Powered By Blogger

Rechercher sur ce blogue

samedi 5 août 2017

Tutoriel Farbar Recovery Scan Tool (FRST) : Analyse et désinfection de virus



Fabar Recovery Scan Tool (FRST) n’est pas un antivirus mais un outil de diagnostique comme OTL.
Le programme analyse  le système et génère un ou plusieurs rapports qui peuvent être analysés par exemple avec le service pjjoint afin de déceler des menaces informatiques (Trojan, Adwares etc).
Le tutoriel vous explique comment générer les rapports et les envoyer à http://pjjoint.malekal.com qui va vous retourner un lien à donner à l’interlocuteur qui vous aide.
Si vous avez été redirigé ici depuis un forum de désinfection, le but est de faire passer les rapports FRST à la personne qui vous aide à travers le service pjjoint afin que celui-ci puisse déterminer si l’ordinateur est infecté et éventuellement vous passer un “fix”, c’est à dire les commandes FRST qui vont bien pour désinfecter votre ordinateur.
Ce tutoriel est disponible sous forme de vidéo et en image.
Il est conseillé de suivre les deux… Ce n’est pas compliqué, prenez votre temps et lisez bien.
Tutoriel FRST : Analyse et désinfection de virus

Lancer une analyse FRST

Voici les liens de téléchargements de FRST qui renvoie vers le site officiel BleepingComputer.
Deux versions selon l’architecture de votre ordinateur :
(Pour savoir si vous êtes en 32-bits ou 64-bits, lire la page : Comment vérifier si Windows est en 32-bits ou 64-bits)
  • Cliquez sur le bouton Download à droite pour obtenir le programme depuis telecharger-malekal.com afin d’ouvrir la page de téléchargement de BleepingComputer.
Si cela est plus simple, voici le tutoriel en vidéo, n’hésitez pas à suivre le tutoriel en image en parallèle :
SmartScreen peut émettre une alerte – vous pouvez forcer l’exécution en cliquant sur informations complémentaires puis exécuter quand même.
FRST_SmartScreen

Avast! et Norton peuvent bloquer le programme… Désactiver le, le temps de l’utiliser : clic droit sur l’icône en bas à droite côté de l’horloge puis Gestion des agents Avast => Désactiver définitivement.
FRST_detection_Avast_rk
FRST_detection_Avast_desactiver



Après avoir téléchargé le programme FRST, ce dernier doit se trouver dans votre dossier Téléchargement.
Pour faciliter l’utilisation de FRST, placez FRST sur le bureau de votre ordinateur, suivez ces instructions :
  • Ouvrez le dossier de Téléchargement, faites un clic droit sur FRST puis Couper.
  • Placez vous sur votre Bureau en faisait clic droit puis Coller. (Attention à ne pas créer un raccourci de l’application FRST)
  • Cela va placer FRST sur le bureau.
Tutorial_FRST_deplacer_bureau
Tutorial_FRST_deplacer_bureau2
  • Lancez FRST qui se trouve maintenant sur votre bureau.
  • Accepter les modifications de l’ordinateur en cliquant sur Oui.
  • Acceptez les Clauses de non responsabilité (Dislaimer) en cliquant sur le bouton YES.
  • FRST_FR_DislaimerFabar_FRST
  • Cochez les options comme indiqué dans la fenêtre ci-dessous (à savoir il faut cocher Shortcut.txt qui ne l’est pas par défaut).
  • Cliquez sur le bouton Analyser/Scan pour démarrer l’analyse.
  • L’analyse se lance, les éléments scannés apparaissent en haut.
Version Française :
FRST_FR
Version en anglais :
FRST
Laisser bien l’analyse aller au bout un message doit vous indiquer quand le scan est terminé.
Une fois le scan terminé, les rapports s’ouvrent sur le bloc-note : FRST.txt, Shortcut.txt et Addition.txt, suivez le paragraphe suivant pour les partager à un tiers qui vous aide à désinfecter votre ordinateur des adwares, virus, trojan et autre cheval de troie.

Envoyer les rapports d’analyse sur pjjoint

Les rapports d’analyse doivent être communiqués à un tiers, pour cela, vous pouvez utiliser le site pjjoint qui permet de partager des documents : https://pjjoint.malekal.com
En outre le site pjjoint permet d’analyser automatiquement les rapports FRST pour déceler des infections, ceci nest pas évoqué sur cette page, reportez-vous à la page : Tutoriel désinfection et suppression de virus
Fabar_FRST3
  • Ces trois rapports se trouvent sur le bureau avec le programme FRST.
    Fabar_FRST4
Ouvrez le site http://pjjoint.malekal.com afin d’y déposer les rapports pour une consultation par un tiers.

Le principe est simple, vous envoyez chacun des rapports, à chaque fois un lien menant à ces rapports vous sera donné. Il faut donner ce lien à votre interlocuteur afin qu’il puisse lire les rapports.
  • Sur pjjoint, dans la partie, Chemin du fichier à soumettre, cliquez sur Parcourir.
  • Sélectionnez le fichier FRST.txt qui se trouve sur votre bureau.
Tutorial_FRST_pjjoint
Cliquez sur Envoyer le fichier pour téléverser le rapport :
Tutorial_FRST_pjjoint2
Le site pjjoint, vous donne en retour un lien qui mène à ce rapport afin d’être consulter.
Le but est de transmettre ce lien à votre interlocuteur, pour cela : Il suffit pour cela, de faire un clic droit sur le lien donné par pjjoint puis “Copier l’adresse du lien”.
Tutorial_FRST_pjjoint3
En réponse sur le forum, dans un nouveau message, faites un clic droit et coller.
Répétez l’opération pour le fichier Additionnal.txt et transmettez le  lien pjjoint de votre rapport Additionnal.txt

Voici un exemple de ce qu’un partage de rapports FRST pour une désinfection de virus peut donner au final :
Tutorial_FRST_pjjoint4

Correction (fix) avec FRST

Si vous vous faites aider sur un forum, il est possible que l’on vous fournisse un script qui permet d’être joué par FRST afin d’effectuer des commandes, notamment pour supprimer des éléments malicieux sur votre ordinateur.
Le script est transmis en retour de réponse des rapports donnés précédemment.
Tutorial_FRST_fixLe script donné doit être enregistré dans un fichier fixlist.txt qui doit se trouver dans le même dossier que le programme FRST.
FRST doit se trouver sur votre bureau, il faut donc enregistrer le fichier fixlist.txt sur le bureau.
Pour cela :
  • Ouvrez le Bloc-Note- Touche Windows +R et dans le champs exécuter, saisir notepad et OK.
  • C’est un éditeur de texte vide, Coller le script que l’on vous a fourni.
Ci-dessous un exemple de script :
FRST_fixCliquez sur le menu Fichier puis Enregistrez-sous :
1/ Placez-vous sur le bureau en cliquant sur bureau à gauche.
2/ Saisir dans le nom du fichier : fixlist.txt
3/ Cliquez sur le bouton Enregsitrer : fixlist.txt est enregistré sur le bureau.
FRST_fix_suite Relancez FRST qui doit aussi se trouver sur votre bureau.
Cliquez sur le bouton Corriger / fix. La correction doit s’effectuer, il est possible que la correction nécessite le redémarrage de l’ordinateur.
FRST_FR_Corriger
FRST_Fix
Si vous avez une erreur “fixlist.txt not found”, cela signifie que FRST ne trouve pas le fichier fixlist.txt
Soit vous n’avez pas enregistré le fichier sous le nom fixlist.txt, soit le fichier fixlist.txt ne se trouve pas dans le même dossier que FRST.
Encore une fois, FRST et fixlist.txt doivent se trouver sur votre bureau.

