Vous êtes sur la page 1sur 83

Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Forum de f ormation à la lutte anti-malware et d'entraide inf ormatique

Bienvenue, Invité. Merci de vous


connecter ou de vous inscrire. Rechercher
Avez-vous perdu votre e-mail
d'activation ?

Toujours Identifiez-vous
Connexion avec identifiant, mot de
passe et durée de la session

Accueil Aide Team Upload Blog Derniers messages Diplome Tags Contact Donations Identifiez-vous
Inscrivez-vous

Security-X » Forum Security-X » Sécurité Générale » Tutoriels » Tutoriel FRST - Farbar Recovery Scanner Tool

« précédent suivant »

Pages: [1] En bas IMPRIMER

Auteur Sujet: Tutoriel FRST - Farbar Recovery Scanner Tool (Lu 13440 fois)
0 Membres et 1 Invité sur ce sujet

chantal11 Tutoriel FRST - Farbar Recovery


Scanner Tool
Admin Formation
« le: septembre 09, 2013, 20:00:07 »
Mega Power Members

Messages: 22924
Farbar Recovery Scan Tool

La dernière version peut être téléchargée depuis:

Lien 1 | Lien 2

Farbar Rec overy Sc an T ool (FRST ) es t un outil de diagnos tic intégrant la


pos s ibilité d'exéc uter des s c ripts [NdT: un "s cript" es t un petit programme,
un ens emble d'ins tructions à exécuter], que l'on prépare au préalable, s ur des
P C s infec tés par des malveillants . I l fonc tionnera aus s i bien en M ode
normal qu'en M ode s ans éc hec , et lors qu'un P C a des problèmes
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
d'amorç age [boot], il fonc tionnera effic ac ement dans l'E nvironnement de
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
réc upération Windows [Windows Recovery Environment - WinRE]. Sa c apac ité
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
à travailler dans l'E nvironnement de réc upération le rend partic ulièrement
utile pour traiter les problèmes liés aux mac hines qui éprouvent des

1 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

diffic ultés lors de l'amorç age.

**********************************************************

Informations sur ce Tutoriel

C e tutoriel a été c réé à l'origine par emeraldnzl de c onc ert avec farbar et
avec l'aimable c oopération de BC (Bleeping C omputer) et G2 G (Geeks to
Go). emeraldnzl s 'es t depuis retiré et maintenant le tutoriel es t mis à jour
et maintenu par pic as s o en c ons ultation avec Farbar.
Cette traduction en français , officielle et autoris ée, a été réalis ée à l'origine par
nickW et es t maintenant s uivie par chantal11. Le s ujet d'origine s e trouve s ur
Geeks to Go.
L'autoris ation de pic as s o et de Farbar es t indis pens able avant toute
utilis ation ou toute c itation de c e tutoriel s ur d'autres s ites . V euillez noter
également que c e tutoriel a été éc rit initialement pour fournir des c ons eils
aux as s is tants qui offrent une aide pour la s uppres s ion des nuis ibles s ur
divers forums .

T raduc tion de l'avertis s ement "Dis c laimer" :


Citer

C lause de non-responsabilité!

C e logiciel est fourni "tel quel" sans aucune garantie d'aucune sorte.
Vous pouvez utiliser ce logiciel à vos propres risques.

L'utilisation de ce logiciel est interdite à des fins commerciales.

Êtes-vous sûr de vouloir continuer?

C liquez sur Oui pour continuer. C liquez sur Non pour quitter.

Traductions de ce tutoriel

Franç ais (nickW - chantal11)

A llemand (myrtille - M-K-D-B)

P olonais (picas s o)

Rus s e (Dragokas )

Table des matières


L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
1. Introduction
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
U nic ode

2 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

2. Zones d'analyse par défaut

3. Analyse principale (FRST.txt)


P roc es s us
Regis tre
I nternet
Servic es et P ilotes
N etSvc s
U n mois - C réés - fic hiers et dos s iers / U n mois - M odifiés - fic hiers
et dos s iers
Fic hiers à déplac er ou s upprimer
C ertains fic hiers dans T E M P
Known DLLs (DLLs connues)
Bamital & vols nap
A s s oc iation
P oints de res tauration
I nfos M émoire
Lec teurs et M BR & T able des partitions
Las tRegBac k

4. Analyse supplémentaire (Addition.txt)


C omptes
C entre de s éc urité
P rogrammes ins tallés
P ers onnalis é C LSI D
T âc hes planifiées
Rac c ourc is et WM I
M odules c hargés
A lternate Data Streams
M ode s ans éc hec
A s s oc iation
I nternet E xplorer s ites de c onfianc e/s ens ibles
H os ts c ontenu
A utres zones
M SC O N FI G/T A SK M A N A GE R éléments dés ac tivés
Règles P are-feu
P oints de res tauration
É léments en erreur du Ges tionnaire de périphériques
E rreurs du Journal des événements
I nfos M émoire
Lec teurs
M BR & T able des partitions

5. Autres analyses facultatives


Lis te BC D
M D5 P ilotes
Shortc ut.txt
Fic hiers 9 0 jours
Rec herc he de fic hiers
............ FindFolder:
............ Searc hA ll:
Reccherc
L e s ite internet Sec urity- x.fr utilis e des ookieshe .dans
U n c le Regis
ookie estre
t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
6. Instructions/Commandes
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

C los eP roc es s es :

3 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

C M D:
C opy:
C reateDummy:
C reateRes toreP oint:
DeleteJunc tions I nDirec tory:
DeleteKey: et DeleteV alue:
DeleteQ uarantine:
Dis ableServic e:
E mptyT emp:
E xportKey: et E xportV alue:
File:
Files I nDirec tory: et Folder:
FindFolder:
H os ts :
Lis tP ermis s ions :
M ove:
P owers hell:
Reboot:
Reg:
RemoveDirec tory:
RemoveP roxy:
Replac e:
Res tore From Bac kup:
Res toreE runt:
Res toreM BR:
Res toreQ uarantine:
SaveM br:
SetDefaultFileP ermis s ions :
StartBatc h: - E ndBatc h:
StartP owers hell: - E ndP owers hell:
StartRegedit: - E ndRegedit:
T as ks Details :
tes ts igning on:
U nloc k:
V erifySignature:
V irus T otal:
Zip:

7. Discours en conserve

Les experts et assistants ayant l'accès peuvent se tenir au courant


des derniers développements de l'outil dans le suj et FRST Discussion
sur BC.

« Modifié: mars 11, 2018, 18:57:37 par chantal11 » Tweet


IP archivée

L e sSecurity-X
Tutoriel FRST - Farbar Recovery
ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Scanner Tool
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
« le: septembre 09, 2013, 20:00:07 »
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

4 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #1 le: septembre 09, 2013,
Mega Power Members
20:00:52 »

Introduction

U n des points forts de FRST es t s a s implic ité. I l es t c onç u pour être fac ile
à utilis er. Les lignes c ontenant des référenc es à des éléments infec tés
peuvent être identifiées , c opiées à partir du rapport d'analys e, c ollées dans
Messages: 22924 le Bloc -notes (notepad) et enregis trées . E ns uite, avec un s imple c lic s ur un
bouton l'outil fera le res te. C ela permet une grande flexibilité, et lors que de
nouvelles infec tions apparais s ent elles peuvent être identifiées et inc lus es
dans un c orrec tif.

Avec quoi il fonctionne

Farbar Rec overy Sc an T ool es t c onç u pour être exéc uté s ous les s ys tèmes
d'exploitation Windows XP , Windows V is ta, Windows 7 , Windows 8 et
Windows 1 0 . I l y a deux vers ions , une vers ion 3 2 -bit et une vers ion 6 4 -bit.

Note: FRST64 n'es t pas conçu pour fonctionner s ur un s ys tème XP 64-bit.

********************

Diagnostic

FRST c rée un rapport d'analys e [log] qui c ouvre des zones partic ulières du
s ys tème d'exploitation Windows . C ec i peut être utilis é pour l'analys e
initiale du problème et pour vous donner quelques informations s ur le
s ys tème.

L'outil es t en c ons tant développement, des évolutions dont une partie


c omprend l'ajout de nouvelles étiquettes d'identific ation de malveillants .
E n c ons équenc e, il es t fortement rec ommandé de le mettre à jour
régulièrement. Si l'ordinateur es t c onnec té à internet il y aura une
rec herc he automatique de mis e à jour lors que FRST es t lanc é. U ne
notific ation apparaîtra et la dernière vers ion pourra alors être téléc hargée.

Q uand une nouvelle infec tion s e prés ente ou s i la mis e à jour es t


L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
impos s ible, par exemple s ans c onnexion internet pour quelque rais on que
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
c e s oit, l'expert doit être au fait des derniers développements dans le
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
domaine des infec tions par malveillant pour pouvoir repérer le problème
dès le début. L'utilis ateur profane devrait demander l'aide d'experts lors que

5 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

de nouvelles infec tions apparais s ent ou quand il renc ontre des diffic ultés à
identifier le problème s ur s on P C .

P ar défaut, c omme de nombreux autres programmes d'analys e, FRST


utilis e des listes blanches (whitelis ting). C ec i permet d'éviter les rapports
d'analys e très longs . Si vous voulez vraiment obtenir un rapport d'analys e
c omplet, vous devez dé-c oc her la c as e c orres pondante dans le paragraphe
Lis teblanc he de l'éc ran de FRST (Regis tre, Servic es , P ilotes , P roc es s us ,
I nternet). A ttendez-vous à un rapport d'analys e très long, qui ne pourra
être envoyé s ur un forum pour analys e que s ous forme de pièc e jointe.

FRST met en lis te blanc he les éléments M ic ros oft par défaut dans la
s ec tion Regis tre.
Dans le c as des s ervic es et pilotes , la lis te blanc he c ontient non
s eulement les s ervic es M ic ros oft par défaut, mais aus s i tous les
autres s ervic es et pilotes légitimes .
T out fic hier de s ervic e ou de pilote qui n'a pas de N om d'E ntrepris e
n'es t pas en lis te blanc he.
A uc un programme de s éc urité (A ntivirus ou pare-feu) n'es t en lis te
blanc he.
Le s ervic e SP T D n'es t pas en lis te blanc he.

********************

Préparation avant utilisation

A s s urez-vous que FRST es t exéc uté avec des privilèges A dminis trateur.
L'outil ne fonc tionnera c orrec tement que s 'il es t lanc é depuis un c ompte
d'utilis ateur ayant c es privilèges A dminis trateur. Si un utilis ateur n'a pas
les privilèges A dminis trateur, vous verrez un avertis s ement à c e s ujet
dans l'entête du fic hier rapport FRST .txt.

Dans c ertains c as un programme de s éc urité peut empêc her l'outil de


pleinement fonc tionner. E n général il n'y aura pas de problème, mais s oyez
c ons c ient de la pos s ibilité que lors qu'une analys e es t demandée un
programme de s éc urité peut empêc her l'exéc ution de l'outil. Lors d'une
c orrec tion, il es t préférable de dés ac tiver des programmes c omme C omodo
qui pourrait empêc her le programme de faire s on travail.

U ne rec ommandation générale valable pour tout le monde es t que lors que
vous êtes c onfronté à un rootkit, il es t préférable de n’exéc uter qu’un outil
de c orrec tion à la fois et d'attendre le rés ultat avant d'exéc uter un autre
outil.

I l n'es t pas néc es s aire de c réer une s auvegarde du Regis tre. FRST effec tue
une s auvegarde des ruc hes du Regis tre la première fois où il es t exéc uté.
La s auvegarde s e trouve dans %SystemDrive%\FRST\Hives (dans la
plupart des c as C :\FRST \H ives ). V oir la c ommande Restore From Backup:
pour de plus amples détails .

FRST exis te en plus ieurs langues . Si, dans le c adre d'une as s is tanc e s ur
un forum, les rapports d'analys e vous s ont prés entés dans une langue qui
vous es t totalement étrangère, il es t pos s ible de forc er la c réation de
rapports d'analys e en anglais . P our c e faire, il s uffit de renommer le fic hier
L e s ite internet Sec urity- x.fr utilis
exéc e utable
des c ookies
de FRST. U n(FRST
c ookie es tou
.exe unFRST
fic hier
6 4texte
.exe) sen
toc kéajoutant
lui par votre
le navigateur,
mot qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
English, c omme E nglis hFRST .exe, FRST E nglis h.exe, FRST E nglis h6 4 .exe ou
permettent d'améliorer
E nglis hFRST votre navigation
6 4 .exe. s ur notre
Les rapports s ite. e sOK
d'analys erontL earn
alorsmore
c réés en anglais .

6 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

Exécuter FRST

L'utilis ateur reç oit pour c ons igne de téléc harger FRST s ur le Bureau. De là,
il s uffit s implement de faire un double c lic s ur l'ic ône de FRST , ac c epter
l'avertis s ement, et exéc uter FRST . L'ic ône de FRST res s emble à c ec i :

Note: Vous devez utilis er la vers ion qui es t compatible avec le s ys tème de
l'utilis ateur. I l y a une vers ion 32-bit et une vers ion 64-bit. Si vous n'êtes pas
s ûr de la vers ion à employer, demandez à l'utilis ateur de télécharger les deux
vers ions et d'es s ayer de les exécuter. Une s eule d'entre elles fonctionnera s ur le
s ys tème, ce s era la bonne vers ion.

U ne fois que FRST /FRST 6 4 es t ouvert, l'utilis ateur verra une fenêtre
c omme c elle-c i :

Q uand FRST a terminé s es analys es , il enregis tre des rapports d'analys e


en format texte (Bloc -notes ) dans le dos s ier à partir duquel FRST /FRST 6 4
a été lanc é. Lors de c haque analys e, un rapport FRST .txt et un rapport
A ddition.txt s ont c réés .

Dese cdes
L e s ite internet Sec urity- x.fr utilis opies de c es
c ookies . Urapports
n c ookied'analys e hier
es t un fic s onttexte
s auvegardées
s toc ké par dans
votre navigateur, qui
%SystemDrive%\FRST\Logs
lui permet de c ons erver des informations (dans la
entre les pages internet etplupart
les s esdes
s ionsc as
de, cnavigation.
e s era C:\FRST
C es fic hiers
\Logs).
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

7 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

Correction

A ttention, Très Important : Farbar Rec overy Sc an T ool es t non invas if


et en mode analys e (Sc an) il ne peut pas nuire à un P C .

Cependant FRST es t aus s i très effic ac e pour exéc uter les ins truc tions qui
lui s ont données . Lors que vous appliquez un c orrec tif, s 'il es t demandé de
s upprimer un élément, dans 9 9 % des c as , il le fera. Bien qu'il exis te
c ertains garde-fous intégrés , ils s ont néc es s airement globaux et c onç us
pour ne pas gêner l'élimination de l'infec tion. L'utilis ateur doit être
c ons c ient de c ela. U tilis é à mauvais es c ient (c omme par exemple s i on
demande de s upprimer des fic hiers es s entiels ), l'exéc ution de l'outil peut
avoir pour c ons équenc e d'empêc her l'ordinateur de démarrer.

Si vous avez des doutes à propos d'un élément quelconque dans


un rapport d'analyse FRST,
demandez toujours l'aide d'un expert avant d'appliquer un
correctif.

FRST dis pos e d'une gamme de c ommandes et c ommutateurs qui peuvent


être utilis és pour manipuler les proc es s us de l'ordinateur et pour rés oudre
les problèmes que vous avez identifiés .

********************

P réparation du Fixlis t :

1 - Méthode f ixlist.txt : P our c orriger les problèmes détec tés , c opiez et


c ollez les lignes du rapport FRST .txt dans un fic hier texte nommé f ixlist.txt
et enregis tré dans le même répertoire où l'outil a été exéc uté.

Note: I l es t important que le Bloc-notes s oit utilis é. La correction ne


fonctionnera pas s i Word ou un autre programme es t utilis é.

2 - Méthode avec ctrl+y : Le rac c ourc i c lavier peut être utilis é pour c réer
et ouvrir automatiquement un fic hier vide à remplir.
Lanc ez FRST , appuyez s ur C trl+y pour ouvrir le fic hier, c ollez le c orrec tif,
appuyez s ur C trl+s pour enregis trer.

3 - Méthode avec le Presse-papier : I ns érer les lignes du c orrec tif entre


Start:: et End:: c omme c ec i :

Co d e: [Sélectionner]
Start::
contenu du correctif
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
End::
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
L'utilis ateur c opie tout le c ontenu, y c ompris Start:: et End:: et c lique s ur

8 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

le bouton C orriger.

********************

Unicode

Pour corriger un élément contenant un(des) caractère(s) Unicode, le


correctif doit être enregistré en f ormat Unicode, s inon les (s ) c arac tère(s )
U nic ode s era(ont) perdu(s ).
Le rac c ourc i Ctrl + y enregis tre le fic hier texte en format U nic ode. M ais s i
le fixlis t.txt es t c réé manuellement, un enc odage approprié doit être c hois i
dans le Bloc -notes (voir c i-des s ous ).

E xemple :

Co d e: [Sélectionner]
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\Utilisateur\AppData\Ro
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrom

Faites un c opier/c oller des éléments dans une fenêtre ouverte du Bloc -
notes [notepad], s élec tionnez E nregis trer s ous ..., dans la rubrique Codage
s élec tionnez Unicode, donnez le nom fixlis t puis c liquez s ur le bouton
E nregis trer.

Si vous l'enregis trez dans un Bloc -notes normal, s ans s élec tionner
U nic ode, le Bloc -notes émettra un avertis s ement; s i vous pas s ez outre et
enregis trez le fic hier, après fermeture puis réouverture du fic hier, vous
verrez :

Citer

S2 ????????t; ??????????????????????????? [X]


C :\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C :\ProgramData\Google
C hrome.lnk.bat

E t FRST s era inc apable de le traiter.

********************

Noms d'utilisateurs manipulés

C ertains utilis ateurs modifient les rapports en s upprimant ou en


remplaç ant un nom d'utilis ateur. P our vous as s urer que les c hemins
d'ac c ès c orrec ts s eront traités dans le c ontexte d'un s eul c ompte c hargé,
vous pouvez remplac er le nom d'utilis ateur potentiellement manipulé dans
les c hemins d'ac c ès avec CurrentUserName. FRST traduira
automatiquement le mot-c lé par un nom d'utilis ateur c orrec t.

L e s ite internet Sec urity- x.fr utilis


Note e des c ookies
: Cette . U nn'es
méthode c ookie
t pasespris
t un fic hier
e en texte
charge s toc
dans ké par votre navigateur,
l'environnement de qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
récupération.
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

9 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

P our empêc her FRST de figer pendant des heures en rais on de s c ripts
inc orrec ts ou d'autres c irc ons tanc es imprévues , le temps total de
l'ens emble de la c orrec tion es t limité à 4 0 minutes .

Les éléments déplac és lors de la c orrec tion s ont c ons ervés dans
%systemdrive%\FRST\Quarantine, dans la plupart des c as c e s era
C:\FRST\Quarantine, jus qu'à la purge finale (c lean up) et la s uppres s ion de
FRST .

P our des informations détaillées s ur la préparation des s c ripts de


c orrec tion, voyez les s ec tions c i-des s ous .

********************

Suppression de FRST

P our s upprimer automatiquement tous les fic hiers /dos s iers c réés par FRST
et l'outil lui-même, renommez FRST /FRST 6 4 .exe en uninstall.exe et
exéc utez-le. La proc édure néc es s ite un redémarrage et fonc tionne
uniquement en dehors de l'environnement de réc upération.

« Modifié: mai 04, 2018, 13:42:46 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #2 le: septembre 09, 2013,
Mega Power Members
20:01:57 »

Zones d'analyse par défaut

Lors de c haque exéc ution hors de l'E nvironnement de réc upération, un


rapport FRST .txt et un rapport A ddition.txt s ont générés . Le rapport
Messages: 22924 A ddition.txt n'es t pas c réé quand FRST es t exéc uté dans l'E nvironnement
de réc upération.

**********

Analyses effectuées en m ode norm al:

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
A nalyse principale
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
P roc es s us

10 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Regis tre
I nternet
Servic es
P ilotes
N etSvc s
U n mois - C réés - fic hiers et dos s iers
U n mois - M odifiés - fic hiers et dos s iers
Fic hiers à la rac ine de c ertains dos s iers
Fic hiers à déplac er ou s upprimer
C ertains fic hiers dans T E M P
C ertains fic hiers /dos s iers de taille zéro oc tet
Bamital & vols nap
Las tRegBac k:

A nalyse supplémentaire (A ddition.txt)

C omptes
C entre de s éc urité
P rogrammes ins tallés
P ers onnalis é C LSI D
T âc hes planifiées
Rac c ourc is & WM I
M odules c hargés
A lternate Data Streams (Flux de Données A dditionnels )
M ode s ans éc hec
A s s oc iation
I nternet E xplorer s ites de c onfianc e/s ens ibles
H os ts c ontenu
A utres zones
M SC O N FI G/T A SK M A N A GE R éléments dés ac tivés
Règles P are-feu
P oints de res tauration
É léments en erreur du Ges tionnaire de périphériques
E rreurs du Journal des événements
I nfos M émoire
Lec teurs
M BR & T able des partitions

A nalyses facultatives

Lis te BC D (Boot C onfiguration Data)


M D5 P ilotes
Shortc ut.txt
A ddition.txt
Fic hiers 9 0 jours

Rec herc he de fic hiers


Rec herc he dans le Regis tre

**********
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Analysesvotre
permettent d'améliorer effectuées
navigation dans l'Env
s ur notre s ite.ironnem
OK ent
L earn de
more
récupération :

11 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

A nalyse principale

Regis tre
Servic es
P ilotes
N etSvc s
U n mois - C réés - fic hiers et dos s iers
U n mois - M odifiés - fic hiers et dos s iers
Fic hiers à déplac er ou s upprimer
C ertains fic hiers dans T E M P
Known DLLs (DLLs c onnues )
Bamital & vols nap
A s s oc iation
P oints de res tauration
I nfos M émoire
Lec teurs
M BR & T able des partitions
Las tRegBac k:

A nalyses facultatives

Lis te BC D (Boot C onfiguration Data)


M D5 P ilotes
Fic hiers 9 0 jours

Rec herc he de fic hiers

.
« Modifié: juin 19, 2017, 11:08:43 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #3 le: septembre 09, 2013,
Mega Power Members
20:02:41 »

Analyse principale (FRST.txt)

Entête

Messages: 22924 V oic i un exemple d'entête :

Citer

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
R ésultats d'analyse de Farbar R ecovery Scan Tool (FR ST.txt) (x64) Version:
lui permet de c ons erver des informations
20-10-2017 entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
Exécuté parvotre navigation
Utilisateur s ur notre
(administrateur) s ite.
sur BUR OK L earn
EAU-3DJ40NK more
(21-10-2017 14:15:41)
Exécuté depuis C :\Users\Utilisateur\Desktop

12 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Administrateur)


Platform: Window s 10 Pro Version 1709 16299.19 (X64) Langue: Français (France)
Internet Explorer Version 11 (Navigateur par défaut: FF)
Mode d'amorçage: Normal
Tutoriel pour Farbar R ecovery Scan Tool: http://w w w .geekstogo.com/forum/topic
/335081-frst-tutorial-how -to-use-farbar-recovery-scan-tool/

La lec ture attentive de l'entête peut être très utile:

1 ère ligne : indique s i FRST vers ion 3 2 -bit ou vers ion 6 4 -bit a été exéc uté.
L'identifiant de vers ion de FRST es t aus s i lis té. L'identifiant de vers ion es t
partic ulièrement important. U ne vers ion anc ienne peut ne pas avoir les
fonc tions les plus réc entes .

