Analyse principale (FRST.txt)
EntêteVoici un exemple d'entête :
Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-05-2020 01
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (Dell Inc. Inspiron 7352) (16-05-2020 12:58:02)
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur
Platform: Windows 10 Pro Version 1909 18363.836 (X64) Langue: Français (France)
Navigateur par défaut: FF
Mode d'amorçage: Normal
Tutoriel pour Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
La lecture attentive de l'entête peut être très utile:
1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.
2ème ligne : indique quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne affiche aussi le nom de l'ordinateur aainsi que le fabricant et le modèle du système (le cas échéant). La date et l'heure de l'exécution de l'outil sont utiles pour reconnaître un ancien journal fourni par inadvertance par un utilisateur.
3ème ligne : vous dit depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.
4ème ligne : vous dit sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire la ruche
(de Registre) utilisateur chargée.
Note : Lors de la connexion sous Windows, seule la ruche utilisateur de l'utilisateur connecté est chargée. Si l'utilisateur se connecte sous un autre compte sans redémarrage (en utilisant "Changer d'utilisateur" ou "Fermer la session"), la seconde ruche utilisateur est chargée mais la première n'est pas déchargée. Dans cette situation, FRST listera les éléments de Registre des deux utilisateurs, mais ne listera pas les éléments de Registre relatifs aux autres utilisateurs puisque leurs ruches utilisateur ne sont pas chargées.5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (
Version et OS Build sur Windows 10 (
en anglais), "Mise à jour" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures), ainsi que la langue utilisée. Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.
6ème ligne : indique le navigateur par défaut.
7ème ligne : vous dit dans quel mode l'analyse a été exécutée.
8ème ligne : lien vers le tutoriel officiel
(en anglais).
Note : Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.Alertes qui peuvent apparaître dans l'entêteQuand il y a des problèmes d'amorçage
[boot], vous pouvez voir quelque chose comme "ATTENTION: Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche en utilisant
LastRegBack: peut être une solution (voir ci-dessous).
"Par défaut: Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi en auriez-vous besoin ? Normalement, vous n'en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.
********************Processus<nombre> attaché à la fin de la ligne indique plusieurs instances du même processus.
Il y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d’abord, vous pouvez arrêter un processus légitime qui pourrait bloquer un correctif. Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le fichier qui lui sont associés.
Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.
Exemple :
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Une ligne sera créée dans le fichier Fixlog.txt avec cet intitulé: Nom du processus
=> Processus fermé avec succès Si vous avez un processus nuisible et si vous voulez supprimer le fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif, comme ceci:
Exemple :
(PresencePoliceman -> CalienSoln) [Fichier non signé] C:\Program Files (x86)\Common Files\CalienSolnTHB\CalienSolnTHB.exe
C:\Program Files (x86)\Common Files\CalienSolnTHB********************RegistreLes éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un fixlist afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression en raison d'autorisations insuffisantes ou de caractères Null encapsulés
(Null embedded) seront supprimées. Si des clés résistent à la suppression en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau
(kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.
Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution de l'une des deux actions suivantes sur la clé/valeur de registre :
- Restaurer la clé/valeur par défaut ou
- Supprimer la clé/valeur.
Quand des éléments du rapport relatifs à
BootExecute, les
valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le fixlist, l'outil restaure les valeurs Windows par défaut.
Note : Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.Pas besoin d'un batch ni d'un correctif-Registre. Il en va de même pour certaines autres clés/valeurs importantes qui pourraient être détournées par un malveillant.
Note: FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.Les éléments
Run et Runonce, Image File Execution Options et autres entrées de registre, s'ils sont copiés dans le fixlist, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.
Par exemple, pour supprimer le mauvais élément Run ainsi que le fichier, vous devez les inclure dans le fixlist comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :
HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [Fichier non signé] <==== ATTENTION
C:\WINDOWS\TEMP\gA652.tmp.exeQuand un fichier ou un raccourci est détecté dans le
dossier Démarrage, FRST liste le fichier dans les éléments 'Startup:'. Si le fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci)
[avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le fichier cible vous devez inclure les deux dans le correctif.
Exemple :
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [Fichier non signé]Note : La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier helper.vbs. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.Dans le cas d'un nuisible qui impose des
certificats non approuvés [en anglais] ou des
stratégies de restriction logicielle [en anglais], vous verrez des éléments comme ceci :
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
Pour débloquer les programmes de sécurité, incluez les lignes dans le fixlist.
Note : La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir: How to manually create Software Restriction Policies to block ransomware [en anglais].
FRST détecte aussi la présence d'objets de stratégie de groupe (
Group Policy Objects - GPO [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible.
Les stratégies Firefox, Google Chrome, Edge et Windows Defender dans le fichier Registry.pol seront signalées individuellement :
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
Pour les autres stratégies ou scripts, vous verrez une notification générique sans détails :
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Pour réinitialiser les stratégies, placez les lignes dans le fixlist. FRST va élaguer les dossiers de stratégie de groupe
(GroupPolicy) et forcer un redémarrage.
Exemple :
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succèsNote : La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.********************Tâches planifiéesQuand une entrée est inscrite dans dans un fixlist, la tâche elle-même est corrigée.
Exemple :
Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [fichier non signé] <==== ATTENTION
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\csrss => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => supprimé(es) avec succèsNotez bien que FRST ne fait que supprimer les éléments du Registre et déplacer le fichier de la tâche
mais il ne déplace pas l'exécutable.
Si l'exécutable est néfaste, il doit être ajouté sur une ligne distincte dans le fixlist afin qu'il soit déplacé.
Note : un malveillant peut utiliser un exécutable légitime (par exemple, utiliser sc.exe pour lancer ses propres services) pour exécuter son propre fichier.
En d'autres termes, vous devez vérifier l'exécutable pour déterminer s'il est légitime ou non avant d'agir.La ligne suivante ne doit pas être incluse dans le fixlist :
"{GUID aléatoire}" => clé a été déverrouillée. <==== ATTENTION
Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier si la tâche déverrouillée est listée (tâche personnalisée) ou non (entrée Microsoft dans la liste blanche). Si nécessaire, incluez la ligne de tâche standard dans le fixlist.
********************InternetHormis quelques exceptions, les éléments copiés dans le fixlist seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs, voir les descriptions ci-dessous pour plus de détails.
■ WinsockSi un élément
Catalog5 est inclus pour être corrigé, FRST va effectuer une de ces deux actions :
1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile
(catalog).
Quand des éléments
Catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset" :
cmd: netsh winsock resetS'il reste des éléments Catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un fixlist. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile
(catalog).
Attention: une rupture de la chaîne empêchera le PC de se connecter à Internet.Une rupture de connexion internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :
Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Pour corriger le problème, l'élément peut être copié dans le fixlist.
■ hostsS'il y a des éléments personnalisés dans le fichier
hosts, il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
Si le fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter
[Fichier hosts non détecté dans le dossier par défaut].
Pour réinitialiser le fichier hosts, copiez/collez simplement la ligne dans le fixlist et le fichier sera réinitialisé. Vous verrez une ligne dans le fichier Fixlog.txt confirmant la réinitialisation.
■ Tcpip et autres entréesLes éléments inclus dans le fixlist, seront supprimés.
Note : Les serveurs DNS configurés dans le registre (DhcpNameServer et NameServer) peuvent être comparés à l'analyse "Serveurs DNS" dans Addition.txt pour détecter la configuration active. ______________________________________________________________________________________________________________________________________________________________________________________ Note : Dans le cas d'un piratage de StartMenuInternet les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fixlist et l'élément par défaut sera restauré dans le Registre. Note : Les extensions non installées via les référentiels officiels (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons, Opera Add-ons) auront une url de mise à jour détectée.■ EdgeSous Windows 10, les deux versions du navigateur sont détectées et listées ensemble dans le rapport.
Edge classique : sauf pour DownloadDir, des lignes peuvent être incluses dans un fixlist et les éléments seront supprimés.
Edge basé sur Chromium : Les mêmes règles que pour Google Chrome s'appliquent. Voir la description ci-dessous.
■ FirefoxFRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y a plusieurs profils Firefox ou clones de Firefox, FRST répertorie les préférences et les extensions dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
A l'exception de FF DefaultProfile et FF DownloadDir, les lignes peuvent être entrées dans un fixlist et les éléments seront supprimés.
FRST vérifie
la signature des modules complémentaires. Les modules complémentaires non signés sont signalés.
Exemple :
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [non signé]
■ ChromeFRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST répertorie les préférences et les extensions dans tous les profils. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
L'analyse des préférences comprend les HomePage
(page d'accueil) et StartupUrls
(pages de démarrage) modifiés, l'activation de Session Restore
(Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé et les notifications autorisées :
CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> est activé.
CHR Notifications: Default -> hxxps://www.speedtestace.co
S'ils sont inscrits dans le fixlist, les éléments HomePage, StartupUrls et Notifications seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome: "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".
FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
La suppression d'extensions n'est pas prise en charge. Les lignes "CHR Extension" ne sont pas traitées dans un correctif, utilisez plutôt les propres outils de Chrome : - Tapez
chrome://extensions dans la barre d'adresse et validez par Entrée.
- Cliquez sur
Supprimer sous l'extension que vous voulez supprimer complètement.
- Une fenêtre pop-up de confirmation apparaît, cliquez sur
Supprimer.
Une exception pour une installation d'extension située dans le registre (libellée
CHR HKLM et
HKU). Lorsque l'entrée est incluse dans le fixlist, la clé sera supprimée.
■ OperaFRST liste les clés et les profils Opera (si présents), que Opera soit installé ou non.
Pour l'instant, l'analyse se limite à StartMenuInternet, Notifications, StartupUrls, Session Restore ainsi que les extensions :
Les entrées peuvent être incluses dans un fixlist, sauf pour l'exception énumérée ci-dessous.
La suppression d'extensions n'est pas prise en charge. Les lignes "OPR Extension" sont ignorées dans un correctif, utilisez plutôt les propres outils d'Opera :
- Tapez opera://extensions dans la barre d'adresse et validez par Entrée.
- Pour supprimer chaque extension concernée, cliquez sur le X, puis sur OK.
Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.
********************Services et PilotesLes Services et Pilotes sont présentés comme ceci :
ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomSignataire -> NomEntreprise) (vérification de la signature) ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :
R=Actif
S=Arrêté
U=Indéterminé.
Les chiffres du "TypeDémarrage" sont:
0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.
Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.
Les services Microsoft par défaut pointant vers des fichiers non signés nécessitent une réparation.
Exemple :
==================== Services (Avec liste blanche) =================
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
Dans ce cas le fichier qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande
Replace:.
Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le fixlist. Tout fichier associé doit être inclus séparément.
Exemple :
R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== ATTENTION
C:\Windows\94BE3917F6DF.sysL'outil va arrêter tout élément de service inclus dans le fixlist puis supprimer la clé du service.
Note: FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage. Il y a
une exception où le service sera réparé au lieu d'être supprimé. Dans le cas d'un détournement de Themes, vous verrez :
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
Si cette ligne est incluse dans le fixlist, l'élément sera restauré à sa valeur par défaut.
La ligne suivante ne doit pas être incluse dans le fixlist :
"NomService" => service n'a pas pu être déverrouillé. <==== ATTENTION
Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier le résultat. Si nécessaire, incluez la ligne de service standard dans le fixlist.
********************NetSvcsLes éléments NetSvc figurent chacun sur une ligne, comme ceci :
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> Pas de chemin du fichier
Note: L'inscription de Netsvc dans le fixlist supprime seulement la valeur associée du Registre. Le service associé (si présent dans la section Services) doit être inscrit séparément afin d'être supprimé.Exemple :
Pour supprimer la valeur Netsvc, le service associé dans le Registre et le fichier associé, le script complet devrait ressembler à ceci :
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi********************Un mois (Créés/Modifiés)L'analyse "Créés" liste la date et l'heure de création du fichier ou dossier suivies par la date et l'heure de dernière modification.
L'analyse "Modifiés" liste la date et l'heure de dernière modification du fichier ou dossier suivies par la date et l'heure de création.
La
taille (nombre d'octets) du fichier est aussi listée. Un dossier affichera 00000000 car le dossier lui-même n'a pas d'octet.
Note : Pour éviter une durée d'analyse très importante et la production de rapports d'analyse extrêmement longs, l'analyse se limite à certains emplacements prédéfinis. De plus, FRST liste les dossiers personnalisés, mais pas leur contenu. Si vous voulez connaître le contenu d'un dossier personnalisé, utilisez la commande Folder:. Note : La vérification des signatures numériques est limitée aux exécutables Microsoft (mis en liste blanche par défaut). Les autres signatures numériques ne sont pas vérifiées. Pour obtenir une liste supplémentaire d'exécutables non signés, utilisez l'analyse facultative SigCheckExt.FRST ajoute des indications dans certains éléments du rapport d'analyse :C - Compressé
D - Dossier
H - Caché
L - Lien symbolique
N - Normal (pas d'autres attributs définis)
O - Hors ligne
R - Lecture seule
S - Système
T - Temporaire
X - No scrub (Windows 8+)
- Attribut d'absence de fichier de nettoyage Pour supprimer un fichier ou un dossier de l'une des listes "lors du dernier mois" copiez/collez simplement la totalité de la ligne dans le fixlist.
Les lignes pointant vers des liens symboliques (attribut
L) sont gérées correctement.
Exemple :
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\LienSi la ligne est incluse dans le fixlist, FRST va supprimer uniquement le lien, laissant la cible intacte :
Lien symbolique trouvé(e): "C:\WINDOWS\system32\Lien" => "C:\Windows\System32\Cible"
"C:\WINDOWS\system32\Lien" => Lien symbolique supprimé(es) avec succès
C:\WINDOWS\system32\Lien=> déplacé(es) avec succès
La commande
DeleteJunctionsInDirectory: peut aussi être utilisée.
Pour corriger d'autres fichiers/dossiers, leur chemin d'accès doit être inscrit dans le fixlist, les guillemets ne sont pas nécessaires pour un chemin d'accès comportant un espace :
c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisibleSi vous avez de nombreux fichiers avec des noms similaires et si vous voulez les supprimer avec un seul script, le joker * peut être utilisé:
Vous pouvez soit inscrire tous les fichiers comme ceci :
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.jobsoit simplement :
C:\Windows\Tasks\At*.jobNote: Un caractère "?" (point d'interrogation) sera ignoré pour des raisons de sécurité, qu'il soit un joker ou un caractère de substitution pour un caractère Unicode (voir le paragraphe Unicode sous Introduction). De plus, les jokers ne sont pas pris en charge pour les dossiers. ********************FLockLa section liste les fichiers et dossiers verrouillés dans des répertoires standard.
********************FCheckLa section est conçue pour lister les fichiers néfastes détectés, par exemple le
détournement de DLL. De plus, certains fichiers de zéro octet (fichiers .exe et .dll) dans les répertoires standards sont listés. La section n'apparaît que lorsque des éléments correspondants sont présents.
Lorsqu'une entrée est incluse dans la liste des corrections, un fichier/dossier sera déplacé.
*******************KnownDLLsCertains éléments dans cette section, s'ils sont absents ou modifiés
[patchés] ou corrompus pourraient entraîner des problèmes d'amorçage
[boot]. En conséquence, cette analyse apparaît uniquement lorsque l'outil est exécuté en mode RE (Environnement de récupération).
Les éléments sont en liste blanche à moins qu'ils ne nécessitent une vérification.
Il faut
faire attention quand on s'occupe des éléments identifiés dans cette section. Soit un fichier est manquant, soit il semble avoir été modifié d'une manière quelconque. L'aide d'un expert est recommandée pour s'assurer que le fichier problématique est correctement identifié et traité de manière appropriée. Dans la majorité des cas, il existe sur le système un bon fichier de remplacement qui peut être trouvé avec la fonction de recherche de FRST. Voyez la section
Instructions/Commandes (Exemples d'utilisation) de ce tutoriel pour savoir comment remplacer un fichier et la section
Autres analyses facultatives pour savoir comment effectuer une recherche.
********************SigCheckFRST vérifie un certain nombre de fichiers système importants. Les fichiers sans signature numérique correcte ou les fichiers manquants seront signalés. La section est ajoutée à la liste blanche en dehors de l'Environnement de Récupération (RE) lorsqu'il n'y a aucun problème avec les fichiers.
Des fichiers système modifiés peuvent vous alerter sur une possible infection malveillante. Quand l'infection est identifiée il faut faire attention lors des actions de réparation. L'aide d'un expert devrait être demandée car la suppression d'un fichier système pourrait empêcher le PC de démarrer.
Exemple tiré d'une infection Hijacker.DNS.Hosts :
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E
C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
Dans ce cas, le fichier doit être remplacé par une copie valide. Utilisez la commande
Replace:.
Certaines versions de l'infection
SmartService désactivent le mode de récupération. FRST rectifie automatiquement la modification BCD lors d'une analyse :
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restauré(e) avec succès
Le moyen le plus sûr de démarrer en Mode sans échec est d'utiliser la touche
F8 au démarrage (Windows 7 et plus ancien) ou les
Options avancées de démarrage (Windows 10 et Windows
8). Dans certains cas, les utilisateurs utilisent l'"Utilitaire de configuration système" pour démarrer en Mode sans échec. Dans le cas où le mode sans échec est corrompu, l'ordinateur est bloqué et le système ne démarrera pas en mode normal parce qu'il est configuré pour un démarrage en Mode sans échec. Dans ce cas, vous verrez :
safeboot: Minimal ==> Le système est configuré pour démarrer en Mode sans échec <===== ATTENTION
Pour corriger le problème, inscrivez la ligne ci-dessus dans le fixlist. FRST va définir le mode normal comme mode par défaut et le système sortira de la boucle.
Note : Ceci s'applique à Windows Vista et aux versions ultérieures de Windows.********************AssociationNote: la section "Association" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Dans l'Environnement de récupération, l'analyse se limite à l'association de fichier .exe. Liste l'association de fichier .exe (valeur appliquée à la machine, HKLM) comme ceci :
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION
Comme avec les autres éléments du Registre, vous pouvez simplement copier/coller les éléments avec le problème dans le fixlist et ils seront rétablis. Pas besoin de créer des correctifs-Registre.
********************Points de restaurationNote : la section "Points de restauration" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.Les points de restauration sont listés.
Note : il n'y a que dans Windows XP que les ruches peuvent être restaurées en utilisant FRST. Les points de restauration listés sur Windows Vista et ultérieur doivent être restaurés depuis l'Environnement de récupération (RE) en utilisant les Options de récupération du système Windows.Pour corriger, inscrivez la ligne du point de restauration que vous voulez restaurer dans le fixlist.
Exemple venant d'un PC sous XP :
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Pour restaurer les ruches à partir du point de restauration 82 (daté de 2010-10-24) la ligne sera copiée et collée dans le fixlist, comme ceci :
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82********************Infos MémoireNote : la section "Infos Mémoire" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de Récupération (RE). Quand FRST est exécuté en dehors de l'Environnement de Récupération, la section est dans le fichier Addition.txt et contiendra plus d'informations (BIOS, carte mère, processeur). Vous indique la quantité de RAM (Random Access Memory) installée sur la machine ainsi que la mémoire physique disponible et le pourcentage de mémoire disponible. Parfois cela peut aider à expliquer les symptômes d'une machine. Par exemple le nombre affiché peut ne pas refléter ce que l'utilisateur pense avoir installé au niveau matériel. La RAM indiquée peut apparaître inférieure à ce qui est en fait sur la machine. Ceci peut se produire quand la machine ne peut pas accéder vraiment à toute la RAM qu'il a. Les causes possibles comprennent de la RAM défectueuse, ou un problème de connecteur
[slot] sur la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (par exemple si le BIOS a besoin d'être mis à jour).
De plus, pour les systèmes 32-bit avec plus de 4 Go de RAM installés, le montant maximal indiqué ne sera que 4 Go. C'est une limitation sur les applications 32-bit.La mémoire virtuelle et la mémoire virtuelle disponible sont aussi listées.
********************Lecteurs et MBR & Table des partitionsNote : La section "Lecteurs et MBR & Table des partitions" apparaîtra dans le rapport d'analyse FRST.txt quand FRST est exécuté depuis l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section apparaîtra dans le fichier Addition.txt Énumère les lecteurs fixes et amovibles connectés à la machine au moment de l'analyse. Les volumes non montés sont identifiés par les chemins GUID du volume.
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32
Schéma de partitionnement basé sur
UEFI / GPT : seule la
disposition GPT de base est détectée, mais la liste complète des partitions n'est pas disponible.
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)
Partition: GPT.
Schéma de partitionnement basé sur le
BIOS/MBR : le
code MBR et les entrées des partitions sont détectés. Cependant, les partitions logiques dans les partitions étendues ne sont pas répertoriées.
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)
Quand il y a une indication que quelque chose ne va pas avec le MBR, une vérification du MBR peut être indiquée. Pour ce faire, on doit obtenir un vidage
[dump] du MBR. Voici comment :
Exécutez le correctif suivant avec FRST en mode quelconque :
SaveMbr: drive=0 (ou numéro de lecteur adéquat) Ce faisant, un fichier MBRDUMP.txt sera enregistré à l'emplacement à partir duquel FRST/FRST64 a été exécuté.
Note : bien qu'un vidage du MBR puisse être obtenu en mode normal comme en mode RE, certaines infections du MBR sont capables de contrefaire le MBR quand Windows est chargé. En conséquence, il est conseillé de faire ceci dans l'Environnement de récupération (RE).********************LastRegBack:FRST cherche dans le système et liste la dernière sauvegarde du Registre effectuée par le système. La sauvegarde du Registre contient une sauvegarde de toutes les ruches. C'est différent de la sauvegarde LKGC
[Last Known Good Configuration - Dernière configuration correcte connue] du ControlSet.
Il y a plusieurs raisons pour lesquelles vous pouvez vouloir utiliser cette sauvegarde pour résoudre un problème, mais fréquemment c'est quand une perte ou une corruption s'est produite.
Vous pouvez voir ceci dans l'entête de FRST :
ATTENTION: Impossible de charger la ruche System
Pour corriger, inscrivez simplement la ligne dans le fixlist comme ceci :
LastRegBack: >>date<< >>heure<<Exemple :
LastRegBack: 2013-07-02 15:09.
