Professional Documents
Culture Documents
Toujours Identifiez-vous
Connexion avec identifiant, mot de
passe et durée de la session
Accueil Aide Team Upload Blog Derniers messages Diplome Tags Contact Donations Identifiez-vous
Inscrivez-vous
Security-X » Forum Security-X » Sécurité Générale » Tutoriels » Tutoriel FRST - Farbar Recovery Scanner Tool
« précédent suivant »
Auteur Sujet: Tutoriel FRST - Farbar Recovery Scanner Tool (Lu 13440 fois)
0 Membres et 1 Invité sur ce sujet
Messages: 22924
Farbar Recovery Scan Tool
Lien 1 | Lien 2
**********************************************************
C e tutoriel a été c réé à l'origine par emeraldnzl de c onc ert avec farbar et
avec l'aimable c oopération de BC (Bleeping C omputer) et G2 G (Geeks to
Go). emeraldnzl s 'es t depuis retiré et maintenant le tutoriel es t mis à jour
et maintenu par pic as s o en c ons ultation avec Farbar.
Cette traduction en français , officielle et autoris ée, a été réalis ée à l'origine par
nickW et es t maintenant s uivie par chantal11. Le s ujet d'origine s e trouve s ur
Geeks to Go.
L'autoris ation de pic as s o et de Farbar es t indis pens able avant toute
utilis ation ou toute c itation de c e tutoriel s ur d'autres s ites . V euillez noter
également que c e tutoriel a été éc rit initialement pour fournir des c ons eils
aux as s is tants qui offrent une aide pour la s uppres s ion des nuis ibles s ur
divers forums .
C lause de non-responsabilité!
C e logiciel est fourni "tel quel" sans aucune garantie d'aucune sorte.
Vous pouvez utiliser ce logiciel à vos propres risques.
C liquez sur Oui pour continuer. C liquez sur Non pour quitter.
Traductions de ce tutoriel
P olonais (picas s o)
Rus s e (Dragokas )
C los eP roc es s es :
C M D:
C opy:
C reateDummy:
C reateRes toreP oint:
DeleteJunc tions I nDirec tory:
DeleteKey: et DeleteV alue:
DeleteQ uarantine:
Dis ableServic e:
E mptyT emp:
E xportKey: et E xportV alue:
File:
Files I nDirec tory: et Folder:
FindFolder:
H os ts :
Lis tP ermis s ions :
M ove:
P owers hell:
Reboot:
Reg:
RemoveDirec tory:
RemoveP roxy:
Replac e:
Res tore From Bac kup:
Res toreE runt:
Res toreM BR:
Res toreQ uarantine:
SaveM br:
SetDefaultFileP ermis s ions :
StartBatc h: - E ndBatc h:
StartP owers hell: - E ndP owers hell:
StartRegedit: - E ndRegedit:
T as ks Details :
tes ts igning on:
U nloc k:
V erifySignature:
V irus T otal:
Zip:
7. Discours en conserve
L e sSecurity-X
Tutoriel FRST - Farbar Recovery
ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Scanner Tool
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
« le: septembre 09, 2013, 20:00:07 »
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Introduction
U n des points forts de FRST es t s a s implic ité. I l es t c onç u pour être fac ile
à utilis er. Les lignes c ontenant des référenc es à des éléments infec tés
peuvent être identifiées , c opiées à partir du rapport d'analys e, c ollées dans
Messages: 22924 le Bloc -notes (notepad) et enregis trées . E ns uite, avec un s imple c lic s ur un
bouton l'outil fera le res te. C ela permet une grande flexibilité, et lors que de
nouvelles infec tions apparais s ent elles peuvent être identifiées et inc lus es
dans un c orrec tif.
Farbar Rec overy Sc an T ool es t c onç u pour être exéc uté s ous les s ys tèmes
d'exploitation Windows XP , Windows V is ta, Windows 7 , Windows 8 et
Windows 1 0 . I l y a deux vers ions , une vers ion 3 2 -bit et une vers ion 6 4 -bit.
********************
Diagnostic
FRST c rée un rapport d'analys e [log] qui c ouvre des zones partic ulières du
s ys tème d'exploitation Windows . C ec i peut être utilis é pour l'analys e
initiale du problème et pour vous donner quelques informations s ur le
s ys tème.
de nouvelles infec tions apparais s ent ou quand il renc ontre des diffic ultés à
identifier le problème s ur s on P C .
FRST met en lis te blanc he les éléments M ic ros oft par défaut dans la
s ec tion Regis tre.
Dans le c as des s ervic es et pilotes , la lis te blanc he c ontient non
s eulement les s ervic es M ic ros oft par défaut, mais aus s i tous les
autres s ervic es et pilotes légitimes .
T out fic hier de s ervic e ou de pilote qui n'a pas de N om d'E ntrepris e
n'es t pas en lis te blanc he.
A uc un programme de s éc urité (A ntivirus ou pare-feu) n'es t en lis te
blanc he.
Le s ervic e SP T D n'es t pas en lis te blanc he.
********************
A s s urez-vous que FRST es t exéc uté avec des privilèges A dminis trateur.
L'outil ne fonc tionnera c orrec tement que s 'il es t lanc é depuis un c ompte
d'utilis ateur ayant c es privilèges A dminis trateur. Si un utilis ateur n'a pas
les privilèges A dminis trateur, vous verrez un avertis s ement à c e s ujet
dans l'entête du fic hier rapport FRST .txt.
U ne rec ommandation générale valable pour tout le monde es t que lors que
vous êtes c onfronté à un rootkit, il es t préférable de n’exéc uter qu’un outil
de c orrec tion à la fois et d'attendre le rés ultat avant d'exéc uter un autre
outil.
I l n'es t pas néc es s aire de c réer une s auvegarde du Regis tre. FRST effec tue
une s auvegarde des ruc hes du Regis tre la première fois où il es t exéc uté.
La s auvegarde s e trouve dans %SystemDrive%\FRST\Hives (dans la
plupart des c as C :\FRST \H ives ). V oir la c ommande Restore From Backup:
pour de plus amples détails .
FRST exis te en plus ieurs langues . Si, dans le c adre d'une as s is tanc e s ur
un forum, les rapports d'analys e vous s ont prés entés dans une langue qui
vous es t totalement étrangère, il es t pos s ible de forc er la c réation de
rapports d'analys e en anglais . P our c e faire, il s uffit de renommer le fic hier
L e s ite internet Sec urity- x.fr utilis
exéc e utable
des c ookies
de FRST. U n(FRST
c ookie es tou
.exe unFRST
fic hier
6 4texte
.exe) sen
toc kéajoutant
lui par votre
le navigateur,
mot qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
English, c omme E nglis hFRST .exe, FRST E nglis h.exe, FRST E nglis h6 4 .exe ou
permettent d'améliorer
E nglis hFRST votre navigation
6 4 .exe. s ur notre
Les rapports s ite. e sOK
d'analys erontL earn
alorsmore
c réés en anglais .
********************
Exécuter FRST
L'utilis ateur reç oit pour c ons igne de téléc harger FRST s ur le Bureau. De là,
il s uffit s implement de faire un double c lic s ur l'ic ône de FRST , ac c epter
l'avertis s ement, et exéc uter FRST . L'ic ône de FRST res s emble à c ec i :
Note: Vous devez utilis er la vers ion qui es t compatible avec le s ys tème de
l'utilis ateur. I l y a une vers ion 32-bit et une vers ion 64-bit. Si vous n'êtes pas
s ûr de la vers ion à employer, demandez à l'utilis ateur de télécharger les deux
vers ions et d'es s ayer de les exécuter. Une s eule d'entre elles fonctionnera s ur le
s ys tème, ce s era la bonne vers ion.
U ne fois que FRST /FRST 6 4 es t ouvert, l'utilis ateur verra une fenêtre
c omme c elle-c i :
Dese cdes
L e s ite internet Sec urity- x.fr utilis opies de c es
c ookies . Urapports
n c ookied'analys e hier
es t un fic s onttexte
s auvegardées
s toc ké par dans
votre navigateur, qui
%SystemDrive%\FRST\Logs
lui permet de c ons erver des informations (dans la
entre les pages internet etplupart
les s esdes
s ionsc as
de, cnavigation.
e s era C:\FRST
C es fic hiers
\Logs).
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
********************
Correction
Cependant FRST es t aus s i très effic ac e pour exéc uter les ins truc tions qui
lui s ont données . Lors que vous appliquez un c orrec tif, s 'il es t demandé de
s upprimer un élément, dans 9 9 % des c as , il le fera. Bien qu'il exis te
c ertains garde-fous intégrés , ils s ont néc es s airement globaux et c onç us
pour ne pas gêner l'élimination de l'infec tion. L'utilis ateur doit être
c ons c ient de c ela. U tilis é à mauvais es c ient (c omme par exemple s i on
demande de s upprimer des fic hiers es s entiels ), l'exéc ution de l'outil peut
avoir pour c ons équenc e d'empêc her l'ordinateur de démarrer.
********************
P réparation du Fixlis t :
2 - Méthode avec ctrl+y : Le rac c ourc i c lavier peut être utilis é pour c réer
et ouvrir automatiquement un fic hier vide à remplir.
Lanc ez FRST , appuyez s ur C trl+y pour ouvrir le fic hier, c ollez le c orrec tif,
appuyez s ur C trl+s pour enregis trer.
Co d e: [Sélectionner]
Start::
contenu du correctif
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
End::
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
L'utilis ateur c opie tout le c ontenu, y c ompris Start:: et End:: et c lique s ur
le bouton C orriger.
********************
Unicode
E xemple :
Co d e: [Sélectionner]
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\Utilisateur\AppData\Ro
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrom
Faites un c opier/c oller des éléments dans une fenêtre ouverte du Bloc -
notes [notepad], s élec tionnez E nregis trer s ous ..., dans la rubrique Codage
s élec tionnez Unicode, donnez le nom fixlis t puis c liquez s ur le bouton
E nregis trer.
Si vous l'enregis trez dans un Bloc -notes normal, s ans s élec tionner
U nic ode, le Bloc -notes émettra un avertis s ement; s i vous pas s ez outre et
enregis trez le fic hier, après fermeture puis réouverture du fic hier, vous
verrez :
Citer
********************
********************
P our empêc her FRST de figer pendant des heures en rais on de s c ripts
inc orrec ts ou d'autres c irc ons tanc es imprévues , le temps total de
l'ens emble de la c orrec tion es t limité à 4 0 minutes .
Les éléments déplac és lors de la c orrec tion s ont c ons ervés dans
%systemdrive%\FRST\Quarantine, dans la plupart des c as c e s era
C:\FRST\Quarantine, jus qu'à la purge finale (c lean up) et la s uppres s ion de
FRST .
********************
Suppression de FRST
P our s upprimer automatiquement tous les fic hiers /dos s iers c réés par FRST
et l'outil lui-même, renommez FRST /FRST 6 4 .exe en uninstall.exe et
exéc utez-le. La proc édure néc es s ite un redémarrage et fonc tionne
uniquement en dehors de l'environnement de réc upération.
**********
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
A nalyse principale
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
P roc es s us
Regis tre
I nternet
Servic es
P ilotes
N etSvc s
U n mois - C réés - fic hiers et dos s iers
U n mois - M odifiés - fic hiers et dos s iers
Fic hiers à la rac ine de c ertains dos s iers
Fic hiers à déplac er ou s upprimer
C ertains fic hiers dans T E M P
C ertains fic hiers /dos s iers de taille zéro oc tet
Bamital & vols nap
Las tRegBac k:
C omptes
C entre de s éc urité
P rogrammes ins tallés
P ers onnalis é C LSI D
T âc hes planifiées
Rac c ourc is & WM I
M odules c hargés
A lternate Data Streams (Flux de Données A dditionnels )
M ode s ans éc hec
A s s oc iation
I nternet E xplorer s ites de c onfianc e/s ens ibles
H os ts c ontenu
A utres zones
M SC O N FI G/T A SK M A N A GE R éléments dés ac tivés
Règles P are-feu
P oints de res tauration
É léments en erreur du Ges tionnaire de périphériques
E rreurs du Journal des événements
I nfos M émoire
Lec teurs
M BR & T able des partitions
A nalyses facultatives
**********
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Analysesvotre
permettent d'améliorer effectuées
navigation dans l'Env
s ur notre s ite.ironnem
OK ent
L earn de
more
récupération :
A nalyse principale
Regis tre
Servic es
P ilotes
N etSvc s
U n mois - C réés - fic hiers et dos s iers
U n mois - M odifiés - fic hiers et dos s iers
Fic hiers à déplac er ou s upprimer
C ertains fic hiers dans T E M P
Known DLLs (DLLs c onnues )
Bamital & vols nap
A s s oc iation
P oints de res tauration
I nfos M émoire
Lec teurs
M BR & T able des partitions
Las tRegBac k:
A nalyses facultatives
.
« Modifié: juin 19, 2017, 11:08:43 par chantal11 » IP archivée
Entête
Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
R ésultats d'analyse de Farbar R ecovery Scan Tool (FR ST.txt) (x64) Version:
lui permet de c ons erver des informations
20-10-2017 entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
Exécuté parvotre navigation
Utilisateur s ur notre
(administrateur) s ite.
sur BUR OK L earn
EAU-3DJ40NK more
(21-10-2017 14:15:41)
Exécuté depuis C :\Users\Utilisateur\Desktop
1 ère ligne : indique s i FRST vers ion 3 2 -bit ou vers ion 6 4 -bit a été exéc uté.
L'identifiant de vers ion de FRST es t aus s i lis té. L'identifiant de vers ion es t
partic ulièrement important. U ne vers ion anc ienne peut ne pas avoir les
fonc tions les plus réc entes .
2 ème ligne : montre quel utilis ateur a exéc uté l'outil, et avec quels droits .
C ec i peut vous indiquer s i l'utilis ateur a les droits requis . La ligne montre
aus s i le nom de l'ordinateur ains i que le jour et l'heure de l'exéc ution de
l'outil. P arfois , un utilis ateur peut par inadvertanc e envoyer un anc ien
rapport d'analys e.
3 ème ligne : vous dit depuis quel emplac ement FRST a été lanc é. C ec i peut
c onc erner les ins truc tions de c orrec tion s i FRST a été exéc uté depuis
ailleurs que le Bureau.
4 ème ligne : vous dit s ous quel c ompte (profil) l'utilis ateur es t c onnec té,
c 'es t-à-dire la ruc he (de Regis tre) utilis ateur c hargée. P uis , entre
parenthès es , "P rofils dis ponibles " lis te tous les profils prés ents s ur le P C ,
y c ompris c eux qui ne s ont pas ac tuellement c hargés .
Note : Lors de la connexion s ous Windows , s eule la ruche utilis ateur de
l'utilis ateur connecté es t chargée. Si l'utilis ateur s e connecte s ous un autre
compte s ans redémarrage (en utilis ant "Changer d'utilis ateur" ou "Fermer la
s es s ion"), la s econde ruche utilis ateur es t chargée mais la première n'es t pas
déchargée. Dans cette s ituation, FRST lis tera les éléments de Regis tre des deux
utilis ateurs , mais ne lis tera pas les éléments de Regis tre relatifs aux autres
utilis ateurs puis que leurs ruches utilis ateur ne s ont pas chargées .
6 ème ligne : vous donne la vers ion d'I nternet E xplorer, ains i que le
navigateur par défaut.
7 ème ligne : vous dit dans quel mode l'analys e a été exéc utée.
Note : Les informations prés entes dans un entête créé dans l'Environnement de
récupération s ont s imilaires , bien que tronquées puis que les profils utilis ateur
ne s ont pas chargés .
Alertes
L e s ite internet Sec urity- x.fr utilis e des c qui peuvent
ookies apparaître
. U n c ookie es t un fic hierdans
texte l'entête
s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
Q uand il y avotre navigation d'amorç
des problèmes s ur notre
age s ite. OKvous
[boot], L earn more
pouvez voir quelque
c hos e c omme "A T T E N T I O N : I mpos s ible de c harger la ruc he Sys tem".
"P ar défaut: C ontrols et0 0 1 " - C ette annonc e vous dit quel C S (C ontrolSet)
s ur le s ys tème es t le C S par défaut. P ourquoi en auriez-vous bes oin ?
N ormalement, vous n'en avez pas bes oin, mais au c as où vous voudriez
parc ourir ou manipuler le C S qui es t c hargé quand Windows a démarré,
alors vous s avez quel C S doit être parc ouru ou manipulé. Faire quoi que c e
s oit s ur un autre C S n'aura auc un effet s ur le s ys tème.
********************
Processus
I l y a deux rais ons pour les quelles vous pourriez vouloir arrêter un
proc es s us . T out d'abord, vous pouvez arrêter un programme de s éc urité qui
pourrait bloquer un c orrec tif. Deuxièmement, vous pouvez arrêter un
proc es s us nuis ible, et ens uite s upprimer le dos s ier ou le fic hier qui lui s ont
as s oc iés .
E xemple :
Citer
Si vous avez un proc es s us nuis ible et s i vous voulez s upprimer le fic hier ou
dos s ier as s oc ié, vous devez inc lure l'élément s éparément dans votre
c orrec tif, c omme c ec i:
E xemple :
Co d e: [Sélectionner]
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot
********************
Registre
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Les éléments du Regis tre (c lés ou valeurs ) qui s ont pris dans un rapport
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
d'analys e FRST et plac és dans un fixlis t afin de les s upprimer, s eront
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
s upprimés . FRST a un puis s ant module de s uppres s ion pour les c lés et les
valeurs . T outes les c lés et valeurs qui rés is tent à la s uppres s ion en rais on
d'autoris ations ins uffis antes ou de c arac tères N ull enc aps ulés (Null
embedded) s eront s upprimées . Si des c lés rés is tent à la s uppres s ion en
rais on d'un "A c c ès refus é", leur s uppres s ion s era planifiée pour être
effec tuée après redémarrage. Les s euls éléments qui ne pourront pas être
s upprimés s ont c eux qui s ont enc ore protégés par un pilote noyau (kernel
driver). C es c lés /valeurs devront être s upprimées après avoir s upprimé ou
dés ac tivé le pilote noyau qui les protège.
C opier et c oller les éléments depuis un rapport d'analys e dans un c orrec tif
provoque dans FRST l'exéc ution s ur la c lé de Regis tre de l'une des deux
ac tions c i-des s ous :
P as bes oin d'un batc h ni d'un c orrec tif-Regis tre. I l en va de même pour
c ertaines autres c lés importantes qui pourraient être détournées par un
malveillant.
Note: FRST ne touche pas aux fichiers que les clés de Regis tre chargent ou
exécutent. Les fichiers à déplacer doivent figurer s éparément avec leur chemin
d'accès complet s ans aucune information s upplémentaire.
Les éléments Run et Runonce, s 'ils s ont c opiés dans le fixlis t, s eront
s upprimés du Regis tre. Les fic hiers qu'ils c hargent ou exéc utent ne s eront
pas s upprimés . Si vous voulez les s upprimer, vous devez les inc lure
s éparément.
P ar exemple, pour s upprimer le mauvais élément Run ains i que le fic hier,
vous devez les inc lure dans le fixlis t c omme c i-des s ous (la première ligne
es t c opiée direc tement depuis le rapport d'analys e) :
Co d e: [Sélectionner]
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-
C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe
Les éléments Image File Execution Options, s 'ils s ont inc lus dans le fixlis t,
s eront s upprimés .
Q uand
L e s ite internet Sec urity- x.fr utilis uncfic
e des hier ou
ookies . Ununc ookie
rac c ourc
es ti un
es tfic
détec
hier té dans
texte le ké
s toc dossier Démarrage,
par votre navigateur, qui
FRST lis te leentre
lui permet de c ons erver des informations fic hier
lesdans
pageslesinternet
éléments 'Startup:'.
et les Si de
s es s ions le fic hier es t unC es fic hiers
navigation.
rac c ourc i, lavotre
permettent d'améliorer lignenavigation
s uivante lis te notre
s ur la c ible du rac
s ite. OKc ourc i (c -à-d
L earn morel'exéc utable
qui es t lanc é par le rac c ourc i) [avec le label 'ShortcutTarget:']. P our
s upprimer le rac c ourc i et le fic hier c ible vous devez inc lure les deux dans
le c orrec tif.
E xemple :
Co d e: [Sélectionner]
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf
ShortcutTarget: runctf.lnk -> C:\Users\Utilisateur\1800947.exe ()
Dans le c as d'un nuis ible qui impos e des c ertific ats non approuvés [en
anglais ] ou des s tratégies de res tric tion logic ielle [en anglais ], vous verrez
des éléments c omme c ec i :
Citer
Citer
P our débloquer les programmes de s éc urité, inc luez les lignes dans le
fixlis t.
Citer
P our les autres s tratégies ou s c ripts , vous verrez une notific ation
générique s ans détails :
Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
GroupPolicy:entre les pages
R estriction ? <=== internet et les s es s ions de navigation. C es fic hiers
= = = = ATTENTION
permettent d'améliorer votre navigation
GroupPolicyScripts: R estriction <s=ur
= =notre
= = = =sATTENTION
ite. OK L earn more
P our réinitialis er les s tratégies , plac ez les lignes dans le fixlis t. FRST va
élaguer les dos s iers de s tratégie de groupe (GroupPolicy) et forc er un
redémarrage.
E xemple :
Co d e: [Sélectionner]
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
La Res tauration s ys tème dés ac tivée par une s tratégie de groupe (Group
Policy) s era s ignalée c omme c ec i :
Citer
********************
Internet
H ormis quelques exc eptions , les éléments c opiés dans le fixlis t s eront
s upprimés . P our les entrées de regis tre impliquant des fic hiers /dos s iers ,
les fic hiers /dos s iers doivent être inc lus s éparément pour être déplac és .
C ela ne s 'applique pas aux entrées des navigateurs (s auf I nternet
E xplorer), voir les des c riptions c i-des s ous pour plus de détails .
■ Winsock
Les éléments Wins oc k qui ne s ont pas dans la lis te par défaut s eront lis tés
dans le rapport d'analys e. Si un élément Catalog5 es t inc lus pour être
c orrigé, FRST va effec tuer une de c es deux ac tions :
Co d e: [Sélectionner]
cmd: netsh winsock reset
S'il res te des éléments C atalog9 pers onnalis és devant être c orrigés , ils
peuvent être ins c rits dans un fixlis t. Dans c e c as , FRST va s upprimer c es
éléments et renuméroter les éléments de la pile (catalog).
Citer
Winsock: -> C atalog5 - Accès internet rompu en raison d'un élément manquant.
< = = = = = ATTENTION.
Winsock: -> C atalog9 - Accès internet rompu en raison d'un élément manquant.
< = = = = = ATTENTION.
■ hosts
S'il y a des éléments pers onnalis és dans le fic hier hos ts , il y aura une ligne
dans la s ec tion I nternet du rapport d'analys e FRST .txt dis ant :
Citer
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
Si le fic hier hos ts n'es t pas trouvé, une ligne s ignalera l'impos s ibilité de le
détec ter [Fichier hos ts non détecté dans le dos s ier par défaut].
P our réinitialis er le fic hier hos ts , c opiez/c ollez s implement la ligne dans le
fixlis t et le fic hier s era réinitialis é. V ous verrez une ligne dans le fic hier
Fixlog.txt c onfirmant la réinitialis ation.
Les éléments Tcpip et les autres éléments , s 'ils s ont inc lus dans le fixlis t,
s eront s upprimés .
Note : Dans le cas d'un piratage de StartMenuI nternet pour I E, FF, Chrome et
Opera. Les éléments par défaut s ont en lis te blanche. Si l'élément apparaît dans
le rapport d'analys e FRST, cela s ignifie qu'un chemin d'accès autre que celui par
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
défaut es t lis té. I l peut ou non y avoir quelque chos e d'erroné à propos du
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
chemin d'accès dans le Regis tre, et cela néces s ite un examen plus approfondi.
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
S'il y a un problème, l'élément peut être inclus dans le fixlis t et l'élément par
défaut s era res tauré dans le Regis tre.
■ Internet Explorer
E xemple :
Citer
HK U\S-1-5-21-1177238915-220523388-1801674531-1003\Softw are\Microsoft\Internet
Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type= hp&
ts= 1416067288&from= adks&uid= WDC XWD2500BEVT-22ZC T0_WD-
WX31A20C 4172C 4172
SearchScopes: HK U\S-1-5-21-1177238915-220523388-1801674531-1003 ->
{33BB0A4E-99AF-4226-BDF6-49120163DE86} UR L = hxxp://isearch.omiga-plus.com
/w eb/?type= ds&ts= 1416067288&from= adks&uid= WDC XWD2500BEVT-22ZC T0_WD-
WX31A20C 4172C 4172&q= {searchTerms}
Les URLSearchHooks, les BHOs (Brows er Helper Objects ), les barres d'outils,
les gestionnaires (Handlers) et les f iltres (Filters) peuvent être c opiés
dans le c orrec tif et les entrées de regis tre s eront s upprimées . Les
fic hiers /dos s iers as s oc iés doivent être inc lus s éparément s 'ils doivent être
déplac és .
E xemple :
Citer
■ Edge
FRST lis te les éléments : H omeButtonP age (bouton d'accueil) s 'il pointe vers
une page pers onnalis ée, Ses s ion Res tore (res taurer la s es s ion) s 'il es t
ac tivé, ains i que les extens ions ins tallées .
Citer
S'ils s ont inc lus dans un fixlis t, les éléments H omeButtonP age et Ses s ion
P our les éléments as s oc iés aux extens ions , s 'ils s ont inc lus dans un
fixlis t, la c lé de Regis tre s era s upprimée et le fic hier s era déplac é.
■ Firefox
FRST lis te les c lés et les profils FF (s i prés ents ), que FF s oit ins tallé ou
non. Q uand il y plus ieurs profils Firefox ou c lones de Firefox, FRST va lis ter
les préférenc es , le fic hier us er.js , les extens ions et les plugins de
rec herc he (SearchPlugins ) de tous les profils . Les profils non-s tandard
ins érés par un nuis ible s ont s ignalés .
Si les préf érences s ont c opiées dans un fixlis t, les valeurs s eront
s upprimées . La fois s uivante où Firefox (ou un c lone de Firefox) s 'ouvrira, il
reviendra aux paramètres par défaut. La lis te de c orrec tion res s emblerait à
c ec i (la ligne es t c opiée/c ollée direc tement depuis le rapport d'analys e) :
Citer
E xemple :
Citer
Les lignes FF Extension et d'autres lignes peuvent être inc lus es dans le
fixlis t, les éléments s eront s upprimés .
Citer
V oir
L e s ite internet Sec urity- x.fr utilis e la
desdes c ription
c ookies . Udes objetsesde
n c ookie stratégie
t un de groupe
fic hier texte (Group
s toc ké Policynavigateur,
par votre Objects - qui
GPO) s ous la
lui permet de c ons erver des informations s ec tion
entre Regis tre
les pages pour plus
internet desdétails
et les es s ions. de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
■ Chrome
FRST lis te les c lés et les profils C hrome (s i prés ents ), que C hrome s oit
ins tallé ou non. Q uand il y a plus ieurs profils , FRST va trouver le dernier
profil utilis é et lis ter les préférenc es de c e profil partic ulier. Les E xtens ions
s ont détec tées dans tous les profils . Les profils non-s tandard ins érés par
un nuis ible s ont s ignalés .
L'analys e des pref erences c omprend les H omeP age (page d'accueil) et
StartupU rls (pages de démarrage) modifiés , l'ac tivation de Ses s ion Res tore
(Res taurer la s es s ion) et c ertains paramètres d'un moteur de rec herc he par
défaut pers onnalis é :
Citer
S'ils s ont ins c rits dans le fixlis t, les éléments H omeP age et StartupU rls
s eront s upprimés . T raiter d'autres éléments aboutira à une réinitialis ation
partielle de C hrome, et l'utilis ateur pourra voir le mes s age s uivant s ur la
page des paramètres C hrome: "C hrome a détec té que c ertains de vos
paramètres ont été c orrompus par un autre programme. Leurs valeurs par
défaut ont été rétablies .".
Citer
U ne exc eption pour une ins tallation d'extens ion s ituée dans le regis tre
(libellée CHR HKLM et HKU). Lors que l'entrée es t inc lus e dans le fixlis t, la
c lé s era s upprimée.
C ertains nuis ibles utilis ent une s tratégie de groupe (Group P olic y) pour
bloquer les modific ations des extens ions ou d'autres fonc tions :
Citer
■ Opera
FRST lis te les c lés et les profils O pera (s i prés ents ), que O pera s oit
ins tallé ou non.
P our l'ins tant, l'analys e s e limite à StartM enuI nternet, StartupU rls ,
Ses s ion Res tore ains i que les extens ions :
Citer
I nc lure un élément "StartupU rls " ou "Ses s ion Res tore"' dans le fixlis t
provoque la s uppres s ion de c et élément.
I nc lure un élément "E xtens ion" dans le fixlis t provoque le déplac ement de
l'extens ion. I nutile d'inc lure le c hemin d'ac c ès s éparément.
P our les navigateurs qui n'apparais s ent pas dans le rapport d'analys e, la
meilleure option es t une dés ins tallation c omplète s uivie d'un redémarrage
et d'une réins tallation.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
********************
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Services et Pilotes
Les Servic es et P ilotes s ont prés entés c omme c ec i :
É tatE xéc ution - la lettre préc édant le c hiffre représ ente l'état d'exéc ution :
R=A c tif
S=A rrêté
U =I ndéterminé.
0 =Boot,
1 =Sys tème,
2 =A utomatique,
3 =M anuel,
4 =Dés ac tivé
5 =A s s igné par FRST quand il es t inc apable de lire le type de démarrage.
Si vous voyez [X] à la fin d'un élément lis té, c ela s ignifie que FRST n'a pas
pu trouver les fic hiers as s oc iés avec le Servic e ou P ilote c onc erné, et qu'il
a lis té à la plac e le I mageP ath ou Servic eDll tel qu'il es t dans le Regis tre.
FRST rec herc he plus ieurs infec tions c onnues et vérifie la s ignature
numérique des fic hiers pour les Servic es et les P ilotes . Si un fic hier n'es t
pas s igné numériquement, c ela s era s ignalé.
E xemple :
Citer
U n fic hier s ys tème M ic ros oft qui n'es t pas s igné doit être remplac é par une
c opie valide. P our c e faire, utilis ez la c ommande Replace:.
Note : La vérification des s ignatures numériques n'es t pas dis ponible dans
l'Environnement de récupération (RE).
E xemple :
L'outil va arrêter tout élément de s ervic e inc lus dans le fixlis t puis
s upprimer la c lé du s ervic e.
Note: FRST s ignalera l'échec ou la réus s ite de l'arrêt de s ervices qui s ont en
cours d'exécution. Peu importe s i le s ervice es t arrêté ou non, FRST es s aie de
s upprimer le s ervice. Quand un s ervice actif es t s upprimé, FRST va informer
l'utilis ateur s ur l'exécution de la correction et la néces s ité d'un redémarrage.
Puis FRST va faire redémarrer le s ys tème. Vous verrez une ligne à la fin du
rapport de correction Fixlog.txt au s ujet de ce redémarrage indis pens able. Si un
s ervice n'es t pas en cours d'exécution, FRST va le s upprimer s ans impos er de
redémarrage.
Citer
Citer
Si c es lignes s ont inc lus es dans le fixlis t, les éléments s eront res taurés à
leur valeur par défaut.
Note: Si FRST ne peut abs olument pas accéder à un s ervice, ce qui s uit s era
imprimé dans le rapport :
Citer
Ceci peut révéler des modifications créées par un rootkit ou une corruption du
Regis tre. I l faut demander l'aide d'un expert afin d'identifier et de rés oudre le
problème.
********************
NetSvcs
Les éléments c onnus c omme légitimes s ont en lis te blanc he. C omme pour
d'autres zones s oumis es à l'analys e et qui ont une lis te blanc he, c ela ne
s ignifie pas que les éléments apparais s ant dans le rapport FRST .txt s ont
tous néfas tes , mais s implement qu'ils doivent être c ontrôlés .
E xemple :
Co d e: [Sélectionner]
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi
********************
C - C ompres s é
D - Dos s ier
H - C ac hé
L - Lien s ymbolique
N - N ormal (pas d'autres attributs définis )
O - H ors ligne
R - Lec ture s eule
S - Sys tème
T - T emporaire
X - N o s c rub (Windows 8 +) - Attribut d'abs ence de fichier de nettoyage
P our s upprimer un fic hier ou un dos s ier de l'une des lis tes "lors du dernier
mois " c opiez/c ollez s implement la totalité de la ligne dans le fixlis t.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre lesvers
Les lignes pointant pages
desinternet et les s es s ions
liens s ymboliques de navigation.
(attribut C es fic hiers
L) s ont gérées
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
c orrec tement.
E xemple :
Co d e: [Sélectionner]
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Lien
Citer
P our c orriger d'autres fic hiers /dos s iers , leur c hemin d'ac c ès doit être
ins c rit dans le fixlis t, les guillemets ne s ont pas néc es s aires pour un
c hemin d'ac c ès c omportant un es pac e :
Co d e: [Sélectionner]
c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible
Si vous avez de nombreux fic hiers avec des noms s imilaires et s i vous
voulez les s upprimer avec un s eul s c ript, le joker * peut être utilis é:
V ous pouvez s oit ins c rire tous les fic hiers c omme c ec i :
Co d e: [Sélectionner]
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
s oit s implement :
Co d e: [Sélectionner]
C:\Windows\Tasks\At*.job
Note: Un caractère "?" (point d'interrogation) s era ignoré pour des rais ons de
s écurité, qu'il s oit un joker ou un caractère de s ubs titution pour un caractère
Unicode (voir le paragraphe Unicode s ous I ntroduction). De plus , les jokers ne
s ont pas pris en charge pour les dos s iers .
********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Fichiersvotre
permettent d'améliorer à déplacer
navigation s urou supprimer
notre s ite. OK L earn more
Les fic hiers lis tés dans c ette s ec tion s ont c eux qui s oit s ont nuis ibles , s oit
s ont plac és dans un mauvais emplac ement.
Des exemples de fic hiers légitimes s ont les fic hiers que les utilis ateurs ont
téléc hargés et enregis trés dans le dos s ier de l'utilis ateur [Us er]. U n autre
exemple es t quand un logic iel tierc e partie légitime lais s e un de s es
fic hiers dans le dos s ier de l'utilis ateur. C 'es t une mauvais e habitude de la
part de n'importe quel fournis s eur de logic iel, et c es fic hiers devraient être
déplac és , même s 'ils s ont légitimes . N ous avons vu de nombreus es
infec tions c ac hant leurs fic hiers fic tifs (apparemment légitimes mais en
réalité des fic hiers malveillants ) dans c e répertoire et les exéc utant à
partir de là.
La faç on de traiter c es fic hiers /dos s iers dans un c orrec tif es t la même que
dans la s ec tion "U n mois - C réés - M odifiés -fic hiers et dos s iers " c i-
des s us .
********************
*******************
Les éléments s ont en lis te blanc he à moins qu'ils ne néc es s itent une
vérific ation.
I l faut f aire attention quand on s 'oc c upe des éléments identifiés dans
c ette s ec tion. Soit un fic hier es t manquant, s oit il s emble avoir été modifié
d'une manière quelc onque. L'aide d'un expert es t rec ommandée pour
s 'as s urer que le fic hier problématique es t c orrec tement identifié et traité
de manière appropriée. Dans la majorité des c as , il exis te s ur le s ys tème
L e s ite internet Sec urity- x.fr utilis e des
un bon ficchier
ookies . U n c ookie
de remplac ementes tqui
un peut
fic hier texte
être s tocavec
trouvé ké par
la votre navigateur,
fonc tion de qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation.
rec herc he de FRST . V oyez la s ec tion I ns truc tions /C ommandes (E xemples C es fic hiers
permettent d'améliorer
d'utilis ation) votre
de c navigation s ur snotre
e tutoriel pour avoirscite.
omment OK L earn more
remplac er un fic hier et la
s ec tion A utres analys es fac ultatives pour s avoir c omment effec tuer une
********************
Des fic hiers s ys tème modifiés peuvent vous alerter s ur une pos s ible
infec tion malveillante. Q uand l'infec tion es t identifiée il faut faire attention
lors des ac tions de réparation. L'aide d'un expert devrait être demandée
c ar la s uppres s ion d'un fic hier s ys tème pourrait empêc her le P C de
démarrer.
Si un fic hier n'a pas une s ignature numérique c orrec te, vous verrez à la
plac e les propriétés du fic hier.
C :\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft C orporation)
5BB42439197E4B3585EF0C 4C C 7411E4E
C :\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft C orporation)
4F1AB9478DA2E252F36970BD4E2C 643E
Dans c e c as , le fic hier doit être remplac é par une c opie valide. U tilis ez la
c ommande Replace:.
Note : La vérification des s ignatures numériques n'es t pas dis ponible dans
l'Environnement de récupération (RE).
Citer
Note : Les pilotes aléatoires du rootkit s ont cachés et ne s eront pas répertoriés
dans la s ection Drivers en mode normal. Pour s upprimer les pilotes et les
fichiers verrouillés , utilis ez le mode de récupération ou un autre outil avec des
fonctionnalités anti-rootkit.
C ertaines
L e s ite internet Sec urity- x.fr utilis e des c vers ions
ookies . U de
n cl'infec
ookie tion SmartServic
es t un e dés
fic hier texte acké
s toc tivent le mode
par votre de
navigateur, qui
réc upération. FRST rec tifie automatiquement la modific ation BC D lors
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
d'une analysvotre
permettent d'améliorer e : navigation s ur notre s ite. OK L earn more
Citer
Citer
safeboot: = = > Le système est configuré pour démarrer en Mode sans échec
< = = = = = ATTENTION
P our c orriger le problème, ins c rivez la ligne c i-des s us dans le fixlis t. FRST
va définir le mode normal c omme mode par défaut et le s ys tème s ortira de
la bouc le.
Note : Ceci s 'applique à Windows Vis ta et aux vers ions ultérieures de Windows .
********************
Association
Note: la s ection "As s ociation" es t dans le fichier FRST.txt quand FRST es t
exécuté dans l'Environnement de récupération. Quand FRST es t exécuté en
dehors de l'Environnement de récupération, la s ection es t dans le fichier
Addition.txt. Dans l'Environnement de récupération, l'analys e s e limite à
l'as s ociation de fichier .exe.
Lis te l'as s oc iation de fic hier .exe (valeur appliquée à la mac hine, H KLM )
c omme c ec i :
Citer
C omme avec les autres éléments du Regis tre, vous pouvez s implement
c opier/c oller les éléments avec le problème dans le fixlis t et ils s eront
rétablis . P as bes oin de c réer des c orrec tifs -Regis tre.
********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Points de
lui permet de c ons erver des informations restauration
entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Note : la s ection "Points de res tauration" es t dans le fichier FRST.txt quand
Note : il n'y a que dans Windows XP que les ruches peuvent être res taurées en
utilis ant FRST. Les points de res tauration lis tés s ur Windows Vis ta et ultérieur
doivent être res taurés depuis l'Environnement de récupération (RE) en utilis ant
les Options de récupération du s ys tème Windows .
P our c orriger, ins c rivez la ligne du point de res tauration que vous voulez
res taurer dans le fixlis t.
P our res taurer les ruc hes à partir du point de res tauration 8 2 (daté de
2 0 1 0 -1 0 -2 4 ) la ligne s era c opiée et c ollée dans le fixlis t, c omme c ec i :
Co d e: [Sélectionner]
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
P our un c orrec tif de res tauration à partir d'un logic iel de s auvegarde
(Ruc hes s auvegardées par FRST , E RU N T ou C F) s ur Windows V is ta et
ultérieur, reportez-vous à la s ec tion I ns truc tions de c e tutoriel.
********************
Infos Mémoire
Note : la s ection "I nfos Mémoire" es t dans le fichier FRST.txt quand FRST es t
exécuté dans l'Environnement de récupération. Quand FRST es t exécuté en
dehors de l'Environnement de récupération, la s ection es t dans le fichier
Addition.txt.
mis à jour). De plus , pour les s ys tèmes 32-bit avec plus de 4 Go de RAM
ins tallés , le montant maximal indiqué ne s era que 4 Go. C'es t une limitation s ur
les applications 32-bit.
********************
É numère les lec teurs fixes et amovibles c onnec tés à la mac hine au
moment de l'analys e. Les volumes non montés s ont identifiés par les
c hemins GU I D du volume.
Citer
Citer
Partition: GPT.
Citer
Disk: 0 (MBR C ode: Window s 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size= 39.1 GB) - (Type= 07 NTFS)
Partition 2: (Not Active) - (Size= 426.7 GB) - (Type= 0F Extended)
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Q uand il y aentre
lui permet de c ons erver des informations une indic ation que
les pages quelque
internet c hos
et les e sne
s es va de
ions pasnavigation.
avec le M BR,
C esune
fic hiers
vérific ation du M BR peut être indiquée. P our c e
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more faire, on doit obtenir un
vidage [dump] du M BR. V oic i c omment :
E xéc utez le c orrec tif s uivant avec FRST en mode quelc onque :
Co d e: [Sélectionner]
SaveMbr: drive=0 (ou numéro de lecteur adéquat)
C e fais ant, un fic hier M BRDU M P .txt s era enregis tré à l'emplac ement à
partir duquel FRST /FRST 6 4 a été exéc uté.
Note : bien qu'un vidage du MBR puis s e être obtenu en mode normal comme en
mode RE, certaines infections du MBR s ont capables de contrefaire le MBR
quand Windows es t chargé. En cons équence, il es t cons eillé de faire ceci dans
l'Environnement de récupération (RE).
********************
LastRegBack:
FRST c herc he dans le s ys tème et lis te la dernière s auvegarde du Regis tre
effec tuée par le s ys tème. La s auvegarde du Regis tre c ontient une
s auvegarde de toutes les ruc hes . C 'es t différent de la s auvegarde LKGC
[Las t Known Good Configuration - Dernière configuration correcte connue] du
C ontrolSet.
I l y a plus ieurs rais ons pour les quelles vous pouvez vouloir utilis er c ette
s auvegarde pour rés oudre un problème, mais fréquemment c 'es t quand une
perte ou une c orruption s 'es t produite.
Citer
Co d e: [Sélectionner]
LastRegBack: >>date<< >>heure<<
E xemple :
Co d e: [Sélectionner]
LastRegBack: 2013-07-02 15:09
.
« Modifié:
L e s ite internet Sec urity- x.fr utilis e des mai 18, 2018,
c ookies . U n16:35:08 part chantal11
c ookie es » texte s toc ké par votre navigateur,
un fic hier IP archivée qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Analyse supplémentaire
(Addition.txt)
Citer
1 ère ligne : indique s i FRST vers ion 3 2 -bit ou vers ion 6 4 -bit a été exéc uté.
L'identifiant de vers ion de FRST es t aus s i lis té.
2 ème ligne : montre quel utilis ateur a exéc uté l'outil, ains i que les date et
heure d'exéc ution.
3 ème ligne : vous dit depuis quel emplac ement FRST a été lanc é.
4 ème ligne : montre la vers ion de Windows ains i que s a date d'ins tallation.
5 ème ligne : vous dit dans quel mode l'analys e a été exéc utée
********************
Comptes
Lis te les c omptes d'utilis ateur s tandard prés ents s ur le s ys tème, dans le
format s uivant :
L e s ite internet Sec urity- x.fr utilis
N om e des
du ccompte
ookiesloc
. Ual
n (SI
c ookie
D dues t un fic hier
c ompte -> P texte s toc- ké
rivilèges A cpar votre ac
tivé/Dés navigateur,
tivé) => qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation.
C hemin du profil. Les noms de c omptes M ic ros oft ne s ont pas affic hés C es. fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
NdT : SI D = Security I Dentifier, identifiant unique de s écurité alphanumérique
E xemple:
Citer
********************
Centre de sécurité
V ous pouvez déc ouvrir que la lis te c ontient des rés idus d'un programme de
s éc urité préc édemment dés ins tallé.
Dans c e c as , la ligne peut être inc lus e dans le fixlis t afin qu'elle s oit
s upprimée.
C ertains programmes de s éc urité (c omme Spybot S&D) empêc hent la
s uppres s ion de l'élément s 'ils ne s ont pas totalement dés ins tallés .
Dans c e c as , au lieu de la c onfirmation de la s uppres s ion, vous verrez dans
le rapport de c orrec tion Fixlog :
Citer
Entrée C entre de sécurité = > L'élément est protégé. Vérifiez que le logiciel est
désinstallé et que ses services sont supprimés.
********************
Programmes installés
Lis te les programmes de bureau c las s iques . Les applic ations "modernes "
ins tallées via Windows Store ou préins tallées s ur Windows 1 0 /8 s ont
exc lues .
FRST a une bas e de données interne qui permet de marquer de nombreux
programmes public itaires /potentiellement indés irables (adware/PUP).
E xemple :
Citer
I l es t fortement c ons eillé de dés ins taller tous les programmes ains i
marqués avant d'exéc uter un programme automatique pour s upprimer les
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
logic iels public
lui permet de c ons erver des informations itaires
entre . Le dés
les pages ins talleur
internet du logic
et les s es siel public
ions itaire s upprime
de navigation. la hiers
C es fic
majorité de s es éléments et annule les modific
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
ations de la c onfiguration.
Dans les c as où des programmes ne s ont pas affic hés dans la lis te des
programmes ins tallés de l'utilis ateur, mais s ont prés ents , FRST va les
lis ter en leur ajoutant une étiquette (Hidden), c omme c ec i :
Citer
Note : Ce correctif ne fait que rendre le programme vis ible, il ne dés ins talle pas
le programme. Le programme devra être dés ins tallé par l'utilis ateur.
********************
Personnalisé CLSID
Lis te les entrées des c las s es pers onnalis ées c réées dans les ruc hes de
Regis tre de l'utilis ateur, ShellI c onO verlayI dentifiers ,
C ontextM enuH andlers et FolderE xtens ions .
E xemples :
Citer
Citer
P our c orriger des éléments nuis ibles , ajoutez-les s implement dans le fixlis t
et FRST va s upprimer les c lés du regis tre. Le fic hier/dos s ier as s oc ié doit
être indiqué s éparément pour être déplac é.
Note : des programmes tiers légitimes peuvent créer un CLSI D pers onnalis é,
donc faites attention et ne s upprimez pas d'élément légitime.
[NdT : CLSI D vient de CLas S I Dentifier, terme utilis é par Micros oft pour
dés igner un "identificateur globalement unique" (GUI D -Globally Unique
I Dentifier).]
********************
Tâches planifiées
Les tâc hes planifiées non en lis te blanc he s ont montrées . Q uand un
élément es t ins c rit dans un fixlis t, la tâc he elle-même es t c orrigée.
E xemple :
Citer
fixlist contenu:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick = >
c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}
\708853146668916958b.exe [2014-07-05] () < = = = = ATTENTION
Task: C :\w indow s\Tasks\FocusPick.job = > c:\programdata\{21428fd3-d588-925d-
2142-28fd3d583f4f}\708853146668916958b.exe < = = = = ATTENTION
*****************
N otez bien que FRST ne fait que s upprimer les éléments du Regis tre et
déplac er le fic hier de la tâc he mais il ne déplace pas l'exécutable.
Si l'exéc utable es t néfas te, il doit être ajouté s ur une ligne dis tinc te dans le
fixlis t afin qu'il s oit déplac é.
Note : un malveillant peut utilis er un exécutable légitime (par exemple, utilis er
s c.exe pour lancer s es propres s ervices ) pour exécuter s on propre fichier.
En d'autres termes , vous devez vérifier l'exécutable pour déterminer s 'il es t
légitime ou non avant d'agir.
********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Raccourcis
lui permet de c ons erver des informations entre et WMIinternet et les s es s ions de navigation. C es fic hiers
les pages
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Les rac c ourc is piratés ou s us pec ts s itués dans le dos s ier utilis ateur de
c elui qui a ouvert la s es s ion et dans le dos s ier rac ine de C :\P rogramData
\M ic ros oft\Windows \M enu Démarrer\P rogrammes [C:\ProgramData\Micros oft
\Windows \Start Menu\Programs ] et C :\U tilis ateurs \P ublic \Bureau [C:\Us ers
\Public\Des ktop] s ont lis tés .
Les éléments peuvent être inc lus dans un fixlis t pour c orrec tion - voir
Shortcut.txt dans Autres analyses f acultatives c i-des s ous .
Note : U ne analys e Shortc ut.txt c ontient tous les rac c ourc is de tous les
utilis ateurs , alors que le rapport d'analys e dans A ddition.txt c ontient
s eulement les rac c ourc is piratés /s us pec ts trouvés dans le profil de
l'utilis ateur ayant ouvert la s es s ion.
Dans le c as d'une infec tion WM I malware qui détourne les rac c ourc is , vous
verrez un avertis s ement c omme c ec i :
Citer
P our s upprimer le s c ript nuis ible, plac ez la ligne c i-des s us dans le fixlis t.
********************
Modules chargés
Les modules c hargés s ont filtrés en fonc tion de la prés enc e d'un N om
d'E ntrepris e. A utrement dit, les éléments s ans N om d'E ntrepris e s ont
lis tés . Gardez c ec i à l'es prit, c ar il pourrait arriver qu'un module nuis ible
ayant un N om d'E ntrepris e ne s oit pas lis té lors de c ette analys e.
********************
Citer
N ote : La taille de l'A DS (nombre d'oc tets qu'il c ontient) es t affic hée entre
c roc hets après le c hemin d'ac c ès .
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Si l'A DS es t s ur un fic hier/dos s ier légitime, la c orrec tion c ons is tera à
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
c opier/c oller la totalité de la ligne depuis le rapport d'analys e dans le
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
fixlis t.
E xemple :
Co d e: [Sélectionner]
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]
********************
********************
********************
********************
E xemple :
Citer
107.178.255.88 w w w .google-analytics.com
107.178.255.88 w w w .statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
********************
Autres zones
C e paragraphe regroupe c ertains éléments analys és par FRST qui ne s ont
pas répertoriés ailleurs . A c tuellement dans c e paragraphe, FRST lis te les
c hemins d'ac c ès de l'arrière-plan du Bureau (P apier peint), les s erveurs
DN S, les paramètres du C ontrôle de c ompte d'utilis ateur (U A C - U s er
A c c ount C ontrol) et l'état du P are-feu Windows .
FRST ne fait que lis ter c es éléments . P our l'ins tant, il n'y a pas de
c orrec tion automatique.
P lus ieurs variantes de nuis ibles c ryptant les fic hiers (c rypto-malware)
utilis ent c e paramètre afin d'affic her un éc ran de demande de ranç on.
E xemple :
Citer
Dans le c as d'un nuis ible, le c hemin d'ac c ès du fic hier peut être plac é dans
un fixlis t, ains i que tous les fic hiers as s oc iés lis tés dans le rapport
d'analys e FRST .txt.
Note : Supprimer le fichier du Papier peint ins tallé par le nuis ible va s upprimer
l'arrière-plan du Bureau.
L'utilis ateur doit re-paramétrer cet arrière-plan du Bureau :
- Sous Windows XP, pour définir l'arrière-plan du Bureau, faites un clic droit
n'importe où s ur le Bureau, chois is s ez Propriétés , cliquez s ur l'onglet Bureau,
s électionnez l'une des images dis ponibles , puis cliquez s ur Appliquer et OK.
- Sous Windows Vis ta et ultérieur, pour définir l'arrière-plan du Bureau, faites
un clic droit n'importe où s ur le Bureau, chois is s ez Pers onnalis er, s électionnez
Arrière-plan du Bureau, s électionnez l'une des images dis ponibles , puis cliquez
s ur OK
Les s erveurs DN S s ont lis tés . C ec i es t utile pour détec ter un piratage
DN S/Routeur.
E xemple :
Citer
Note : La lis te des s erveurs ne provient pas du Regis tre, donc le s ys tème doit
être connecté à internet.
Citer
Dés ac tivé :
Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre
HK LM\SOFTWAR les pages internet
E\Microsoft\Window et les s es s ions de navigation.
s\C urrentVersion\Policies\System => C es fic hiers
permettent d'améliorer votre navigation s0)ur(Cnotre
(C onsentPromptBehaviorAdmin: s ite. OK L earn more
onsentPromptBehaviorUser: 3) (EnableLUA: 0)
I l peut en être ains i parc e que l'utilis ateur a dés ac tivé le C ontrôle de
c ompte d'utilis ateur (U A C ), ou c omme effet s ec ondaire de l'ac tivité d'un
malveillant. A moins qu'il s oit évident que la c aus e es t malveillante, il faut
interroger l'utilis ateur avant de tenter une c orrec tion.
Citer
Citer
E xemple :
Citer
********************
MSC ONFIG\startupfolder: C hemin d'accès d'origine (avec "\" remplacé par "^ " par
Window s) = > C hemin de la sauvegarde créée par Window s.
Note : Windows 8 et ultérieurs utilis ent ms config s eulement pour les s ervices .
Les éléments du démarrage s ont déplacés vers le Ges tionnaire de tâches [Tas k
Manager] qui s tocke les éléments dés activés dans plus ieurs clés . Un élément
dés activé non-abs ent es t lis té deux fois : dans FRST.txt (s ection Regis tre) et
dans Addition.txt.
Les éléments peuvent être inc lus dans un fixlis t afin de les s upprimer.
FRST exéc utera les ac tions c i-des s ous :
- Dans le c as des s ervic es dés ac tivés , FRST va s upprimer la c lé c réée par
M SC O N FI G et le s ervic e lui-même.
- Dans le c as des éléments Run dés ac tivés , FRST va s upprimer la
c lé/valeur c réée par M SC O N FI G/T as k M anager [Ges tionnaire des tâches ].
L'élément Run lui-même s ur les s ys tèmes plus réc ents s era également
s upprimé.
- Dans le c as des éléments dans les dos s iers Démarrage, FRST va
s upprimer la c lé/valeur c réée par M SC O N FI G/T as k M anager [Ges tionnaire
des tâches ] et déplac er la s auvegarde du fic hier c réée par Windows (s ur les
anc iens s ys tèmes ) ou le fic hier lui-même (s ur les s ys tèmes plus réc ents ).
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Important: votre
permettent d'améliorer Ne corrigez un élément
navigation dans
s ur notre cetteOK
s ite. section que
L earn si vous êtes sûr
more
qu'il s'agit d'un élément malveillant. Si vous doutez de la nature de
l'élément, ne le corrigez pas af in d'éviter la suppression d'éléments
********************
Règles Pare-feu
Lis te les règles du pare-feu (FirewallRules ), les applic ations autoris ées
(A uthorizedA pplic ations ), ains i que les ports globalement ouverts
(GloballyO penP orts ).
E xemple (Windows 1 0 ) :
Citer
E xemple (XP ) :
Citer
********************
Lis te les P oints de res tauration dis ponibles dans le format s uivant :
Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
18-04-2016 entre les Window
14:39:58 pagess internet
Update et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
18-04-2016votre navigation
22:04:49 s ur Cnotre
R estore Point reatedsby
ite.FR STOK L earn more
Citer
********************
Citer
Name: bsdriver
Description: bsdriver
C lass Guid: {8EC C 055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not w orking properly, or does not have all its
drivers installed. (C ode 24)
R esolution: The device is installed incorrectly. The problem could be a hardw are failure,
or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.R emove the device, and this error
should be resolved.
********************
********************
Infos Mémoire
Voir Inf os Mémoire précédemment dans le tutoriel.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
********************
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Lecteurs
********************
********************
Messages: 22924
Analyses facultatives
E n c oc hant une c as e s ous "A nalys e fac ultative", FRST va analys er les
éléments demandés .
********************
Liste BCD
Les données du BC D [Magas in de données de configuration de démarrage -
Boot Configuration Data] s ont lis tées ([BCD, en anglais ]).
********************
MD5 Pilotes
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
V a générer une lis te des pilotes avec leur s omme de c ontrôle M D5 qui
permettent d'améliorer
res s embleravotre
à c ecnavigation
i: s ur notre s ite. OK L earn more
Citer
= = = = = = = = = = = = = = = = = = = = = = = = = = MD5 Pilotes
=======================
********************
Shortcut.txt
Lis te tous les types de rac c ourc is de tous les c omptes s tandard. Les
éléments piratés peuvent être inc lus dans le fixlis t afin qu'ils s oient
res taurés ou s upprimés .
E xemple :
Citer
NdT : s ur certains s ys tèmes , les noms apparais s ant dans les chemins d'accès
peuvent être francis és , s elon les équivalences ci-des s ous :
(s ans module complémentaire) <==> (No Add-ons )
Acces s oires <==> Acces s ories
Bureau <==> Des ktop
Menu Démarrer <==> Start Menu
Outils s ys tème <==> Sys tem Tools
Programmes <==> Programs
Notez aus s i que s i vous avez utilis é un autre outil de nettoyage pour s upprimer
l'argument de Internet Explorer (No Add-ons).lnk, FRST ne le lis tera pas
s ous ShortcutWithArgument:, et donc l'argument ne pourra plus être res tauré
avec FRST. Dans ce cas , l'utilis ateur peut res taurer l'argument manuellement.
P our res taurer l'argument manuellement, l'utilis ateur doit aller (via
l'E xplorateur) jus qu'à Internet Explorer (No Add-ons).lnk :
Dans la zone Cible ajouter deux es pac es puis -extof f au c hemin d'ac c ès
affic hé.
********************
Fichiers 90 jours
Si l'option "Fic hiers 9 0 jours " es t c oc hée, FRST lis tera dans le rapport
d'analys e "T rois mois - C réés /M odifiés - fic hiers et dos s iers " au lieu de
"U n mois - C réés /M odifiés - fic hiers et dos s iers ".
********************
Fonctions de recherche
■ Recherche de fichiers
I l y a un bouton C herc her fic hiers dans la fenêtre de programme de FRST .
L e s ite internet Sec urity- x.fr utilis
P oure des c ookies
rec herc . U nfic
her des c ookie
hiers ,es t unpouvez
vous fic hier s texte
ais ir,sou
toccké par votre
opier/c oller,navigateur,
leurs qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation.
noms dans la zone de rec herc he [Chercher:]. Les jokers s ont permis . Si C es fic hiers
permettent d'améliorer
vous avez bes votre
oin navigation
de rec herc sherur notre s ite.fic hier,
plus d'un OK L earn
les more
noms des fic hiers
doivent être s éparés par un point-virgule ;
Co d e: [Sélectionner]
terme;terme
Co d e: [Sélectionner]
*terme*;*terme*
Q uand il a c liqué s ur le bouton C herc her fic hiers , l'utilis ateur es t informé
que la rec herc he es t lanc ée [La recherche es t en cours , veuillez patienter...],
une barre de progres s ion apparaît, puis un mes s age s 'affic he indiquant que
la rec herc he es t terminée [Chercher terminé(e)]. U n fic hier rapport de
rec herc he Search.txt es t enregis tré dans le dos s ier à partir duquel
FRST .exe/FRST 6 4 .exe a été exéc uté.
Les fic hiers trouvés s ont lis tés avec leurs date de c réation, date de
modific ation, taille, attributs , N om d'entrepris e, M D5 , et s ignature
numérique dans le format s uivant :
Citer
Note: La vérification des s ignatures numériques n'es t pas dis ponible dans
l'Environnement de récupération (RE).
La rec herc he de fic hiers es t limitée au lec teur s ys tème. Dans c ertains c as ,
un fic hier s ys tème légitime es t abs ent ou c orrompu, c e qui provoque des
problèmes d'amorç age (boot), et il n'exis te auc un fic hier de remplac ement
s ur le s ys tème. Q uand l'option de rec herc he de fic hiers (C herc her) es t
utilis ée en mode de réc upération (V is ta et ultérieur), la rec herc he inc lut
aus s i les fic hiers dans X: (le lec teur d'amorç age virtuel). Dans c ertains
c as , c ela peut s auver la vie. U n exemple es t l'abs enc e de s ervic es .exe qui
pourrait être c opié de X:\Windows \Sys tem3 2 vers C :\Windows \Sys tem3 2 .
Le bouton "C herc her Fic hiers " peut être utilis é pour effec tuer des
rec herc hes s upplémentaires , voir FindFolder: et SearchAll: c i-des s ous . Les
rés ultats s eront enregis trés dans le journal Searc h.txt.
C ontrairement à une rec herc he de fic hiers , lors qu'on effec tue une
rec herc he dans le Regis tre, l'ajout de jokers dans les termes de rec herc he
doit être évité c ar c es c arac tères jokers s eront interprétés littéralement.
Q uand un joker ("* " ou "?") es t ajouté au début ou à la fin d'un terme de
rec herc he dans le Regis tre, FRST va l'ignorer et rec herc her c e terme de
rec herc he s ans c e c arac tère.
U n fic hier journal SearchReg.txt es t enregis tré dans le dos s ier à partir
duquel FRST /FRST 6 4 a été lanc é.
■ FindFolder:
P our rec herc her un ou plus ieurs dos s iers s ur le lec teur s ys tème,
rens eignez la s yntaxe s uivante dans la zone de rec herc he et appuyez s ur le
bouton "C herc her Fic hiers " :
Co d e: [Sélectionner]
FindFolder: terme;terme
Co d e: [Sélectionner]
FindFolder: *terme*;*terme*
■ SearchAll:
P our effec tuer une rec herc he c omplète (fic hiers , dos s iers , regis tre) pour un
ou plus ieurs termes , entrez la s yntaxe s uivante dans la zone de rec herc he
et appuyez s ur le bouton "C herc her Fic hiers " :
Co d e: [Sélectionner]
SearchAll: terme;terme
.
« Modifié: février 27, 2018, 17:06:09 par chantal11 » IP archivée
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Instructions/Commandes
Toutes les commandes/instructions dans FRST doivent être sur une seule
ligne car FRST traite le script ligne par ligne.
Messages: 22924 Note: Les ins tructions /commandes s ont ins ens ibles à la cas s e.
********************
C los eP roc es s es :
E mptyT emp:
P owers hell:
Reboot:
RemoveP roxy:
StartP owers hell: - E ndP owers hell:
V erifySignature:
V irus T otal:
Zip:
c md:
C opy:
C reateDummy:
DeleteJunc tions I nDirec tory:
DeleteKey: et DeleteV alue:
L e s ite internet Sec urity- x.fr utilis e des uarantine:
DeleteQ c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
Dis ableServic entre
e: les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation
E xportKey: et E xportV alue: s ur notre s ite. OK L earn more
File:
Las tRegBac k
Res toreE runt:
Res tore From Bac kup:
Res toreM br:
Exemples d'utilisation
********************
CloseProcesses:
A rrête tous les proc es s us non es s entiels . C ontribue à rendre la c orrec tion
plus effic ac e et plus rapide.
E xemple :
Co d e: [Sélectionner]
CloseProcesses:
Q uand c ette c ommande es t inc lus e dans un c orrec tif, elle provoquera
automatiquement un redémarrage. I l n'es t pas néc es s aire d'utilis er la
c ommande Reboot:. La c ommande C los eP roc es s es : n'es t pas néc es s aire
ni dis ponible dans l'E nvironnement de réc upération.
********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
CMD:
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
P arfois vous avez bes oin d'exéc uter une c ommande C M D. Dans c e c as
Le s c ript s era :
Citer
C MD: commande
E xemple :
Co d e: [Sélectionner]
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Note : Contrairement aux ins tructions natives ou autres ins tructions de FRST,
les commandes CMD doivent avoir la s yntaxe correcte de cmd.exe, comme
l'utilis ation de guillemets (") en cas de prés ence d'un es pace dans le chemin
d'accès du fichier/dos s ier.
********************
Copy:
P our c opier des fic hiers ou des dos s iers dans un s tyle s imilaire à xc opy.
La s yntaxe es t :
Co d e: [Sélectionner]
Copy: source fichier/dossier destination dossier
Le dos s ier de des tination s era automatiquement c réé (s 'il n'es t pas
prés ent).
E xemple :
Citer
C opy: C :\Users\Utilisateur\AppData\Local\Packages
\Microsoft.MicrosoftEdge_8w ekyb3d8bbw e\AC \MicrosoftEdge\User\Default\DataStore
\Data\nouser1\120712-0049\DBStore\spartan.edb C :\Users\Utilisateur\Desktop\Edge
Backup
C opy: C :\Window s\Minidump F:\
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Note : Pour remplacer des fichiers individuels , il es t recommandé d'utilis er la
commande Replace:
Dans le cas d'un fichier cible exis tant, Copy: es s aie s eulement d'écras er le
fichier, tandis que Replace: tente en outre de déverrouiller et de déplacer le
fichier en quarantaine.
********************
CreateDummy:
C rée un fic hier/dos s ier fac tic e verrouillé pour empêc her la res tauration de
fic hiers nuis ibles . Le dos s ier fac tic e doit être s upprimé après avoir
neutralis é le malware.
La s yntaxe es t :
Co d e: [Sélectionner]
CreateDummy: Chemin
E xemple :
Citer
********************
CreateRestorePoint:
E xemple :
Co d e: [Sélectionner]
CreateRestorePoint:
Note : Cette commande n'es t utilis able qu'en mode normal. Elle ne fonctionnera
pas s i le s ervice de Res tauration s ys tème a été dés activé.
********************
DeleteJunctionsInDirectory:
Citer
DeleteJunctionsInDirectory: C hemin
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
E xemple :
Co d e: [Sélectionner]
********************
DeleteKey: et DeleteValue:
La s ynthaxe es t :
[-clé]
DeleteValue: clé|valeur
DeleteValue: clé|
E xemples :
Co d e: [Sélectionner]
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]
Les c ommandes s ont c apables de s upprimer des c lés /valeurs qui s ont
verrouillées en rais on d’autoris ations ins uffis antes , des c lés /valeurs qui
c ontiennent des c arac tères N U LL inc orporés (embedded-null characters ) et
des liens s ymboliques de regis tre.
La commande Unlock: est inutile.
P our les c lés /valeurs qui s ont protégées par un logic iel en c ours
d’exéc ution (répons e "A c c ès refus é") vous devez utilis er le M ode s ans
éc hec (pour c ontourner le logic iel en c ours d’exéc ution) ou s upprimer les
princ ipaux c ompos ants avant d’utilis er les c ommandes .
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Note : Si la clé
lui permet de c ons erver des informations ins crite
entre pour la
les pages s uppreset
internet s ion
les es t un
s es lien de
s ions de navigation.
Regis tre versC es
unefic hiers
autre clé, la clé
permettent d'améliorer (s ource)
votre qui esstur
navigation le notre
lien s ymbolique
s ite. OK deLRegis earn tre
mores era s upprimée.
La clé cible ne s era pas s upprimée. Ceci es t fait pour éviter de s upprimer à la
fois un mauvais lien s ymbolique de Regis tre qui pourrait pointer vers une clé
légitime et la clé légitime elle-même. Dans le cas où la clé s ource et la clé cible
s ont nuis ibles , les deux doivent être ins crites pour s uppres s ion.
********************
DeleteQuarantine:
Les outils qui déplac ent les fic hiers au lieu de les s upprimer ne doivent pas
être utilis és pour s upprimer %Sys temDrive%\FRST c ar c es outils s e
c ontentent de déplac er les fic hiers dans leur propre dos s ier et ils res teront
quand même s ur le s ys tème.
Note : La dés ins tallation automatique de FRST (voir la des cription dans
I ntroduction) inclut la même pos s ibilité de s uppres s ion d'une quarantaine
verrouillée.
********************
DisableService:
Citer
DisableService: NomService
E xemple :
Co d e: [Sélectionner]
DisableService: sptd
DisableService: Wmware Nat Service
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Note : Le nom du s ervice doit être ins crit comme il apparaît dans le Regis tre ou
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
le rapport d'analys e de FRST, s ans rien ajouter. Par exemple, les guillemets ne
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
s ont pas néces s aires .
********************
EmptyTemp:
********************
ExportKey: et ExportValue:
M oyen plus fiable pour ins pec ter le c ontenu d'une c lé, les c ommandes
permettent de s urmonter c ertaines limitations de regedit.exe et reg.exe.
Les différenc es des c ommandes portent s ur l'export.
E xportKey: lis te toutes les valeurs et les s ous -c lés réc urs ivement, tandis
que E xportV alue: affic he uniquement les valeurs de la c lé.
La s yntaxe es t :
Citer
Citer
ExportValue: clé
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
E xemple :
Co d e: [Sélectionner]
Citer
= = = = = = = = = = = = = = = = = = ExportK ey: = = = = = = = = = = = = = = = = = = =
= = = Fin de ExportK ey = = =
Note : L'export es t des tiné uniquement à des fins de recherche et ne peut pas
être utilis é pour des opérations de s auvegarde et d'importation.
********************
File:
P our vérifier les propriétés d'un fic hier. P lus ieurs fic hiers peuvent être
inc lus , s éparés par des points -virgules .
Citer
File: chemin;chemin
E xemple :
Co d e: [Sélectionner]
File: C:\Users\Utilisateur\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe
Citer
= = = = = = = = = = = = = = = = = = = = = = = = = File: C :\Users\Utilisateur\AppData
\R oaming\Pcregfixer\PC R EGFIXER \background\w mplayer.exe
========================
= = = = = = Fin de File: = = = = = =
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation
Note : La vérification s ur notre
des s ignatures s ite. OKn'esLtearn
numériques pas more
dis ponible dans
l'Environnement de récupération (RE).
********************
FilesInDirectory: et Folder:
P our vérifier le c ontenu d'un dos s ier. Files I nDirec tory: es t des tiné à
répertorier des fic hiers s péc ifiques c orres pondant à un ou plus ieurs
modèles avec joker * , tandis que Folder: es t c onç u pour obtenir le c ontenu
c omplet d'un dos s ier. La s ortie des deux c ommandes inc lut les s ommes de
c ontrôle M D5 .
La s yntaxe es t :
Citer
FilesInDirectory: chemin\modèle;modèle
Citer
Folder: chemin
E xemple :
Co d e: [Sélectionner]
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0
Citer
= = = = = = Fin de Filesindirectory = = = = = =
C :\Window s\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A
[D41D8C D98F00B204E9800998EC F8427E] () C :\Window s\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A
[47D76AB2C 7EBDA69DEBA03B454A9F551] (addzire.com) C :\Window s\desktop-
7ec3qg0\R untimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A
[7198513210A07AB63043FA7A84635AE2] () C :\Window s\desktop-7ec3qg0
\uninstall.bat
= = = = = = Fin de Folder: = = = = = =
********************
FindFolder:
V oir la s ec tion Fonc tions de rec herc he dans A utres analys es fac ultatives .
La c ommande fonc tionne de la même manière que FindFolder: dans la zone
Rec herc her, mais les rés ultats s ont enregis trés dans le fic hier Fixlog.txt.
********************
Hosts:
P our réinitialis er le fic hier hos ts . V oir aus s i hos ts dans la s ec tion Analyse
principale (FRST.txt).
********************
ListPermissions:
U tilis é pour lis ter les autoris ations s ur les fic hiers /dos s iers /c lés
mentionnés dans le s c ript.
Citer
ListPermissions: chemin/clé
E xemple :
Co d e: [Sélectionner]
Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\Utilisateur\appdata
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
********************
Move:
P arfois , renommer ou déplac er un fic hier, s urtout quand c ela s e pas s e entre
des lec teurs , peut s 'avérer c ompliqué et la c ommande M S Rename peut
éc houer. P our déplac er ou renommer un fic hier, utilis ez le s c ript s uivant :
Citer
E xemple :
Co d e: [Sélectionner]
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
L'outil déplac e le fic hier de des tination (s 'il exis te) vers le dos s ier
Q uarantine puis déplac e le fic hier s ourc e vers l'emplac ement de
des tination.
Note 2 : Le chemin d'accès de des tination doit contenir le nom du fichier même
s i le fichier es t actuellement abs ent du dos s ier de des tination.
********************
Powershell:
P our exéc uter des c ommandes ou des fic hiers s c ript P owerShell.
Co d e: [Sélectionner]
Powershell: commande
E xemple :
Citer
Citer
Pow ershell: commande | Out-File "C hemin d'accès d'un fichier texte"
E xemple :
Co d e: [Sélectionner]
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt
3. P our exéc uter un fic hier s c ript (.ps 1 ), préparé à l'avanc e, c ontenant une
ou plus ieurs c ommandes /lignes P owerShell, la s yntaxe es t :
Citer
E xemples :
Co d e: [Sélectionner]
Powershell: C:\Users\NomUtilisateur\Desktop\script.ps1
Co d e: [Sélectionner]
Powershell: "C:\Users\Nom Utilisateur\Desktop\script.ps1"
4. P our exéc uter plus ieurs c ommandes /lignes P owerShell c omme s i elles
étaient dans un fic hier s c ript (.ps 1 ), mais s ans c réer de fic hier .ps 1 ,
utilis ez un point-virgule ; pour les s éparer, au lieu de retours à la ligne :
Co d e: [Sélectionner]
Powershell: ligne 1; ligne 2; (et ainsi de suite)
E xemple :
Citer
********************
Reboot:
********************
Reg:
La s yntaxe es t :
Citer
E xemple :
Co d e: [Sélectionner]
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /
Note : Contrairement aux ins tructions natives de FRST, la commande Reg doit
res pecter la s yntaxe correcte de reg.exe, comme l'utilis ation des guillemets en
cas de prés ence d'es paces dans le nom de la clé/valeur.
********************
RemoveDirectory:
P our s upprimer (et non déplac er dans la Q uarantaine) des dos s iers avec
des droits limités et des c hemins ou noms invalides . La commande Unlock:
est inutile.
C ette c ommande doit être utilis ée pour les dos s iers qui rés is tent à
l'opération de déplac ement normale. Si elle es t utilis ée en M ode s ans
éc hec , elle s era très puis s ante, et en mode RE (E nvironnement de
réc upération) elle s era extrêmement puis s ante.
Le s c ript s era :
Citer
R emoveDirectory: chemin
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
********************
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
RemoveProxy:
Note : S'il exis te un programme ou un s ervice actif qui res taure ces
paramètres , le logiciel doit être dés ins tallé, et le s ervice doit être s upprimé,
avant d'utilis er la commande. Ceci afin que les paramètres de proxy ne
reviennent pas .
********************
Replace:
Citer
E xemple :
Co d e: [Sélectionner]
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.2
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.2
L'outil déplac e le fic hier de des tination (s 'il exis te) vers le dos s ier
Q uarantine puis c opie le fic hier s ourc e à l'emplac ement de des tination.
Note : Le chemin d'accès de des tination doit contenir le nom du fichier même s i
le fichier es t actuellement abs ent du dos s ier de des tination.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
********************
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Restore From Backup:
La première fois où l'outil es t exéc uté, il c opie les ruc hes du Regis tre dans
le dos s ier %SystemDrive%\FRST\Hives (généralement C :\FRST \H ives ) en
tant que s auvegarde.
C ec i ne s era pas éc ras é par les exéc utions s uivantes de l'outil, s auf s i
c ette s auvegarde date de plus de deux mois . Si quelque c hos e s 'es t mal
pas s é, l'une ou l'autre des ruc hes peut être res taurée.
La s yntaxe s era :
Co d e: [Sélectionner]
Restore From Backup: NomRuche
E xemples :
Co d e: [Sélectionner]
Restore From Backup: software
Restore From Backup: system
********************
RestoreErunt:
P our res taurer les ruc hes depuis E runt, le s c ript s erait :
Citer
R estoreErunt: chemin
P our res taurer depuis les s auvegardes c réées par C F (C omboFix), le s c ript
s erait :
Co d e: [Sélectionner]
RestoreErunt: cf
********************
RestoreMbr:
P our res taurer le M BR, FRST va utilis er M brFix qui es t enregis tré s ur la c lé
U SB pour éc rire un fic hier M BR.bin s ur un lec teur. C e qui es t néc es s aire:
l'utilitaire M brFix/M brFix6 4 , le M BR.bin à res taurer et le s c ript montrant le
lec teur :
Citer
R estoreMbr: Drive= #
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
E xemple : entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Co d e: [Sélectionner]
RestoreMbr: Drive=0
(N ote : Le M BR à res taurer doit être nommé M BR.bin, mis en arc hive zip et
attac hé).
********************
RestoreQuarantine:
soit :
Co d e: [Sélectionner]
RestoreQuarantine:
soit :
Co d e: [Sélectionner]
RestoreQuarantine: C:\FRST\Quarantine
Citer
R estoreQuarantine: C heminDansLaQuarantaine
E xemple :
Co d e: [Sélectionner]
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Utilisateur\Desktop\ANOTB.exe.xBAD
soit :
Co d e: [Sélectionner]
Folder: C:\FRST\Quarantine
soit :
Co d e: [Sélectionner]
CMD: dir /a/b/s C:\FRST\Quarantine
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
********************
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
SaveMbr:
Voir la s ection Lecteurs et MBR & Table des partitions dans le tutoriel.
Citer
SaveMbr: Drive= #
E xemple :
Co d e: [Sélectionner]
SaveMbr: Drive=0
E n fais ant c ec i, un fic hier M BRDU M P .txt s era c réé s ur la c lé U SB, qui doit
être attac hé au mes s age par l'utilis ateur.
********************
SetDefaultFilePermissions:
C ommande c réée pour les fic hiers s ys tème verrouillés . E lle définit le
groupe "A dminis trateurs " en tant que propriétaire et s elon le s ys tème,
donne/ac c orde les droits d'ac c ès aux groupes s tandard.
Note : elle ne définira pas Trus tedI ns taller en tant que propriétaire, mais
cependant elle peut être utilis ée pour des fichiers s ys tème qui s ont verrouillés
par le malveillant.
Le s c ript s era :
Citer
SetDefaultFilePermissions: chemin
********************
StartBatch: — EndBatch:
La s yntaxe es t :
Co d e: [Sélectionner]
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
StartBatch: entre les pages internet et les s es s ions de navigation. C es fic hiers
Ligne 1
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Ligne 2
Etc.
EndBatch:
********************
StartPowershell: — EndPowershell:
La s yntaxe es t :
Co d e: [Sélectionner]
StartPowershell:
Ligne 1
Ligne 2
Etc.
EndPowershell:
********************
StartRegedit: — EndRegedit:
La s yntaxe es t :
Co d e: [Sélectionner]
StartRegedit:
fichier en format .reg
EndRegedit:
I nc lure l'entête Windows Registry Editor Version 5.00 es t fac ultatif, mais
l'entête REGEDIT4 es t néc es s aire.
E xemple :
Citer
StartR egedit:
Window s R egistry Editor Version 5.00
dans le tutoriel.
********************
TasksDetails:
La s yntaxe es t :
Citer
TasksDetails:
E xemple :
Co d e: [Sélectionner]
========================= TasksDetails: ========================
UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule
********************
testsigning on:
Note : Pour Windows Vis ta et vers ions ultérieures , non pris en charge s ur les
périphériques avec le démarrage s écuris é (Secure Boot) activé.
L'ac tivation tes ts igning es t une modific ation BC D non définie par défaut,
qui pourrait être introduite par des logic iels malveillants ou des utilis ateurs
qui tentent d'ins taller des pilotes non pris en c harge. Lors que FRST trouve
des preuves de c e genre de fals ific ation, il le s ignalera c omme c ec i :
Citer
testsigning: = = > 'testsigning' est activé. R echercher un éventuel pilote non signé
< = = = = = ATTENTION
I ns pec tez la s ec tion Pilotes à la rec herc he d'un pilote c orres pondant à
l'avertis s ement. Selon la s ituation, inc lure le pilote avec l'avertis s ement ou
l'avertis s ement s eul dans la lis te de c orrec tifs .
Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
testsigning on:
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
********************
Unlock:
C ette c ommande, dans le c as de fic hiers /dos s iers , définit le groupe "T out
le monde" en tant que propriétaire, donne les droits d'ac c ès à T out le
monde, et travaille de faç on réc urs ive quand elle s 'applique à des dos s iers .
E lle doit être utilis ée pour les fic hiers /dos s iers nuis ibles .
P our déverrouiller des fic hiers s ys tème, utilis ez la c ommande
SetDef aultFilePermissions:.
Le s c ript s era :
Citer
Unlock: chemin
P arfois l'opération normale de déplac ement ne fonc tionne pas à c aus e des
autoris ations V ous le remarquerez en voyant "I mpos s ible à déplac er" dans
le rapport de c orrec tion Fixlog.txt. Dans c e c as vous pouvez utilis er
l'ins truc tion "U nloc k:" s ur c es fic hiers ou dos s iers .
E xemple :
Co d e: [Sélectionner]
Unlock: C:\Windows\System32\nuisible.exe
P ar exemple s i vous exéc utez une c orrec tion en mode de réc upération et s i
le C ontrolSet ac tuel es t C ontrolSet0 0 1 , c e qui s uit pourrait s 'appliquer :
Co d e: [Sélectionner]
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle
P our s upprimer l'élément, utilis ez l'ins truc tion Reg:. Le s c ript c omplet
s erait :
Co d e: [Sélectionner]
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle
L e s ite internet Sec urity- x.fr utilis e des
Reg: reg cdelete
ookieshklm\system\controlset001\mauvaisservice
. U n c ookie es t un fic hier texte s toc ké
/f par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Note : La commande DeleteKey: peut être utilis ée à la place de la combinais on
Unlock: et Reg:
********************
VerifySignature:
Citer
VerifySignature: chemin
E xemple :
Co d e: [Sélectionner]
VerifySignature: C:\Windows\notepad.exe
********************
VirusTotal:
P lus ieurs fic hiers peuvent être inc lus , s éparés par des points -virgules .
Co d e: [Sélectionner]
VirusTotal: chemin d'accès;chemin d'accès
E xemple :
Citer
Citer
"0 -byte M D5 " indique qu'un fic hier es t en c ours d'utilis ation ou verrouillé
ou vide ou le c hemin d'ac c ès fait référenc e à un lien s ymbolique.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
********************
Zip:
P our mettre des fic hiers /dos s iers dans une arc hive nommée
Date_Heure.zip, plac ée s ur le Bureau de l'utilis ateur, qui pourra ens uite
être trans férée (upload) manuellement par l'utilis ateur.
Dans le c as de fic hiers /dos s iers ayant le même nom, plus ieurs arc hives
s eront c réées .
Co d e: [Sélectionner]
Zip: chemin d'accès;chemin d'accès
A utant de fic hiers /dos s iers que néc es s aire peuvent être inc lus , s éparés
par des points -virgules .
E xemple :
Citer
********************
Discours en conserve
********************
Messages: 22924
Analyse
E xemple d'ins truc tions (pour l'expert offrant de l'aide) pour que l'utilis ateur
exéc ute FRST en M ode normal - Windows V is ta, 7 , 8 et 1 0 :
Co d e: [Sélectionner]
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
Téléchargez entre les pages internet et les s es s ions de navigation. C es fic hiers
[url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Re
[LIST]
[*]Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en
[*]Cliquez sur le bouton [b]Analyser[/b].
[*]L'outil va créer deux rapports [b]FRST.txt[/b] et [b]Addition.txt[/b] situés dans le dossier de
[*]Copiez et collez ces rapports dans votre réponse.
[/LIST]
E xemple d'ins truc tions pour exéc uter FRST dans l'E nvironnement de
réc upération (RE ) - Windows V is ta et Windows 7 :
Co d e: [Sélectionner]
Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-to
[color=#0000FF][b]Pour entrer dans le menu Options de récupération du système depuis les Options d
[list]
[*]Faites redémarrer l'ordinateur.
[*]Dès que le BIOS est chargé, appuyez sur la touche [b] F8[/b] jusqu'à ce que l'écran Options de
[*]Utilisez les touches flèches pour sélectionner l'élément de menu [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue du clavier, puis cliquez sur [b]Suivant[
[*]Sélectionnez le système d'exploitation que vous voulez réparer, puis cliquez sur [b]Suivant[/b]
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]
[color=#0000FF][b]Dans le menu Options de récupération système vous verrez les options suivantes :
[b]Réparation du démarrage
Restaurer le système
Récupération de l'image système
Diagnostic de mémoire Windows
Invite de commandes[/b]
[/list]
E xemple d'ins truc tions pour exéc uter FRST dans l'E nvironnement de
réc upération (RE ) - Windows 8 et 1 0 :
Co d e: [Sélectionner]
Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-to
[list][*] Dans [b]Paramètres[/b] -> [b]Mise à jour et sécurité[/b] -> [b]Récupération[/b] -> dans
[*] Le système redémarre sur les [b]Options Avancées[/b]
[*] Cliquez sur l'option [b]Dépannage[/b], puis sur [b]Options avancées[/b]
[*] Dans les [b]Options avancées[/b], cliquez sur [b]Invite de commandes[/b]
[*] Le système redémarre
[*] Sélectionnez le [b]Compte Utilisateur [/b]et renseignez le mot de passe, puis cliquez sur [b]C
[*] L'[b]Invite de commandes[/b] s'ouvre
********************
Correction
E xemples d'ins truc tions pour une c orrec tion réalis ée en M ode normal ou
s ans éc hec , c 'es t-à-dire depuis Windows :
Co d e: [Sélectionner]
Téléchargez le fichier attaché [b]fixlist.txt[/b] et enregistrez-le sur le Bureau.
[b][color=#FF0000]AVERTISSEMZNT : Ces lignes ont été écrites spécialement pour cet utilisateur, po
Co d e: [Sélectionner]
[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Copiez la totalité du contenu, de [b]Start::[/b] à [b]End::[/b] de la zone Code ci-dessous ([i]
Start::
.......
End::
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre
[*]Sur le menu les pages
principal internet
de FRST, et les
cliquez une sseule
es s ions
foisde
surnavigation. C es et
[b]Corriger[/b] fic hiers
patientez le temps
permettent d'améliorer
[*]Acceptez votre navigation
le redémarrage du ssystème
ur notre
si sdemandé
ite. OK L earn more
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans votre répon
[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, êt
Co d e: [Sélectionner]
[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Appuyez simultanément sur les touches [b]Ctrl + y[/b]. Un fichier [b]fixlist.txt[/b] s'ouvre
[*]Copiez/collez la totalité du contenu de la zone Code ci-dessous dans ce fichier
start
.........
end
[*]Appuyez simultanément sur les touches [b]Ctrl + s[/b] pour enregistrer, puis refermez le fichie
[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans ta réponse.
[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, êt
E xemple d'ins truc tions pour une c orrec tion réalis ée dans l'E nvironnement
de réc upération (WinRE ) :
Co d e: [Sélectionner]
[list][*] Depuis le PC sain, ouvrez le [b]Bloc-notes[/b] (Démarrer => Tous les programmes => Acces
start
.........
end
Révisions du tutoriel :
. Merci à nickW
« Modifié: février 26, 2018, 17:50:54 par chantal11 » IP archivée
dans A ddition.txt
1 4 /0 6 /2 0 1 7 - E xtens ions C hrome dans le Regis tre : explic ation
c larifiée
0 4 /0 7 /2 0 1 7 - T utoriel allemand mis à jour et inc lus dans la lis te des
traduc tions offic ielles
0 4 /0 7 /2 0 1 7 - A nalys e élargie dans la s ec tion P ers onnalis é C LSI D
0 4 /0 7 /2 0 1 7 - A jout des paramètres SmartSc reen dans A utres zones
0 4 /0 7 /2 0 1 7 - M is e à jour de la des c ription d'I nternet E xplorer
0 4 /0 7 /2 0 1 7 - Divers es s implific ations et modific ations mineures
0 8 /0 7 /2 0 1 7 - Les lignes C H R E xtens ion ne s ont plus traitées dans
le c orrec tif
1 9 /0 8 /2 0 1 7 - M is e à jour des I nformations du T utoriel
1 9 /0 8 /2 0 1 7 - A jout de la c ommande V irus T otal:
1 9 /0 8 /2 0 1 7 - M is e à jour de la c ommande File: pour inc lure
l'analys e V irus T otal
1 9 /0 8 /2 0 1 7 - Réc urs ivité c larifiée pour la c ommande Folder:
1 9 /0 8 /2 0 1 7 - M odific ation de la des c ription des c omptes pour
indiquer que les noms des c omptes M ic ros oft ne s ont pas détec tés
0 5 /1 0 /2 0 1 7 - A jout de la limite de temps du c orrec tif dans la
s ec tion C orrec tion
0 5 /1 0 /2 0 1 7 - A jout de la détec tion des pilotes verrouillés / zéro
oc tets et du mode de réc upération dés ac tivé dans la s ec tion Bamital
et vols nap
0 5 /1 0 /2 0 1 7 - A jout de la c ommande Files I nDirec tory:
0 5 /1 0 /2 0 1 7 - Séparation et mis e à jour des c ommandes File: et
Folder:
1 0 /1 0 /2 0 1 7 - A jout des fonc tionnalités FindFolder: et Searc hA ll: au
bouton "C herc her Fic hiers "
1 0 /1 0 /2 0 1 7 - M is e à jour de la des c ription de la c ommande
FindFolder:
2 1 /1 0 /2 0 1 7 - Remplac ement des exemples d'E ntête FRST .txt et
A ddition.txt pour c ouvrir la détec tion de la vers ion de Windows 1 0
2 4 /1 0 /2 0 1 7 - A jout de l'explic ation pour "C urrentU s erN ame" dans
I ntroduc tion
2 1 /1 0 /2 0 1 7 - Remplac ement des exemples d'E ntête FRST .txt et
A ddition.txt pour c ouvrir la détec tion de la vers ion de Windows 1 0
2 4 /1 0 /2 0 1 7 - A jout de l'explic ation pour "C urrentU s erN ame" dans
I ntroduc tion
2 7 /1 1 /2 0 1 7 - Séparation des des c riptions Fixlis t.txt et C trl+y
Security-X » Forum Security-X » Sécurité Générale » Tutoriels » Tutoriel FRST - Farbar Recovery Scanner Tool
Ce(tte) oeuvre est mise a disposition selon les termes de la Licence Creative Commons Attribution -
Pas d'Utilisation Commerciale - Pas de Modification 3.0 non transposé
Ce site est hébergé par la société OVH
Sitemap XHTML Flux RSS WAP2
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more