FRST (Farbar) description

par **Admin** Jeu 13 Juin - 14:27

FRST : Farbar Recocery Scan Tool

Page sur Bleeping Computer

FRST (Farbar) description File?l=cbGga7i0C2lW

Existe en deux versions portables, 32 et 64 bits, pour Windows de XP à Win8 (1,8 Mo).
Peut être utilisé en mode normal, en mode sans échec, en ligne de commande, scriptable.
Utilisable en ligne de commande sous environnement WinRE (Vista et +)
Pour XP il faut passer par un LiveCD et une clé USB pour FRST et les rapports/scripts.
Permet des Examens, des Recherches de fichiers, des scripts de correction.
Régulièrement mis à jour.

Fonction Scan, avec options

Des informations sont fournies sur : (FRST.txt, dans le même dossier que l'outil) exemple de rapport (sous WinRE)
- Les processus actifs (avec liste blanche)
- Les points de chargements REG (avec liste blanche)
- Les options internet et les navigateurs
- Les Services (avec liste blanche), état et type de démarrage
- Les Drivers (avec liste blanche), id.
- En option les MD5 des drivers (sigcheck)
- Les NetSvcs (lancés par svchost)
- Les fichiers/dossiers créés le dernier mois
- Les fichiers/dossiers modifiés le dernier mois
- Des recherches spécifiques à certaines infections (Bamital ou ZeroAccess par exemple)
Le rapport additionnel en option donne : (Addition.txt, dans le même dossier que l'outil)
- Les programmes installés (avec version)
- Les points de restauration,
- Les éléments à problèmes
- Les derniers évènements (eventlog), classés par rubriques
- Des informations sur la mémoire, les disques, le MBR et la table des partitions.
Fonction Recherche (Search Files)

Très utile en cas de "patch" d'un fichier. La recherche fournit pour chaque occurrence : (Search.txt, dans le même dossier que l'outil)

winlogon.exe;nvvsvc.exe;csrss.exe
- Les dates de création et de modification du fichier
- Sa taille en octets
- Son éditeur
- Son MD5
Fonction Fix

Le sript est à ecrire au format : fixlist.txt, dans le même dossier que FRST, qui ira le chercher automatiquement.
Le résultat de la correction sera dans Fixlog.txt (qui repend le "fixlist" en en-tête)

Un fix peut être par exemple (je ne mentionne que les switches rencontrés) :

(une des lignes d'un rapport FRST : C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender)

Toutes les lignes suivies de :
sont à prendre en considération...

Start
HKLM-x32\...\Run: [FAStartup] [x]
HKLM-x32\...\Run: [DATAMNGR] C:\PROGRA~2\SEARCH~2\Datamngr\DATAMN~1.EXE [1823160 2012-06-06] (Bandoo Media, inc)
AppInit_DLLs: C:\PROGRA~2\SEARCH~2\Datamngr\x64\datamngr.dll C:\PROGRA~2\SEARCH~2\Datamngr\x64\IEBHO.dll [1528760 2012-06-06] (Bandoo Media, inc)
Lsa: [Notification Packages] scecli FAPassSync
SubSystems: [Windows] ATTENTION! ====> ZeroAccess
S2 BasicScan Service; "C:\Program Files (x86)\BasicScan\basicscan.exe" "C:\Program Files (x86)\BasicScan\basicscan.dll" muyahote emixizizu [x]
S3 X6va005; \??\C:\Users\Adam\AppData\Local\Temp\0058255.tmp [x]
S3 X6va006; \??\C:\Users\Adam\AppData\Local\Temp\006616B.tmp [x]
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Adam\Setup.exe
C:\Users\Josh\MSSetupv99.exe
C:\Windows\Tasks\At1.job
TDL4: custom:26000022 <===== ATTENTION!
Reg: reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
Move: C:\Users\WSAdmin\AppData\Local\Temp\RarSFX0\userinit.exe C:\Users\WSAdmin\AppData\Local\Temp\RarSFX0\userinit.exe.old
Unlock: C:\Windows\system32\drivers\atapi.sys
cmd: Dir /b /a:l "C:\Program Files" /s
cmd: bcdedit /enum all /v
SaveMbr: Drive=0
Replace: C:\Windows\bon_fichier.exe C:\Windows\mauvais_fichier.exe
End
FRST : les switches rencontrés... (voir : BleepingComputer)
- Start et End
  En début et fin de script. Optionnels ?
- Cmd:
  Lance cdm.exe, comme /c sur OTL.
  Voir les commandes sur SS64.
  Exemples :
  cmd: Dir /b /a:l "C:\Program Files" /s
  cmd: bcdedit /enum all /v
- Reg:
  Voir SS64 : reg.exe
  Exemple :
  Reg: reg query "hklm\system\controlset001\control\session manager\subsystems"
- Move:
  Pour déplacer un fichier :
  move: départ arrivée
- Last Boot: [date - heure]
  
  Restaure les ruches du registre à l'état du dernier démarrage
  FRST.txt
  Last Boot: 2012-07-27 16:25
  fixlist.txt
  Last Boot: 2012-07-27 16:25
  fixlog.txt
  DEFAULT hive was successfully copied to System32\config\HiveBackup
  DEFAULT hive was successfully restored from registry back up.
  SAM hive was successfully copied to System32\config\HiveBackup
  SAM hive was successfully restored from registry back up.
  SECURITY hive was successfully copied to System32\config\HiveBackup
  SECURITY hive was successfully restored from registry back up.
  SOFTWARE hive was successfully copied to System32\config\HiveBackup
  SOFTWARE hive was successfully restored from registry back up.
  SYSTEM hive was successfully copied to System32\config\HiveBackup
  SYSTEM hive was successfully restored from registry back up.
- Replace:
  Pour remplacer un fichier patché, après recherche de remplaçant par Search File(s)
  
  Replace: C:\bon_fichier.exe C:\mauvais_fichier.exe
- SaveMbr: Drive=0
  Sans commentaire...
- Unlock:
  Pour déverrouiller un driver, une clé de registre par exemple :
  Unlock: C:\Windows\system32\drivers\atapi.sys
  Unlock: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MsMpSvc
- DeleteJunctionsInDirectory: Exemple sur cette page
  Après une infection ZeroAccess p.e. :
  FRST.txt :
  C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender)
  fixlist.txt :
  DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
  fixlog.txt
  "C:\Program Files\Windows Defender\en-US" => Deleting reparse point and unlocking completed.
- DisableService: nom_du_service
  sans commentaire

[/list]