Note informative

FRST créé un dossier C:/FRST dedans se trouvent un dossier Logs où sont automatiquement enregistrés les rapports mais aussi un dossier Quarantine où se trouve les fichiers qui ont été supprimés depuis l’application.
Fabar_FRST7

Farbar et CD Live Malekal

Si le programme est executé en environnement CD Live, ce dernier va scanner le Windows hôte (comme le fait OTLPE).
Cela permet de générer un rapport depuis un environnement CD Live afin de diagnoster les infections et les faire supprimer.
Se reporter au paragraphe FARBAR sur la page CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/
Maleka_CD_Live_Farbar3

Désinfection FRST autonome

Se rendre sur le tutoriel : Désinfection manuelle de Windows (Trojan, Adware etc)
Tout y est expliqué afin d’analyser les rapports FRST et produire le fixlist.txt en conséquence.
Tutoriel FRST : Analyse et désinfection de virus

Lien connexes à la désinfection virale

Désinfection virus :
et pour la prévention informatique :
REF.:

Désinfection manuelle de Windows (Trojan, Adware etc)



Dans cet article, j’explique le principe des désinfections manuelles qui s’effectuent généralement sur les forums.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.
Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Principe

Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.
  • Une partie active, c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
  • L’utilisation d’un point de chargement de Windows, cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.
Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.
FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.
Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.
Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?
A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.
L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST, ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.

Analyse rapport FRST

Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)
  • FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
  • Addition.txt : liste les programmes installés, les tâches planifiées
Les couleurs de pjjoint :
  • En rouge gras : connus pour être malveillant
  • En rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
  • En vert : légitime
  • En gris : pas de statut

FRST.txt

L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.

Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.

puis la configuration des navigateurs WEB, listant les extensions installées.

puis les services Windows et pilotes.

les derniers fichiers modifiés ou créés, sur un mois.


Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.

Addition.txt

Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt
puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.

puis les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.

Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis et permet de récupérer les raccourcis Windows modifier afin de faire lancer un moteur de recherche en particulier. Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :


puis d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.

les règles du pare-feu de Windows

Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.

Enfin la configuration matérielle de l’ordinateur.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Désinfection virus

Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :
  • une analyse VirusTotal de ce fichier,
  • une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
  • vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe
Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.
C’est parti pour quelques exemples et subtilités.

Startup, clé Run et services Windows

Rien d’exception, il suffit de vérifier ces derniers.
En général, pjjoint les reconnaît.

Prêtez une attention au fichier non signé numériquement.


Clé IFEO

Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.
La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.

Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.

Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :

Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO

Extension malveillante sur Chrome

Les extensions malveillantes (Adwares/PUPs)  sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.

Drivers malveillants

Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils


Trojan RAT

Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.
La tâche planifiée et les dossiers du Trojan RAT qui correspondent :



Un Trojan RAT qui se chargent par des clés RUN et Startup :

De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).

Malware Filess

Ces derniers se chargent par des clés Run qui contiennent un script dans la clé.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell
Clé Run avec mshta :

Signature fichiers systèmes

Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifé et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.

Correction FRST

Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.

  • CreateRestorePoint: demande la création d’un point de restauration système.
  • CloseProcesses: tue tous les processus non essentiels de Windows
  • cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
  • reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
    • reg add, vous pouvez créer des clés en indiquant la valeur etc
    • reg delete, vous pouvez supprimer des clés du registre Windows
  • HOSTS: vide le fichier HOSTS de Windows.
  • EmptyTemp : vide les fichiers temporaires
  • RemoveProxy : supprimer tous les proxys de Windows
  • Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.
Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.
Pour une syntaxe complète des scripts FRST, rendez-vous sur la page:  FRST Tutorial – How to use Farbar Recovery Scan Tool
Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.

En vidéo

Exemple de suppression de cheval de troie et désinfection Windows en vidéo :

Liens autour de la suppression de virus

Sans oublier, le menu du site : Virus & Sécurité.

REF.: