Dans Correction, clarification de la rubrique internet
  • 28/08/2015 - Ajout d'un lien dans la description de la commande RestoreMBR:
  • 28/08/2015 - Mise à jour de plusieurs exemples pour les adapter aux modifications de la présentation des états de sortie
  • 01/09/2015 - Mise à jour de la section Correction pour refléter les modifications du rapport d'analyse Internet Explorer
  • 07/09/2015 - Mise à jour de l'exemple d'entête du fichier Addition.txt
  • 09/10/2015 - Ajout de la prise en charge de Windows 10 dans le paragraphe "Avec quoi il fonctionne"
  • 09/10/2015 - Ajout de l'analyse Edge dans la section Correction
  • 09/10/2015 - Mise à jour de l'explication sur les profils sous Firefox et Chrome
  • 09/10/2015 - Mise à jour du format d'affichage des restrictions (stratégies de groupe) dans Chrome
  • 09/10/2015 - Mise à jour avec un exemple du paragraphe Tâches planifiées dans la section Additions.txt
  • 09/10/2015 - Mise à jour de l'explication MSCONFIG/TASK MANAGER éléments désactivés dans la section Additions.txt
  • 09/10/2015 - Suppression de Microsoft Office de la liste des erreurs du Journal des événements
  • 09/10/2015 - Mise à jour de la commande EmptyTemp: pour ajouter la suppression du cache Edge
  • 22/10/2015 - Modification de la Table des matières par ajout de Liste BCD
  • 22/10/2015 - Dans FF, les modules complémentaires non signés sont signalés
  • 22/10/2015 - Mise à jour de la description et des exemples pour BHOs, Plugins FF, extensions dans le Registre pour Chrome
  • 22/10/2015 - Simplification de la description et de l'exemple dans Alternate Data Streams - ADS (Flux de Données Additionnels)
  • 22/10/2015 - Ajout de Liste BCD dans Autres fonctions
  • 13/11/2015 - Ajout, dans la section Introduction, de la façon de forcer la création de rapports d'analyse en anglais
  • 27/11/2015 - Ajout du paragraphe Raccourcis dans la section Addition.txt
  • 01/12/2015 - Mise à jour du paragraphe Raccourcis dans la section Addition.txt
  • 01/12/2015 - Mise à jour du paragraphe "Un mois - Créés - fichiers et dossiers / Un mois - Modifiés - fichiers et dossiers" dans la section Correction
  • 30/12/2015 - Modification de l'ordre de présentation des rubriques de Addition.txt afin que le tutoriel corresponde à la dernière version de FRST
  • 30/12/2015 - Ajout de la liste des paragraphes de Addition.txt dans la Table des matières
  • 04/01/2016 - Suppression de la mention "ATTENTION" dans la rubrique Raccourcis
  • 04/01/2016 - Ajout des ports globalement ouverts (GloballyOpenPorts) dans les Règles Pare-feu
  • 05/03/2016 - Ajout des informations de taille dans le paragraphe Alternate Data Streams - ADS (Flux de Données Additionnels)
  • 05/03/2016 - Ajout de la commande Zip:
  • 20/04/2016 - Mise à jour de la description Opera
  • 20/04/2016 - Clarification de la section "Services et Pilotes"
  • 20/04/2016 - Ajout de l'attribut X dans le paragraphe "Un mois - Créés - fichiers et dossiers..."
  • 20/04/2016 - Suppression du paragraphe "Alternate Data Streams" dans la section Correction
  • 20/04/2016 - Mise à jour de la section "Bamital & volsnap"
  • 20/04/2016 - Mise à jour du lien dans le paragraphe "Internet Explorer sites de confiance/sensibles"
  • 20/04/2016 - Ajout des descriptions "Hosts contenu" et "Points de restauration" dans la section Addition.txt
