Analyse principale (FRST.txt)
EntêteVoici un exemple d'entête :
Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 20-10-2017
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (21-10-2017 14:15:41)
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Administrateur)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Langue: Français (France)
Navigateur par défaut: FF
Mode d'amorçage: Normal
Tutoriel pour Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
La lecture attentive de l'entête peut être très utile:
1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.
2ème ligne : montre quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne montre aussi le nom de l'ordinateur ainsi que le jour et l'heure de l'exécution de l'outil. Parfois, un utilisateur peut par inadvertance envoyer un ancien rapport d'analyse.
3ème ligne : vous dit depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.
4ème ligne : vous dit sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire la ruche
(de Registre) utilisateur chargée. Puis, entre parenthèses, "Profils disponibles" liste tous les profils présents sur le PC, y compris ceux qui ne sont pas actuellement chargés.
Note : Lors de la connexion sous Windows, seule la ruche utilisateur de l'utilisateur connecté est chargée. Si l'utilisateur se connecte sous un autre compte sans redémarrage (en utilisant "Changer d'utilisateur" ou "Fermer la session"), la seconde ruche utilisateur est chargée mais la première n'est pas déchargée. Dans cette situation, FRST listera les éléments de Registre des deux utilisateurs, mais ne listera pas les éléments de Registre relatifs aux autres utilisateurs puisque leurs ruches utilisateur ne sont pas chargées.5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (
Version et OS Build sur Windows 10 (
en anglais), "Mise à jour" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures), ainsi que la langue utilisée. Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.
6ème ligne : vous donne la version d'Internet Explorer (sous Windows 7 et versions antérieures), ainsi que le navigateur par défaut.
7ème ligne : vous dit dans quel mode l'analyse a été exécutée.
8ème ligne : lien vers le tutoriel officiel
(en anglais).
Note : Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.Alertes qui peuvent apparaître dans l'entêteQuand il y a des problèmes d'amorçage
[boot], vous pouvez voir quelque chose comme "ATTENTION: Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche en utilisant
LastRegBack: peut être une solution (voir ci-dessous).
"Par défaut: Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi en auriez-vous besoin ? Normalement, vous n'en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.
********************ProcessusIl y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d'abord, vous pouvez arrêter un programme de sécurité qui pourrait bloquer un correctif. Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le fichier qui lui sont associés.
Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.
Exemple :
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Une ligne sera créée dans le fichier Fixlog.txt avec cet intitulé: Nom du processus
=> Processus fermé avec succès Si vous avez un processus nuisible et si vous voulez supprimer le fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif, comme ceci:
Exemple :
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot
********************RegistreLes éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un fixlist afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression en raison d'autorisations insuffisantes ou de caractères Null encapsulés
(Null embedded) seront supprimées. Si des clés résistent à la suppression en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau
(kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.
Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution de l'une des deux actions suivantes sur la clé/valeur de registre :
- Restaurer la clé/valeur par défaut ou
- Supprimer la clé/valeur.
Quand des éléments du rapport relatifs à
BootExecute, les
valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le fixlist, l'outil restaure les valeurs Windows par défaut.
Note : Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.Pas besoin d'un batch ni d'un correctif-Registre. Il en va de même pour certaines autres clés/valeurs importantes qui pourraient être détournées par un malveillant.
Note: FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.Les éléments
Run et Runonce, Image File Execution Options et autres entrées de registre, s'ils sont copiés dans le fixlist, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.
Par exemple, pour supprimer le mauvais élément Run ainsi que le fichier, vous devez les inclure dans le fixlist comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe
Quand un fichier ou un raccourci est détecté dans le
dossier Démarrage, FRST liste le fichier dans les éléments 'Startup:'. Si le fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci)
[avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le fichier cible vous devez inclure les deux dans le correctif.
Exemple :
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\Utilisateur\1800947.exe ()
Note : La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier 1800947.exe. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.Dans le cas d'un nuisible qui impose des
certificats non approuvés [en anglais] ou des
stratégies de restriction logicielle [en anglais], vous verrez des éléments comme ceci :
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
Pour débloquer les programmes de sécurité, incluez les lignes dans le fixlist.
Note : La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir: How to manually create Software Restriction Policies to block ransomware [en anglais].
FRST détecte aussi la présence d'objets de stratégie de groupe (
Group Policy Objects - GPO [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible. Les stratégies Firefox, Google Chrome (voir les sections des navigateurs ci-dessous) et Windows Defender dans le fichier Registry.pol seront signalées individuellement :
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
Pour les autres stratégies ou scripts, vous verrez une notification générique sans détails :
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Pour réinitialiser les stratégies, placez les lignes dans le fixlist. FRST va élaguer les dossiers de stratégie de groupe
(GroupPolicy) et forcer un redémarrage.
Exemple :
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
Note : La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.La Restauration système désactivée par une stratégie de groupe
(Group Policy) sera signalée comme ceci :
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
Inclure la ligne dans le fixlist provoquera la suppression de la clé (qui n'existe pas par défaut).
Note : FRST génère aussi un avertissement dans le rapport d'analyse Addition.txt si la Restauration système [SR] est désactivée, même si elle n'a pas été désactivée par une Stratégie de groupe [Group Policy] mais par l'utilisateur. Dans ce cas FRST ne fait rien. Il faut conseiller à l'utilisateur d'activer la Restauration système. Il n'existe pas de Stratégie de groupe empêchant cette activation. ********************InternetHormis quelques exceptions, les éléments copiés dans le fixlist seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs (sauf Internet Explorer), voir les descriptions ci-dessous pour plus de détails.
■ WinsockLes éléments Winsock qui ne sont pas dans la liste par défaut seront listés dans le rapport d'analyse. Si un élément
Catalog5 est inclus pour être corrigé, FRST va effectuer une de ces deux actions :
1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile
(catalog).
Quand des éléments
Catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset" :
cmd: netsh winsock reset
S'il reste des éléments Catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un fixlist. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile
(catalog).
Attention: une rupture de la chaîne empêchera le PC de se connecter à Internet.Une rupture de connexion internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :
Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Pour corriger le problème, l'élément peut être copié dans le fixlist.
■ hostsS'il y a des éléments personnalisés dans le fichier
hosts, il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
Si le fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter
[Fichier hosts non détecté dans le dossier par défaut].
Pour réinitialiser le fichier hosts, copiez/collez simplement la ligne dans le fixlist et le fichier sera réinitialisé. Vous verrez une ligne dans le fichier Fixlog.txt confirmant la réinitialisation.
■ Tcpip et autres entréesLes éléments
Tcpip et les autres éléments, s'ils sont inclus dans le fixlist, seront supprimés.
Note : Dans le cas d'un piratage de StartMenuInternet pour IE, FF, Chrome et Opera. Les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fixlist et l'élément par défaut sera restauré dans le Registre. ■ Internet ExplorerPour
les pages du navigateur, moteurs de recherche (SearchScopes) et d'autres entrées n'impliquant pas de fichiers/dossiers : en fonction du type d'objet, FRST supprime les éléments du registre ou rétablit leur état par défaut.
Exemple :
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
Les
URLSearchHooks, les
BHOs (
Browser Helper Objects), les
barres d'outils, les
gestionnaires (Handlers) et les
filtres (Filters) peuvent être copiés dans le correctif et les entrées de registre seront supprimées. Les fichiers/dossiers associés doivent être inclus séparément s'ils doivent être déplacés.
Exemple :
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz
■ EdgeFRST liste les éléments: HomeButtonPage
(bouton d'accueil) s'il pointe vers une page personnalisée, Session Restore
(restaurer la session) s'il est activé, ainsi que les extensions installées.
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> est activé.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]
S'ils sont inclus dans un fixlist, les éléments HomeButtonPage et Session Restore seront supprimés du Registre.
Pour les éléments associés aux extensions, s'ils sont inclus dans un fixlist, la clé de Registre sera supprimée et le fichier sera déplacé.
■ FirefoxFRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y plusieurs profils Firefox ou clones de Firefox, FRST va lister les préférences, le fichier user.js, les extensions et les plugins de recherche
(SearchPlugins) de tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
Si les
préférences sont copiées dans un fixlist, les valeurs seront supprimées. La fois suivante où Firefox (ou un clone de Firefox) s'ouvrira, il reviendra aux paramètres par défaut. La liste de correction ressemblerait à ceci (la ligne est copiée/collée directement depuis le rapport d'analyse) :
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T
FRST vérifie
la signature des modules complémentaires. Les modules complémentaires non signés sont signalés.
Exemple :
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [non signé]
Les lignes
FF Extension et d'autres lignes peuvent être incluses dans le fixlist, les éléments seront supprimés.
Une stratégie de Groupe verrouillant les fonctionnalités de Firefox seront présentées de la façon suivante :
GroupPolicy: Restriction - Firefox <==== ATTENTION
GroupPolicy-Firefox: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Voir la description des
objets de stratégie de groupe (
Group Policy Objects - GPO) sous la section Registre pour plus de détails.
■ ChromeFRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST va trouver le dernier profil utilisé et lister les préférences de ce profil particulier. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
L'analyse des
preferences comprend les HomePage
(page d'accueil) et StartupUrls
(pages de démarrage) modifiés, l'activation de Session Restore
(Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé :
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> est activé.
S'ils sont inscrits dans le fixlist, les éléments HomePage et StartupUrls seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome: "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".
FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
FRST est incapable de supprimer une extension. L'extension sera toujours affichée dans la liste des extensions et le dossier associé sera restauré par Chrome. Pour cette raison, les lignes d'extension CHR ne sont pas traitées dans un correctif, utilisez plutôt les outils propres à Chrome : - Tapez
chrome://extensions dans la barre d'adresse et validez par Entrée.
- Cliquez sur l'icône de la corbeille à côté de l'extension que vous voulez supprimer complètement.
- Une fenêtre pop-up de confirmation apparaît, cliquez sur
Supprimer.
Une exception pour une installation d'extension située dans le registre (libellée
CHR HKLM et
HKU). Lorsque l'entrée est incluse dans le fixlist, la clé sera supprimée.
Certains nuisibles utilisent une stratégie de groupe (Group Policy) pour bloquer les modifications des extensions ou d'autres fonctions :
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Voir la description
objets de stratégie de groupe (Group Policy Objects) dans la section Registre pour de plus amples détails.
■ OperaFRST liste les clés et les profils Opera (si présents), que Opera soit installé ou non.
Pour l'instant, l'analyse se limite à StartMenuInternet, StartupUrls, Session Restore ainsi que les extensions :
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> est activé.
OPR Extension: (iWebar) - C:\Users\Utilisateur\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]
Inclure un élément "StartupUrls" ou "Session Restore"' dans le fixlist provoque la suppression de cet élément.
Inclure un élément "Extension" dans le fixlist provoque le déplacement de l'extension. Inutile d'inclure le chemin d'accès séparément.
Bien que n'étant plus activé, l'élément affiché dans le panneau "Extensions" du navigateur ne sera pas supprimé. Utilisez les propres outils d'Opera, comme décrit ci-dessous :
- Tapez
chrome://extensions dans la barre d'adresse et validez par Entrée.
- Pour supprimer chaque extension concernée, cliquez sur le
X, puis sur
OK.
Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.
********************Services et PilotesLes Services et Pilotes sont présentés comme ceci :
ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomEntreprise) Note : les paramètres ÉtatExécution et TypeDémarrage sont listés ensemble.ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :
R=Actif
S=Arrêté
U=Indéterminé.
Les chiffres du "TypeDémarrage" sont:
0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.
Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.
FRST recherche plusieurs infections connues et vérifie la signature numérique des fichiers pour les Services et les Pilotes. Si un fichier n'est pas signé numériquement, cela sera signalé.
Exemple :
==================== Services (Avec liste blanche) =================
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Fichier non signé]
Un fichier système Microsoft qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande
Replace:.
Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le fixlist. Tout fichier associé doit être inclus séparément.
Exemple :
R2 Khiufa; C:\Users\Utilisateur\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\Utilisateur\AppData\Roaming\Eepubseuig
L'outil va arrêter tout élément de service inclus dans le fixlist puis supprimer la clé du service.
Note: FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage. Il y a
deux exceptions où le service sera réparé au lieu d'être supprimé. Dans le cas de Themes et de Windows Management Instrumentation, s'il a été piraté par un malveillant, vous verrez quelque chose comme ceci :
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)
Si ces lignes sont incluses dans le fixlist, les éléments seront restaurés à leur valeur par défaut.
La ligne suivante ne doit pas être incluse dans le fixlist :
"NomService" => service n'a pas pu être déverrouillé. <==== ATTENTION
Le message indique que FRST a détecté des autorisations corrompues et les a automatiquement corrigées lors d'une analyse. Un nouveau rapport FRST doit être utilisé pour vérifier le résultat. Si nécessaire, incluez la ligne de service standard dans le fixlist.
