Aller au contenu
Site Communauté

Farbar Recovery Scan Tools

Christian-S

Par Christian-S
dans Sécurité et vie privée

Messages recommandés

Christian-S Major

Christian-S

Posté(e)
Posté(e)

Farbar Recovery Scan Tools

 

Des outils utilisés en Désinfection Informatique,  il en existe plein, FRST , ZHPDiag , AdwCleaner , Zoek (de Smeenk) , ZHPFix , RogueKiller , UsbFix , MBAR , SystemLook , etc....

Je mettrai au fur et à mesure les différents Outils

Certes vous allez me dire quoi en faire, mais pour l'instant il n'y a pas de Forum désinfection ici, mais je suis a même d'analyser les rapports et préparer des scripts de Suppression(s)

Je suis issu de Formation et Helper/formateur de Helper Formation

 

FRST ou Farbar Recovery Scan Tool un outil de diagnostic ayant la possibilité d’exécuter des scripts.
C’est un programme de désinfection qui permet d’analyser et de supprimer des logiciels malveillants présents sur un PC.
Il fonctionne aussi bien en mode normal (Normal mode) qu’en mode sans échec (Safe mode).
Disponible pour les système en version 32 bits et en version 64 bits.
Farbar Recovery Scan Tool (FRST) est un outil de diagnostic intégrant la possibilité d’exécuter des scripts.


Farbar Recovery Scan Tool 32 Bits => 32 bits


Farbar Recovery Scan Tool 64 Bits  => 64 Bits

 

Faites juste => une Analyse en cliquant sur le bouton => Analyser

frst-x64-analyser.jpg.9fb3fbfef580c500ff8d70af80ff9421.jpg


Les rapports FRST.txt et Addition.txt seront générés.

Héberger les rapports sur ce site


Cjoint.com => https://www.cjoint.com/

Cliquez sur Parcourir
Trouver le rapport que vous venez d’enregistrer qui doit par exemple être sur votre bureau
Validez en cliquant sur >> Créer le lien Cjoint

Un lien vous sera généré,
Il vous suffit de le copier/coller dans votre sujet


PS: 
Si Windows SmartScreen vous bloque l’éxecution de FRST
Cliquez sur => Informations Complémentaires
Puis sur Exécuter quand même.

 

frst-smartscreen.jpg.5a14467bcad10e99f6a6585376fb30cb.jpg
 

Editeur : Bleepingcomputer.com

 

Voici un exemple de script fourni pour la Correction (bien sur ne pas utiliser celui-ci)

 

Citation

start::
closeprocesses:
createrestorepoint:
REG: reg query "HKU\S-1-5-21-1754203722-2589505400-2824660637-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System"
AS: Microsoft Security Essentials (Enabled - Up to date) {CAC39F2D-1B9C-4A72-5A17-3B3D19BB2B34}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
ContextMenuHandlers1: [AccExt] -> [CC]{2A118EB5-5797-4F5E-8B3D-F4ECBA3C98E4} => -> Pas de fichier
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Public\AppData:CSM [466]
FirewallRules: [{ED1AB736-10B1-4A86-873E-28E4FA7BFBCA}] => (Allow) E:\Network\EpsonNetSetup\ENEasyApp.exe Pas de fichier
FirewallRules: [{A935B9E5-08D7-4F51-8BF2-A954152E953D}] => (Allow) E:\Network\EpsonNetSetup\ENEasyApp.exe Pas de fichier
HKU\S-1-5-21-1754203722-2589505400-2824660637-1001\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-1754203722-2589505400-2824660637-1001\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-1754203722-2589505400-2824660637-1001\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-1754203722-2589505400-2824660637-1001\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-1754203722-2589505400-2824660637-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKLM\Software\...\Authentication\Credential Providers: [{503739d0-4c5e-4cfd-b3ba-d881334f0df2}] ->
BootExecute: autocheck autochk *
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1754203722-2589505400-2824660637-1004\User: Restriction 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {655D0385-7406-404F-9C1D-407FFCB95A35} - \Programme de mise à jour en ligne de HP. -> Pas de fichier 
Task: {87F02249-9861-43AD-BD1A-05A1E182BF6E} - \Microsoft\Windows\Setup\EOSNotify -> Pas de fichier 
Task: {E94F95F1-0443-459C-B465-E48FFEC76DB4} - \Somoro Ciris -> Pas de fichier 
Task: {EB199E7D-C2D5-4A5C-BF3E-28BA53B0380A} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => C:\WINDOWS\system32\sipnotify.exe
Task: {F62A04B9-ECD9-4829-BEAD-C155D34A7CEC} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => C:\WINDOWS\system32\sipnotify.exe
Task: {F9770F6D-6D78-4489-88DB-DFA6113C2561} - \Reca Temiso -> Pas de fichier 
SearchScopes: HKLM -> DefaultScope {ED2FDE2D-E06E-45EB-BFC3-5A0E8B643DCA} URL =
SearchScopes: HKLM -> {629EF1D5-2EDC-4579-A77A-AAFB8DB1C044} URL = hxxp://fr.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=cb-hp06&type=ie2008
SearchScopes: HKLM -> {6C0ACE3F-36DA-41DF-8FF9-0443996C4A62} URL = hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL =
SearchScopes: HKLM-x32 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {629EF1D5-2EDC-4579-A77A-AAFB8DB1C044} URL = hxxp://fr.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=cb-hp06&type=ie2008
SearchScopes: HKLM-x32 -> {6C0ACE3F-36DA-41DF-8FF9-0443996C4A62} URL = hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
SearchScopes: HKU\S-1-5-21-1754203722-2589505400-2824660637-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1754203722-2589505400-2824660637-1001 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1754203722-2589505400-2824660637-1001 -> {58A33BAC-B0BB-4CB0-91C3-6E56B77AD008} URL = hxxps://fr.search.yahoo.com/search?p={searchTerms}&intl=fr&fr=yset_ie_syc_oracle&type=orcl_default&partnerexternal-oracle=external-oracle
Handler: sacore - Pas de valeur CLSID
FF Plugin-x32: @videolan.org/vlc,version=2.2.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Pas de fichier]
FF Plugin-x32: @videolan.org/vlc,version=3.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Pas de fichier]
FF Plugin-x32: @videolan.org/vlc,version=3.0.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Pas de fichier]
C:\Windows\Temp\ *.* 
C:\Users\BEN\Appdata\Local\Temp\ *.*
cmd: ipconfig /flushdns
emptytemp:
end::


 

  • J'adore 1
  • Plusser (+1) 2
Lien vers le commentaire
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...