2 ème ligne : montre quel utilis ateur a exéc uté l'outil, et avec quels droits .
C ec i peut vous indiquer s i l'utilis ateur a les droits requis . La ligne montre
aus s i le nom de l'ordinateur ains i que le jour et l'heure de l'exéc ution de
l'outil. P arfois , un utilis ateur peut par inadvertanc e envoyer un anc ien
rapport d'analys e.

3 ème ligne : vous dit depuis quel emplac ement FRST a été lanc é. C ec i peut
c onc erner les ins truc tions de c orrec tion s i FRST a été exéc uté depuis
ailleurs que le Bureau.

4 ème ligne : vous dit s ous quel c ompte (profil) l'utilis ateur es t c onnec té,
c 'es t-à-dire la ruc he (de Regis tre) utilis ateur c hargée. P uis , entre
parenthès es , "P rofils dis ponibles " lis te tous les profils prés ents s ur le P C ,
y c ompris c eux qui ne s ont pas ac tuellement c hargés .
Note : Lors de la connexion s ous Windows , s eule la ruche utilis ateur de
l'utilis ateur connecté es t chargée. Si l'utilis ateur s e connecte s ous un autre
compte s ans redémarrage (en utilis ant "Changer d'utilis ateur" ou "Fermer la
s es s ion"), la s econde ruche utilis ateur es t chargée mais la première n'es t pas
déchargée. Dans cette s ituation, FRST lis tera les éléments de Regis tre des deux
utilis ateurs , mais ne lis tera pas les éléments de Regis tre relatifs aux autres
utilis ateurs puis que leurs ruches utilis ateur ne s ont pas chargées .

5 ème ligne : indique l'édition de Windows ins tallée s ur le P C , y c ompris les


mis es à jour majeures (V ers ion et O S Build s ur Windows 1 0 , "M is e à jour"
s ur Windows 8 .1 , Servic e P ac k s ur Windows 7 et vers ions antérieures ),
ains i que la langue utilis ée. C ec i peut vous alerter à propos des mis es à
jour s i les mis es à jour ne s ont pas réc entes .

6 ème ligne : vous donne la vers ion d'I nternet E xplorer, ains i que le
navigateur par défaut.

7 ème ligne : vous dit dans quel mode l'analys e a été exéc utée.

8 ème ligne : lien vers le tutoriel offic iel (en anglais ).

Note : Les informations prés entes dans un entête créé dans l'Environnement de
récupération s ont s imilaires , bien que tronquées puis que les profils utilis ateur
ne s ont pas chargés .

Alertes
L e s ite internet Sec urity- x.fr utilis e des c qui peuvent
ookies apparaître
. U n c ookie es t un fic hierdans
texte l'entête
s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
Q uand il y avotre navigation d'amorç
des problèmes s ur notre
age s ite. OKvous
[boot], L earn more
pouvez voir quelque
c hos e c omme "A T T E N T I O N : I mpos s ible de c harger la ruc he Sys tem".

13 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

C ec i vous dit que la ruc he s ys tem es t manquante. Res taurer la ruc he en


utilis ant LastRegBack: peut être une s olution (voir c i-des s ous ).

"P ar défaut: C ontrols et0 0 1 " - C ette annonc e vous dit quel C S (C ontrolSet)
s ur le s ys tème es t le C S par défaut. P ourquoi en auriez-vous bes oin ?
N ormalement, vous n'en avez pas bes oin, mais au c as où vous voudriez
parc ourir ou manipuler le C S qui es t c hargé quand Windows a démarré,
alors vous s avez quel C S doit être parc ouru ou manipulé. Faire quoi que c e
s oit s ur un autre C S n'aura auc un effet s ur le s ys tème.

********************

Processus
I l y a deux rais ons pour les quelles vous pourriez vouloir arrêter un
proc es s us . T out d'abord, vous pouvez arrêter un programme de s éc urité qui
pourrait bloquer un c orrec tif. Deuxièmement, vous pouvez arrêter un
proc es s us nuis ible, et ens uite s upprimer le dos s ier ou le fic hier qui lui s ont
as s oc iés .

P our arrêter un proc es s us , inc luez la ligne c orres pondante depuis le


rapport d'analys e FRST .

E xemple :

Citer

(Symantec C orporation) C :\Program Files\Norton Security Suite\Engine\5.2.2.3


\ccSvcHst.exe
(IObit) C :\Program Files\IObit\Advanced SystemC are 6\ASC Service.exe

U ne ligne s era c réée dans le fic hier Fixlog.txt avec c et intitulé: N om du


proc es s us => Processus f ermé avec succès

Si vous avez un proc es s us nuis ible et s i vous voulez s upprimer le fic hier ou
dos s ier as s oc ié, vous devez inc lure l'élément s éparément dans votre
c orrec tif, c omme c ec i:

E xemple :

Co d e: [Sélectionner]
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot

********************

Registre

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Les éléments du Regis tre (c lés ou valeurs ) qui s ont pris dans un rapport
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
d'analys e FRST et plac és dans un fixlis t afin de les s upprimer, s eront
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
s upprimés . FRST a un puis s ant module de s uppres s ion pour les c lés et les
valeurs . T outes les c lés et valeurs qui rés is tent à la s uppres s ion en rais on

14 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

d'autoris ations ins uffis antes ou de c arac tères N ull enc aps ulés (Null
embedded) s eront s upprimées . Si des c lés rés is tent à la s uppres s ion en
rais on d'un "A c c ès refus é", leur s uppres s ion s era planifiée pour être
effec tuée après redémarrage. Les s euls éléments qui ne pourront pas être
s upprimés s ont c eux qui s ont enc ore protégés par un pilote noyau (kernel
driver). C es c lés /valeurs devront être s upprimées après avoir s upprimé ou
dés ac tivé le pilote noyau qui les protège.

C opier et c oller les éléments depuis un rapport d'analys e dans un c orrec tif
provoque dans FRST l'exéc ution s ur la c lé de Regis tre de l'une des deux
ac tions c i-des s ous :

Res taurer la c lé par défaut ou


Supprimer la c lé.

Q uand des éléments du rapport relatifs à des valeurs Winlogon (Userinit,


Shell, System), LSA, et AppInit_DLLs s ont c opiés dans le fixlis t, l'outil
res taure les valeurs Windows par défaut.
Note : Avec les valeurs AppI nit_DLLs dans les quelles il y a un chemin d'accès
nuis ible, FRST s upprime ce chemin-là de la valeur AppI nit_DLLs s ans
s upprimer le res te.

P as bes oin d'un batc h ni d'un c orrec tif-Regis tre. I l en va de même pour
c ertaines autres c lés importantes qui pourraient être détournées par un
malveillant.

Note: FRST ne touche pas aux fichiers que les clés de Regis tre chargent ou
exécutent. Les fichiers à déplacer doivent figurer s éparément avec leur chemin
d'accès complet s ans aucune information s upplémentaire.

Les éléments Run et Runonce, s 'ils s ont c opiés dans le fixlis t, s eront
s upprimés du Regis tre. Les fic hiers qu'ils c hargent ou exéc utent ne s eront
pas s upprimés . Si vous voulez les s upprimer, vous devez les inc lure
s éparément.

P ar exemple, pour s upprimer le mauvais élément Run ains i que le fic hier,
vous devez les inc lure dans le fixlis t c omme c i-des s ous (la première ligne
es t c opiée direc tement depuis le rapport d'analys e) :

Co d e: [Sélectionner]
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-
C:\Users\Utilisateur\AppData\Roaming\xF9HhFtI.exe

Dans le c as des c lés Notif y, s i elles figurent dans le fixlis t :


Si elles font partie des c lés par défaut, l'outil res taure les données de la
valeur (DllN ame) as s oc iées à c ette c lé. Si la c lé n'es t pas une c lé par
défaut, elle s era s upprimée.

Les éléments Image File Execution Options, s 'ils s ont inc lus dans le fixlis t,
s eront s upprimés .

Q uand
L e s ite internet Sec urity- x.fr utilis uncfic
e des hier ou
ookies . Ununc ookie
rac c ourc
es ti un
es tfic
détec
hier té dans
texte le ké
s toc dossier Démarrage,
par votre navigateur, qui
FRST lis te leentre
lui permet de c ons erver des informations fic hier
lesdans
pageslesinternet
éléments 'Startup:'.
et les Si de
s es s ions le fic hier es t unC es fic hiers
navigation.
rac c ourc i, lavotre
permettent d'améliorer lignenavigation
s uivante lis te notre
s ur la c ible du rac
s ite. OKc ourc i (c -à-d
L earn morel'exéc utable
qui es t lanc é par le rac c ourc i) [avec le label 'ShortcutTarget:']. P our

15 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

s upprimer le rac c ourc i et le fic hier c ible vous devez inc lure les deux dans
le c orrec tif.

E xemple :

Co d e: [Sélectionner]
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf
ShortcutTarget: runctf.lnk -> C:\Users\Utilisateur\1800947.exe ()

Note : La première ligne ne déplacera que le raccourci. Ajouter la deuxième ligne


déplacera le fichier 1800947.exe. Si vous ne mettez que la deuxième ligne, le
fichier exécutable s era s upprimé mais le raccourci res tera dans le dos s ier
Démarrage. Au prochain démarrage du s ys tème, un mes s age d'erreur apparaîtra
pour s ignaler que le raccourci veut lancer un exécutable mais ne le trouve pas .

Dans le c as d'un nuis ible qui impos e des c ertific ats non approuvés [en
anglais ] ou des s tratégies de res tric tion logic ielle [en anglais ], vous verrez
des éléments c omme c ec i :

Citer

HK LM\ Disallow edC ertificates: AD4C 5429E10F4FF6C 01840C 20ABA344D7401209F


(Avast Antivirus/Softw are) < = = = = ATTENTION

Citer

HK LM Group Policy restriction on softw are: C :\Program Files\AVAST Softw are


< = = = = = = ATTENTION

P our débloquer les programmes de s éc urité, inc luez les lignes dans le
fixlis t.

Note : La détection es t générique et peut entraîner le s ignalement d'autres


éléments légitimes créés pour protéger des infections . Voir: How to manually
create Software Res triction Policies to block rans omware [en anglais ].

FRST détec te aus s i la prés enc e d'objets de s tratégie de groupe (Group


P olic y O bjec ts - GP O [en anglais ]) (Regis try.pol et Sc ripts ), qui peuvent
être détournés par un nuis ible. Les s tratégies Firefox, Google C hrome (voir
les s ec tions des navigateurs c i-des s ous ) et Windows Defender dans le
fic hier Regis try.pol s eront s ignalées individuellement :

Citer

GroupPolicy: R estriction - Window s Defender < = = = = = = = ATTENTION

P our les autres s tratégies ou s c ripts , vous verrez une notific ation
générique s ans détails :

Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
GroupPolicy:entre les pages
R estriction ? <=== internet et les s es s ions de navigation. C es fic hiers
= = = = ATTENTION
permettent d'améliorer votre navigation
GroupPolicyScripts: R estriction <s=ur
= =notre
= = = =sATTENTION
ite. OK L earn more

16 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

P our réinitialis er les s tratégies , plac ez les lignes dans le fixlis t. FRST va
élaguer les dos s iers de s tratégie de groupe (GroupPolicy) et forc er un
redémarrage.

E xemple :
Co d e: [Sélectionner]
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès

Note : La détection es t adaptée à un ordinateur domes tique s tandard s ans


s tratégies configurées , et peut donner lieu au s ignalement d'éléments légitimes
introduits manuellement via gpedit.ms c.

La Res tauration s ys tème dés ac tivée par une s tratégie de groupe (Group
Policy) s era s ignalée c omme c ec i :

Citer

HK LM\Softw are\Policies\Microsoft\Window s NT\SystemR estore:


[DisableSR /DisableC onfig] < = = = = = ATTENTION

I nc lure la ligne dans le fixlis t provoquera la s uppres s ion de la c lé (qui


n'exis te pas par défaut).

Note : FRST génère aus s i un avertis s ement dans le rapport d'analys e


Addition.txt s i la Res tauration s ys tème [SR] es t dés activée, même s i elle n'a
pas été dés activée par une Stratégie de groupe [Group Policy] mais par
l'utilis ateur. Dans ce cas FRST ne fait rien. I l faut cons eiller à l'utilis ateur
d'activer la Res tauration s ys tème. I l n'exis te pas de Stratégie de groupe
empêchant cette activation.

********************

Internet
H ormis quelques exc eptions , les éléments c opiés dans le fixlis t s eront
s upprimés . P our les entrées de regis tre impliquant des fic hiers /dos s iers ,
les fic hiers /dos s iers doivent être inc lus s éparément pour être déplac és .
C ela ne s 'applique pas aux entrées des navigateurs (s auf I nternet
E xplorer), voir les des c riptions c i-des s ous pour plus de détails .

■ Winsock

Les éléments Wins oc k qui ne s ont pas dans la lis te par défaut s eront lis tés
dans le rapport d'analys e. Si un élément Catalog5 es t inc lus pour être
c orrigé, FRST va effec tuer une de c es deux ac tions :

1 . Dans le c as d'éléments par défaut piratés , il va res taurer l'élément par


défaut.
2 .eDans
L e s ite internet Sec urity- x.fr utilis des cle c as d'éléments
ookies . U n c ookiepers
es t onnalis és ,texte
un fic hier il va ssupprimer
toc ké parl'élément et
votre navigateur, qui
lui permet de c ons erver des informations
renuméroterentre les pagesdeinternet
les éléments et les s es s ions de navigation. C es fic hiers
la pile (catalog).
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Q uand des éléments Catalog9 doivent être c orrigés , il es t c ons eillé

17 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

d'utilis er "nets h wins oc k res et" :

Co d e: [Sélectionner]
cmd: netsh winsock reset

S'il res te des éléments C atalog9 pers onnalis és devant être c orrigés , ils
peuvent être ins c rits dans un fixlis t. Dans c e c as , FRST va s upprimer c es
éléments et renuméroter les éléments de la pile (catalog).

Attention: une rupture de la chaîne empêchera le PC de s e connecter à I nternet.

U ne rupture de c onnexion internet due à l'abs enc e d'éléments Wins oc k


s era s ignalée s ur le rapport d'analys e c omme c ec i :

Citer

Winsock: -> C atalog5 - Accès internet rompu en raison d'un élément manquant.
< = = = = = ATTENTION.
Winsock: -> C atalog9 - Accès internet rompu en raison d'un élément manquant.
< = = = = = ATTENTION.

P our c orriger le problème, l'élément peut être c opié dans le fixlis t.

■ hosts

S'il y a des éléments pers onnalis és dans le fic hier hos ts , il y aura une ligne
dans la s ec tion I nternet du rapport d'analys e FRST .txt dis ant :

Citer

Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt

Si le fic hier hos ts n'es t pas trouvé, une ligne s ignalera l'impos s ibilité de le
détec ter [Fichier hos ts non détecté dans le dos s ier par défaut].

P our réinitialis er le fic hier hos ts , c opiez/c ollez s implement la ligne dans le
fixlis t et le fic hier s era réinitialis é. V ous verrez une ligne dans le fic hier
Fixlog.txt c onfirmant la réinitialis ation.

■ Tcpip et autres entrées

Les éléments Tcpip et les autres éléments , s 'ils s ont inc lus dans le fixlis t,
s eront s upprimés .

Note : Dans le cas d'un piratage de StartMenuI nternet pour I E, FF, Chrome et
Opera. Les éléments par défaut s ont en lis te blanche. Si l'élément apparaît dans
le rapport d'analys e FRST, cela s ignifie qu'un chemin d'accès autre que celui par
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
défaut es t lis té. I l peut ou non y avoir quelque chos e d'erroné à propos du
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
chemin d'accès dans le Regis tre, et cela néces s ite un examen plus approfondi.
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
S'il y a un problème, l'élément peut être inclus dans le fixlis t et l'élément par
défaut s era res tauré dans le Regis tre.

18 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

■ Internet Explorer

P our les pages du navigateur, moteurs de recherche (SearchScopes) et


d'autres entrées n'impliquant pas de fic hiers /dos s iers : en fonc tion du type
d'objet, FRST s upprime les éléments du regis tre ou rétablit leur état par
défaut.

E xemple :

Citer

HK U\S-1-5-21-1177238915-220523388-1801674531-1003\Softw are\Microsoft\Internet
Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type= hp&
ts= 1416067288&from= adks&uid= WDC XWD2500BEVT-22ZC T0_WD-
WX31A20C 4172C 4172
SearchScopes: HK U\S-1-5-21-1177238915-220523388-1801674531-1003 ->
{33BB0A4E-99AF-4226-BDF6-49120163DE86} UR L = hxxp://isearch.omiga-plus.com
/w eb/?type= ds&ts= 1416067288&from= adks&uid= WDC XWD2500BEVT-22ZC T0_WD-
WX31A20C 4172C 4172&q= {searchTerms}

Les URLSearchHooks, les BHOs (Brows er Helper Objects ), les barres d'outils,
les gestionnaires (Handlers) et les f iltres (Filters) peuvent être c opiés
dans le c orrec tif et les entrées de regis tre s eront s upprimées . Les
fic hiers /dos s iers as s oc iés doivent être inc lus s éparément s 'ils doivent être
déplac és .

E xemple :

Citer

BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C :\Program


Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C :\Program
Files\shopperz\Gaalmi.dll [2015-08-05] ()
C :\Program Files\shopperz

■ Edge

FRST lis te les éléments : H omeButtonP age (bouton d'accueil) s 'il pointe vers
une page pers onnalis ée, Ses s ion Res tore (res taurer la s es s ion) s 'il es t
ac tivé, ains i que les extens ions ins tallées .

Citer

Edge HomeButtonPage: HK U\S-1-5-21-3306840180-458517910-2511866134-1001 ->


hxxp://w w w .istartsurf.com/?type= hp&ts= 1439478262&
z= 019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from= obw &
uid= C rucialXC T250MX200SSD1_1528100C 4588100C 4588
Edge Session R estore: HK U\S-1-5-21-3306840180-458517910-2511866134-1001 ->
est activé.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 = >
L e s ite internet Sec urity- x.fr utilisC e
:\Program Files\Window
des c ookies sApps es t un fic hier texte s toc ké par votre navigateur, qui
. U n c ookie
\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

S'ils s ont inc lus dans un fixlis t, les éléments H omeButtonP age et Ses s ion

19 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Res tore s eront s upprimés du Regis tre.

P our les éléments as s oc iés aux extens ions , s 'ils s ont inc lus dans un
fixlis t, la c lé de Regis tre s era s upprimée et le fic hier s era déplac é.

■ Firefox

FRST lis te les c lés et les profils FF (s i prés ents ), que FF s oit ins tallé ou
non. Q uand il y plus ieurs profils Firefox ou c lones de Firefox, FRST va lis ter
les préférenc es , le fic hier us er.js , les extens ions et les plugins de
rec herc he (SearchPlugins ) de tous les profils . Les profils non-s tandard
ins érés par un nuis ible s ont s ignalés .

Si les préf érences s ont c opiées dans un fixlis t, les valeurs s eront
s upprimées . La fois s uivante où Firefox (ou un c lone de Firefox) s 'ouvrira, il
reviendra aux paramètres par défaut. La lis te de c orrec tion res s emblerait à
c ec i (la ligne es t c opiée/c ollée direc tement depuis le rapport d'analys e) :

Citer

FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default ->


hxxp://w w w .nicesearches.com?type= hp&amp;ts= 1476183215&amp;
from= 3a211011&amp;uid= st500dm002-1bd142_z2aet08txxxxz2aet08t&amp;
z= 0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default ->
hxxp://w w w .searchinme.com/?type= hp&amp;ts= 1476182952551&amp;
z= 55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&amp;from= official&amp;
uid= ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T

FRST vérifie la s ignature des modules c omplémentaires . Les modules


c omplémentaires non s ignés s ont s ignalés .

E xemple :
Citer

FF Extension: (Adblocker for Youtube™) - C :\Program Files\Mozilla Firefox\brow ser


\features\{A5FD4672-4D73-4F90-A1C 0-2ABD39DB2565}.xpi [2018-01-18] [non signé]

Les lignes FF Extension et d'autres lignes peuvent être inc lus es dans le
fixlis t, les éléments s eront s upprimés .

U ne s tratégie de Groupe verrouillant les fonc tionnalités de Firefox s eront


prés entées de la faç on s uivante :

Citer

GroupPolicy: R estriction - Firefox < = = = = ATTENTION


GroupPolicy-Firefox: R estriction < = = = = ATTENTION
FF HK LM\SOFTWAR E\Policies\Mozilla\Firefox: R estriction < = = = = ATTENTION

V oir
L e s ite internet Sec urity- x.fr utilis e la
desdes c ription
c ookies . Udes objetsesde
n c ookie stratégie
t un de groupe
fic hier texte (Group
s toc ké Policynavigateur,
par votre Objects - qui
GPO) s ous la
lui permet de c ons erver des informations s ec tion
entre Regis tre
les pages pour plus
internet desdétails
et les es s ions. de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

20 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

■ Chrome

FRST lis te les c lés et les profils C hrome (s i prés ents ), que C hrome s oit
ins tallé ou non. Q uand il y a plus ieurs profils , FRST va trouver le dernier
profil utilis é et lis ter les préférenc es de c e profil partic ulier. Les E xtens ions
s ont détec tées dans tous les profils . Les profils non-s tandard ins érés par
un nuis ible s ont s ignalés .

L'analys e des pref erences c omprend les H omeP age (page d'accueil) et
StartupU rls (pages de démarrage) modifiés , l'ac tivation de Ses s ion Res tore
(Res taurer la s es s ion) et c ertains paramètres d'un moteur de rec herc he par
défaut pers onnalis é :

Citer

C HR HomePage: Default -> hxxp://w w w .nuesearch.com/?type= hp&amp;


ts= 1473242946&amp;z= 77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;
from= che0812&amp;uid= WDC XWD2000BB-00R DA0_WD-WMANL114693546935
C HR StartupUrls: Default -> "hxxp://w w w .nuesearch.com/?type= hp&amp;
ts= 1473242946&amp;z= 77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;
from= che0812&amp;uid= WDC XWD2000BB-00R DA0_WD-WMANL114693546935"
C HR DefaultSearchUR L: Default -> hxxp://w w w .nuesearch.com/search/?type= ds&
amp;ts= 1473242946&amp;z= 77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&amp;
from= che0812&amp;uid= WDC XWD2000BB-00R DA0_WD-WMANL114693546935&amp;
q= {searchTerms}
C HR Session R estore: Default -> est activé.

S'ils s ont ins c rits dans le fixlis t, les éléments H omeP age et StartupU rls
s eront s upprimés . T raiter d'autres éléments aboutira à une réinitialis ation
partielle de C hrome, et l'utilis ateur pourra voir le mes s age s uivant s ur la
page des paramètres C hrome: "C hrome a détec té que c ertains de vos
paramètres ont été c orrompus par un autre programme. Leurs valeurs par
défaut ont été rétablies .".

FRST détec te également les redirec tions N ew T ab c ontrôlées par des


extens ions . P our s upprimer la redirec tion, identifiez l'extens ion
c orres pondante (s i prés ente) et dés ins tallez-la c orrec tement via les outils
C hrome (voir c i-des s ous ).

Citer

C HR New Tab: Default -> Active:"chrome-


extension://alg ad icmefalo jnlclaalab d cjnnmclc/stubby.html"
C HR Extension: (R adioR age) - C :\Users\Utilisateur\AppData\Local\Google
\C hrome\User Data\Default\Extensions\alg ad icmefalo jnlclaalab d cjnnmclc
[2017-04-07]

FRST est incapable de supprimer une extension. L'extension sera toujours


af f ichée dans la liste des extensions et le dossier associé sera restauré par
Chrome. Pour cette raison, les lignes d'extension CHR ne sont pas traitées
dans un correctif , utilisez plutôt les outils propres à Chrome :

- T apez chrome://extensions dans la barre d'adres s e et validez par


E ntrée.
- Ce liquez
L e s ite internet Sec urity- x.fr utilis s ur l'ic.ône
des c ookies U n cde la c orbeille
ookie à hier
es t un fic c ôtétexte
de l'extens
s toc kéion que
par vous
votre voulez
navigateur, qui
s upprimer c omplètement.
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
- U ne fenêtre
permettent d'améliorer votrepop-up de c onfirmation
navigation s ur notre sapparaît,
ite. OK c liquez
L earn smore
ur Supprimer.

U ne exc eption pour une ins tallation d'extens ion s ituée dans le regis tre

21 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

(libellée CHR HKLM et HKU). Lors que l'entrée es t inc lus e dans le fixlis t, la
c lé s era s upprimée.

C ertains nuis ibles utilis ent une s tratégie de groupe (Group P olic y) pour
bloquer les modific ations des extens ions ou d'autres fonc tions :

Citer

GroupPolicy: R estriction - C hrome < = = = = = = = ATTENTION


C HR HK LM\SOFTWAR E\Policies\Google: R estriction < = = = = = = = ATTENTION

V oir la des c ription objets de stratégie de groupe (Group Policy Objects)


dans la s ec tion Regis tre pour de plus amples détails .

■ Opera

FRST lis te les c lés et les profils O pera (s i prés ents ), que O pera s oit
ins tallé ou non.

P our l'ins tant, l'analys e s e limite à StartM enuI nternet, StartupU rls ,
Ses s ion Res tore ains i que les extens ions :

Citer

OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net


/h?eq= U0EeC FZVBB8SR ggadghZAFsUQxhHIlxZTA1JEw EOeQsJWBQTFw QUIgoJAFhGFw MFIk0FA1oDB0VXfV5bF
OPR Session R estore: -> est activé.
OPR Extension: (iWebar) - C :\Users\Utilisateur\AppData\R oaming\Opera
Softw are\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

I nc lure un élément "StartupU rls " ou "Ses s ion Res tore"' dans le fixlis t
provoque la s uppres s ion de c et élément.

I nc lure un élément "E xtens ion" dans le fixlis t provoque le déplac ement de
l'extens ion. I nutile d'inc lure le c hemin d'ac c ès s éparément.

Bien que n'étant plus ac tivé, l'élément affic hé dans le panneau


"E xtens ions " du navigateur ne s era pas s upprimé. U tilis ez les propres
outils d'O pera, c omme déc rit c i-des s ous :

- T apez chrome://extensions dans la barre d'adres s e et validez par


E ntrée.
- P our s upprimer c haque extens ion c onc ernée, c liquez s ur le X, puis s ur
OK.

P our les navigateurs qui n'apparais s ent pas dans le rapport d'analys e, la
meilleure option es t une dés ins tallation c omplète s uivie d'un redémarrage
et d'une réins tallation.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
********************
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

22 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Services et Pilotes
Les Servic es et P ilotes s ont prés entés c omme c ec i :

ÉtatExécution TypeDémarrage NomService ImagePath ou ServiceDll [Taille


DateCréation] (NomEntreprise)
Note : les paramètres ÉtatExécution et TypeDémarrage s ont lis tés ens emble.

É tatE xéc ution - la lettre préc édant le c hiffre représ ente l'état d'exéc ution :

R=A c tif
S=A rrêté
U =I ndéterminé.

Les c hiffres du "T ypeDémarrage" s ont:

0 =Boot,
1 =Sys tème,
2 =A utomatique,
3 =M anuel,
4 =Dés ac tivé
5 =A s s igné par FRST quand il es t inc apable de lire le type de démarrage.

Si vous voyez [X] à la fin d'un élément lis té, c ela s ignifie que FRST n'a pas
pu trouver les fic hiers as s oc iés avec le Servic e ou P ilote c onc erné, et qu'il
a lis té à la plac e le I mageP ath ou Servic eDll tel qu'il es t dans le Regis tre.

FRST rec herc he plus ieurs infec tions c onnues et vérifie la s ignature
numérique des fic hiers pour les Servic es et les P ilotes . Si un fic hier n'es t
pas s igné numériquement, c ela s era s ignalé.

E xemple :
Citer

= = = = = = = = = = = = = = = = = = = = Services (Avec liste blanche)


=================

R 2 DcomLaunch; C :\Window s\system32\rpcss.dll [512512 2010-11-20] (Microsoft


C orporation) [Fichier no n sig né]
R 2 R pcSs; C :\Window s\system32\rpcss.dll [512512 2010-11-20] (Microsoft
C orporation) [Fichier no n sig né]

U n fic hier s ys tème M ic ros oft qui n'es t pas s igné doit être remplac é par une
c opie valide. P our c e faire, utilis ez la c ommande Replace:.

Note : La vérification des s ignatures numériques n'es t pas dis ponible dans
l'Environnement de récupération (RE).

P our s upprimer un s ervic e ou un pilote nuis ible, c opiez la ligne du rapport


d'analys e dans le fixlis t. T out fic hier as s oc ié doit être inc lus s éparément.

E xemple :

L e s ite internet Sec urity- x.fr utilis


Co dee:des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
[Sélectionner]
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es
R2 Khiufa; C:\Users\Utilisateur\AppData\Roaming\Eepubseuig\Eepubseuig.exe fic hiers
[174432 2016-04-13] ()
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
C:\Users\Utilisateur\AppData\Roaming\Eepubseuig

23 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

L'outil va arrêter tout élément de s ervic e inc lus dans le fixlis t puis
s upprimer la c lé du s ervic e.

Note: FRST s ignalera l'échec ou la réus s ite de l'arrêt de s ervices qui s ont en
cours d'exécution. Peu importe s i le s ervice es t arrêté ou non, FRST es s aie de
s upprimer le s ervice. Quand un s ervice actif es t s upprimé, FRST va informer
l'utilis ateur s ur l'exécution de la correction et la néces s ité d'un redémarrage.
Puis FRST va faire redémarrer le s ys tème. Vous verrez une ligne à la fin du
rapport de correction Fixlog.txt au s ujet de ce redémarrage indis pens able. Si un
s ervice n'es t pas en cours d'exécution, FRST va le s upprimer s ans impos er de
redémarrage.

I l y a deux exceptions où le s ervic e s era réparé au lieu d'être s upprimé.


Dans le c as de T hemes et de Windows M anagement I ns trumentation, s 'il a
été piraté par un malveillant, vous verrez quelque c hos e c omme c ec i :

Citer

S2 Themes; C :\Window s\system32\themeservice.dll [44544 2009-07-14] (Microsoft


C orporation) [DependOnService: iThemes5]< = = = = ATTENTION

Citer

S2 Winmgmt; C :\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft


C orporation)

Si c es lignes s ont inc lus es dans le fixlis t, les éléments s eront res taurés à
leur valeur par défaut.

Note: Si FRST ne peut abs olument pas accéder à un s ervice, ce qui s uit s era
imprimé dans le rapport :

Citer

"1b36535375971e1b" = > service n'a pas pu être déverrouillé. < = = = = = ATTENTION

Ceci peut révéler des modifications créées par un rootkit ou une corruption du
Regis tre. I l faut demander l'aide d'un expert afin d'identifier et de rés oudre le
problème.

********************

NetSvcs
Les éléments c onnus c omme légitimes s ont en lis te blanc he. C omme pour
d'autres zones s oumis es à l'analys e et qui ont une lis te blanc he, c ela ne
s ignifie pas que les éléments apparais s ant dans le rapport FRST .txt s ont
tous néfas tes , mais s implement qu'ils doivent être c ontrôlés .

Les éléments N etSvc figurent c hac un s ur une ligne, c omme c ec i :

L e s ite internet Sec urity- x.fr utilis


Citere des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
NETSVC x32:votre
permettent d'améliorer HpSvcnavigation
-> C :\Program
s urFiles
notre(x86)\LuDaShi\lpi\HpSvc.dll
s ite. OK L earn more ()
NETSVC x32: WpSvc -> Pas de chemin du fichier

24 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Note: L'ins cription de Nets vc dans le fixlis t s upprime s eulement la valeur


as s ociée du Regis tre. Le s ervice as s ocié (s i prés ent dans la s ection Services)
doit être ins crit s éparément afin d'être s upprimé.

E xemple :

P our s upprimer la valeur N ets vc , le s ervic e as s oc ié dans le Regis tre et le


fic hier as s oc ié, le s c ript c omplet devrait res s embler à c ec i :

Co d e: [Sélectionner]
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== ATTENTION
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi

********************

Un mois - Créés - fichiers et dossiers / Un mois


- Modifiés - fichiers et dossiers
L'analys e "U n mois - C réés " lis te la date et l'heure de c réation du fic hier
ou dos s ier s uivies par la date et l'heure de dernière modific ation.
L'analys e "U n mois - M odifiés " lis te la date et l'heure de dernière
modific ation du fic hier ou dos s ier s uivies par la date et l'heure de c réation.
La taille (nombre d'oc tets ) du fic hier es t aus s i lis tée. U n dos s ier affic hera
0 0 0 0 0 0 0 0 c ar le dos s ier lui-même n'a pas d'oc tet.

Note : Pour éviter une durée d'analys e très importante et la production de


rapports d'analys e extrêmement longs , l'analys e s e limite à certains
emplacements prédéfinis . De plus , FRST lis te les dos s iers pers onnalis és , mais
pas leur contenu. Si vous voulez connaître le contenu d'un dos s ier pers onnalis é,
utilis ez la commande Folder:.

FRST ajoute des indications dans certains éléments du rapport


d'analyse :

C - C ompres s é
D - Dos s ier
H - C ac hé
L - Lien s ymbolique
N - N ormal (pas d'autres attributs définis )
O - H ors ligne
R - Lec ture s eule
S - Sys tème
T - T emporaire
X - N o s c rub (Windows 8 +) - Attribut d'abs ence de fichier de nettoyage

P our s upprimer un fic hier ou un dos s ier de l'une des lis tes "lors du dernier
mois " c opiez/c ollez s implement la totalité de la ligne dans le fixlis t.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre lesvers
Les lignes pointant pages
desinternet et les s es s ions
liens s ymboliques de navigation.
(attribut C es fic hiers
L) s ont gérées
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
c orrec tement.

25 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

E xemple :

Co d e: [Sélectionner]
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Lien

Si la ligne es t inc lus e dans le fixlis t, FRST va s upprimer uniquement le lien,


lais s ant la c ible intac te :

Citer

Lien symbolique trouvé(e): "C :\WINDOWS\system32\Lien" = > "C :\Window s


\System32\C ible"
"C :\WINDOWS\system32\Lien" = > Lien symbolique supprimé(es) avec succès
C :\WINDOWS\system32\Lien= > déplacé(es) avec succès

La c ommande DeleteJunctionsInDirectory: peut aus s i être utilis ée.

P our c orriger d'autres fic hiers /dos s iers , leur c hemin d'ac c ès doit être
ins c rit dans le fixlis t, les guillemets ne s ont pas néc es s aires pour un
c hemin d'ac c ès c omportant un es pac e :

Co d e: [Sélectionner]
c:\Windows\System32\Drivers\fichiernuisible.sys
C:\Program Files (x86)\DossierNuisible

Si vous avez de nombreux fic hiers avec des noms s imilaires et s i vous
voulez les s upprimer avec un s eul s c ript, le joker * peut être utilis é:

V ous pouvez s oit ins c rire tous les fic hiers c omme c ec i :

Co d e: [Sélectionner]
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

s oit s implement :

Co d e: [Sélectionner]
C:\Windows\Tasks\At*.job

Note: Un caractère "?" (point d'interrogation) s era ignoré pour des rais ons de
s écurité, qu'il s oit un joker ou un caractère de s ubs titution pour un caractère
Unicode (voir le paragraphe Unicode s ous I ntroduction). De plus , les jokers ne
s ont pas pris en charge pour les dos s iers .

********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Fichiersvotre
permettent d'améliorer à déplacer
navigation s urou supprimer
notre s ite. OK L earn more

26 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Les fic hiers lis tés dans c ette s ec tion s ont c eux qui s oit s ont nuis ibles , s oit
s ont plac és dans un mauvais emplac ement.

Des exemples de fic hiers légitimes s ont les fic hiers que les utilis ateurs ont
téléc hargés et enregis trés dans le dos s ier de l'utilis ateur [Us er]. U n autre
exemple es t quand un logic iel tierc e partie légitime lais s e un de s es
fic hiers dans le dos s ier de l'utilis ateur. C 'es t une mauvais e habitude de la
part de n'importe quel fournis s eur de logic iel, et c es fic hiers devraient être
déplac és , même s 'ils s ont légitimes . N ous avons vu de nombreus es
infec tions c ac hant leurs fic hiers fic tifs (apparemment légitimes mais en
réalité des fic hiers malveillants ) dans c e répertoire et les exéc utant à
partir de là.

La faç on de traiter c es fic hiers /dos s iers dans un c orrec tif es t la même que
dans la s ec tion "U n mois - C réés - M odifiés -fic hiers et dos s iers " c i-
des s us .

********************

Certains fichiers dans TEMP


C 'es t une rec herc he non réc urs ive limitée à c ertaines extens ions
partic ulières , pour avoir une idée générale s ur la prés enc e d'un fic hier
nuis ible dans la rac ine du dos s ier T emp. C ette s ec tion n'es t pas prés ente
s i auc un fic hier ne répond aux c ritères de rec herc he. C ela ne s ignifie pas
que le dos s ier T emp es t vide ou exempt de tout nuis ible (par exemple, un
nuis ible pourrait s e trouver dans un s ous -dos s ier non analys é par FRST ),
mais s eulement que rien ne s atis fait aux c ritères s péc ifiques de rec herc he.
P our un nettoyage plus c omplet des fic hiers temporaires , on peut utilis er la
c ommande E mptyT emp: .

*******************

Known DLLs (DLLs connues)


C ertains éléments dans c ette s ec tion, s 'ils s ont abs ents ou modifiés
[patchés ] ou c orrompus pourraient entraîner des problèmes d'amorç age
[boot]. E n c ons équenc e, c ette analys e apparaît uniquement lors que l'outil
es t exéc uté en mode RE (E nvironnement de réc upération).

Les éléments s ont en lis te blanc he à moins qu'ils ne néc es s itent une
vérific ation.

I l faut f aire attention quand on s 'oc c upe des éléments identifiés dans
c ette s ec tion. Soit un fic hier es t manquant, s oit il s emble avoir été modifié
d'une manière quelc onque. L'aide d'un expert es t rec ommandée pour
s 'as s urer que le fic hier problématique es t c orrec tement identifié et traité
de manière appropriée. Dans la majorité des c as , il exis te s ur le s ys tème
L e s ite internet Sec urity- x.fr utilis e des
un bon ficchier
ookies . U n c ookie
de remplac ementes tqui
un peut
fic hier texte
être s tocavec
trouvé ké par
la votre navigateur,
fonc tion de qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation.
rec herc he de FRST . V oyez la s ec tion I ns truc tions /C ommandes (E xemples C es fic hiers
permettent d'améliorer
d'utilis ation) votre
de c navigation s ur snotre
e tutoriel pour avoirscite.
omment OK L earn more
remplac er un fic hier et la
s ec tion A utres analys es fac ultatives pour s avoir c omment effec tuer une

27 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

rec herc he.

********************

Bamital & volsnap


C onç u princ ipalement pour une rec herc he des malveillants Bamital et
vols nap, il a maintenant été étendu pour détec ter d'autres anomalies .

Des fic hiers s ys tème modifiés peuvent vous alerter s ur une pos s ible
infec tion malveillante. Q uand l'infec tion es t identifiée il faut faire attention
lors des ac tions de réparation. L'aide d'un expert devrait être demandée
c ar la s uppres s ion d'un fic hier s ys tème pourrait empêc her le P C de
démarrer.

Si un fic hier n'a pas une s ignature numérique c orrec te, vous verrez à la
plac e les propriétés du fic hier.

E xemple tiré d'une infec tion H ijac ker.DN S.H os ts :


Citer

C :\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft C orporation)
5BB42439197E4B3585EF0C 4C C 7411E4E

C :\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft C orporation)
4F1AB9478DA2E252F36970BD4E2C 643E

Dans c e c as , le fic hier doit être remplac é par une c opie valide. U tilis ez la
c ommande Replace:.

Note : La vérification des s ignatures numériques n'es t pas dis ponible dans
l'Environnement de récupération (RE).

FRST vérifie le répertoire %Sys temDrive%\Windows \Sys tem3 2 \Drivers et


lis te les fic hiers verrouillés .

E xemple dans le c as d'une infec tion SmartServic e :

Citer

C :\WINDOWS\system32\drivers\vdhmqtw a.sys -> Accès refusé < = = = = = = =


ATTENTION

Note : Les pilotes aléatoires du rootkit s ont cachés et ne s eront pas répertoriés
dans la s ection Drivers en mode normal. Pour s upprimer les pilotes et les
fichiers verrouillés , utilis ez le mode de récupération ou un autre outil avec des
fonctionnalités anti-rootkit.

C ertaines
L e s ite internet Sec urity- x.fr utilis e des c vers ions
ookies . U de
n cl'infec
ookie tion SmartServic
es t un e dés
fic hier texte acké
s toc tivent le mode
par votre de
navigateur, qui
réc upération. FRST rec tifie automatiquement la modific ation BC D lors
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
d'une analysvotre
permettent d'améliorer e : navigation s ur notre s ite. OK L earn more

Citer

28 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

BC D (recoveryenabled= No -> recoveryenabled= Yes) < = = = = restauré(e) avec succès

Le moyen le plus s ûr de démarrer en M ode s ans éc hec es t d'utilis er la


touc he F8 au démarrage (Windows 7 et plus anc ien) ou les O ptions
avanc ées de démarrage (Windows 1 0 et Windows 8 ). Dans c ertains c as , les
utilis ateurs utilis ent l'"U tilitaire de c onfiguration s ys tème" pour démarrer
en M ode s ans éc hec . Dans le c as où le mode s ans éc hec es t c orrompu,
l'ordinateur es t bloqué et le s ys tème ne démarrera pas en mode normal
parc e qu'il es t c onfiguré pour un démarrage en M ode s ans éc hec . Dans c e
c as , vous verrez :

Citer

safeboot: = = > Le système est configuré pour démarrer en Mode sans échec
< = = = = = ATTENTION

P our c orriger le problème, ins c rivez la ligne c i-des s us dans le fixlis t. FRST
va définir le mode normal c omme mode par défaut et le s ys tème s ortira de
la bouc le.

Note : Ceci s 'applique à Windows Vis ta et aux vers ions ultérieures de Windows .

********************

Association
Note: la s ection "As s ociation" es t dans le fichier FRST.txt quand FRST es t
exécuté dans l'Environnement de récupération. Quand FRST es t exécuté en
dehors de l'Environnement de récupération, la s ection es t dans le fichier
Addition.txt. Dans l'Environnement de récupération, l'analys e s e limite à
l'as s ociation de fichier .exe.

Lis te l'as s oc iation de fic hier .exe (valeur appliquée à la mac hine, H KLM )
c omme c ec i :

Citer

HK LM\...\exefile\open\command: C :\Window s\svchost.com "%1" %* < = = = = =


ATTENTION

C omme avec les autres éléments du Regis tre, vous pouvez s implement
c opier/c oller les éléments avec le problème dans le fixlis t et ils s eront
rétablis . P as bes oin de c réer des c orrec tifs -Regis tre.

********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Points de
lui permet de c ons erver des informations restauration
entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Note : la s ection "Points de res tauration" es t dans le fichier FRST.txt quand

29 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

FRST es t exécuté dans l'Environnement de récupération. Quand FRST es t exécuté


en dehors de l'Environnement de récupération, la s ection es t dans le fichier
Addition.txt.

Les points de res tauration s ont lis tés .

Note : il n'y a que dans Windows XP que les ruches peuvent être res taurées en
utilis ant FRST. Les points de res tauration lis tés s ur Windows Vis ta et ultérieur
doivent être res taurés depuis l'Environnement de récupération (RE) en utilis ant
les Options de récupération du s ys tème Windows .

P our c orriger, ins c rivez la ligne du point de res tauration que vous voulez
res taurer dans le fixlis t.

E xemple venant d'un P C s ous XP :


Citer

R P: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC 5-40AC -


B583-63C 1B9EE2B6F}\R P83
R P: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC 5-40AC -
B583-63C 1B9EE2B6F}\R P82
R P: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC 5-40AC -
B583-63C 1B9EE2B6F}\R P81

P our res taurer les ruc hes à partir du point de res tauration 8 2 (daté de
2 0 1 0 -1 0 -2 4 ) la ligne s era c opiée et c ollée dans le fixlis t, c omme c ec i :

Co d e: [Sélectionner]
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82

P our un c orrec tif de res tauration à partir d'un logic iel de s auvegarde
(Ruc hes s auvegardées par FRST , E RU N T ou C F) s ur Windows V is ta et
ultérieur, reportez-vous à la s ec tion I ns truc tions de c e tutoriel.

********************

Infos Mémoire
Note : la s ection "I nfos Mémoire" es t dans le fichier FRST.txt quand FRST es t
exécuté dans l'Environnement de récupération. Quand FRST es t exécuté en
dehors de l'Environnement de récupération, la s ection es t dans le fichier
Addition.txt.

V ous indique la quantité de RA M (Random A c c es s M emory) ins tallée s ur la


mac hine ains i que la mémoire phys ique dis ponible et le pourc entage de
mémoire dis ponible. P arfois c ela peut aider à expliquer les s ymptômes
d'une mac hine. P ar exemple le nombre affic hé peut ne pas refléter c e que
l'utilis ateur pens e avoir ins tallé au niveau matériel. La RA M indiquée peut
apparaître inférieure à c e qui es t en fait s ur la mac hine. C ec i peut s e
L e s ite internet Sec urity- x.fr utilis e des quand
produire c ookies
la. mac
U n chine
ookienees t unpas
peut fic hier
ac ctexte s toc ké par
éder vraiment votre la
à toute navigateur,
RA M qui
lui permet de c ons erver des informations
qu'il a. Les centre
aus esles
pospages
s iblesinternet et les sde
c omprennent es la
s ions
RA Mdedéfec
navigation.
tueus e,Couesun
fic hiers
permettent d'améliorer
problème devotre navigation
c onnec teur [s lot]s ur notre
s ur s ite. OK ou
la c arte-mère, L earn morec hos e qui
quelque
empêc he le BI O S de la rec onnaître (par exemple s i le BI O S a bes oin d'être

30 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

mis à jour). De plus , pour les s ys tèmes 32-bit avec plus de 4 Go de RAM
ins tallés , le montant maximal indiqué ne s era que 4 Go. C'es t une limitation s ur
les applications 32-bit.

Les informations s ur le proc es s eur, la mémoire virtuelle et la mémoire


virtuelle dis ponible s ont aus s i lis tées .

********************

Lecteurs et MBR & Table des partitions


Note : La s ection "Lecteurs et MBR & Table des partitions " apparaîtra dans le
rapport d'analys e FRST.txt quand FRST es t exécuté depuis l'Environnement de
récupération. Quand FRST es t exécuté en dehors de l'Environnement de
récupération, la s ection apparaîtra dans le fichier Addition.txt

É numère les lec teurs fixes et amovibles c onnec tés à la mac hine au
moment de l'analys e. Les volumes non montés s ont identifiés par les
c hemins GU I D du volume.

Citer

Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS


Drive f: (Flash drive) (R emovable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (R ecovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB)


(Free:0.07 GB) FAT32

Sc héma de partitionnement bas é s ur U E FI / GP T : s eule la dis pos ition GP T


de bas e es t détec tée, mais la lis te c omplète des partitions n'es t pas
dis ponible.

Citer

Disk: 0 (Protective MBR ) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

Sc héma de partitionnement bas é s ur le BI O S/M BR : le c ode M BR et les


entrées des partitions s ont détec tés . C ependant, les partitions logiques
dans les partitions étendues ne s ont pas répertoriées .

Citer

Disk: 0 (MBR C ode: Window s 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size= 39.1 GB) - (Type= 07 NTFS)
Partition 2: (Not Active) - (Size= 426.7 GB) - (Type= 0F Extended)

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Q uand il y aentre
lui permet de c ons erver des informations une indic ation que
les pages quelque
internet c hos
et les e sne
s es va de
ions pasnavigation.
avec le M BR,
C esune
fic hiers
vérific ation du M BR peut être indiquée. P our c e
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more faire, on doit obtenir un
vidage [dump] du M BR. V oic i c omment :

31 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

E xéc utez le c orrec tif s uivant avec FRST en mode quelc onque :

Co d e: [Sélectionner]
SaveMbr: drive=0 (ou numéro de lecteur adéquat)

C e fais ant, un fic hier M BRDU M P .txt s era enregis tré à l'emplac ement à
partir duquel FRST /FRST 6 4 a été exéc uté.

Note : bien qu'un vidage du MBR puis s e être obtenu en mode normal comme en
mode RE, certaines infections du MBR s ont capables de contrefaire le MBR
quand Windows es t chargé. En cons équence, il es t cons eillé de faire ceci dans
l'Environnement de récupération (RE).

********************

LastRegBack:
FRST c herc he dans le s ys tème et lis te la dernière s auvegarde du Regis tre
effec tuée par le s ys tème. La s auvegarde du Regis tre c ontient une
s auvegarde de toutes les ruc hes . C 'es t différent de la s auvegarde LKGC
[Las t Known Good Configuration - Dernière configuration correcte connue] du
C ontrolSet.

I l y a plus ieurs rais ons pour les quelles vous pouvez vouloir utilis er c ette
s auvegarde pour rés oudre un problème, mais fréquemment c 'es t quand une
perte ou une c orruption s 'es t produite.

V ous pouvez voir c ec i dans l'entête de FRST :

Citer

ATTENTION: Impossible de charger la ruche System

P our c orriger, ins c rivez s implement la ligne dans le fixlis t c omme c ec i :

Co d e: [Sélectionner]
LastRegBack: >>date<< >>heure<<

E xemple :

Co d e: [Sélectionner]
LastRegBack: 2013-07-02 15:09

.
« Modifié:
L e s ite internet Sec urity- x.fr utilis e des mai 18, 2018,
c ookies . U n16:35:08 part chantal11
c ookie es » texte s toc ké par votre navigateur,
un fic hier IP archivée qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

32 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #4 le: septembre 09, 2013,
Mega Power Members
20:03:28 »

Analyse supplémentaire
(Addition.txt)

Messages: 22924 Entête


L'entête du rapport d'analys e A ddition.txt c ontient un bref rés umé
d'informations utiles .

V oic i un exemple d'entête :

Citer

R ésultats de l'Analyse supplémentaire de Farbar R ecovery Scan Tool (x64) Version:


20-10-2017
Exécuté par Utilisateur (21-10-2017 14:16:13)
Exécuté depuis C :\Users\Utilisateur\Desktop
Window s 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Mode d'amorçage: Normal

1 ère ligne : indique s i FRST vers ion 3 2 -bit ou vers ion 6 4 -bit a été exéc uté.
L'identifiant de vers ion de FRST es t aus s i lis té.

2 ème ligne : montre quel utilis ateur a exéc uté l'outil, ains i que les date et
heure d'exéc ution.

3 ème ligne : vous dit depuis quel emplac ement FRST a été lanc é.

4 ème ligne : montre la vers ion de Windows ains i que s a date d'ins tallation.

5 ème ligne : vous dit dans quel mode l'analys e a été exéc utée

********************

Comptes
Lis te les c omptes d'utilis ateur s tandard prés ents s ur le s ys tème, dans le
format s uivant :
L e s ite internet Sec urity- x.fr utilis
N om e des
du ccompte
ookiesloc
. Ual
n (SI
c ookie
D dues t un fic hier
c ompte -> P texte s toc- ké
rivilèges A cpar votre ac
tivé/Dés navigateur,
tivé) => qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation.
C hemin du profil. Les noms de c omptes M ic ros oft ne s ont pas affic hés C es. fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
NdT : SI D = Security I Dentifier, identifiant unique de s écurité alphanumérique

33 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

attribué par le s ys tème.

E xemple:
Citer

Administrateur (S-1-5-21-12236832-921050215-1751123909-500 - Administrator -


Enabled) = > C :\Users\Administrateur
Utilisateur (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator -
Enabled) = > C :\Users\Utilisateur
Invité (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited -
Enabled)

********************

Centre de sécurité
V ous pouvez déc ouvrir que la lis te c ontient des rés idus d'un programme de
s éc urité préc édemment dés ins tallé.
Dans c e c as , la ligne peut être inc lus e dans le fixlis t afin qu'elle s oit
s upprimée.
C ertains programmes de s éc urité (c omme Spybot S&D) empêc hent la
s uppres s ion de l'élément s 'ils ne s ont pas totalement dés ins tallés .
Dans c e c as , au lieu de la c onfirmation de la s uppres s ion, vous verrez dans
le rapport de c orrec tion Fixlog :
Citer

Entrée C entre de sécurité = > L'élément est protégé. Vérifiez que le logiciel est
désinstallé et que ses services sont supprimés.

********************

Programmes installés
Lis te les programmes de bureau c las s iques . Les applic ations "modernes "
ins tallées via Windows Store ou préins tallées s ur Windows 1 0 /8 s ont
exc lues .
FRST a une bas e de données interne qui permet de marquer de nombreux
programmes public itaires /potentiellement indés irables (adware/PUP).
E xemple :
Citer

DictionaryBoss Firefox Toolbar (HK LM\...\DictionaryBossbar Uninstall Firefox) (Version:


- Mindspark Interactive Netw ork) < = = = = ATTENTION
Zip Opener Packages (HK U\S-1-5-21-3240431825-2694390405-104744025-1000
\...\Zip Opener Packages) (Version: - ) < = = = = ATTENTION

I l es t fortement c ons eillé de dés ins taller tous les programmes ains i
marqués avant d'exéc uter un programme automatique pour s upprimer les
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
logic iels public
lui permet de c ons erver des informations itaires
entre . Le dés
les pages ins talleur
internet du logic
et les s es siel public
ions itaire s upprime
de navigation. la hiers
C es fic
majorité de s es éléments et annule les modific
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
ations de la c onfiguration.

Dans les c as où des programmes ne s ont pas affic hés dans la lis te des

34 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

programmes ins tallés de l'utilis ateur, mais s ont prés ents , FRST va les
lis ter en leur ajoutant une étiquette (Hidden), c omme c ec i :
Citer

Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden

C es programmes ne s ont pas obligatoirement néfas tes ... ils s ont


s implement c ac hés . I ls ont dans le Regis tre une valeur nommée
"Sys temC omponent" avec un RE G_DWO RD pos itionné à 1 .
C es programmes ne s ont pas vis ibles dans Ajout/Suppression de
programmes (XP) ou Programmes et f onctionnalités (Vista et ultérieur) et
l'utilis ateur ne peut pas les dés ins taller depuis c e menu.
FRST peut s upprimer la valeur "Sys temC omponent" et ains i rendre le
programme vis ible.

Si l'élément trouvé dans le rapport A ddition.txt es t inc lus dans le fixlis t,


vous verrez :
Citer

HK LM\SOFTWAR E\Microsoft\Window s\C urrentVersion\Uninstall\Adw arestuff


\\SystemC omponent = > Valeur supprimé(es) avec succès.

Note : Ce correctif ne fait que rendre le programme vis ible, il ne dés ins talle pas
le programme. Le programme devra être dés ins tallé par l'utilis ateur.

C omme indiqué c i-des s us , tout programme c ac hé n'es t pas néfas te. I l


exis te de nombreux programmes légitimes (y c ompris des programmes
M ic ros oft) qui s ont c ac hés à jus te titre.

********************

Personnalisé CLSID
Lis te les entrées des c las s es pers onnalis ées c réées dans les ruc hes de
Regis tre de l'utilis ateur, ShellI c onO verlayI dentifiers ,
C ontextM enuH andlers et FolderE xtens ions .

E xemples :

Citer

HK U\S-1-5-21-3797074174-2719608703-2427757124-1057\...\C hromeHTML: ->


C :\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) < = = = =
ATTENTION

Citer

ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C -92A4-4855-9D3F-


0F3D23332208} = > C :\ProgramData\Microsoft\Performance\TheftProtection
\TheftProtection.dll [2017-03-01] ()
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
Citer votre navigation s ur notre s ite. OK L earn more

C ontextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-

35 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

a28dfa7b2660} = > C :\Window s\ExplorerPlug.dll [2017-06-13] ()

P our c orriger des éléments nuis ibles , ajoutez-les s implement dans le fixlis t
et FRST va s upprimer les c lés du regis tre. Le fic hier/dos s ier as s oc ié doit
être indiqué s éparément pour être déplac é.

Note : des programmes tiers légitimes peuvent créer un CLSI D pers onnalis é,
donc faites attention et ne s upprimez pas d'élément légitime.
[NdT : CLSI D vient de CLas S I Dentifier, terme utilis é par Micros oft pour
dés igner un "identificateur globalement unique" (GUI D -Globally Unique
I Dentifier).]

********************

Tâches planifiées
Les tâc hes planifiées non en lis te blanc he s ont montrées . Q uand un
élément es t ins c rit dans un fixlis t, la tâc he elle-même es t c orrigée.

E xemple :
Citer

fixlist contenu:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick = >
c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}
\708853146668916958b.exe [2014-07-05] () < = = = = ATTENTION
Task: C :\w indow s\Tasks\FocusPick.job = > c:\programdata\{21428fd3-d588-925d-
2142-28fd3d583f4f}\708853146668916958b.exe < = = = = ATTENTION
*****************

"HK LM\SOFTWAR E\Microsoft\Window s NT\C urrentVersion\Schedule\TaskC ache\Plain


\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" = > clé supprimé(es) avec succès
"HK LM\SOFTWAR E\Microsoft\Window s NT\C urrentVersion\Schedule\TaskC ache\Tasks
\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" = > clé supprimé(es) avec succès
C :\Window s\System32\Tasks\FocusPick = > déplacé(es) avec succès.
"HK LM\SOFTWAR E\Microsoft\Window s NT\C urrentVersion\Schedule\TaskC ache
\Tree\FocusPick" = > clé supprimé(es) avec succès
C :\w indow s\Tasks\FocusPick.job = > déplacé(es) avec succès.

N otez bien que FRST ne fait que s upprimer les éléments du Regis tre et
déplac er le fic hier de la tâc he mais il ne déplace pas l'exécutable.
Si l'exéc utable es t néfas te, il doit être ajouté s ur une ligne dis tinc te dans le
fixlis t afin qu'il s oit déplac é.
Note : un malveillant peut utilis er un exécutable légitime (par exemple, utilis er
s c.exe pour lancer s es propres s ervices ) pour exécuter s on propre fichier.
En d'autres termes , vous devez vérifier l'exécutable pour déterminer s 'il es t
légitime ou non avant d'agir.

********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Raccourcis
lui permet de c ons erver des informations entre et WMIinternet et les s es s ions de navigation. C es fic hiers
les pages
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Les rac c ourc is piratés ou s us pec ts s itués dans le dos s ier utilis ateur de

36 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

c elui qui a ouvert la s es s ion et dans le dos s ier rac ine de C :\P rogramData
\M ic ros oft\Windows \M enu Démarrer\P rogrammes [C:\ProgramData\Micros oft
\Windows \Start Menu\Programs ] et C :\U tilis ateurs \P ublic \Bureau [C:\Us ers
\Public\Des ktop] s ont lis tés .

Les éléments peuvent être inc lus dans un fixlis t pour c orrec tion - voir
Shortcut.txt dans Autres analyses f acultatives c i-des s ous .

Note : U ne analys e Shortc ut.txt c ontient tous les rac c ourc is de tous les
utilis ateurs , alors que le rapport d'analys e dans A ddition.txt c ontient
s eulement les rac c ourc is piratés /s us pec ts trouvés dans le profil de
l'utilis ateur ayant ouvert la s es s ion.

Dans le c as d'une infec tion WM I malware qui détourne les rac c ourc is , vous
verrez un avertis s ement c omme c ec i :
Citer

WMI_ActiveScriptEventC onsumer_ASEC : < = = = = = ATTENTION

P our s upprimer le s c ript nuis ible, plac ez la ligne c i-des s us dans le fixlis t.

********************

Modules chargés
Les modules c hargés s ont filtrés en fonc tion de la prés enc e d'un N om
d'E ntrepris e. A utrement dit, les éléments s ans N om d'E ntrepris e s ont
lis tés . Gardez c ec i à l'es prit, c ar il pourrait arriver qu'un module nuis ible
ayant un N om d'E ntrepris e ne s oit pas lis té lors de c ette analys e.

********************

Alternate Data Streams (Flux de Données A dditionnels )


FRST lis te les Flux de Données A dditionnels [ADS - Alternate Data Streams ]
c omme c ec i :

Citer

= = = = = = = = = = = = = = = = = = = = Alternate Data Streams (Avec liste blanche)


==========

AlternateDataStreams: C :\Window s\System32\fichiervalide:malveillant.exe [134]


AlternateDataStreams: C :\malveillant:nuisible.exe [134]

N ote : La taille de l'A DS (nombre d'oc tets qu'il c ontient) es t affic hée entre
c roc hets après le c hemin d'ac c ès .

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Si l'A DS es t s ur un fic hier/dos s ier légitime, la c orrec tion c ons is tera à
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
c opier/c oller la totalité de la ligne depuis le rapport d'analys e dans le
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
fixlis t.

37 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

E xemple :
Co d e: [Sélectionner]
AlternateDataStreams: C:\Windows\System32\fichiervalide:malveillant.exe [134]

S'il es t s ur un fic hier/dos s ier nuis ible, c e s era :


Co d e: [Sélectionner]
C:\malveillant

Dans le premier c as , FRST s upprime s eulement l'A DS du fic hier/dos s ier.

Dans le s ec ond c as , le fic hier/dos s ier es t s upprimé.

********************

Mode sans échec


Les éléments par défaut s ont en lis te blanc he. Donc s i la s ec tion es t vide,
c ela s ignifie qu'il n'y a pas d'élément partic ulier dans le s ys tème.
Si l'une des c lés princ ipales (SafeBoot, SafeBoot\M inimal et
SafeBoot\N etwork) es t abs ente, c ela s era s ignalé. Dans c e c as , il faut la
réparer manuellement.
S'il y a un élément c réé par un nuis ible, il peut être inc lus dans le fixlis t afin
qu'il s oit s upprimé.

********************

Association - Voir As s ociation précédemment dans le tutoriel


Lis te les as s oc iations de fic hier .bat, .c md, .c om, .exe, .reg et .s c r
Les éléments par défaut s ont en lis te blanc he, donc s i auc un élément n'a
été ajouté ou modifié rien n'apparaîtra dans le rapport.
Q uand un élément par défaut es t inc lus dans le fixlis t, la valeur par défaut
s era res taurée. T out élément c réé par l'utilis ateur, s 'il es t inc lus dans le
fixlis t, s era s upprimé.

********************

Internet Explorer sites de confiance/sensibles


Lis te les s ites de c onfianc e/s ens ibles d'I nternet E xplorer.

Si un élément es t inc lus dans le fixlis t, l'élément as s oc ié s era s upprimé du


Regis
L e s ite internet Sec urity- x.fr utilis tre. c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
e des
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

38 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

Hosts contenu - Voir Hos ts précédemment dans le tutoriel


Fournit de plus amples détails relatifs au fic hier hos ts : les propriétés du
fic hier hos ts ains i que les 3 0 premières lignes ac tives . Les lignes inac tives
(mis es en c ommentaire) s ont mas quées .

E xemple :
Citer

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C :\Window s\system32


\Drivers\etc\hosts

107.178.255.88 w w w .google-analytics.com
107.178.255.88 w w w .statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

Les lignes ne peuvent être traitées individuellement. P our res taurer le


fic hier, utilis ez la c ommande Hosts: ou plac ez la ligne d'avertis s ement
c onc ernant le fic hier hos ts (fic hier d'analys e FRST .txt) dans le fixlis t.

********************

Autres zones
C e paragraphe regroupe c ertains éléments analys és par FRST qui ne s ont
pas répertoriés ailleurs . A c tuellement dans c e paragraphe, FRST lis te les
c hemins d'ac c ès de l'arrière-plan du Bureau (P apier peint), les s erveurs
DN S, les paramètres du C ontrôle de c ompte d'utilis ateur (U A C - U s er
A c c ount C ontrol) et l'état du P are-feu Windows .
FRST ne fait que lis ter c es éléments . P our l'ins tant, il n'y a pas de
c orrec tion automatique.

■ Arrière-plan du Bureau (Wallpaper)

P lus ieurs variantes de nuis ibles c ryptant les fic hiers (c rypto-malware)
utilis ent c e paramètre afin d'affic her un éc ran de demande de ranç on.
E xemple :
Citer

Exemple de chemin d'accès normal:


HK U\S-1-5-21-2507207478-166344414-3466567977-1001\C ontrol Panel\Desktop
\\Wallpaper -> C :\Users\Utilisateur\AppData\R oaming\Microsoft\Window s\Themes
\TranscodedWallpaper.jpg

Exemple de chemin d'accès et de fichier nuisibles :


L e s ite internet Sec urity- x.fr utilisHK
e U\S-1-5-21-746137067-261478967-682003330-1003\C
des c ookies . U n c ookie es t un fic hier texte s toc ké Panel\Desktop
ontrol par votre navigateur, qui
lui permet de c ons erver des informations
\\Wallpaper entre les pages and
-> C :\Documents internet et les s es s ions
Settings\Utilisateur\My de navigation. C es fic hiers
Documents\!Decrypt-All-
Files-scqw xua.bmp
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

39 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Dans le c as d'un nuis ible, le c hemin d'ac c ès du fic hier peut être plac é dans
un fixlis t, ains i que tous les fic hiers as s oc iés lis tés dans le rapport
d'analys e FRST .txt.

Note : Supprimer le fichier du Papier peint ins tallé par le nuis ible va s upprimer
l'arrière-plan du Bureau.
L'utilis ateur doit re-paramétrer cet arrière-plan du Bureau :
- Sous Windows XP, pour définir l'arrière-plan du Bureau, faites un clic droit
n'importe où s ur le Bureau, chois is s ez Propriétés , cliquez s ur l'onglet Bureau,
s électionnez l'une des images dis ponibles , puis cliquez s ur Appliquer et OK.
- Sous Windows Vis ta et ultérieur, pour définir l'arrière-plan du Bureau, faites
un clic droit n'importe où s ur le Bureau, chois is s ez Pers onnalis er, s électionnez
Arrière-plan du Bureau, s électionnez l'une des images dis ponibles , puis cliquez
s ur OK

■ Serveurs DNS (DNS Servers)

Les s erveurs DN S s ont lis tés . C ec i es t utile pour détec ter un piratage
DN S/Routeur.
E xemple :
Citer

DNS Servers: 213.46.228.196 - 62.179.104.196

C herc hez l'adres s e s ur Whois Lookup pour s avoir s i le s erveur es t légitime


ou non.

Note : La lis te des s erveurs ne provient pas du Regis tre, donc le s ys tème doit
être connecté à internet.

Si FRST es t exéc uté en M ode s ans éc hec , ou s i le s ys tème n'es t pas


c onnec té à internet, vous verrez :
Citer

DNS Servers: "Le média n'est pas connecté à internet."

■ Paramètres du Contrôle de compte d'utilisateur (UAC - User Account


Control)

A c tivé (paramètre par défaut) :

Citer

HK LM\SOFTWAR E\Microsoft\Window s\C urrentVersion\Policies\System = >


(C onsentPromptBehaviorAdmin: 5) (C onsentPromptBehaviorUser: 3) (EnableLUA: 1)

Dés ac tivé :

Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre
HK LM\SOFTWAR les pages internet
E\Microsoft\Window et les s es s ions de navigation.
s\C urrentVersion\Policies\System => C es fic hiers
permettent d'améliorer votre navigation s0)ur(Cnotre
(C onsentPromptBehaviorAdmin: s ite. OK L earn more
onsentPromptBehaviorUser: 3) (EnableLUA: 0)

40 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

I l peut en être ains i parc e que l'utilis ateur a dés ac tivé le C ontrôle de
c ompte d'utilis ateur (U A C ), ou c omme effet s ec ondaire de l'ac tivité d'un
malveillant. A moins qu'il s oit évident que la c aus e es t malveillante, il faut
interroger l'utilis ateur avant de tenter une c orrec tion.

■ SmartScreen (Windows 8+)

Citer

HK LM\SOFTWAR E\Microsoft\Window s\C urrentVersion\Explorer = >


(SmartScreenEnabled: Donnée de la valeur)

Données de la valeur pris es en c harge par Windows : Bloc k | Warn | O ff


(Windows 10 Vers ion 1703+) ou RequireA dmin | P rompt | O ff (s ys tèmes plus
anciens ).

U ne donnée manquante (paramètre par défaut s ur Windows 1 0 V ers ion


1 7 0 3 +) ou vide s era s ignalée de la manière s uivante :

Citer

HK LM\SOFTWAR E\Microsoft\Window s\C urrentVersion\Explorer = >


(SmartScreenEnabled: )

■ Pare-f eu Windows (Windows Firewall)

E xemple :
Citer

Window s Firew all est activé.

Q ue le P are-feu Windows s oit ac tivé ou dés ac tivé es t aus s i s ignalé. Q uand


FRST es t exéc uté en M ode s ans éc hec , ou s 'il exis te un problème avec le
s ys tème, il n'y aura auc une ligne à propos du P are-feu.

********************

MSCONFIG/TASK MANAGER éléments


désactivés
Le rapport d'analys e es t utile lors qu'un utilis ateur a utilis é M SC O N FI G ou
T A SK M A N A GE R [Ges tionnaire des tâches ] pour dés ac tiver des éléments
nuis ibles au lieu de les s upprimer. O u bien, s 'il a dés ac tivé trop d'éléments
et s i c ertains s ervic es ou applic ations indis pens ables ne peuvent plus
s 'exéc uter c orrec tement.
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
E xemples : entre les pages internet et les s es s ions de navigation. C es fic hiers
lui permet de c ons erver des informations
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
MSCONFI G dans Windows 7 et s ys tèmes antérieurs :
Citer

41 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

MSC ONFIG\Services: Quotenamron = > 2


MSC ONFIG\startupfolder:
C :^ Users^ Utilisateur^ AppData^ R oaming^ Microsoft^ Window s^ Start
Menu^ Programs^ Startup^ 339bc1.lnk = > C :\Window s\pss\339bc1.lnk.Startup
MSC ONFIG\startupreg: AdAnti = > C :\Program Files (x86)\AdAnti\AdAnti.exe /S

C e qui s e lit c omme c ec i :

Servic es dés ac tivés :


Citer

MSC ONFIG\Services: NomService = > Type de démarrage d'origine

É léments dés ac tivés dans le dos s ier Démarrage :


Citer

MSC ONFIG\startupfolder: C hemin d'accès d'origine (avec "\" remplacé par "^ " par
Window s) = > C hemin de la sauvegarde créée par Window s.

É léments Run dés ac tivés :


Citer

MSC ONFIG\startupreg: NomValeur = > C hemin du fichier.

TASK MANAGER dans Windows 8 et Windows 10 :


Citer

HK LM\...\StartupApproved\R un32: = > "w in_en_77"


HK U\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved
\StartupFolder: = > "SmartWeb.lnk"
HK U\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\R un:
= > "svchost0"

Note : Windows 8 et ultérieurs utilis ent ms config s eulement pour les s ervices .
Les éléments du démarrage s ont déplacés vers le Ges tionnaire de tâches [Tas k
Manager] qui s tocke les éléments dés activés dans plus ieurs clés . Un élément
dés activé non-abs ent es t lis té deux fois : dans FRST.txt (s ection Regis tre) et
dans Addition.txt.

Les éléments peuvent être inc lus dans un fixlis t afin de les s upprimer.
FRST exéc utera les ac tions c i-des s ous :
- Dans le c as des s ervic es dés ac tivés , FRST va s upprimer la c lé c réée par
M SC O N FI G et le s ervic e lui-même.
- Dans le c as des éléments Run dés ac tivés , FRST va s upprimer la
c lé/valeur c réée par M SC O N FI G/T as k M anager [Ges tionnaire des tâches ].
L'élément Run lui-même s ur les s ys tèmes plus réc ents s era également
s upprimé.
- Dans le c as des éléments dans les dos s iers Démarrage, FRST va
s upprimer la c lé/valeur c réée par M SC O N FI G/T as k M anager [Ges tionnaire
des tâches ] et déplac er la s auvegarde du fic hier c réée par Windows (s ur les
anc iens s ys tèmes ) ou le fic hier lui-même (s ur les s ys tèmes plus réc ents ).
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Important: votre
permettent d'améliorer Ne corrigez un élément
navigation dans
s ur notre cetteOK
s ite. section que
L earn si vous êtes sûr
more
qu'il s'agit d'un élément malveillant. Si vous doutez de la nature de
l'élément, ne le corrigez pas af in d'éviter la suppression d'éléments

42 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

légitimes. Dans le cas d'éléments légitimes désactivés qui devraient être


activés, il f aut donner à l'utilisateur des instructions pour qu'il les active
via l'utilitaire MSCONFIG ou le Gestionnaire des tâches [Task Manager].

********************

Règles Pare-feu
Lis te les règles du pare-feu (FirewallRules ), les applic ations autoris ées
(A uthorizedA pplic ations ), ains i que les ports globalement ouverts
(GloballyO penP orts ).

E xemple (Windows 1 0 ) :
Citer

Firew allR ules: [TC P Query


User{20B8E752-5263-4905-82B3-9443A2675E55}C :\program files (x86)\amulec3
\amule.exe] = > (Allow ) C :\program files (x86)\amulec3\amule.exe
Firew allR ules: [UDP Query User{755A6761-C 64D-4214-A0EF-
B7C 06DE8D72E}C :\program files (x86)\amulec3\amule.exe] = > (Allow ) C :\program
files (x86)\amulec3\amule.exe
Firew allR ules: [{E3D59A00-E41A-4AE5-AEC F-E7AC 117FBF83}] = > (Allow )
C :\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
Firew allR ules: [{7FEA26C 4-3EC E-4431-8FA1-E9AFE7F3B0DD}] = > (Allow )
C :\Program Files (x86)\Firefox\Firefox.exe

NdT: Allow = Autoris er, Block = Bloquer.

E xemple (XP ) :
Citer

StandardProfile\AuthorizedApplications: [C :\Program Files\Firefox


\bin\FirefoxUpdate.exe] = > Enabled:Update service
StandardProfile\AuthorizedApplications: [C :\Program Files\Firefox\Firefox.exe] = >
Enabled:Firefox brow ser
StandardProfile\GloballyOpenPorts: [2900:TC P] = > Enabled:ztdtqhnh

NdT: Enabled = Autoris é, Dis abled = Bloqué.

Si un élément es t inc lus dans un fixlis t, il s era s upprimé du Regis tre. A uc un


fic hier éventuel ne s era déplac é.

********************

Points de restauration - Voir P oints de restauration


précédemment dans le tutoriel.

Lis te les P oints de res tauration dis ponibles dans le format s uivant :

Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
18-04-2016 entre les Window
14:39:58 pagess internet
Update et les s es s ions de navigation. C es fic hiers
permettent d'améliorer
18-04-2016votre navigation
22:04:49 s ur Cnotre
R estore Point reatedsby
ite.FR STOK L earn more

43 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Si la fonc tion es t dés ac tivée, c ela s era s ignalé :

Citer

ATTENTION: La R estauration système est désactivée

********************

Éléments en erreur du Gestionnaire de


périphériques
E xemple :

Citer

Name: bsdriver
Description: bsdriver
C lass Guid: {8EC C 055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not w orking properly, or does not have all its
drivers installed. (C ode 24)
R esolution: The device is installed incorrectly. The problem could be a hardw are failure,
or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.R emove the device, and this error
should be resolved.

********************

Erreurs du Journal des événements


- E rreurs A pplic ation
- E rreurs s ys tème
- E rreurs C odeI ntegrity [Erreurs I ntégrité du code]
- E rreurs Windows Defender et avertis s ements

********************

Infos Mémoire
Voir Inf os Mémoire précédemment dans le tutoriel.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
********************
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

Lecteurs

44 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

MBR & Table des partitions


Voir Lecteurs et MBR & Table des partitions précédemment dans le
tutoriel.

« Modifié: mai 18, 2018, 11:46:06 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #5 le: septembre 09, 2013,
Mega Power Members
20:04:06 »

Autres analyses facultatives

********************
Messages: 22924
Analyses facultatives
E n c oc hant une c as e s ous "A nalys e fac ultative", FRST va analys er les
éléments demandés .

********************

Liste BCD
Les données du BC D [Magas in de données de configuration de démarrage -
Boot Configuration Data] s ont lis tées ([BCD, en anglais ]).

********************

MD5 Pilotes
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
V a générer une lis te des pilotes avec leur s omme de c ontrôle M D5 qui
permettent d'améliorer
res s embleravotre
à c ecnavigation
i: s ur notre s ite. OK L earn more

45 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Citer

= = = = = = = = = = = = = = = = = = = = = = = = = = MD5 Pilotes
=======================

C :\Window s\System32\drivers\AC PI.sys 3D30878A269D934100FA5F972E53AF39


C :\Window s\System32\Drivers\acpiex.sys AC 8279D229398BC F05C 3154ADC A86813
C :\Window s\System32\drivers\acpipagr.sys A8970D9BF23C D309E0403978A1B58F3F
C :\Window s\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C :\Window s\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C 00451

O n peut alors vérifier leur validité.

********************

Shortcut.txt
Lis te tous les types de rac c ourc is de tous les c omptes s tandard. Les
éléments piratés peuvent être inc lus dans le fixlis t afin qu'ils s oient
res taurés ou s upprimés .

E xemple :
Citer

Shortcut: C :\ProgramData\Microsoft\Window s\Start Menu\Programs\Google


C hrome.lnk -> C :\Program Files (x86)\jIxmR fR \jIxmR fR \chrome.exe (The jIxmR fR
Authors)
Shortcut: C :\Users\Public\Desktop\Google C hrome.lnk -> C :\Program Files
(x86)\jIxmR fR \jIxmR fR \chrome.exe (The jIxmR fR Authors)
Shortcut: C :\Users\Utilisateur\AppData\R oaming\Microsoft\Internet Explorer\Quick
Launch\Google C hrome.lnk -> C :\Program Files (x86)\jIxmR fR \jIxmR fR \chrome.exe
(The jIxmR fR Authors)

ShortcutWithArgument: C :\Users\Utilisateur\AppData\R oaming\Microsoft\Window s


\Start Menu\Programs\Internet Explorer.lnk -> C :\Program Files (x86)\Internet
Explorer\iexplore.exe (Microsoft C orporation) -> %SNP%
ShortcutWithArgument: C :\Users\Utilisateur\AppData\R oaming\Microsoft\Window s
\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk ->
C :\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft C orporation) ->
"hxxp://trustedsurf.com/?ssid= 1461248741&a= 1003478&src= sh&
uuid= 56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C :\Users\Utilisateur\AppData\R oaming\Microsoft\Internet
Explorer\Quick Launch\Launch Internet Explorer Brow ser.lnk -> C :\Program Files
(x86)\Internet Explorer\iexplore.exe (Microsoft C orporation) -> %SNP%

NdT : s ur certains s ys tèmes , les noms apparais s ant dans les chemins d'accès
peuvent être francis és , s elon les équivalences ci-des s ous :
(s ans module complémentaire) <==> (No Add-ons )
Acces s oires <==> Acces s ories
Bureau <==> Des ktop
Menu Démarrer <==> Start Menu
Outils s ys tème <==> Sys tem Tools
Programmes <==> Programs

P our c orriger les lignes ShortcutWithArgument:, faites s implement un


c opier-c
L e s ite internet Sec urity- x.fr utilis e desoller de c.es
c ookies U nlignes
c ookiedans
es t le
un fixlis t. M
fic hier ais pour
texte s tocské
upprimer lesnavigateur,
par votre objets qui
lui permet de c ons erver des informations
Shortcut:, vousentre les pages
devez ajouterinternet et les sd'ac
les c hemins es scions
ès s de navigation.
éparément dansC es
le fic hiers
permettent d'améliorer
c orrec tif. votre navigation s ur notre s ite. OK L earn more

46 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

U n s c ript de c orrec tion c omplet res s emblerait à c ec i :


Co d e: [Sélectionner]
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\I
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\A
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launc
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Note : FRST s upprime l'argument des raccourcis s auf pour le raccourci


Internet Explorer (No Add-ons).lnk. Par défaut l'argument de ce raccourci
n'es t pas vide (l'argument es t -extof f ) et il es t utilis é pour lancer I nternet
Explorer s ans modules complémentaires . I l es t vital pour dépanner les
problèmes s ur I E, et donc cet argument de raccourci s era res tauré.

Notez aus s i que s i vous avez utilis é un autre outil de nettoyage pour s upprimer
l'argument de Internet Explorer (No Add-ons).lnk, FRST ne le lis tera pas
s ous ShortcutWithArgument:, et donc l'argument ne pourra plus être res tauré
avec FRST. Dans ce cas , l'utilis ateur peut res taurer l'argument manuellement.

P our res taurer l'argument manuellement, l'utilis ateur doit aller (via
l'E xplorateur) jus qu'à Internet Explorer (No Add-ons).lnk :

Faire un c lic droit des s us et c hois ir Propriétés.

Dans la zone Cible ajouter deux es pac es puis -extof f au c hemin d'ac c ès
affic hé.

C liquer s ur Appliquer puis OK.

********************

Fichiers 90 jours
Si l'option "Fic hiers 9 0 jours " es t c oc hée, FRST lis tera dans le rapport
d'analys e "T rois mois - C réés /M odifiés - fic hiers et dos s iers " au lieu de
"U n mois - C réés /M odifiés - fic hiers et dos s iers ".

********************

Fonctions de recherche

■ Recherche de fichiers
I l y a un bouton C herc her fic hiers dans la fenêtre de programme de FRST .
L e s ite internet Sec urity- x.fr utilis
P oure des c ookies
rec herc . U nfic
her des c ookie
hiers ,es t unpouvez
vous fic hier s texte
ais ir,sou
toccké par votre
opier/c oller,navigateur,
leurs qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation.
noms dans la zone de rec herc he [Chercher:]. Les jokers s ont permis . Si C es fic hiers
permettent d'améliorer
vous avez bes votre
oin navigation
de rec herc sherur notre s ite.fic hier,
plus d'un OK L earn
les more
noms des fic hiers
doivent être s éparés par un point-virgule ;

47 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Co d e: [Sélectionner]
terme;terme

Co d e: [Sélectionner]
*terme*;*terme*

Q uand il a c liqué s ur le bouton C herc her fic hiers , l'utilis ateur es t informé
que la rec herc he es t lanc ée [La recherche es t en cours , veuillez patienter...],
une barre de progres s ion apparaît, puis un mes s age s 'affic he indiquant que
la rec herc he es t terminée [Chercher terminé(e)]. U n fic hier rapport de
rec herc he Search.txt es t enregis tré dans le dos s ier à partir duquel
FRST .exe/FRST 6 4 .exe a été exéc uté.

Les fic hiers trouvés s ont lis tés avec leurs date de c réation, date de
modific ation, taille, attributs , N om d'entrepris e, M D5 , et s ignature
numérique dans le format s uivant :

Citer

C :\Window s\WinSxS\amd64_microsoft-w indow s-dns-client-


minw in_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft C orporation)
0F9FA6A2D4EAE50393DC E473759A9845 [Le fichier est signé numériquement]

Note: La vérification des s ignatures numériques n'es t pas dis ponible dans
l'Environnement de récupération (RE).

La rec herc he de fic hiers es t limitée au lec teur s ys tème. Dans c ertains c as ,
un fic hier s ys tème légitime es t abs ent ou c orrompu, c e qui provoque des
problèmes d'amorç age (boot), et il n'exis te auc un fic hier de remplac ement
s ur le s ys tème. Q uand l'option de rec herc he de fic hiers (C herc her) es t
utilis ée en mode de réc upération (V is ta et ultérieur), la rec herc he inc lut
aus s i les fic hiers dans X: (le lec teur d'amorç age virtuel). Dans c ertains
c as , c ela peut s auver la vie. U n exemple es t l'abs enc e de s ervic es .exe qui
pourrait être c opié de X:\Windows \Sys tem3 2 vers C :\Windows \Sys tem3 2 .

Note : La partition X: ne contiendra que les exécutables 64-bit pour les


s ys tèmes 64-bit.

Le bouton "C herc her Fic hiers " peut être utilis é pour effec tuer des
rec herc hes s upplémentaires , voir FindFolder: et SearchAll: c i-des s ous . Les
rés ultats s eront enregis trés dans le journal Searc h.txt.

■ Recherche dans le Registre


I l y a un bouton C herc her Regis tre dans la fenêtre de programme de FRST .
V ous pouvez s ais ir, ou c opier/c oller, les noms des éléments que vous
s ouhaitez rec herc her dans la zone de rec herc he [Chercher:]. Si vous voulez
rec herc her plus d'un élément, les noms doivent être s éparés par un point-
L e s ite internet Sec urity- x.fr utilis e des
virgule ; c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Co d e: [Sélectionner]
terme;terme

48 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

C ontrairement à une rec herc he de fic hiers , lors qu'on effec tue une
rec herc he dans le Regis tre, l'ajout de jokers dans les termes de rec herc he
doit être évité c ar c es c arac tères jokers s eront interprétés littéralement.
Q uand un joker ("* " ou "?") es t ajouté au début ou à la fin d'un terme de
rec herc he dans le Regis tre, FRST va l'ignorer et rec herc her c e terme de
rec herc he s ans c e c arac tère.

U n fic hier journal SearchReg.txt es t enregis tré dans le dos s ier à partir
duquel FRST /FRST 6 4 a été lanc é.

Note: La fonction de recherche dans le Regis tre ne fonctionnera qu'en dehors de


l'environnement de récupération (RE).

■ FindFolder:
P our rec herc her un ou plus ieurs dos s iers s ur le lec teur s ys tème,
rens eignez la s yntaxe s uivante dans la zone de rec herc he et appuyez s ur le
bouton "C herc her Fic hiers " :

Co d e: [Sélectionner]
FindFolder: terme;terme

Les jokers s ont autoris és .

Co d e: [Sélectionner]
FindFolder: *terme*;*terme*

■ SearchAll:
P our effec tuer une rec herc he c omplète (fic hiers , dos s iers , regis tre) pour un
ou plus ieurs termes , entrez la s yntaxe s uivante dans la zone de rec herc he
et appuyez s ur le bouton "C herc her Fic hiers " :

Co d e: [Sélectionner]
SearchAll: terme;terme

N 'ajoutez pas de joker au(x) terme(s ). FRST interprète automatiquement le


terme c omme * terme(s )* dans le c as de fic hiers et de dos s iers .

Note :Dans l'environnement de récupération, la recherche complète effectuée


es t limitée aux fichiers et dos s iers .

.
« Modifié: février 27, 2018, 17:06:09 par chantal11 » IP archivée

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

49 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #6 le: septembre 09, 2013,
Mega Power Members
20:05:15 »

Instructions/Commandes

Toutes les commandes/instructions dans FRST doivent être sur une seule
ligne car FRST traite le script ligne par ligne.

Messages: 22924 Note: Les ins tructions /commandes s ont ins ens ibles à la cas s e.

********************

Catalogue des instructions/commandes

■ À utiliser seulement en Mode normal

C reateRes toreP oint:


T as ks Details :

■ À utiliser seulement en Mode normal et en Mode sans


échec

C los eP roc es s es :
E mptyT emp:
P owers hell:
Reboot:
RemoveP roxy:
StartP owers hell: - E ndP owers hell:
V erifySignature:
V irus T otal:
Zip:

■ À utiliser en Mode normal, en Mode sans échec et dans


l'Environnement de récupération (RE)

c md:
C opy:
C reateDummy:
DeleteJunc tions I nDirec tory:
DeleteKey: et DeleteV alue:
L e s ite internet Sec urity- x.fr utilis e des uarantine:
DeleteQ c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
Dis ableServic entre
e: les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation
E xportKey: et E xportV alue: s ur notre s ite. OK L earn more
File:

50 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Files I nDirec tory: et Folder:


FindFolder:
H os ts :
Lis tP ermis s ions :
M ove:
Reg:
RemoveDirec tory:
Replac e:
Res toreQ uarantine:
SaveM br:
SetDefaultFileP ermis s ions :
StartBatc h: - E ndBatc h:
StartRegedit: - E ndRegedit:
tes ts igning on:
U nloc k:

■ À utiliser seulement dans l'Environnement de


récupération (RE)

Las tRegBac k
Res toreE runt:
Res tore From Bac kup:
Res toreM br:

Exemples d'utilisation

********************

CloseProcesses:

A rrête tous les proc es s us non es s entiels . C ontribue à rendre la c orrec tion
plus effic ac e et plus rapide.

E xemple :
Co d e: [Sélectionner]
CloseProcesses:

Q uand c ette c ommande es t inc lus e dans un c orrec tif, elle provoquera
automatiquement un redémarrage. I l n'es t pas néc es s aire d'utilis er la
c ommande Reboot:. La c ommande C los eP roc es s es : n'es t pas néc es s aire
ni dis ponible dans l'E nvironnement de réc upération.

********************
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
CMD:
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
P arfois vous avez bes oin d'exéc uter une c ommande C M D. Dans c e c as

51 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

vous devez utilis er l'ins truc tion "C M D:".

Le s c ript s era :

Citer

C MD: commande

S'il y a plus d'une c ommande, c ommenc ez c haque ligne par C M D: pour


avoir un rés ultat dans le rapport de c orrec tion pour c haque c ommande.

E xemple :
Co d e: [Sélectionner]
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr

La première c ommande va c opier les fic hiers minidump s ur la c lé U SB (s i la


lettre de lec teur de la c lé U SB es t E ).
La s ec onde c ommande es t utilis ée pour c orriger le M BR dans Windows
V is ta et vers ions ultérieures .

O n peut également utilis er les c ommandes StartBatch: - EndBatch: (voir


c i-des s ous ).

Note : Contrairement aux ins tructions natives ou autres ins tructions de FRST,
les commandes CMD doivent avoir la s yntaxe correcte de cmd.exe, comme
l'utilis ation de guillemets (") en cas de prés ence d'un es pace dans le chemin
d'accès du fichier/dos s ier.

********************

Copy:

P our c opier des fic hiers ou des dos s iers dans un s tyle s imilaire à xc opy.

La s yntaxe es t :

Co d e: [Sélectionner]
Copy: source fichier/dossier destination dossier

Le dos s ier de des tination s era automatiquement c réé (s 'il n'es t pas
prés ent).

E xemple :

Citer

C opy: C :\Users\Utilisateur\AppData\Local\Packages
\Microsoft.MicrosoftEdge_8w ekyb3d8bbw e\AC \MicrosoftEdge\User\Default\DataStore
\Data\nouser1\120712-0049\DBStore\spartan.edb C :\Users\Utilisateur\Desktop\Edge
Backup
C opy: C :\Window s\Minidump F:\
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Note : Pour remplacer des fichiers individuels , il es t recommandé d'utilis er la
commande Replace:

52 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Dans le cas d'un fichier cible exis tant, Copy: es s aie s eulement d'écras er le
fichier, tandis que Replace: tente en outre de déverrouiller et de déplacer le
fichier en quarantaine.

********************

CreateDummy:

C rée un fic hier/dos s ier fac tic e verrouillé pour empêc her la res tauration de
fic hiers nuis ibles . Le dos s ier fac tic e doit être s upprimé après avoir
neutralis é le malware.

La s yntaxe es t :

Co d e: [Sélectionner]
CreateDummy: Chemin

E xemple :

Citer

C reateDummy: C :\Window s\System32\nuisible.exe


C reateDummy: C :\ProgramData\Nuisible

********************

CreateRestorePoint:

P our c réer un point de res tauration.

E xemple :
Co d e: [Sélectionner]
CreateRestorePoint:

Note : Cette commande n'es t utilis able qu'en mode normal. Elle ne fonctionnera
pas s i le s ervice de Res tauration s ys tème a été dés activé.

********************

DeleteJunctionsInDirectory:

P our s upprimer les jonc tions utilis ez la s yntaxe s uivante :

Citer

DeleteJunctionsInDirectory: C hemin
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
E xemple :
Co d e: [Sélectionner]

53 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

********************

DeleteKey: et DeleteValue:

La méthode la plus effic ac e pour s upprimer des c lés /valeurs , c ontournant


les limitations des algorithmes de s uppres s ion s tandards prés ents dans
Reg: et StartRegedit: - E ndRegedit :.

La s ynthaxe es t :

1 . P our s upprimer des c lés :


Citer

DeleteK ey: clé

A lternativement, le format regedit peut être utilis é :


Citer

[-clé]

2 . P our s upprimer des valeurs :


Citer

DeleteValue: clé|valeur

Si la valeur es t une valeur par défaut, lais s ez le nom de la valeur vide :


Citer

DeleteValue: clé|

E xemples :
Co d e: [Sélectionner]
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

Les c ommandes s ont c apables de s upprimer des c lés /valeurs qui s ont
verrouillées en rais on d’autoris ations ins uffis antes , des c lés /valeurs qui
c ontiennent des c arac tères N U LL inc orporés (embedded-null characters ) et
des liens s ymboliques de regis tre.
La commande Unlock: est inutile.

P our les c lés /valeurs qui s ont protégées par un logic iel en c ours
d’exéc ution (répons e "A c c ès refus é") vous devez utilis er le M ode s ans
éc hec (pour c ontourner le logic iel en c ours d’exéc ution) ou s upprimer les
princ ipaux c ompos ants avant d’utilis er les c ommandes .
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Note : Si la clé
lui permet de c ons erver des informations ins crite
entre pour la
les pages s uppreset
internet s ion
les es t un
s es lien de
s ions de navigation.
Regis tre versC es
unefic hiers
autre clé, la clé
permettent d'améliorer (s ource)
votre qui esstur
navigation le notre
lien s ymbolique
s ite. OK deLRegis earn tre
mores era s upprimée.
La clé cible ne s era pas s upprimée. Ceci es t fait pour éviter de s upprimer à la

54 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

fois un mauvais lien s ymbolique de Regis tre qui pourrait pointer vers une clé
légitime et la clé légitime elle-même. Dans le cas où la clé s ource et la clé cible
s ont nuis ibles , les deux doivent être ins crites pour s uppres s ion.

********************

DeleteQuarantine:

A près la fin du nettoyage, le dos s ier %Sys temDrive%\FRST (en général


C :\FRST ) c réé par l'outil FRST doit être s upprimé de l'ordinateur. Dans
c ertains c as le dos s ier ne peut pas être s upprimé manuellement parc e que
le dos s ier %SystemDrive%\FRST\Quarantine c ontient des fic hiers ou
dos s iers malveillants verrouillés ou bizarres . La c ommande
DeleteQ uarantine: va s upprimer le dos s ier Q uarantine.

Les outils qui déplac ent les fic hiers au lieu de les s upprimer ne doivent pas
être utilis és pour s upprimer %Sys temDrive%\FRST c ar c es outils s e
c ontentent de déplac er les fic hiers dans leur propre dos s ier et ils res teront
quand même s ur le s ys tème.

I l s uffit s implement d'ins c rire la c ommande dans un fixlis t c omme c ec i :


Co d e: [Sélectionner]
DeleteQuarantine:

Note : La dés ins tallation automatique de FRST (voir la des cription dans
I ntroduction) inclut la même pos s ibilité de s uppres s ion d'une quarantaine
verrouillée.

********************

DisableService:

P our dés ac tiver un s ervic e ou un s ervic e de pilote, vous pouvez utilis er le


s c ript s uivant :

Citer

DisableService: NomService

E xemple :
Co d e: [Sélectionner]
DisableService: sptd
DisableService: Wmware Nat Service

FRST va pos itionner le s ervic e s ur Dés ac tivé et le s ervic e ne s era pas


lanc é lors du démarrage s uivant.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
Note : Le nom du s ervice doit être ins crit comme il apparaît dans le Regis tre ou
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
le rapport d'analys e de FRST, s ans rien ajouter. Par exemple, les guillemets ne
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
s ont pas néces s aires .

55 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

EmptyTemp:

Les dos s iers s uivants s ont vidés :


- Fic hiers temporaires de Windows .
- Dos s iers temporaires de l'utilis ateur.
- C ac he, c ookies , his torique et zones de s toc kage H T M L5 pour E dge, I E ,
FF, C hrome et O pera (Note: l'his torique de Firefox n'es t pas s upprimé).
- C ac he des fic hiers ouverts réc emment.
- C ac he de Flas h P layer.
- C ac he de Java.
- C ac he H T M L de Steam
- C ac he des miniatures et des ic ônes de l'E xplorateur
- File d'attente de trans fert BI T S (fic hiers qmgr* .dat)
- C orbeille.

Si la c ommande E mptyT emp: es t utilis ée, il y aura redémarrage du


s ys tème après la c orrec tion. I nutile d'utilis er la c ommande Reboot:.
De plus , peu importe s i E mptyT emp: es t plac ée au début, au milieu ou à la
fin du fixlis t, elle s era exéc utée après le traitement de toutes les autres
lignes du fixlis t.

Important : Q uand la c ommande E mptyT emp: es t utilis ée, les éléments


s ont s upprimés déf initivement. I ls ne s ont pas déplac és dans la
quarantaine.

Note : La commande es t dés activée dans l'Environnement de récupération pour


éviter tout dommage.

********************

ExportKey: et ExportValue:

M oyen plus fiable pour ins pec ter le c ontenu d'une c lé, les c ommandes
permettent de s urmonter c ertaines limitations de regedit.exe et reg.exe.
Les différenc es des c ommandes portent s ur l'export.
E xportKey: lis te toutes les valeurs et les s ous -c lés réc urs ivement, tandis
que E xportV alue: affic he uniquement les valeurs de la c lé.

La s yntaxe es t :

Citer

ExportK ey: clé

Citer

ExportValue: clé
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
E xemple :
Co d e: [Sélectionner]

56 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Clé suspecte

Citer

= = = = = = = = = = = = = = = = = = ExportK ey: = = = = = = = = = = = = = = = = = = =

[HK EY_LOC AL_MAC HINE\SOFTWAR E\C lé suspecte]


[HK EY_LOC AL_MAC HINE\SOFTWAR E\C lé suspecte\C lé invalide ]
"Valeur cachée"= "Donnée cachée"
[HK EY_LOC AL_MAC HINE\SOFTWAR E\C lé suspecte\C lé bloquée]
HK EY_LOC AL_MAC HINE\SOFTWAR E\C lé suspecte\C lé bloquée = > Accès refusé.

= = = Fin de ExportK ey = = =

Note : L'export es t des tiné uniquement à des fins de recherche et ne peut pas
être utilis é pour des opérations de s auvegarde et d'importation.

********************

File:

P our vérifier les propriétés d'un fic hier. P lus ieurs fic hiers peuvent être
inc lus , s éparés par des points -virgules .

Citer

File: chemin;chemin

E xemple :
Co d e: [Sélectionner]
File: C:\Users\Utilisateur\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe

Citer

= = = = = = = = = = = = = = = = = = = = = = = = = File: C :\Users\Utilisateur\AppData
\R oaming\Pcregfixer\PC R EGFIXER \background\w mplayer.exe
========================

Fichier non signé


MD5: 4793A9663376EF3A9044E07A9A45D966
Dates de création et modification : 2017-07-30 12:04 - 2017-07-30 12:04
Taille : 000242688
Attributs : ----A
Nom Entreprise :
Nom Interne : w mplayer.exe
Nom D'origine : w mplayer.exe
Produit : Window s Media Player
Description : Window s Media Player
Fichier Version : 1.0.0.0
Produit Version: 1.0.0.0
C opyright : C opyright © 2017
VirusTotal : https://w w w .virustotal.com
/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9
/analysis/1503093556/

= = = = = = Fin de File: = = = = = =
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation
Note : La vérification s ur notre
des s ignatures s ite. OKn'esLtearn
numériques pas more
dis ponible dans
l'Environnement de récupération (RE).

57 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Note : La commande File: ne déclenche pas de téléchargement automatique vers


Virus Total, contrairement à la commande VirusTotal:.

********************

FilesInDirectory: et Folder:

P our vérifier le c ontenu d'un dos s ier. Files I nDirec tory: es t des tiné à
répertorier des fic hiers s péc ifiques c orres pondant à un ou plus ieurs
modèles avec joker * , tandis que Folder: es t c onç u pour obtenir le c ontenu
c omplet d'un dos s ier. La s ortie des deux c ommandes inc lut les s ommes de
c ontrôle M D5 .

La s yntaxe es t :

Citer

FilesInDirectory: chemin\modèle;modèle

Citer

Folder: chemin

E xemple :

Co d e: [Sélectionner]
FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

Citer

= = = = = = = = = = = = = = = = = = = = = = = = = FilesInDirectory: C :\Window s\desktop-


7ec3qg0\*.exe;*.dll = = = = = = = = = = = = = = = = = = = = = = = =

2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A


[90F8887C BFC D2FF300214C 70348E19EC ] () C :\Window s\desktop-7ec3qg0\mgw z.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A
[7D82D50DBC 3AFDC EF5838A36B3296F86] (The Privoxy team - w w w .privoxy.org)
C :\Window s\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A
[47D76AB2C 7EBDA69DEBA03B454A9F551] (addzire.com) C :\Window s\desktop-
7ec3qg0\R untimeBroker.exe

= = = = = = Fin de Filesindirectory = = = = = =

= = = = = = = = = = = = = = = = = = = = = = = = = Folder: C :\Window s\desktop-7ec3qg0


========================

2017-10-05 11:11 - 2016-03-28 15:22 - 000000407 ____A


[4FED6C 66502829268459034D6A2D51F6] () C :\Window s\desktop-7ec3qg0\config.txt
2017-10-05 11:11 - 2016-02-07 07:10 - 000000021 ____A
[141C 4B266FC C 6204D7EE7C 6EDC C C 2D70] () C :\Window s\desktop-7ec3qg0
\default.action
2017-10-05 11:11 - 2017-09-20 02:05 - 000000117 ____A
[4A44010B8D5F3455F5447ED376294FF4] () C :\Window s\desktop-7ec3qg0
L e s ite internet Sec urity- x.fr utilis\default.filter
e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
[90F8887C BFC D2FF300214C 70348E19EC ] () C :\Window s\desktop-7ec3qg0\mgw z.dll
permettent d'améliorer
2017-10-05 11:11 navigation
votre - 2016-01-22s05:45
ur notre s ite. OK
- 000373248 ____AL earn more
[7D82D50DBC 3AFDC EF5838A36B3296F86] (The Privoxy team - w w w .privoxy.org)

58 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

C :\Window s\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A
[D41D8C D98F00B204E9800998EC F8427E] () C :\Window s\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A
[47D76AB2C 7EBDA69DEBA03B454A9F551] (addzire.com) C :\Window s\desktop-
7ec3qg0\R untimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A
[7198513210A07AB63043FA7A84635AE2] () C :\Window s\desktop-7ec3qg0
\uninstall.bat

= = = = = = Fin de Folder: = = = = = =

Note : La commande Folder: fonctionne de manière récurs ive et répertorie le


contenu de tous les s ous -dos s iers . Par cons équent, il pourrait en rés ulter des
rapports gigantes ques .

********************

FindFolder:

V oir la s ec tion Fonc tions de rec herc he dans A utres analys es fac ultatives .
La c ommande fonc tionne de la même manière que FindFolder: dans la zone
Rec herc her, mais les rés ultats s ont enregis trés dans le fic hier Fixlog.txt.

********************

Hosts:

P our réinitialis er le fic hier hos ts . V oir aus s i hos ts dans la s ec tion Analyse
principale (FRST.txt).

********************

ListPermissions:

U tilis é pour lis ter les autoris ations s ur les fic hiers /dos s iers /c lés
mentionnés dans le s c ript.

Citer

ListPermissions: chemin/clé

E xemple :
Co d e: [Sélectionner]
Listpermissions: C:\Windows\Explorer.exe

Listpermissions: C:\users\Utilisateur\appdata
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

59 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

Move:

P arfois , renommer ou déplac er un fic hier, s urtout quand c ela s e pas s e entre
des lec teurs , peut s 'avérer c ompliqué et la c ommande M S Rename peut
éc houer. P our déplac er ou renommer un fic hier, utilis ez le s c ript s uivant :

Citer

Move: source destination

E xemple :
Co d e: [Sélectionner]
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

L'outil déplac e le fic hier de des tination (s 'il exis te) vers le dos s ier
Q uarantine puis déplac e le fic hier s ourc e vers l'emplac ement de
des tination.

Note 1 : On peut renommer un fichier en utilis ant l'ins truction Move:.

Note 2 : Le chemin d'accès de des tination doit contenir le nom du fichier même
s i le fichier es t actuellement abs ent du dos s ier de des tination.

********************

Powershell:

P our exéc uter des c ommandes ou des fic hiers s c ript P owerShell.

1. P our exéc uter une c ommande P owerShell indépendante et obtenir le


rés ultat dans le fic hier Fixlog.txt, la s yntaxe es t :

Co d e: [Sélectionner]
Powershell: commande

E xemple :
Citer

Pow ershell: Get-Service

2. P our exéc uter une c ommande P owerShell indépendante et obtenir le


rés ultat dans un fic hier texte (et non dans le fic hier Fixlog.txt), utilis ez
O pérateurs de redirec tion ou A pplet de c ommande O ut-File :
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
Citer entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Pow ershell: commande > "C hemin d'accès d'un fichier texte"

60 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Citer

Pow ershell: commande | Out-File "C hemin d'accès d'un fichier texte"

E xemple :
Co d e: [Sélectionner]
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

3. P our exéc uter un fic hier s c ript (.ps 1 ), préparé à l'avanc e, c ontenant une
ou plus ieurs c ommandes /lignes P owerShell, la s yntaxe es t :

Citer

Pow ershell: "C hemin d'accès d'un fichier script"

E xemples :
Co d e: [Sélectionner]
Powershell: C:\Users\NomUtilisateur\Desktop\script.ps1

Co d e: [Sélectionner]
Powershell: "C:\Users\Nom Utilisateur\Desktop\script.ps1"

4. P our exéc uter plus ieurs c ommandes /lignes P owerShell c omme s i elles
étaient dans un fic hier s c ript (.ps 1 ), mais s ans c réer de fic hier .ps 1 ,
utilis ez un point-virgule ; pour les s éparer, au lieu de retours à la ligne :

Co d e: [Sélectionner]
Powershell: ligne 1; ligne 2; (et ainsi de suite)

E xemple :
Citer

Pow ershell: $WebC lient = New -Object System.Net.WebC lient;


$WebC lient.Dow nloadFile("http://server/file.exe", "C :\Users\Utilisateur\Desktop
\file.exe")

O n peut également utilis er les c ommandes StartPowershell: -


EndPowershell: (voir c i-des s ous ).

********************

Reboot:

P our forc er un redémarrage.

P eu importe l'endroit où vous plac ez c ette c ommande dans le fixlis t. M ême


s i vous la mettez au début, le redémarrage s era effec tué après le
traitement de toutes les autres c ommandes /ins truc tions .
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
Note : Cette entre les pages
commande internet etpas
ne fonctionnera les et
s es s ions
n'es t pasde navigation.
néces C es fic hiers
s aire dans
permettent d'améliorer votredenavigation
l'Environnement s ur notre s ite. OK L earn more
récupération.

61 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

Reg:

P our manipuler le Regis tre Windows en utilis ant l'outil de ligne de


c ommande Reg.

La s yntaxe es t :

Citer

R eg: commande reg

E xemple :
Co d e: [Sélectionner]
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /

Note : Contrairement aux ins tructions natives de FRST, la commande Reg doit
res pecter la s yntaxe correcte de reg.exe, comme l'utilis ation des guillemets en
cas de prés ence d'es paces dans le nom de la clé/valeur.

Note: Cette commande ne traitera pas les clés /valeurs verrouillées ou


invalides . Voir les commandes DeleteKey: et DeleteValue: décrits précédemment
dans le tutoriel.

********************

RemoveDirectory:

P our s upprimer (et non déplac er dans la Q uarantaine) des dos s iers avec
des droits limités et des c hemins ou noms invalides . La commande Unlock:
est inutile.
C ette c ommande doit être utilis ée pour les dos s iers qui rés is tent à
l'opération de déplac ement normale. Si elle es t utilis ée en M ode s ans
éc hec , elle s era très puis s ante, et en mode RE (E nvironnement de
réc upération) elle s era extrêmement puis s ante.

Le s c ript s era :

Citer

R emoveDirectory: chemin

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
********************
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

62 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

RemoveProxy:

Supprime c ertains paramètres de res tric tion de s tratégie d'I nternet


E xplorer c omme "H KLM \SO FT WA RE \P olic ies \M ic ros oft\I nternet E xplorer"
et "P roxySettings P erU s er" dans "H KLM \SO FT WA RE \P olic ies \M ic ros oft
\Windows \C urrentV ers ion\I nternet Settings ".
C ette c ommande s upprime les valeurs "P roxyE nable" (s i elle es t définie à
1 ), "P roxyServer", "A utoC onfigU RL", "DefaultC onnec tionSettings " et
"SavedLegac ySettings " des c lés mac hine et utilis ateur.
E lle applique aus s i la c ommande BI T SA dmin avec N O _P RO XY .

De plus , elle s upprime la valeur par défaut de la c lé "H KLM \SY ST E M


\C urrentC ontrolSet\s ervic es \N laSvc \P arameters \I nternet\M anualP roxies "
s i elle a été modifiée.

Note : S'il exis te un programme ou un s ervice actif qui res taure ces
paramètres , le logiciel doit être dés ins tallé, et le s ervice doit être s upprimé,
avant d'utilis er la commande. Ceci afin que les paramètres de proxy ne
reviennent pas .

********************

Replace:

P our remplac er un fic hier, utilis ez le s c ript s uivant :

Citer

R eplace: source destination

E xemple :
Co d e: [Sélectionner]
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.2
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.2

L'outil déplac e le fic hier de des tination (s 'il exis te) vers le dos s ier
Q uarantine puis c opie le fic hier s ourc e à l'emplac ement de des tination.

I l ne déplac e pas le fic hier s ourc e, qui s e trouve toujours à s on


emplac ement d'origine. Donc dans l'exemple c i-des s us , le fic hier dns api.dll
es t res té dans les dos s iers WinSxS.

Note : Le chemin d'accès de des tination doit contenir le nom du fichier même s i
le fichier es t actuellement abs ent du dos s ier de des tination.

Note : Si le dos s ier de des tination es t abs ent, la commande ne fonctionnera


pas . FRST ne recons truit pas une s tructure de dos s ier complète. La commande
Copy: pourrait être utilis ée à la place.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
********************
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Restore From Backup:

63 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

La première fois où l'outil es t exéc uté, il c opie les ruc hes du Regis tre dans
le dos s ier %SystemDrive%\FRST\Hives (généralement C :\FRST \H ives ) en
tant que s auvegarde.
C ec i ne s era pas éc ras é par les exéc utions s uivantes de l'outil, s auf s i
c ette s auvegarde date de plus de deux mois . Si quelque c hos e s 'es t mal
pas s é, l'une ou l'autre des ruc hes peut être res taurée.
La s yntaxe s era :

Co d e: [Sélectionner]
Restore From Backup: NomRuche

E xemples :
Co d e: [Sélectionner]
Restore From Backup: software
Restore From Backup: system

********************

RestoreErunt:

P our res taurer les ruc hes depuis E runt, le s c ript s erait :

Citer

R estoreErunt: chemin

P our res taurer depuis les s auvegardes c réées par C F (C omboFix), le s c ript
s erait :

Co d e: [Sélectionner]
RestoreErunt: cf

********************

RestoreMbr:

P our res taurer le M BR, FRST va utilis er M brFix qui es t enregis tré s ur la c lé
U SB pour éc rire un fic hier M BR.bin s ur un lec teur. C e qui es t néc es s aire:
l'utilitaire M brFix/M brFix6 4 , le M BR.bin à res taurer et le s c ript montrant le
lec teur :

Citer

R estoreMbr: Drive= #

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
E xemple : entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Co d e: [Sélectionner]
RestoreMbr: Drive=0

64 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

(N ote : Le M BR à res taurer doit être nommé M BR.bin, mis en arc hive zip et
attac hé).

********************

RestoreQuarantine:

P our res taurer l'ens emble du c ontenu de la quarantaine, ou res taurer un


s eul fic hier ou plus ieurs fic hiers depuis la quarantaine.

P our res taurer tout le c ontenu de la quarantaine, la s yntaxe es t

soit :
Co d e: [Sélectionner]
RestoreQuarantine:

soit :
Co d e: [Sélectionner]
RestoreQuarantine: C:\FRST\Quarantine

P our res taurer un fic hier ou un dos s ier, la s yntaxe es t :

Citer

R estoreQuarantine: C heminDansLaQuarantaine

E xemple :
Co d e: [Sélectionner]
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Utilisateur\Desktop\ANOTB.exe.xBAD

P our trouver le c hemin d'ac c ès dans la quarantaine, vous pouvez utilis er :

soit :
Co d e: [Sélectionner]
Folder: C:\FRST\Quarantine

soit :
Co d e: [Sélectionner]
CMD: dir /a/b/s C:\FRST\Quarantine

Note : Si un fichier exis te déjà (hors de la quarantaine) dans l'emplacement de


des tination, FRST ne l'écras era pas . Le fichier d'origine ne s era pas déplacé et
res tera dans la quarantaine. Cependant, s i vous devez res taurer le fichier
depuis la quarantaine, le fichier prés ent dans l'emplacement de des tination doit
au préalable être renommé/s upprimé.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
********************
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

SaveMbr:

65 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Voir la s ection Lecteurs et MBR & Table des partitions dans le tutoriel.

P our faire une c opie du M BR la s yntaxe s uivante es t utilis ée :

Citer

SaveMbr: Drive= #

E xemple :
Co d e: [Sélectionner]
SaveMbr: Drive=0

E n fais ant c ec i, un fic hier M BRDU M P .txt s era c réé s ur la c lé U SB, qui doit
être attac hé au mes s age par l'utilis ateur.

Note: Bien qu'un vidage du M BR puis s e être obtenu en mode normal ou en


environnement de réc upération (RE ), c ertaines infec tions s ont c apables de
c ontrefaire le M BR quand Windows es t c hargé. P ar c ons équent, il es t
c ons eillé de le faire en environnement de réc upération (RE ).

********************

SetDefaultFilePermissions:

C ommande c réée pour les fic hiers s ys tème verrouillés . E lle définit le
groupe "A dminis trateurs " en tant que propriétaire et s elon le s ys tème,
donne/ac c orde les droits d'ac c ès aux groupes s tandard.

Note : elle ne définira pas Trus tedI ns taller en tant que propriétaire, mais
cependant elle peut être utilis ée pour des fichiers s ys tème qui s ont verrouillés
par le malveillant.

Le s c ript s era :

Citer

SetDefaultFilePermissions: chemin

********************

StartBatch: — EndBatch:

P our c réer et exéc uter un fic hier batc h.

La s yntaxe es t :
Co d e: [Sélectionner]
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
StartBatch: entre les pages internet et les s es s ions de navigation. C es fic hiers
Ligne 1
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Ligne 2
Etc.

66 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

EndBatch:

Le rés ultat s era ins c rit dans le fic hier Fixlog.txt.

********************

StartPowershell: — EndPowershell:

U ne meilleure alternative pour c réer et exéc uter un fic hier P owerShell


c ontenant plus ieurs lignes (voir la c ommande Powershell: préc édemment
dans le tutoriel).

La s yntaxe es t :
Co d e: [Sélectionner]
StartPowershell:
Ligne 1
Ligne 2
Etc.
EndPowershell:

Le rés ultat s era ins c rit dans le fic hier Fixlog.txt.

********************

StartRegedit: — EndRegedit:

P our c réer et importer un fic hier Regis tre (.reg).

La s yntaxe es t :
Co d e: [Sélectionner]
StartRegedit:
fichier en format .reg
EndRegedit:

I nc lure l'entête Windows Registry Editor Version 5.00 es t fac ultatif, mais
l'entête REGEDIT4 es t néc es s aire.

E xemple :
Citer

StartR egedit:
Window s R egistry Editor Version 5.00

[HK EY_LOC AL_MAC HINE\SYSTEM\C urrentC ontrolSet\Services\MpsSvc]


"Start"= dw ord:00000002
EndR egedit:

I l y aura une ligne de c onfirmation dans le fic hier Fixlog.txt:


Co d e: [Sélectionner]
====> Registry

Note: La ligne de confirmation apparaît en dépit d'éventuelles erreurs dans


L e s ite internet Sec urity- x.fr utilis
votree des c ookies
fichier .reg. . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation
Note: Ces commandes s ur notre
ne traiteront pas sles
ite.clésOK L earn
/valeurs more
verrouillées ou
invalides . Voir les commandes DeleteKey: et DeleteValue: décrits précédemment

67 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

dans le tutoriel.

********************

TasksDetails:

Lis te des détails s upplémentaires s ur les tâc hes planifiées relatifs à


l'horaire d'exéc ution.

La s yntaxe es t :
Citer

TasksDetails:

E xemple :
Co d e: [Sélectionner]
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule

Note: Cette commande n'es t pas pris e en charge s ous Windows XP et ne


fonctionne qu'en mode normal.

********************

testsigning on:

Note : Pour Windows Vis ta et vers ions ultérieures , non pris en charge s ur les
périphériques avec le démarrage s écuris é (Secure Boot) activé.

L'ac tivation tes ts igning es t une modific ation BC D non définie par défaut,
qui pourrait être introduite par des logic iels malveillants ou des utilis ateurs
qui tentent d'ins taller des pilotes non pris en c harge. Lors que FRST trouve
des preuves de c e genre de fals ific ation, il le s ignalera c omme c ec i :

Citer

testsigning: = = > 'testsigning' est activé. R echercher un éventuel pilote non signé
< = = = = = ATTENTION

I ns pec tez la s ec tion Pilotes à la rec herc he d'un pilote c orres pondant à
l'avertis s ement. Selon la s ituation, inc lure le pilote avec l'avertis s ement ou
l'avertis s ement s eul dans la lis te de c orrec tifs .

E n c as d'effets s ec ondaires après le traitement des entrées , utilis ez la


c ommande pour réac tiver la s ignature de tes t pour un dépannage
s upplémentaire :

Citer
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
testsigning on:
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

68 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

Unlock:

C ette c ommande, dans le c as de fic hiers /dos s iers , définit le groupe "T out
le monde" en tant que propriétaire, donne les droits d'ac c ès à T out le
monde, et travaille de faç on réc urs ive quand elle s 'applique à des dos s iers .
E lle doit être utilis ée pour les fic hiers /dos s iers nuis ibles .
P our déverrouiller des fic hiers s ys tème, utilis ez la c ommande
SetDef aultFilePermissions:.

Dans le c as d'éléments du Regis tre, elle définit le groupe


"A dminis trateurs " en tant que propriétaire, et donne au groupe l'ac c ès
normal, et ne fonc tionne que s ur la c lé c onc ernée.
E lle peut être utilis ée à la fois s ur des c lés légitimes et des c lés nuis ibles .

Le s c ript s era :

Citer

Unlock: chemin

P arfois l'opération normale de déplac ement ne fonc tionne pas à c aus e des
autoris ations V ous le remarquerez en voyant "I mpos s ible à déplac er" dans
le rapport de c orrec tion Fixlog.txt. Dans c e c as vous pouvez utilis er
l'ins truc tion "U nloc k:" s ur c es fic hiers ou dos s iers .

E xemple :
Co d e: [Sélectionner]
Unlock: C:\Windows\System32\nuisible.exe

P our supprimer en même temps le fic hier, ajoutez s implement s on c hemin


d'ac c ès s ur une ligne s éparée dans le s c ript :
Co d e: [Sélectionner]
Unlock: C:\Windows\System32\nuisible.exe
C:\Windows\System32\nuisible.exe

V ous pouvez utilis er c ette c ommande pour déverrouiller des éléments du


Regis tre lors qu'ils s ont bloqués .

P ar exemple s i vous exéc utez une c orrec tion en mode de réc upération et s i
le C ontrolSet ac tuel es t C ontrolSet0 0 1 , c e qui s uit pourrait s 'appliquer :
Co d e: [Sélectionner]
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle

P our s upprimer l'élément, utilis ez l'ins truc tion Reg:. Le s c ript c omplet
s erait :
Co d e: [Sélectionner]
Unlock: hklm\system\controlset001\mauvaisservice\nomsouscle
L e s ite internet Sec urity- x.fr utilis e des
Reg: reg cdelete
ookieshklm\system\controlset001\mauvaisservice
. U n c ookie es t un fic hier texte s toc ké
/f par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
Note : La commande DeleteKey: peut être utilis ée à la place de la combinais on
Unlock: et Reg:

69 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

********************

VerifySignature:

P our vérifier la s ignature numérique d'un fic hier.

Citer

VerifySignature: chemin

E xemple :
Co d e: [Sélectionner]
VerifySignature: C:\Windows\notepad.exe

********************

VirusTotal:

P our vérifier des fic hiers avec V irus T otal.


FRST va rec herc her une analys e antérieure dans la bas e de données
V irus T otal. U n fic hier qui n'a jamais été s oumis à V irus T otal s era
téléc hargé pour analys e.

P lus ieurs fic hiers peuvent être inc lus , s éparés par des points -virgules .

Co d e: [Sélectionner]
VirusTotal: chemin d'accès;chemin d'accès

E xemple :

Citer

VirusTotal: C :\Window s\TEMP\gAEB5.tmp.exe;C :\Window s\system32\Drivers


\vsotavco.sys

Citer

VirusTotal: C :\Window s\TEMP\gAEB5.tmp.exe = > https://w w w .virustotal.com


/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19
/analysis/1500276443/
VirusTotal: C :\Window s\system32\Drivers\vsotavco.sys = >
D41D8C D98F00B204E9800998EC F8427EC (0-byte MD5)

"0 -byte M D5 " indique qu'un fic hier es t en c ours d'utilis ation ou verrouillé
ou vide ou le c hemin d'ac c ès fait référenc e à un lien s ymbolique.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
********************

70 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Zip:

P our mettre des fic hiers /dos s iers dans une arc hive nommée
Date_Heure.zip, plac ée s ur le Bureau de l'utilis ateur, qui pourra ens uite
être trans férée (upload) manuellement par l'utilis ateur.
Dans le c as de fic hiers /dos s iers ayant le même nom, plus ieurs arc hives
s eront c réées .

Co d e: [Sélectionner]
Zip: chemin d'accès;chemin d'accès

A utant de fic hiers /dos s iers que néc es s aire peuvent être inc lus , s éparés
par des points -virgules .

E xemple :
Citer

Zip: C :\malw are.exe;C :\Window s\Minidump;C :\Window s\Logs\C BS\C BS.log

********************

« Modifié: mai 04, 2018, 13:49:23 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #7 le: septembre 09, 2013,
Mega Power Members
20:06:07 »

Discours en conserve

********************

Messages: 22924
Analyse

E xemple d'ins truc tions (pour l'expert offrant de l'aide) pour que l'utilis ateur
exéc ute FRST en M ode normal - Windows V is ta, 7 , 8 et 1 0 :

Co d e: [Sélectionner]
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations
Téléchargez entre les pages internet et les s es s ions de navigation. C es fic hiers
[url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Re

permettent d'améliorer votre navigation s ur notre s ite. OK L earn more


[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/
[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle v

71 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

[LIST]
[*]Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en
[*]Cliquez sur le bouton [b]Analyser[/b].
[*]L'outil va créer deux rapports [b]FRST.txt[/b] et [b]Addition.txt[/b] situés dans le dossier de
[*]Copiez et collez ces rapports dans votre réponse.
[/LIST]

E xemple d'ins truc tions pour exéc uter FRST dans l'E nvironnement de
réc upération (RE ) - Windows V is ta et Windows 7 :

Co d e: [Sélectionner]
Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-to

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/


[url=https://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle v

Branchez la clé USB sur le PC infecté.

[color=#0000FF][b]Pour entrer dans le menu Options de récupération du système depuis les Options d
[list]
[*]Faites redémarrer l'ordinateur.
[*]Dès que le BIOS est chargé, appuyez sur la touche [b] F8[/b] jusqu'à ce que l'écran Options de
[*]Utilisez les touches flèches pour sélectionner l'élément de menu [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue du clavier, puis cliquez sur [b]Suivant[
[*]Sélectionnez le système d'exploitation que vous voulez réparer, puis cliquez sur [b]Suivant[/b]
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]

[color=#0000FF][b]Pour entrer dans les Options de récupération du système en utilisant le disque d


[list]
[*]Insérez le disque d'installation ou le disque de récupération.
[*]Faites redémarrer le PC.
[*]A l'invite, cliquez sur une touche pour faire démarrer Windows depuis le disque d'installation.
[*]Cliquez sur [b]Réparer l'ordinateur[/b].
[*]Sélectionnez [b]Français[/b] comme paramètre de langue et de clavier, puis cliquez sur [b]Suiva
[*]Sélectionnez le système d'exploitation à réparer, et cliquez sur [b]Suivant[/b].
[*]Sélectionnez votre compte d'utilisateur et cliquez sur [b]Suivant[/b].
[/list]

[color=#0000FF][b]Dans le menu Options de récupération système vous verrez les options suivantes :
[b]Réparation du démarrage
Restaurer le système
Récupération de l'image système
Diagnostic de mémoire Windows
Invite de commandes[/b]

Sélectionnez [b]Invite de commandes[/b]

[color=#0000FF][b]Dans l'Invite de commandes:[/b][/color]


[list]
[*]Dans la fenêtre de commande saisissez [b]notepad[/b] puis appuyez sur [b]Entrée[/b].
[*]Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b].
[*]Sélectionnez "Poste de travail" cherchez la lettre associée à votre clé USB et fermez le Bloc-n
L e s ite internet Sec urity- x.fr utilis e des la
[*]Dans c ookies . Uden commande,
fenêtre c ookie essaisissez
t un fic hier texte s toc ké par votre navigateur,
[b][color=#FF0000]e[/color]:\frst[/b] quila version 6
(pour
lui permet de c ons erver des informations
[b]Note:[/b]entre les pages
Remplacez internet
la lettre et les s es s ions depar
[color=#FF0000]e[/color] navigation. C es
la lettre du fic hiers
lecteur de la clé USB.
[*] L'outil FRST s'ouvre. Validez la Clause de non-responsabilité
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
[*]Cliquez sur le bouton [b]Analyser[/b].
[*] A la fin de l'analyse, un rapport d'analyse [b]FRST.txt[/b] est créé sur la clé USB. Copiez/co

72 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

[/list]

E xemple d'ins truc tions pour exéc uter FRST dans l'E nvironnement de
réc upération (RE ) - Windows 8 et 1 0 :

Co d e: [Sélectionner]
Sur un PC sain, téléchargez [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-to

[color=#008000][i][b]Note[/b]: Vous devez utiliser la version compatible avec votre système.[/i][/


[url=http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit][i]Comment savoir quelle ve

Branchez la clé USB sur le PC infecté.

[color=#0000FF][b]Pour démarrer sur les Options Avancées de Démarrage :[/b][/color]

[list][*] Dans [b]Paramètres[/b] -> [b]Mise à jour et sécurité[/b] -> [b]Récupération[/b] -> dans
[*] Le système redémarre sur les [b]Options Avancées[/b]
[*] Cliquez sur l'option [b]Dépannage[/b], puis sur [b]Options avancées[/b]
[*] Dans les [b]Options avancées[/b], cliquez sur [b]Invite de commandes[/b]
[*] Le système redémarre
[*] Sélectionnez le [b]Compte Utilisateur [/b]et renseignez le mot de passe, puis cliquez sur [b]C
[*] L'[b]Invite de commandes[/b] s'ouvre

********************

Correction

E xemples d'ins truc tions pour une c orrec tion réalis ée en M ode normal ou
s ans éc hec , c 'es t-à-dire depuis Windows :

Co d e: [Sélectionner]
Téléchargez le fichier attaché [b]fixlist.txt[/b] et enregistrez-le sur le Bureau.

[u][b]NOTE.[/b][/u] Il est important que les deux fichiers, [b]FRST/FRST64[/b] et [b]fixlist.txt [

[b][color=#FF0000]AVERTISSEMZNT : Ces lignes ont été écrites spécialement pour cet utilisateur, po

Exécutez [b][color=#0000FF]FRST/FRST64[/color][/b], cliquez une seule fois sur le bouton [b]Corrig


Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer n
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copiez/collez ce rappo

Co d e: [Sélectionner]
[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Copiez la totalité du contenu, de [b]Start::[/b] à [b]End::[/b] de la zone Code ci-dessous ([i]

Start::
.......
End::
L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre
[*]Sur le menu les pages
principal internet
de FRST, et les
cliquez une sseule
es s ions
foisde
surnavigation. C es et
[b]Corriger[/b] fic hiers
patientez le temps
permettent d'améliorer
[*]Acceptez votre navigation
le redémarrage du ssystème
ur notre
si sdemandé
ite. OK L earn more
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans votre répon

73 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, êt

Co d e: [Sélectionner]
[list][*]Exécutez [b]FRST/FRST64[/b] par [b]clic-droit -> Exécuter en tant qu'administrateur[/b]
[*]Appuyez simultanément sur les touches [b]Ctrl + y[/b]. Un fichier [b]fixlist.txt[/b] s'ouvre
[*]Copiez/collez la totalité du contenu de la zone Code ci-dessous dans ce fichier

start
.........
end

[*]Appuyez simultanément sur les touches [b]Ctrl + s[/b] pour enregistrer, puis refermez le fichie
[*]Sur le menu principal de FRST, cliquez une seule fois sur [b]Corriger[/b] et patientez le temps
[*]Acceptez le redémarrage du système si demandé
[*]L'outil va créer un rapport de correction [b]Fixlog.txt[/b]. Postez ce rapport dans ta réponse.

[color=#FF0000][b]/!\ [i]Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, êt

E xemple d'ins truc tions pour une c orrec tion réalis ée dans l'E nvironnement
de réc upération (WinRE ) :

Co d e: [Sélectionner]
[list][*] Depuis le PC sain, ouvrez le [b]Bloc-notes[/b] (Démarrer => Tous les programmes => Acces

[*] Copiez/collez la totalité du contenu de la zone [b]Code[/b] ci-dessous dans le Bloc-notes

start
.........
end

[*] Enregistrez le fichier [b]sur la clé USB[/b] sous le nom [b]fixlist.txt[/b]


[*] Connectez la clé la sur le PC infecté, qui est normalement sous WinRE

[*] Dans l'[b]Invite de commandes[/b], tapez [b]notepad[/b] et validez par [b]Entrée[/b]


[*] Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez [b]Ouvrir[/b]
[*] Cliquez sur [b]Ce PC[/b], et repèrez la lettre qui a été attribuée à la clé USB sous WinRE
[*] Refermez les fenêtres Ouvrir et Bloc-Notes
[*] Dans l'invite de commandes, tapez tapez [b][color=#FF0000]e[/color]:\frst[/b] (pour la version
[i][b]Note:[/b] Remplacez la lettre [color=#FF0000]e[/color] par la lettre de lecteur associée à l

« Modifié: Hier à 17:07:19 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #8 le: juillet 30, 2014, 14:51:41 »
Mega Power Members

Révisions du tutoriel :

Les commentaires s ur ce tutoriel peuvent être faits ici.


L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
0 9 /0 9 /2 0 1 3 - C réation
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
1 1 /0 9 /2 0 1 3 - É c lairc is s ements : entête, c lés Run, DefaultSc ope,
StartM enuI nternet, C hrome, Servic es

74 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Messages: 22924 1 1 /0 9 /2 0 1 3 - A jout de l'attribut N


1 1 /0 9 /2 0 1 3 - A jout d'un paragraphe s ur l'U nic ode
1 1 /0 9 /2 0 1 3 - A jout d'une note explic ative à
DeleteJunc tions I nDirec tory:
2 4 /0 9 /2 0 1 3 - A jout, dans A ddition.txt, d'explic ations s ur les
analys es C entre de s éc urité (Sec urity C enter) et M ode s ans éc hec
(Safe M ode)
0 1 /1 1 /2 0 1 3 - M odific ation de la s ec tion Wins oc k: C atalog5 pour
proc éder au "nets h wins oc k res et" après redémarrage
0 2 /1 1 /2 0 1 3 - M odific ation de la modific ation du 0 1 /1 1 /2 0 1 3
(redémarrage avant la c ommande "nets h wins oc k res et" s eulement s i
néc es s aire)
2 0 /1 1 /2 0 1 3 - C orrec tion - ajout d'informations s ur l'entête Fixlog
1 5 /1 2 /2 0 1 3 - M odific ation - DeleteJunc tions I nDirec tory: utilis able
dés ormais dans tous les modes
1 5 /1 2 /2 0 1 3 - Sec tion Wins oc k: C atalog5 , ajout d'un exemple de
c orrec tion d'une rupture d'ac c ès à internet
3 0 /1 2 /2 0 1 3 - A jout de RemoveDirec tory: et
SetDefaultFileP ermis s ions : dans I ns truc tions /C ommandes
3 0 /1 2 /2 0 1 3 - A jout d'explic ations s ur c e que fait la c ommande
U nloc k:
3 0 /1 2 /2 0 1 3 - A jout d'explic ations s upplémentaires s ur la fonc tion
de rec herc he (Searc h)
1 9 /0 1 /2 0 1 4 - A jout d'une information: FRST ne fonc tionne pas s ur
les mac hines XP 6 4 -bit
1 9 /0 1 /2 0 1 4 - A jout d'explic ations s ur les lis tes blanc hes
1 9 /0 1 /2 0 1 4 - E xemple d'entête modifié et mis à jour
2 2 /0 1 /2 0 1 4 - A jout d'une note explic ative s ur la c orrec tion
A ppI nit_DLLs dans la s ec tion Regis tre
2 9 /0 1 /2 0 1 4 - M odific ation de la des c ription de la fonc tion de
rec herc he (Searc h) pour indiquer que la rec herc he s ur X: intervient
en mode réc upération.
1 2 /0 2 /2 0 1 4 - M odific ation de la des c ription de la lis te des
programmes ins tallés dans A ddition.txt pour les programmes c ac hés
1 2 /0 2 /2 0 1 4 - A jout du rapport É léments dés ac tivés depuis
M SC O N FI G (Dis abled items from M SC O N FI G) dans A ddition.txt
0 4 /0 3 /2 0 1 4 - M is e à jour de la lis te des analys es fac ultatives ,
modific ation de l'image de la c ons ole FRST
0 6 /0 3 /2 0 1 4 - A jout de la c ommande Reboot:
1 5 /0 3 /2 0 1 4 - A jout de la c ommande Res toreQ uarantine:
1 5 /0 3 /2 0 1 4 - A nalys es fac ultatives , ajout de M D5 P ilotes (Drivers
M D5 ) et Shortc ut.txt
1 5 /0 3 /2 0 1 4 - A jout d'un exemple de c orrec tif pour le c as où les
s tratégies de groupe s ont utilis ées pour bloquer les modific ations s ur
les extens ions de Google C hrome
2 4 /0 4 /2 0 1 4 - A jout de la c ommande Lis tP ermis s ions :
2 4 /0 4 /2 0 1 4 - A jout d'une explic ation s ur la faç on dont FRST gère
les c orrec tions relatives aux s ervic es (s ec tion C orrec tion)
2 4 /0 4 /2 0 1 4 - SaveM br: ajouté dans la lis te au début de la s ec tion
I ns truc tions /C ommandes
0 2 /0 5 /2 0 1 4 - A jout de la c ommande DeleteKey:
0 8 /0 5 /2 0 1 4 - A jout d'une explic ation s ur A s s oc iation de fic hier E XE
dans le c hapitre A ddition.txt dans la s ec tion C orrec tion
1 6 /0 5 /2 0 1 4 - M odific ation de la s ec tion Fonc tions de rec herc he,
L e s ite internet Sec urity- x.fr utilis e des c ookies . Searc
paragraphe U n c ookie esmodifié
h Files t un fic hier textede
et ajout s toc ké par
la fonc tionvotre
Searcnavigateur,
h qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
Regis try
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
0 2 /0 6 /2 0 1 4 - M odific ation du paragraphe C hrome dans la s ec tion
C orrec tion: erreur s ur fic hier "P referenc es "

75 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

1 0 /0 6 /2 0 1 4 - A jout de la c ommande V erifySignature:


1 0 /0 6 /2 0 1 4 - Développement des explic ations s ur le Regis tre dans
la s ec tion C orrec tion
2 4 /0 6 /2 0 1 4 - C larific ations dans le paragraphe "Zones d'analys e
par défaut"
2 2 /0 7 /2 0 1 4 - Les c lés Firefox s ont lis tées , que le programme s oit
ou non ins tallé
2 2 /0 7 /2 0 1 4 - La c ommande DeleteKey: peut s upprimer des liens
s ymboliques de Regis tre
2 9 /0 7 /2 0 1 4 - Lis te "C LSI D pers onnalis é" ajoutée dans l'analys e
A ddition.txt
1 1 /0 8 /2 0 1 4 - A jout de la c ommande E mptyT emp:
1 4 /0 8 /2 0 1 4 - C ac he Java ajouté à la lis te E mptyT emp:, et
informations proc es s eur ajoutées s ous I nformations mémoire
1 9 /0 8 /2 0 1 4 - M odific ation de la s ec tion C hrome. T ous les éléments
s auf DefaultSearc hP rovider peuvent dés ormais être c orrigés via
FRST
2 4 /0 8 /2 0 1 4 - M odific ation du paragraphe
DeleteJunc tions I nDirec tory:
2 7 /0 8 /2 0 1 4 - A jout d'explic ations s ur "C ertains fic hiers du dos s ier
T E M P " ("Some c ontent of T E M P ")
2 7 /0 8 /2 0 1 4 - A jout de la c ommande H os ts :
2 7 /0 8 /2 0 1 4 - M is e à jour de c ertains intitulés et ajout de P latform:
dans l'exemple d'entête
2 8 /0 8 /2 0 1 4 - A jout d'une note préc is ant que le joker ne fonc tionne
pas pour les dos s iers dans les s ec tions "O ne M onth C reated Files
and Folders " et "O ne M onth M odified Files and Folders " (Fic hiers
c réés ou modifiés lors du dernier mois ).
2 8 /0 8 /2 0 1 4 - A jout d'une explic ation s ur l'emplac ement des
s ec tions "E XE A SSO C I A T I O N " (A s s oc iation de fic hier E XE ),
"Res tore P oints " (P oints de res tauration) et "M emory info"
(I nformations mémoire) quand l'analys e es t effec tuée dans ou en
dehors de l'E nvironnement de réc upération.
3 1 /0 8 /2 0 1 4 - A jout d'un lien vers la traduc tion polonais e.
0 2 /0 9 /2 0 1 4 - A jout d'une explic ation s ous P rogrammes ins tallés
(I ns talled P rograms ) à propos du marquage des programmes
public itaires /indés irables
0 2 /0 9 /2 0 1 4 - A jout d'une explic ation s ous M odules c hargés
(Loaded M odules )
0 2 /0 9 /2 0 1 4 - A jout d'une explic ation s ur la c orrec tion des plugins
dans Firefox
0 7 /0 9 /2 0 1 4 - Simplific ation des explic ations s ur les add-ons ,
extens ions et plugins de Firefox
0 7 /0 9 /2 0 1 4 - Les c lés C hrome s ont lis tées , que le programme s oit
ou non ins tallé
0 8 /0 9 /2 0 1 4 - A jout de la c ommande C los eP roc es s es :
1 9 /0 9 /2 0 1 4 - M is e à jour de la s ec tion É tat de s ortie, paragraphe
E ntête
1 1 /1 0 /2 0 1 4 - M is e à jour de l'exemple d'entête: ajout des
informations de profil
1 1 /1 0 /2 0 1 4 - M is e à jour du paragraphe A ddition.txt: ajout des
informations s ur les c omptes
1 1 /1 0 /2 0 1 4 - M is e à jour des informations s ur les lis tes blanc hes
dans I ntroduc tion
L e s ite internet Sec urity- x.fr utilis e des c ookies
1 3 /1 0 /2 0 1.4U-n Ac jout
ookiedeeslat cun fic hier texte
ommande s toc ké par votre navigateur, qui
FindFolder:
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
1 5 /1 0 /2 0 1 4 - M is e à jour de l'exemple et des informations de
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
l'entête du rapport de c orrec tion
1 6 /1 0 /2 0 1 4 - A jout d'une explic ation s ur l'entête RE

76 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

(E nvironnement de réc upération) après l'exemple d'entête FRST


0 2 /1 2 /2 0 1 4 E xemples I E H KC U remplac és par H KU
0 2 /1 2 /2 0 1 4 E xemples FF H KC U remplac és par H KU
0 2 /1 2 /2 0 1 4 A jout de l'alerte à propos de la vers ion "dev" de
C hrome
0 2 /1 2 /2 0 1 4 Suppres s ion de l'alerte au s ujet d'une pos s ible
c orruption du fic hier "preferenc es " de C hrome. Devenu obs olète
après les modific ations de C hrome.
0 2 /1 2 /2 0 1 4 Suppres s ion de la référenc e à Google C hrome
DefaultSearc hP rovider. Devenu obs olète après les modific ations de
C hrome.
1 3 /1 2 /2 0 1 4 - M is e à jour du libellé de l'alerte tes ts igning:
1 9 /1 2 /2 0 1 4 - A jout de la c ommande C reateRes toreP oint:
2 9 /1 2 /2 0 1 4 - A jout de la mention du navigateur par défaut dans
l'entête
1 2 /0 1 /2 0 1 5 - C larific ation du paragraphe Firefox de la s ec tion
C orrec tion
2 4 /0 1 /2 0 1 5 - A jout d'informations s ur l'entête du rapport d'analys e
A ddition.txt
2 4 /0 1 /2 0 1 5 - A jout, dans la s ec tion Regis tre, d'un exemple de
détec tion de la prés enc e d'une valeur Dis ableSR ou Dis ableC onfig
2 7 /0 1 /2 0 1 5 - A jout d'une note dans la s ec tion Regis tre pour
s ignaler aux lec teurs que lors que la Res tauration s ys tème es t
dés ac tivée, il y a aus s i un avertis s ement dans le rapport d'analys e
A ddition.txt
2 8 /0 1 /2 0 1 5 - A jout du navigateur O pera dans la s ec tion C orrec tion
2 8 /0 1 /2 0 1 5 - A jout d'un guide pour s upprimer des extens ions dans
C hrome
0 9 /0 2 /2 0 1 5 - A jout, dans la des c ription de la c ommande
DeleteKey:, des s uppres s ions de c lé via le format regedit
1 6 /0 2 /2 0 1 5 - A jout, dans la s ec tion A ddition.txt, d'une explic ation
s ur les analys es "A utres zones "
0 1 /0 3 /2 0 1 5 - M is e à jour de l'image de la c ons ole FRST
0 1 /0 3 /2 0 1 5 - M is e à jour de la des c ription de la c ommande
E mptyT emp:, ajout de O pera et de H T M L5 Loc al Storage
0 5 /0 3 /2 0 1 5 - M is e à jour des liens de téléc hargement
0 5 /0 3 /2 0 1 5 - C larific ation du paragraphe Servic es et P ilotes de la
s ec tion C orrec tion
0 9 /0 3 /2 0 1 5 - A jout de la c ommande RemoveP roxy:
0 9 /0 3 /2 0 1 5 - A jout de l'option d'analys e 9 0 Days Files
1 3 /0 4 /2 0 1 5 - M odific ation de la des c ription de la c ommande
E mptyT emp:, l'his torique de FF n'es t pas s upprimé
2 2 /0 4 /2 0 1 5 - A jout, dans la s ec tion A ddition.txt, de la lis te des
s ites de c onfianc e/s ens ibles d'I nternet E xplorer
2 7 /0 4 /2 0 1 5 - A jout de l'analys e Règles du pare-feu (FirewallRules )
dans la s ec tion A ddition.txt
2 1 /0 7 /2 0 1 5 - E xplic ation du [X] ajouté dans le paragraphe Servic es
et P ilotes (Drivers ) de la s ec tion C orrec tion
2 2 /0 7 /2 0 1 5 - A jout du C ontrôle de c ompte d'utilis ateur (U A C ) et du
P are-feu Windows dans le paragraphe A utres zones (O ther areas ) de
la s ec tion A ddition.txt
2 8 /0 8 /2 0 1 5 - Franc is ation des libellés
2 8 /0 8 /2 0 1 5 - Dans C orrec tion, c larific ation de la rubrique internet
2 8 /0 8 /2 0 1 5 - A jout d'un lien dans la des c ription de la c ommande
L e s ite internet Sec urity- x.fr utilis e des
ResctoreM
ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
BR:
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
2 8 /0 8 /2 0 1 5 - M is e à jour de plus ieurs exemples pour les adapter
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
aux modific ations de la prés entation des états de s ortie
0 1 /0 9 /2 0 1 5 - M is e à jour de la s ec tion C orrec tion pour refléter les

77 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

modific ations du rapport d'analys e I nternet E xplorer


0 7 /0 9 /2 0 1 5 - M is e à jour de l'exemple d'entête du fic hier
A ddition.txt
0 9 /1 0 /2 0 1 5 - A jout de la pris e en c harge de Windows 1 0 dans le
paragraphe "A vec quoi il fonc tionne"
0 9 /1 0 /2 0 1 5 - A jout de l'analys e E dge dans la s ec tion C orrec tion
0 9 /1 0 /2 0 1 5 - M is e à jour de l'explic ation s ur les profils s ous Firefox
et C hrome
0 9 /1 0 /2 0 1 5 - M is e à jour du format d'affic hage des res tric tions
(s tratégies de groupe) dans C hrome
0 9 /1 0 /2 0 1 5 - M is e à jour avec un exemple du paragraphe T âc hes
planifiées dans la s ec tion A dditions .txt
0 9 /1 0 /2 0 1 5 - M is e à jour de l'explic ation M SC O N FI G/T A SK
M A N A GE R éléments dés ac tivés dans la s ec tion A dditions .txt
0 9 /1 0 /2 0 1 5 - Suppres s ion de M ic ros oft O ffic e de la lis te des erreurs
du Journal des événements
0 9 /1 0 /2 0 1 5 - M is e à jour de la c ommande E mptyT emp: pour ajouter
la s uppres s ion du c ac he E dge
2 2 /1 0 /2 0 1 5 - M odific ation de la T able des matières par ajout de
Lis te BC D
2 2 /1 0 /2 0 1 5 - Dans FF, les modules c omplémentaires non s ignés
s ont s ignalés
2 2 /1 0 /2 0 1 5 - M is e à jour de la des c ription et des exemples pour
BH O s , P lugins FF, extens ions dans le Regis tre pour C hrome
2 2 /1 0 /2 0 1 5 - Simplific ation de la des c ription et de l'exemple dans
A lternate Data Streams - A DS (Flux de Données A dditionnels )
2 2 /1 0 /2 0 1 5 - A jout de Lis te BC D dans A utres fonc tions
1 3 /1 1 /2 0 1 5 - A jout, dans la s ec tion I ntroduc tion, de la faç on de
forc er la c réation de rapports d'analys e en anglais
2 7 /1 1 /2 0 1 5 - A jout du paragraphe Rac c ourc is dans la s ec tion
A ddition.txt
0 1 /1 2 /2 0 1 5 - M is e à jour du paragraphe Rac c ourc is dans la s ec tion
A ddition.txt
0 1 /1 2 /2 0 1 5 - M is e à jour du paragraphe "U n mois - C réés - fic hiers
et dos s iers / U n mois - M odifiés - fic hiers et dos s iers " dans la
s ec tion C orrec tion
3 0 /1 2 /2 0 1 5 - M odific ation de l'ordre de prés entation des rubriques
de A ddition.txt afin que le tutoriel c orres ponde à la dernière vers ion
de FRST
3 0 /1 2 /2 0 1 5 - A jout de la lis te des paragraphes de A ddition.txt dans
la T able des matières
0 4 /0 1 /2 0 1 6 - Suppres s ion de la mention "A T T E N T I O N " dans la
rubrique Rac c ourc is
0 4 /0 1 /2 0 1 6 - A jout des ports globalement ouverts
(GloballyO penP orts ) dans les Règles P are-feu
0 5 /0 3 /2 0 1 6 - A jout des informations de taille dans le paragraphe
A lternate Data Streams - A DS (Flux de Données A dditionnels )
0 5 /0 3 /2 0 1 6 - A jout de la c ommande Zip:
2 0 /0 4 /2 0 1 6 - M is e à jour de la des c ription O pera
2 0 /0 4 /2 0 1 6 - C larific ation de la s ec tion "Servic es et P ilotes "
2 0 /0 4 /2 0 1 6 - A jout de l'attribut X dans le paragraphe "U n mois -
C réés - fic hiers et dos s iers ..."
2 0 /0 4 /2 0 1 6 - Suppres s ion du paragraphe "A lternate Data Streams "
dans la s ec tion C orrec tion
L e s ite internet Sec urity- x.fr utilis e des c ookies
2 0 /0 4 /2 0 1.6U-n M
c ookie es t un
is e à jour de fic
la hier texte
s ec tion s toc ké &
"Bamital par votre
vols nap"navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
2 0 /0 4 /2 0 1 6 - M is e à jour du lien dans le paragraphe "I nternet
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
E xplorer s ites de c onfianc e/s ens ibles "
2 0 /0 4 /2 0 1 6 - A jout des des c riptions "H os ts c ontenu" et "P oints de

78 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

res tauration" dans la s ec tion A ddition.txt


2 0 /0 4 /2 0 1 6 - M is e à jour de la des c ription de la c ommande
E mptyT emp: (c ac he H T M L Steam et trans fert BI T S)
2 0 /0 4 /2 0 1 6 - M is e à jour de la des c ription "Rec herc he de fic hiers " :
ajout de la vérific ation des s ignatures numériques
2 0 /0 4 /2 0 1 6 - A jout de notes pour rappeler que la vérific ation des
s ignatures numériques n'es t pas dis ponible dans l'E nvironnement de
réc upération
2 0 /0 4 /2 0 1 6 - Divers es modific ations c os métiques
2 8 /0 4 /2 0 1 6 - A jout d'une note relative aux limitations de l'analys e
U n mois ...
2 8 /0 4 /2 0 1 6 - A jout de la détec tion WM I malware à l'analys e
Shortc uts dans A ddition.txt
2 8 /0 4 /2 0 1 6 - M is e à jour du paragraphe Shortc ut.txt
1 0 /0 5 /2 0 1 6 - L'analys e "E XE A s s oc iation" es t renommée en
"A s s oc iation" (dans toutes les c as ) et élargie (s eulement dans
l'analys e A ddition.txt)
1 0 /0 5 /2 0 1 6 - C orrec tion de l'exemple de la c ommande File:
1 2 /0 5 /2 0 1 6 - Réorganis ation de la prés entation du tutoriel
1 1 /0 6 /2 0 1 6 - A jout d'un lien vers la traduc tion rus s e
1 6 /0 6 /2 0 1 6 - M is e à jour de la lis te des "Zones d'analys e par
défaut"
1 6 /0 6 /2 0 1 6 - A jout d'une explic ation s ur l'utilis ation des c arac tères
"?" dans les des c riptions "U n mois ..." et "Rec herc he dans le
Regis tre"
1 6 /0 6 /2 0 1 6 - A jout de la c ommande P owers hell:
1 6 /0 6 /2 0 1 6 - A jout de préc is ions dans la des c ription de la
c ommande "Zip:"
1 6 /0 6 /2 0 1 6 - I ndic ation des limites de la zone d'analys e dans les
des c riptions "FindFolder:" et "Rec herc he de fic hiers "
1 6 /0 6 /2 0 1 6 - A jout des fic hiers et dos s iers "modifiés " dans la
des c ription "Fic hiers 9 0 jours "
1 8 /0 6 /2 0 1 6 - A jout du c ac he des ic ônes dans la lis te E mptyT emp:
0 5 /0 7 /2 0 1 6 - M is e à jour de la des c ription de la c ommande
P owers hell:
2 2 /0 7 /2 0 1 6 - A jout des c ommandes StartBatc h: - E ndBatc h: et
StartP owers hell: - E ndP owers hell:
2 2 /0 7 /2 0 1 6 - C orrec tion des des c riptions des c ommandes
SetDefaultFileP ermis s ions : et U nloc k:
2 2 /0 7 /2 0 1 6 - Le fic hier journal rapport de rec herc he "Rec herc he
dans le Regis tre" es t renommé en Searc hReg.txt
2 5 /0 7 /2 0 1 6 - A jout des c ommandes StartRegedit: - E ndRegedit:
2 5 /0 7 /2 0 1 6 - M is e à jour de la des c ription de la c ommande Reg:
1 5 /0 8 /2 0 1 6 - A jout des extens ions dans le paragraphe E dge
2 2 /0 9 /2 0 1 6 - M is e à jour de la des c ription de "M SC O N FI G/T A SK
M A N A GE R éléments dés ac tivés " avec des explic ations s ur la
c orrec tion et de nouveaux exemples
1 3 /1 0 /2 0 1 6 - Suppres s ion, dans la s ec tion Regis tre, de l'anc ienne
détec tion relative à une modific ation ZeroA c c es s ("File name is
altered")
1 3 /1 0 /2 0 1 6 - Développement des explic ations s tratégies (P olic ies )
dans la s ec tion Regis tre pour traiter les res tric tions SA FE R, les
s c ripts GP O et une nouvelle détec tion Regis try.pol
1 3 /1 0 /2 0 1 6 - M is e à jour de la des c ription Firefox : l'analys e traite
L e s ite internet Sec urity- x.fr utilis e des
tous c ookies . U n (et
les profils c ookie
c onces t unaus
erne fic hier texte
s i les s toc
c lones dekéFirefox)
par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
1 3 /1 0 /2 0 1 6 - M is e à jour de la des c ription C hrome pour inc lure le
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more
s ignalement de profils et le traitement des préférenc es
1 3 /1 0 /2 0 1 6 - La c as e s ituée devant A ddition.txt es t dés ormais

79 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

toujours pré-c oc hée


1 3 /1 0 /2 0 1 6 - A jout de la c ommande T as ks Details :
0 9 /1 2 /2 0 1 6 - A jout de la c orrec tion du s ervic e T hemes dans les
exc eptions s ous Servic es
0 9 /1 2 /2 0 1 6 - La s auvegarde des ruc hes du Regis tre s era éc ras ée s i
elle date de plus de deux mois
0 9 /1 2 /2 0 1 6 - M is e à jour de la des c ription de la c ommande Zip: en
rais on de la nouvelle c onvention de nommage du fic hier ZI P

. Merci à nickW
« Modifié: février 26, 2018, 17:50:54 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #9 le: août 25, 2017, 13:41:04 »
Mega Power Members

Dernières Révisions du tutoriel :

Les commentaires s ur ce tutoriel peuvent être faits ici.

1 8 /0 1 /2 0 1 7 - M is e à jour de la des c ription Regis tre: la s uppres s ion


des c lés verrouillées es t planifiée après redémarrage
2 4 /0 1 /2 0 1 7 - Suppres s ion du lien vers la traduc tion allemande
Messages: 22924 0 1 /0 2 /2 0 1 7 - Remplac ement du lien vers la traduc tion franç ais e
1 3 /0 2 /2 0 1 7 - Des c ription du paragraphe U nic ode déplac ée dans
I ntroduc tion et mis e à jour avec de nouveaux exemples
1 3 /0 2 /2 0 1 7 - Suppres s ion du paragraphe N ettoyage des plugins
"A uc un fic hier" dans la des c ription de C hrome (les c ontrôles des
plugins ne s ont pas dis ponibles dans C hrome 5 6 +)
1 3 /0 2 /2 0 1 7 - M is e à jour de divers exemples et des liens c orrigés
1 9 /0 2 /2 0 1 7 - A jout de la c ommande E xportKey:
2 3 /0 2 /2 0 1 7 - A jout de la c ommande E xportV alue:
0 5 /0 3 /2 0 1 7 - A jout de la c ommande DeleteV alue:
0 5 /0 3 /2 0 1 7 - P ris e en c harge de la c ommande DeleteKey: en M ode
de Réc upération
0 5 /0 5 /2 0 1 7 - A jout du rac c ourc i C trl + y pour c réer
automatiquement un fixlis t.txt vide
0 5 /0 5 /2 0 1 7 - M is e à jour de la des c ription de C hrome pour inc lure
des ins truc tions s ur la faç on de gérer les redirec tions et les
extens ions N ew T ab
0 5 /0 5 /2 0 1 7 - Divers es petites modific ations
0 6 /0 5 /2 0 1 7 - A jout pour appliquer un c orrec tif par le P res s e-papier
0 5 /0 6 /2 0 1 7 - A jout de la détec tion de c ertific ats non approuvés
dans la s ec tion Regis tre
L e s ite internet Sec urity- x.fr utilis e des c ookies
0 7 /0 6 /2 0 1.7U-n Ac jout
ookiedeeslat cun fic hier texte
ommande s toc ké par votre navigateur, qui
C reateDummy:
lui permet de c ons erver des informations 0 7 /0 6 /2 0 1 7 - M is e à jour de la des c ription dede
entre les pages internet et les s es s ions navigation.
Firefox C lure
pour inc es ficlehiers
permettent d'améliorer votre navigation
s ignalement de profils s ur notre s ite. OK L earn more
1 4 /0 6 /2 0 1 7 - Sec tion Rac c ourc is renommés en Rac c ourc is et WM I

80 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

dans A ddition.txt
1 4 /0 6 /2 0 1 7 - E xtens ions C hrome dans le Regis tre : explic ation
c larifiée
0 4 /0 7 /2 0 1 7 - T utoriel allemand mis à jour et inc lus dans la lis te des
traduc tions offic ielles
0 4 /0 7 /2 0 1 7 - A nalys e élargie dans la s ec tion P ers onnalis é C LSI D
0 4 /0 7 /2 0 1 7 - A jout des paramètres SmartSc reen dans A utres zones
0 4 /0 7 /2 0 1 7 - M is e à jour de la des c ription d'I nternet E xplorer
0 4 /0 7 /2 0 1 7 - Divers es s implific ations et modific ations mineures
0 8 /0 7 /2 0 1 7 - Les lignes C H R E xtens ion ne s ont plus traitées dans
le c orrec tif
1 9 /0 8 /2 0 1 7 - M is e à jour des I nformations du T utoriel
1 9 /0 8 /2 0 1 7 - A jout de la c ommande V irus T otal:
1 9 /0 8 /2 0 1 7 - M is e à jour de la c ommande File: pour inc lure
l'analys e V irus T otal
1 9 /0 8 /2 0 1 7 - Réc urs ivité c larifiée pour la c ommande Folder:
1 9 /0 8 /2 0 1 7 - M odific ation de la des c ription des c omptes pour
indiquer que les noms des c omptes M ic ros oft ne s ont pas détec tés
0 5 /1 0 /2 0 1 7 - A jout de la limite de temps du c orrec tif dans la
s ec tion C orrec tion
0 5 /1 0 /2 0 1 7 - A jout de la détec tion des pilotes verrouillés / zéro
oc tets et du mode de réc upération dés ac tivé dans la s ec tion Bamital
et vols nap
0 5 /1 0 /2 0 1 7 - A jout de la c ommande Files I nDirec tory:
0 5 /1 0 /2 0 1 7 - Séparation et mis e à jour des c ommandes File: et
Folder:
1 0 /1 0 /2 0 1 7 - A jout des fonc tionnalités FindFolder: et Searc hA ll: au
bouton "C herc her Fic hiers "
1 0 /1 0 /2 0 1 7 - M is e à jour de la des c ription de la c ommande
FindFolder:
2 1 /1 0 /2 0 1 7 - Remplac ement des exemples d'E ntête FRST .txt et
A ddition.txt pour c ouvrir la détec tion de la vers ion de Windows 1 0
2 4 /1 0 /2 0 1 7 - A jout de l'explic ation pour "C urrentU s erN ame" dans
I ntroduc tion
2 1 /1 0 /2 0 1 7 - Remplac ement des exemples d'E ntête FRST .txt et
A ddition.txt pour c ouvrir la détec tion de la vers ion de Windows 1 0
2 4 /1 0 /2 0 1 7 - A jout de l'explic ation pour "C urrentU s erN ame" dans
I ntroduc tion
2 7 /1 1 /2 0 1 7 - Séparation des des c riptions Fixlis t.txt et C trl+y

« Modifié: février 26, 2018, 17:53:07 par chantal11 » IP archivée

chantal11 Re : Tutoriel FRST - Farbar


Recovery Scanner Tool
Admin Formation
« Réponse #10 le: mai 04, 2018, 14:01:22 »
Mega Power Members

Dernières Révisions du tutoriel :

Les commentaires s ur ce tutoriel peuvent être faits ici.


L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer 1 7 /0 1votre
/2 0 1 navigation s ursnotre
8 - Détec tion s ite.desOK
implifiée L earn
pilotes more
verrouillés dans la
s ec tion Bamital et vols nap

81 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

1 7 /0 2 /2 0 1 8 - A jout de la c ommande C opy:


1 7 /0 2 /2 0 1 8 - A jout du journal des événements de Windows
Defender
1 7 /0 2 /2 0 1 8 - M is e à jour dans Lec teurs et M BR & T able des
partitions pour inc lure les volumes non montés et les s c hémas
U E FI \GP T
2 0 /0 2 /2 0 1 8 - Suppres s ion pour les détec tions de rookit T DL4 dans
Messages: 22924 les s ec tions Bamital & vols nap et Lec teurs et M BR & T able des
partitions
2 5 /0 2 /2 0 1 8 - Suppres s ion des référenc es ZeroA c c es s dans les
des c riptions Wins oc k, N etSvc s , U n M ois
2 5 /0 2 /2 0 1 8 - E xplic ation remplac ée pour le traitement des liens
s ymboliques dans U n M ois
2 5 /0 2 /2 0 1 8 - Suppres s ion de la c ommande nointegrityc hec ks on:
(n'es t plus pris e en c harge)
2 5 /0 2 /2 0 1 8 - Remplac ement de la c ommande tes ts igning on: par
une vers ion générique et s implifiée
2 5 /0 2 /2 0 1 8 - Suppres s ion de la détec tion "C hrome dev build
détec tée! "
2 5 /0 2 /2 0 1 8 - Suppres s ion d'anc iens exemples dans les
des c riptions de Firefox et de C hrome
2 5 /0 2 /2 0 1 8 - C orrec tion de la des c ription SmartSc reen pour c ouvrir
Windows 1 0 V ers ion 1 7 0 3 et ultérieure
2 5 /0 2 /2 0 1 8 - Divers petits c hangements
1 1 /0 3 /2 0 1 8 - Suppres s ion de I nformations s ur les dons
0 3 /0 5 /2 0 1 8 - A jout de la des c ription de dés ins tallation
1 7 /0 5 /2 0 1 8 - A jout de l'analys e des s tratégies de Firefox
1 7 /0 5 /2 0 1 8 - Des c ription c larifiée pour les P rogrammes ins tallés

« Modifié: mai 18, 2018, 13:28:13 par chantal11 » IP archivée

Pages: [1] En haut IMPRIMER


« précédent suivant »
Tags:

Security-X » Forum Security-X » Sécurité Générale » Tutoriels » Tutoriel FRST - Farbar Recovery Scanner Tool

Aller à: ===> Tutoriels Allons-y !

L e s ite internet Sec urity- x.fr utilis e des c ookies . U| n


SMF 2.0.15 c ookie
SMF © 2011,es t unMachines
Simple fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre SMFAds les pages internet
for Free Forums et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

82 sur 83 14/09/2018 à 09:06


Tutoriel FRST - Farbar Recovery Scanner Tool - Tutoriels - Security-X -... https://forum.security-x.fr/tutoriels-317/tutoriel-frst-farbar-recovery-scan...

Ce(tte) oeuvre est mise a disposition selon les termes de la Licence Creative Commons Attribution -
Pas d'Utilisation Commerciale - Pas de Modification 3.0 non transposé
Ce site est hébergé par la société OVH
Sitemap XHTML Flux RSS WAP2

Page générée en 1.429 secondes avec 26 requêtes.

L e s ite internet Sec urity- x.fr utilis e des c ookies . U n c ookie es t un fic hier texte s toc ké par votre navigateur, qui
lui permet de c ons erver des informations entre les pages internet et les s es s ions de navigation. C es fic hiers
permettent d'améliorer votre navigation s ur notre s ite. OK L earn more

83 sur 83 14/09/2018 à 09:06