  • 20/04/2016 - Mise à jour de la description de la commande EmptyTemp: (cache HTML Steam et transfert BITS)
  • 20/04/2016 - Mise à jour de la description "Recherche de fichiers" : ajout de la vérification des signatures numériques
  • 20/04/2016 - Ajout de notes pour rappeler que la vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération
  • 20/04/2016 - Diverses modifications cosmétiques
  • 28/04/2016 - Ajout d'une note relative aux limitations de l'analyse Un mois...
  • 28/04/2016 - Ajout de la détection WMI malware à l'analyse Shortcuts dans Addition.txt
  • 28/04/2016 - Mise à jour du paragraphe Shortcut.txt
  • 10/05/2016 - L'analyse "EXE Association" est renommée en "Association" (dans toutes les cas) et élargie (seulement dans l'analyse Addition.txt)
  • 10/05/2016 - Correction de l'exemple de la commande File:
  • 12/05/2016 - Réorganisation de la présentation du tutoriel
  • 11/06/2016 - Ajout d'un lien vers la traduction russe
  • 16/06/2016 - Mise à jour de la liste des "Zones d'analyse par défaut"
  • 16/06/2016 - Ajout d'une explication sur l'utilisation des caractères "?" dans les descriptions "Un mois..." et "Recherche dans le Registre"
  • 16/06/2016 - Ajout de la commande Powershell:
  • 16/06/2016 - Ajout de précisions dans la description de la commande "Zip:"
  • 16/06/2016 - Indication des limites de la zone d'analyse dans les descriptions "FindFolder:" et "Recherche de fichiers"
  • 16/06/2016 - Ajout des fichiers et dossiers "modifiés" dans la description "Fichiers 90 jours"
  • 18/06/2016 - Ajout du cache des icônes dans la liste EmptyTemp:
  • 05/07/2016 - Mise à jour de la description de la commande Powershell:
  • 22/07/2016 - Ajout des commandes StartBatch: - EndBatch: et StartPowershell: - EndPowershell:
  • 22/07/2016 - Correction des descriptions des commandes SetDefaultFilePermissions: et Unlock:
  • 22/07/2016 - Le fichier journal rapport de recherche "Recherche dans le Registre" est renommé en SearchReg.txt
  • 25/07/2016 - Ajout des commandes StartRegedit: - EndRegedit:
  • 25/07/2016 - Mise à jour de la description de la commande Reg:
  • 15/08/2016 - Ajout des extensions dans le paragraphe Edge
  • 22/09/2016 - Mise à jour de la description de "MSCONFIG/TASK MANAGER éléments désactivés" avec des explications sur la correction et de nouveaux exemples
  • 13/10/2016 - Suppression, dans la section Registre, de l'ancienne détection relative à une modification ZeroAccess ("File name is altered")
  • 13/10/2016 - Développement des explications stratégies (Policies) dans la section Registre pour traiter les restrictions SAFER, les scripts GPO et une nouvelle détection Registry.pol
  • 13/10/2016 - Mise à jour de la description Firefox : l'analyse traite tous les profils (et concerne aussi les clones de Firefox)
  • 13/10/2016 - Mise à jour de la description Chrome pour inclure le signalement de profils et le traitement des préférences
  • 13/10/2016 - La case située devant Addition.txt est désormais toujours pré-cochée
  • 13/10/2016 - Ajout de la commande TasksDetails:
  • 09/12/2016 - Ajout de la correction du service Themes dans les exceptions sous Services
  • 09/12/2016 - La sauvegarde des ruches du Registre sera écrasée si elle date de plus de deux mois
  • 09/12/2016 - Mise à jour de la description de la commande Zip: en raison de la nouvelle convention de nommage du fichier ZIP





.  Merci à nickW
« Modifié: mai 05, 2019, 10:30:26 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #9 le: août 25, 2017, 13:41:04 »
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici.


(2017)
Spoiler: ShowHide
  • 18/01/2017 - Mise à jour de la description Registre: la suppression des clés verrouillées est planifiée après redémarrage
  • 24/01/2017 - Suppression du lien vers la traduction allemande
  • 01/02/2017 - Remplacement du lien vers la traduction française
  • 13/02/2017 - Description du paragraphe Unicode déplacée dans Introduction et mise à jour avec de nouveaux exemples
  • 13/02/2017 - Suppression du paragraphe Nettoyage des plugins "Aucun fichier" dans la description de Chrome (les contrôles des plugins ne sont pas disponibles dans Chrome 56+)
  • 13/02/2017 - Mise à jour de divers exemples et des liens corrigés
  • 19/02/2017 - Ajout de la commande ExportKey:
  • 23/02/2017 - Ajout de la commande ExportValue:
  • 05/03/2017 - Ajout de la commande DeleteValue:
  • 05/03/2017 - Prise en charge de la commande DeleteKey: en Mode de Récupération
  • 05/05/2017 - Ajout du raccourci Ctrl + y pour créer automatiquement un fixlist.txt vide
  • 05/05/2017 - Mise à jour de la description de Chrome pour inclure des instructions sur la façon de gérer les redirections et les extensions New Tab
  • 05/05/2017 - Diverses petites modifications
  • 06/05/2017 - Ajout pour appliquer un correctif par le Presse-papier
  • 05/06/2017 - Ajout de la détection de certificats non approuvés dans la section Registre
  • 07/06/2017 - Ajout de la commande CreateDummy:
  • 07/06/2017 - Mise à jour de la description de Firefox pour inclure le signalement de profils
  • 14/06/2017 - Section Raccourcis renommés en Raccourcis et WMI dans Addition.txt
  • 14/06/2017 - Extensions Chrome dans le Registre : explication clarifiée
  • 04/07/2017 - Tutoriel allemand mis à jour et inclus dans la liste des traductions officielles
  • 04/07/2017 - Analyse élargie dans la section Personnalisé CLSID
  • 04/07/2017 - Ajout des paramètres SmartScreen dans Autres zones
  • 04/07/2017 - Mise à jour de la description d'Internet Explorer
  • 04/07/2017 - Diverses simplifications et modifications mineures
  • 08/07/2017 - Les lignes CHR Extension ne sont plus traitées dans le correctif
  • 19/08/2017 - Mise à jour des Informations du Tutoriel
  • 19/08/2017 - Ajout de la commande VirusTotal:
  • 19/08/2017 - Mise à jour de la commande File: pour inclure l'analyse VirusTotal
  • 19/08/2017 - Récursivité clarifiée pour la commande Folder:
  • 19/08/2017 - Modification de la description des comptes pour indiquer que les noms des comptes Microsoft ne sont pas détectés
  • 05/10/2017 - Ajout de la limite de temps du correctif dans la section Correction
  • 05/10/2017 - Ajout de la détection des pilotes verrouillés / zéro octets et du mode de récupération désactivé dans la section Bamital et volsnap
  • 05/10/2017 - Ajout de la commande FilesInDirectory:
  • 05/10/2017 - Séparation et mise à jour des commandes File: et Folder:
  • 10/10/2017 - Ajout des fonctionnalités FindFolder: et SearchAll: au bouton "Chercher Fichiers"
  • 10/10/2017 - Mise à jour de la description de la commande FindFolder:
  • 21/10/2017 - Remplacement des exemples d'Entête FRST.txt et Addition.txt pour couvrir la détection de la version de Windows 10
  • 24/10/2017 - Ajout de l'explication pour "CurrentUserName" dans Introduction
  • 21/10/2017 - Remplacement des exemples d'Entête FRST.txt et Addition.txt pour couvrir la détection de la version de Windows 10
  • 24/10/2017 - Ajout de l'explication pour "CurrentUserName" dans Introduction
  • 27/11/2017 - Séparation des descriptions Fixlist.txt et Ctrl+y
« Modifié: mai 05, 2019, 10:31:18 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #10 le: mai 04, 2018, 14:01:22 »
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici.


(2018)
Spoiler: ShowHide
  • 17/01/2018 - Détection simplifiée des pilotes verrouillés dans la section Bamital et volsnap
  • 17/02/2018 - Ajout de la commande Copy:
  • 17/02/2018 - Ajout du journal des événements de Windows Defender
  • 17/02/2018 - Mise à jour dans Lecteurs et MBR & Table des partitions pour inclure les volumes non montés et les schémas UEFI\GPT
  • 20/02/2018 - Suppression pour les détections de rookit TDL4 dans les sections Bamital & volsnap et Lecteurs et MBR & Table des partitions
  • 25/02/2018 - Suppression des références ZeroAccess dans les descriptions Winsock, NetSvcs, Un Mois
  • 25/02/2018 - Explication remplacée pour le traitement des liens symboliques dans Un Mois
  • 25/02/2018 - Suppression de la commande nointegritychecks on: (n'est plus prise en charge)
  • 25/02/2018 - Remplacement de la commande testsigning on: par une version générique et simplifiée
  • 25/02/2018 - Suppression de la détection "Chrome dev build détectée!"
  • 25/02/2018 - Suppression d'anciens exemples dans les descriptions de Firefox et de Chrome
  • 25/02/2018 - Correction de la description SmartScreen pour couvrir Windows 10 Version 1703 et ultérieure
  • 25/02/2018 - Divers petits changements
  • 11/03/2018 - Suppression de Informations sur les dons
  • 03/05/2018 - Ajout de la description de désinstallation
  • 17/05/2018 - Ajout de l'analyse des stratégies de Firefox
  • 17/05/2018 - Description clarifiée pour les Programmes installés
  • 10/12/2018 - Ajout de la traduction néerlandaise
  • 10/12/2018 - Type d'encodage UTF-8 spécifié pour un fixlist.txt créé manuellement
  • 10/12/2018 - Ajout de l'explication des avertissements ATTENTION relatifs au déverrouillage automatique sous Services et Tâches planifiées
  • 10/12/2018 - Description remplacée dans WMI
  • 10/12/2018 - Ajout dans Autres Zones de l'analyse des fournisseurs de services de téléphonie (TSP)
« Modifié: mai 05, 2019, 10:32:12 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #11 le: janvier 14, 2019, 18:34:17 »
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici.

2019
Spoiler: ShowHide
  • 13/01/2019 - Description mise à jour et simplifiée de la section Registre
  • 13/01/2019 - Mise à jour de Hosts contenu pour inclure hosts.ics
  • 13/01/2019 - Ajout de l'analyse de la variable Path dans Autres Zones
  • 13/01/2019 - Mise à jour de certains libellés dans FRST.txt
  • 18/01/2019 - Suppression de l'indication de la version Internet Explorer pour Windows 8 et versions ultérieures dans l'entête de FRST.txt
  • 27/04/2019 - Fabricant et modèle du système ajouté à l'en-tête FRST.txt
  • 27/04/2019 - BIOS et carte mère ajoutés sous Info mémoire dans Addition.txt
  • 27/04/2019 - Mise à jour des descriptions des listes blanches, des zones d'analyse par défaut, des services/pilotes et des modules chargés afin de refléter l'extension de la vérification des signatures
  • 27/04/2019 - Ajout de la section "FCheck". Suppression des sections "Fichiers à déplacer ou à supprimer", "Quelques fichiers/dossiers de taille zéro octets", "Certains contenus dans les sections TEMP"
  • 27/04/2019 - "Bamital & volsnap" devient "SigCheck". Description associée ajustée
  • 27/04/2019 - "Tâches planifiées" déplacées vers FRST.txt (support RE inclus)
  • 27/04/2019 - Mise à jour de la description "Personnalisé CLSID" pour inclure les analyses transférées de FRST.txt
  • 27/04/2019 - Suppression de la description "La Restauration système est désactivée" au profit d'une note unique sous Addition.txt
  • 27/04/2019 - Différence entre les serveurs DNS listés dans FRST.txt et Addition.txt clarifiée
  • 27/04/2019 - Note relative à l'ajout d'une url de mise à jour des extensions
  • 27/04/2019 - Plusieurs exemples mis à jour ou remplacés
  • 27/04/2019 - Diverses modifications mineures
  • 13/05/2019 - Mise à jour de la description de la section Programmes installés pour couvrir les packages Windows 10/8
  • 07/06/2019 - Ajout de l'explication des packages financés par la publicité. Description des programmes cachés simplifiée.
  • 07/06/2019 - Ajout de l'analyse SigCheckExt
  • 07/06/2019 - Suppression de l'analyse Pilotes MD5
  • 07/06/2019 - Suppression de la commande VerifySignature:
  • 07/06/2019 - Note ajoutée à la description de File: et VirusTotal: pour plus de 4 fichiers.
  • 07/06/2019 - Suppression correction automatique de Winmgmt
  • 07/06/2019 - Correction des informations NetSvcs relatives aux signatures numériques
  • 07/06/2019 - Suppression des descriptions de la stratégie de groupe des sections Firefox et Chrome
  • 10/06/2019 - Ajout de l'analyse FLock
  • 10/06/2019 - Suppression de la description des pilotes verrouillés située sous SigCheck
  • 20/06/2019 - Mise à jour du résultat de la commande StartRegedit: - EndRegedit:
  • 31/07/2019 - Toutes les instances de Restore From Backup: ont été remplacées par RestoreFromBackup:
  • 31/07/2019 - Suppression de la commande RestoreErunt:
  • 31/07/2019 - Ajout de la commande SystemRestore:
  • 31/07/2019 - Mise à jour de la description des Points de restauration
  • 25/08/2019 - Ajout du remplacement "AllUserName"
  • 20/10/2019 - Ajout de la section Codecs dans Addition.txt
  • 08/11/2019 - Ajout de la traduction espagnole
  • 08/11/2019 - Mise à jour des descriptions Firefox, Chrome et Opera
  • 08/11/2019 - Les lignes "OPR Extension" ne sont plus traitées dans un fixlist
  • 08/11/2019 - Mise à jour de la description des packages installés pour inclure la détection[Startup Task].
  • 08/11/2019 - Mise à jour de la commande EmptyTemp: pour couvrir l'historique de Firefox
« Modifié: janvier 27, 2020, 14:06:10 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #12 le: janvier 27, 2020, 14:16:00 »
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici.

2020
Spoiler: ShowHide
  • 25/01/2020 - Description Edge remplacée pour couvrir Edge basé sur Chromium
  • 25/01/2020 - Note relative aux référentiels d'extensions officielles mise à jour pour inclure les modules complémentaires Microsoft Edge
  • 25/01/2020 - Description Chrome modifiée pour indiquer que les préférences sont désormais détectées dans tous les profils
  • 25/01/2020 - Ajout de l'analyse Network Binding (Liaison Réseau) dans Autres zones
  • 26/01/2020 - La traduction russe marquée comme obsolète
  • 16/05/2020 - Suppression des  références "Profils disponibles" de la description de l'en-tête FRST.txt
  • 16/05/2020 - Description des processus mise à jour pour inclure l'explication <nombre>
  • 16/05/2020 - Divers petits changements
  • 13/09/2020 - Analyse "Internet Explorer" et "Internet Explorer approuvé / restreint" fusionnées dans Addition.txt
  • 13/09/2020 - La version d'Internet Explorer a été déplacée de l'en-tête FRST.txt vers le titre de la section "Internet Explorer"
  • 15/10/2020 - Edge ajouté à la détection Registry.pol
  • 22/11/2020 - Mise à jour Image de l'interface pour afficher une nouvelle option "Un mois" ajoutée en liste blanche
  • 22/11/2020 - Mise à jour ou suppression des descriptions de liste blanche dans diverses sections
  • 22/11/2020 - Mise à jour Note relative à la vérification des signatures numériques dans "Un mois"
  • 22/11/2020 - Diverses petites modifications




2021
Spoiler: ShowHide
  • 14/01/2021 - Mise à jour de la traduction russe
  • 24/01/2021 - Ajout de l'analyse et correction des navigateurs Brave, Vivaldi et Yandex et pour EmptyTemp:
  • 17/02/2021 - Mise à jour de la description "Profils chargés"
  • 04/07/2021 - Description "Comptes" mise à jour
  • 23/09/2021 - Mise à jour de la commande EmptyTemp: pour inclure qmgr.db
  • 12/11/2021  - Ajout traduction portuguaise
  • 12/11/2021 - Ajout de prise en charge pour Windows 11
  • 12/11/2021 - Ajout analyse BITS sous Autres zones
  • 12/11/2021 - Petits ajustements dans l'en-tête principal
  • 12/11/2021 - Divers liens corrigés
  • 12/11/2021 - Mise à jour de la syntaxe des discours en conserve




2022
Spoiler: ShowHide
  • 06/02/2022 - Ajout de la commande Comment:
  • 23/03/2022 - Délai limité pour la correction uniquement pour la commande cmd:
  • 28/03/2022 - Mise à jour de la description "Processus" pour inclure l'explication (processus parent ->)
  • 26/06/2022 - Ajout du modèle de disque pour les lecteurs fixes
  • 26/06/2022 - Ajout de la commande EmptyEventLogs:
  • 26/06/2022 - Mise à jour de la commande EmptyTemp: (cache Flash supprimé, cache Discord ajouté)
  • 26/06/2022 - Mise à jour de la commande FilesInDirectory: and Folder: pour inclure la vérification des signatures numériques
  • 26/06/2022 - Suppression d'exemples inutiles
  • 07/10/2022 - Ajout de la commande Powershell: dans la limite de temps du correctif
  • 07/10/2022 - Ajout du cache WinHTTP AutoProxy pour la commande EmptyTemp:




2023
Spoiler: ShowHide
  • 14/02/2023  - Suivi du tutoriel original sur Bleeping Computer
  • 03/09/2023  - Mise à jour image de l'interface pour afficher « Tâches planifiées » sous Liste blanche
  • 03/09/2023  - Ajout de la cible de l'exécutable FRST dans l'en-tête
  • 03/09/2023  - Ajout de la commande Symlink:
  • 03/09/2023  - Ajout du cache DNS dans EmptyTemp:
  • 03/09/2023  - Correction de divers liens
  • 13/12/2023  - Ajout de la redirection de dossiers de démarrage dans la section Registre
  • 13/12/2023  - Modification et correction de la commande Unlock:
  • 13/12/2023  - Mise à jour de la note relative à la corruption du Path





« Modifié: mars 14, 2024, 15:24:12 par chantal11 »
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Tutoriel FRST - Farbar Recovery Scanner Tool
« Réponse #13 le: mars 14, 2024, 15:27:01 »
Dernières Révisions du tutoriel :

Les commentaires sur ce tutoriel peuvent être faits ici.



2024
  • 28/02/2024  - Suppression de toutes les références VirusTotal (plus pris en charge)
  • 28/02/2024  - Ajout de la section « Applications Chrome » sous « Programmes installés »
  • 13/03/2024  - Ajout de la commande Virusscan:
  • 13/03/2024  - Mise à jour de la commande File:
« Modifié: mars 14, 2024, 15:27:46 par chantal11 »
 

Tags: