FRST (Farbar) description

Voir le sujet précédent Voir le sujet suivant Aller en bas

FRST (Farbar) description

Message par Admin le Jeu 13 Juin - 14:27

FRST : Farbar Recocery Scan Tool


Page sur Bleeping Computer








  • Existe en deux versions portables, 32 et 64 bits, pour Windows de XP  à Win8 (1,8 Mo).
  • Peut être utilisé en mode normal, en mode sans échec, en ligne de commande, scriptable.
  • Utilisable en ligne de commande sous environnement WinRE (Vista et +)
  • Pour XP il faut passer par un LiveCD et une clé USB pour FRST et les rapports/scripts.
  • Permet des Examens, des Recherches de fichiers, des scripts de correction.
  • Régulièrement mis à jour.





  • Fonction Scan, avec options

    Des informations sont fournies sur : (FRST.txt, dans le même dossier que l'outil) exemple de rapport (sous WinRE)


    • Les processus actifs (avec liste blanche)
    • Les points de chargements REG (avec liste blanche)
    • Les options internet et les navigateurs
    • Les Services (avec liste blanche), état et type de démarrage
    • Les Drivers (avec liste blanche), id.
    • En option les MD5 des drivers (sigcheck)
    • Les NetSvcs (lancés par svchost)
    • Les fichiers/dossiers créés le dernier mois
    • Les fichiers/dossiers modifiés le dernier mois
    • Des recherches spécifiques à certaines infections (Bamital ou ZeroAccess par exemple)












  • Le rapport additionnel en option donne : (Addition.txt, dans le même dossier que l'outil)


    • Les programmes installés (avec version)
    • Les points de restauration,
    • Les éléments à problèmes
    • Les derniers évènements (eventlog), classés par rubriques
    • Des informations sur la mémoire, les disques, le MBR et la table des partitions.













  • Fonction Recherche (Search Files)

    Très utile en cas de "patch" d'un fichier. La recherche fournit pour chaque occurrence : (Search.txt, dans le même dossier que l'outil)

    winlogon.exe;nvvsvc.exe;csrss.exe











    • Les dates de création et de modification du fichier
    • Sa taille en octets
    • Son éditeur
    • Son MD5














  • Fonction Fix

    Le sript est à ecrire au format : fixlist.txt, dans le même dossier que FRST, qui ira le chercher automatiquement.
    Le résultat de la correction sera dans Fixlog.txt (qui repend le "fixlist" en en-tête)

    Un fix peut être par exemple (je ne mentionne que les switches rencontrés) :

    (une des lignes d'un rapport FRST : C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender)

    Toutes les lignes suivies de  :

      <====== ATTENTION [x] -> non signé[017] -> suspect (partition)



  • sont à prendre en considération...



    Start
    HKLM-x32\...\Run: [FAStartup]  [x]
    HKLM-x32\...\Run: [DATAMNGR] C:\PROGRA~2\SEARCH~2\Datamngr\DATAMN~1.EXE [1823160 2012-06-06] (Bandoo Media, inc)
    AppInit_DLLs: C:\PROGRA~2\SEARCH~2\Datamngr\x64\datamngr.dll C:\PROGRA~2\SEARCH~2\Datamngr\x64\IEBHO.dll  [1528760 2012-06-06] (Bandoo Media, inc)
    Lsa: [Notification Packages] scecli FAPassSync
    SubSystems: [Windows] ATTENTION! ====> ZeroAccess
    S2 BasicScan Service; "C:\Program Files (x86)\BasicScan\basicscan.exe" "C:\Program Files (x86)\BasicScan\basicscan.dll" muyahote emixizizu [x]
    S3 X6va005; \??\C:\Users\Adam\AppData\Local\Temp\0058255.tmp [x]
    S3 X6va006; \??\C:\Users\Adam\AppData\Local\Temp\006616B.tmp [x]
    C:\Windows\assembly\GAC_32\Desktop.ini
    C:\Windows\assembly\GAC_64\Desktop.ini
    C:\Users\Adam\Setup.exe
    C:\Users\Josh\MSSetupv99.exe
    C:\Windows\Tasks\At1.job

    TDL4: custom:26000022 <===== ATTENTION!
    Reg: reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
    DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
    Move: C:\Users\WSAdmin\AppData\Local\Temp\RarSFX0\userinit.exe C:\Users\WSAdmin\AppData\Local\Temp\RarSFX0\userinit.exe.old
    Unlock: C:\Windows\system32\drivers\atapi.sys
    cmd: Dir /b /a:l "C:\Program Files" /s
    cmd: bcdedit /enum all /v
    SaveMbr: Drive=0
    Replace: C:\Windows\bon_fichier.exe C:\Windows\mauvais_fichier.exe
    End











  • FRST : les switches rencontrés... (voir : BleepingComputer)





    • Start et End
      En début et fin de script. Optionnels ?
    • Cmd:
      Lance cdm.exe, comme /c sur OTL.
      Voir les commandes sur SS64.
      Exemples :
      cmd: Dir /b /a:l "C:\Program Files" /s
      cmd: bcdedit /enum all /v

    • Reg:
      Voir SS64 : reg.exe
      Exemple :
      Reg: reg query "hklm\system\controlset001\control\session manager\subsystems"

    • Move:
      Pour déplacer un fichier :
      move: départ arrivée
    • Last Boot: [date - heure]

      Restaure les ruches du registre à l'état du dernier démarrage
      FRST.txt
      Last Boot: 2012-07-27 16:25
      fixlist.txt
      Last Boot: 2012-07-27 16:25
      fixlog.txt
      DEFAULT hive was successfully copied to System32\config\HiveBackup
      DEFAULT hive was successfully restored from registry back up.
      SAM hive was successfully copied to System32\config\HiveBackup
      SAM hive was successfully restored from registry back up.
      SECURITY hive was successfully copied to System32\config\HiveBackup
      SECURITY hive was successfully restored from registry back up.
      SOFTWARE hive was successfully copied to System32\config\HiveBackup
      SOFTWARE hive was successfully restored from registry back up.
      SYSTEM hive was successfully copied to System32\config\HiveBackup
      SYSTEM hive was successfully restored from registry back up.


    • Replace:
      Pour remplacer un fichier patché, après recherche de remplaçant par Search File(s)

      Replace: C:\bon_fichier.exe C:\mauvais_fichier.exe

    • SaveMbr: Drive=0
      Sans commentaire...


    • Unlock:
      Pour déverrouiller un driver, une clé de registre par exemple :
      Unlock: C:\Windows\system32\drivers\atapi.sys
      Unlock: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MsMpSvc


    • DeleteJunctionsInDirectory: Exemple sur cette page
      Après une infection ZeroAccess p.e. :
      FRST.txt :
      C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender)
      fixlist.txt :
      DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
      fixlog.txt
      "C:\Program Files\Windows Defender\en-US" => Deleting reparse point and unlocking completed.

    • DisableService: nom_du_service
      sans commentaire



[/list]
avatar
Admin
Admin

Messages : 49
Date d'inscription : 12/06/2013

http://infopractice.forumactif.org

Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum