FRST: Tutoriel

Logiciels

Modérateur: Modérateurs et Modératrices

FRST: Tutoriel

Messagede nickW » 21 11 2013


Image


Farbar Recovery Scan Tool


La dernière version peut être téléchargée depuis :

Lien 1 | Lien 2



Farbar Recovery Scan Tool (FRST) est un outil de diagnostic intégrant la possibilité d'exécuter des scripts [NdT : un "script" est un petit programme, un ensemble d'instructions à exécuter], que l'on prépare au préalable, sur des PCs infectés par des malveillants. Il fonctionnera aussi bien en Mode normal qu'en Mode sans échec, et lorsqu'un PC a des problèmes d'amorçage [boot], il fonctionnera efficacement dans l'Environnement de récupération Windows [Windows Recovery Environment - WinRE]. Sa capacité à travailler dans l'Environnement de récupération le rend particulièrement utile pour traiter les problèmes liés aux machines qui éprouvent des difficultés lors de l'amorçage.


**********************************************************

Informations sur les dons

Bien que FRST soit gratuit, il est le résultat de nombreuses heures de travail de Farbar. Le programme contient plusieurs milliers de lignes de code, et il est souvent mis à jour. En plus d'assurer la maintenance de l'outil, Farbar passe d'innombrables heures à aider sur les forums les assistants et les victimes de nuisibles. Si vous trouvez que son outil FRST est utile, et si vous désirez faire un don pour soutenir ses efforts, cliquez simplement sur le bouton Paypal ci-dessous :

Image


Informations sur ce Tutoriel

Ce tutoriel a été créé à l'origine par emeraldnzl de concert avec farbar et avec l'aimable coopération de BC (Bleeping Computer) et G2G (Geeks to Go). emeraldnzl s'est depuis retiré et maintenant le tutoriel est mis à jour et maintenu par picasso en consultation avec Farbar.
Cette traduction en français, officielle et autorisée, a été réalisée par nickW et est maintenant suivie par chantal11. Le sujet d'origine se trouve sur Geeks to Go.
L'autorisation de picasso et de farbar est indispensable avant toute utilisation ou toute citation de ce tutoriel sur d'autres sites. Veuillez noter également que ce tutoriel a été écrit initialement pour fournir des conseils aux assistants qui offrent une aide pour la suppression des nuisibles sur divers forums.


Traduction de l'avertissement "Disclaimer" :
Clause de non-responsabilité!

Ce logiciel est fourni "tel quel" sans aucune garantie d'aucune sorte.
Vous pouvez utiliser ce logiciel à vos propres risques.

L'utilisation de ce logiciel est interdite à des fins commerciales.

Êtes-vous sûr de vouloir continuer?

Cliquez sur Oui pour continuer. Cliquez sur Non pour quitter.




Langues de ce tutoriel




Table des matières


Les experts et assistants ayant l'accès peuvent se tenir au courant des derniers développements de l'outil
dans le sujet : FRST Discussion sur BC.




Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Introduction

Messagede nickW » 21 11 2013


Introduction

Un des points forts de FRST est sa simplicité. Il est conçu pour être facile à utiliser. Les lignes contenant des références à des éléments infectés peuvent être identifiées, copiées à partir du rapport d'analyse, collées dans le Bloc-notes (notepad) et enregistrées. Ensuite, avec un simple clic sur un bouton l'outil fera le reste. Cela permet une grande flexibilité, et lorsque de nouvelles infections apparaissent elles peuvent être identifiées et incluses dans un correctif.


Avec quoi il fonctionne

Farbar Recovery Scan Tool est conçu pour être exécuté sous les systèmes d'exploitation Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10. Il y a deux versions, une version 32-bit et une version 64-bit.

Note :
FRST64 n'est pas conçu pour fonctionner sur un système XP 64-bit.



Diagnostic

FRST crée un rapport d'analyse [log] qui couvre des zones particulières du système d'exploitation Windows. Ceci peut être utilisé pour l'analyse initiale du problème et pour vous donner quelques informations sur le système.

L'outil est en constant développement, des évolutions dont une partie comprend l'ajout de nouvelles étiquettes d'identification de malveillants. En conséquence, il est fortement recommandé de le mettre à jour régulièrement. Si l'ordinateur est connecté à internet il y aura une recherche automatique de mise à jour lorsque FRST est lancé. Une notification apparaîtra et la dernière version pourra alors être téléchargée.

Quand une nouvelle infection se présente ou si la mise à jour est impossible, par exemple sans connexion internet pour quelque raison que ce soit, l'expert doit être au fait des derniers développements dans le domaine des infections par malveillant pour pouvoir repérer le problème dès le début. L'utilisateur profane devrait demander l'aide d'experts lorsque de nouvelles infections apparaissent ou quand il rencontre des difficultés à identifier le problème sur son PC.

Par défaut, comme de nombreux autres programmes d'analyse, FRST utilise des listes blanches (whitelisting). Ceci permet d'éviter les rapports d'analyse très longs. Si vous voulez vraiment obtenir un rapport d'analyse complet, vous devez dé-cocher la case correspondante dans le paragraphe Listeblanche de l'écran de FRST (Registre, Services, Pilotes, Processus, Internet). Attendez-vous à un rapport d'analyse très long, qui ne pourra être envoyé sur un forum pour analyse que sous forme de pièce jointe.

  • FRST met en liste blanche les éléments Microsoft par défaut dans la section Registre.
  • Dans le cas des services et pilotes, la liste blanche contient non seulement les services Microsoft par défaut, mais aussi tous les autres services et pilotes légitimes.
  • Tout fichier de service ou de pilote qui n'a pas de Nom d'Entreprise n'est pas en liste blanche.
  • Aucun programme de sécurité (Antivirus ou pare-feu) n'est en liste blanche.
  • Le service SPTD n'est pas en liste blanche.


Préparation avant utilisation

Assurez-vous que FRST est exécuté avec des privilèges Administrateur. L'outil ne fonctionnera correctement que s'il est lancé depuis un compte d'utilisateur ayant ces privilèges Administrateur. Si un utilisateur n'a pas les privilèges Administrateur, vous verrez un avertissement à ce sujet dans l'entête du fichier rapport FRST.txt.

Dans certains cas un programme de sécurité peut empêcher l'outil de pleinement fonctionner. En général il n'y aura pas de problème, mais soyez conscient de la possibilité que lorsqu'une analyse est demandée un programme de sécurité peut empêcher l'exécution de l'outil. Lors d'une correction, il est préférable de désactiver des programmes comme Comodo qui pourrait empêcher le programme de faire son travail.

Un conseil d'ordre général pour tout le monde, c'est que lorsque vous êtes confronté à un rootkit, il vaut mieux exécuter un programme de nettoyage à la fois et attendre le résultat avant d'utiliser un autre outil.

Il n'est pas nécessaire de créer une sauvegarde du Registre. FRST effectue une sauvegarde des ruches du Registre la première fois où il est exécuté. La sauvegarde se trouve dans %SystemDrive%\FRST\Hives (dans la plupart des cas C:\FRST\Hives). Voir la commande Restore From Backup: pour de plus amples détails.

FRST existe en plusieurs langues. Si, dans le cadre d'une assistance sur un forum, les rapports d'analyse vous sont présentés dans une langue qui vous est totalement étrangère, il est possible de forcer la création de rapports d'analyse en anglais. Pour ce faire, il suffit de renommer le fichier exécutable de FRST (FRST.exe ou FRST64.exe) en lui ajoutant le mot English, comme EnglishFRST.exe, FRSTEnglish.exe, FRSTEnglish64.exe ou EnglishFRST64.exe. Les rapports d'analyse seront alors créés en anglais.


Exécuter FRST

L'utilisateur reçoit pour consigne de télécharger FRST sur le Bureau. De là, il suffit simplement de faire un double clic sur l'icône de FRST, accepter l'avertissement, et exécuter FRST. L'icône de FRST ressemble à ceci :


Image

Note :
Vous devez utiliser la version qui est compatible avec le système de l'utilisateur. Il y a une version 32-bit et une version 64-bit. Si vous n'êtes pas sûr de la version à employer, demandez à l'utilisateur de télécharger les deux versions et d'essayer de les exécuter. Une seule d'entre elles fonctionnera sur le système, ce sera la bonne version.



Une fois que FRST/FRST64 est ouvert, l'utilisateur verra une fenêtre comme celle-ci :

Image
(Credits image: Security-X)

Quand FRST a terminé ses analyses, il enregistre des rapports d'analyse en format texte (Bloc-notes) dans le dossier à partir duquel FRST/FRST64 a été lancé. Lors de chaque analyse, un rapport FRST.txt et un rapport Addition.txt sont créés.

Des copies de ces rapports d'analyse sont sauvegardées dans %SystemDrive%\FRST\Logs (dans la plupart des cas, ce sera C:\FRST\Logs).




Corrections apportées par FRST

Attention, Très Important : Farbar Recovery Scan Tool est non invasif et en mode analyse (Scan) il ne peut pas nuire à un PC.

Cependant FRST est aussi très efficace pour exécuter les instructions qui lui sont données. Lorsque vous appliquez un correctif, s'il est demandé de supprimer un élément, dans 99% des cas il le fera. Bien qu'il existe certains garde-fous intégrés, ils sont nécessairement globaux et conçus pour ne pas gêner l'élimination de l'infection. L'utilisateur doit être conscient de cela. Utilisé à mauvais escient (comme par exemple si on demande de supprimer des fichiers essentiels), l'exécution de l'outil peut avoir pour conséquence d'empêcher l'ordinateur de démarrer.


Si vous avez des doutes à propos d'un élément quelconque dans un rapport d'analyse FRST,
demandez toujours l'aide d'un expert avant d'appliquer un correctif.


FRST dispose d'une gamme de commandes et commutateurs qui peuvent être utilisés pour manipuler les processus de l'ordinateur et pour résoudre les problèmes que vous avez identifiés.




Préparation du correctif :

1 - Méthode fixlist.txt : Pour corriger les problèmes détectés, copiez et collez les lignes du rapport FRST.txt dans un fichier texte nommé fixlist.txt et enregistré dans le même répertoire où l'outil a été exécuté.

Note :
Il est important que le Bloc-notes soit utilisé. La correction ne fonctionnera pas si Word ou un autre programme est utilisé.


2 - Méthode avec ctrl+y : Le raccourci clavier peut être utilisé pour créer et ouvrir automatiquement un fichier vide à remplir.
Lancez FRST, appuyez sur Ctrl+y pour ouvrir le fichier, collez le correctif, appuyez sur Ctrl+s pour enregistrer.

3 - Méthode avec le Presse-papier : Insérer les lignes du correctif entre Start:: et End:: comme ceci :

Code: Tout sélectionner
Start::
contenu du correctif
End::


L'utilisateur copie tout le contenu, y compris Start:: et End:: et clique sur le bouton Corriger.




Unicode

Pour corriger un élément contenant un(des) caractère(s) Unicode, le [color=blue]correctif doit être enregistré en format Unicode[/color], sinon les(s) caractère(s) Unicode sera(ont) perdu(s).
Le raccourci Ctrl + y enregistre le fichier texte en format Unicode. Mais si le fixlist.txt est créé manuellement, un encodage approprié doit être choisi dans le Bloc-notes (voir ci-dessous).

Exemple :

Code: Tout sélectionner
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat


Faites un copier/coller des éléments dans une fenêtre ouverte du Bloc-notes [notepad], sélectionnez Enregistrer sous..., dans la rubrique Codage sélectionnez Unicode, donnez le nom fixlist puis cliquez sur le bouton Enregistrer.

Si vous l'enregistrez dans un Bloc-notes normal, sans sélectionner Unicode, le Bloc-notes émettra un avertissement; si vous passez outre et enregistrez le fichier, après fermeture puis réouverture du fichier, vous verrez :

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat


Et FRST sera incapable de le traiter.







Noms d'utilisateurs manipulés

Certains utilisateurs modifient les rapports en supprimant ou en remplaçant un nom d'utilisateur. Pour vous assurer que les chemins d'accès corrects seront traités dans le contexte d'un seul compte chargé, vous pouvez remplacer le nom d'utilisateur potentiellement manipulé dans les chemins d'accès avec CurrentUserName. FRST traduira automatiquement le mot-clé par un nom d'utilisateur correct.

Note :
Cette méthode n'est pas prise en charge dans l'environnement de récupération.





Limitation du temps d'exécution du script correctif

Pour empêcher FRST de figer pendant des heures en raison de scripts incorrects ou d'autres circonstances imprévues, le temps total de l'ensemble de la correction est limité à 40 minutes.

Les éléments déplacés lors de la correction sont conservés dans %systemdrive%\FRST\Quarantine, dans la plupart des cas ce sera C:\FRST\Quarantine, jusqu'à la purge finale (clean up) et la suppression de FRST.

Pour des informations détaillées sur la préparation des scripts de correction, voyez les sections ci-dessous.


Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Zones d'analyse par défaut

Messagede nickW » 21 11 2013


Zones d'analyse par défaut

Lors de chaque exécution hors de l'Environnement de récupération, un rapport FRST.txt et un rapport Addition.txt sont générés. Le rapport Addition.txt n'est pas créé quand FRST est exécuté dans l'Environnement de récupération.




Analyses effectuées en mode normal :

Analyse principale

Processus
Registre
Internet
Services
Pilotes
NetSvcs
Un mois - Créés - fichiers et dossiers
Un mois - Modifiés - fichiers et dossiers
Fichiers à la racine de certains dossiers
Fichiers à déplacer ou supprimer
Certains fichiers dans TEMP
Certains fichiers/dossiers de taille zéro octet
Bamital & volsnap
LastRegBack:


Analyse supplémentaire (Addition.txt)

Comptes
Centre de sécurité
Programmes installés
Personnalisé CLSID
Tâches planifiées
Raccourcis & WMI
Modules chargés
Alternate Data Streams (Flux de Données Additionnels)
Mode sans échec
Association
Internet Explorer sites de confiance/sensibles
Hosts contenu
Autres zones
MSCONFIG/TASK MANAGER éléments désactivés
Règles Pare-feu
Points de restauration
Éléments en erreur du Gestionnaire de périphériques
Erreurs du Journal des événements
Infos Mémoire
Lecteurs
MBR & Table des partitions


Analyses facultatives

Liste BCD (Boot Configuration Data)
MD5 Pilotes
Shortcut.txt
Addition.txt
Fichiers 90 jours

Recherche de fichiers
Recherche dans le Registre




Analyses effectuées dans l'Environnement de récupération :

Analyse principale

Registre
Services
Pilotes
NetSvcs
Un mois - Créés - fichiers et dossiers
Un mois - Modifiés - fichiers et dossiers
Fichiers à déplacer ou supprimer
Certains fichiers dans TEMP
Known DLLs (DLLs connues)
Bamital & volsnap
Association
Points de restauration
Infos Mémoire
Lecteurs
MBR & Table des partitions
LastRegBack:

Analyses facultatives

Liste BCD (Boot Configuration Data)
MD5 Pilotes
Fichiers 90 jours

Recherche de fichiers



Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Analyse principale (FRST.txt) - 1ère partie

Messagede nickW » 21 11 2013


Analyse principale (FRST.txt)

Entête

Voici un exemple d'entête :

Code: Tout sélectionner
Résultats d'analyse de Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 20-10-2017
Exécuté par Utilisateur (administrateur) sur BUREAU-3DJ40NK (21-10-2017 14:15:41)
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Administrateur)
Platform: Windows 10 Pro Version 1709 16299.19 (X64) Langue: Français (France)
Internet Explorer Version 11 (Navigateur par défaut: FF)
Mode d'amorçage: Normal
Tutoriel pour Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/


La lecture attentive de l'entête peut être très utile :

1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé. L'identifiant de version est particulièrement important. Une version ancienne peut ne pas avoir les fonctions les plus récentes.

2ème ligne : montre quel utilisateur a exécuté l'outil, et avec quels droits. Ceci peut vous indiquer si l'utilisateur a les droits requis. La ligne montre aussi le nom de l'ordinateur ainsi que le jour et l'heure de l'exécution de l'outil. Parfois, un utilisateur peut par inadvertance envoyer un ancien rapport d'analyse.

3ème ligne : vous dit depuis quel emplacement FRST a été lancé. Ceci peut concerner les instructions de correction si FRST a été exécuté depuis ailleurs que le Bureau.

4ème ligne : vous dit sous quel compte (profil) l'utilisateur est connecté, c'est-à-dire la ruche (de Registre) utilisateur chargée. Puis, entre parenthèses, "Profils disponibles" liste tous les profils présents sur le PC, y compris ceux qui ne sont pas actuellement chargés.

Note :
Lors de la connexion sous Windows, seule la ruche utilisateur de l'utilisateur connecté est chargée. Si l'utilisateur se connecte sous un autre compte sans redémarrage (en utilisant "Changer d’utilisateur" ou "Fermer la session"), la seconde ruche utilisateur est chargée mais la première n'est pas déchargée. Dans cette situation, FRST listera les éléments de Registre des deux utilisateurs, mais ne listera pas les éléments de Registre relatifs aux autres utilisateurs puisque leurs ruches utilisateur ne sont pas chargées.


5ème ligne : indique l'édition de Windows installée sur le PC, y compris les mises à jour majeures (Version et OS Build sur Windows 10, "Mise à jour" sur Windows 8.1, Service Pack sur Windows 7 et versions antérieures), ainsi que la langue utilisée. Ceci peut vous alerter à propos des mises à jour si les mises à jour ne sont pas récentes.

6ème ligne : vous donne la version d'Internet Explorer, ainsi que le navigateur par défaut.

7ème ligne : vous dit dans quel mode l'analyse a été exécutée.

8ème ligne : lien vers le tutoriel officiel (en anglais).

Note :
Les informations présentes dans un entête créé dans l'Environnement de récupération sont similaires, bien que tronquées puisque les profils utilisateur ne sont pas chargés.



Alertes qui peuvent apparaître dans l'entête

Quand il y a des problèmes d'amorçage [boot], vous pouvez voir quelque chose comme "ATTENTION : Impossible de charger la ruche System". Ceci vous dit que la ruche system est manquante. Restaurer la ruche en utilisant LastRegBack: peut être une solution (voir ci-dessous).

"Par défaut : Controlset001" - Cette annonce vous dit quel CS (ControlSet) sur le système est le CS par défaut. Pourquoi en auriez-vous besoin? Normalement, vous n'en avez pas besoin, mais au cas où vous voudriez parcourir ou manipuler le CS qui est chargé quand Windows a démarré, alors vous savez quel CS doit être parcouru ou manipulé. Faire quoi que ce soit sur un autre CS n'aura aucun effet sur le système.




Processus

Il y a deux raisons pour lesquelles vous pourriez vouloir arrêter un processus. Tout d'abord, vous pouvez arrêter un programme de sécurité qui pourrait bloquer un correctif. Deuxièmement, vous pouvez arrêter un processus nuisible, et ensuite supprimer le dossier ou le fichier qui lui sont associés.

Pour arrêter un processus, incluez la ligne correspondante depuis le rapport d'analyse FRST.

Exemple :
Code: Tout sélectionner
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe


Une ligne sera créée dans le fichier Fixlog.txt avec cet intitulé : Nom du processus => Processus fermé avec succès

Si vous avez un processus nuisible et si vous voulez supprimer le fichier ou dossier associé, vous devez inclure l'élément séparément dans votre correctif, comme ceci :

Exemple :
Code: Tout sélectionner
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot




Registre

Les éléments du Registre (clés ou valeurs) qui sont pris dans un rapport d'analyse FRST et placés dans un fichier fixlist.txt afin de les supprimer, seront supprimés. FRST a un puissant module de suppression pour les clés et les valeurs. Toutes les clés et valeurs qui résistent à la suppression en raison d'autorisations insuffisantes ou de caractères Null encapsulés <i>(Null embedded)</i> seront supprimées. Si des clés résistent à la suppression en raison d'un "Accès refusé", leur suppression sera planifiée pour être effectuée après redémarrage. Les seuls éléments qui ne pourront pas être supprimés sont ceux qui sont encore protégés par un pilote noyau (kernel driver). Ces clés/valeurs devront être supprimées après avoir supprimé ou désactivé le pilote noyau qui les protège.

Copier et coller les éléments depuis un rapport d'analyse dans un correctif provoque dans FRST l'exécution sur la clé de Registre de l'une des deux actions ci-dessous :
  1. Restaurer la clé par défaut ou
  2. Supprimer la clé.
Quand des éléments du rapport relatifs à des valeurs Winlogon (Userinit, Shell, System), LSA, et AppInit_DLLs sont copiés dans le fichier fixlist.txt, l'outil restaure les valeurs Windows par défaut.
Note :
Avec les valeurs AppInit_DLLs dans lesquelles il y a un chemin d'accès nuisible, FRST supprime ce chemin-là de la valeur AppInit_DLLs sans supprimer le reste.


Pas besoin d'un batch ni d'un correctif-Registre. Il en va de même pour certaines autres clés importantes qui pourraient être détournées par un malveillant.

Note :
FRST ne touche pas aux fichiers que les clés de Registre chargent ou exécutent. Les fichiers à déplacer doivent figurer séparément avec leur chemin d'accès complet sans aucune information supplémentaire.


Les éléments Run et Runonce, s'ils sont copiés dans le fichier fixlist.txt, seront supprimés du Registre. Les fichiers qu'ils chargent ou exécutent ne seront pas supprimés. Si vous voulez les supprimer, vous devez les inclure séparément.

Par exemple, pour supprimer le mauvais élément Run ainsi que le fichier, vous devez les inclure dans fixlist.txt comme ci-dessous (la première ligne est copiée directement depuis le rapport d'analyse) :

Code: Tout sélectionner
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe


Dans le cas des clés Notify, si elles figurent dans le fichier fixlist.txt :
Si elles font partie des clés par défaut, l'outil restaure les données de la valeur (DllName) associées à cette clé. Si la clé n'est pas une clé par défaut, elle sera supprimée.

Les éléments Image File Execution Options, s'ils sont inclus dans le fichier fixlist.txt, seront supprimés.

Quand un fichier ou un raccourci est détecté dans le dossier Démarrage, FRST liste le fichier dans les éléments 'Startup:'. Si le fichier est un raccourci, la ligne suivante liste la cible du raccourci (c-à-d l'exécutable qui est lancé par le raccourci) [avec le label 'ShortcutTarget:']. Pour supprimer le raccourci et le fichier cible vous devez inclure les deux dans le correctif.

Exemple :
Code: Tout sélectionner
Startup: C:\Users\rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\rob\1800947.exe ()


Note :
La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne déplacera le fichier 1800947.exe. Si vous ne mettez que la deuxième ligne, le fichier exécutable sera supprimé mais le raccourci restera dans le dossier Démarrage. Au prochain démarrage du système, un message d'erreur apparaîtra pour signaler que le raccourci veut lancer un exécutable mais ne le trouve pas.


Dans le cas d'un nuisible qui impose des certificats non approuvés [en anglais] ou des stratégies de restriction logicielle [en anglais]), vous verrez des éléments comme ceci :

Code: Tout sélectionner
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION


Code: Tout sélectionner
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION


Pour débloquer les programmes de sécurité, incluez les lignes dans le fichier fixlist.txt.

Note :
La détection est générique et peut entraîner le signalement d'autres éléments légitimes créés pour protéger des infections. Voir : How to manually create Software Restriction Policies to block ransomware [en anglais].


FRST détecte aussi la présence d'objets de stratégie de groupe (Group Policy Objects - GPO [en anglais]) (Registry.pol et Scripts), qui peuvent être détournés par un nuisible. Les stratégies Google Chrome (voir la section Chrome ci-dessous) et Windows Defender dans le fichier Registry.pol seront signalées individuellement :

Code: Tout sélectionner
GroupPolicy: Restriction - Windows Defender <======= ATTENTION


Pour les autres stratégies ou scripts, vous verrez une notification générique sans détails :

Code: Tout sélectionner
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION


Pour réinitialiser les stratégies, placez les lignes dans le fichier fixlist.txt. FRST va élaguer les dossiers de stratégie de groupe (GroupPolicy) et forcer un redémarrage.

Exemple :
Code: Tout sélectionner
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès


Note :
La détection est adaptée à un ordinateur domestique standard sans stratégies configurées, et peut donner lieu au signalement d'éléments légitimes introduits manuellement via gpedit.msc.


La Restauration système désactivée par une stratégie de groupe (Group Policy) sera signalée comme ceci :

Code: Tout sélectionner
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION

Inclure la ligne dans le fichier fixlist.txt provoquera la suppression de la clé (qui n'existe pas par défaut).

Note :
FRST génère aussi un avertissement dans le rapport d'analyse Addition.txt si la Restauration système [SR] est désactivée, même si elle n'a pas été désactivée par une Stratégie de groupe [Group Policy] mais par l'utilisateur. Dans ce cas FRST ne fait rien. Il faut conseiller à l'utilisateur d'activer la Restauration système. Il n'existe pas de Stratégie de groupe empêchant cette activation.





Internet

Hormis quelques exceptions, les éléments copiés dans fixlist.txt seront supprimés. Pour les entrées de registre impliquant des fichiers/dossiers, les fichiers/dossiers doivent être inclus séparément pour être déplacés. Cela ne s'applique pas aux entrées des navigateurs (sauf Internet Explorer), voir les descriptions ci-dessous pour plus de détails.



Winsock
Les éléments Winsock qui ne sont pas dans la liste par défaut seront listés dans le rapport d'analyse.

Si un élément catalog5 est placé dans un correctif (fixlist.txt), FRST va effectuer une de ces deux actions :
1. Dans le cas d'éléments par défaut piratés, il va restaurer l'élément par défaut.
2. Dans le cas d'éléments personnalisés, il va supprimer l'élément et renuméroter les éléments de la pile (catalog).

Quand des éléments catalog9 doivent être corrigés, il est conseillé d'utiliser "netsh winsock reset".

S'il reste des éléments catalog9 personnalisés devant être corrigés, ils peuvent être inscrits dans un fichier fixlist.txt. Dans ce cas, FRST va supprimer ces éléments et renuméroter les éléments de la pile (catalog).

Attention :
Une rupture de la chaîne empêchera le PC de se connecter à Internet.


Une rupture de connexion Internet due à l'absence d'éléments Winsock sera signalée sur le rapport d'analyse comme ceci :

Code: Tout sélectionner
Winsock: -> Catalog5 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.
Winsock: -> Catalog9 - Accès internet rompu en raison d'un élément manquant. <===== ATTENTION.


Pour corriger le problème, l'élément peut être copié dans le fichier fixlist.txt.

Dans un cas d'infection ZeroAccess nous pourrions avoir un rapport d'analyse comme ceci :

Code: Tout sélectionner
Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll => No File
Winsock: Catalog9 02 mswsock.dll => No File
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll => No File
Winsock: Catalog9-x64 02 mswsock.dll => No File


Si vous inscrivez ces lignes dans le fichier fixlist, FRST réinitialise les éléments Catalog5 mais ne fait rien aux éléments Catalog9 douteux et vous dit d'utiliser "netsh winsock reset" pour les traiter.

Un script de correction complet ressemblerait à ceci :

Code: Tout sélectionner
Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset


Note :
Le cmd: netsh winsock reset inclus dans le correctif.

Le fichier Fixlog.txt généré après la correction ressemblerait à ceci :

Code: Tout sélectionner
Winsock: Catalog5 entry 000000000001\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\NLAapi.dll)
Winsock: Catalog5 entry 000000000006\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 entry 000000000001\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\NLAapi.dll)
Winsock: Catalog5-x64 entry 000000000006\\LibraryPath restauré(es) avec succès (%SystemRoot%\System32\mswsock.dll)

========= netsh winsock reset =========

"Le catalogue Winsock a été réinitialisé correctement.
Vous devez redémarrer l'ordinateur afin de finaliser la réinitialisation."

========= Fin de CMD: =========


Note :
Dans certains cas, la commande netsh winsock reset peut ne pas fonctionner. Si cela se produit, demandez à l'utilisateur de faire redémarrer le PC et d'exécuter de nouveau cmd: netsh winsock reset.




hosts

S'il y a des éléments personnalisés dans le fichier hosts, il y aura une ligne dans la section Internet du rapport d'analyse FRST.txt disant :

Code: Tout sélectionner
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt


Si le fichier hosts n'est pas trouvé, une ligne signalera l'impossibilité de le détecter [Fichier hosts non détecté dans le dossier par défaut].

Pour réinitialiser le fichier hosts, copiez/collez simplement la ligne dans le fichier fixlist.txt et le fichier sera réinitialisé. Vous verrez une ligne dans le fichier Fixlog.txt confirmant la réinitialisation.


Tcpip et autres entrées

Les éléments Tcpip et les autres éléments, s'ils sont inclus dans le fichier fixlist.txt, seront supprimés.

Note :
Dans le cas d'un piratage de StartMenuInternet pour IE, FF, Chrome et Opera. Les éléments par défaut sont en liste blanche. Si l'élément apparaît dans le rapport d'analyse FRST, cela signifie qu'un chemin d'accès autre que celui par défaut est listé. Il peut ou non y avoir quelque chose d'erroné à propos du chemin d'accès dans le Registre, et cela nécessite un examen plus approfondi. S'il y a un problème, l'élément peut être inclus dans le fichier fixlist et l'élément par défaut sera restauré dans le Registre.



Internet Explorer

Pour les pages du navigateur, moteurs de recherche (SearchScopes) et d'autres entrées n'impliquant pas de fichiers/dossiers : en fonction du type d'objet, FRST supprime les éléments du registre ou rétablit leur état par défaut.

Exemple :

Code: Tout sélectionner
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}



Les URLSearchHooks, les BHO - Browser Helper Object, les Barres d'outils (Toolbars), les gestionnaires (Handlers) et les filtres (Filters) peuvent être copiés dans le correctif et les entrées de registre seront supprimées. Les fichiers/dossiers associés doivent être inclus séparément s'ils doivent être déplacés.

Exemple :

Code: Tout sélectionner
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz




Edge

FRST liste les éléments : HomeButtonPage (bouton d'accueil) s'il pointe vers une page personnalisée, Session Restore (restaurer la session) s'il est activé, ainsi que les extensions installées.

Code: Tout sélectionner
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> est activé.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]


S'ils sont inclus dans un fichier fixlist.txt, les éléments HomeButtonPage et Session Restore seront supprimés du Registre.

Pour les éléments associés aux extensions, s'ils sont inclus dans un fichier fixlist.txt, la clé de Registre sera supprimée et le fichier sera déplacé.


Firefox

FRST liste les clés et les profils FF (si présents), que FF soit installé ou non. Quand il y plusieurs profils Firefox ou clones de Firefox, FRST va lister les préférences, le fichier user.js, les extensions et les plugins de recherche (SearchPlugins) de tous les profils. Les profils non-standard insérés par un nuisible sont signalés.

Si les préférences sont copiées dans fixlist.txt, les valeurs seront supprimées. La fois suivante où Firefox (ou un clone de Firefox) s'ouvrira, il reviendra aux paramètres par défaut. La liste de correction ressemblerait à ceci (la ligne est copiée/collée directement depuis le rapport d'analyse) :

Code: Tout sélectionner
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&amp;ts=1476183215&amp;from=3a211011&amp;uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&amp;z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&amp;ts=1476182952551&amp;z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&amp;from=official&amp;uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T


FRST vérifie la signature des modules complémentaires. Les modules complémentaires non signés sont signalés.

Exemple :
Code: Tout sélectionner
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [not signed]


Pour les add-ons, (extensions et plugins), l'élément trouvé dans le rapport d'analyse peut être copié/collé dans le fichier fixlist.txt et l'élément sera déplacé. Pour les plugins et les extensions, si le Registre pointe vers un fichier/dossier, l'élément du Registre sera supprimé et le fichier/dossier sera déplacé (voir ci-dessous).

Exemple pour un add-on ou une extension :
Code: Tout sélectionner
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]


Exemple pour un plugin :
Code: Tout sélectionner
fixlist contenu:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************

HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => clé supprimé(es) avec succès
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => déplacé(es) avec succès
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => clé supprimé(es) avec succès
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => non trouvé(e)

==== Fin de Fixlog ====




Chrome

FRST liste les clés et les profils Chrome (si présents), que Chrome soit installé ou non. Quand il y a plusieurs profils, FRST va trouver le dernier profil utilisé et lister les préférences de ce profil particulier. Les Extensions sont détectées dans tous les profils. Les profils non-standard insérés par un nuisible sont signalés.

L'analyse des preferences comprend les HomePage (page d'accueil) et StartupUrls (pages de démarrage) modifiés, l'activation de Session Restore (Restaurer la session) et certains paramètres d'un moteur de recherche par défaut personnalisé :

Code: Tout sélectionner
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&amp;ts=1473242946&amp;z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;from=che0812&amp;uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&amp;ts=1473242946&amp;z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;from=che0812&amp;uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&amp;ts=1473242946&amp;z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;from=che0812&amp;uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&amp;q={searchTerms}
CHR Session Restore: Default -> est activé.


S'ils sont inscrits dans le fichier fixlist.txt, les éléments HomePage et StartupUrls seront supprimés. Traiter d'autres éléments aboutira à une réinitialisation partielle de Chrome, et l'utilisateur pourra voir le message suivant sur la page des paramètres Chrome : "Chrome a détecté que certains de vos paramètres ont été corrompus par un autre programme. Leurs valeurs par défaut ont été rétablies.".

FRST détecte également les redirections New Tab contrôlées par des extensions. Pour supprimer la redirection, identifiez l'extension correspondante (si présente) et désinstallez-la correctement via les outils Chrome (voir ci-dessous).

Code: Tout sélectionner
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]


FRST est incapable de supprimer une extension. L'extension sera toujours affichée dans la liste des extensions et le dossier associé sera restauré par Chrome. Pour cette raison, les lignes d'extension CHR ne sont pas traitées dans un correctif, utilisez plutôt les outils propres à Chrome :

- Tapez chrome://extensions dans la barre d'adresse et validez par Entrée.
- Cliquez sur l'icône de la corbeille à côté de l'extension que vous voulez supprimer complètement.
- Une fenêtre pop-up de confirmation apparaît, cliquez sur Supprimer.

Une exception pour une installation d'extension située dans le registre. Lorsque l'entrée est incluse dans le fichier fixlist.txt, la clé sera supprimée et le fichier associé sera déplacé (s'il est trouvé) :

Code: Tout sélectionner
fixlist contenu:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <non trouvé(e)>
*****************

"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => clé supprimé(es) avec succès
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => déplacé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => clé supprimé(es) avec succès


Certains nuisibles utilisent une stratégie de groupe (Group Policy) pour bloquer les modifications des extensions ou d'autres fonctions :

Code: Tout sélectionner
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Voir la description objets de stratégie de groupe (Group Policy Objects) dans la section Registre pour de plus amples détails.

Vous pouvez voir ceci :
Code: Tout sélectionner
CHR dev: Chrome dev build détecté(e)! <======= ATTENTION


Cette alerte vous indique qu'il est probable qu'un logiciel publicitaire [adware] a silencieusement mis à jour Chrome vers la version "dev" (version expérimentale). FRST ne le corrige pas, l'alerte est là pour vous dire de ré-installer (sauf si l'utilisateur a expressément choisi d'utiliser la version "dev") Google Chrome en version normale/stable une fois le logiciel publicitaire éliminé.



Opera

FRST liste les clés et les profils Opera (si présents), que Opera soit installé ou non.

Pour l'instant, l'analyse se limite à StartMenuInternet, StartupUrls, Session Restore ainsi que les extensions :

Code: Tout sélectionner
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> est activé.
OPR Extension: (iWebar) - C:\Users\operator\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]


Inclure un élément 'StartupUrls' ou 'Session Restore' dans le fichier fixlist.txt provoque la suppression de cet élément.

Inclure un élément 'Extension' dans le fichier fixlist.txt provoque le déplacement de l'extension. Inutile d'inclure le chemin d'accès séparément.

Bien que n'étant plus activé, l'élément affiché dans le panneau "Extensions" du navigateur ne sera pas supprimé. Utilisez les propres outils d'Opera, comme décrit ci-dessous :

- Tapez chrome://extensions dans la barre d'adresse et validez par Entrée.
- Pour supprimer chaque extension concernée, cliquez sur le X, puis sur OK.


Pour les navigateurs qui n'apparaissent pas dans le rapport d'analyse, la meilleure option est une désinstallation complète suivie d'un redémarrage et d'une réinstallation.




Services et Pilotes

Les Services et Pilotes sont présentés comme ceci :

ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille DateCréation] (NomEntreprise)

Note :
Les paramètres ÉtatExécution et TypeDémarrage sont listés ensemble.


ÉtatExécution - la lettre précédant le chiffre représente l'état d'exécution :

R=Actif
S=Arrêté
U=Indéterminé.

Les chiffres du "TypeDémarrage" sont :

0=Boot,
1=Système,
2=Automatique,
3=Manuel,
4=Désactivé
5=Assigné par FRST quand il est incapable de lire le type de démarrage.

Si vous voyez [X] à la fin d'un élément listé, cela signifie que FRST n'a pas pu trouver les fichiers associés avec le Service ou Pilote concerné, et qu'il a listé à la place le ImagePath ou ServiceDll tel qu'il est dans le Registre.


FRST recherche plusieurs infections connues et vérifie la signature numérique des fichiers pour les Services et les Pilotes. Si un fichier n'est pas signé numériquement, cela sera signalé.

Exemple :
Code: Tout sélectionner
==================== Services (Avec liste blanche) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [b][Fichier non signé][/b]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [b][Fichier non signé][/b]


Un fichier système Microsoft qui n'est pas signé doit être remplacé par une copie valide. Pour ce faire, utilisez la commande Replace:.

Note :
La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).


Pour supprimer un service ou un pilote nuisible, copiez la ligne du rapport d'analyse dans le fichier fixlist.txt. Tout fichier associé doit être inclus séparément.

Exemple :
Code: Tout sélectionner
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig


L'outil va arrêter tout élément de service inclus dans le fichier fixlist.txt puis supprimer la clé du service.

Note :
FRST signalera l'échec ou la réussite de l'arrêt de services qui sont en cours d'exécution. Peu importe si le service est arrêté ou non, FRST essaie de supprimer le service. Quand un service actif est supprimé, FRST va informer l'utilisateur sur l'exécution de la correction et la nécessité d'un redémarrage. Puis FRST va faire redémarrer le système. Vous verrez une ligne à la fin du rapport de correction Fixlog.txt au sujet de ce redémarrage indispensable. Si un service n'est pas en cours d'exécution, FRST va le supprimer sans imposer de redémarrage.


Il y a deux exceptions où le service sera réparé au lieu d'être supprimé. Dans le cas de Themes et de Windows Management Instrumentation, s'il a été piraté par un malveillant, vous verrez quelque chose comme ceci :

Code: Tout sélectionner
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION

Code: Tout sélectionner
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)


Si ces lignes sont incluses dans le fichier fixlist, les éléments seront restaurés à leur valeur par défaut.

Note :
Si FRST ne peut absolument pas accéder à un service, ce qui suit sera imprimé dans le rapport :


Code: Tout sélectionner
"1b36535375971e1b" => service n'a pas pu être déverrouillé. <===== ATTENTION


Ceci peut révéler des modifications créées par un rootkit ou une corruption du Registre. Il faut demander l'aide d'un expert afin d'identifier et de résoudre le problème.




NetSvcs

Les éléments connus comme légitimes sont en liste blanche. Comme pour d'autres zones soumises à l'analyse et qui ont une liste blanche, cela ne signifie pas que les éléments apparaissant dans le rapport FRST.txt sont tous néfastes, mais simplement qu'ils doivent être contrôlés.

Les éléments NetSvc figurent chacun sur une ligne, comme ceci :

Code: Tout sélectionner
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> Pas de fichier
NETSVC: WUSB54GCSVC -> Pas de chemin du fichier.


Le premier élément a une étiquette signalant l'infection =====> ZeroAccess et doit être traité.

Le deuxième élément signifie qu'il y a une sous-clé ServiceDll dans la clé du Registre associée au service pMgt mais que le fichier est absent.

Le troisième élément signifie que WUSB54GCSVC n'a pas d'élément ServiceDll dans le Registre. Les deuxième et troisième éléments sont des résidus.

Note :
L'inscription de Netsvc dans fixlist supprime seulement la valeur associée du Registre. Le service associé doit être inscrit séparément afin d'être supprimé.