********************NetSvcsLes éléments connus comme légitimes sont en liste blanche. Comme pour d'autres zones soumises à l'analyse et qui ont une liste blanche, cela ne signifie pas que les éléments apparaissant dans le rapport FRST.txt sont tous néfastes, mais simplement qu'ils doivent être contrôlés.
Les éléments NetSvc figurent chacun sur une ligne, comme ceci :
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> Pas de chemin du fichier
Note: L'inscription de Netsvc dans le fixlist supprime seulement la valeur associée du Registre. Le service associé (si présent dans la section Services) doit être inscrit séparément afin d'être supprimé.Exemple :
Pour supprimer la valeur Netsvc, le service associé dans le Registre et le fichier associé, le script complet devrait ressembler à ceci :
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi
********************Un mois (Créés/Modifiés)L'analyse "Créés" liste la date et l'heure de création du fichier ou dossier suivies par la date et l'heure de dernière modification.
L'analyse "Modifiés" liste la date et l'heure de dernière modification du fichier ou dossier suivies par la date et l'heure de création.
La
taille (nombre d'octets) du fichier est aussi listée. Un dossier affichera 00000000 car le dossier lui-même n'a pas d'octet.
Note : Pour éviter une durée d'analyse très importante et la production de rapports d'analyse extrêmement longs, l'analyse se limite à certains emplacements prédéfinis. De plus, FRST liste les dossiers personnalisés, mais pas leur contenu. Si vous voulez connaître le contenu d'un dossier personnalisé, utilisez la commande Folder:. FRST ajoute des indications dans certains éléments du rapport d'analyse :C - Compressé
D - Dossier
H - Caché
L - Lien symbolique
N - Normal (pas d'autres attributs définis)
O - Hors ligne
R - Lecture seule
S - Système
T - Temporaire
X - No scrub (Windows 8+)
- Attribut d'absence de fichier de nettoyage Pour supprimer un fichier ou un dossier de l'une des listes "lors du dernier mois" copiez/collez simplement la totalité de la ligne dans le fixlist.
Les lignes pointant vers des liens symboliques (attribut
L) sont gérées correctement.
Exemple :
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Lien
Si la ligne est incluse dans le fixlist, FRST va supprimer uniquement le lien, laissant la cible intacte :
Lien symbolique trouvé(e): "C:\WINDOWS\system32\Lien" => "C:\Windows\System32\Cible"
"C:\WINDOWS\system32\Lien" => Lien symbolique supprimé(es) avec succès
C:\WINDOWS\system32\Lien=> déplacé(es) avec succès
La commande
DeleteJunctionsInDirectory: peut aussi être utilisée.
Pour corriger d'autres fichiers/dossiers, leur chemin d'accès doit être inscrit dans le fixlist, les guillemets ne sont pas nécessaires pour un chemin d'accès comportant un espace :
c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible
Si vous avez de nombreux fichiers avec des noms similaires et si vous voulez les supprimer avec un seul script, le joker * peut être utilisé:
Vous pouvez soit inscrire tous les fichiers comme ceci :
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
soit simplement :
C:\Windows\Tasks\At*.job
Note: Un caractère "?" (point d'interrogation) sera ignoré pour des raisons de sécurité, qu'il soit un joker ou un caractère de substitution pour un caractère Unicode (voir le paragraphe Unicode sous Introduction). De plus, les jokers ne sont pas pris en charge pour les dossiers. ********************Fichiers à déplacer ou supprimerLes fichiers listés dans cette section sont ceux qui soit sont nuisibles, soit sont placés dans un mauvais emplacement.
Des exemples de fichiers légitimes sont les fichiers que les utilisateurs ont téléchargés et enregistrés dans le dossier de l'utilisateur
[User]. Un autre exemple est quand un logiciel tierce partie légitime laisse un de ses fichiers dans le dossier de l'utilisateur. C'est une mauvaise habitude de la part de n'importe quel fournisseur de logiciel, et ces fichiers devraient être déplacés, même s'ils sont légitimes. Nous avons vu de nombreuses infections cachant leurs fichiers fictifs (apparemment légitimes mais en réalité des fichiers malveillants) dans ce répertoire et les exécutant à partir de là.
La façon de traiter ces fichiers/dossiers dans un correctif est la même que dans la section Un mois (Créés/Modifiés) ci-dessus.
********************Certains fichiers dans TEMPC'est une recherche non récursive limitée à certaines extensions particulières, pour avoir une idée générale sur la présence d'un fichier nuisible dans la racine du dossier Temp. Cette section n'est pas présente si aucun fichier ne répond aux critères de recherche. Cela ne signifie pas que le dossier Temp est vide ou exempt de tout nuisible (par exemple, un nuisible pourrait se trouver dans un sous-dossier non analysé par FRST), mais seulement que rien ne satisfait aux critères spécifiques de recherche. Pour un nettoyage plus complet des fichiers temporaires, on peut utiliser la commande
EmptyTemp: .
*******************KnownDLLsCertains éléments dans cette section, s'ils sont absents ou modifiés
[patchés] ou corrompus pourraient entraîner des problèmes d'amorçage
[boot]. En conséquence, cette analyse apparaît uniquement lorsque l'outil est exécuté en mode RE (Environnement de récupération).
Les éléments sont en liste blanche à moins qu'ils ne nécessitent une vérification.
Il faut
faire attention quand on s'occupe des éléments identifiés dans cette section. Soit un fichier est manquant, soit il semble avoir été modifié d'une manière quelconque. L'aide d'un expert est recommandée pour s'assurer que le fichier problématique est correctement identifié et traité de manière appropriée. Dans la majorité des cas, il existe sur le système un bon fichier de remplacement qui peut être trouvé avec la fonction de recherche de FRST. Voyez la section
Instructions/Commandes (Exemples d'utilisation) de ce tutoriel pour savoir comment remplacer un fichier et la section
Autres analyses facultatives pour savoir comment effectuer une recherche.
********************Bamital & volsnapConçu principalement pour une recherche des malveillants
Bamital et
volsnap, il a maintenant été étendu pour détecter d'autres anomalies.
Des fichiers système modifiés peuvent vous alerter sur une possible infection malveillante. Quand l'infection est identifiée il faut faire attention lors des actions de réparation. L'aide d'un expert devrait être demandée car la suppression d'un fichier système pourrait empêcher le PC de démarrer.
Si un fichier n'a pas une signature numérique correcte, vous verrez à la place les propriétés du fichier.
Exemple tiré d'une infection Hijacker.DNS.Hosts :
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E
C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
Dans ce cas, le fichier doit être remplacé par une copie valide. Utilisez la commande
Replace:.
Note : La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE). FRST vérifie le répertoire %SystemDrive%\Windows\System32\Drivers et liste les fichiers verrouillés.
Exemple dans le cas d'une infection
SmartService :
C:\WINDOWS\system32\drivers\vdhmqtwa.sys -> Accès refusé <======= ATTENTION
Note : Les pilotes aléatoires du rootkit sont cachés et ne seront pas répertoriés dans la section Drivers en mode normal. Pour supprimer les pilotes et les fichiers verrouillés, utilisez le mode de récupération ou un autre outil avec des fonctionnalités anti-rootkit.Certaines versions de l'infection SmartService désactivent le mode de récupération. FRST rectifie automatiquement la modification BCD lors d'une analyse :
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restauré(e) avec succès
Le moyen le plus sûr de démarrer en Mode sans échec est d'utiliser la touche
F8 au démarrage (Windows 7 et plus ancien) ou les
Options avancées de démarrage (Windows 10 et Windows
8). Dans certains cas, les utilisateurs utilisent l'"Utilitaire de configuration système" pour démarrer en Mode sans échec. Dans le cas où le mode sans échec est corrompu, l'ordinateur est bloqué et le système ne démarrera pas en mode normal parce qu'il est configuré pour un démarrage en Mode sans échec. Dans ce cas, vous verrez :
safeboot: ==> Le système est configuré pour démarrer en Mode sans échec <===== ATTENTION
Pour corriger le problème, inscrivez la ligne ci-dessus dans le fixlist. FRST va définir le mode normal comme mode par défaut et le système sortira de la boucle.
Note : Ceci s'applique à Windows Vista et aux versions ultérieures de Windows.********************AssociationNote: la section "Association" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Dans l'Environnement de récupération, l'analyse se limite à l'association de fichier .exe. Liste l'association de fichier .exe (valeur appliquée à la machine, HKLM) comme ceci :
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION
Comme avec les autres éléments du Registre, vous pouvez simplement copier/coller les éléments avec le problème dans le fixlist et ils seront rétablis. Pas besoin de créer des correctifs-Registre.
********************Points de restaurationNote : la section "Points de restauration" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.Les points de restauration sont listés.
Note : il n'y a que dans Windows XP que les ruches peuvent être restaurées en utilisant FRST. Les points de restauration listés sur Windows Vista et ultérieur doivent être restaurés depuis l'Environnement de récupération (RE) en utilisant les Options de récupération du système Windows.Pour corriger, inscrivez la ligne du point de restauration que vous voulez restaurer dans le fixlist.
Exemple venant d'un PC sous XP :
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Pour restaurer les ruches à partir du point de restauration 82 (daté de 2010-10-24) la ligne sera copiée et collée dans le fixlist, comme ceci :
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
Pour un correctif de restauration à partir d'un logiciel de sauvegarde (Ruches sauvegardées par FRST, ERUNT ou CF) sur Windows Vista et ultérieur, reportez-vous à la section
Instructions de ce tutoriel.
********************Infos MémoireNote : la section "Infos Mémoire" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Vous indique la quantité de RAM (Random Access Memory) installée sur la machine ainsi que la mémoire physique disponible et le pourcentage de mémoire disponible. Parfois cela peut aider à expliquer les symptômes d'une machine. Par exemple le nombre affiché peut ne pas refléter ce que l'utilisateur pense avoir installé au niveau matériel. La RAM indiquée peut apparaître inférieure à ce qui est en fait sur la machine. Ceci peut se produire quand la machine ne peut pas accéder vraiment à toute la RAM qu'il a. Les causes possibles comprennent de la RAM défectueuse, ou un problème de connecteur
[slot] sur la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (par exemple si le BIOS a besoin d'être mis à jour).
De plus, pour les systèmes 32-bit avec plus de 4 Go de RAM installés, le montant maximal indiqué ne sera que 4 Go. C'est une limitation sur les applications 32-bit.Les informations sur le processeur, la mémoire virtuelle et la mémoire virtuelle disponible sont aussi listées.
********************Lecteurs et MBR & Table des partitionsNote : La section "Lecteurs et MBR & Table des partitions" apparaîtra dans le rapport d'analyse FRST.txt quand FRST est exécuté depuis l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section apparaîtra dans le fichier Addition.txt Énumère les lecteurs fixes et amovibles connectés à la machine au moment de l'analyse. Les volumes non montés sont identifiés par les chemins GUID du volume.
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32
Schéma de partitionnement basé sur
UEFI / GPT : seule la
disposition GPT de base est détectée, mais la liste complète des partitions n'est pas disponible.
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)
Partition: GPT.
Schéma de partitionnement basé sur le
BIOS/MBR : le
code MBR et les entrées des partitions sont détectés. Cependant, les partitions logiques dans les partitions étendues ne sont pas répertoriées.
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)
Quand il y a une indication que quelque chose ne va pas avec le MBR, une vérification du MBR peut être indiquée. Pour ce faire, on doit obtenir un vidage
[dump] du MBR. Voici comment :
Exécutez le correctif suivant avec FRST en mode quelconque :
SaveMbr: drive=0 (ou numéro de lecteur adéquat)
Ce faisant, un fichier MBRDUMP.txt sera enregistré à l'emplacement à partir duquel FRST/FRST64 a été exécuté.
Note : bien qu'un vidage du MBR puisse être obtenu en mode normal comme en mode RE, certaines infections du MBR sont capables de contrefaire le MBR quand Windows est chargé. En conséquence, il est conseillé de faire ceci dans l'Environnement de récupération (RE).********************LastRegBack:FRST cherche dans le système et liste la dernière sauvegarde du Registre effectuée par le système. La sauvegarde du Registre contient une sauvegarde de toutes les ruches. C'est différent de la sauvegarde LKGC
[Last Known Good Configuration - Dernière configuration correcte connue] du ControlSet.
Il y a plusieurs raisons pour lesquelles vous pouvez vouloir utiliser cette sauvegarde pour résoudre un problème, mais fréquemment c'est quand une perte ou une corruption s'est produite.
Vous pouvez voir ceci dans l'entête de FRST :
ATTENTION: Impossible de charger la ruche System
Pour corriger, inscrivez simplement la ligne dans le fixlist comme ceci :
LastRegBack: >>date<< >>heure<<
Exemple :
LastRegBack: 2013-07-02 15:09
.