Forum Security-X > Tutoriels
Tutoriel FRST - Farbar Recovery Scanner Tool
chantal11:
Farbar Recovery Scan Tool
La dernière version peut être téléchargée depuis:
Lien 1 | Lien 2
Farbar Recovery Scan Tool (FRST) est un outil de diagnostic intégrant la possibilité d'exécuter des scripts [NdT: un "script" est un petit programme, un ensemble d'instructions à exécuter], que l'on prépare au préalable, sur des PCs infectés par des malveillants. Il fonctionnera aussi bien en Mode normal qu'en Mode sans échec, et lorsqu'un PC a des problèmes d'amorçage [boot], il fonctionnera efficacement dans l'Environnement de récupération Windows [Windows Recovery Environment - WinRE]. Sa capacité à travailler dans l'Environnement de récupération le rend particulièrement utile pour traiter les problèmes liés aux machines qui éprouvent des difficultés lors de l'amorçage.
**********************************************************
Informations sur ce Tutoriel
Ce tutoriel a été créé à l'origine par emeraldnzl de concert avec farbar et avec l'aimable coopération de BC (Bleeping Computer) et G2G (Geeks to Go). emeraldnzl s'est depuis retiré et maintenant le tutoriel est mis à jour et maintenu par picasso en consultation avec Farbar.
Cette traduction en français, officielle et autorisée, a été réalisée à l'origine par nickW et est maintenant suivie par chantal11. Le sujet d'origine se trouve sur Bleeping Computer.
L'autorisation de picasso et de Farbar est indispensable avant toute utilisation ou toute citation de ce tutoriel sur d'autres sites. Veuillez noter également que ce tutoriel a été écrit initialement pour fournir des conseils aux assistants qui offrent une aide pour la suppression des nuisibles sur divers forums.
Traduction de l'avertissement "Disclaimer" :
--- Citer ---Clause de non-responsabilité!
Ce logiciel est fourni "tel quel" sans aucune garantie d'aucune sorte.
Vous pouvez utiliser ce logiciel à vos propres risques.
L'utilisation de ce logiciel est interdite à des fins commerciales.
Êtes-vous sûr de vouloir continuer?
Cliquez sur Oui pour continuer. Cliquez sur Non pour quitter.
--- Fin de citation ---
Traductions de ce tutoriel
Allemand (myrtille - M-K-D-B)
Espagnol (jruizgarcia)
Français (chantal11)
Néerlandais (Pays-Bas) | Néerlandais (Belgique) (kape)
Polonais (picasso)
Portuguais (Lusitano)
Russe (Dragokas)
Table des matières
1. Introduction
[*]Unicode[/list]
2. Zones d'analyse par défaut
3. Analyse principale (FRST.txt)
[*]Processus
[*]Registre
[*]Tâches planifiées
[*]Internet
[*]Services et Pilotes
[*]NetSvcs
[*]Un mois (Créés/Modifiés)
[*]FLock
[*]FCheck
[*]KnownDLLs
[*]SigCheck
[*]Association
[*]Points de restauration
[*]Infos Mémoire
[*]Lecteurs et MBR & Table des partitions
[*]LastRegBack[/list]
4. Analyse supplémentaire (Addition.txt)
[*]Comptes
[*]Centre de sécurité
[*]Programmes installés
[*]Personnalisé CLSID
[*]Codecs
[*]Raccourcis et WMI
[*]Modules chargés
[*]Alternate Data Streams
[*]Mode sans échec
[*]Association
[*]Internet Explorer
[*]Hosts contenu
[*]Autres zones
[*]MSCONFIG/TASK MANAGER éléments désactivés
[*]Règles Pare-feu
[*]Points de restauration
[*]Éléments en erreur du Gestionnaire de périphériques
[*]Erreurs du Journal des événements
[*]Infos Mémoire
[*]Lecteurs
[*]MBR & Table des partitions[/list]
5. Autres analyses facultatives
[*]Liste BCD
[*]SigCheckExt
[*]Shortcut.txt
[*]Fichiers 90 jours
[*]Recherche de fichiers
............ FindFolder:
............ SearchAll:
[*]Recherche dans le Registre[/list]
6. Instructions/Commandes
[*]CloseProcesses:
[*]CMD:
[*]Comment:
[*]Copy:
[*]CreateDummy:
[*]CreateRestorePoint:
[*]DeleteJunctionsInDirectory:
[*]DeleteKey: et DeleteValue:
[*]DeleteQuarantine:
[*]DisableService:
[*]EmptyEventLogs:
[*]EmptyTemp:
[*]ExportKey: et ExportValue:
[*]File:
[*]FilesInDirectory: et Folder:
[*]FindFolder:
[*]Hosts:
[*]ListPermissions:
[*]Move:
[*]Powershell:
[*]Reboot:
[*]Reg:
[*]RemoveDirectory:
[*]RemoveProxy:
[*]Replace:
[*]RestoreFromBackup:
[*]RestoreMBR:
[*]RestoreQuarantine:
[*]SaveMbr:
[*]SetDefaultFilePermissions:
[*]StartBatch: - EndBatch:
[*]StartPowershell: - EndPowershell:
[*]StartRegedit: - EndRegedit:
[*]Symlink:
[*]SystemRestore:
[*]TasksDetails:
[*]testsigning on:
[*]Unlock:
[*]Virusscan:
[*]Zip:[/list]
7. Discours en conserve
Les experts et assistants ayant l'accès peuvent se tenir au courant des derniers développements de l'outil dans le sujet FRST Discussion sur BC.
chantal11:
Introduction
Un des points forts de FRST est sa simplicité. Il est conçu pour être facile à utiliser. Les lignes contenant des références à des éléments infectés peuvent être identifiées, copiées à partir du rapport d'analyse, collées dans le Bloc-notes (notepad) et enregistrées. Ensuite, avec un simple clic sur un bouton l'outil fera le reste. Cela permet une grande flexibilité, et lorsque de nouvelles infections apparaissent elles peuvent être identifiées et incluses dans un correctif.
Avec quoi il fonctionne
Farbar Recovery Scan Tool est conçu pour être exécuté sous les systèmes d'exploitation Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 et Windows 11. Il y a deux versions, une version 32-bit et une version 64-bit.
Note: FRST64 n'est pas conçu pour fonctionner sur un système XP 64-bit.
********************
Diagnostic
FRST crée un rapport d'analyse [log] qui couvre des zones particulières du système d'exploitation Windows. Ceci peut être utilisé pour l'analyse initiale du problème et pour vous donner quelques informations sur le système.
L'outil est en constant développement, des évolutions dont une partie comprend l'ajout de nouvelles étiquettes d'identification de malveillants. En conséquence, il est fortement recommandé de le mettre à jour régulièrement. Si l'ordinateur est connecté à internet il y aura une recherche automatique de mise à jour lorsque FRST est lancé. Une notification apparaîtra et la dernière version pourra alors être téléchargée.
Quand une nouvelle infection se présente ou si la mise à jour est impossible, par exemple sans connexion internet pour quelque raison que ce soit, l'expert doit être au fait des derniers développements dans le domaine des infections par malveillant pour pouvoir repérer le problème dès le début. L'utilisateur profane devrait demander l'aide d'experts lorsque de nouvelles infections apparaissent ou quand il rencontre des difficultés à identifier le problème sur son PC.
Par défaut, comme de nombreux autres programmes d'analyse, FRST utilise des listes blanches (whitelisting). Ceci permet d'éviter les rapports d'analyse très longs. Si vous voulez vraiment obtenir un rapport d'analyse complet, vous devez dé-cocher la case correspondante dans le paragraphe Listeblanche de l'écran de FRST (Registre, Services, Pilotes, Processus, Internet). Attendez-vous à un rapport d'analyse très long, qui ne pourra être envoyé sur un forum pour analyse que sous forme de pièce jointe.
[*] Les entrées Microsoft par défaut sont ajoutées à la liste blanche.
[*] Dans le cas des services et pilotes, la liste blanche contient non seulement les services Microsoft par défaut, mais aussi tous les autres services et pilotes légitimes.
[*] Les exécutables Microsoft signés sont en liste blanche dans la section "Un mois (créés)"
[*] Les éléments fichiers non signés ne sont pas en liste blanche
[*] Tout fichier de service ou de pilote qui n'a pas de Nom d'Entreprise n'est pas en liste blanche.
[*] Aucun programme de sécurité (Antivirus ou pare-feu) n'est en liste blanche.
[*] Le service SPTD n'est pas en liste blanche.
[/list]
********************
Préparation avant utilisation
Assurez-vous que FRST est exécuté avec des privilèges Administrateur. L'outil ne fonctionnera correctement que s'il est lancé depuis un compte d'utilisateur ayant ces privilèges Administrateur. Si un utilisateur n'a pas les privilèges Administrateur, vous verrez un avertissement à ce sujet dans l'entête du fichier rapport FRST.txt.
Dans certains cas un programme de sécurité peut empêcher l'outil de pleinement fonctionner. En général il n'y aura pas de problème, mais soyez conscient de la possibilité que lorsqu'une analyse est demandée un programme de sécurité peut empêcher l'exécution de l'outil. Lors d'une correction, il est préférable de désactiver des programmes comme Comodo qui pourrait empêcher le programme de faire son travail.
Une recommandation générale valable pour tout le monde est que lorsque vous êtes confronté à un rootkit, il est préférable de n’exécuter qu’un outil de correction à la fois et d'attendre le résultat avant d'exécuter un autre outil.
Il n'est pas nécessaire de créer une sauvegarde du Registre. FRST effectue une sauvegarde des ruches du Registre la première fois où il est exécuté. La sauvegarde se trouve dans %SystemDrive%\FRST\Hives (dans la plupart des cas C:\FRST\Hives). Voir la commande RestoreFromBackup: pour de plus amples détails.
FRST existe en plusieurs langues. Si, dans le cadre d'une assistance sur un forum, les rapports d'analyse vous sont présentés dans une langue qui vous est totalement étrangère, il est possible de forcer la création de rapports d'analyse en anglais. Pour ce faire, il suffit de renommer le fichier exécutable de FRST (FRST.exe ou FRST64.exe) en lui ajoutant le mot English, comme EnglishFRST.exe, FRSTEnglish.exe, FRSTEnglish64.exe ou EnglishFRST64.exe. Les rapports d'analyse seront alors créés en anglais.
********************
Exécuter FRST
L'utilisateur reçoit pour consigne de télécharger FRST sur le Bureau. De là, il suffit simplement de faire un double clic sur l'icône de FRST, accepter l'avertissement, et exécuter FRST. L'icône de FRST ressemble à ceci :
Note: Vous devez utiliser la version qui est compatible avec le système de l'utilisateur. Il y a une version 32-bit et une version 64-bit. Si vous n'êtes pas sûr de la version à employer, demandez à l'utilisateur de télécharger les deux versions et d'essayer de les exécuter. Une seule d'entre elles fonctionnera sur le système, ce sera la bonne version.
Une fois que FRST/FRST64 est ouvert, l'utilisateur verra une fenêtre comme celle-ci :
Quand FRST a terminé ses analyses, il enregistre des rapports d'analyse en format texte (Bloc-notes) dans le dossier à partir duquel FRST/FRST64 a été lancé. Lors de chaque analyse, un rapport FRST.txt et un rapport Addition.txt sont créés.
Des copies de ces rapports d'analyse sont sauvegardées dans %SystemDrive%\FRST\Logs (dans la plupart des cas, ce sera C:\FRST\Logs).
********************
Correction
Attention, Très Important : Farbar Recovery Scan Tool est non invasif et en mode analyse (Scan) il ne peut pas nuire à un PC.
Cependant FRST est aussi très efficace pour exécuter les instructions qui lui sont données. Lorsque vous appliquez un correctif, s'il est demandé de supprimer un élément, dans 99% des cas, il le fera. Bien qu'il existe certains garde-fous intégrés, ils sont nécessairement globaux et conçus pour ne pas gêner l'élimination de l'infection. L'utilisateur doit être conscient de cela. Utilisé à mauvais escient (comme par exemple si on demande de supprimer des fichiers essentiels), l'exécution de l'outil peut avoir pour conséquence d'empêcher l'ordinateur de démarrer.
Si vous avez des doutes à propos d'un élément quelconque dans un rapport d'analyse FRST,
demandez toujours l'aide d'un expert avant d'appliquer un correctif.
FRST dispose d'une gamme de commandes et commutateurs qui peuvent être utilisés pour manipuler les processus de l'ordinateur et pour résoudre les problèmes que vous avez identifiés.
********************
Préparation du Fixlist :
1 - Méthode fixlist.txt : Pour corriger les problèmes détectés, copiez et collez les lignes du rapport FRST.txt dans un fichier texte nommé fixlist.txt et enregistré dans le même répertoire où l'outil a été exécuté.
Note: Il est important que le Bloc-notes soit utilisé. La correction ne fonctionnera pas si Word ou un autre programme est utilisé.
2 - Méthode avec ctrl+y : Le raccourci clavier peut être utilisé pour créer et ouvrir automatiquement un fichier vide à remplir.
Lancez FRST, appuyez sur Ctrl+y pour ouvrir le fichier, collez le correctif, appuyez sur Ctrl+s pour enregistrer.
3 - Méthode avec le Presse-papier : Insérer les lignes du correctif entre Start:: et End:: comme ceci :
--- Code: ---Start::
contenu du correctif
End::
--- Fin du code ---
L'utilisateur copie tout le contenu, y compris Start:: et End:: et clique sur le bouton Corriger.
********************
Unicode
Pour corriger un élément contenant un(des) caractère(s) Unicode, le correctif doit être enregistré en format Unicode, sinon les(s) caractère(s) Unicode sera(ont) perdu(s).
Le raccourci Ctrl + y enregistre le fichier texte en format Unicode. Mais si le fixlist.txt est créé manuellement, un encodage approprié doit être choisi dans le Bloc-notes (voir ci-dessous).
Exemple :
--- Code: ---S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\Utilisateur\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
--- Fin du code ---
Faites un copier/coller des éléments dans une fenêtre ouverte du Bloc-notes [notepad], sélectionnez Enregistrer sous..., dans la rubrique Encodage sélectionnez UTF-8, donnez le nom fixlist puis cliquez sur le bouton Enregistrer.
Si vous l'enregistrez dans un Bloc-notes normal, sans sélectionner UTF-8, le Bloc-notes émettra un avertissement; si vous passez outre et enregistrez le fichier, après fermeture puis réouverture du fichier, vous verrez :
--- Citer ---S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
--- Fin de citation ---
Et FRST sera incapable de le traiter.
********************
Noms d'utilisateurs manipulés
Certains utilisateurs modifient les rapports en supprimant ou en remplaçant un nom d'utilisateur. Pour vous assurer que les chemins d'accès corrects seront traités, vous pouvez remplacer le nom d'utilisateur potentiellement manipulé dans les chemins d'accès avec CurrentUserName (pour l'utilisateur connecté) ou AllUserName (pour tous les utilisateurs). FRST traduira automatiquement les mots-clé par un nom d'utilisateur correct.
Note : CurrentUserName n'est pas pris en charge dans l'environnement de récupération.
********************
Pour éviter que FRST ne se bloque pendant des heures en raison de scripts incorrects, le temps d'exécution des commandes cmd: et Powershell: est limité à 60 minutes.