Considérons l'exemple ci-dessus. Il y a un Service listé antérieurement dans le rapport d'analyse de FRST associé à l'élément apparaissant dans NETSVC. Il ressemble à ceci :

Code: Tout sélectionner
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess


Pour supprimer la valeur Netsvc, le service associé dans le Registre et le fichier associé, le script complet devrait ressembler à ceci :

Code: Tout sélectionner
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
C:\Windows\System32\smcservice.dll




Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantall11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Analyse principale (FRST.txt) - 2nde partie

Messagede nickW » 21 11 2013


Analyse principale (FRST.txt) - Suite




Un mois - Créés - fichiers et dossiers / Un mois - Modifiés - fichiers et dossiers

L'analyse "Un mois - Créés" liste la date et l'heure de création du fichier ou dossier suivies par la date et l'heure de dernière modification.
L'analyse "Un mois - Modifiés" liste la date et l'heure de dernière modification du fichier ou dossier suivies par la date et l'heure de création.
La taille (nombre d'octets) du fichier est aussi listée. Un dossier affichera 00000000 car le dossier lui-même n'a pas d'octet.

Note :
Pour éviter une durée d'analyse très importante et la production de rapports d'analyse extrêmement longs, l'analyse se limite à certains emplacements prédéfinis. De plus, FRST liste les dossiers personnalisés, mais pas leur contenu. Si vous voulez connaître le contenu d'un dossier personnalisé, utilisez la commande Folder:.


FRST ajoute des indications dans certains éléments du rapport d'analyse :

C - Compressé
D - Dossier
H - Caché
L - Lien symbolique
N - Normal (pas d'autres attributs définis)
O - Hors ligne
R - Lecture seule
S - Système
T - Temporaire
X - No scrub (Windows 8+) - Attribut d'absence de fichier de nettoyage

Pour supprimer un fichier ou un dossier de l'une des listes "lors du dernier mois" copiez/collez simplement la totalité de la ligne dans le fichier fixlist.txt comme ceci :

Code: Tout sélectionner
2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys


Lister l'attribut Lien symbolique est particulièrement utile pour identifier les dossiers créés par l'infection ZeroAccess.

Exemple :
Code: Tout sélectionner
2013-07-14 18:17 - 2013-07-14 18:17 - 00000000 ___DL C:\Windows\system64


Avant d'inscrire ces dossiers dans fixlist pour les déplacer, l'instruction DeleteJunctionsInDirectory: CheminDossier doit être utilisée (elle est utilisable dans tous les modes).

Exemple :
Code: Tout sélectionner
DeleteJunctionsInDirectory: C:\Windows\system64


Pour corriger d'autres fichiers/dossiers, leur chemin d'accès doit être inscrit dans le fichier fixlist.txt, les guillemets ne sont pas nécessaires pour un chemin d'accès comportant un espace :

Code: Tout sélectionner
c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible


Si vous avez de nombreux fichiers avec des noms similaires et si vous voulez les supprimer avec un seul script, le joker * peut être utilisé :

Vous pouvez soit inscrire tous les fichiers comme ceci :

Code: Tout sélectionner
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job


soit simplement :

Code: Tout sélectionner
C:\Windows\Tasks\At*.job


Note :
Un caractère "?" (point d'interrogation) sera ignoré pour des raisons de sécurité, qu'il soit un joker ou un caractère de substitution pour un caractère Unicode (voir le paragraphe Unicode sous Introduction). De plus, les jokers ne sont pas pris en charge pour les dossiers.






Fichiers à déplacer ou supprimer

Les fichiers listés dans cette section sont ceux qui soit sont nuisibles, soit sont placés dans un mauvais emplacement.

Des exemples de fichiers légitimes sont les fichiers que les utilisateurs ont téléchargés et enregistrés dans le dossier de l'utilisateur [User]. Un autre exemple est quand un logiciel tierce partie légitime laisse un de ses fichiers dans le dossier de l'utilisateur. C'est une mauvaise habitude de la part de n'importe quel fournisseur de logiciel, et ces fichiers devraient être déplacés, même s'ils sont légitimes. Nous avons vu de nombreuses infections cachant leurs fichiers fictifs (apparemment légitimes mais en réalité des fichiers malveillants) dans ce répertoire et les exécutant à partir de là.

La façon de traiter ces fichiers/dossiers dans un correctif est la même que dans la section "Un mois - Créés - Modifiés -fichiers et dossiers" ci-dessus.




Certains fichiers dans TEMP

C'est une recherche non récursive limitée à certaines extensions particulières, pour avoir une idée générale sur la présence d'un fichier nuisible dans la racine du dossier Temp. Cette section n'est pas présente si aucun fichier ne répond aux critères de recherche. Cela ne signifie pas que le dossier Temp est vide ou exempt de tout nuisible (par exemple, un nuisible pourrait se trouver dans un sous-dossier non analysé par FRST), mais seulement que rien ne satisfait aux critères spécifiques de recherche. Pour un nettoyage plus complet des fichiers temporaires, on peut utiliser la commande EmptyTemp:.




Known DLLs (DLLs connues)

Certains éléments dans cette section, s'ils sont absents ou modifiés [patchés] ou corrompus pourraient entraîner des problèmes d'amorçage [boot]. En conséquence, cette analyse apparaît uniquement lorsque l'outil est exécuté en mode RE (Environnement de récupération).

Les éléments sont en liste blanche à moins qu'ils ne nécessitent une vérification.

Il faut faire attention quand on s'occupe des éléments identifiés dans cette section. Soit un fichier est manquant, soit il semble avoir été modifié d'une manière quelconque. L'aide d'un expert est recommandée pour s'assurer que le fichier problématique est correctement identifié et traité de manière appropriée. Dans la majorité des cas, il existe sur le système un bon fichier de remplacement qui peut être trouvé avec la fonction de recherche de FRST. Voyez la section Instructions/Commandes (Exemples d'utilisation) de ce tutoriel pour savoir comment remplacer un fichier et la section Autres analyses facultatives pour savoir comment effectuer une recherche.




Bamital & volsnap

Conçu principalement pour une recherche des malveillants Bamital et volsnap, il a maintenant été étendu pour détecter d'autres anomalies.

Des fichiers système modifiés peuvent vous alerter sur une possible infection malveillante. Quand l'infection est identifiée il faut faire attention lors des actions de réparation. L'aide d'un expert devrait être demandée car la suppression d'un fichier système pourrait empêcher le PC de démarrer.

Si un fichier n'a pas une signature numérique correcte, vous verrez à la place les propriétés du fichier.

Exemple tiré d'une infection Hijacker.DNS.Hosts :
Code: Tout sélectionner
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E


Dans ce cas, le fichier doit être remplacé par une copie valide. Utilisez la commande Replace:.

Note :
La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).


FRST vérifie le répertoire %SystemDrive%\Windows\System32\Drivers et liste les fichiers verrouillés ou zéro octet (les deux types sont marqués "0-Byte MD5").

Exemple dans le cas d'une infection [urlhttps://www.bleepingcomputer.com/news/security/smartservice-and-s5mark-acts-like-an-adware-bodyguard-by-blocking-antivirus-software/]SmartService[/url] :

Code: Tout sélectionner
C:\WINDOWS\system32\drivers\vdhmqtwa.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= ATTENTION


Note :
Les pilotes aléatoires du rootkit sont cachés et ne seront pas répertoriés dans la section Drivers en mode normal. Pour supprimer les pilotes et les fichiers verrouillés, utilisez le mode de récupération ou un autre outil avec des fonctionnalités anti-rootkit.


Certaines versions de l'infection SmartService désactivent le mode de récupération. FRST rectifie automatiquement la modification BCD lors d'une analyse :

Code: Tout sélectionner
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restauré(e) avec succès


Quand un élément personnalisé créé par un malveillant est trouvé dans le BCD [Magasin de données de configuration de démarrage - Boot Configuration Data], vous verrez la ligne suivante dans la section Bamital :

Code: Tout sélectionner
TDL4: custom:26000022 <===== ATTENTION!


Cet élément dans le BCD pourrait empêcher un système de démarrer si le bootkit nuisible a été supprimé et si cet élément du BCD a été laissé par mégarde. Quand l'élément est inscrit dans le fichier fixlist, l'élément personnalisé créé par le malveillant est supprimé du BCD et la valeur par défaut est restaurée.

Le moyen le plus sûr de démarrer en Mode sans échec est d'utiliser la touche F8 au démarrage (Windows 7 et plus ancien) ou les Options avancées de démarrage (Windows 10 et Windows 8). Dans certains cas, les utilisateurs utilisent l'"Utilitaire de configuration système" pour démarrer en Mode sans échec. Dans le cas où le mode sans échec est corrompu, l'ordinateur est bloqué et le système ne démarrera pas en mode normal parce qu'il est configuré pour un démarrage en Mode sans échec. Dans ce cas, vous verrez :

Code: Tout sélectionner
safeboot: ==> Le système est configuré pour démarrer en Mode sans échec <===== ATTENTION!


Pour corriger le problème, inscrivez la ligne ci-dessus dans le fichier fixlist. FRST va définir le mode normal comme mode par défaut et le système sortira de la boucle.

Note :
Ceci s'applique à Windows Vista et aux versions ultérieures de Windows.





Association

Note :
La section "Association" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt. Dans l'Environnement de récupération, l'analyse se limite à l'association de fichier .exe.


Liste l'association de fichier .exe (valeur appliquée à la machine, HKLM) comme ceci :

Code: Tout sélectionner
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION


Comme avec les autres éléments du Registre, vous pouvez simplement copier/coller les éléments avec le problème dans le fichier fixlist.txt et ils seront rétablis. Pas besoin de créer des correctifs-Registre.




Points de restauration

Note :
La section "Points de restauration" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.


Les points de restauration sont listés.

Note :
Il n'y a que dans Windows XP que les ruches peuvent être restaurées en utilisant FRST. Les points de restauration listés sur Windows Vista et ultérieur doivent être restaurés depuis l'Environnement de récupération (RE) en utilisant les Options de récupération du système Windows.


Pour corriger, inscrivez la ligne du point de restauration que vous voulez restaurer dans le script fixlist.txt.

Exemple venant d'un PC sous XP.
Code: Tout sélectionner
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81


Pour restaurer les ruches à partir du point de restauration 82 (daté de 2010-10-24) la ligne sera copiée et collée dans le fichier fixlist.txt, comme ceci :
Code: Tout sélectionner
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82[/b]


Pour un correctif de restauration à partir d'un logiciel de sauvegarde (Ruches sauvegardées par FRST, ERUNT ou CF) sur Windows Vista et ultérieur, reportez-vous à la section Instructions de ce tutoriel.




Infos Mémoire

Note :
La section "Infos Mémoire" est dans le fichier FRST.txt quand FRST est exécuté dans l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section est dans le fichier Addition.txt.


Vous indique la quantité de RAM (Random Access Memory) installée sur la machine ainsi que la mémoire physique disponible et le pourcentage de mémoire disponible. Parfois cela peut aider à expliquer les symptômes d'une machine. Par exemple le nombre affiché peut ne pas refléter ce que l'utilisateur pense avoir installé au niveau matériel. La RAM indiquée peut apparaître inférieure à ce qui est en fait sur la machine. Ceci peut se produire quand la machine ne peut pas accéder vraiment à toute la RAM qu'il a. Les causes possibles comprennent de la RAM défectueuse, ou un problème de connecteur [slot] sur la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (par exemple si le BIOS a besoin d'être mis à jour). De plus, pour les systèmes 32-bit avec plus de 4 Go de RAM installés, le montant maximal indiqué ne sera que 4 Go. C'est une limitation sur les applications 32-bit.

Les informations sur le processeur, la mémoire virtuelle et la mémoire virtuelle disponible sont aussi listés.




Lecteurs et MBR & Table des partitions

Note :
La section "Lecteurs et MBR & Table des partitions" apparaîtra dans le rapport d'analyse FRST.txt quand FRST est exécuté depuis l'Environnement de récupération. Quand FRST est exécuté en dehors de l'Environnement de récupération, la section apparaîtra dans le fichier Addition.txt


Énumère les partitions primaires et étendues présentes sur la machine, leur taille, et combien il y a d'espace libre. Les disques amovibles connectés au PC au moment de l'analyse sont inclus.

Le code du MBR (Master Boot Record) est listé.

Vous pouvez voir :

Code: Tout sélectionner
ATTENTION: Malware custom entry on BCD on drive Somedrive: detected. Check for MBR/Partition infection.


Comme avec d'autres infections complexes, l'aide d'un expert est recommandée pour trouver la bonne solution. Un mauvais déplacement ici pourra empêcher le PC de démarrer.

Dans certains cas, il y aura d'autres étiquettes d'infection par un malveillant plus tôt dans le rapport d'analyse FRST qui montreront une solution. Dans d'autres cas, une correction peut être nécessaire avec une commande utilisant le RE (Environnement de récupération). Voir la section Instructions dans ce tutoriel.

Quand il y a une indication que quelque chose ne va pas avec le MBR, une vérification du MBR peut être indiquée. Pour ce faire, on doit obtenir un vidage [dump] du MBR. Voici comment :

Exécutez le correctif suivant avec FRST en mode quelconque :

Code: Tout sélectionner
SaveMbr: drive=0 (ou numéro de lecteur adéquat)


Ce faisant, un fichier MBRDUMP.txt sera enregistré à l'emplacement à partir duquel FRST/FRST64 a été exécuté.

Note :
Bien qu'un vidage du MBR puisse être obtenu en mode normal comme en mode RE, certaines infections du MBR sont capables de contrefaire le MBR quand Windows est chargé. En conséquence, il est conseillé de faire ceci dans l'Environnement de récupération (RE).





LastRegBack:

FRST cherche dans le système et liste la dernière sauvegarde du Registre effectuée par le système. La sauvegarde du Registre contient une sauvegarde de toutes les ruches. C'est différent de la sauvegarde LKGC [Last Known Good Configuration - Dernière configuration correcte connue] du ControlSet.

Il y a plusieurs raisons pour lesquelles vous pouvez vouloir utiliser cette sauvegarde pour résoudre un problème, mais fréquemment c'est quand une perte ou une corruption s'est produite.

Vous pouvez voir ceci dans l'entête de FRST :

Code: Tout sélectionner
"Attention: Impossible de charger la ruche System"


Pour corriger, inscrivez simplement la ligne dans fixlist comme ceci :

Code: Tout sélectionner
LastRegBack: >>date<< >>heure<<


Exemple :
Code: Tout sélectionner
LastRegBack: 2013-07-02 15:09




Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Analyse supplémentaire (Addition.txt) - 1èr

Messagede nickW » 21 11 2013


Analyse supplémentaire (Addition.txt)


Entête

L'entête du rapport d'analyse Addition.txt contient un bref résumé d'informations utiles.

Voici un exemple d'entête :

Code: Tout sélectionner
Résultats de l'Analyse supplémentaire de Farbar Recovery Scan Tool (x64) Version: 20-10-2017
Exécuté par Utilisateur (21-10-2017 14:16:13)
Exécuté depuis C:\Users\Utilisateur\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Mode d'amorçage: Normal


1ère ligne : indique si FRST version 32-bit ou version 64-bit a été exécuté. L'identifiant de version de FRST est aussi listé.

2ème ligne : montre quel utilisateur a exécuté l'outil, ainsi que les date et heure d'exécution.

3ème ligne : vous dit depuis quel emplacement FRST a été lancé.

4ème ligne : montre la version de Windows ainsi que sa date d'installation.

5ème ligne : vous dit dans quel mode l'analyse a été exécutée.




Comptes

Liste les comptes d'utilisateur standard présents sur le système, dans le format suivant :

Nom du compte (SID du compte -> Privilèges - Activé/Désactivé) => Chemin du profil
Les noms de comptes Microsoft ne sont pas affichés.

NdT: SID = Security IDentifier, identifiant unique de sécurité alphanumérique attribué par le système.

Exemple :
Code: Tout sélectionner
Administrateur (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrateur
Utilisateur (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\Utilisateur
Invité (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)





Centre de sécurité

Vous pouvez découvrir que la liste contient des résidus d'un programme de sécurité précédemment désinstallé.
Dans ce cas, la ligne peut être incluse dans le fichier fixlist.txt afin qu'elle soit supprimée.
Certains programmes de sécurité (comme Spybot S&D) empêchent la suppression de l'élément s'ils ne sont pas totalement désinstallés.
Dans ce cas, au lieu de la confirmation de la suppression, vous verrez dans le rapport de correction Fixlog :
Code: Tout sélectionner
Entrée Centre de sécurité => L'élément est protégé. Vérifiez que le logiciel est désinstallé et que ses services sont supprimés.





Programmes installés

Liste tous les programmes installés.
FRST a une base de données interne qui permet de marquer de nombreux programmes publicitaires/potentiellement indésirables (Adware/PUP).
Exemple :
Code: Tout sélectionner
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version:  - Mindspark Interactive Network) <==== ATTENTION
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version:  - ) <==== ATTENTION

Il est fortement conseillé de désinstaller tous les programmes ainsi marqués avant d'exécuter un programme automatique pour supprimer les logiciels publicitaires.
Le désinstalleur du logiciel publicitaire supprime la majorité de ses éléments et annule les modifications de la configuration.

Dans les cas où des programmes ne sont pas affichés dans la liste des programmes installés de l'utilisateur, mais sont présents, FRST va les lister en leur ajoutant une étiquette (Hidden), comme ceci :
Code: Tout sélectionner
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden


Ces programmes ne sont pas obligatoirement néfastes ... ils sont simplement cachés. Ils ont dans le Registre une valeur nommée "SystemComponent" avec un REG_DWORD positionné à 1. Ces programmes ne sont pas visibles dans Ajout/Suppression de programmes (XP) ou Programmes et fonctionnalités (Vista et ultérieur) et l'utilisateur ne peut pas les désinstaller depuis ce menu. FRST peut supprimer la valeur "SystemComponent" et ainsi rendre le programme visible.

Si l'élément trouvé dans le rapport Addition.txt est inclus dans le fichier fixlist.txt, vous verrez :
Code: Tout sélectionner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff \\SystemComponent => Valeur supprimé(es) avec succès.


Note :
Ce correctif ne fait que rendre le programme visible, il ne désinstalle pas le programme. Le programme devra être désinstallé par l'utilisateur.


Comme indiqué ci-dessus, tout programme caché n'est pas néfaste. Il existe de nombreux programmes légitimes (y compris des programmes Microsoft) qui sont cachés à juste titre.




Personnalisé CLSID

Liste les entrées des classes personnalisées créées dans les ruches de Registre de l'utilisateur, ShellIconOverlayIdentifiers, ContextMenuHandlers et FolderExtensions.

Exemples :
Code: Tout sélectionner
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== ATTENTION


Code: Tout sélectionner
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-01] ()


Code: Tout sélectionner
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] ()


Pour corriger des éléments nuisibles, ajoutez-les simplement dans le fichier fixlist.txt et FRST va supprimer les clés du registre. Le fichier/dossier associé doit être indiqué séparément pour être déplacé.

Note :
Des programmes tiers légitimes peuvent créer un CLSID personnalisé, donc faites attention et ne supprimez pas d'élément légitime.
[NdT : CLSID vient de CLasS IDentifier, terme utilisé par Microsoft pour désigner un "identificateur globalement unique" (Guid - Globally Unique IDentifier).]





Tâches planifiées

Les tâches planifiées non en liste blanche sont montrées. Quand un élément est inscrit dans un fichier fixlist.txt, la tâche elle-même est corrigée.

Exemple :
Code: Tout sélectionner
fixlist contenu:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\FocusPick => déplacé(es) avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => clé supprimé(es) avec succès
C:\windows\Tasks\FocusPick.job => déplacé(es) avec succès.


Notez bien que FRST ne fait que supprimer les éléments du Registre et déplacer le fichier de la tâche mais il ne déplace pas l'exécutable. Si l'exécutable est néfaste, il doit être ajouté sur une ligne distincte dans le fichier fixlist.txt afin qu'il soit déplacé.

Note :
Un malveillant peut utiliser un exécutable légitime (par exemple, utiliser sc.exe pour lancer ses propres services) pour exécuter son propre fichier.
En d'autres termes, vous devez vérifier l'exécutable pour déterminer s'il est légitime ou non avant d'agir.





Raccourcis et WMI

Les raccourcis piratés ou suspects situés dans le dossier utilisateur de celui qui a ouvert la session et dans le dossier racine de C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes [C:\ProgramData\Microsoft\Windows\Start Menu\Programs] et C:\Utilisateurs\Public\Bureau [C:\Users\Public\Desktop] sont listés.

Les éléments peuvent être inclus dans un fichier fixlist.txt pour correction - voir Shortcut.txt dans Autres analyses facultatives ci-dessous.

Note :
Une analyse Shortcut.txt contient tous les raccourcis de tous les utilisateurs, alors que le rapport d'analyse dans Addition.txt contient seulement les raccourcis piratés/suspects trouvés dans le profil de l'utilisateur ayant ouvert la session.

Dans le cas d'une infection WMI malware qui détourne les raccourcis, vous verrez un avertissement comme ceci :

Code: Tout sélectionner
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION


Pour supprimer le script nuisible, placez la ligne ci-dessus dans le fichier fixlist.txt.




Modules chargés

Les modules chargés sont filtrés en fonction de la présence d'un Nom d'Entreprise. Autrement dit, les éléments sans Nom d'Entreprise sont listés. Gardez ceci à l'esprit, car il pourrait arriver qu'un module nuisible ayant un Nom d'Entreprise ne soit pas listé lors de cette analyse.




Alternate Data Streams - ADS (Flux de Données Additionnels)

FRST liste les Flux de Données Additionnels [ADS - Alternate Data Streams] comme ceci :

Code: Tout sélectionner
==================== Alternate Data Streams (Avec liste blanche) ==========
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe[134]
AlternateDataStreams: C:\malveillant:nuisible.exe[134]


Note :
La taille de l'ADS (nombre d'octets qu'il contient) est affichée entre crochets après le chemin d'accès.

Si l'ADS est sur un fichier/dossier légitime, la correction consistera à copier/coller la totalité de la ligne depuis le rapport d'analyse dans le fichier fixlist.

Exemple :
Code: Tout sélectionner
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe[134]


S'il est sur un fichier/dossier nuisible, ce sera :

Code: Tout sélectionner
C:\malveillant


Dans le premier cas, FRST supprime seulement l'ADS du fichier/dossier.

Dans le second cas, le fichier/dossier est supprimé.

NDLR : Que sont les ADS - Alternate Data Stream




Mode sans échec

Les éléments par défaut sont en liste blanche. Donc si la section est vide, cela signifie qu'il n'y a pas d'élément particulier dans le système.
Si l'une des clés principales (SafeBoot, SafeBoot\Minimal et SafeBoot\Network) est absente, cela sera signalé. Dans ce cas, il faut la réparer manuellement.
S'il y a un élément créé par un nuisible, il peut être inclus dans le fichier fixlist.txt afin qu'il soit supprimé.




Association - Voir Association précédemment dans le tutoriel

Liste les associations de fichier .bat, .cmd, .com, .exe, .reg et .scr
Les éléments par défaut sont en liste blanche, donc si aucun élément n'a été ajouté ou modifié rien n'apparaîtra dans le rapport.
Quand un élément par défaut est inclus dans le ficher fixlist.txt, la valeur par défaut sera restaurée. Tout élément créé par l'utilisateur, s'il est inclus dans le fichier fixlist.txt, sera supprimé.


Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Analyse supplémentaire (Addition.txt) - 2nd

Messagede nickW » 21 11 2013


Analyse supplémentaire (Addition.txt) - Suite




Internet Explorer sites de confiance/sensibles

Liste les sites de confiance/sensibles d'Internet Explorer.

Si un élément est inclus dans le fichier fixlist.txt, l'élément associé sera supprimé du Registre.




Hosts contenu - Voir Hosts précédemment dans le tutoriel

Fournit de plus amples détails relatifs au fichier hosts : les propriétés du fichier hosts ainsi que les 30 premières lignes actives. Les lignes inactives (mises en commentaire) sont masquées.

Exemple :
Code: Tout sélectionner
2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 ____A C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 http://www.google-analytics.com
107.178.255.88 http://www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net


Les lignes ne peuvent être traitées individuellement. Pour restaurer le fichier, utilisez la commande Hosts: ou placez la ligne d'avertissement concernant le fichier hosts (fichier d'analyse FRST.txt) dans le fichier fixlist.txt.

NDLR : Qu'est-ce que Hosts




Autres zones

Ce paragraphe regroupe certains éléments analysés par FRST qui ne sont pas répertoriés ailleurs. Actuellement dans ce paragraphe, FRST liste les chemins d'accès de l'arrière-plan du Bureau (Papier peint), les serveurs DNS, les paramètres du Contrôle de compte d’utilisateur (UAC - User Account Control) et l'état du Pare-feu Windows.
FRST ne fait que lister ces éléments. Pour l'instant, il n'y a pas de correction automatique.

- Arrière-plan du Bureau (Wallpaper)

Plusieurs variantes de nuisibles cryptant les fichiers (crypto-malware) utilisent ce paramètre afin d'afficher un écran de demande de rançon.

Exemple :
Code: Tout sélectionner
Exemple de chemin d'accès normal :
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Someperson\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Exemple de chemin d'accès et de fichier nuisibles :
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Someperson\My Documents\!Decrypt-All-Files-scqwxua.bmp

Dans le cas d'un nuisible, le chemin d'accès du fichier peut être placé dans un fichier fixlist.txt, ainsi que tous les fichiers associés listés dans le rapport d'analyse FRST.txt.

Note :
Supprimer le fichier du papier peint installé par le nuisible va supprimer l'arrière-plan du Bureau.
L'utilisateur doit re-paramétrer cet arrière-plan du Bureau :
- Sous Windows XP, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Propriétés, cliquez sur l'onglet Bureau, sélectionnez l'une des images disponibles, puis cliquez sur Appliquer et OK.
- Sous Windows Vista et ultérieur, pour définir l'arrière-plan du Bureau, faites un clic droit n'importe où sur le Bureau, choisissez Personnaliser, sélectionnez Arrière-plan du Bureau, sélectionnez l'une des images disponibles, puis cliquez sur OK.


- Serveurs DNS (DNS Servers)

Les serveurs DNS sont listés. Ceci est utile pour détecter un piratage DNS/Routeur.

Exemple :
Code: Tout sélectionner
DNS Servers: 213.46.228.196 - 62.179.104.196

Cherchez l'adresse sur WhoisLookup pour savoir si le serveur est légitime ou non.

Note :
La liste des serveurs ne provient pas du Registre, donc le système doit être connecté à Internet.


Si FRST est exécuté en Mode sans échec, ou si le système n'est pas connecté à internet, vous verrez :

Code: Tout sélectionner
DNS Servers: "Le média n'est pas connecté à internet."



- Paramètres du Contrôle de compte d’utilisateur (UAC - User Account Control)

Activé (paramètre par défaut) :

Code: Tout sélectionner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)


Désactivé :

Code: Tout sélectionner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)


Il peut en être ainsi parce que l'utilisateur a désactivé le Contrôle de compte d'utilisateur (UAC), ou comme effet secondaire de l'activité d'un malveillant. A moins qu'il soit évident que la cause est malveillante, il faut interroger l'utilisateur avant de tenter une correction.


- SmartScreen (Windows 8+)

Code: Tout sélectionner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Donnée de la valeur)


Données de la valeur prises en charge par Windows: RequireAdmin (paramètre par défaut), Prompt, Off. Une donnée manquante ou vide sera signalée de la manière suivante :

Code: Tout sélectionner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )


Ceci est probablement dû à une activité de logiciels malveillants et une correction manuelle est requise.


- Pare-feu Windows (Windows Firewall)
Exemple :
Code: Tout sélectionner
Windows Firewall est activé.

Que le Pare-feu Windows soit activé ou désactivé est aussi signalé. Quand FRST est exécuté en Mode sans échec, ou s'il existe un problème avec le système, il n'y aura aucune ligne à propos du Pare-feu.




MSCONFIG/TASK MANAGER éléments désactivés

Le rapport d'analyse est utile lorsqu'un utilisateur a utilisé MSCONFIG ou TASK MANAGER [Gestionnaire des tâches] pour désactiver des éléments nuisibles au lieu de les supprimer. Ou bien, s'il a désactivé trop d'éléments et si certains services ou applications indispensables ne peuvent plus s'exécuter correctement.

Exemples :

MSCONFIG dans Windows 7 et systèmes antérieurs :

Code: Tout sélectionner
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S


Ce qui se lit comme ceci :
Services désactivés :
Code: Tout sélectionner
MSCONFIG\Services: NomService => Type de démarrage d'origine

Éléments désactivés dans le dossier Démarrage :
Code: Tout sélectionner
MSCONFIG\startupfolder: Chemin d'accès d'origine (avec "\" remplacé par "^" par Windows)  => Chemin de la sauvegarde créée par Windows.

Éléments Run désactivés :
Code: Tout sélectionner
MSCONFIG\startupreg: NomValeur => Chemin du fichier.


TASK MANAGER dans Windows 8 et Windows 10:

Code: Tout sélectionner
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"


Note :
Windows 8 et ultérieurs utilisent msconfig seulement pour les services. Les éléments du démarrage sont déplacés vers le Gestionnaire de tâches [Task Manager] qui stocke les éléments désactivés dans plusieurs clés. Un élément désactivé non-absent est listé deux fois : dans FRST.txt (section Registre) et dans Addition.txt.


Les éléments peuvent être inclus dans un fichier fixlist.txt afin de les supprimer. FRST exécutera les actions ci-dessous :
- Dans le cas des services désactivés, FRST va supprimer la clé créée par MSCONFIG et le service lui-même.
- Dans le cas des éléments Run désactivés, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches]. L'élément Run lui-même sur les systèmes plus récents sera également supprimé.
- Dans le cas des éléments dans les dossiers Démarrage, FRST va supprimer la clé/valeur créée par MSCONFIG/Task Manager [Gestionnaire des tâches] et déplacer la sauvegarde du fichier créée par Windows (sur les anciens systèmes) ou le fichier lui-même (sur les systèmes plus récents).

Important : Ne corrigez un élément dans cette section que si vous êtes sûr qu'il s'agit d'un élément malveillant. Si vous doutez de la nature de l'élément, ne le corrigez pas afin d'éviter la suppression d'éléments légitimes. Dans le cas d'éléments légitimes désactivés qui devraient être activés, il faut donner à l'utilisateur des instructions pour qu'il les active via l'utilitaire MSCONFIG ou le Gestionnaire des tâches [Task Manager].




Règles Pare-feu

Liste les règles du pare-feu (FirewallRules), les applications autorisées (AuthorizedApplications), ainsi que les ports globalement ouverts (GloballyOpenPorts).

Exemple (Windows 10) :
Code: Tout sélectionner
FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

NdT: Allow = Autoriser, Block = Bloquer.


Exemple (XP) :
Code: Tout sélectionner
StandardProfile\AuthorizedApplications: [C:\Program Files\Google\Chrome\Application\chrome.exe] => Enabled:Google Chrome
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Farbar\Application Data\Dropbox\bin\Dropbox.exe] => Enabled:Dropbox
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

NdT: Enabled = Autorisé, Disabled = Bloqué.

Si un élément est inclus dans un fichier fixlist.txt, il sera supprimé du Registre. Aucun fichier éventuel ne sera déplacé.




Points de restauration - Voir Points de restauration précédemment dans le tutoriel

Liste les Points de restauration disponibles dans le format suivant :

Code: Tout sélectionner
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST


Si la fonction est désactivée, cela sera signalé :

Code: Tout sélectionner
ATTENTION: La Restauration système est désactivée





Éléments en erreur du Gestionnaire de périphériques

Exemple :

Code: Tout sélectionner
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.





Erreurs du Journal des événements

- Erreurs Application
- Erreurs système
- CodeIntegrity [Erreurs Intégrité du code]




Infos Mémoire

Voir Infos Mémoire précédemment dans le tutoriel




Lecteurs




MBR & Table des partitions

Voir Lecteurs et MBR & Table des partitions précédemment dans le tutoriel



Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Autres analyses facultatives

Messagede nickW » 21 11 2013


Autres analyses facultatives




Analyses facultatives

En cochant une case sous "Analyse facultative", FRST va analyser les éléments demandés.




Liste BCD

Les données du BCD [Magasin de données de configuration de démarrage - Boot Configuration Data] sont listées ([BCD, en anglais]).




MD5 Pilotes

Va générer une liste des pilotes avec leur somme de contrôle MD5 qui ressemblera à ceci :

Code: Tout sélectionner
========================== MD5 Pilotes =======================

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451

On peut alors vérifier leur validité.




Shortcut.txt

Liste tous les types de raccourcis de tous les comptes standard. Les éléments piratés peuvent être inclus dans le fichier fixlist.txt afin qu'ils soient restaurés ou supprimés.

Exemple :
Code: Tout sélectionner
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%


NdT: sur certains systèmes, les noms apparaissant dans les chemins d'accès peuvent être francisés, selon les équivalences ci-dessous :
  • (sans module complémentaire) <==> (No Add-ons)
  • Accessoires <==> Accessories
  • Bureau <==> Desktop
  • Menu Démarrer <==> Start Menu
  • Outils système <==> System Tools
  • Programmes <==> Programs


Pour corriger les lignes ShortcutWithArgument:, faites simplement un copier-coller de ces lignes dans le fichier fixlist.txt. Mais pour supprimer les objets Shortcut:, vous devez ajouter les chemins d'accès séparément dans le correctif.

Un script de correction complet ressemblerait à ceci :
Code: Tout sélectionner
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk


Note :
FRST supprime l'argument des raccourcis sauf pour le raccourci Internet Explorer (No Add-ons).lnk. Par défaut l'argument de ce raccourci n'est pas vide (l'argument est -extoff) et il est utilisé pour lancer Internet Explorer sans modules complémentaires. Il est vital pour dépanner les problèmes sur IE, et donc cet argument de raccourci sera restauré.


Notez aussi que si vous avez utilisé un autre outil de nettoyage pour supprimer l'argument de Internet Explorer (No Add-ons).lnk, FRST ne le listera pas sous ShortcutWithArgument:, et donc l'argument ne pourra plus être restauré avec FRST. Dans ce cas, l'utilisateur peut restaurer l'argument manuellement.

Pour restaurer l'argument manuellement, l'utilisateur doit aller (via l'Explorateur) jusqu'à Internet Explorer (No Add-ons).lnk :

Faire un clic droit dessus et choisir Propriétés.

Dans la zone Cible ajouter deux espaces puis -extoff au chemin d'accès affiché.

Cliquer sur Appliquer puis OK.




Fichiers 90 jours

Si l'option "Fichiers 90 jours" est cochée, FRST listera dans le rapport d'analyse "Trois mois - Créés/Modifiés - fichiers et dossiers" au lieu de "Un mois - Créés/Modifiés - fichiers et dossiers".





Fonctions de recherche




Recherche de fichiers

Il y a un bouton Chercher fichiers dans la fenêtre de programme de FRST. Pour rechercher des fichiers, vous pouvez saisir, ou copier/coller, leurs noms dans la zone de recherche [Chercher:]. Les jokers sont permis. Si vous avez besoin de rechercher plus d'un fichier, les noms des fichiers doivent être séparés par un point-virgule ;

Ainsi chacune des options ci-dessous va fonctionner :

Code: Tout sélectionner
terme;terme

Code: Tout sélectionner
*terme*;*terme*


Quand il a cliqué sur le bouton Chercher fichiers, l'utilisateur est informé que la recherche est lancée [La recherche est en cours, veuillez patienter...], une barre de progression apparaît, puis un message s'affiche indiquant que la recherche est terminée [Chercher terminé(e)]. Un fichier rapport de recherche Search.txt est enregistré dans le dossier à partir duquel FRST.exe/FRST64.exe a été exécuté.

Les fichiers trouvés sont listés avec leurs date de création, date de modification, taille, attributs, Nom d'entreprise, MD5, et signature numérique dans le format suivant :

Code: Tout sélectionner
C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Le fichier est signé numériquement]



Note :
La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).


La recherche de fichiers est limitée au lecteur système. Dans certains cas, un fichier système légitime est absent ou corrompu, ce qui provoque des problèmes d'amorçage (boot), et il n'existe aucun fichier de remplacement sur le système. Quand l'option de recherche de fichiers (Chercher) est utilisée en mode de récupération (Vista et ultérieur), la recherche inclut aussi les fichiers dans X: (le lecteur d'amorçage virtuel). Dans certains cas, cela peut sauver la vie. Un exemple est l'absence de services.exe qui pourrait être copié de X:\Windows\System32 vers C:\Windows\System32.

Note :
La partition X: ne contiendra que les exécutables 64-bit pour les systèmes 64-bit.


Le bouton "Chercher Fichiers" peut être utilisé pour effectuer des recherches supplémentaires, voir FindFolder: et [*]SearchAll: ci-dessous. Les résultats seront enregistrés dans le journal Search.txt.




FindFolder:

Pour rechercher un ou plusieurs dossiers sur le lecteur système, renseignez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :

Code: Tout sélectionner
FindFolder: terme;terme


Les jokers sont autorisés.

Code: Tout sélectionner
FindFolder: *terme*;*terme*





SearchAll:

Pour effectuer une recherche complète (fichiers, dossiers, registre) pour un ou plusieurs termes, entrez la syntaxe suivante dans la zone de recherche et appuyez sur le bouton "Chercher Fichiers" :

Code: Tout sélectionner
SearchAll: terme;terme


N'ajoutez pas de joker au(x) terme(s). FRST interprète automatiquement le terme comme *terme(s)* dans le cas de fichiers et de dossiers.

Note :
Dans l'environnement de récupération, la recherche complète effectuée est limitée aux fichiers et dossiers.




Recherche dans le Registre

Il y a un bouton Chercher Registre dans la fenêtre de programme de FRST. Vous pouvez saisir, ou copier/coller, les noms des éléments que vous souhaitez rechercher dans la zone de recherche [Chercher:]. Si vous voulez rechercher plus d'un élément, les noms doivent être séparés par un point-virgule ;

Code: Tout sélectionner
terme;terme


Contrairement à une recherche de fichiers, lorsqu'on effectue une recherche dans le Registre, l'ajout de jokers dans les termes de recherche doit être évité car ces caractères jokers seront interprétés littéralement. Quand un joker ("*" ou "?") est ajouté au début ou à la fin d'un terme de recherche dans le Registre, FRST va l'ignorer et rechercher ce terme de recherche sans ce caractère.

Un fichier journal SearchReg.txt est enregistré dans le dossier à partir duquel FRST/FRST64 a été lancé.

Note :
La fonction de recherche dans le Registre ne fonctionnera qu'en dehors de l'environnement de récupération (RE).




Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Instructions/Commandes - 1ère partie

Messagede nickW » 21 11 2013


Instructions/Commandes

Toutes les commandes/instructions dans FRST doivent être sur une seule ligne car FRST traite le script ligne par ligne.

Note :
Les instructions/commandes sont insensibles à la casse.





Catalogue des instructions/commandes



À utiliser seulement en Mode normal

CreateRestorePoint:
TasksDetails:


À utiliser seulement en Mode normal et en Mode sans échec

CloseProcesses:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VerifySignature:
VirusTotal:
Zip:


À utiliser en Mode normal, en Mode sans échec et dans l'Environnement de récupération (RE)

cmd:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: et DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: et ExportValue:
File:
FilesInDirectory: et Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
nointegritychecks on:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
testsigning on:
Unlock:


À utiliser seulement dans l'Environnement de récupération (RE)

LastRegBack:
RestoreErunt:
Restore From Backup:
RestoreMbr:






Exemples d'utilisation




CloseProcesses:

Arrête tous les processus non essentiels. Contribue à rendre la correction plus efficace et plus rapide.

Exemple :
Code: Tout sélectionner
CloseProcesses:

Quand cette commande est incluse dans un correctif, elle provoquera automatiquement un redémarrage. Il n'est pas nécessaire d'utiliser la commande Reboot:. La commande CloseProcesses: n'est pas nécessaire ni disponible dans l'Environnement de récupération.




CMD:

Parfois vous avez besoin d'exécuter une commande CMD. Dans ce cas vous devez utiliser l'instruction "CMD:".

Le script sera :

Code: Tout sélectionner
CMD: commande


S'il y a plus d'une commande, commencez chaque ligne par CMD: pour avoir un résultat dans le rapport de correction pour chaque commande.

Exemple :
Code: Tout sélectionner
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr


La première commande va copier les fichiers minidump sur la clé USB (si la lettre de lecteur de la clé USB est E).
La seconde commande est utilisée pour corriger le MBR dans Windows Vista et versions ultérieures.

On peut également utiliser les commandes StartBatch:EndBatch: (voir ci-dessous).

Note :
Contrairement aux instructions natives ou autres instructions de FRST, les commandes CMD doivent avoir la syntaxe correcte de cmd.exe, comme l'utilisation de guillemets (") en cas de présence d'un espace dans le chemin d'accès du fichier/dossier.





CreateDummy:

Crée un fichier/dossier factice verrouillé pour empêcher la restauration de fichiers nuisibles. Le dossier factice doit être supprimé après avoir neutralisé le malware.

La syntaxe est :

Code: Tout sélectionner
CreateDummy: Chemin


Exemple :
Code: Tout sélectionner
CreateDummy: C:\Windows\System32\nuisible.exe
CreateDummy: C:\ProgramData\Nuisible





CreateRestorePoint:

Pour créer un point de restauration.

Exemple :
Code: Tout sélectionner
CreateRestorePoint:


Note :
Cette commande n'est utilisable qu'en mode normal. Elle ne fonctionnera pas si le service de Restauration système a été désactivé.





DeleteJunctionsInDirectory:

Pour supprimer les jonctions utilisez la syntaxe suivante :

Code: Tout sélectionner
DeleteJunctionsInDirectory: Chemin


Exemple :
Code: Tout sélectionner
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender





DeleteKey: et DeleteValue:

La méthode la plus efficace pour supprimer des clés/valeurs, contournant les limitations des algorithmes de suppression standards présents dans Reg: et StartRegedit: - EndRegedit:.

La synthaxe est :

1. Pour supprimer des clés :
Code: Tout sélectionner
DeleteKey: clé


Alternativement, le format regedit peut être utilisé :
Code: Tout sélectionner
[-clé]



2. Pour supprimer des valeurs :
Code: Tout sélectionner
DeleteValue: clé|valeur



Si la valeur est une valeur par défaut, laissez le nom de la valeur vide :
Code: Tout sélectionner
DeleteValue: clé|



Exemples :
Code: Tout sélectionner
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]


Les commandes sont capables de supprimer des clés/valeurs qui sont verrouillées en raison d’autorisations insuffisantes, des clés/valeurs qui contiennent des caractères NULL incorporés (embedded-null characters) et des liens symboliques de registre.
La commande Unlock: est inutile.

Pour les clés/valeurs qui sont protégées par un logiciel en cours d’exécution (réponse "Accès refusé") vous devez utiliser le Mode sans échec (pour contourner le logiciel en cours d’exécution) ou supprimer les principaux composants avant d’utiliser les commandes.

Note :
Si la clé inscrite pour la suppression est un lien de Registre vers une autre clé, la clé (source) qui est le lien symbolique de Registre sera supprimée. La clé cible ne sera pas supprimée. Ceci est fait pour éviter de supprimer à la fois un mauvais lien symbolique de Registre qui pourrait pointer vers une clé légitime et la clé légitime elle-même. Dans le cas où la clé source et la clé cible sont nuisibles, les deux doivent être inscrites pour suppression.




DeleteQuarantine:

Après la fin du nettoyage, le dossier %SystemDrive%\FRST (en général C:\FRST) créé par l'outil FRST doit être supprimé de l'ordinateur. Dans certains cas le dossier ne peut pas être supprimé manuellement parce que le dossier %SystemDrive%\FRST\Quarantine contient des fichiers ou dossiers malveillants verrouillés ou bizarres. La commande DeleteQuarantine: va supprimer le dossier Quarantine.

Les outils qui déplacent les fichiers au lieu de les supprimer ne doivent pas être utilisés pour supprimer %SystemDrive%\FRST car ces outils se contentent de déplacer les fichiers dans leur propre dossier et ils resteront quand même sur le système.

Il suffit simplement d'inscrire la commande dans un fichier fixlist.txt comme ceci :

Code: Tout sélectionner
DeleteQuarantine:





DisableService:

Pour désactiver un service ou un service de pilote, vous pouvez utiliser le script suivant :
Code: Tout sélectionner
DisableService: NomService


Exemple :
Code: Tout sélectionner
DisableService: sptd
DisableService: Wmware Nat Service


FRST va positionner le service sur Désactivé et le service ne sera pas lancé lors du démarrage suivant.

Note :
Le nom du service doit être inscrit comme il apparaît dans le Registre ou le rapport d'analyse de FRST, sans rien ajouter. Par exemple, les guillemets ne sont pas nécessaires.





EmptyTemp:

Les dossiers suivants sont vidés :
  • Fichiers temporaires de Windows.
  • Dossiers temporaires de l'utilisateur.
  • Cache, cookies, historique et zones de stockage HTML5 pour Edge, IE, FF, Chrome et Opera
    (Note :
    L'historique de Firefox n'est pas supprimé)
    .
  • Cache des fichiers ouverts récemment
  • Cache de Flash Player
  • Cache de Java
  • Cache HTML de Steam
  • Cache des miniatures et des icônes de l'Explorateur
  • File d'attente de transfert BITS (fichiers qmgr*.dat)
  • Corbeille

Si la commande EmpyTemp: est utilisée, il y aura redémarrage du système après la correction. Inutile d'utiliser la commande Reboot:.
De plus, peu importe si EmpyTemp: est placée au début, au milieu ou à la fin du fichier fixlist.txt, elle sera exécutée après le traitement de toutes les autres lignes du fichier fixlist.txt.

Important :
Quand la commande EmptyTemp: est utilisée, les éléments sont supprimés définitivement. Ils ne sont pas déplacés dans la quarantaine.

Note :
La commande est désactivée dans l'Environnement de récupération pour éviter tout dommage.





ExportKey: et ExportValue:

Moyen plus fiable pour inspecter le contenu d'une clé, les commandes permettent de surmonter certaines limitations de regedit.exe et reg.exe.
Les différences des commandes portent sur l'export.
ExportKey: liste toutes les valeurs et les sous-clés récursivement, tandis que ExportValue: affiche uniquement les valeurs de la clé.

La syntaxe est :

Code: Tout sélectionner
ExportKey: clé


Code: Tout sélectionner
ExportValue: clé


Exemple :
Code: Tout sélectionner
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte

Code: Tout sélectionner
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte]
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé invalide ]
"Valeur cachée"="Donnée cachée"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée]
HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte\Clé bloquée => Accès refusé.

=== Fin de ExportKey ===


Note :
L'export est destiné uniquement à des fins de recherche et ne peut pas être utilisé pour des opérations de sauvegarde et d'importation.




File:

Pour vérifier les propriétés d'un fichier. Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.

Code: Tout sélectionner
File: chemin;chemin


Exemple :
Code: Tout sélectionner
File: C:\Users\Utilisateur\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe


Code: Tout sélectionner
========================= File: C:\Users\Utilisateur\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================

Fichier non signé
MD5 : 4793A9663376EF3A9044E07A9A45D966
Dates de création et modification : 2017-07-30 12:04 - 2017-07-30 12:04
Taille : 000242688
Attributs : ----A
Nom Entreprise :
Nom Interne : wmplayer.exe
Nom D'origine : wmplayer.exe
Produit : Windows Media Player
Description : Windows Media Player
Fichier Version : 1.0.0.0
Produit Version : 1.0.0.0
Copyright : Copyright ©  2017
VirusTotal : https://www.virustotal.com/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9/analysis/1503093556/

====== Fin de File: ======


Note :
La vérification des signatures numériques n'est pas disponible dans l'Environnement de récupération (RE).


Note :
La commande File: ne déclenche pas de téléchargement automatique vers VirusTotal, contrairement à la commande VirusTotal:.





FilesInDirectory: et Folder:

Pour vérifier le contenu d'un dossier. FilesInDirectory: est destiné à répertorier des fichiers spécifiques correspondant à un ou plusieurs modèles avec joker *, tandis que Folder: est conçu pour obtenir le contenu complet d'un dossier. La sortie des deux commandes inclut les sommes de contrôle MD5.

La syntaxe est :
Code: Tout sélectionner
FilesInDirectory: chemin\modèle;modèle

Code: Tout sélectionner
Folder: chemin


Exemple :
Code: Tout sélectionner
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

Code: Tout sélectionner
========================= FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll ========================

2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - http://www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe

====== Fin de Filesindirectory ======

========================= Folder: C:\Windows\desktop-7ec3qg0 ========================

2017-10-05 11:11 - 2016-03-28 15:22 - 000000407 ____A [4FED6C66502829268459034D6A2D51F6] () C:\Windows\desktop-7ec3qg0\config.txt
2017-10-05 11:11 - 2016-02-07 07:10 - 000000021 ____A [141C4B266FCC6204D7EE7C6EDCCC2D70] () C:\Windows\desktop-7ec3qg0\default.action
2017-10-05 11:11 - 2017-09-20 02:05 - 000000117 ____A [4A44010B8D5F3455F5447ED376294FF4] () C:\Windows\desktop-7ec3qg0\default.filter
2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - http://www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Windows\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A [7198513210A07AB63043FA7A84635AE2] () C:\Windows\desktop-7ec3qg0\uninstall.bat

====== Fin de Folder: ======


Note :
La commande Folder: fonctionne de manière récursive et répertorie le contenu de tous les sous-dossiers. Par conséquent, il pourrait en résulter des rapports gigantesques.




FindFolder:

Voir la fonction Recherche de fichiers dans Autres analyses facultatives. La commande fonctionne de la même manière que FindFolder: dans la zone Rechercher, mais les résultats sont enregistrés dans le fichier Fixlog.txt.

Autres analyses facultatives
  1. Recherche de fichiers




Hosts:

Pour réinitialiser le fichier hosts. Voir aussi Hosts dans la section Analyse principale (FRST.txt).




ListPermissions:

Utilisé pour lister les autorisations sur les fichiers/dossiers/clés mentionnés dans le script.

Code: Tout sélectionner
ListPermissions: chemin/clé


Exemple :
Code: Tout sélectionner
Listpermissions: C:\Windows\Explorer.exe

Listpermissions: C:\users\Utilisateur\appdata

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip

ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd




Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

FRST: Tutoriel - Instructions/Commandes - 2nde partie

Messagede nickW » 30 07 2014


Instructions/Commandes - Suite

Toutes les commandes/instructions dans FRST doivent être sur une seule ligne car FRST traite le script ligne par ligne.

Note :
Les instructions/commandes sont insensibles à la casse.





Move:

Parfois, renommer ou déplacer un fichier, surtout quand cela se passe entre des lecteurs, peut s'avérer compliqué et la commande MS Rename peut échouer. Pour déplacer ou renommer un fichier, utilisez le script suivant :

Code: Tout sélectionner
Move: source destination


Exemple :
Code: Tout sélectionner
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys


L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis déplace le fichier source vers l'emplacement de destination.

Note 1 :
On peut renommer un fichier en utilisant l'instruction Move:.


Note 2 :
Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.





nointegritychecks on:

Ceci s'applique à Windows Vista et versions ultérieures.

Quand la fonction Vérifications d'intégrité est désactivée vous verrez la ligne suivante dans le rapport d'analyse de FRST :

Code: Tout sélectionner
nointegritychecks: ==> Integrity Checks est désactivé <===== ATTENTION!


Cela signifie que le BCD [Magasin de données de configuration de démarrage - Boot Configuration Data] a été modifié de façon à omettre les vérifications d'intégrité au démarrage. Pour activer la fonction Vérifications d'intégrité faites un copier/coller de la ligne ci-dessus dans le fichier fixlist.

Sur certains PCs qui ne démarrent plus, désactiver les vérifications d'intégrité peut permettre de résoudre le problème de démarrage jusqu'à ce qu'on réactive la fonction. Pour désactiver la fonction, pour dépanner ou faire une sauvegarde en mode normal avant de réinstaller Windows, utilisez la syntaxe suivante :

Code: Tout sélectionner
nointegritychecks on:





Powershell:

Pour exécuter des commandes ou des fichiers script PowerShell.

1. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans le fichier Fixlog.txt, la syntaxe est :

Code: Tout sélectionner
Powershell: commande


Exemple :
Code: Tout sélectionner
Powershell: Get-Service


2. Pour exécuter une commande PowerShell indépendante et obtenir le résultat dans un fichier texte (et non dans le fichier Fixlog.txt), utilisez :
Opérateurs de redirection ou
Applet de commande Out-File

Code: Tout sélectionner
Powershell: commande > "Chemin d'accès d'un fichier texte"

Code: Tout sélectionner
Powershell: commande | Out-File "Chemin d'accès d'un fichier texte"


Exemple :
Code: Tout sélectionner
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt


3. Pour exécuter un fichier script (.ps1), préparé à l'avance, contenant une ou plusieurs commandes/lignes PowerShell, la syntaxe est :

Code: Tout sélectionner
Powershell: "Chemin d'accès d'un fichier script"


Exemples :
Code: Tout sélectionner
Powershell: C:\Users\NomUtilisateur\Desktop\script.ps1

Code: Tout sélectionner
Powershell: "C:\Users\Nom Utilisateur\Desktop\script.ps1"



4. Pour exécuter plusieurs commandes/lignes PowerShell comme si elles étaient dans un fichier script (.ps1), mais sans créer de fichier .ps1, utilisez un point-virgule ; pour les séparer, au lieu de retours à la ligne :

Code: Tout sélectionner
Powershell: ligne 1; ligne 2; (et ainsi de suite)


Exemple :
Code: Tout sélectionner
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")


On peut également utiliser les commandes StartPowershell: — EndPowershell: (voir ci-dessous).




Reboot:

Pour forcer un redémarrage.

Peu importe l'endroit où vous placez cette commande dans le fichier fixlist.txt. Même si vous la mettez au début, le redémarrage sera effectué après le traitement de toutes les autres commandes/instructions.

Note :
Cette commande ne fonctionnera pas et n'est pas nécessaire dans l'Environnement de récupération.





Reg:

Pour manipuler le Registre Windows en utilisant l'outil de ligne de commande Reg.

La syntaxe est :
Code: Tout sélectionner
Reg: commande reg


Exemple :
Code: Tout sélectionner
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f


Note :
Contrairement aux instructions natives de FRST, la commande Reg doit respecter la syntaxe correcte de reg.exe, comme l'utilisation des guillemets en cas de présence d'espaces dans le nom de la clé/valeur.


Note :
Cette commande ne traitera pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: décrits précédemment dans le tutoriel.





RemoveDirectory:

Pour supprimer (et non déplacer dans la Quarantaine) des dossiers avec des droits limités et des chemins ou noms invalides. La commande Unlock: est inutile.
Cette commande doit être utilisée pour les dossiers qui résistent à l'opération de déplacement normale. Si elle est utilisée en Mode sans échec, elle sera très puissante, et en mode RE (Environnement de récupération) elle sera extrêmement puissante.

Le script sera :
Code: Tout sélectionner
RemoveDirectory: chemin





RemoveProxy:

Supprime certains paramètres de restriction de stratégie d'Internet Explorer comme "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" et "ProxySettingsPerUser" dans "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings".

Cette commande supprime les valeurs "ProxyEnable" (si elle est définie à 1), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" et "SavedLegacySettings" des clés machine et utilisateur. Elle applique aussi la commande BITSAdmin avec NO_PROXY.

De plus, elle supprime la valeur par défaut de la clé "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" si elle a été modifiée.

Note :
S'il existe un programme ou un service actif qui restaure ces paramètres, le logiciel doit être désinstallé, et le service doit être supprimé, avant d'utiliser la commande. Ceci afin que les paramètres de proxy ne reviennent pas.





Replace:

Pour remplacer un fichier, utilisez le script suivant :

Code: Tout sélectionner
Replace: source destination


Exemple :
Code: Tout sélectionner
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll


L'outil déplace le fichier de destination (s'il existe) vers le dossier Quarantine puis copie le fichier source à l'emplacement de destination.

Il ne déplace pas le fichier source, qui se trouve toujours à son emplacement d'origine. Donc dans l'exemple ci-dessus, le fichier dnsapi.dll est resté dans les dossiers WinSxS. Qu'est-ce que WinSxS

Note :
Le chemin d'accès de destination doit contenir le nom du fichier même si le fichier est actuellement absent du dossier de destination.


Note :
Si le dossier de destination est absent, la commande ne fonctionnera pas. FRST ne reconstruit pas une structure de dossier complète.





Restore From Backup:

La première fois où l'outil est exécuté, il copie les ruches du Registre dans le dossier %SystemDrive%\FRST\Hives (généralement C:\FRST\Hives) en tant que sauvegarde.

Ceci ne sera pas écrasé par les exécutions suivantes de l'outil, sauf si cette sauvegarde date de plus de deux mois. Si quelque chose s'est mal passé, l'une ou l'autre des ruches peut être restaurée. La syntaxe sera :

Code: Tout sélectionner
Restore From Backup: NomRuche


Exemples :
Code: Tout sélectionner
Restore From Backup: software
Restore From Backup: system





RestoreErunt:

Pour restaurer les ruches depuis Erunt, le script serait :

Code: Tout sélectionner
RestoreErunt: chemin


Pour restaurer depuis les sauvegardes créées par CF (ComboFix), le script serait :
Code: Tout sélectionner
RestoreErunt: cf





RestoreMBR:

Pour restaurer le MBR, FRST va utiliser MbrFix qui est enregistré sur la clé USB pour écrire un fichier MBR.bin sur un lecteur.
Ce qui est nécessaire :
  • L'utilitaire MbrFix/MbrFix64
  • Le MBR.bin à restaurer
  • Le script montrant le lecteur

Code: Tout sélectionner
RestoreMbr: Drive=#


Exemple :
Code: Tout sélectionner
RestoreMbr: Drive=0


Note :
Le MBR à restaurer doit être nommé MBR.bin, mis en archive zip et attaché.




RestoreQuarantine:

Pour restaurer l'ensemble du contenu de la quarantaine, ou restaurer un seul fichier ou plusieurs fichiers depuis la quarantaine.

Pour restaurer tout le contenu de la quarantaine, la syntaxe est :

soit :

Code: Tout sélectionner
RestoreQuarantine:

soit :

Code: Tout sélectionner
RestoreQuarantine: C:\FRST\Quarantine


Pour restaurer un fichier ou un dossier, la syntaxe est :

Code: Tout sélectionner
RestoreQuarantine: CheminDansLaQuarantaine


Exemple :
Code: Tout sélectionner
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Utilisateur\Desktop\ANOTB.exe.xBAD


Pour trouver le chemin d'accès dans la quarantaine, vous pouvez utiliser :

soit :
Code: Tout sélectionner
Folder: C:\FRST\Quarantine


soit :
Code: Tout sélectionner
CMD: dir /a/b/s C:\FRST\Quarantine


Note :
Si un fichier existe déjà (hors de la quarantaine) dans l'emplacement de destination, FRST ne l'écrasera pas. Le fichier d'origine ne sera pas déplacé et restera dans la quarantaine. Cependant, si vous devez restaurer le fichier depuis la quarantaine, le fichier présent dans l'emplacement de destination doit au préalable être renommé/supprimé.





SaveMbr:

Voir la section Lecteurs et MBR & Table des partitions dans le tutoriel.

Pour faire une copie du MBR la syntaxe suivante est utilisée :

Code: Tout sélectionner
SaveMbr: Drive=#


Exemple :
Code: Tout sélectionner
SaveMbr: Drive=0


En faisant ceci, un fichier MBRDUMP.txt sera créé sur la clé USB, qui doit être attaché au message par l'utilisateur.

Note :
Bien qu'un vidage du MBR puisse être obtenu en mode normal ou en environnement de récupération (RE), certaines infections sont capables de contrefaire le MBR quand Windows est chargé. Par conséquent, il est conseillé de le faire en environnement de récupération (RE).




SetDefaultFilePermissions:

Commande créée pour les fichiers système verrouillés. Elle définit le groupe "Administrateurs" en tant que propriétaire et selon le système, donne/accorde les droits d'accès aux groupes standard.

Note :
Elle ne définira pas TrustedInstaller en tant que propriétaire, mais cependant elle peut être utilisée pour des fichiers système qui sont verrouillés par le malveillant.


Le script sera :

Code: Tout sélectionner
SetDefaultFilePermissions: chemin





StartBatch:EndBatch:

Pour créer et exécuter un fichier batch.

La syntaxe est :

Code: Tout sélectionner
StartBatch:
Ligne 1
Ligne 2
Etc.
EndBatch:

Le résultat sera inscrit dans le fichier Fixlog.txt.




StartPowershell:EndPowershell:

Une meilleure alternative pour créer et exécuter un fichier PowerShell contenant plusieurs lignes (voir la commande Powershell: précédemment dans le tutoriel).

La syntaxe est :

Code: Tout sélectionner
StartPowershell:
Ligne 1
Ligne 2
Etc.
EndPowershell:

Le résultat sera inscrit dans le fichier Fixlog.txt.




StartRegedit:EndRegedit:

Pour créer et importer un fichier Registre (.reg).

La syntaxe est :

Code: Tout sélectionner
StartRegedit:
fichier en format .reg
EndRegedit:

Inclure l'entête Windows Registry Editor Version 5.00 est facultatif, mais l'entête REGEDIT4 est nécessaire.

Exemple :
Code: Tout sélectionner
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:


Il y aura une ligne de confirmation dans le fichier Fixlog.txt :
Code: Tout sélectionner
====> Registry


Note :
La ligne de confirmation apparaît en dépit d'éventuelles erreurs dans votre fichier .reg.


Note :
Ces commandes ne traiteront pas les clés/valeurs verrouillées ou invalides. Voir les commandes DeleteKey: et DeleteValue: décrits précédemment dans le tutoriel.





TasksDetails:

Liste des détails supplémentaires sur les tâches planifiées relatifs à l'horaire d'exécution.

La syntaxe est :

Code: Tout sélectionner
TasksDetails:


Exemple :
Code: Tout sélectionner
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

Note :
Cette commande n'est pas prise en charge sous Windows XP et ne fonctionne qu'en mode normal.





testsigning on:

Ceci s'applique à Windows Vista et versions ultérieures.

Un malveillant peut parfois ajouter un élément au BCD [Magasin de données de configuration de démarrage - Boot Configuration Data] pour se soustraire aux vérifications d'intégrité au démarrage.

Il faut éliminer le malveillant de la machine puis restaurer le BCD par défaut.

Attention :
Manipuler le BCD est un travail délicat qui, s'il est mal fait, peut empêcher le PC de démarrer.

Lorsque FRST trouve des preuves de ce genre de falsification, il le signalera comme ceci :

Code: Tout sélectionner
testsigning: ==> 'testsigning' est activé. Rechercher un éventuel pilote non signé <===== ATTENTION!


Si le nuisible est toujours présent sur le PC, il y aura aussi un pilote (caché) non signé, listé dans le rapport d'analyse comme ceci :

Code: Tout sélectionner
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()


De plus, l'utilisateur peut dire qu'il a vu ceci sur son Bureau :

"Je viens de remarquer quelque chose, en bas à droite de mon Bureau il est écrit Test Mode, Windows 7, Build 7601. Je n'avais jamais vu ça avant."

Le script complet de nettoyage sera :

Code: Tout sélectionner
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys
testsigning: ==> 'testsigning' est activé. Rechercher un éventuel pilote non signé <===== ATTENTION!


En plus de supprimer le pilote du malveillant, FRST va supprimer la valeur qui a été ajoutée au BCD. Aucune autre action n'est nécessaire.

Parfois cependant d'autres outils auront partiellement nettoyé la machine, mais n'auront pas réparé le BCD. Dans ces cas, on peut utiliser ce qui suit :

Code: Tout sélectionner
testsigning: ==> 'testsigning' est activé. Rechercher un éventuel pilote non signé <===== ATTENTION!


Dans une situation où, après avoir positionné testsigning à sa valeur par défaut (c-à-d désactivé) quelque chose se passe mal, alors pour activer le testsigning pour un nouveau dépannage, utilisez la commande suivante :

Code: Tout sélectionner
testsigning on:





Unlock:

Cette commande, dans le cas de fichiers/dossiers, définit le groupe "Tout le monde" en tant que propriétaire, donne les droits d'accès à Tout le monde, et travaille de façon récursive quand elle s'applique à des dossiers. Elle doit être utilisée pour les fichiers/dossiers nuisibles.

Pour déverrouiller des fichiers système, utilisez la commande
SetDefaultFilePermissions:.

Dans le cas d'éléments du Registre, elle définit le groupe "Administrateurs" en tant que propriétaire, et donne au groupe l'accès normal, et ne fonctionne que sur la clé concernée.

Elle peut être utilisée à la fois sur des clés légitimes et des clés nuisibles.

Le script sera :

Code: Tout sélectionner
Unlock: chemin


Parfois l'opération normale de déplacement ne fonctionne pas à cause des autorisations Vous le remarquerez en voyant "Impossible à déplacer" dans le rapport de correction Fixlog.txt. Dans ce cas vous pouvez utiliser l'instruction "Unlock:" sur ces fichiers ou dossiers.

Exemple :
Code: Tout sélectionner
Unlock: C:\Windows\System32\nuisible.exe


Pour supprimer en même temps le fichier, ajoutez simplement son chemin d'accès sur une ligne séparée dans le script :

Code: Tout sélectionner
Unlock: C:\Windows\System32\nuisible.exe
C:\Windows\System32\nuisible.exe


Vous pouvez utiliser cette commande pour déverrouiller des éléments du Registre lorsqu'ils sont bloqués.

Par exemple si vous exécutez une correction en mode de récupération et si le ControlSet actuel est ControlSet001, ce qui suit pourrait s'appliquer :

Code: Tout sélectionner
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle


Pour supprimer l'élément, utilisez l'instruction Reg:. Le script complet serait :

Code: Tout sélectionner
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle
Reg: reg delete hklm\system\controlset001\mauvaisservice /f


Note :
La commande DeleteKey: peut être utilisée à la place de la combinaison Unlock: et Reg:





VerifySignature:

Pour vérifier la signature numérique d'un fichier :

Code: Tout sélectionner
VerifySignature: chemin


Exemple :
Code: Tout sélectionner
VerifySignature: C:\Windows\notepad.exe





VirusTotal:

Pour vérifier des fichiers avec VirusTotal, FRST va rechercher une analyse antérieure dans la base de données VirusTotal. Un fichier qui n'a jamais été soumis à VirusTotal sera téléchargé pour analyse.

Plusieurs fichiers peuvent être inclus, séparés par des points-virgules.

Code: Tout sélectionner
VirusTotal: chemin d'accès;chemin d'accès


Exemple :
Code: Tout sélectionner
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys

Code: Tout sélectionner
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/analysis/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)


"0-byte MD5" indique qu'un fichier est en cours d'utilisation ou verrouillé ou vide ou le chemin d'accès fait référence à un lien symbolique.




Zip:

Pour mettre des fichiers/dossiers dans une archive nommée Date_Heure.zip, placée sur le Bureau de l'utilisateur, qui pourra ensuite être transférée (upload) manuellement par l'utilisateur.

Dans le cas de fichiers/dossiers ayant le même nom, plusieurs archives seront créées.

Code: Tout sélectionner
Zip: chemin d'accès;chemin d'accès


Autant de fichiers/dossiers que nécessaire peuvent être inclus, séparés par des points-virgules.

Exemple :
Code: Tout sélectionner
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log




Image

Version anglaise : Copyright © 2013-2017 emeraldnzl, picasso - All rights reserved
Traduction française : Copyright © 2013-2017 nickW, chantal11 - Tous droits réservés
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

Suivante

Retourner vers Logithèque

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités