Forum Security-X > Tutoriels
Tutoriel FRST - Farbar Recovery Scanner Tool
chantal11:
Autres analyses facultatives
********************
Analyses facultatives
En cochant une case sous "Analyse facultative", FRST va analyser les éléments demandés.
********************
Liste BCD
Les données du BCD Magasin de données de configuration de démarrage - Boot Configuration Data ([en anglais]) sont listées.
********************
SigCheckExt
Liste tous les fichiers .exe et .dll non signés dans des dossiers standard. Le résultat est formaté de la même manière que la liste "Un mois".
********************
Shortcut.txt
Liste tous les types de raccourcis de tous les comptes standard. Les éléments piratés peuvent être inclus dans le fixlist afin qu'ils soient restaurés ou supprimés.
Exemple :
--- Citer ---Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
--- Fin de citation ---
NdT : sur certains systèmes, les noms apparaissant dans les chemins d'accès peuvent être francisés, selon les équivalences ci-dessous:
(sans module complémentaire) <==> (No Add-ons)
Accessoires <==> Accessories
Bureau <==> Desktop
Menu Démarrer <==> Start Menu
Outils système <==> System Tools
Programmes <==> Programs
Pour corriger les lignes ShortcutWithArgument:, faites simplement un copier-coller de ces lignes dans le fixlist. Mais pour supprimer les objets Shortcut:, vous devez ajouter les chemins d'accès séparément dans le correctif.
Un script de correction complet ressemblerait à ceci :
--- Code: ---ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
--- Fin du code ---
Note : FRST supprime l'argument des raccourcis sauf pour le raccourci Internet Explorer (No Add-ons).lnk. Par défaut l'argument de ce raccourci n'est pas vide (l'argument est -extoff) et il est utilisé pour lancer Internet Explorer sans modules complémentaires. Il est vital pour dépanner les problèmes sur IE, et donc cet argument de raccourci sera restauré.
Notez aussi que si vous avez utilisé un autre outil de nettoyage pour supprimer l'argument de Internet Explorer (No Add-ons).lnk, FRST ne le listera pas sous ShortcutWithArgument:, et donc l'argument ne pourra plus être restauré avec FRST. Dans ce cas, l'utilisateur peut restaurer l'argument manuellement.
Pour restaurer l'argument manuellement, l'utilisateur doit aller (via l'Explorateur) jusqu'à Internet Explorer (No Add-ons).lnk :
Faire un clic droit dessus et choisir Propriétés.
Dans la zone Cible ajouter deux espaces puis -extoff au chemin d'accès affiché.
Cliquer sur Appliquer puis OK.
********************
Fichiers 90 jours
Si l'option "Fichiers 90 jours" est cochée, FRST listera dans le rapport d'analyse "Trois mois (Créés/Modifiés)" au lieu de "Un mois (Créés/Modifiés)".
********************
Fonctions de recherche
■ Recherche de fichiers
Il y a un bouton Chercher fichiers dans la fenêtre de programme de FRST. Pour rechercher des fichiers, vous pouvez saisir, ou copier/coller, leurs noms dans la zone de recherche [Chercher:]. Les jokers sont permis. Si vous avez besoin de rechercher plus d'un fichier, les noms des fichiers doivent être séparés par un point-virgule ;
--- Code: ---terme;terme
--- Fin du code ---
--- Code: ---*terme*;*terme*
--- Fin du code ---
Quand il a cliqué sur le bouton Chercher fichiers, l'utilisateur est informé que la recherche est lancée [La recherche est en cours, veuillez patienter...], une barre de progression apparaît, puis un message s'affiche indiquant que la recherche est terminée [Chercher terminé(e)]. Un fichier rapport de recherche Search.txt est enregistré dans le dossier à partir duquel FRST.exe/FRST64.exe a été exécuté.
Les fichiers trouvés sont listés avec leurs date de création, date de modification, taille, attributs, Nom d'entreprise, MD5, et signature numérique dans le format suivant :
--- Citer ---C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Le fichier est signé numériquement]
--- Fin de citation ---
La recherche de fichiers est limitée au lecteur système. Dans certains cas, un fichier système légitime est absent ou corrompu, ce qui provoque des problèmes d'amorçage (boot), et il n'existe aucun fichier de remplacement sur le système. Quand l'option de recherche de fichiers (Chercher) est utilisée en mode de récupération (Vista et ultérieur), la recherche inclut aussi les fichiers dans X: (le lecteur d'amorçage virtuel). Dans certains cas, cela peut sauver la vie. Un exemple est l'absence de services.exe qui pourrait être copié de X:\Windows\System32 vers C:\Windows\System32.
Note : La partition X: ne contiendra que les exécutables 64-bit pour les systèmes 64-bit.
Le bouton "Chercher Fichiers" peut être utilisé pour effectuer des recherches supplémentaires, voir FindFolder: et SearchAll: ci-dessous. Les résultats seront enregistrés dans le journal Search.txt.
■ Recherche dans le Registre
Il y a un bouton Chercher Registre dans la fenêtre de programme de FRST. Vous pouvez saisir, ou copier/coller, les noms des éléments que vous souhaitez rechercher dans la zone de recherche [Chercher:]. Si vous voulez rechercher plus d'un élément, les noms doivent être séparés par un point-virgule ;
--- Code: ---terme;terme
--- Fin du code ---
Contrairement à une recherche de fichiers, lorsqu'on effectue une recherche dans le Registre, l'ajout de jokers dans les termes de recherche doit être évité car ces caractères jokers seront interprétés littéralement. Quand un joker ("*" ou "?") est ajouté au début ou à la fin d'un terme de recherche dans le Registre, FRST va l'ignorer et rechercher ce terme de recherche sans ce caractère.
Un fichier journal SearchReg.txt est enregistré dans le dossier à partir duquel FRST/FRST64 a été lancé.
Note: La fonction de recherche dans le Registre ne fonctionnera qu'en dehors de l'environnement de récupération (RE).
■ FindFolder:
Pour rechercher un ou plusieurs dossiers sur le lecteur système, renseignez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :
--- Code: ---FindFolder: terme;terme
--- Fin du code ---
Les jokers sont autorisés.
--- Code: ---FindFolder: *terme*;*terme*
--- Fin du code ---
■ SearchAll:
Pour effectuer une recherche complète (fichiers, dossiers, registre) pour un ou plusieurs termes, entrez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :
--- Code: ---SearchAll: terme;terme
--- Fin du code ---
N'ajoutez pas de joker au(x) terme(s). FRST interprète automatiquement le terme comme *terme(s)* dans le cas de fichiers et de dossiers.
Note :Dans l'environnement de récupération, la recherche complète effectuée est limitée aux fichiers et dossiers.
.
chantal11:
Instructions/Commandes
Toutes les commandes/instructions dans FRST doivent être sur une seule ligne car FRST traite le script ligne par ligne.
Note: Les instructions/commandes sont insensibles à la casse.
********************
Catalogue des instructions/commandes
■ À utiliser seulement en Mode normal
CreateRestorePoint:
SystemRestore:
TasksDetails:
■ À utiliser seulement en Mode normal et en Mode sans échec
CloseProcesses:
EmptyEventLogs:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: - EndPowershell:
Virusscan:
Zip:
■ À utiliser en Mode normal, en Mode sans échec et dans l'Environnement de récupération (RE)
cmd:
Comment:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: et DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: et ExportValue:
File:
FilesInDirectory: et Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: - EndBatch:
StartRegedit: - EndRegedit:
Symlink:
testsigning on:
Unlock:
■ À utiliser seulement dans l'Environnement de récupération (RE)
LastRegBack
RestoreFromBackup:
RestoreMbr:
Exemples d'utilisation
********************
CloseProcesses:
Arrête tous les processus non essentiels. Contribue à rendre la correction plus efficace et plus rapide.
Quand cette commande est incluse dans un correctif, elle provoquera automatiquement un redémarrage. Il n'est pas nécessaire d'utiliser la commande Reboot:. La commande CloseProcesses: n'est pas nécessaire ni disponible dans l'Environnement de récupération.
********************
CMD:
Parfois vous avez besoin d'exécuter une commande CMD. Dans ce cas vous devez utiliser l'instruction "CMD:".
Le script sera :
--- Citer ---CMD: commande
--- Fin de citation ---
S'il y a plus d'une commande, commencez chaque ligne par CMD: pour avoir un résultat dans le rapport de correction pour chaque commande.
Exemple :
--- Code: ---CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
--- Fin du code ---
La première commande va copier les fichiers minidump sur la clé USB (si la lettre de lecteur de la clé USB est E).
La seconde commande est utilisée pour corriger le MBR dans Windows Vista et versions ultérieures.
On peut également utiliser les commandes StartBatch: - EndBatch: (voir ci-dessous).
Note : Contrairement aux instructions natives ou autres instructions de FRST, les commandes CMD doivent avoir la syntaxe correcte de cmd.exe, comme l'utilisation de guillemets (") en cas de présence d'un espace dans le chemin d'accès du fichier/dossier.
********************
Comment:
Ajoute une note pour fournir des commentaires sur le contenu du correctif.
Exemple :
--- Code: ---Comment: La commande suivante supprimera tous les proxys réseau du système
RemoveProxy:
--- Fin du code ---
********************
Copy:
Pour copier des fichiers ou des dossiers dans un style similaire à xcopy.
La syntaxe est :
--- Code: ---Copy: source fichier/dossier destination dossier
--- Fin du code ---
Le dossier de destination sera automatiquement créé (s'il n'est pas présent).
Exemple :
--- Citer ---Copy: C:\Users\Utilisateur\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\Utilisateur\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\
--- Fin de citation ---
Note : Pour remplacer des fichiers individuels, il est recommandé d'utiliser la commande Replace:
Dans le cas d'un fichier cible existant, Copy: essaie seulement d'écraser le fichier, tandis que Replace: tente en outre de déverrouiller et de déplacer le fichier en quarantaine.
********************
CreateDummy:
Crée un fichier/dossier factice verrouillé pour empêcher la restauration de fichiers nuisibles. Le dossier factice doit être supprimé après avoir neutralisé le malware.
La syntaxe est :
--- Code: ---CreateDummy: Chemin
--- Fin du code ---
Exemple :
--- Citer ---CreateDummy: C:\Windows\System32\nuisible.exe
CreateDummy: C:\ProgramData\Nuisible
--- Fin de citation ---
********************
CreateRestorePoint:
Pour créer un point de restauration.
Note : Cette commande n'est utilisable qu'en mode normal. Elle ne fonctionnera pas si le service de Restauration système a été désactivé et ente également d'activer la restauration du système, vous n'avez donc pas besoin d'utiliser la directive SystemRestore: On.
********************
DeleteJunctionsInDirectory:
Pour supprimer les jonctions utilisez la syntaxe suivante :
--- Citer ---DeleteJunctionsInDirectory: Chemin
--- Fin de citation ---
Exemple :
--- Code: ---DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
--- Fin du code ---
********************
DeleteKey: et DeleteValue:
La méthode la plus efficace pour supprimer des clés/valeurs, contournant les limitations des algorithmes de suppression standards présents dans Reg: et StartRegedit: - EndRegedit :.
La synthaxe est :
1. Pour supprimer des clés :
--- Citer ---DeleteKey: clé
--- Fin de citation ---
Alternativement, le format regedit peut être utilisé :
--- Citer ---[-clé]
--- Fin de citation ---
2. Pour supprimer des valeurs :
--- Citer ---DeleteValue: clé|valeur
--- Fin de citation ---
Si la valeur est une valeur par défaut, laissez le nom de la valeur vide :
--- Citer ---DeleteValue: clé|
--- Fin de citation ---
Exemples :
--- Code: ---DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]
--- Fin du code ---
Les commandes sont capables de supprimer des clés/valeurs qui sont verrouillées en raison d’autorisations insuffisantes, des clés/valeurs qui contiennent des caractères NULL incorporés (embedded-null characters) et des liens symboliques de registre.
La commande Unlock: est inutile.
Pour les clés/valeurs qui sont protégées par un logiciel en cours d’exécution (réponse "Accès refusé") vous devez utiliser le Mode sans échec (pour contourner le logiciel en cours d’exécution) ou supprimer les principaux composants avant d’utiliser les commandes.
Note : Si la clé inscrite pour la suppression est un lien de Registre vers une autre clé, la clé (source) qui est le lien symbolique de Registre sera supprimée. La clé cible ne sera pas supprimée. Ceci est fait pour éviter de supprimer à la fois un mauvais lien symbolique de Registre qui pourrait pointer vers une clé légitime et la clé légitime elle-même. Dans le cas où la clé source et la clé cible sont nuisibles, les deux doivent être inscrites pour suppression.
********************
DeleteQuarantine:
Après la fin du nettoyage, le dossier %SystemDrive%\FRST (en général C:\FRST) créé par l'outil FRST doit être supprimé de l'ordinateur. Dans certains cas le dossier ne peut pas être supprimé manuellement parce que le dossier %SystemDrive%\FRST\Quarantine contient des fichiers ou dossiers malveillants verrouillés ou bizarres. La commande DeleteQuarantine: va supprimer le dossier Quarantine.
Les outils qui déplacent les fichiers au lieu de les supprimer ne doivent pas être utilisés pour supprimer %SystemDrive%\FRST car ces outils se contentent de déplacer les fichiers dans leur propre dossier et ils resteront quand même sur le système.
Note : La désinstallation automatique de FRST (voir la description dans Introduction) inclut la même possibilité de suppression d'une quarantaine verrouillée.
********************
DisableService:
Pour désactiver un service ou un service de pilote, vous pouvez utiliser le script suivant :
--- Citer ---DisableService: NomService
--- Fin de citation ---
Exemple :
--- Code: ---DisableService: sptd
DisableService: Wmware Nat Service
--- Fin du code ---
FRST va positionner le service sur Désactivé et le service ne sera pas lancé lors du démarrage suivant.
Note : Le nom du service doit être inscrit comme il apparaît dans le Registre ou le rapport d'analyse de FRST, sans rien ajouter. Par exemple, les guillemets ne sont pas nécessaires.
********************
EmptyEventLogs:
Efface les journaux d'événements Windows. Le nombre total de journaux effacés et les erreurs éventuelles seront répertoriés.
********************
EmptyTemp:
Les dossiers suivants sont vidés :
- Fichiers temporaires de Windows.
- Dossiers temporaires de l'utilisateur.
- Caches, zones de stockage HTML5, cookies et historique pour les navigateurs analysés par FRST à l'exception des clones de Firefox.
- Cache des fichiers ouverts récemment.
- Cache de Discord.
- Cache de Java.
- Cache HTML de Steam
- Cache des miniatures et des icônes de l'Explorateur
- File d'attente de transfert BITS (fichiers qmgr.db et qmgr*.dat)
- Cache WinHTTP AutoProxy
- Cache DNS
- Corbeille.
Si la commande EmptyTemp: est utilisée, il y aura redémarrage du système après la correction. Inutile d'utiliser la commande Reboot:.
De plus, peu importe si EmptyTemp: est placée au début, au milieu ou à la fin du fixlist, elle sera exécutée après le traitement de toutes les autres lignes du fixlist.
Important : Quand la commande EmptyTemp: est utilisée, les éléments sont supprimés définitivement. Ils ne sont pas déplacés dans la quarantaine.
Note : La commande est désactivée dans l'Environnement de récupération pour éviter tout dommage.
********************
ExportKey: et ExportValue:
Moyen plus fiable pour inspecter le contenu d'une clé, les commandes permettent de surmonter certaines limitations de regedit.exe et reg.exe.
Les différences des commandes portent sur l'export.
ExportKey: liste toutes les valeurs et les sous-clés récursivement, tandis que ExportValue: affiche uniquement les valeurs de la clé.
La syntaxe est :
--- Citer ---ExportKey: clé
--- Fin de citation ---
--- Citer ---ExportValue: clé
--- Fin de citation ---
Exemple :
--- Code: ---ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte
--- Fin du code ---
--- Citer ---================== ExportKey: ===================
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte]
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé invalide ]
"Valeur cachée"="Donnée cachée"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée]
HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée => Accès refusé.
=== Fin de ExportKey ===
--- Fin de citation ---
Note : L'export est destiné uniquement à des fins de recherche et ne peut pas être utilisé pour des opérations de sauvegarde et d'importation.
********************
File:
Pour vérifier les propriétés d'un fichier. Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.
--- Citer ---File: chemin;chemin
--- Fin de citation ---
Exemple :
--- Code: ---File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
--- Fin du code ---
--- Citer ---========================= File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe ========================
C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
Fichier non signé
MD5 : A209B88B9B2CF7339BE0AC5126417875
Dates de création et modification : 2024-03-09 12:20 - 2017-04-10 11:44
Taille : 002546176
Attributs : ----A
Nom Entreprise : PainteR
Nom Interne : ProxyEmu
Nom d'origine : emuext.exe
Produit : ProxyEmu
Description : ProxyEmu
Fichier Version : 0.9.1.0
Produit Version : 0.9.1.0
Copyright : painter
Virusscan: https://virusscan.jotti.org/filescanjob/k4nj4qatm6
====== Fin de File: ======
--- Fin de citation ---
Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).
********************
FilesInDirectory: et Folder:
Pour vérifier le contenu d'un dossier. FilesInDirectory: est destiné à répertorier des fichiers spécifiques correspondant à un ou plusieurs modèles avec joker *, tandis que Folder: est conçu pour obtenir le contenu complet d'un dossier. La sortie des deux commandes inclut les sommes de contrôle MD5 (pour tous les fichiers) et les signatures numériques (pour les fichiers .exe, .dll, .sys et .mui).
La syntaxe est :
--- Citer ---FilesInDirectory: chemin\modèle;modèle
--- Fin de citation ---
--- Citer ---Folder: chemin
--- Fin de citation ---
Exemple :
--- Code: ---FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0
--- Fin du code ---
Note : La commande Folder: fonctionne de manière récursive et répertorie le contenu de tous les sous-dossiers. Par conséquent, il pourrait en résulter des rapports gigantesques.
********************
FindFolder:
Voir la section Fonctions de recherche dans Autres analyses facultatives. La commande fonctionne de la même manière que FindFolder: dans la zone Rechercher, mais les résultats sont enregistrés dans le fichier Fixlog.txt.
********************
Hosts:
Pour réinitialiser le fichier hosts. Voir aussi hosts dans la section Analyse principale (FRST.txt).
********************
ListPermissions:
Utilisé pour lister les autorisations sur les fichiers/dossiers/clés mentionnés dans le script.
--- Citer ---ListPermissions: chemin/clé
--- Fin de citation ---
Exemple :
--- Code: ---Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\Utilisateur\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
--- Fin du code ---
********************
Move:
Parfois, renommer ou déplacer un fichier, surtout quand cela se passe entre des lecteurs, peut s'avérer compliqué et la commande MS Rename peut échouer. Pour déplacer ou renommer un fichier, utilisez le script suivant :
--- Citer ---Move: source destination
--- Fin de citation ---
Exemple :
--- Code: ---Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
--- Fin du code ---
L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis déplace le fichier source vers l'emplacement de destination.
Note 1 : On peut renommer un fichier en utilisant l'instruction Move:.
Note 2 : Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.
********************
Powershell:
Pour exécuter des commandes ou des fichiers script PowerShell.
1. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans le fichier Fixlog.txt, la syntaxe est :
--- Code: ---Powershell: commande
--- Fin du code ---
Exemple :
--- Citer ---Powershell: Get-Service
--- Fin de citation ---
2. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans un fichier texte (et non dans le fichier Fixlog.txt), utilisez about_Redirection ou Out-File
--- Citer ---Powershell: commande > "Chemin d'accès d'un fichier texte"
--- Fin de citation ---
--- Citer ---Powershell: commande | Out-File "Chemin d'accès d'un fichier texte"
--- Fin de citation ---
Exemple :
--- Code: ---Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt
--- Fin du code ---
3. Pour exécuter un fichier script (.ps1), préparé à l'avance, contenant une ou plusieurs commandes/lignes PowerShell, la syntaxe est :
--- Citer ---Powershell: "Chemin d'accès d'un fichier script"
--- Fin de citation ---
Exemples :
--- Code: ---Powershell: C:\Users\NomUtilisateur\Desktop\script.ps1
--- Fin du code ---
--- Code: ---Powershell: "C:\Users\Nom Utilisateur\Desktop\script.ps1"
--- Fin du code ---
4. Pour exécuter plusieurs commandes/lignes PowerShell comme si elles étaient dans un fichier script (.ps1), mais sans créer de fichier .ps1, utilisez un point-virgule ; pour les séparer, au lieu de retours à la ligne :
--- Code: ---Powershell: ligne 1; ligne 2; (et ainsi de suite)
--- Fin du code ---
Exemple :
--- Citer ---Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\Utilisateur\Desktop\file.exe")
--- Fin de citation ---
On peut également utiliser les commandes StartPowershell: - EndPowershell: (voir ci-dessous).
********************
Reboot:
Pour forcer un redémarrage.
Peu importe l'endroit où vous placez cette commande dans le fixlist. Même si vous la mettez au début, le redémarrage sera effectué après le traitement de toutes les autres commandes/instructions.
Note : Cette commande ne fonctionnera pas et n'est pas nécessaire dans l'Environnement de récupération.
********************
Reg:
Pour manipuler le Registre Windows en utilisant l'outil de ligne de commande Reg.
La syntaxe est :
--- Citer ---Reg: commande reg
--- Fin de citation ---
Exemple :
--- Code: ---Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\Utilisateur\Desktop\backup.reg
--- Fin du code ---
Note : Contrairement aux instructions natives de FRST, la commande Reg doit respecter la syntaxe correcte de reg.exe, comme l'utilisation des guillemets en cas de présence d'espaces dans le nom de la clé/valeur.
Note: Cette commande ne traitera pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: décrits précédemment dans le tutoriel.
********************
RemoveDirectory:
Pour supprimer (et non déplacer dans la Quarantaine) des dossiers avec des droits limités et des chemins ou noms invalides. La commande Unlock: est inutile.
Cette commande doit être utilisée pour les dossiers qui résistent à l'opération de déplacement normale. Si elle est utilisée en Mode sans échec, elle sera très puissante, et en mode RE (Environnement de récupération) elle sera extrêmement puissante.
Le script sera :
--- Citer ---RemoveDirectory: chemin
--- Fin de citation ---
********************
RemoveProxy:
Supprime certains paramètres de restriction de stratégie d'Internet Explorer comme "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" et "ProxySettingsPerUser" dans "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings".
Cette commande supprime les valeurs "ProxyEnable" (si elle est définie à 1), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" et "SavedLegacySettings" des clés machine et utilisateur.
Elle applique aussi la commande BITSAdmin avec NO_PROXY.
De plus, elle supprime la valeur par défaut de la clé "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" si elle a été modifiée.
Note : S'il existe un programme ou un service actif qui restaure ces paramètres, le logiciel doit être désinstallé, et le service doit être supprimé, avant d'utiliser la commande. Ceci afin que les paramètres de proxy ne reviennent pas.
********************
Replace:
Pour remplacer un fichier, utilisez le script suivant :
--- Citer ---Replace: source destination
--- Fin de citation ---
Exemple :
--- Code: ---Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
--- Fin du code ---
L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis copie le fichier source à l'emplacement de destination.
Il ne déplace pas le fichier source, qui se trouve toujours à son emplacement d'origine. Donc dans l'exemple ci-dessus, le fichier dnsapi.dll est resté dans les dossiers WinSxS.
Note : Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.
Note : Si le dossier de destination est absent, la commande ne fonctionnera pas. FRST ne reconstruit pas une structure de dossier complète. La commande Copy: pourrait être utilisée à la place.
********************
RestoreFromBackup:
La première fois où l'outil est exécuté, il copie les ruches du Registre dans le dossier %SystemDrive%\FRST\Hives (généralement C:\FRST\Hives) en tant que sauvegarde.
Ceci ne sera pas écrasé par les exécutions suivantes de l'outil, sauf si cette sauvegarde date de plus de deux mois. Si quelque chose s'est mal passé, l'une ou l'autre des ruches peut être restaurée.
La syntaxe sera :
--- Code: ---RestoreFromBackup: NomRuche
--- Fin du code ---
Exemples :
--- Code: ---RestoreFromBackup: software
RestoreFromBackup: system
--- Fin du code ---
********************
RestoreMbr:
Pour restaurer le MBR, FRST va utiliser MbrFix qui est enregistré sur la clé USB pour écrire un fichier MBR.bin sur un lecteur. Ce qui est nécessaire: l'utilitaire MbrFix/MbrFix64, le MBR.bin à restaurer et le script montrant le lecteur :
--- Citer ---RestoreMbr: Drive=#
--- Fin de citation ---
Exemple :
--- Code: ---RestoreMbr: Drive=0
--- Fin du code ---
(Note : Le MBR à restaurer doit être nommé MBR.bin, mis en archive zip et attaché).
********************
RestoreQuarantine:
Pour restaurer l'ensemble du contenu de la quarantaine, ou restaurer un seul fichier ou plusieurs fichiers depuis la quarantaine.
Pour restaurer tout le contenu de la quarantaine, la syntaxe est
soit :
--- Code: ---RestoreQuarantine:
--- Fin du code ---
soit :
--- Code: ---RestoreQuarantine: C:\FRST\Quarantine
--- Fin du code ---
Pour restaurer un fichier ou un dossier, la syntaxe est :
--- Citer ---RestoreQuarantine: CheminDansLaQuarantaine
--- Fin de citation ---
Exemple :
--- Code: ---RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Utilisateur\Desktop\ANOTB.exe.xBAD
--- Fin du code ---
Pour trouver le chemin d'accès dans la quarantaine, vous pouvez utiliser :
soit :
--- Code: ---Folder: C:\FRST\Quarantine
--- Fin du code ---
soit :
--- Code: ---CMD: dir /a/b/s C:\FRST\Quarantine
--- Fin du code ---
Note : Si un fichier existe déjà (hors de la quarantaine) dans l'emplacement de destination, FRST ne l'écrasera pas. Le fichier d'origine ne sera pas déplacé et restera dans la quarantaine. Cependant, si vous devez restaurer le fichier depuis la quarantaine, le fichier présent dans l'emplacement de destination doit au préalable être renommé/supprimé.
********************
SaveMbr:
Voir la section Lecteurs et MBR & Table des partitions dans le tutoriel.
Pour faire une copie du MBR la syntaxe suivante est utilisée :
--- Citer ---SaveMbr: Drive=#
--- Fin de citation ---
Exemple :
--- Code: ---SaveMbr: Drive=0
--- Fin du code ---
En faisant ceci, un fichier MBRDUMP.txt sera créé sur la clé USB, qui doit être attaché au message par l'utilisateur.
Note: Bien qu'un vidage du MBR puisse être obtenu en mode normal ou en environnement de récupération (RE), certaines infections sont capables de contrefaire le MBR quand Windows est chargé. Par conséquent, il est conseillé de le faire en environnement de récupération (RE).
********************
SetDefaultFilePermissions:
Commande créée pour les fichiers/dossiers système verrouillés. Elle définit le groupe "Administrateurs" en tant que propriétaire et selon le système, accorde les droits d'accès aux groupes standard.
Note : elle ne définira pas TrustedInstaller en tant que propriétaire, mais cependant elle peut être utilisée pour des fichiers système qui sont verrouillés par le malveillant.
Le script sera :
--- Citer ---SetDefaultFilePermissions: chemin
--- Fin de citation ---
********************
StartBatch: — EndBatch:
Pour créer et exécuter un fichier batch.
La syntaxe est :
--- Code: ---StartBatch:
Ligne 1
Ligne 2
Etc.
EndBatch:
--- Fin du code ---
Le résultat sera inscrit dans le fichier Fixlog.txt.
********************
StartPowershell: — EndPowershell:
Une meilleure alternative pour créer et exécuter un fichier PowerShell contenant plusieurs lignes (voir la commande Powershell: précédemment dans le tutoriel).
La syntaxe est :
--- Code: ---StartPowershell:
Ligne 1
Ligne 2
Etc.
EndPowershell:
--- Fin du code ---
Le résultat sera inscrit dans le fichier Fixlog.txt.
********************
StartRegedit: — EndRegedit:
Pour créer et importer un fichier Registre (.reg).
La syntaxe est :
--- Code: ---StartRegedit:
fichier en format .reg
EndRegedit:
--- Fin du code ---
Inclure l'entête Windows Registry Editor Version 5.00 est facultatif, mais l'entête REGEDIT4 est nécessaire.
Exemple :
--- Citer ---StartRegedit:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:
--- Fin de citation ---
Il y aura une ligne de confirmation dans le fichier Fixlog.txt :
--- Citer ---Registre ====> L'opération s'est terminée avec succès.
--- Fin de citation ---
Note: La ligne de confirmation apparaît en dépit d'éventuelles erreurs dans votre fichier .reg.
Note: Ces commandes ne traiteront pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: décrits précédemment dans le tutoriel.
********************
Symlink:
Pour lister les liens symboliques ou les jonctions dans un dossier.
La syntaxe est :
--- Code: ---Symlink: Chemin
--- Fin du code ---
Exemple :
--- Citer ---Symlink: C:\Windows
--- Fin de citation ---
Note : La directive fonctionne de manière récursive. Par conséquent, l’analyse peut prendre un temps considérable en fonction de l’emplacement.
********************
SystemRestore:
Pour activer ou désactiver la restauration du système.
La syntaxe est la suivante :
--- Code: ---SystemRestore: On
--- Fin du code ---
--- Code: ---SystemRestore: Off
--- Fin du code ---
Lorsque le commutateur On est utilisé, FRST vérifie s'il y a suffisamment d'espace libre pour activer la restauration du système. Si l'exigence n'est pas remplie, une erreur sera indiquée.
********************
TasksDetails:
Liste des détails supplémentaires sur les tâches planifiées relatifs à l'horaire d'exécution.
Exemple :
--- Code: ---========================= TasksDetails: ========================
UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
--- Fin du code ---
Note: Cette commande n'est pas prise en charge sous Windows XP et ne fonctionne qu'en mode normal.
********************
testsigning on:
Note : Pour Windows Vista et versions ultérieures, non pris en charge sur les périphériques avec le démarrage sécurisé (Secure Boot) activé.
L'activation testsigning est une modification BCD non définie par défaut, qui pourrait être introduite par des logiciels malveillants ou des utilisateurs qui tentent d'installer des pilotes non pris en charge. Lorsque FRST trouve des preuves de ce genre de falsification, il le signalera comme ceci :
--- Citer ---testsigning: ==> 'testsigning' est activé. Rechercher un éventuel pilote non signé <===== ATTENTION
--- Fin de citation ---
Inspectez la section Pilotes à la recherche d'un pilote correspondant à l'avertissement. Selon la situation, inclure le pilote avec l'avertissement ou l'avertissement seul dans la liste de correctifs.
En cas d'effets secondaires après le traitement des entrées, utilisez la commande pour réactiver la signature de test pour un dépannage supplémentaire :
********************
Unlock:
Cette commande, dans le cas de fichiers/dossiers, définit le groupe "Administrateurs" en tant que propriétaire et accorde l'accès aux "Administrateurs", "Utilisateurs" et "SYSTÈME". Elle doit être utilisée pour les fichiers/dossiers nuisibles.
Pour déverrouiller des éléments système, utilisez la commande SetDefaultFilePermissions:.
Dans le cas de clés du Registre, elle définit le groupe "Administrateurs" en tant que propriétaire, et donne au groupe l'accès normal, et ne fonctionne que sur la clé concernée.
Elle peut être utilisée à la fois sur des clés légitimes et des clés nuisibles.
Le script sera :
--- Citer ---Unlock: chemin
--- Fin de citation ---
Note : Pour supprimer un élément, vous n'avez pas besoin de le déverrouiller avant de le supprimer :
- Pour les fichiers/dossiers, incluez simplement le chemin dans la liste de correctifs et FRST réinitialisera les autorisations et déplacera les objets en dans le dossier Quarantine. Pour supprimer définitivement un dossier, utilisez la commande RemoveDirectory:.
- Pour les clés de registre, utilisez la commande DeleteKey:.
********************
Virusscan:
Pour vérifier les fichiers avec Jotti.
FRST recherchera des analyses antérieures dans la base de données Jotti. Un fichier qui n'a jamais été soumis à Jotti sera téléchargé pour analyse.
--- Code: ---Virusscan: chemin d'accès;chemin d'accès
--- Fin du code ---
Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.
********************
Zip:
Pour mettre des fichiers/dossiers dans une archive nommée Date_Heure.zip, placée sur le Bureau de l'utilisateur, qui pourra ensuite être transférée (upload) manuellement par l'utilisateur.
Dans le cas de fichiers/dossiers ayant le même nom, plusieurs archives seront créées.
--- Code: ---Zip: chemin d'accès;chemin d'accès
--- Fin du code ---
Autant de fichiers/dossiers que nécessaire peuvent être inclus, séparés par des points-virgules.
Exemple :
--- Citer ---Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
--- Fin de citation ---
********************
.
chantal11:
Discours en conserve
********************
Analyse
Exemple d'instructions (pour l'expert offrant de l'aide) pour que l'utilisateur exécute FRST en Mode normal - Windows Vista, 7, 8, 10 et 11 :
--- Code: ---Téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Too[/b]l[/url] et enregistrez-le sur le Bureau.
[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]
[LIST]
[*]Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur. Validez la "clause de non-responsabilité".
[*]Cliquez sur le bouton [b]Analyser[/b].
[*]L'outil va créer deux rapports [b]FRST.txt[/b] et [b]Addition.txt[/b] situés dans le dossier depuis lequel l'outil s'exécute.
[*]Copiez et collez ces rapports dans votre réponse.
[/LIST]
--- Fin du code ---
Exemple d'instructions pour exécuter FRST dans l'Environnement de récupération (RE) - Windows Vista et Windows 7:
--- Code: ---Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] et enregistrez-le sur une clé USB.
[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]
Branchez la clé USB sur le PC infecté.
[color=#0000FF][b]Pour entrer dans le menu Options de récupération du système depuis les Options de démarrage avancées :[/b][/color]
[list]
[*]Faites redémarrer l'ordinateur.
[*]Dès que le BIOS est chargé, appuyez sur la touche [b] F8[/b] jusqu'à ce que l'écran Options de démarrage avancées apparaisse.
[*]Utilisez les touches flèches pour sélectionner l'élément de menu [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue du clavier, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez le système d'exploitation que vous voulez réparer, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]
[color=#0000FF][b]Pour entrer dans les Options de récupération du système en utilisant le disque d'installation Windows ou un [url=https://support.microsoft.com/fr-fr/help/17423/windows-7-create-system-repair-disc]disque de récupération[/url] :[/b][/color]
[list]
[*]Insérez le disque d'installation ou le disque de récupération.
[*]Faites redémarrer le PC.
[*]A l'invite, cliquez sur une touche pour faire démarrer Windows depuis le disque d'installation. Si votre ordinateur n'est pas configuré pour démarrer depuis un CD ou un DVD, vérifiez les paramètres du BIOS.
[*]Cliquez sur [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue et de clavier, puis cliquez sur [b]Suivant[/b].
[*]Sélectionnez le système d'exploitation à réparer, et cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]
[color=#0000FF][b]Dans le menu Options de récupération système vous verrez les options suivantes :[/b][/color]
[b]Réparation du démarrage
Restaurer le système
Récupération de l'image système
Diagnostic de mémoire Windows
Invite de commandes[/b]
Sélectionnez [b]Invite de commandes[/b]
[color=#0000FF][b]Dans l'Invite de commandes:[/b][/color]
[list]
[*]Dans la fenêtre de commande saisissez [b]notepad[/b] puis appuyez sur [b]Entrée[/b].
[*]Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b].
[*]Sélectionnez "Poste de travail" cherchez la lettre associée à votre clé USB et fermez le Bloc-notes.
[*]Dans la fenêtre de commande, saisissez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et appuyez sur [b]Entrée[/b]
[b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre du lecteur de la clé USB.
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*]Cliquez sur le bouton [b]Analyser[/b].
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.
[/list]
--- Fin du code ---
Exemple d'instructions pour exécuter FRST dans l'Environnement de récupération (RE) - Windows 8, 10 et 11 :
--- Code: ---Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] et enregistrez-le sur une clé USB.
[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/color]
[url=http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?[/i][/url]
Branchez la clé USB sur le PC infecté.
[color=#0000FF][b]Pour démarrer sur les Options Avancées de Démarrage :[/b][/color]
[list][*] Dans [b]Paramètres[/b] -> [b]Mise à jour et sécurité[/b] -> [b]Récupération[/b] -> dans la rubrique [b]Démarrage avancé[/b], cliquez sur [b]Redémarrer maintenant[/b]
[*] Le système redémarre sur les [b]Options Avancées[/b]
[*] Cliquez sur l'option [b]Dépannage[/b], puis sur [b]Options avancées[/b]
[*] Dans les [b]Options avancées[/b], cliquez sur [b]Invite de commandes[/b]
[*] Le système redémarre
[*] Sélectionnez le [b]Compte Utilisateur [/b]et renseignez le mot de passe, puis cliquez sur [b]Continuer[/b]
[*] L'[b]Invite de commandes[/b] s'ouvre
[i][u]Note[/u] : Si Windows ne démarre plus, les Options Avancées de Démarrage s'affichent au démarrage. Si ce n'est pas le cas, forcez l'arrêt du système trois fois de suite. La réparation automatique se lance, puis cliquez sur Options avancées[/i][/list]
[list][*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]
[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et validez par [b]Entrée[/b]
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]f[/color] par la lettre de lecteur associée à la clé USB[/i]
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*] Cliquez sur le bouton [b]Analyser[/b]
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.
[/list]
--- Fin du code ---
********************
Correction
Exemples d'instructions pour une correction réalisée en Mode normal ou sans échec, c'est-à-dire depuis Windows :
--- Code: ---Téléchargez le fichier attaché [b]fixlist.txt[/b] et enregistrez-le sur le Bureau.
[u][b]NOTE.[/b][/u] Il est important que les deux fichiers, [b]FRST/FRST64[/b] et [b]fixlist.txt [/b] se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.
[b][color=#FF0000]AVERTISSEMZNT : Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.[/color][/b]
Exécutez [b][color=#0000FF]FRST/FRST64[/color][/b], cliquez une seule fois sur le bouton [b]Corriger[/b] et attendez.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement. Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copiez/collez ce rapport dans votre réponse.
--- Fin du code ---
--- Code: ---[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Copiez la totalité du contenu, de [b]Start::[/b] à [b]End::[/b] de la zone Code ci-dessous ([i]clic-droit -> Sélectionner -> Copier[/i])
Start::
.......
End::
[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps de la correction
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans votre réponse.[/list]
[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows[/i] /!\[/b][/color]
--- Fin du code ---
--- Code: ---[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Appuyez simultanément sur les touches [b]Ctrl + y[/b]. Un fichier [b]fixlist.txt[/b] s'ouvre
[*]Copiez/collez la totalité du contenu de la zone Code ci-dessous dans ce fichier
start
.........
end
[*]Appuyez simultanément sur les touches [b]Ctrl + s[/b] pour enregistrer, puis refermez le fichier [b]fixlist.txt[/b]
[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps de la correction
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans ta réponse.[/list]
[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows[/i] /!\[/b][/color]
--- Fin du code ---
Exemple d'instructions pour une correction réalisée dans l'Environnement de récupération (WinRE) :
--- Code: ---[list][*] Depuis le PC sain, ouvrez le [b]Bloc-notes[/b] (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
[*] Copiez/collez la totalité du contenu de la zone [b]Code[/b] ci-dessous dans le Bloc-notes
start
.........
end
[*] Enregistrez le fichier [b]sur la clé USB[/b] sous le nom [b]fixlist.txt[/b]
[*] Connectez la clé la sur le PC infecté, qui est normalement sous WinRE
[*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]
[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version 64-bit saisissez [b][color=#FF0000]e[/color]:\frst64[/b]) et validez par [b]Entrée[/b]
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre de lecteur associée à la clé USB[/i]
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
[*] Cliquez sur le bouton [b]Corriger[/b]
[*] A la fin de l'analyse, un rapport d'analyse [b]Fixlog.txt[/b] est créé sur la clé USB. Copiez/collez ce rapport dans votre réponse.[/list]
[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows[/i] /!\[/b][/color]
--- Fin du code ---
chantal11:
Révisions du tutoriel :
Les commentaires sur ce tutoriel peuvent être faits ici.
(2013 -> 2016)
Spoiler: ShowHide[*]09/09/2013 - Création
[*]11/09/2013 - Éclaircissements: entête, clés Run, DefaultScope, StartMenuInternet, Chrome, Services
[*]11/09/2013 - Ajout de l'attribut N
[*]11/09/2013 - Ajout d'un paragraphe sur l'Unicode
[*]11/09/2013 - Ajout d'une note explicative à DeleteJunctionsInDirectory:
[*]24/09/2013 - Ajout, dans Addition.txt, d'explications sur les analyses Centre de sécurité (Security Center) et Mode sans échec (Safe Mode)
[*]01/11/2013 - Modification de la section Winsock: Catalog5 pour procéder au "netsh winsock reset" après redémarrage
[*]02/11/2013 - Modification de la modification du 01/11/2013 (redémarrage avant la commande "netsh winsock reset" seulement si nécessaire)
[*]20/11/2013 - Correction - ajout d'informations sur l'entête Fixlog
[*]15/12/2013 - Modification - DeleteJunctionsInDirectory: utilisable désormais dans tous les modes
[*]15/12/2013 - Section Winsock: Catalog5, ajout d'un exemple de correction d'une rupture d'accès à internet
[*]30/12/2013 - Ajout de RemoveDirectory: et SetDefaultFilePermissions: dans Instructions/Commandes
[*]30/12/2013 - Ajout d'explications sur ce que fait la commande Unlock:
[*]30/12/2013 - Ajout d'explications supplémentaires sur la fonction de recherche (Search)
[*]19/01/2014 - Ajout d'une information: FRST ne fonctionne pas sur les machines XP 64-bit
[*]19/01/2014 - Ajout d'explications sur les listes blanches
[*]19/01/2014 - Exemple d'entête modifié et mis à jour
[*]22/01/2014 - Ajout d'une note explicative sur la correction AppInit_DLLs dans la section Registre
[*]29/01/2014 - Modification de la description de la fonction de recherche (Search) pour indiquer que la recherche sur X: intervient en mode récupération.
[*]12/02/2014 - Modification de la description de la liste des programmes installés dans Addition.txt pour les programmes cachés
[*]12/02/2014 - Ajout du rapport Éléments désactivés depuis MSCONFIG (Disabled items from MSCONFIG) dans Addition.txt
[*]04/03/2014 - Mise à jour de la liste des analyses facultatives, modification de l'image de la console FRST
[*]06/03/2014 - Ajout de la commande Reboot:
[*]15/03/2014 - Ajout de la commande RestoreQuarantine:
[*]15/03/2014 - Analyses facultatives, ajout de MD5 Pilotes (Drivers MD5) et Shortcut.txt
[*]15/03/2014 - Ajout d'un exemple de correctif pour le cas où les stratégies de groupe sont utilisées pour bloquer les modifications sur les extensions de Google Chrome
[*]24/04/2014 - Ajout de la commande ListPermissions:
[*]24/04/2014 - Ajout d'une explication sur la façon dont FRST gère les corrections relatives aux services (section Correction)
[*]24/04/2014 - SaveMbr: ajouté dans la liste au début de la section Instructions/Commandes
[*]02/05/2014 - Ajout de la commande DeleteKey:
[*]08/05/2014 - Ajout d'une explication sur Association de fichier EXE dans le chapitre Addition.txt dans la section Correction
[*]16/05/2014 - Modification de la section Fonctions de recherche, paragraphe Search Files modifié et ajout de la fonction Search Registry
[*]02/06/2014 - Modification du paragraphe Chrome dans la section Correction: erreur sur fichier "Preferences"
[*]10/06/2014 - Ajout de la commande VerifySignature:
[*]10/06/2014 - Développement des explications sur le Registre dans la section Correction
[*]24/06/2014 - Clarifications dans le paragraphe "Zones d'analyse par défaut"
[*]22/07/2014 - Les clés Firefox sont listées, que le programme soit ou non installé
[*]22/07/2014 - La commande DeleteKey: peut supprimer des liens symboliques de Registre
[*]29/07/2014 - Liste "CLSID personnalisé" ajoutée dans l'analyse Addition.txt
[*]11/08/2014 - Ajout de la commande EmptyTemp:
[*]14/08/2014 - Cache Java ajouté à la liste EmptyTemp:, et informations processeur ajoutées sous Informations mémoire
[*]19/08/2014 - Modification de la section Chrome. Tous les éléments sauf DefaultSearchProvider peuvent désormais être corrigés via FRST
[*]24/08/2014 - Modification du paragraphe DeleteJunctionsInDirectory:
[*]27/08/2014 - Ajout d'explications sur "Certains fichiers du dossier TEMP" ("Some content of TEMP")
[*]27/08/2014 - Ajout de la commande Hosts:
[*]27/08/2014 - Mise à jour de certains intitulés et ajout de Platform: dans l'exemple d'entête
[*]28/08/2014 - Ajout d'une note précisant que le joker ne fonctionne pas pour les dossiers dans les sections "One Month Created Files and Folders" et "One Month Modified Files and Folders" (Fichiers créés ou modifiés lors du dernier mois).
[*]28/08/2014 - Ajout d'une explication sur l'emplacement des sections "EXE ASSOCIATION" (Association de fichier EXE), "Restore Points" (Points de restauration) et "Memory info" (Informations mémoire) quand l'analyse est effectuée dans ou en dehors de l'Environnement de récupération.
[*]31/08/2014 - Ajout d'un lien vers la traduction polonaise.