Les éléments déplacés lors de la correction sont conservés dans %systemdrive%\FRST\Quarantine, dans la plupart des cas ce sera C:\FRST\Quarantine, jusqu'à la purge finale (clean up) et la suppression de FRST.
Pour des informations détaillées sur la préparation des scripts de correction, voyez les sections ci-dessous.
********************
Suppression de FRST
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage et fonctionne uniquement en dehors de l'environnement de récupération.
chantal11:
Zones d'analyse par défaut
Lors de chaque exécution hors de l'Environnement de récupération, un rapport FRST.txt et un rapport Addition.txt sont générés. Le rapport Addition.txt n'est pas créé quand FRST est exécuté dans l'Environnement de récupération.
**********
Analyses effectuées en mode normal :
Analyse principale
Processus [vérification des signatures numériques]
Registre [vérification des signatures numériques]
Tâches planifiées [vérification des signatures numériques]
Internet [vérification des signatures numériques]
Services [vérification des signatures numériques]
Pilotes [vérification des signatures numériques]
NetSvcs
Un mois (Créés) [vérification des signatures numériques Microsoft]
Un mois (Modifiés)
Fichiers à la racine de certains dossiers
FLock
FCheck
SigCheck [vérification des signatures numériques]
LastRegBack:
Analyse supplémentaire (Addition.txt)
Comptes
Centre de sécurité
Programmes installés
Personnalisé CLSID [vérification des signatures numériques]
Codecs [vérification des signatures numériques]
Raccourcis & WMI
Modules chargés [vérification des signatures numériques]
Alternate Data Streams (Flux de Données Additionnels)
Mode sans échec
Association
Internet Explorer [vérification des signatures numériques]
Hosts contenu
Autres zones
MSCONFIG/TASK MANAGER éléments désactivés
Règles Pare-feu [vérification des signatures numériques]
Points de restauration
Éléments en erreur du Gestionnaire de périphériques
Erreurs du Journal des événements
Infos Mémoire
Lecteurs
MBR & Table des partitions
Analyses facultatives
Liste BCD (Boot Configuration Data)
SigCheckExt [vérification des signatures numériques]
Shortcut.txt
Addition.txt
Fichiers 90 jours
Recherche de fichiers [vérification des signatures numériques]
Recherche dans le Registre
Note : [Fichier non signé] sera imprimé pour les fichiers sans signature numérique ou les fichiers sans signature vérifiée.
**********
Analyses effectuées dans l'Environnement de récupération :
Analyse principale
Registre
Tâches planifiées
Services
Pilotes
NetSvcs
Un mois (Créés)
Un mois (Modifiés)
KnownDLLs
SigCheck
Association
Points de restauration
Infos Mémoire
Lecteurs
MBR & Table des partitions
LastRegBack:
Analyses facultatives
Liste BCD (Boot Configuration Data)
Fichiers 90 jours
Recherche de fichiers
Note : La vérification des signatures numériques n'est pas disponible dans l'environnement de récupération.
.
chantal11:
Analyse principale (FRST.txt)
Entête
Voici un exemple d'entête :
--- Citer ---Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-08-2023
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (Dell Inc. Inspiron 7352) (03-09-2023 22:20:17)
Exécuté depuis C:\Users\Utilisateur\Desktop\FRST64.exe
Profils chargés: Utilisateur
Plate-forme: Windows 10 Pro Version 22H2 19045.3324 (X64) Langue: Français (France)
Navigateur par défaut: FF
Mode d'amorçage: Normal
--- Fin de citation ---
La lecture attentive de l'entête peut être très utile:
1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.
2ème ligne : indique quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne affiche aussi le nom de l'ordinateur aainsi que le fabricant et le modèle du système (le cas échéant). La date et l'heure de l'exécution de l'outil sont utiles pour reconnaître un ancien journal fourni par inadvertance par un utilisateur.
3ème ligne : indique depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.
4ème ligne : indique sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire les ruches utilisateur chargées (ntuser.dat et UsrClass.dat).
Note : Dans le cas de plusieurs comptes chargés (en utilisant «Changer d'utilisateur» ou «Déconnecter» pour changer de compte), FRST listera tous les comptes sous «Profils chargés» et leurs entrées de registre. Les autres comptes non chargés ne seront pas répertoriés sous «Profils chargés», mais FRST montera automatiquement les ruches correspondantes (uniquement ntuser.dat) pour l'analyse du registre.
5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (Version et build du système d'exploitation sur Windows 11 et Windows 10, "Update" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures). Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.
6ème ligne : indique le navigateur par défaut.
7ème ligne : indique dans quel mode l'analyse a été exécutée.
8ème ligne : lien vers le tutoriel officiel (en anglais).
Note : Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.
Alertes qui peuvent apparaître dans l'entête
Quand il y a des problèmes d'amorçage [boot], vous pouvez voir quelque chose comme "ATTENTION: Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche en utilisant LastRegBack: peut être une solution (voir ci-dessous).
"Par défaut: Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi en auriez-vous besoin ? Normalement, vous n'en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.
********************
Processus
--- Citer --- (cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>
--- Fin de citation ---
Dans le cas où un processus est exécuté par un autre processus (processus parent ->), il sera listé.
<nombre> attaché à la fin de la ligne indique plusieurs instances du même processus.
Il y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d’abord, vous pouvez arrêter un processus légitime qui pourrait bloquer un correctif. Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le fichier qui lui sont associés.
Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.
Une ligne sera créée dans le fichier Fixlog.txt avec cet intitulé: Nom du processus => Processus fermé avec succès
Si vous avez un processus nuisible et si vous voulez supprimer le fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif.
********************
Registre
Les éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un fixlist afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression en raison d'autorisations insuffisantes ou de caractères Null encapsulés (Null embedded) seront supprimées. Si des clés résistent à la suppression en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau (kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.
Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution de l'une des deux actions suivantes sur la clé/valeur de registre :
* Restaurer la clé/valeur par défaut ou
* Supprimer la clé/valeur.
Quand des éléments du rapport relatifs à BootExecute, les valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le fixlist, l'outil restaure les valeurs Windows par défaut.
Note : Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.
Pas besoin d'un batch ni d'un correctif-Registre. Il en va de même pour certaines autres clés/valeurs importantes qui pourraient être détournées par un malveillant.
Note: FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.
Les éléments Run et Runonce, Image File Execution Options et autres entrées de registre, s'ils sont copiés dans le fixlist, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.
Par exemple, pour supprimer le mauvais élément Run ainsi que le fichier, vous devez les inclure dans le fixlist comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :
--- Code: ---HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [Fichier non signé] <==== ATTENTION
C:\WINDOWS\TEMP\gA652.tmp.exe
--- Fin du code ---
Quand un fichier ou un raccourci est détecté dans le dossier Démarrage, FRST liste le fichier dans les éléments 'Startup:'. Si le fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci) [avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le fichier cible vous devez inclure les deux dans le correctif.
Exemple :
--- Code: ---Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [Fichier non signé]
--- Fin du code ---
Note : La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier helper.vbs. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.
FRST détecte les redirections des dossiers de démarrage (par utilisateur et par système).
Exemple :
--- Code: ---StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\ <==== ATTENTION
--- Fin du code ---
Pour corriger, vous devez inclure l'entrée dans la liste de correctifs et FRST restaurera le chemin par défaut.
Dans le cas d'un nuisible qui impose des certificats non approuvés [en anglais] ou des stratégies de restriction logicielle [en anglais], vous verrez des éléments comme ceci :
--- Citer ---HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
--- Fin de citation ---
--- Citer ---HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
--- Fin de citation ---
Pour débloquer les programmes de sécurité, incluez les lignes dans le fixlist.
Note : La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir: How to manually create Software Restriction Policies to block ransomware [en anglais].
FRST détecte aussi la présence d'objets de stratégie de groupe (Group Policy Objects - GPO [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible.
Les stratégies Firefox, Google Chrome, Edge et Windows Defender dans le fichier Registry.pol seront signalées individuellement :
--- Citer ---GroupPolicy: Restriction - Windows Defender <======= ATTENTION
--- Fin de citation ---
Pour les autres stratégies ou scripts, vous verrez une notification générique sans détails :
--- Citer ---GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
--- Fin de citation ---
Pour réinitialiser les stratégies, placez les lignes dans le fixlist. FRST va élaguer les dossiers de stratégie de groupe (GroupPolicy) et forcer un redémarrage.
Exemple :
--- Code: ---C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
--- Fin du code ---
Note : La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.
********************
Tâches planifiées
Quand une entrée est inscrite dans dans un fixlist, la tâche elle-même est corrigée.
Exemple :
--- Citer ---Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [fichier non signé] <==== ATTENTION
--- Fin de citation ---
--- Code: ---"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\csrss => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => supprimé(es) avec succès
--- Fin du code ---
Notez bien que FRST ne fait que supprimer les éléments du Registre et déplacer le fichier de la tâche mais il ne déplace pas l'exécutable.
Si l'exécutable est néfaste, il doit être ajouté sur une ligne distincte dans le fixlist afin qu'il soit déplacé.
Note : un malveillant peut utiliser un exécutable légitime (par exemple, utiliser sc.exe pour lancer ses propres services) pour exécuter son propre fichier.
En d'autres termes, vous devez vérifier l'exécutable pour déterminer s'il est légitime ou non avant d'agir.
La ligne suivante ne doit pas être incluse dans le fixlist :
--- Citer ---"{GUID aléatoire}" => clé a été déverrouillée. <==== ATTENTION
--- Fin de citation ---
Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier si la tâche déverrouillée est listée (tâche personnalisée) ou non (entrée Microsoft dans la liste blanche). Si nécessaire, incluez la ligne de tâche standard dans le fixlist.
********************
Internet
Hormis quelques exceptions, les éléments copiés dans le fixlist seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs, voir les descriptions ci-dessous pour plus de détails.
■ Winsock
Si un élément Catalog5 est inclus pour être corrigé, FRST va effectuer une de ces deux actions :
1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile (catalog).
Quand des éléments Catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset" :
--- Code: ---cmd: netsh winsock reset
--- Fin du code ---
S'il reste des éléments Catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un fixlist. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile (catalog).
Attention: une rupture de la chaîne empêchera le PC de se connecter à Internet.
Une rupture de connexion internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :
--- Citer ---Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
--- Fin de citation ---
Pour corriger le problème, l'élément peut être copié dans le fixlist.
■ hosts
S'il y a des éléments personnalisés dans le fichier hosts, il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :
--- Citer ---Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
--- Fin de citation ---
Si le fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter [Fichier hosts non détecté dans le dossier par défaut].
Pour réinitialiser le fichier hosts, copiez/collez simplement la ligne dans le fixlist et le fichier sera réinitialisé. Vous verrez une ligne dans le fichier Fixlog.txt confirmant la réinitialisation.
■ Tcpip et autres entrées
Les éléments inclus dans le fixlist, seront supprimés.
Note : Les serveurs DNS configurés dans le registre (DhcpNameServer et NameServer) peuvent être comparés à l'analyse "Serveurs DNS" dans Addition.txt pour détecter la configuration active.
______________________________________________________________________________________________________________________________________________________________________________________
Note : Dans le cas d'un piratage de StartMenuInternet les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fixlist et l'élément par défaut sera restauré dans le Registre.
Note : Les extensions non installées via les référentiels officiels (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera Add-ons) auront une url de mise à jour détectée.
■ Edge
Sous Windows 10, les deux versions du navigateur sont détectées et listées ensemble dans le rapport.
Edge classique : sauf pour DownloadDir, des lignes peuvent être incluses dans un fixlist et les éléments seront supprimés.
Edge basé sur Chromium : Les mêmes règles que pour Google Chrome s'appliquent. Voir la description ci-dessous.
■ Firefox
FRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y a plusieurs profils Firefox ou clones de Firefox, FRST répertorie les préférences et les extensions dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
A l'exception de FF DefaultProfile et FF DownloadDir, les lignes peuvent être entrées dans un fixlist et les éléments seront supprimés.
FRST vérifie la signature des modules complémentaires. Les modules complémentaires non signés sont signalés.
Exemple :
--- Citer ---FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [non signé]
--- Fin de citation ---
■ Chrome
FRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST répertorie les préférences et les extensions dans tous les profils. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
L'analyse des préférences comprend les HomePage (page d'accueil) et StartupUrls (pages de démarrage) modifiés, l'activation de Session Restore (Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé et les notifications autorisées :
--- Citer ---CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> est activé.
CHR Notifications: Default -> hxxps://www.speedtestace.co
--- Fin de citation ---
S'ils sont inscrits dans le fixlist, les éléments HomePage, StartupUrls et Notifications seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome: "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".
FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).
--- Citer ---CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
--- Fin de citation ---
La suppression d'extensions n'est pas prise en charge. Les lignes "CHR Extension" ne sont pas traitées dans un correctif, utilisez plutôt les propres outils de Chrome :
- Tapez chrome://extensions dans la barre d'adresse et validez par Entrée.
- Cliquez sur Supprimer sous l'extension que vous voulez supprimer complètement.
- Une fenêtre pop-up de confirmation apparaît, cliquez sur Supprimer.
Une exception pour une installation d'extension située dans le registre (libellée CHR HKLM et HKU). Lorsque l'entrée est incluse dans le fixlist, la clé sera supprimée.
■ Autres navigateurs basés sur Chromium
Actuellement, les navigateurs suivants sont pris en charge: Brave, Opera, Vivaldi, Yandex Browser.
Les mêmes règles s'appliquent que pour Google Chrome. Voir la description ci-dessus.
Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.
********************
Services et Pilotes
Les Services et Pilotes sont présentés comme ceci :
ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomSignataire -> NomEntreprise) (vérification de la signature)
ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :
R=Actif
S=Arrêté
U=Indéterminé.
Les chiffres du "TypeDémarrage" sont:
0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.
Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.
Les services Microsoft par défaut pointant vers des fichiers non signés nécessitent une réparation.
Exemple :
--- Citer ---==================== Services (Avec liste blanche) =================
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
--- Fin de citation ---
Dans ce cas le fichier qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande Replace:.
Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le fixlist. Tout fichier associé doit être inclus séparément.
Exemple :
--- Code: ---R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== ATTENTION
C:\Windows\94BE3917F6DF.sys
--- Fin du code ---
L'outil va arrêter tout élément de service inclus dans le fixlist puis supprimer la clé du service.
Note: FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage.
Il y a une exception où le service sera réparé au lieu d'être supprimé. Dans le cas d'un détournement de Themes, vous verrez :
--- Citer ---S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
--- Fin de citation ---
Si cette ligne est incluse dans le fixlist, l'élément sera restauré à sa valeur par défaut.
La ligne suivante ne doit pas être incluse dans le fixlist :
--- Citer ---"NomService" => service n'a pas pu être déverrouillé. <==== ATTENTION
--- Fin de citation ---
Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier le résultat. Si nécessaire, incluez la ligne de service standard dans le fixlist.
********************
NetSvcs
Les éléments NetSvc figurent chacun sur une ligne, comme ceci :
--- Citer ---NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> Pas de chemin du fichier
--- Fin de citation ---
Note: L'inscription de Netsvc dans le fixlist supprime seulement la valeur associée du Registre. Le service associé (si présent dans la section Services) doit être inscrit séparément afin d'être supprimé.
Exemple :
Pour supprimer la valeur Netsvc, le service associé dans le Registre et le fichier associé, le script complet devrait ressembler à ceci :
--- Code: ---S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi
--- Fin du code ---
********************
Un mois (Créés/Modifiés)
L'analyse "Créés" liste la date et l'heure de création du fichier ou dossier suivies par la date et l'heure de dernière modification.
L'analyse "Modifiés" liste la date et l'heure de dernière modification du fichier ou dossier suivies par la date et l'heure de création.
La taille (nombre d'octets) du fichier est aussi listée. Un dossier affichera 00000000 car le dossier lui-même n'a pas d'octet.
Note : Pour éviter une durée d'analyse très importante et la production de rapports d'analyse extrêmement longs, l'analyse se limite à certains emplacements prédéfinis. De plus, FRST liste les dossiers personnalisés, mais pas leur contenu. Si vous voulez connaître le contenu d'un dossier personnalisé, utilisez la commande Folder:.
Note : La vérification des signatures numériques est limitée aux exécutables Microsoft (mis en liste blanche par défaut). Les autres signatures numériques ne sont pas vérifiées. Pour obtenir une liste supplémentaire d'exécutables non signés, utilisez l'analyse facultative SigCheckExt.
FRST ajoute des indications dans certains éléments du rapport d'analyse :
C - Compressé
D - Dossier
H - Caché
L - Lien symbolique
N - Normal (pas d'autres attributs définis)
O - Hors ligne
R - Lecture seule
S - Système
T - Temporaire
X - No scrub (Windows 8+) - Attribut d'absence de fichier de nettoyage
Pour supprimer un fichier ou un dossier de l'une des listes "lors du dernier mois" copiez/collez simplement la totalité de la ligne dans le fixlist.
Les lignes pointant vers des liens symboliques (attribut L) sont gérées correctement.
Exemple :
--- Code: ---2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Lien
--- Fin du code ---
Si la ligne est incluse dans le fixlist, FRST va supprimer uniquement le lien, laissant la cible intacte :
--- Citer ---Lien symbolique trouvé(e): "C:\WINDOWS\system32\Lien" => "C:\Windows\System32\Cible"
"C:\WINDOWS\system32\Lien" => Lien symbolique supprimé(es) avec succès
C:\WINDOWS\system32\Lien=> déplacé(es) avec succès
--- Fin de citation ---
La commande DeleteJunctionsInDirectory: peut aussi être utilisée.
Pour corriger d'autres fichiers/dossiers, leur chemin d'accès doit être inscrit dans le fixlist, les guillemets ne sont pas nécessaires pour un chemin d'accès comportant un espace :
--- Code: ---c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible
--- Fin du code ---
Si vous avez de nombreux fichiers avec des noms similaires et si vous voulez les supprimer avec un seul script, le joker * peut être utilisé:
Vous pouvez soit inscrire tous les fichiers comme ceci :
--- Code: ---C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
--- Fin du code ---
soit simplement :
--- Code: ---C:\Windows\Tasks\At*.job
--- Fin du code ---
Note: Un caractère "?" (point d'interrogation) sera ignoré pour des raisons de sécurité, qu'il soit un joker ou un caractère de substitution pour un caractère Unicode (voir le paragraphe Unicode sous Introduction). De plus, les jokers ne sont pas pris en charge pour les dossiers.
********************
FLock
La section liste les fichiers et dossiers verrouillés dans des répertoires standard.
********************
FCheck
La section est conçue pour lister les fichiers néfastes détectés, par exemple le détournement de DLL. De plus, certains fichiers de zéro octet (fichiers .exe et .dll) dans les répertoires standards sont listés. La section n'apparaît que lorsque des éléments correspondants sont présents.
Lorsqu'une entrée est incluse dans la liste des corrections, un fichier/dossier sera déplacé.
*******************
KnownDLLs
Certains éléments dans cette section, s'ils sont absents ou modifiés [patchés] ou corrompus pourraient entraîner des problèmes d'amorçage [boot]. En conséquence, cette analyse apparaît uniquement lorsque l'outil est exécuté en mode RE (Environnement de récupération).
Les éléments sont en liste blanche à moins qu'ils ne nécessitent une vérification.
Il faut faire attention quand on s'occupe des éléments identifiés dans cette section. Soit un fichier est manquant, soit il semble avoir été modifié d'une manière quelconque. L'aide d'un expert est recommandée pour s'assurer que le fichier problématique est correctement identifié et traité de manière appropriée. Dans la majorité des cas, il existe sur le système un bon fichier de remplacement qui peut être trouvé avec la fonction de recherche de FRST. Voyez la section Instructions/Commandes (Exemples d'utilisation) de ce tutoriel pour savoir comment remplacer un fichier et la section Autres analyses facultatives pour savoir comment effectuer une recherche.
********************
SigCheck
FRST vérifie un certain nombre de fichiers système importants. Les fichiers sans signature numérique correcte ou les fichiers manquants seront signalés. La section est ajoutée à la liste blanche en dehors de l'Environnement de Récupération (RE) lorsqu'il n'y a aucun problème avec les fichiers.
Des fichiers système modifiés peuvent vous alerter sur une possible infection malveillante. Quand l'infection est identifiée il faut faire attention lors des actions de réparation. L'aide d'un expert devrait être demandée car la suppression d'un fichier système pourrait empêcher le PC de démarrer.
Exemple tiré d'une infection Hijacker.DNS.Hosts :
--- Citer ---C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E
C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
--- Fin de citation ---
Dans ce cas, le fichier doit être remplacé par une copie valide. Utilisez la commande Replace:.
Certaines versions de l'infection SmartService désactivent le mode de récupération. FRST rectifie automatiquement la modification BCD lors d'une analyse :
--- Citer ---BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restauré(e) avec succès
--- Fin de citation ---
Le moyen le plus sûr de démarrer en Mode sans échec est d'utiliser la touche F8 au démarrage (Windows 7 et plus ancien) ou les Options avancées de démarrage (Windows 11, Windows 10 et Windows 8). Dans certains cas, les utilisateurs utilisent l'"Utilitaire de configuration système" pour démarrer en Mode sans échec. Dans le cas où le mode sans échec est corrompu, l'ordinateur est bloqué et le système ne démarrera pas en mode normal parce qu'il est configuré pour un démarrage en Mode sans échec. Dans ce cas, vous verrez :
--- Citer ---safeboot: Minimal ==> Le système est configuré pour démarrer en Mode sans échec <===== ATTENTION
--- Fin de citation ---
Pour corriger le problème, inscrivez la ligne ci-dessus dans le fixlist. FRST va définir le mode normal comme mode par défaut et le système sortira de la boucle.
Note : Ceci s'applique à Windows Vista et aux versions ultérieures de Windows.
********************
Association
Note: la section "Association" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Dans l'Environnement de récupération, l'analyse se limite à l'association de fichier .exe.
Liste l'association de fichier .exe (valeur appliquée à la machine, HKLM) comme ceci :
--- Citer ---HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION
--- Fin de citation ---
Comme avec les autres éléments du Registre, vous pouvez simplement copier/coller les éléments avec le problème dans le fixlist et ils seront rétablis. Pas besoin de créer des correctifs-Registre.
********************
Points de restauration
Note : la section "Points de restauration" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.
Les points de restauration sont listés.
Note : il n'y a que dans Windows XP que les ruches peuvent être restaurées en utilisant FRST. Les points de restauration listés sur Windows Vista et ultérieur doivent être restaurés depuis l'Environnement de récupération (RE) en utilisant les Options de récupération du système Windows.
Pour corriger, inscrivez la ligne du point de restauration que vous voulez restaurer dans le fixlist.
Exemple venant d'un PC sous XP :
--- Citer ---RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
--- Fin de citation ---
Pour restaurer les ruches à partir du point de restauration 82 (daté de 2010-10-24) la ligne sera copiée et collée dans le fixlist, comme ceci :
--- Code: ---RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
--- Fin du code ---
********************
Infos Mémoire
Note : la section "Infos Mémoire" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de Récupération (RE). Quand FRST est exécuté en dehors de l'Environnement de Récupération, la section est dans le fichier Addition.txt et contiendra plus d'informations (BIOS, carte mère, processeur).
Vous indique la quantité de RAM (Random Access Memory) installée sur la machine ainsi que la mémoire physique disponible et le pourcentage de mémoire disponible. Parfois cela peut aider à expliquer les symptômes d'une machine. Par exemple le nombre affiché peut ne pas refléter ce que l'utilisateur pense avoir installé au niveau matériel. La RAM indiquée peut apparaître inférieure à ce qui est en fait sur la machine. Ceci peut se produire quand la machine ne peut pas accéder vraiment à toute la RAM qu'il a. Les causes possibles comprennent de la RAM défectueuse, ou un problème de connecteur [slot] sur la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (par exemple si le BIOS a besoin d'être mis à jour). De plus, pour les systèmes 32-bit avec plus de 4 Go de RAM installés, le montant maximal indiqué ne sera que 4 Go. C'est une limitation sur les applications 32-bit.
La mémoire virtuelle et la mémoire virtuelle disponible sont aussi listées.
********************
Lecteurs et MBR & Table des partitions
Note : La section "Lecteurs et MBR & Table des partitions" apparaîtra dans le rapport d'analyse FRST.txt quand FRST est exécuté depuis l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section apparaîtra dans le fichier Addition.txt
Énumère les lecteurs fixes et amovibles connectés à la machine au moment de l'analyse. Les volumes non montés sont identifiés par les chemins GUID du volume.
--- Citer ---Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Modèle : Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Modèle : Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32
--- Fin de citation ---
Schéma de partitionnement basé sur UEFI / GPT : seule la disposition GPT de base est détectée, mais la liste complète des partitions n'est pas disponible.
--- Citer ---Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)
Partition: GPT.
--- Fin de citation ---
Schéma de partitionnement basé sur le BIOS/MBR : le code MBR et les entrées des partitions sont détectés. Cependant, les partitions logiques dans les partitions étendues ne sont pas répertoriées.
--- Citer ---Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)
--- Fin de citation ---
Quand il y a une indication que quelque chose ne va pas avec le MBR, une vérification du MBR peut être indiquée. Pour ce faire, on doit obtenir un vidage [dump] du MBR. Voici comment :
Exécutez le correctif suivant avec FRST en mode quelconque :
--- Code: ---SaveMbr: drive=0 (ou numéro de lecteur adéquat)
--- Fin du code ---
Ce faisant, un fichier MBRDUMP.txt sera enregistré à l'emplacement à partir duquel FRST/FRST64 a été exécuté.
Note : bien qu'un vidage du MBR puisse être obtenu en mode normal comme en mode RE, certaines infections du MBR sont capables de contrefaire le MBR quand Windows est chargé. En conséquence, il est conseillé de faire ceci dans l'Environnement de récupération (RE).
********************
LastRegBack:
FRST cherche dans le système et liste la dernière sauvegarde du Registre effectuée par le système. La sauvegarde du Registre contient une sauvegarde de toutes les ruches. C'est différent de la sauvegarde LKGC [Last Known Good Configuration - Dernière configuration correcte connue] du ControlSet.
Il y a plusieurs raisons pour lesquelles vous pouvez vouloir utiliser cette sauvegarde pour résoudre un problème, mais fréquemment c'est quand une perte ou une corruption s'est produite.
Vous pouvez voir ceci dans l'entête de FRST :
--- Citer ---ATTENTION: Impossible de charger la ruche System
--- Fin de citation ---
Pour corriger, inscrivez simplement la ligne dans le fixlist comme ceci :
--- Code: ---LastRegBack: >>date<< >>heure<<
--- Fin du code ---
Exemple :
--- Code: ---LastRegBack: 2013-07-02 15:09
--- Fin du code ---
.
chantal11:
Analyse supplémentaire (Addition.txt)
Entête
L'entête du rapport d'analyse Addition.txt contient un bref résumé d'informations utiles.
Voici un exemple d'entête :
--- Citer ---Résultats de l'Analyse supplémentaire de Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Exécuté par Utilisateur (21-10-2017 14:16:13)
Exécuté depuis C:\Users\Utilisateur\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Mode d'amorçage: Normal
--- Fin de citation ---
1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé.
2ème ligne : montre quel utilisateur a exécuté l'outil, ainsi que les date et heure d'exécution.
3ème ligne : vous dit depuis quel emplacement FRST a été lancé.
4ème ligne : montre la version de Windows ainsi que sa date d'installation.
5ème ligne : vous dit dans quel mode l'analyse a été exécutée
********************
Comptes
Liste les comptes d'utilisateur standard présents sur le système, dans le format suivant :
Nom du compte local (SID du compte -> Privilèges - Activé/Désactivé) => Chemin du profil. Les noms de comptes Microsoft ne sont pas affichés.
NdT : SID = Security IDentifier, identifiant unique de sécurité alphanumérique attribué par le système.
Des entrées malveillantes peuvent être incluses pour être supprimées.
Exemple :
--- Citer ---WgaUtilAcc (S-1-5-21-1858304819-142153404-3944803098-1002 - Administrator - Enabled) => supprimé avec succès
--- Fin de citation ---
Note : Seul le compte lui-même sera supprimé. L'éventuel dossier utilisateur dans le répertoire Utilisateurs doit être listé séparément pour être déplacé.
********************
Centre de sécurité
Vous pouvez découvrir que la liste contient des résidus d'un programme de sécurité précédemment désinstallé.
Dans ce cas, la ligne peut être incluse dans le fixlist afin qu'elle soit supprimée.
Certains programmes de sécurité empêchent la suppression de l'élément s'ils ne sont pas totalement désinstallés.
Dans ce cas, au lieu de la confirmation de la suppression, vous verrez dans le rapport de correction Fixlog :
--- Citer ---Entrée Centre de sécurité => L'élément est protégé. Vérifiez que le logiciel est désinstallé et que ses services sont supprimés.
--- Fin de citation ---
********************
Programmes installés
Liste les programmes de Bureau classiques et les packages Windows 11/10/8. Les progressives web apps (PWA) sont regroupées sous « Applications Chrome ».
Les packages sains Microsoft (NdT : Applications "modernes" du Microsoft Store) préinstallés sont sur liste blanche. Les packages pris en charge par la publicité de Microsoft et d'autres éditeurs sont étiquetés avec [MS Ad].
Exemple :
--- Citer ---App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]
--- Fin de citation ---
Les entrées activées ou désactivées visibles dans Démarrage sont marquées avec [Startup Task].
FRST a une base de données interne qui permet de marquer de nombreux programmes de Bureau publicitaires/potentiellement indésirables (adware/PUP).
Exemple :
--- Citer ---Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION
--- Fin de citation ---
Il est fortement conseillé de désinstaller tous les programmes ainsi marqués avant d'exécuter un programme automatique pour supprimer les logiciels publicitaires. Le désinstalleur du logiciel publicitaire supprime la majorité de ses éléments et annule les modifications de la configuration.
Les programmes de Bureau qui ne sont pas affichés dans "Programmes et fonctionnalités" sont listés avec une étiquette comme ceci :
--- Citer ---Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 - Google LLC) Hidden
--- Fin de citation ---
De nombreux programmes légitimes sont cachés à juste titre. Dans le cas de programmes illégitimes, les entrées peuvent être incluses dans le fixlist.
Note : Ce correctif ne fait que rendre le programme visible, il ne désinstalle pas le programme. Le programme devra être désinstallé par l'utilisateur.
********************
Personnalisé CLSID
Liste les entrées des classes personnalisées créées dans les ruches de Registre de l'utilisateur, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers et FolderExtensions.
Exemple :
--- Citer ---ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] [2018-03-03] (Диспетчер источников) [Fichier non signé]
--- Fin de citation ---
Pour corriger des éléments nuisibles, ajoutez-les simplement dans le fixlist et FRST va supprimer les clés du registre. Le fichier/dossier associé doit être indiqué séparément pour être déplacé.
Note : des programmes tiers légitimes peuvent créer un CLSID personnalisé, donc faites attention et ne supprimez pas d'élément légitime.
[NdT : CLSID vient de CLasS IDentifier, terme utilisé par Microsoft pour désigner un "identificateur globalement unique" (GUID -Globally Unique IDentifier).]
********************
Codecs
Une fois incluses dans le fixlist, les entrées par défaut modifiées seront restaurées et les entrées personnalisées seront supprimées du registre. Les fichiers associés doivent être listés séparément pour être déplacés.
********************
Raccourcis et WMI
Les raccourcis piratés ou suspects situés dans le dossier utilisateur de celui qui a ouvert la session et dans le dossier racine de C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes [C:\ProgramData\Microsoft\Windows\Start Menu\Programs] et C:\Utilisateurs\Public\Bureau [C:\Users\Public\Desktop] sont listés.
Les éléments peuvent être inclus dans un fixlist pour correction - voir Shortcut.txt dans Autres analyses facultatives ci-dessous.
Note : Une analyse Shortcut.txt contient tous les raccourcis de tous les utilisateurs, alors que le rapport d'analyse dans Addition.txt contient seulement les raccourcis piratés/suspects trouvés dans le profil de l'utilisateur ayant ouvert la session.
FRST analyse les espaces de noms pour les enregistrements non standard WMI. Les infections connues sont signalées.
Exemple tiré d'une infection Cryptocurrency Miner :
--- Citer ---WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"****youmm4\"",Filter="__EventFilter.Name=\"****youmm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (l'élément de données a 665 caractères en plus).] <==== ATTENTION
--- Fin de citation ---
Pour supprimer le malware, incluez les lignes dans le fixlist.
Note : Les logiciels OEM (par exemple, Dell) peuvent créer des enregistrements personnalisés. Recherchez les entrées inconnues pour vérifier si elles sont légitimes ou non.
********************
Modules chargés
Les modules chargés sont filtrés en liste blanche en fonction de la signature numérique valide. Autrement dit, les éléments ne satisfaisant pas à la vérification de la signature sont affichés.
********************
Alternate Data Streams
FRST liste les Flux de Données Additionnels [ADS - Alternate Data Streams] comme ceci :
--- Citer ---==================== Alternate Data Streams (Avec liste blanche) ==========
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]
AlternateDataStreams: C:\malveillant:nuisible.exe [134]
--- Fin de citation ---
Note : La taille de l'ADS (nombre d'octets qu'il contient) est affichée entre crochets après le chemin d'accès.
Si l'ADS est sur un fichier/dossier légitime, la correction consistera à copier/coller la totalité de la ligne depuis le rapport d'analyse dans le fixlist.
Exemple :
--- Code: ---AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]
--- Fin du code ---
S'il est sur un fichier/dossier nuisible, ce sera :
--- Code: ---C:\malveillant
--- Fin du code ---
Dans le premier cas, FRST supprime seulement l'ADS du fichier/dossier.
Dans le second cas, le fichier/dossier est supprimé.
********************
Mode sans échec
Si l'une des clés principales (SafeBoot, SafeBoot\Minimal et SafeBoot\Network) est absente, cela sera signalé. Dans ce cas, il faut la réparer manuellement.
S'il y a un élément créé par un nuisible, il peut être inclus dans le fixlist afin qu'il soit supprimé.
********************
Association - Voir Association précédemment dans le tutoriel
Liste les associations de fichier .bat, .cmd, .com, .exe, .reg et .scr
Quand un élément par défaut est inclus dans le fixlist, la valeur par défaut sera restaurée. Tout élément créé par l'utilisateur, s'il est inclus dans le fixlist, sera supprimé.
********************
Internet Explorer
Le titre de la section contient la version d'Internet Explorer sous Windows 7 et versions antérieures.
En fonction du type d'objet, FRST supprime les éléments du registre ou rétablit leur état par défaut.
Les fichiers/dossiers d'accompagnement doivent être saisis séparément s'ils doivent être déplacés.
********************
Hosts contenu - Voir Hosts précédemment dans le tutoriel
Fournit de plus amples détails relatifs au fichier hosts: les propriétés du fichier hosts ainsi que les 30 premières lignes actives. Les lignes inactives (mises en commentaire) sont masquées.
Exemple :
--- Citer ---2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
--- Fin de citation ---
Les lignes ne peuvent être traitées individuellement.
- Pour restaurer le fichier standard, utilisez la commande Hosts: ou placez la ligne d'avertissement concernant le fichier hosts (fichier d'analyse FRST.txt) dans le fixlist.
- Dans le cas d'un fichier hosts.ics personnalisé, incluez le chemin du fichier dans le fixlist.
********************
Autres zones
Ce paragraphe regroupe certains éléments analysés par FRST qui ne sont pas répertoriés ailleurs.
FRST ne fait que lister ces éléments. Pour l'instant, il n'y a pas de correction automatique.
■ Path
L'entrée est visible dans les conditions suivantes : la chaîne par défaut est manquante, un placement incorrect de la chaîne par défaut, aucune valeur Path.
Exemple :
--- Citer ---HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->
--- Fin de citation ---
Pour corriger la variable Path, vous pouvez utiliser un correctif de registre manuel ou un éditeur de variables d’environnement.
Note : Une corruption Path peut affecter les opérations des commandes cmd: et Powershell: en utilisant un chemin relatif aux outils de la console.
■ Arrière-plan du Bureau (Wallpaper)
Plusieurs variantes de nuisibles cryptant les fichiers (crypto-malware) utilisent ce paramètre afin d'afficher un écran de demande de rançon.
Exemple :
--- Citer ---Exemple de chemin d'accès normal:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
Exemple de chemin d'accès et de fichier nuisibles :
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Utilisateur\My Documents\!Decrypt-All-Files-scqwxua.bmp
--- Fin de citation ---
Dans le cas d'un nuisible, le chemin d'accès du fichier peut être placé dans un fixlist, ainsi que tous les fichiers associés listés dans le rapport d'analyse FRST.txt.
Note : Supprimer le fichier du Papier peint installé par le nuisible va supprimer l'arrière-plan du Bureau.
L'utilisateur doit re-paramétrer cet arrière-plan du Bureau :
- Sous Windows XP, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Propriétés, cliquez sur l'onglet Bureau, sélectionnez l'une des images disponibles, puis cliquez sur Appliquer et OK.
- Sous Windows Vista et ultérieur, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Personnaliser, sélectionnez Arrière-plan du Bureau, sélectionnez l'une des images disponibles, puis cliquez sur OK
■ Serveurs DNS (DNS Servers)
DNS actuellement utilisé. Ceci est utile pour détecter un piratage DNS/Routeur.
Exemple :
--- Citer ---DNS Servers: 213.46.228.196 - 62.179.104.196
--- Fin de citation ---
Cherchez l'adresse sur WhoisLookup pour savoir si le serveur est légitime ou non.
Note : La liste des serveurs ne provient pas du Registre, donc le système doit être connecté à internet.
Si FRST est exécuté en Mode sans échec, ou si le système n'est pas connecté à internet, vous verrez :
--- Citer ---DNS Servers: "Le média n'est pas connecté à internet."
--- Fin de citation ---
■ Paramètres du Contrôle de compte d'utilisateur (UAC - User Account Control)
Activé (paramètre par défaut) :
--- Citer ---HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
--- Fin de citation ---
Désactivé :
--- Citer ---HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
--- Fin de citation ---
Il peut en être ainsi parce que l'utilisateur a désactivé le Contrôle de compte d'utilisateur (UAC), ou comme effet secondaire de l'activité d'un malveillant. A moins qu'il soit évident que la cause est malveillante, il faut interroger l'utilisateur avant de tenter une correction.
■ SmartScreen (Windows 8+)
Pour les applications du Bureau et fichiers :
--- Citer ---HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Donnée de la valeur)
--- Fin de citation ---
Données de la valeur prises en charge par Windows : Block | Warn | Off (Windows 10 Version 1703+) ou RequireAdmin | Prompt | Off (systèmes plus anciens).
Une donnée manquante (paramètre par défaut sur Windows 10 Version 1703+) ou vide sera signalée de la manière suivante :
--- Citer ---HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
--- Fin de citation ---
■ Fournisseurs de services de téléphonie (TSP) (Telephony Service Providers) (TSP)
Les entrées par défaut et certaines entrées légitimes tierces sont inscrites à la liste blanche. La ligne n'est visible que si une entrée personnalisée est détectée.
Exemple :
--- Citer ---HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\inconnu.tsp (Editeur)
--- Fin de citation ---
Les entrées malveillantes ou corrompues nécessitent une correction manuelle du registre. Supprimez les entrées correspondantes ProviderIDx et ProviderFileNamex et renumérotez les entrées restantes en conséquence. Voir : Correcting The Registry When TAPI Providers Are Corrupted (Correction du registre lorsque les fournisseurs TAPI sont corrompus).
■ BITS
Répertorie les tâches BITS utilisant une notification en ligne de commande. Voir : Attacker Use of the Windows Background Intelligent Transfer Service (Utilisation par un attaquant du service de transfert intelligent en arrière-plan Windows)
--- Citer ---BITS : {ID de tâche} - (Nom de la tâche) -> [NotifyCmdLine : Commande] [fichiers : Chemin distant -> Chemin local]
--- Fin de citation ---
Pour supprimer toutes les tâches BITS, utilisez la commande EmptyTemp:
■ Pare-feu Windows (Windows Firewall)
Exemple :
--- Citer ---Windows Firewall est activé.
--- Fin de citation ---
Que le Pare-feu Windows soit activé ou désactivé est aussi signalé. Quand FRST est exécuté en Mode sans échec, ou s'il existe un problème avec le système, il n'y aura aucune ligne à propos du Pare-feu.
■ Network Binding (Liaison Réseau) (Windows 8+)
Répertorie les composants non standard attachés aux adaptateurs réseau. Comparez la section Pilotes pour trouver un élément correspondant.
Exemple :
--- Citer ---Network Binding:
=============
Ethernet: COMODO Internet Security Firewall Driver -> inspect (enabled)
Wi-Fi: COMODO Internet Security Firewall Driver -> inspect (enabled)
--- Fin de citation ---
--- Citer ---R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)
--- Fin de citation ---
Si la désinstallation standard d'un programme ne parvient pas à supprimer les éléments, la liaison réseau doit être supprimée avant de traiter le pilote. Suivez les étapes décrites dans ESET Knowledgebase.
Note : Assurez-vous que la liaison réseau est supprimée avant d'inclure le pilote dans un fixlist. Sinon, la suppression du pilote entraînera la rupture d'une connexion réseau.
********************
MSCONFIG/TASK MANAGER éléments désactivés
Le rapport d'analyse est utile lorsqu'un utilisateur a utilisé MSCONFIG ou TASK MANAGER [Gestionnaire des tâches] pour désactiver des éléments nuisibles au lieu de les supprimer. Ou bien, s'il a désactivé trop d'éléments et si certains services ou applications indispensables ne peuvent plus s'exécuter correctement.
Exemples :
MSCONFIG dans Windows 7 et systèmes antérieurs :
--- Citer ---MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^Utilisateur^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S
--- Fin de citation ---
Ce qui se lit comme ceci :
Services désactivés :
--- Citer ---MSCONFIG\Services: NomService => Type de démarrage d'origine
--- Fin de citation ---
Éléments désactivés dans le dossier Démarrage :
--- Citer ---MSCONFIG\startupfolder: Chemin d'accès d'origine (avec "\" remplacé par "^" par Windows) => Chemin de la sauvegarde créée par Windows.
--- Fin de citation ---
Éléments Run désactivés :
--- Citer ---MSCONFIG\startupreg: NomValeur => Chemin du fichier.
--- Fin de citation ---
TASK MANAGER dans Windows 8 et systèmes plus récents :
--- Citer ---HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"
--- Fin de citation ---
Note : Windows 8 et ultérieurs utilisent msconfig seulement pour les services. Les éléments du démarrage sont déplacés vers le Gestionnaire de tâches [Task Manager] qui stocke les éléments désactivés dans plusieurs clés. Un élément désactivé non-absent est listé deux fois : dans FRST.txt (section Registre) et dans Addition.txt.
Les éléments peuvent être inclus dans un fixlist afin de les supprimer. FRST exécutera les actions ci-dessous:
- Dans le cas des services désactivés, FRST va supprimer la clé créée par MSCONFIG et le service lui-même.
- Dans le cas des éléments Run désactivés, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches]. L'élément Run lui-même sur les systèmes plus récents sera également supprimé.
- Dans le cas des éléments dans les dossiers Démarrage, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches] et déplacer la sauvegarde du fichier créée par Windows (sur les anciens systèmes) ou le fichier lui-même (sur les systèmes plus récents).
Important: Ne corrigez un élément dans cette section que si vous êtes sûr qu'il s'agit d'un élément malveillant. Si vous doutez de la nature de l'élément, ne le corrigez pas afin d'éviter la suppression d'éléments légitimes. Dans le cas d'éléments légitimes désactivés qui devraient être activés, il faut donner à l'utilisateur des instructions pour qu'il les active via l'utilitaire MSCONFIG ou le Gestionnaire des tâches [Task Manager].
********************
Règles Pare-feu
Liste les règles du pare-feu (FirewallRules), les applications autorisées (AuthorizedApplications), ainsi que les ports globalement ouverts (GloballyOpenPorts).
Exemple (Windows 10) :
--- Citer ---FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe (Chao Wei -> )
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)
--- Fin de citation ---
NdT: Allow = Autoriser, Block = Bloquer.
Exemple (XP) :
--- Citer ---StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh
--- Fin de citation ---
NdT: Enabled = Autorisé, Disabled = Bloqué.
Si un élément est inclus dans un fixlist, il sera supprimé du Registre. Aucun fichier éventuel ne sera déplacé.
********************
Points de restauration - Voir Points de restauration précédemment dans le tutoriel.
Liste les Points de restauration disponibles dans le format suivant :
--- Citer ---18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST
--- Fin de citation ---
Si la fonction est désactivée, cela sera signalé :
--- Citer ---ATTENTION: La Restauration système est désactivée (Total:59.04 GB) (Free:43.19 GB) (73%)
--- Fin de citation ---
Note : L'entrée fait référence à la restauration du système désactivée de manière standard. La restauration du système désactivée via la stratégie de groupe sera signalée dans FRST.txt (sous la section Registre). Dans les deux cas, la restauration du système peut être activée automatiquement. Voir les commandes CreateRestorePoint: et SystemRestore:
********************
Éléments en erreur du Gestionnaire de périphériques
Exemple :
--- Citer ---Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.
--- Fin de citation ---
********************
Erreurs du Journal des événements
- Erreurs Application
- Erreurs système
- Erreurs CodeIntegrity [Erreurs Intégrité du code]
- Erreurs Windows Defender et avertissements
********************
Infos Mémoire
Voir Infos Mémoire précédemment dans le tutoriel.
********************
Lecteurs
********************
MBR & Table des partitions
Voir Lecteurs et MBR & Table des partitions précédemment dans le tutoriel.
Navigation
[#] Page suivante
Sortir du mode mobile