Analyse principale (FRST.txt)EntêteVoici un exemple d'entête :
- Code: Tout sélectionner
Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 20-10-2017
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (21-10-2017 14:15:41)
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Administrateur)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Langue: Français (France)
Internet Explorer Version 11 (Navigateur par défaut: FF)
Mode d'amorçage: Normal
Tutoriel pour Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
La lecture attentive de l'entête peut être très utile :
1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.
2ème ligne : montre quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne montre aussi le nom de l'ordinateur ainsi que le jour et l'heure de l'exécution de l'outil. Parfois, un utilisateur peut par inadvertance envoyer un ancien rapport d'analyse.
3ème ligne : vous dit depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.
4ème ligne : vous dit sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire la ruche
(de Registre) utilisateur chargée. Puis, entre parenthèses, "Profils disponibles" liste tous les profils présents sur le PC, y compris ceux qui ne sont pas actuellement chargés.
Note :
Lors de la connexion sous Windows, seule la ruche utilisateur de l'utilisateur connecté est chargée. Si l'utilisateur se connecte sous un autre compte sans redémarrage (en utilisant "Changer d’utilisateur" ou "Fermer la session"), la seconde ruche utilisateur est chargée mais la première n'est pas déchargée. Dans cette situation, FRST listera les éléments de Registre des deux utilisateurs, mais ne listera pas les éléments de Registre relatifs aux autres utilisateurs puisque leurs ruches utilisateur ne sont pas chargées.5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (
Version et OS Build sur Windows 10, "Mise à jour" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures), ainsi que la langue utilisée. Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.
6ème ligne : vous donne la version d'Internet Explorer, ainsi que le navigateur par défaut.
7ème ligne : vous dit dans quel
mode l'analyse a été exécutée.
8ème ligne : lien vers le tutoriel officiel
(en anglais).
Note :
Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.Alertes qui peuvent apparaître dans l'entêteQuand il y a des problèmes d'amorçage
[boot], vous pouvez voir quelque chose comme "ATTENTION : Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche
en utilisant
LastRegBack: peut être une solution (voir ci-dessous).
"Par défaut : Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi
en auriez-vous besoin? Normalement, vous n'
en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.
ProcessusIl y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d'abord, vous pouvez arrêter un programme de sécurité qui pourrait bloquer un correctif. Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le
fichier qui lui sont associés.
Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.
Exemple :
- Code: Tout sélectionner
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Une ligne sera créée dans le
fichier Fixlog.txt avec cet intitulé : Nom du processus
=> Processus fermé avec succèsSi vous avez un processus nuisible et si vous voulez supprimer le
fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif, comme ceci :
Exemple :
- Code: Tout sélectionner
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot
RegistreLes éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un
fichier fixlist.txt afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression
en raison d'autorisations insuffisantes ou de caractères Null encapsulés <i>(Null embedded)</i> seront supprimées. Si des clés résistent à la suppression
en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau
(kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.
Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution sur la clé de Registre de l'une des deux actions ci-dessous :
- Restaurer la clé par défaut ou
- Supprimer la clé.
Quand des éléments du rapport relatifs à des
valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le
fichier fixlist.txt, l'outil restaure les valeurs Windows par défaut.
Note :
Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.Pas besoin d'un batch ni d'un correctif-Registre. Il
en va de même pour certaines autres clés importantes qui pourraient être détournées par un malveillant.
Note :
FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.Les éléments
Run et Runonce, s'ils sont copiés dans le
fichier fixlist.txt, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.
Par exemple, pour supprimer le mauvais élément Run ainsi que le
fichier, vous devez les inclure dans fixlist.txt comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :
- Code: Tout sélectionner
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe
Dans le cas des clés
Notify, si elles figurent dans le
fichier fixlist.txt :
Si elles font partie des clés par défaut, l'outil restaure les données de la valeur (DllName) associées à cette clé. Si la clé n'est pas une clé par défaut, elle sera supprimée.
Les éléments
Image File Execution Options, s'ils sont inclus dans le
fichier fixlist.txt, seront supprimés.
Quand un
fichier ou un raccourci est détecté dans le
dossier Démarrage, FRST liste le
fichier dans les éléments 'Startup:'. Si le
fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci)
[avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le
fichier cible vous devez inclure les deux dans le correctif.
Exemple :
- Code: Tout sélectionner
Startup: C:\Users\rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\rob\1800947.exe ()
Note :
La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier 1800947.exe. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.Dans le cas d'un nuisible qui impose des
certificats non approuvés [
en anglais] ou des
stratégies de restriction logicielle [en anglais]), vous verrez des éléments comme ceci :
- Code: Tout sélectionner
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
- Code: Tout sélectionner
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
Pour débloquer les programmes de sécurité, incluez les lignes dans le
fichier fixlist.txt.
Note :
La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir : How to manually create Software Restriction Policies to block ransomware [en anglais].FRST détecte aussi la présence d'objets de stratégie de groupe (
Group Policy Objects - GPO [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible. Les stratégies Google Chrome (voir la section Chrome ci-dessous) et Windows Defender dans le
fichier Registry.pol seront signalées individuellement :
- Code: Tout sélectionner
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
Pour les autres stratégies ou scripts, vous verrez une notification générique
sans détails :
- Code: Tout sélectionner
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Pour réinitialiser les stratégies, placez les lignes dans le
fichier fixlist.txt. FRST va élaguer les dossiers de stratégie de groupe
(GroupPolicy) et forcer un redémarrage.
Exemple :
- Code: Tout sélectionner
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
Note :
La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.La Restauration système désactivée par une stratégie de groupe
(Group Policy) sera signalée comme ceci :
- Code: Tout sélectionner
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
Inclure la ligne dans le
fichier fixlist.txt provoquera la suppression de la clé (qui n'existe pas par défaut).
Note :
FRST génère aussi un avertissement dans le rapport d'analyse Addition.txt si la Restauration système [SR] est désactivée, même si elle n'a pas été désactivée par une Stratégie de groupe [Group Policy] mais par l'utilisateur. Dans ce cas FRST ne fait rien. Il faut conseiller à l'utilisateur d'activer la Restauration système. Il n'existe pas de Stratégie de groupe empêchant cette activation.
InternetHormis quelques exceptions, les éléments copiés dans fixlist.txt seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs (sauf Internet Explorer), voir les descriptions ci-dessous pour plus de détails.
WinsockLes éléments
Winsock qui ne sont pas dans la liste par défaut seront listés dans le rapport d'analyse.
Si un élément
catalog5 est placé dans un correctif (fixlist.txt), FRST va effectuer une de ces deux actions :
1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile
(catalog).
Quand des éléments
catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset".
S'il reste des éléments
catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un
fichier fixlist.txt. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile
(catalog).
Attention :
Une rupture de la chaîne empêchera le PC de se connecter à Internet.Une rupture de connexion Internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :
- Code: Tout sélectionner
Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Pour corriger le problème, l'élément peut être copié dans le
fichier fixlist.txt.
Dans un cas d'infection ZeroAccess nous pourrions avoir un rapport d'analyse comme ceci :
- Code: Tout sélectionner
Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll => No File
Winsock: Catalog9 02 mswsock.dll => No File
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll => No File
Winsock: Catalog9-x64 02 mswsock.dll => No File
Si vous inscrivez ces lignes dans le
fichier fixlist, FRST réinitialise les éléments
Catalog5 mais ne fait rien aux éléments
Catalog9 douteux et vous dit d'utiliser "netsh winsock reset" pour les traiter.
Un script de correction complet ressemblerait à ceci :
- Code: Tout sélectionner
Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset
Note :Le
cmd: netsh winsock reset inclus dans le correctif.
Le
fichier Fixlog.txt généré après la correction ressemblerait à ceci :
- Code: Tout sélectionner
Winsock: Catalog5 entry 000000000001\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\NLAapi.dll)
Winsock: Catalog5 entry 000000000006\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 entry 000000000001\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\NLAapi.dll)
Winsock: Catalog5-x64 entry 000000000006\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\mswsock.dll)
========= netsh winsock reset =========
"Le catalogue Winsock a été réinitialisé correctement.
Vous devez redémarrer l'ordinateur afin de finaliser la réinitialisation."
========= Fin de CMD: =========
Note :
Dans certains cas, la commande netsh winsock reset peut ne pas fonctionner. Si cela se produit, demandez à l'utilisateur de faire redémarrer le PC et d'exécuter de nouveau cmd: netsh winsock reset.hostsS'il y a des éléments personnalisés dans le
fichier hosts, il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :
- Code: Tout sélectionner
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
Si le
fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter
[Fichier hosts non détecté dans le dossier par défaut].
Pour réinitialiser le
fichier hosts, copiez/collez simplement la ligne dans le
fichier fixlist.txt et le
fichier sera réinitialisé. Vous verrez une ligne dans le
fichier Fixlog.txt confirmant la réinitialisation.
Tcpip et autres entréesLes éléments
Tcpip et les autres éléments, s'ils sont inclus dans le
fichier fixlist.txt, seront supprimés.
Note :
Dans le cas d'un piratage de StartMenuInternet pour IE, FF, Chrome et Opera. Les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fichier fixlist et l'élément par défaut sera restauré dans le Registre.Internet ExplorerPour
les pages du navigateur, moteurs de recherche (SearchScopes) et d'autres entrées n'impliquant pas de fichiers/dossiers :
en fonction du type d'objet, FRST supprime les éléments du registre ou rétablit leur état par défaut.
Exemple :
- Code: Tout sélectionner
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
Les
URLSearchHooks, les
BHO - Browser Helper Object, les
Barres d'outils (Toolbars), les
gestionnaires (Handlers) et les
filtres (Filters) peuvent être copiés dans le correctif et les entrées de registre seront supprimées. Les fichiers/dossiers associés doivent être inclus séparément s'ils doivent être déplacés.
Exemple :
- Code: Tout sélectionner
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz
EdgeFRST liste les éléments : HomeButtonPage
(bouton d'accueil) s'il pointe vers une page personnalisée, Session Restore
(restaurer la session) s'il est activé, ainsi que les extensions installées.
- Code: Tout sélectionner
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> est activé.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]
S'ils sont inclus dans un
fichier fixlist.txt, les éléments HomeButtonPage et Session Restore seront supprimés du Registre.
Pour les éléments associés aux extensions, s'ils sont inclus dans un
fichier fixlist.txt, la clé de Registre sera supprimée et le
fichier sera déplacé.
FirefoxFRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y plusieurs profils Firefox ou clones de Firefox, FRST va lister les préférences, le
fichier user.js, les extensions et les plugins de recherche
(SearchPlugins) de tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
Si les
préférences sont copiées dans fixlist.txt, les valeurs seront supprimées. La fois suivante où Firefox (ou un clone de Firefox) s'ouvrira, il reviendra aux paramètres par défaut. La liste de correction ressemblerait à ceci (la ligne est copiée/collée directement depuis le rapport d'analyse) :
- Code: Tout sélectionner
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T
FRST vérifie
la signature des modules complémentaires. Les modules complémentaires non signés sont signalés.
Exemple :
- Code: Tout sélectionner
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [not signed]
Pour les
add-ons, (extensions et plugins), l'élément trouvé dans le rapport d'analyse peut être copié/collé dans le
fichier fixlist.txt et l'élément sera déplacé. Pour les plugins et les extensions, si le Registre pointe vers un
fichier/dossier, l'élément du Registre sera supprimé et le
fichier/dossier sera déplacé (voir ci-dessous).
Exemple pour un add-on ou une extension :
- Code: Tout sélectionner
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]
Exemple pour un plugin :
- Code: Tout sélectionner
fixlist contenu:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => clé supprimé(es) avec succès
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => déplacé(es) avec succès
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => clé supprimé(es) avec succès
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => non trouvé(e)
==== Fin de Fixlog ====
ChromeFRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST va trouver le dernier profil utilisé et lister les préférences de ce profil particulier. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.
L'analyse des
preferences comprend les HomePage
(page d'accueil) et StartupUrls
(pages de démarrage) modifiés, l'activation de Session Restore
(Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé :
- Code: Tout sélectionner
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> est activé.
S'ils sont inscrits dans le
fichier fixlist.txt, les éléments HomePage et StartupUrls seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome : "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".
FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).
- Code: Tout sélectionner
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
FRST est incapable de supprimer une extension. L'extension sera toujours affichée dans la liste des extensions et le dossier associé sera restauré par Chrome. Pour cette raison, les lignes d'extension CHR ne sont pas traitées dans un correctif, utilisez plutôt les outils propres à Chrome :- Tapez
chrome://extensions dans la barre d'adresse et validez par Entrée.
- Cliquez sur l'icône de la corbeille à côté de l'extension que vous voulez supprimer complètement.
- Une fenêtre pop-up de confirmation apparaît, cliquez sur
Supprimer.
Une exception pour une installation d'extension située dans le registre. Lorsque l'entrée est incluse dans le
fichier fixlist.txt, la clé sera supprimée et le
fichier associé sera déplacé (s'il est trouvé) :
- Code: Tout sélectionner
fixlist contenu:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <non trouvé(e)>
*****************
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => clé supprimé(es) avec succès
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => déplacé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => clé supprimé(es) avec succès
Certains nuisibles utilisent une stratégie de groupe (Group Policy) pour bloquer les modifications des extensions ou d'autres fonctions :
- Code: Tout sélectionner
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Voir la description
objets de stratégie de groupe (Group Policy Objects) dans la section Registre pour de plus amples détails.
Vous pouvez voir ceci :
- Code: Tout sélectionner
CHR dev: Chrome dev build détecté(e)! <======= ATTENTION
Cette alerte vous indique qu'il est probable qu'un logiciel publicitaire
[adware] a silencieusement mis à jour Chrome vers la version "dev" (version expérimentale). FRST ne le corrige pas, l'alerte est là pour vous dire de ré-installer (sauf si l'utilisateur a expressément choisi d'utiliser la version "dev") Google Chrome
en version normale/stable une fois le logiciel publicitaire éliminé.
OperaFRST liste les clés et les profils Opera (si présents), que Opera soit installé ou non.
Pour l'instant, l'analyse se limite à StartMenuInternet, StartupUrls, Session Restore ainsi que les extensions :
- Code: Tout sélectionner
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> est activé.
OPR Extension: (iWebar) - C:\Users\operator\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]
Inclure un élément 'StartupUrls' ou 'Session Restore' dans le
fichier fixlist.txt provoque la suppression de cet élément.
Inclure un élément 'Extension' dans le
fichier fixlist.txt provoque le déplacement de l'extension. Inutile d'inclure le chemin d'accès séparément.
Bien que n'étant plus activé, l'élément affiché dans le panneau "Extensions" du navigateur ne sera pas supprimé. Utilisez les propres outils d'Opera, comme décrit ci-dessous :
- Tapez
chrome://extensions dans la barre d'adresse et validez par Entrée.
- Pour supprimer chaque extension concernée, cliquez sur le
X, puis sur
OK.
Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.
Services et PilotesLes Services et Pilotes sont présentés comme ceci :
ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomEntreprise)Note :
Les paramètres ÉtatExécution et TypeDémarrage sont listés ensemble.ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :
R=Actif
S=Arrêté
U=Indéterminé.
Les chiffres du "TypeDémarrage" sont :
0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.
Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.
FRST recherche plusieurs infections connues et vérifie la signature numérique des fichiers pour les Services et les Pilotes. Si un
fichier n'est pas signé numériquement, cela sera signalé.
Exemple :
- Code: Tout sélectionner
==================== Services (Avec liste blanche) =================
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [b][Fichier non signé][/b]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [b][Fichier non signé][/b]
Un
fichier système Microsoft qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande
Replace:.
Note :
La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le
fichier fixlist.txt. Tout
fichier associé doit être inclus séparément.
Exemple :
- Code: Tout sélectionner
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig
L'outil va arrêter tout élément de service inclus dans le
fichier fixlist.txt puis supprimer la clé du service.
Note :
FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage.Il y a
deux exceptions où le service sera réparé au lieu d'être supprimé. Dans le cas de Themes et de Windows Management Instrumentation, s'il a été piraté par un malveillant, vous verrez quelque chose comme ceci :
- Code: Tout sélectionner
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
- Code: Tout sélectionner
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)
Si ces lignes sont incluses dans le
fichier fixlist, les éléments seront restaurés à leur valeur par défaut.
Note :
Si FRST ne peut absolument pas accéder à un service, ce qui suit sera imprimé dans le rapport :- Code: Tout sélectionner
"1b36535375971e1b" => service n'a pas pu être déverrouillé. <===== ATTENTION
Ceci peut révéler des modifications créées par un rootkit ou une corruption du Registre. Il faut demander l'aide d'un expert afin d'identifier et de résoudre le problème.
NetSvcsLes éléments connus comme légitimes sont
en liste blanche. Comme pour d'autres zones soumises à l'analyse et qui ont une liste blanche, cela ne signifie pas que les éléments apparaissant dans le rapport FRST.txt sont tous néfastes, mais simplement qu'ils doivent être contrôlés.
Les éléments NetSvc figurent chacun sur une ligne, comme ceci :
- Code: Tout sélectionner
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> Pas de fichier
NETSVC: WUSB54GCSVC -> Pas de chemin du fichier.
Le premier élément a une étiquette signalant l'infection =====> ZeroAccess et doit être traité.
Le deuxième élément signifie qu'il y a une sous-clé ServiceDll dans la clé du Registre associée au service pMgt mais que le
fichier est absent.
Le troisième élément signifie que WUSB54GCSVC n'a pas d'élément ServiceDll dans le Registre. Les deuxième et troisième éléments sont des résidus.
Note :
L'inscription de Netsvc dans fixlist supprime seulement la valeur associée du Registre. Le service associé doit être inscrit séparément afin d'être supprimé.Considérons l'exemple ci-dessus. Il y a un
Service listé antérieurement dans le rapport d'analyse de FRST associé à l'élément apparaissant dans NETSVC. Il ressemble à ceci :
- Code: Tout sélectionner
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
Pour supprimer la valeur Netsvc, le service associé dans le Registre et le
fichier associé, le script complet devrait ressembler à ceci :
- Code: Tout sélectionner
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
C:\Windows\System32\smcservice.dll
Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantall11 - Tous droits réservés