[*]02/09/2014 - Ajout d'une explication sous Programmes installés (Installed Programs) à propos du marquage des programmes publicitaires/indésirables
[*]02/09/2014 - Ajout d'une explication sous Modules chargés (Loaded Modules)
[*]02/09/2014 - Ajout d'une explication sur la correction des plugins dans Firefox
[*]07/09/2014 - Simplification des explications sur les add-ons, extensions et plugins de Firefox
[*]07/09/2014 - Les clés Chrome sont listées, que le programme soit ou non installé
[*]08/09/2014 - Ajout de la commande CloseProcesses:
[*]19/09/2014 - Mise à jour de la section État de sortie, paragraphe Entête
[*]11/10/2014 - Mise à jour de l'exemple d'entête: ajout des informations de profil
[*]11/10/2014 - Mise à jour du paragraphe Addition.txt: ajout des informations sur les comptes
[*]11/10/2014 - Mise à jour des informations sur les listes blanches dans Introduction
[*]13/10/2014 - Ajout de la commande FindFolder:
[*]15/10/2014 - Mise à jour de l'exemple et des informations de l'entête du rapport de correction
[*]16/10/2014 - Ajout d'une explication sur l'entête RE (Environnement de récupération) après l'exemple d'entête FRST
[*]02/12/2014 Exemples IE HKCU remplacés par HKU
[*]02/12/2014 Exemples FF HKCU remplacés par HKU
[*]02/12/2014 Ajout de l'alerte à propos de la version "dev" de Chrome
[*]02/12/2014 Suppression de l'alerte au sujet d'une possible corruption du fichier "preferences" de Chrome. Devenu obsolète après les modifications de Chrome.
[*]02/12/2014 Suppression de la référence à Google Chrome DefaultSearchProvider. Devenu obsolète après les modifications de Chrome.
[*]13/12/2014 - Mise à jour du libellé de l'alerte testsigning:
[*]19/12/2014 - Ajout de la commande CreateRestorePoint:
[*]29/12/2014 - Ajout de la mention du navigateur par défaut dans l'entête
[*]12/01/2015 - Clarification du paragraphe Firefox de la section Correction
[*]24/01/2015 - Ajout d'informations sur l'entête du rapport d'analyse Addition.txt
[*]24/01/2015 - Ajout, dans la section Registre, d'un exemple de détection de la présence d'une valeur DisableSR ou DisableConfig
[*]27/01/2015 - Ajout d'une note dans la section Registre pour signaler aux lecteurs que lorsque la Restauration système est désactivée, il y a aussi un avertissement dans le rapport d'analyse Addition.txt
[*]28/01/2015 - Ajout du navigateur Opera dans la section Correction
[*]28/01/2015 - Ajout d'un guide pour supprimer des extensions dans Chrome
[*]09/02/2015 - Ajout, dans la description de la commande DeleteKey:, des suppressions de clé via le format regedit
[*]16/02/2015 - Ajout, dans la section Addition.txt, d'une explication sur les analyses "Autres zones"
[*]01/03/2015 - Mise à jour de l'image de la console FRST
[*]01/03/2015 - Mise à jour de la description de la commande EmptyTemp:, ajout de Opera et de HTML5 Local Storage
[*]05/03/2015 - Mise à jour des liens de téléchargement
[*]05/03/2015 - Clarification du paragraphe Services et Pilotes de la section Correction
[*]09/03/2015 - Ajout de la commande RemoveProxy:
[*]09/03/2015 - Ajout de l'option d'analyse 90 Days Files
[*]13/04/2015 - Modification de la description de la commande EmptyTemp:, l'historique de FF n'est pas supprimé
[*]22/04/2015 - Ajout, dans la section Addition.txt, de la liste des sites de confiance/sensibles d'Internet Explorer
[*]27/04/2015 - Ajout de l'analyse Règles du pare-feu (FirewallRules) dans la section Addition.txt
[*]21/07/2015 - Explication du [X] ajouté dans le paragraphe Services et Pilotes (Drivers) de la section Correction
[*]22/07/2015 - Ajout du Contrôle de compte d'utilisateur (UAC) et du Pare-feu Windows dans le paragraphe Autres zones (Other areas) de la section Addition.txt
[*]28/08/2015 - Francisation des libellés
[*]28/08/2015 - Dans Correction, clarification de la rubrique internet
[*]28/08/2015 - Ajout d'un lien dans la description de la commande RestoreMBR:
[*]28/08/2015 - Mise à jour de plusieurs exemples pour les adapter aux modifications de la présentation des états de sortie
[*]01/09/2015 - Mise à jour de la section Correction pour refléter les modifications du rapport d'analyse Internet Explorer
[*]07/09/2015 - Mise à jour de l'exemple d'entête du fichier Addition.txt
[*]09/10/2015 - Ajout de la prise en charge de Windows 10 dans le paragraphe "Avec quoi il fonctionne"
[*]09/10/2015 - Ajout de l'analyse Edge dans la section Correction
[*]09/10/2015 - Mise à jour de l'explication sur les profils sous Firefox et Chrome
[*]09/10/2015 - Mise à jour du format d'affichage des restrictions (stratégies de groupe) dans Chrome
[*]09/10/2015 - Mise à jour avec un exemple du paragraphe Tâches planifiées dans la section Additions.txt
[*]09/10/2015 - Mise à jour de l'explication MSCONFIG/TASK MANAGER éléments désactivés dans la section Additions.txt
[*]09/10/2015 - Suppression de Microsoft Office de la liste des erreurs du Journal des événements
[*]09/10/2015 - Mise à jour de la commande EmptyTemp: pour ajouter la suppression du cache Edge
[*]22/10/2015 - Modification de la Table des matières par ajout de Liste BCD
[*]22/10/2015 - Dans FF, les modules complémentaires non signés sont signalés
[*]22/10/2015 - Mise à jour de la description et des exemples pour BHOs, Plugins FF, extensions dans le Registre pour Chrome
[*]22/10/2015 - Simplification de la description et de l'exemple dans Alternate Data Streams - ADS (Flux de Données Additionnels)
[*]22/10/2015 - Ajout de Liste BCD dans Autres fonctions
[*]13/11/2015 - Ajout, dans la section Introduction, de la façon de forcer la création de rapports d'analyse en anglais
[*]27/11/2015 - Ajout du paragraphe Raccourcis dans la section Addition.txt
[*]01/12/2015 - Mise à jour du paragraphe Raccourcis dans la section Addition.txt
[*]01/12/2015 - Mise à jour du paragraphe "Un mois - Créés - fichiers et dossiers / Un mois - Modifiés - fichiers et dossiers" dans la section Correction
[*]30/12/2015 - Modification de l'ordre de présentation des rubriques de Addition.txt afin que le tutoriel corresponde à la dernière version de FRST
[*]30/12/2015 - Ajout de la liste des paragraphes de Addition.txt dans la Table des matières
[*]04/01/2016 - Suppression de la mention "ATTENTION" dans la rubrique Raccourcis
[*]04/01/2016 - Ajout des ports globalement ouverts (GloballyOpenPorts) dans les Règles Pare-feu
[*]05/03/2016 - Ajout des informations de taille dans le paragraphe Alternate Data Streams - ADS (Flux de Données Additionnels)
[*]05/03/2016 - Ajout de la commande Zip:
[*]20/04/2016 - Mise à jour de la description Opera
[*]20/04/2016 - Clarification de la section "Services et Pilotes"
[*]20/04/2016 - Ajout de l'attribut X dans le paragraphe "Un mois - Créés - fichiers et dossiers..."
[*]20/04/2016 - Suppression du paragraphe "Alternate Data Streams" dans la section Correction
[*]20/04/2016 - Mise à jour de la section "Bamital & volsnap"
[*]20/04/2016 - Mise à jour du lien dans le paragraphe "Internet Explorer sites de confiance/sensibles"
[*]20/04/2016 - Ajout des descriptions "Hosts contenu" et "Points de restauration" dans la section Addition.txt
[*]20/04/2016 - Mise à jour de la description de la commande EmptyTemp: (cache HTML Steam et transfert BITS)
[*]20/04/2016 - Mise à jour de la description "Recherche de fichiers" : ajout de la vérification des signatures numériques
[*]20/04/2016 - Ajout de notes pour rappeler que la vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération
[*]20/04/2016 - Diverses modifications cosmétiques
[*]28/04/2016 - Ajout d'une note relative aux limitations de l'analyse Un mois...
[*]28/04/2016 - Ajout de la détection WMI malware à l'analyse Shortcuts dans Addition.txt
[*]28/04/2016 - Mise à jour du paragraphe Shortcut.txt
[*]10/05/2016 - L'analyse "EXE Association" est renommée en "Association" (dans toutes les cas) et élargie (seulement dans l'analyse Addition.txt)
[*]10/05/2016 - Correction de l'exemple de la commande File:
[*]12/05/2016 - Réorganisation de la présentation du tutoriel
[*]11/06/2016 - Ajout d'un lien vers la traduction russe
[*]16/06/2016 - Mise à jour de la liste des "Zones d'analyse par défaut"
[*]16/06/2016 - Ajout d'une explication sur l'utilisation des caractères "?" dans les descriptions "Un mois..." et "Recherche dans le Registre"
[*]16/06/2016 - Ajout de la commande Powershell:
[*]16/06/2016 - Ajout de précisions dans la description de la commande "Zip:"
[*]16/06/2016 - Indication des limites de la zone d'analyse dans les descriptions "FindFolder:" et "Recherche de fichiers"
[*]16/06/2016 - Ajout des fichiers et dossiers "modifiés" dans la description "Fichiers 90 jours"
[*]18/06/2016 - Ajout du cache des icônes dans la liste EmptyTemp:
[*]05/07/2016 - Mise à jour de la description de la commande Powershell:
[*]22/07/2016 - Ajout des commandes StartBatch: - EndBatch: et StartPowershell: - EndPowershell:
[*]22/07/2016 - Correction des descriptions des commandes SetDefaultFilePermissions: et Unlock:
[*]22/07/2016 - Le fichier journal rapport de recherche "Recherche dans le Registre" est renommé en SearchReg.txt
[*]25/07/2016 - Ajout des commandes StartRegedit: - EndRegedit:
[*]25/07/2016 - Mise à jour de la description de la commande Reg:
[*]15/08/2016 - Ajout des extensions dans le paragraphe Edge
[*]22/09/2016 - Mise à jour de la description de "MSCONFIG/TASK MANAGER éléments désactivés" avec des explications sur la correction et de nouveaux exemples
[*]13/10/2016 - Suppression, dans la section Registre, de l'ancienne détection relative à une modification ZeroAccess ("File name is altered")
[*]13/10/2016 - Développement des explications stratégies (Policies) dans la section Registre pour traiter les restrictions SAFER, les scripts GPO et une nouvelle détection Registry.pol
[*]13/10/2016 - Mise à jour de la description Firefox : l'analyse traite tous les profils (et concerne aussi les clones de Firefox)
[*]13/10/2016 - Mise à jour de la description Chrome pour inclure le signalement de profils et le traitement des préférences
[*]13/10/2016 - La case située devant Addition.txt est désormais toujours pré-cochée
[*]13/10/2016 - Ajout de la commande TasksDetails:
[*]09/12/2016 - Ajout de la correction du service Themes dans les exceptions sous Services
[*]09/12/2016 - La sauvegarde des ruches du Registre sera écrasée si elle date de plus de deux mois
[*]09/12/2016 - Mise à jour de la description de la commande Zip: en raison de la nouvelle convention de nommage du fichier ZIP
[/list]
. Merci à nickW
chantal11:
Dernières Révisions du tutoriel :
Les commentaires sur ce tutoriel peuvent être faits ici.
(2017)
Spoiler: ShowHide[*] 18/01/2017 - Mise à jour de la description Registre: la suppression des clés verrouillées est planifiée après redémarrage
[*] 24/01/2017 - Suppression du lien vers la traduction allemande
[*] 01/02/2017 - Remplacement du lien vers la traduction française
[*] 13/02/2017 - Description du paragraphe Unicode déplacée dans Introduction et mise à jour avec de nouveaux exemples
[*] 13/02/2017 - Suppression du paragraphe Nettoyage des plugins "Aucun fichier" dans la description de Chrome (les contrôles des plugins ne sont pas disponibles dans Chrome 56+)
[*] 13/02/2017 - Mise à jour de divers exemples et des liens corrigés
[*] 19/02/2017 - Ajout de la commande ExportKey:
[*] 23/02/2017 - Ajout de la commande ExportValue:
[*] 05/03/2017 - Ajout de la commande DeleteValue:
[*] 05/03/2017 - Prise en charge de la commande DeleteKey: en Mode de Récupération
[*] 05/05/2017 - Ajout du raccourci Ctrl + y pour créer automatiquement un fixlist.txt vide
[*] 05/05/2017 - Mise à jour de la description de Chrome pour inclure des instructions sur la façon de gérer les redirections et les extensions New Tab
[*] 05/05/2017 - Diverses petites modifications
[*] 06/05/2017 - Ajout pour appliquer un correctif par le Presse-papier
[*] 05/06/2017 - Ajout de la détection de certificats non approuvés dans la section Registre
[*] 07/06/2017 - Ajout de la commande CreateDummy:
[*] 07/06/2017 - Mise à jour de la description de Firefox pour inclure le signalement de profils
[*] 14/06/2017 - Section Raccourcis renommés en Raccourcis et WMI dans Addition.txt
[*] 14/06/2017 - Extensions Chrome dans le Registre : explication clarifiée
[*] 04/07/2017 - Tutoriel allemand mis à jour et inclus dans la liste des traductions officielles
[*] 04/07/2017 - Analyse élargie dans la section Personnalisé CLSID
[*] 04/07/2017 - Ajout des paramètres SmartScreen dans Autres zones
[*] 04/07/2017 - Mise à jour de la description d'Internet Explorer
[*] 04/07/2017 - Diverses simplifications et modifications mineures
[*] 08/07/2017 - Les lignes CHR Extension ne sont plus traitées dans le correctif
[*] 19/08/2017 - Mise à jour des Informations du Tutoriel
[*] 19/08/2017 - Ajout de la commande VirusTotal:
[*] 19/08/2017 - Mise à jour de la commande File: pour inclure l'analyse VirusTotal
[*] 19/08/2017 - Récursivité clarifiée pour la commande Folder:
[*] 19/08/2017 - Modification de la description des comptes pour indiquer que les noms des comptes Microsoft ne sont pas détectés
[*] 05/10/2017 - Ajout de la limite de temps du correctif dans la section Correction
[*] 05/10/2017 - Ajout de la détection des pilotes verrouillés / zéro octets et du mode de récupération désactivé dans la section Bamital et volsnap
[*] 05/10/2017 - Ajout de la commande FilesInDirectory:
[*] 05/10/2017 - Séparation et mise à jour des commandes File: et Folder:
[*] 10/10/2017 - Ajout des fonctionnalités FindFolder: et SearchAll: au bouton "Chercher Fichiers"
[*] 10/10/2017 - Mise à jour de la description de la commande FindFolder:
[*] 21/10/2017 - Remplacement des exemples d'Entête FRST.txt et Addition.txt pour couvrir la détection de la version de Windows 10
[*] 24/10/2017 - Ajout de l'explication pour "CurrentUserName" dans Introduction
[*] 21/10/2017 - Remplacement des exemples d'Entête FRST.txt et Addition.txt pour couvrir la détection de la version de Windows 10
[*] 24/10/2017 - Ajout de l'explication pour "CurrentUserName" dans Introduction
[*] 27/11/2017 - Séparation des descriptions Fixlist.txt et Ctrl+y
[/list]
Navigation
[#] Page suivante
[*] Page précédente
Sortir du mode mobile