Wie heeft Nederlandstalige handleiding FRST?

Forumregels
--------------------------------------------------------------------------------------------------------------------
'Topic titel' mag (inclusief spaties) maximaal 114 tekens lang zijn.
--------------------------------------------------------------------------------------------------------------------
Vul het vragenformulier in volgens onderstaand voorbeeld.

Waar je vraag over gaat.
Onderwerp.
Antwoord:
Hier komt waar je vraag over gaat.
Probleembeschrijving.
Antwoord:
Beschrijf het probleem beknopt, vermeld daarbij ook foutmeldingen en/of stopcodes.

Indien van toepassing.
Vul de onderdelen in op de manier zoals getoond in het voorbeeld.
Typ 'n.v.t' waar een onderdeel niet van toepassing is.
--------------------------------------------------------------------------------------------------------------------
hutsefluts
Berichten: 780
Lid geworden op: 29 mar 2016, 20:26

Wie heeft Nederlandstalige handleiding FRST?

Ongelezen bericht door hutsefluts »

Ik wil FRST gebruiken in mijn Windows omgeving.
Bij het installeren heb ik niet goed opgelet, waardoor er allerlei zooi op mijn computer zit.
Het systeem is er merkbaar trager door geworden en nu las ik dat ik met FRST kan proberen wat zaken te herstellen.
Het systeem ging ook onderuit bij het verwijderen van zooi uit mijn pc.
Er is nu nog iets met de browsers, dat krijg ik niet helemaal goed.
De meeste zooi heb ik er wel af gekregen, maar er zijn wat zaken die ik zo niet weg krijg.
Om allerlei ellende te voorkomen zoek ik eerst een handleiding.
Maar een Nederlandstalige handleiding kan ik niet vinden.
Wie kan me daarmee helpen?
BBgebruiker1
Site Admin
Berichten: 1756
Lid geworden op: 26 jun 2014, 15:55
Locatie: Amersfoort
Zodiac:
Contacteer:

Re: Wie heeft Nederlandstalige handleiding FRST?

Ongelezen bericht door BBgebruiker1 »

Downloads: Link 1 | Link 2
Farbar Recovery Scan Tool (FRST) is een diagnostisch hulpmiddel met ingebouwde mogelijkheid om vooraf voorbereide scriptoplossingen op met malware geïnfecteerde computers uit te voeren.
Het programma werkt in de normale modus net zo goed als in de veilige modus, en voor een computer met opstartproblemen werkt het efficiënt in de Windows herstel omgeving.
Met name de mogelijkheid voor werken in de herstel omgeving is bruikbaar bij het afhandelen van problemen die optreden tijdens het opstarten.
**********************************************************
Donatie informatie:
FRST is een gratis programma, terwijl er vele uren werk in zit door Farbar.
Het programma bevat vele regels aan programmering en wordt vaak bijgewerkt.
Naast onderhoud aan het programma steekt Farbar ook ontelbare uren in ondersteuning op forums aan helpers en hun slachtoffers van Malware.
Als je FRST een behulpzaam programma vindt en je wilt een donatie doen als ondersteuning voor al zijn inspanningen, klik dan op de Paypal knop: Afbeelding

Handleiding informatie:
Deze handleiding is gemaakt door emeraldnzl in overleg met Farbar en in samenwerking met BC (Bleeping Computer) en G2G (Geeks to Go)
Voordat je de handleiding gaat inzetten of er uit citeert op andere sites, heb je toestemming nodig van emeraldnzl en Farbar.
Deze handleiding was oorspronkelijk gemaakt als leidraad voor helpers die op verschillende forums ondersteuning bieden bij het verwijderen van Malware.
We bedanken Picasso voor haar leidende rol bij update en onderhoud van deze handleiding.

Vertalingen:
Frans, Pools, Russisch

Vertrouwde helpers en experts met de bijbehorende toegang, blijven op de hoogte van de meest recente programma ontwikkelingen in 'het FRST discussie forum'.

Inleiding:
Eenvoud is één van de sterke kanten van FRST.
Het is ontworpen voor gebruiksvriendelijkheid.
Regels die verwijzen naar geïnfecteerde items kunnen worden geïdentificeerd, gekopieerd uit het log en geplakt in kladblok en opgeslagen.
Met een klik op de knop doet het programma dan de rest.
Het staat grote flexibiliteit toe, nieuwe infecties kunnen snel geïdentificeerd worden en toegevoegd in een fix.

Waar het op werkt
Farbar’s Recovery Scan Tool is ontworpen voor Windows XP, Vista, 7, 8 en 10.
Er zijn 2 versies, een 32-bit en een 64-bit versie.

Opmerking:
FRST64 is niet ontworpen om uitgevoerd te worden op Windows XP 64 bit.

Diagnose
FRST maakt een log van specifieke gebieden in het Windows besturing systeem.
Dit kan gebruikt worden als eerste probleem analyse en geeft meer systeem informatie.
Het programma is onder constante ontwikkeling, onderdeel daarvan is het toevoegen van nieuwe malware identificatie labels.
Om die reden wordt het sterk aanbevolen om regelmatig te updaten.
Als de computer is aangesloten op het internet zal er meteen een update controle plaatsvinden op het moment dat FRST wordt geopend.
Een opmerking verschijnt als de laatste versie is bijgewerkt of kan worden gedownload.
Om zo snel mogelijk een indicatie te kunnen maken van een probleem moet een expert op de hoogte blijven van de laatste malware ontwikkelingen, als er nieuwe infecties opduiken of als er geen update mogelijk is omdat er geen internet beschikbaar is.
Een leek kan beter deskundige hulp zoeken als nieuwe infecties opduiken of als het lastig is om een probleem op de computer te identificeren.
Zoals bij veel scanners hanteert FRST standaard whitelisting.
Deze filters voorkomen erg lange logs.
Als je een volledig log wilt, moet je de relevante vinkjes weghalen van de (whitelist) filters.
Bereid je dan voor op een heel lang log dat als bijlage moet worden bijgevoegd voor analyse.
  • FRST filtert niet alleen de standaard MS register items, maar in sommige gevallen (zoals ShellIconOverlayIdentifiers) ook de veilige items uit programma’s van derden.
  • Bij services en drivers worden niet alleen de standaard MS services gefilterd, maar ook alle andere legitieme services en drivers.
  • Alle services of driver bestanden zonder een bedrijfsnaam worden niet gefilterd.
  • Beveiligingsprogramma’s zoals antivirus of Firewall worden niet gefilterd.
  • De SPTD service wordt niet gefilterd.
Voorbereiding voor gebruik
Voer FRST uit met admin rechten.
Alleen als het programma met admin rechten opgestart wordt kan het correct werken.
Als het programma zonder admin rechten wordt opgestart, zal je een waarschuwing hiervan zien in de kop van het FRST.txt tekstbestand.
In sommige gevallen voorkomt een beveiligingsprogramma volledige uitvoering van FRST.
In het algemeen is er geen probleem, maar wees alert op de mogelijkheid dat een beveiligingsprogramma het uitvoeren van een scan kan belemmeren.
Tijdens reparaties is het raadzaam om programma’s zoals Comodo eerst uit te schakelen, omdat hiervan bekend is dat het de uitvoering van FRST belemmert en voorkomt.
Een algemene aanbeveling voor iedereen die te maken krijgt met een rootkit, het is beter om één fix tegelijkertijd uit te voeren en te wachten op het resultaat ervan, dan dat je een ander programma uitvoert.
Het is niet nodig om een register backup te maken.
FRST maakt een backup van het register tijdens de eerste scan.
De back-up komt op %Systemdrive%\FRST\Hives (in de meeste gevallen C:\FRST\Hives).
Voor meer gedetailleerde informatie zie de Restore From Backup: instructie.
FRST is beschikbaar in een aantal verschillende talen.
Helpers neigen naar het gebruik van Engelse taal als keuze taal voor probleem analyse.
Wanneer een helper je vraagt om een Engelstalig log dan hoef je alleen het woord English aan de programma naam toe te voegen, zoals EnglishFRST.exe of EnglischFRST64 of FRSTEnglish.exe of FRSTEnglish64.exe.
Het log is dan Engelstalig.

FRST opstarten
De gebruiker wordt geïnstrueerd om FRST naar het bureaublad te downloaden.
Klik op het FRST icoon, accepteer de disclaimer en start het programma op.
Het FRST icoon ziet er als volgt uit: Afbeelding

Opmerking:
De gebruiker moet de juiste versie gebruiken (er is een 32-bit en een 64-bit versie).
Als je niet zeker weet welke versie je nodig hebt, laat de gebruiker dan beide downloaden en probeer ze op te starten.
Enkel één versie zal werken op het systeem (de andere versie zal een foutmelding geven bij het starten).
Als FRST is opgestart zal je eerst de console zien, die ziet er zo uit: Afbeelding

Nadat de scan is voltooid zijn er kladblok kopieën op dezelfde locatie te vinden waar FRST vandaan gestart werd.
Na de eerste en alle opvolgende scans buiten de Recovery Environment wordt er een FRST.txt log en een Addition.txt log geproduceerd.
Logkopieën worden opgeslagen op %systemdrive%\FRST\logs (in de meeste gevallen is dit C:\FRST\logs)

Fixing
Let op, erg belangrijk:
Farbar Recovery Scan Tool brengt in de scan modus geen veranderingen aan.
Het scant op de computer alleen wat er is en maakt daarvan een rapport.
Echter:
FRST is ook erg efficiënt in het uitvoeren van opdrachten.
Tijdens het toepassen van een fix, als gevraagd wordt om een item te verwijderen, zal dit in 99% van de gevallen ook gebeuren.
Er zijn verschillende beveiligingen ingebouwd, deze hebben een noodzakelijk brede basis en zijn zo ontworpen dat ze geen bemoeienis hebben met verwijdering van infecties.
De gebruiker moet zich hiervan bewust zijn.
Maar bij verkeerd gebruik (bijvoorbeeld als er gevraagd wordt om essentiële bestanden te verwijderen), kan het programma ervoor zorgen dat een computer niet meer kan opstarten.

Als je twijfelt over items in een FRST rapport, zoek eerst altijd professionele hulp voordat je een fix toepast.

FRST heeft een serie aan commando’s en switches die gebruikt kunnen worden om zowel een computer te kunnen bewerken als ook problemen te repareren die zijn geïdentificeerd.

Script voorbereiding
Methode 1
Fixlist.txt:
Om geidentificeerde problemen te repareren kopieer en plak je de regels uit het FRST log naar een kladblok document.
Het kladblok document krijgt de naam fixlist.txt en staat in dezelfde map waar het programma FRST wordt opgestart.
Met de sneltoets combinatie 'Ctrl' + 'y' kan je automatisch een leeg fixlist.txt maken en openen dat gevuld moet worden.

Opmerking
Maak fixlist.txt handmatig (niet via '[Ctrl]' + 'y') alleen met kladblok.
De fix werkt niet als het is gemaakt met andere programma als 'Wordpad' of 'Word' varianten uit Office.

Methode 2
Klembord:
Voeg de regels voor de fix tussen Start:: en End::, op de volgende manier:

Start::
script content
End::

Laat de gebruiker de hele inhoud, inclusief Start:: en End:: kopieren en klik vervolgens op de 'Fix' knop.

Unicode
Voor het repareren van items met ‘Unicode karakters’, moet je fixlist.txt opslaan in Unicode.
Anders zullen de ‘Unicode karakters’ verloren gaan.
De beste manier met Unicode om te gaan is door de fixlist.txt op te slaan en te uploaden.

Voorbeeld:
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
Kopieer en plak de items in een geopend kladblok document, selecteer ‘opslaan als….’, onder codering: selecteer Unicode, kies ‘fixlist’ als naam en sla het op.
Als je in Kladblok opslaat zonder Unicode te selecteren, volgt er een waarschuwing. Ga je toch door met opslaan zonder Unicode en je opent het document daarna opnieuw, volgt:

Quote
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

En FRST zal niet in staat zijn om de invoer te verwerken.

Items verplaatst door de fix worden opgeslagen in %systemdrive%\FRST\Quarantine, in de meeste gevallen zal dit C:\FRST\Quarantine zijn, totdat FRST wordt opgeschoond of verwijderd.
Gedetailleerde gegevens over voorbereiden van reparaties, zie onderstaande onderdelen.

Standaard scan gebieden
Tijdens de eerste en opvolgende scans buiten de Recovery omgeving worden er een FRST.txt en een Addition.txt log gegenereerd.
Een Addition.txt log wordt niet geproduceerd als FRST wordt uitgevoerd in de Recovery omgeving.
Scans uitgevoerd in normale modus:

Hoofdscan
Processen
Register
Internet
Services
Drivers
NetSvcs
Een Maand Aangemaakt bestanden en mappen
Een Maand Gewijzigd bestanden en mappen
Bestanden in de root van sommige mappen
Bestanden om te verplaatsen of verwijderen
Sommige bestanden in TEMP
Somige zero byte grootte files/folders
Bamital & volsnap
LastRegBack

Additional scan
Accounts
Security Center
Geïnstalleerde programma’s
Aangepaste CLSID
Geplande taken
Snelkoppelingen
Geladen Modules
Alternate Data Streams
Veilige modus
Bestandskoppeling
Internet Explorer vertrouwd/beperkte toegang
Hosts inhoud
Andere gebieden
MSCONFIG/TASK MANAGER uitgeschakelde items
FirewallRules
Herstelpunten
Defecte apparaatbeheer apparaten
Event log fouten
Geheugen info
Schijven
MBR & Partitietabel

Optionele scans
Toon BCD
Drivers MD5
Shortcut.txt
Addition.txt
90 Dagen bestanden

Search Files
Search Registry

Scans uitgevoerd in de Recovery Environment:

Hoofdscan
Registry
Services
Drivers
NetSvcs
Een Maand Aangemaakt bestanden en mappen
Een Maand gewijzigd bestanden en mappen
Bestanden om te verplaatsen of verwijderen
Sommige inhoud van TEMP
Known DLLs
Bamital & volsnap
Bestandskoppeling
Herstelpunten
Memory info
Drives
MBR & Partition Table
LastRegBack

Optionele scans
List BCD
Drivers MD5
90 Dagen bestanden

Search Files

-----------------------------------------------------------Hoofdscan (FRST.txt)-----------------------------------------------------------

Kop
Hieronder is een voorbeeld kop te vinden:

Quote
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version:27-08-2015
Ran by Someperson (administrator) on SOMEPERSON-PC  (27-08-2015 11:26:18)
Running from C:\Users\Someperson\Desktop
Loaded Profiles: Someperson (Available profiles: Someperson & Administrator & DefaultAppPool)
Platform: Windows 7 Professional Service Pack 1 (X64) Language: English(United States)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool:

Doorlezen van de kop kan zinvolle informatie opleveren:

Eerste regel:
Geeft aan of FRST 32-bit of 64-bit variant is uitgevoerd.
De versie identificatie van FRST is ook weergegeven.
Specifiek is de versie identificatie erg belangrijk.
Een oude versie mag niet de meest recente functionaliteit hebben.

Tweede regel:
Toont welke gebruiker het programma heeft uitgevoerd en met welke rechten.
Het laat zien of de gebruiker de juiste rechten heeft.
De regel laat je ook de computer naam samen met de datum en tijd waarop het programma is gebruikt.
Soms post een gebruiker per ongeluk een oud log.

Derde regel:
Laat zien vanaf welke locatie FRST is uitgevoerd.
Dit kan relevant zijn voor de reparatie instructie als FRST was uitgevoerd vanaf een andere locatie dan het bureaublad.

Vierde regel:
Geeft aan met welke account (profiel) dat de gebruiker was ingelogd, vanwege de geladen gebruikersgroep.
Vervolgens, tussen haakjes, de “beschikbare profielen”, beschrijft alle profielen op de machine, inclusief die momenteel niet zijn geladen.

Opmerking:
Wanneer je op Windows inlogt wordt alleen de gebruikersgroep van de gebruiker geladen.
Als de gebruiker inlogt op een andere account zonder herstarten (door “andere gebruiker” of “uitloggen”), wordt de tweede gebruikersgroep geladen maar de eerste wordt niet uitgelogd.
In deze situatie zal FRST beide gebruikers in het register vermelden, maar niet van de andere groepen omdat die niet werden geladen.

Vijfde regel:
Vermeldt de versie van Windows op de machine inclusief het Service Pack nummer met de ingestelde taal.
Het kan duiden op problemen met updates als niet het laatste Service Pack is geïnstalleerd.

Zesde regel:
Vermeldt de gebruikte versie van Internet Explorer en de standaard zoekmachine.

Zevende regel:
Vermeldt in welke modus de scan is uitgevoerd.
Daarna volgt de link naar de handleiding.

Opmerking:
De informatie in een kop als het programma is uitgevoerd in de Recovery omgeving is vergelijkbaar, hoewel ingekort omdat gebruikers profielen niet worden geladen.

Alarmeringen die getoond worden in de kop:
Als er opstart problemen zijn, zie je “aandacht, kan de systeem groep niet laden”, het laat zien dat de groep systeem mist.
De groep herstellen met het commando LastRegBack: is hier de oplossing (zie hierna).
"Default: Controlset001", dit geeft aan welke CS in het systeem de default CS is.
Waarom heb je het nodig?
Normaal heb je het niet nodig, maar in het geval waar je in een CS die geladen wordt, wilt kijken of er veranderingen in wilt aanbrengen, dan weet je in welke CS je moet kijken of aanpassen.
Iets veranderen in andere beschikbare CS zal geen effect hebben op het systeem.

Processes
Er zijn 2 redenen waarom je een proces zou stoppen.
Ten eerste wil je een beveiligingsprogramma uitschakelen dat een reparatie in de weg staat.
Ten tweede wil je een fout proces stoppen en vervolgens de bijbehorende map of bestand verwijderen.
Je kunt een proces stoppen door de juiste regels toe te voegen uit de FRST scan.

Voorbeeld:

Quote
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Een Fixlog.txt zal geproduceerd worden met deze label Process name => Process closed successfully
Als je een fout proces hebt dat je wilt verwijderen met bijbehorende map of bestand, dan moet je het item afzonderlijk in je fix toevoegen, zoals in het onderstaande voorbeeld:

Voorbeeld:

Quote
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot

Registry
Register items (sleutels of waardes) die uit een FRST log zijn genomen en toegevoegd in de fixlist om verwijderd te worden, zullen verwijderd worden.
FRST heeft een krachtige verwijder routine voor sleutels en waardes.
Alle sleutels en waardes die het verwijderen weerstaan, bijvoorbeeld door onvoldoende rechten of null ingesloten tekens zullen verwijderd worden.
Sleutels die verwijdering weerstaan vanwege ‘toegang geweigerd’ worden gepland voor verwijdering na herstart.
Sleutels die nog steeds beschermd worden door een kernel driver zijn de enige sleutels die niet verwijderd zullen worden.
Deze sleutels/waarden zullen pas worden verwijderd nadat de kernel driver die ze beschermt is verwijderd of uitgeschakeld.

Met items kopiëren en plakken uit een log naar een fix zal tot gevolg hebben dat FRST één van beide acties uitvoert op de vermelde register sleutel:
  • 1: De default sleutel herstellen.
Of
  • 2: De sleutel verwijderen.
Wanneer items uit het log gerelateerd zijn aan Winlogon values (Userinit, Shell, System), LSA en AppInit_DLLs worden gekopieerd naar de fixlist.txt dan herstelt het programma de standaard Windows waardes.

Opmerking:
Als er in AppInit_DLLs een slecht pad is zal FRST dat specifiek pad verwijderen uit de AppInit_DLLs waarde zonder de rest te verwijderen.

Hiervoor hoef je geen batch of regfix te gebruiken.
Hetzelfde geldt voor sommige andere belangrijke sleutels die zijn gekaapt door malware.

Opmerking:
FRST komt niet aan bestanden die door het register zijn geladen of worden uitgevoerd. Bestanden die verplaatst moeten worden, dienen afzonderlijk en met het volledig pad en zonder verdere informatie te zijn vermeld.


Naar de fixlist.txt gekopieerde Run en Runonce items zullen uit het register worden verwijderd.
De bestanden die ze laden of uitvoeren zullen niet worden verwijderd.
Als je ze toch wilt verwijderen dien je ze afzonderlijk te vermelden.

Om bijvoorbeeld een slecht run item samen met het bestand te verwijderen, moet je het vermelden in fixlist.txt zoals hierna volgt (de eerste regel wordt rechtstreeks uit het log gekopieerd)

Quote
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe

In het geval van Notify sleutels, waar ze zijn toegevoegd in het fixlist.txt, als ze tussen de standaard sleutels staan zal het programma de waarde (DllName) data herstellen die gerelateerd is aan die specifieke sleutel.
Als het geen default sleutel is zal deze worden verwijderd.
De Image File Execution Options items zullen worden verwijderd als ze zijn toegevoegd aan de fixlist.txt.
Als een bestand of snelkoppeling in de Startup map wordt gedetecteerd, zal FRST het vermelden in Startup: items.
Als het bestand een snelkoppeling is, zal de volgende regel het doel van de snelkoppeling vermelden (bijvoorbeeld het uitvoerbaar bestand dat gestart wordt door de snelkoppeling).
Wanneer je zowel de snelkoppeling als het doelbestand wilt verwijderen, moet je ze beide toevoegen.

Voorbeeld:

Quote
Startup: C:\Users\rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\rob\1800947.exe ()

Opmerking:
De eerste regel verplaatst alleen de snelkoppeling.
Het vermelden van de tweede regel verplaatst het 1800947.exe bestand.
Wanneer je alleen de tweede regel vermeldt, zal het uitvoerbaar bestand worden verwijderd maar de snelkoppeling zal in de Startup folder blijven.
De volgende keer dat het systeem wordt opgestart zal er een fout verschijnen als de snelkoppeling probeert om het uitvoerbaar bestand uit te voeren en het niet kan vinden.

In het geval dat malware ‘Software Restriction Policies’ wil misbruiken, zul je items zien als volgt:

Quote
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Avira <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Panda Security <====== ATTENTION

Om beveiligingsprogramma’s te deblokkeren, vermeld de regels in de fixlist.txt.

Opmerking:
De detectie is generiek en kan resulteren in flagging andere items die zijn gemaakt ter bescherming tegen infecties.
Zie: Hoe je handmatig Software Restriction Policies maakt om ransomware te weren.
Group Policy Objects
FRST detecteert ook de aanwezigheid van ‘Group Policy Objects’ (Registry.pol en Scripts), die kunnen worden misbruikt door malware.
Google Chrome (zie onderdeel Chrome hieronder) en Windows Defender policies in Registry.pol zullen afzonderlijk gerapporteerd worden:

Quote
GroupPolicy: Restriction - Windows Defender <======= ATTENTION

Voor andere policies of scripts krijg je alleen een generieke melding zonder details.

Quote
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Om de policies te resetten kan je de regels toevoegen in fixlist.txt.
FRST zal GroupPolicy folders verkorten en forceert een herstart.

Voorbeeld:
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully

Opmerking:
De detectie is aangepast voor een standaard Home computer zonder geconfigureerde policies en dat kan resulteren in flagging legitieme items die handmatig zijn ingesteld via gpedit.msc.
Als System Restore is uitgeschakeld door Group Policy zal op de volgende manier gerapporteerd worden:

Quote
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION

Door het toevoegen van de regel in fixlist zal de hele sleutel worden verwijderd (standaard bestaat het niet).

Opmerking:
FRST produceert ook een waarschuwing in Addition.txt als SR is uitgeschakeld, zelfs als het niet is uitgeschakeld door Group Policy maar door de gebruiker.
In dat geval doet FRST niets.
De gebruiker moet geïnstrueerd worden om System Restore in te schakelen.
Er is geen Group Policy die inschakelen belemmert.

Internet
Afgezien van enkele uitzonderingen, zullen naar de fixlist.txt gekopieerde items verwijderd worden.

Winsock
Items die niet in de standaard lijst staan verschijnen in het log.
Als een Catalog5 is vermeld om gerepareerd te worden, kan FRST twee dingen doen:
  • 1.In geval van gekaapte default items worden de default items hersteld.
  • 2.In geval van aangepaste items zullen deze verwijderd worden en de catalog items opnieuw worden
genummerd.

Om Catalog9 items te repareren wordt aangeraden om "netsh winsock reset" te gebruiken.
Als er nog steeds Catalog9 items te repareren zijn, kunnen deze in de lijst geplaatst worden voor reparatie.
In dat geval zal FRST de items verwijderen en de catalog items hernummeren.

Pas op:
Een onderbroken string ketting voorkomt dat een computer kan verbinden naar het internet.
Een verbroken internetverbinding vanwege missende winsock items, zullen worden gerapporteerd in het log op deze manier:

Quote
Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION

Om het probleem op te lossen kan je de items in de fixlist.txt toevoegen.
In het geval van ZeroAccess infecties zien we een log zoals hieronder:

Quote
Winsock: Catalog5 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll No File
Winsock: Catalog9 02 mswsock.dll No File
Winsock: Catalog5-x64 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll No File
Winsock: Catalog9-x64 02 mswsock.dll No File

Toegevoegd in de fixlist, zal FRST de Catalog5 items resetten, maar het doet niets aan problematische Catalog9 items en zegt dat je hiervoor “netsh winsock reset” moet gebruiken.

Een full fix script zou er als volgt uitzien:
Winsock: Catalog5 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset

Let op de cmd: netsh winsock reset die is toegevoegd in de fix.
Het achteraf geproduceerd Fixlog zou er als volgt uitzien:

Quote
Winsock: Catalog5 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5-x64 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)

========= netsh winsock reset =========

"Successfully reset the Winsock Catalog. You must restart the computer in order to complete the reset."

========= End of CMD: =========

Opmerking:
In bepaalde situaties zal het netch winsock reset niet werken.
Als dat gebeurt, laat de gebruiker de computer opnieuw opstarten en voer cmd: netsh winsock reset opnieuw uit.

Hosts
Als er aangepaste items in Hosts zijn, krijg je een regel in het onderdeel Internet in FRST.txt log.

Quote
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt

Als er geen hosts gedetecteerd worden dan volgt er een item dat het programma geen hosts kan detecteren.
Om de hosts te resetten kan je de regel kopieren en plakken in de fixlist.txt waarna hosts worden gereset.
In fixlog.txt zul je een regel vinden die de reset bevestigt.

Tcp/IP
Tcp/IP en andere items toegevoegd in de fixlist.txt worden verwijderd.

Opmerking:
In het geval van StartMenuInternet hijacking voor IE, FF, Chrome en Opera.
De standaard items komen op de witte lijst.
Als de items verschijnen in een FRST log, dan betekent het dat er een niet-standaard pad wordt getoond.
Het is mogelijk dat er iets mis is met het toegangspad in het register, hiervoor is onderzoek noodzakelijk.
Als er een probleem is kan het item worden toegevoegd in de fixlist en het standaard register item wordt hersteld.

Internet Explorer
Als er een home page is geplakt in fixlist.txt zal de waarde verwijderd en daarmee wordt de default positie hersteld.
De vermelding wordt ingevoerd zoals onderstaand (rechtstreeks gekopieerd uit het log):

Quote
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172

Als er internet zoek providers bij zijn betrokken kan een item geplakt worden in fixlist.txt en de sleutel wordt verwijderd.
De items worden als volgt ingevoerd:

Quote
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}

Opmerking:
Maar in het geval van HKLM DefaultScope (hijacked of ontbrekend), zal het gereset worden, niet verwijderd.

Toolbars en BHO’s (Browser Helper Objects) kunnen naar de fix gekopieerd worden en de sleutel wordt verwijderd.
Bijbehorende bestanden/mappen moeten afzonderlijk worden toegevoegd als deze moeten worden verwijderd.

Voorbeeld:

Quote
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz

ActiveX objects kunnen worden geplakt in de fix en het item wordt verwijderd.
Voer het als volgt in:

Quote
DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Edge
FRST vermeldt Edge HomeButtonPage die verwijzen naar een aangepaste pagina, Session Restore ingeschakeld en geïnstalleerde extensies.

Quote
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=14394782 ... 88100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> is enabled.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]

De HomeButtonPage en Session Restore items zullen verwijderd worden als ze worden toegevoegd in fixlist.txt.
Bij Extensie items toegevoegd in de fixlist.txt zal de register sleutel verwijderd worden en de bijbehorende folder verplaatst.

Firefox
FRST vermeldt FF sleutels en profielen (indien aanwezig) ongeacht of FF is geïnstalleerd of niet.
Bij multiple Firefox of Firefox klonen profielen zal FRST de voorkeuren vermelden, user.js, Extensions en SearchPlugins in alle profielen.

Waar de voorkeuren in fixlist.txt worden geplakt, zal de waarde worden verwijderd.
De volgende keer dat Firefox of Firefox kloon wordt gestart worden de default instellingen ingesteld.
Vermeldingen worden als volgt ingevoerd (de regels komen rechtstreeks uit het log):

Quote
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183 ... 7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=14761829 ... XXZ2AET08T

FRST verifieert ‘Add-ons digital signatures’.
Niet ondertekende Add-ons worden gelabeld.

Voorbeeld:

Quote
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [not signed]

Voor Add-ons (Extensies en Plugins), het item uit het log kan ingevoerd worden en het item zal worden verplaatst.
Bij Plugins en Extensies waar het register verwijst naar een file/folder, zal het register item worden verwijderd en de file/folder verplaatst (zie hierna).

Voorbeeld van een Add-on of Extensie:

Quote
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]

Voorbeeld van een Plugin:

Quote
fixlist content:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************

HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => key removed successfully
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => moved successfully
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => key removed successfully
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => not found

Opmerking:
Dit is alleen van toepassing op Firefox, Chrome en Opera.
Bij andere items in het onderdeel Internet van het log dat te maken heeft met een register sleutel die wijst naar een bestand, moet de file/folder (alleen het pad) afzonderlijk vermeld worden om verplaatst te worden.

Chrome
FRST vermeldt Chrome sleutels en profielen (indien aanwezig) ongeacht of Chrome is geïnstalleerd.
Als er meerdere profielen zijn gebruikt, leest FRST het laatst gebruikte profiel en maakt een voorkeurlijst van dat specifiek profiel.
Extensies worden in alle profielen gedetecteerd.
Niet-standaard profielen die door adware worden toegevoegd worden gemarkeerd.

De voorkeuren scan bevat aangepaste HomePage en StartupUrls, ingeschakelde Session Restore en wat parameters van een aangepaste default zoek provider:

Quote
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=147324294 ... 4693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=147324294 ... 4693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=14 ... earchTerms}
CHR Session Restore: Default -> is enabled.

In de fixlist.txt toegevoegde HomePage en StartupUrls items worden verwijderd.
Het verwerken van andere items veroorzaakt een gedeeltelijke Chrome reset en een gebruiker zal het volgende bericht zien in de Chrome instellingen pagina: “Chrome heeft gedetecteerd dat sommige van de instellingen corrupt zijn geraakt door een ander programma en heeft ze gereset naar de originele defaults”.
FRST detecteert ook Nieuwe Tab omleiding naar nieuwe locatie, veroorzaakt door extensies.
Voor het verwijderen van omleidingen moet je de bijbehorende extensie identificeren (indien aanwezig) en netjes deinstalleren via Chrome tools (zie hierna)

Quote
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

FRST is niet in staat om de hele extensie te verwerken.
De extensie wordt nog steeds getoond in de lijst extensies en de daar aan gerelateerde map zal door Chrome hersteld worden.
Om deze reden wordt het aanbevolen om de Chrome eigen tools te gebruiken:


Quote
Klik op het Chrome menu in de werkbalk.
Klik op ‘instellingen’ en daarna ‘extensies’.
Klik daarna op het prullenbak icoon achter de extensie die je wilt verwijderen.
Er verschijnt een venster met bevestiging, klik op ‘verwijderen’.

Het verwerken van een ‘register type’ extensie zal beide elementen tegelijk verwijderen, als deze worden gevonden (hiervoor hoef je geen tweede regel in te voeren die naar het bestand wijst).
Alleen het invoegen van de regels in de fixlist volstaat, na de fix krijg je het overzicht:

Quote
fixlist content:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <not found>
*****************
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => key removed successfully
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => moved successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => key removed successfully

Sommige adware gebruikt Group Policy om veranderingen in extensies of andere functies te blokkeren.

Quote
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Lees de Group Policy Objects beschrijving onder het kopje Registry voor meer details.

Als je dit ziet:

Quote
CHR dev: Chrome dev build detected! <======= ATTENTION

Deze waarschuwing geeft aan dat adware waarschijnlijk Chrome stil heeft geupdate naar de “dev” (experimentele) versie.
FRST repareert dit niet, maar de waarschuwing is er alleen om je te melden dat Google Chrome de stabiele/normale versie opnieuw geïnstalleerd moet worden als de adware is verwijderd (tenzij de gebruiker er specifiek voor kiest om de “dev” versie te gebruiken).
Voor het verwijderen van iets anders dan een register type extensie, zijn de FF instructies hierboven op Add-ons, extensies, plugins en alle andere items van toepassing.

Opera
FRST vermeldt Opera sleutels en profiel (indien aanwezig) ongeacht of Opera is geinstalleerd.
De Opera scan is momenteel beperkt tot StartMenuInternet, StartupUrls, Session Restore en extensies.

Quote
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> is enabled.
OPR Extension: (iWebar) - C:\Users\operator\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

Het gevolg van StartUpUrls fo Session Restore items in de fixlist.txt is het verwijderen van het item.
Een extensie toevoegen aan de fixlist.txt heeft tot gevolg dat de extensie verplaatst wordt.
Afzonderlijk pad toevoegen is niet noodzakelijk.
Hoewel niet langer aktief, zal het getoonde item in het extensie venster niet verwijderd worden.
Gebruik hiervoor Opera’s eigen tools, zie onderstaand:

Klik linksboven op Opera en in het menu, klik op Extensies.
Klik op de X voor elk item om de individuele extensies te verwijderen en daarna OK.

Voor zoekmachines die niet in het log getoond worden is de beste optie om eerst het programma volledig te verwijderen, daarna systeem herstart en programma herinstallatie.

Services en Drivers
De opmaak van Services en Drivers is als volgt:

RunningState StartType ServiceName; ImagePath or ServiceDll [Size CreationDate] (CompanyName)

RunningState – de letter naast het nummer geeft de Running State weer:

R=Running.
S=Stopped.
U=Undetermined.

De “StartType” nummers zijn:

0=Boot.
1=System.
2=Auto.
3=Demand.
4=Disabled.
5=Assigned by FRST when it is unable to read the start type.

Wanneer je een [x] op het eind van een vermeld item ziet, dan kan FRST de bestanden niet vinden die horen bij een specifieke Service of Driver en plaatst daarvoor in de plaats het ImagePath zoals die in het register was.
FRST scant op een aantal bekende infecties en verifieert de digital signature van de Services en Drivers.
Een niet digitally signed file zal worden gerapporteerd.

Voorbeeld:

Quote
==================== Services (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]

Een Microsoft systeem bestand dat is “not signed” moet vervangen worden door een goede kopie.
Om dat te repareren gebruik je het Replace: commando.

Opmerking:
De controle op digital signatures is niet beschikbaar in de Recovery Environment.
Een foute service of driver verwijder je door de regel uit het log te kopiëren naar fixlist.txt.
Een gekoppeld bestand moet afzonderlijk worden toegevoegd.

Voorbeeld:

Quote
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig

Het programma sluit alle service items die zijn toegevoegd in fixlist.txt en verwijdert de service sleutel.

Opmerking:
FRST rapporteert het slagen of falen tijdens het stoppen van services die worden uitgevoerd.
Ongeacht of de service is gestopt zal FRST proberen om die service te verwijderen.
Waar de uitgevoerde service is verwijderd zal FRST de gebruiker melden dat de fix is voltooid en dat de computer moet herstarten.
Daarna zal FRST het systeem herstarten.
Op het einde in het fixlog zul je een regel vinden over de benodigde herstart.
Als een service niet wordt uitgevoerd zal FRST het verwijderen zonder een herstart te forceren.

Er zijn twee uitzonderingen waar een service zal worden gerepareerd in plaats van verwijderd worden.
In het geval van thema’s en Windows Management Instrumentation die gegijzeld worden door malware, dan zie je iets dergelijks als:

Quote
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION

Quote
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)

De items zullen hersteld worden naar de default instelling als ze in de fixlist zijn toegevoegd.

Opmerking:
Als FRST helemaal geen toegang tot een service kan krijgen, zal het volgende in het log geprint worden:

Quote
"1b36535375971e1b" => service could not be unlocked. <===== ATTENTION

Iets dergelijks kan duiden op aanpassingen door rootkit of register corruptie.
Raadpleeg een expert om het probleem te identificeren en op te lossen.

NetSvcs
Bekende legitieme items staan op de witte lijst.
Net als met andere gescande gebieden die een witte lijst hanteren, betekent het niet dat items die in het FRST.txt terechtkomen ook allemaal slecht zijn, ze moeten wel gecontroleerd worden.

De NetSvc items worden elk in een aparte regel vermeld, zoals dit:

Quote
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> No File
NETSVC: WUSB54GCSVC -> No Filepath

Het eerste item is gelabeld met de infectie =====> ZeroAccess en moet behandeld worden.

Tweede item betekent dat er een ServiceDll in het register item is dat bij pMgt service hoort waarvan het bestand mist.

Derde item betekent dat WUSB54GCSVC geen ServiceDll item heeft in het register.
Tweede en derde item zijn restanten.

Opmerking:
Netsvc alleen vermelden verwijdert alleen de bijbehorende waarde uit het register.
De bijbehorende service moet voor verwijdering afzonderlijk vermeld worden.


Kijkend naar het bovenstaand voorbeeld.
Verder terug is er een Service vermeld in het FRST log dat hoort bij het item dat getoond wordt in NETSVC, het ziet er als volgt uit:

Quote
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess

Voor het verwijderen van de NetSvc waarde, de bijbehorende service en het bijbehorend DLL bestand, zou het script er als volgt uitzien:

Quote
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
C:\Windows\System32\smcservice.dll

Een maand aangemaakt bestanden en mappen en Een maand gewijzigd bestanden en mappen
De "Een maand aangemaakt" scan rapporteert de datum en tijd van het bestand of map, gevolgd door de datum en tijd van laatste bewerking.
De “gewijzigd” scan rapporteert datum en tijd van bestand of map bewerken, gevolgd door de datum en tijd waarop het werd gemaakt.
De grootte (aantal bytes) van het bestand wordt ook getoond.
Een map toont 00000000, omdat de map zelf geen bytes heeft.

Opmerking:
Om een lange scantijd en de productie van excessief grote logs te voorkomen, is de scan beperkt tot enkele voorgedefinieerde locaties.
FRST vermeldt ook alleen aangepaste map, maar niet de inhoud ervan.
Als je wilt weten wat de inhoud van een map is, gebruik dan het ‘Folder:’ commando.

FRST voegt kenmerken toe aan bepaalde items:

C - Compressed
D - Directory
H - Hidden
L - Symbolic Link
N - Normal (does not have other attributes set)
O - Offline
R - Readonly
S - System
T - Temporary
X - No scrub (Windows 8+)

Om een file of folder te verwijderen uit de one month list, hoef je alleen de hele regel in de fixlist.txt te kopiëren en plakken, zoals hieronder:
2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys

Het Symbolic Link attribuut vermelden is bijzonder zinvol bij het herkennen van folders gemaakt door de ZeroAccess infectie.

Voorbeeld:

Quote
2013-07-14 18:17 - 2013-07-14 18:17 - 00000000 ___DL C:\Windows\system64

Voordat deze Folders verwijderd worden, moet je DeleteJunctionsInDirectory: Folderpath gebruiken (dat kan in elke modus).

Voorbeeld:
DeleteJunctionsInDirectory: C:\Windows\system64

Voor het repareren van andere files/folders kan je het pad vermelden in de fixlist.txt

c:\Windows\System32\Drivers\badfile.sys
C:\Program Files (x86)\BadFolder

Als je meer bestanden hebt met identieke bestandsnamen en je wilt deze verplaatsen met één script, dan kan je hiervoor de joker * gebruiken.
Je kunt deze bestanden dus zowel vermelden als:

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

Of gewoon:

C:\Windows\Tasks\At*.job

Opmerking:
Het vraagteken “?” karakter wordt genegeerd om veiligheidsredenen, ongeacht of het een joker is of ter vervanging van Unicode karakters (lees “Unicode” onder het kopje Inleiding, Fixing en Unicode).
Er is ook geen ondersteuning voor jokers in mappen.

Om bestanden/mappen te verwijderen met spaties in het pad hoef je geen quotes “” te gebruiken, je kunt het hele pad in de fixlist zetten.

C:\Program Files (x86)\SearchProtect

Files to move or delete
Bestanden die in dit onderdeel staan zijn ofwel slecht of staan in een verkeerde locatie.
Voorbeelden van legitieme bestanden zijn bestanden die gebruikers hebben gedownload en opgeslagen in de users directory.
Een ander voorbeeld is als een legitiem programma van derden, onderdelen opslaat in de User’s directory.
Dat is fout van de softwareleverancier en deze bestanden moeten verplaatst worden, zelfs als ze legitiem zijn.
We hebben vele infecties gezien die hun bestanden (ogenschijnlijk legitiem, maar malware) in die directory verbergen en ze daar vandaan uitvoeren.
Modified files, worden op dezelfde manier afgehandeld in een fix, als in het onderdeel One Month Created Files and Folders hierboven.

Some content of TEMP
Dit is een non-recursive scan die beperkt is tot specifieke extensies om te bepalen of er malware is geplaatst in de Temp root.
Dit onderdeel is niet zichtbaar als er geen bestanden voldoen aan de voorwaarden van de zoekopdracht.
Dat betekent niet dat Temp leeg is of vrij van malware (malware kan in een subfolder zitten, die niet door FRST wordt uitgevouwen), maar het voldoet niet aan de specifieke zoek parameters.
Voor een meer grondigere opruiming van temp bestanden, gebruik het EmptyTemp: commando als optie.

Known DLLs
Sommige items in dit onderdeel kunnen opstart problemen veroorzaken, bij vermissing, patchen of corruptie.
Om die reden verschijnt deze scan ook alleen als het progarmma wordt gebruikt in RE (Recovery Environment) modus.
Items staan in de witte lijst tenzij ze moeten worden onderzocht.

Voorzichtigheid is geboden in het afhandelen van geïdentificeerde items in dit onderdeel.
Een bestand ontbreekt ofwel het is op één of andere manier aangepast.
Hierbij wordt de hulp van een expert aanbevolen om er zeker van te zijn dat het probleem bestand correct wordt geïdentificeerd en op de juiste manier behandeld.
Over het algemeen is er een goede vervanging op het systeem, dat gevonden kan worden met de zoekfunctie in FRST.
Zie hoofdstuk Richtlijnen (voorbeelden van gebruik) in deze handleiding hoe bestanden vervangen worden en andere kenmerken voor hoe je een zoek opdracht uitvoert.

Bamital & volsnap
Primair ontworpen voor Bamital en volsnap malware check, momenteel uitgebreid om andere afwijkingen te detecteren.

Aangepaste systeem bestanden waarschuwen je voor mogelijke malware infectie.
Waar infectie is geïdentificeerd moet je voorzichtig zijn met corrigerende handelingen.
Zoek de hulp van een expert omdat het verwijderen van een systeembestand ervoor kan zorgen dat de computer niet meer zal opstarten.
Als een file niet de correcte digital signature heeft, zul je de eigenschappen ervoor in de plaats zien.
Hier een voorbeeld genomen van een Hijacker.DNS.Host infectie:

Quote
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 ____A (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 ____A (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

In dat geval moet het bestand worden vervangen door een goede kopie.
Gebruik hier voor het Replace: commando

Opmerking:
Digitale handtekening controle is niet beschikbaar in Recovery Environment.

Als een door malware aangepast item in BCD is gevonden, zie je de volgende regel:

Quote
TDL4: custom:26000022 <===== ATTENTION!

Het item in BCD kan ervoor zorgen dat een computer niet meer zal opstarten als de rootkit is verwijderd en het BCD item niet nader is onderzocht.
Als het item is toegevoegd in de fixlist zal het door malware aangepaste item verwijderd worden uit BCD en de default waarde wordt hersteld.

De veiligste manier om te starten in veilige modus is door het gebruik van F8 of 'advanced startup' (Windows 8 en 10) tijdens opstarten.
In sommige gevallen gebruiken de users “System Configuration Utility” om te starten in Safe Mode.
Als de Safe Mode corrupt is zal de computer vergrendeld worden en kan het systeem niet in een normale modus opstarten omdat het zo geconfigureerd is om op te starten in veilige modus.
In dat geval zie je:

Quote
safeboot: ==> The system is configured to boot to Safe Mode <===== ATTENTION!

Om dit probleem op te lossen moet je de bovenstaande regel in de fixlist toevoegen.
FRST zal de normale modus als de default modus instellen zodat het systeem uit de loop kan komen.

Opmerking:
Dit is van toepassing op Vista en latere versies van Windows.

Koppelingen

Opmerking:
“Koppelingen” verschijnt in FRST.txt log als het uitgevoerd wordt in Recovery Environment.
Als FRST wordt uitgevoerd buiten Recovery Environment verschijnt het onderdeel in Addition.txt.
De scan in Recovery Environment is beperkt tot .exe bestandskoppeling.

Bestandskoppeling .exe wordt in de computer zo vermeld:

Quote
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION

Zoals met andere register items kan je gewoon de items met problemen kopiëren en plakken in de fixlist.txt waarna ze worden hersteld.
Register fixen zijn niet nodig.

Herstel punten

Opmerking:
“Herstel punten” zie je in het FRST.txt log als het programma wordt uitgevoerd in Recovery Environment.
Buiten Recovery Environment staat dit onderdeel in Addition.txt.
Herstel punten worden vermeld.

Opmerking:
Alleen in Windows XP kunnen met FRST de groepen worden hersteld.

Herstelpunten vermeld in Vista en latere Windows versies moeten hersteld worden vanuit RE (Recovery Environment) door gebruik te maken van Windows Recovery Options.
Voor reparatie, voeg de regel van het betreffende herstelpunt toe aan het fixlist.txt script.

Voorbeeld van een XP machine:

Quote
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

Voor het herstellen van de groepen van Restore Points 82 (gedateerd 2010-10-24) moet de regel gekopieerd en geplakt worden in fixlist.txt op deze manier:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82

Om een fix te herstellen vanuit back-up software (FRST opgeslagen groepen, ERUNT of CF) op Vista of hoger, raadpleeg je het instructie onderdeel van deze handleiding.

Geheugen info

Opmerking:
Geheugen info zie je in de FRST.txt log als het wordt uitgevoerd in Recovery Environment.
Wanneer FRST wordt uitgevoerd buiten RE staat dit onderdeel in Addition.txt.

Het vermeldt de hoeveelheid RAM (Random Access Memory) dat is geïnstalleerd in de computer, samen met het beschikbaar fysiek geheugen en percentage vrij geheugen.
Soms vind je hier een verklaring voor bepaalde symptomen.
Bijvoorbeeld als een gebruiker aangeeft dat de getoonde hoeveelheid niet overeenkomt met de werkelijk aanwezige hoeveelheid hardware (RAM volume).
Gerapporteerde RAM is lager dan het actuele RAM volume.
Dit kan gebeuren als de machine geen toegang krijgt tot het volledige RAM geheugen.
Tot de mogelijkheden behoort defect geheugen, of moederbord slot, of iets dat voorkomt dat het BIOS geheugen herkent (BIOS heeft upgrade nodig).
Daarnaast geldt voor 32-bit systemen een limiet van 4GB RAM.
Dit is de beperking van 32-bit applicaties.
Processor informatie, virtueel geheugen en beschikbaar virtueel geheugen worden vermeld.

Schijven en MBR & Partitietabel
Opmerking:
“Schijven” en “MBR & Partitietabel” staat in FRST.txt log als het programma uitgevoerd wordt vanuit Recovery Environment.
Buiten de RE staan de onderdelen in Addition.txt.
Geeft inventaris van en extended partities en de hoeveelheid vrije ruimte er op.
Verwijderbare schijven die zijn aangesloten ten tijde van de scan worden ook vermeld.
De MBR (Master Boot Record) code is vermeld.

Je kunt zien:

Quote
"ATTENTION: Malware custom entry on BCD on drive "Somedrive": detected." Check for MBR/Partition infection".

Net als bij andere complexe infecties, wordt professionele hulp aangeraden om de correcte oplossing te vinden.
Een foute handeling kan ervoor zorgen dat de computer niet meer kan opstarten.
Controleer MBR bij aanwijzingen of er iets mis is met MBR.
Hiervoor heb je MBR dumps nodig.
Die krijg je op deze manier:

Voer de onderstaande fix uit met FRST in alle modi:

Quote
SaveMbr: drive=0 (or appropriate drive number)

Door dit uit te voeren wordt er een MBRDUMP.txt opgeslagen waar FRST is gedownload.

Opmerking:
MBR dump kan in elke modus verkregen worden, maar sommige MBR infecties kunnen de MBR vervalsen terwijl Windows aan het laden is.
Om die reden wordt sterk aangeraden om een MBR dump alleen in Recovery Environment uit te voeren.

LastRegBack
FRST kijkt in het systeem en vermeldt de laatste register backup die gemaakt is door het systeem.
De registerbackup bevat een backup van alle groepen.
Het verschilt van de LKGC (Last Known Good Configuration) backup van de controlset.

Er zijn verschillende redenen waarom je deze backup als oplossing voor een probleem neemt, maar een veel voorkomende is waar data verlies of corruptie heeft plaatsgevonden.
Je kunt dit zien in de FRST kop:

Quote
"Attention: Could not load system hive"
Voor reparatie kan je de regel in fixlist toevoegen, op deze manier:

Quote
LastRegBack: >>date<< >>time<<

Voorbeeld:
LastRegBack: 2013-07-02 15:09

-----------------------------------------------------Additional scan (Addition.txt)-----------------------------------------------------

Kop
De kop van de Additional scan bevat een korte samenvatting met informatie die bruikbaar is.
Hier is een voorbeeld kop:

Quote
Additional scan result of Farbar Recovery Scan Tool (x64) Version:06-09-2015 01
Ran by Someperson (2015-09-07 11:05:41)
Running from C:\Users\Someperson\Desktop
Windows 10 Pro (X64) (2015-08-30 03:01:13)
Boot Mode: Normal

Eerste regel:
Geeft aan of de 32-bit of 64-bit versie werd uitgevoerd.
De versie identificatie van FRST wordt ook getoond.
Tweede regel:
Toont welke gebruiker het programma heeft uitgevoerd samen met de datum en tijd.
Derde regel:
Geeft aan vanaf welke locatie FRST werd uitgevoerd.
Vierde regel:
Legt de versie van Windows vast met de installatie datum.
Vijfde regel:
Geeft aan in welke modus de scan is uitgevoerd.

Accounts
Vermeldt standaard accounts in het systeem op deze manier: Account Name (account SID -> Privileges - Enabled/Disabled) => Profile path

Voorbeeld:

Quote
Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
Someperson (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\Someperson
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)

Security Center
Je kan in de lijst restanten vinden van een eerder verwijderd beveiligingsprogramma.
In dat geval kan je de regel voor verwijderering toevoegen in fixlist.txt.
Er zijn sommige beveiligingsprogramma’s (zoals Spybot S&D) die verwijdering van het item belemmeren als deze niet volledig zijn gede-installeerd.
In dat geval zal je in plaats van een bevestiging van verwijdering in Fixlog het volgende zien:

Quote
Security Center Entry => The item is protected. Make sure the software is uninstalled and its services is removed.

Installed programs
Vermeldt alle geïnstalleerde programma’s.

FRST heeft een ingebouwde database voor markeringen van adware/PUP programma’s.
Voorbeeld:

Quote
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version:  - Mindspark Interactive Network) <==== ATTENTION
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version:  - ) <==== ATTENTION
Het wordt sterk aanbevolen om het gemarkeerde programma eerst te verwijderen voordat een geautomatiseerd programma de adware programma’s verwijdert.
De uninstaller van het adware programma verwijdert het grootste deel van de items en maakt de configuratie wijzigingen ongedaan.

In gevallen waarbij programma’s niet getoond worden in de lijst van geïnstalleerde programma’s van de gebruiker, maar ze zijn er wel, dan zal FRST er een lijst van maken met labels, zoals volgt:

Quote
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden

Deze programma’s zijn niet bij voorbaat slecht …… alleen verborgen.
Zij hebben een waarde in het register genoemd “SystemComponent” met een REG_DWORD ingesteld op 1.
Deze programma’s zijn niet zichtbaar in Add/Remove Programs (XP) of Programs and Features (Vista en later) en de gebruiker kan ze daar vandaan niet verwijderen.
FRST kan “SystemComponent” verwijderen en het programma zichtbaar maken voor de gebruiker.

Als het item uit het Addition.txt log wordt toegevoegd in de fixlist.txt dan krijg je:

Quote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff \\SystemComponent => Value deleted successfully.

Opmerking:
Deze fix maakt het programma alleen zichtbaar, het de-installeert het programma niet.
Het programma moet door de gebruiker verwijderd worden.
Zoals eerder vermeld, niet ieder verborgen programma is slecht.
Er zijn vele legitieme programma’s (inclusief MS programma’s) die om belangrijke redenen zijn verborgen.

Custom CLSID
Vermeldt aangepaste CLSID items gemaakt in de gebruikersgroep.

Voorbeelden:

Quote
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== ATTENTION

Quote
CustomCLSID: HKU\S-1-5-21-1659004503-1801674531-839522115-1003_Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\localserver32 -> rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";eval("epdvnfou/xsjuf)(=tdsjqu!mbohvbhf>ktds (the data entry has 247 more characters). <==== Poweliks?

Om kwaadaardige items te fixen kan je ze toevoegen aan fixlist.txt en FRST verwijderd ze.

Opmerking:
Legitieme software van derden kunnen aangepaste CLSID maken, zodat voorzichtigheid is geboden omdat de legitieme niet verwijderd moeten worden.

Scheduled Tasks
Geplande taken die niet op de witte lijst staan worden hier vermeld.
Als een item is toegevoegd aan fixlist.txt zal de taak zelf worden gerepareerd.

Voorbeeld:

Quote
fixlist content:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
C:\Windows\System32\Tasks\FocusPick => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => key removed successfully
C:\windows\Tasks\FocusPick.job => moved successfully.

Houdt er rekening mee dat FRST alleen de register items verwijdert en het taakbestand verplaatst, maar verwijdert niet het uitvoerbaar bestand.
Als het uitvoerbaar bestand slecht is, moet het voor verwijdering in een aparte regel worden toegevoegd aan fixlist.txt.

Houdt er rekening mee dat malware legitiem uitvoerbare bestanden kan gebruiken (zoals het gebruik van sc.exe om de eigen services uit te voeren) voor het uitvoeren van het eigen bestand. Met andere woorden dien je het uitvoerbare bestand eerst te controleren om na te kunnen gaan of het legitiem is of niet, alvorens actie te ondernemen.

Shortcuts
Vermeldt gekaapte of verdachte snelkoppelingen in de logs, het gebruikers pad en in de root directory van C:\ProgramData\Microsoft\Windows\Start Menu\Programs en C:\Users\Public\Desktop.
Items kunnen in fixlist.txt toegevoegd worden voor fixing – zie Shortcut.txt in Other optional scans hierna.

Opmerking:
Een Shortcut.txt scan bevat alle snelkoppelingen van alle gebruikers, maar het rapport in Addition.txt bevat alleen de gekaapte/verdachte snelkoppelingen in het gelogde gebruikersprofiel.
In het geval van dat WMI malware snelkoppelingen kaapt, zie je een waarschuwing:

Quote
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION

Om het verdachte script te verwijderen kan je de bovenstaande regel toevoegen in fixlist.txt.

Loaded Modules
Geladen modules staan op de witte lijst gebaseerd op de aanwezigheid van een bedrijfsnaam.
Items zonder bedrijfsnaam worden getoond.
Houd hier rekening mee, omdat er gevallen kunnen zijn waarbij een slechte module met een bedrijfsnaam niet worden getoond in deze scan.

Alternate Data Streams
FRST vermeldt ADS zo:

Quote
==================== Alternate Data Streams (whitelisted) ==========

AlternateDataStreams: C:\Windows\System32\legitfile:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

De grootte van ADS (aantal bytes) wordt getoond in brackets op het einde van het pad.
Als de ADS in een legitieme file/folder is, dan bestaat de reparatie uit de hele regel kopiëren en plakken uit het log in de fixlist.

Voorbeeld:
AlternateDataStreams: C:\Windows\System32\legitfile:malware.exe [134]
Als het in een foute file/folder staat, is de reparatie:
C:\malware

In het eerste geval verwijdert FRST alleen ADS uit de file/folder.
In het laatste geval zal de file/folder verwijderd worden.

Safe Mode
De standaard items staan in de witte lijst.
Dus als een hoofdstuk leeg is, dan is er geen aangepast item in het systeem.
Als een willekeurige hoofdsleutel mist (SafeBoot, SafeBoot\Minimal en SafeBoot\Netwerk), dan wordt deze gerapporteerd.
In dat geval moet het handmatig gerepareerd moeten worden.
Als er een malware item is kan het voor verwijdering worden toegevoegd in de fixlist.txt.

Gekoppelde bestanden (Eerder in de handleiding besproken)
Vermeldt .bat, .cmd, .com, .exe, .reg en .scr bestandskoppelingen.
De standaard items staan in de witte lijst, dus tenzij er aangepaste of toegevoegde items zijn, zal er niets getoond worden in het rapport.
Als een willekeurige aangepast standaard item is toegevoegd aan de fixlist.txt, zal het default item hersteld worden.

Internet Explorer vertrouwde/beperkte toegang
Vermeldt Internet Explorer vertrouwde sites en met beperkte toegang.
Als een item in de fixlist is toegevoegd, zal dat gekoppeld item uit het register verwijderd worden.

Host inhoud (Eerder in de handleiding besproken)
Lees het hoofdstuk eerder in deze handleiding.
Voorziet in meer details met betrekking tot de Host file.
Host file eigenschappen en de eerste 30 actieve items.
Inactieve items (commented out) zijn verborgen.

Voorbeeld:

Quote
2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 ____A C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

De regels kunnen niet individueel verwerkt worden.
Om het bestand te resetten moet je het Hosts: commando gebruiken of voeg de regel met de waarschuwing toe uit FRST.txt.

Andere gebieden
Er zijn soms items die FRST scant, die niet onder een bepaalde kop passen.
Onder deze kop rapporteert FRST momenteel Wallpaper paden, DNS servers, UAC (User Account Control) instellingen en Windows Firewall status.
FRST vermeldt alleen de items.
Er is op dit moment geen automatische fix.

Wallpaper – Diverse crypto-malware varianten maken gebruik van de instelling om ​​losgeld weer te geven.

Voorbeeld:

Quote
Normal path might look like this:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Someperson\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Bad path and file might look like this:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Someperson\My Documents\!Decrypt-All-Files-scqwxua.bmp

In het geval van malware items kan het bestandspad in de fix worden toegevoegd worden, samen met gerelateerde bestanden gevonden in FRST.txt.

Opmerking:
Met het verwijderen van de malware achtergrond zal de bureaublad achtergrond verdwijnen.
De gebruiker zal zelf de bureaublad achtergrond opnieuw moeten instellen.

In Windows XP:
Om de achtergrond in te stellen, klik met rechter muisknop op een willekeurige plek op je bureaublad en selecteer eigenschappen, kies tab bureaublad, kies een afbeelding, klik toepassen en 'ok'.

In Windows Vista en later:
Om het bureaublad in te stellen, rechts klik op een willekeurige plek op je bureaublad en kies “aan persoonlijke voorkeur aanpassen”, kies een afbeelding en klik “wijzigingen opslaan”.

DNS servers
Dit is bruikbaar om DNS/router hacking te detecteren.

Voorbeeld:

Quote
DNS Servers: 213.46.228.196 - 62.179.104.196
Opmerking:
De serverlijst wordt niet uit het register gelezen, dus het systeem moet op het internet zijn aangesloten.
Als FRST in veilige modus draait of het systeem niet is aangesloten aan het internet, krijg je:

Quote
DNS Servers: "Media is not connected to internet."

Zoek het adres op WhoisLookup voor informatie over of de server legitiem is.

UAC instellingen
Voorbeeld:

Quote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Het bovenstaande voorbeeld toont de standaard instellingen.

Quote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Het bovenstaande toon de instellingen uitgeschakeld.
Dit kan omdat de gebruiker ze op deze manier heeft ingesteld or als een zij effect van malware activiteit.
Tenzij het duidelijk is dat de oorzaak malware is, moet je eerst met de gebruiker overleggen voordat een fix wordt ingezet.

Windows Firewall
Voorbeeld:

Quote
Windows Firewall is enabled.

Er wordt ook gerapporteerd of Windows Firewall in of uitgeschakeld is.
Wanneer FRST wordt uitgevoerd in veilige modus of als er iets fout is met het systeem dan zal er geen item zijn over de Firewall.

Msconfig/task manager uitgeschakelde items
Dit log is zinvol als een gebruiker MSCONFIG of Task manager heeft gebruikt om malware items uit te schakelen in plaats van deze te verwijderen.
Of ze hebben zoveel uitgeschakeld dat bepaalde noodzakelijke services of programma’s niet meer naar behoren kunnen worden uitgevoerd.
Voorbeeld:
MSCONFIG in Windows 7 en oudere besturing systemen:

Quote
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Dat leest als hieronder volgt:

Uitgeschakelde Services:
MSCONFIG\Services: ServiceName => Original start type

Uitgeschakelde items in de Start folder:
MSCONFIG\startupfolder: Original Path (replaced "\" with "^" by Windows) => Path to backup made by Windows.

Uitgeschakelde Uitvoeren items:
MSCONFIG\startupreg: ValueName => Path to the file.

TASK MANAGER in Windows 8 en 10:

Quote
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

Opmerking:
Windows 8 en nieuwer gebruiken msconfig alleen voor services.
Start items zijn verplaatst naar de Task Manager die uitgeschakelde items opslaat in verschillende sleutels.
Een uitgeschakeld non-absent item wordt tweemaal vermeld:
In FRST.txt (Register hoofdstuk) en in Addition.txt.

Items kunnen voor verwijdering worden toegevoegd in de fixlist.
FRST zal de volgende acties uitvoeren:
In geval van uitgeschakelde items, zal de sleutel verwijderd worden die door MSCONFIG werd gemaakt en de service zelf.
In geval van uitgeschakelde Start items, zal de sleutel/waarde verwijderd worden die MSCONFIG/Task Manager heeft gemaakt.
Het Start item zelf zal op nieuwere systemen ook worden verwijderd.
In het geval van items in Start folders, zal de sleutel/waarde verwijderd worden die zijn gemaakt door MSCONFIG/Task Manager en verplaatst de backup van het bestand dat werd gemaakt door Windows (op oudere systemen) of het bestand zelf (op nieuwere systemen).

Belangrijk:
Repareer een item uit dit hoofdstuk alleen als je heel zeker weet dat het een malware item is.
Als je twijfelt aan een item, repareer deze dan niet om verwijdering te voorkomen van legitieme items.
Bij uitgeschakelde items die ingeschakeld moeten zijn, moet een gebruiker instructies krijgen om ze via MSCONFIG of Task Manager in te schakelen.


FirewallRules
Vermeldt FirewallRules, AuthorizedApplications en GloballyOpenPorts.

Voorbeeld
log (Win 10)

Quote
FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

Voorbeeld log (XP)

Quote
StandardProfile\AuthorizedApplications: [C:\Program Files\Google\Chrome\Application\chrome.exe] => Enabled:Google Chrome
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Farbar\Application Data\Dropbox\bin\Dropbox.exe] => Enabled:Dropbox
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

Als een item is toegevoegd aan de fixlist, zal het verwijderd worden uit het register.
Een mogelijk bestand wordt niet verwijderd.

Restore Points Lees eerder in deze handleiding.

Vermeldt beschikbare herstel punten op de volgende manier:

Quote
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

Uitgeschakelde functies worden gerapporteerd:

Quote
ATTENTION: System Restore is disabled

Defecte Apparaat Beheer Apparaten
voorbeeld:

Quote
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Gebeurtenissen log fouten:
Applicatie fouten:
Systeem fouten:
Code integrity:

Geheugen info Lees eerder in deze handleiding

Schijven

MBR & Partitietabel Lees eerder in deze handleiding

-----------------------------------------------------------Other optional scans-----------------------------------------------------------
Door een vinkje te plaatsen in een checkbox onder Optional Scan zal FRST de gevraagde items scannen.

List BCD
Boot Configuration Data wordt vermeld.

Drivers MD5
Produceert een lijst met drivers en bijbehorende MD5 sums wat er ongeveer als volgt uitziet:

Quote
C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451

Deze kunnen vervolgens op geldigheid gecontroleerd worden.

Shortcut.txt
Vermeldt elk type snelkoppelingen van alle standaard accounts.
Gegijzelde items kan je in de fixlist.txt toevoegen om hersteld of verwijderd te worden.

Voorbeeld:

Quote
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

Voor het herstellen van ShortcutWithArgument: regels, kopieer en plak alleen de regels in fixlist.txt.
Maar voor het verwijderen van Shortcut: objecten voeg je de paden afzonderlijk toe aan de fix.

Een volledig script zou er dan als volgt uitzien:

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Opmerking:
FRST verwijdert het argument van de snelkoppeling, behalve voor Internet Explorer (No Add-ons).Ink snelkoppeling.
Dat snelkoppeling argument is standaard niet leeg (het argument is –extoff) en wordt gebruikt om Internet Explorer te starten zonder add-ons.
Het is belangrijk voor het oplossen van IE problemen dus dit snelkoppeling argument wordt hersteld.

Let er ook op dat als je een ander programma gebruikt om de argumenten van Internet Explorer (No Add-ons).Ink te verwijderen, zal FRST het niet vermelden onder ShortcutWithArgument: en daarmee kan het argument niet meer worden hersteld.
In dat geval kan de gebruiker het argument handmatig herstellen.

Om een argument handmatig te herstellen moet de gebruiker naar Internet Explorer (No Add-ons).Ink navigeren:

Rechts klik en kies Eigenschappen.
Voeg in de Doel box twee spaties toe aan het pad en dan –extoff.
Klik dan op Toepassen en OK.

90 dagen bestanden
Als de “90 dagen bestanden” optie is aangevinkt zal FRST “Drie maanden Aangemaakt/Gewijzigd bestanden en mappen” vermelden in plaats van “Een Maand Aangemaakt/Gewijzigd bestanden en mappen”.

-----------------------------------------------------------------Zoek opties-----------------------------------------------------------------

Bestanden zoeken
Er is een Bestanden Zoeken knop op de FRST console.
Om bestanden te zoeken kan je de namen waarnaar je zoekt typen of kopiëren en plakken in de zoek box.
Jokers zijn toegestaan.
Als je naar meer dan één bestandsnaam zoekt, dienen de namen gescheiden te worden door een semicolon ;
Dus elk van de volgende opties zou werken:

afd.sys
afd.sys*
afd.sys;ndis.sys
afd.sys*;ndis.sys*

Wanneer er op de bestanden zoeken button is gedrukt zie je informatie dat het zoeken is begonnen, er verschijnt een melding en een statusbalk is te zien, daarna een pop-up bericht dat zoektocht is voltooid.
Een Search.txt log wordt opgeslagen op dezelfde plaats waar FRST is opgeslagen.

De gevonden bestanden staan in een lijst met maak datum, datum wijzing, grootte, attribuut, bedrijfsnaam, MD5 en digital signature in het volgende formaat:

Quote
C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.212_none_6a600c6ece9d9f09\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 ____A (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [File is digitally signed]

C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.0_none_89bc7b0a1a05cdb8\ndis.sys
[2015-10-30 07:44][2015-10-30 07:44] 0922464 ____A (Microsoft Corporation) 471CF5F6D7C5FDC912F52DF52C8C1E71 [File is digitally signed]

C:\Windows\System32\drivers\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 ____A (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [File is digitally signed]

Opmerking:
Digital signatures check is niet beschikbaar in Recovery Environment.
Zoek bestanden optie is beperkt tot de systeem drive.
Er zijn gevallen waar een legitiem systeem bestand wordt vermist of corrupt is, waardoor opstart problemen ontstaan en er is geen vervanging op het systeem.
Als de Zoek bestand optie wordt gebruikt in Recovery Mode (Vista en nieuwer) het zoeken wordt ook uitgebreid naar de bestanden in X: (virtuele opstart drive).
In sommige gevallen kan dat een redding zijn.
Voorbeeld is een missend services.exe dat kan gekopieerd worden van X:\Windows\System32 naar C:\Windows\System32

Opmerking:
De X: partitie zal alleen 64-bit uitvoerbare bestanden hebben voor 64-bit systemen.

Zoek Registry
Er is een Zoek Registry knop in de FRST Console.
Je kunt typen of item namen kopiëren en plakken waar je naar wilt zoeken in de Zoek box.
Als je wilt zoeken naar meer dan één item, moet je de namen scheiden met een semicolon ;

Een individuele zoek actie zou er zo uitzien:
websearch

Een zoek actie naar multiple items zou er zo uitzien:
websearch;dealply;searchprotect
In tegenstelling tot een zoekopdracht naar bestanden, een register zoekopdracht uitvoeren met jokers moet vermeden worden omdat de jokertekens dan letterlijk vertaald worden.
Waar een joker (“*” of “?”) is toegevoegd aan de start of einde van een register zoek term, zal FRST het negeren en zoeken naar een zoekterm zonder dat karakter.
Een SearchReg.txt log wordt opgeslagen op dezelfde locatie waar FRST is opgeslagen.

Opmerking:
De register zoek functie is alleen beschikbaar buiten Recovery Environment.

---------------------------------------------------------Instructies/commando’s---------------------------------------------------------

Alle instructies/commando's in FRST horen in 1 regel, omdat FRST het script per regel verwerkt.

Beknopt referentie overzicht van instructies/commando’s

Opmerking:
Instructies/commando’s zijn niet hoofdletter gevoelig.

Alleen te gebruiken in Normal Mode
CreateRestorPoint:
TaskDetails:

Alleen te gebruiken in Normal en Safe Mode
CloseProcesses:
DeleteKey:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VerifySignature:
Zip:

Voor gebruik in Normal, Safe Mode en Recovery Environment (RE)
cmd:
DeleteJunctionsInDirectory:
DeleteQuarantine:
DisableService:
ExportKey: en ExportValue:
File: en Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
nointegritychecks on:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
testsigning on:
Unlock:

Uitsluitend voor gebruik in Recovery Environment (RE)
LastRegBack:
RestoreErunt:
Restore From Backup:
RestoreMbr:

---------------------------------------------------------Voorbeelden van gebruik---------------------------------------------------------

CloseProcesses:
Sluit alle niet noodzakelijke processen.
Helpt bij het sneller en efficiënter repareren.

Voorbeeld:
CloseProcesses:

wanneer er een commando is toegevoegd in een fix wordt er automatisch een herstart toegepast.
Het is niet noodzakelijk om het Reboot: commando te gebruiken.
Het CloseProcesses: commando is niet noodzakelijk en niet beschikbaar in de Recovery Environment.

Cmd:
Af en toe moet je het commando CMD toepassen.
In dat geval moet je het commando “CMD:” gebruiken.
Het script zal als volgt zijn:

Quote
CMD: command

Als er meer dan één commando, start dan elke regel met CMD: om een uitvoer log voor elk commando te krijgen.

Voorbeeld:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr

Het eerste commando zal een minidump bestanden kopiëren naar een flash drive (als de letter voor de flashdrive is E)
Het tweede commando wordt gebruikt om de MBR in Windows Vista en hoger te herstellen.

Als alternatief kan het StartBatch: – EndBatch: commando gebruikt worden (zie hieronder).

Opmerking:
In tegenstelling tot eigen of andere FRST instructies moet je bij cmd commando's de correcte syntaxis toepassen, zoals het gebruik van " quotes in het geval van een ruimte in het bestand/directory pad.

CreateRestorPoint:
Voor het maken van een herstelpunt.

Voorbeeld:
CreateRestorePoint:

Opmerking:
Deze instructie werkt alleen in normal mode.
Het faalt ook als System Restore is uitgeschakeld.

DeleteJunctionsInDirectory:
Voor het verwijderen van knooppunten, gebruik de volgende Syntax:

Quote
DeleteJunctionsInDirectory: Path

Voorbeeld:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

DeleteKey: en DeleteValue
De meest efficiente beschikbare manier om sleutels/waardes te verwijderen, het omzeilen van beperkingen door de standaard verwijder algoritmen in Reg: en StartRegedit: -- EndRegedit:.

De syntax is:

1 Voor sleutels:

Quote
DeleteKey: key

Als alternatief kan je ook een regedit format gebruiken.

Quote
[-key]

2 Voor waardes:

Quote
DeleteValue: key|value

Als de waarde een standaard waarde is, laat de waarde naam dan leeg:

Quote
DeleteValue: key|

Voorbeeld:
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

De instructies hebben de mogelijkheid om sleutels/waardes te verwijderen die geblokkeerd zijn vanwege onvoldoende rechten, sleutels/waardes die embedded-null characters bevatten en register symbolic links.
Hiervoor hoef je geen Unlock: instructie te gebruiken.

Voor sleutels die zijn beschermd door uitgevoerde software (toegang geweigerd) moet je de veilige modus gebruiken (om de uitgevoerde software te omzeilen) of de hoofd componenten verwijderen voordat je het commando gebruikt.

Opmerking:
Als de voor verwijdering vermelde sleutel een register link naar een andere sleutel is, zal de (bron) sleutel die de symbolische register sleutel is, verwijderd worden.
De doelsleutel zal niet verwijderd worden.
Dit is gedaan om te voorkomen dat zowel de slechte register symbolische link die kan wijzen naar een legitieme sleutel en de legitieme sleutel zelf verwijderd worden.
In een situatie waar zowel de bron als de doel sleutel slecht zijn, dan moeten beiden voor verwijdering vermeld worden.

DeleteQuarantine:

Na het afronden van de opruiming, de %SystemDrive%\FRST (gewoonlijk C:\FRST) folder die is gemaakt door FRST zou verwijderd moeten worden van de computer.
In sommige gevallen kan de folder niet handmatig worden verwijderd omdat de %SystemDrive%\FRST\Quarantine folder geblokkeerde of ongebruikelijke malware bestanden of mappen bevat.
Het commando DeleteQuarantine: zal de Quarantine folder verwijderen.
Dat commando moet wel op de volgende manier worden toegevoegd in de fixlist.txt:

Quote
DeleteQuarantine:

DisableService:
Om een service of driver uit te schakelen, kan je het volgende script gebruiken:

Quote
DisableService: ServiceName

Voorbeeld:
DisableService: sptd
DisableService: Wmware Nat Service

FRST zal de service uitschakelen en de service zal niet uitgevoerd worden bij de volgende start.

Opmerking:
De service naam moet vermeld worden zonder toevoegingen als deze verschijnt in het register of FRST log.
Aanhalingstekens zijn bijvoorbeeld niet vereist.

EmptyTemp:
De volgende mappen zijn geleegd:

Windows Temp
Gebruikers Temp folders
Edge, IE, FF, Chrome en Opera cache, HTML5 opslag, Cookies en geschiedenis (opmerking: FF geschiedenis is niet verwijderd)
Recentelijk geopende bestands cache
Flash player cache
Java cache
Steam HTML cache
Explorer miniatuur en icoon cache
BITS overdracht wachtrij (qmgr*.dat bestanden)
Prullenbak

Als het commando EmptyTemp: is gebruikt, zal het systeem na de reparatie worden herstart.
Hiervoor is het commando Reboot: niet nodig.
Het maakt ook geen verschil of het commando EmptyTemp: is toegevoegd aan het begin, midden of einde van de fixlist, omdat het pas wordt uitgevoerd nadat alle andere regels zijn uitgevoerd.

Belangrijk:
Als het commando EmptyTemp: is gebruikt worden items permanent verwijderd.
Ze worden niet naar de quarantine verplaatst.

Opmerking:
Het commando is uitgeschakeld in de Recovery Environment om schade te voorkomen.

ExportKey: en ExportValue:
Een meer betrouwbare manier om ​​belangrijke inhoud te inspecteren.
De instructies vervangen sommige regedit.exe en reg.exe beperkingen.
Het verschil tussen de instructies is een uitbreiding van de export.
ExportKey: hiermee worden alle waarden en subsleutels recursief weergegeven, terwijl ExportValue: alleen de waarden in de sleutel toont.

The syntax is:

Quote
ExportKey: key

Quote
ExportValue: key

Voorbeeld:
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Suspicious Key

================== ExportKey: ===================
[HKEY_LOCAL_MACHINE\SOFTWARE\Suspicious Key]
[HKEY_LOCAL_MACHINE\SOFTWARE\Suspicious Key\InvalidKey ]
"Hidden Value"="Hidden Data"
[HKEY_LOCAL_MACHINE\SOFTWARE\Suspicious Key\LockedKey]
HKEY_LOCAL_MACHINE\SOFTWARE\Suspicious Key\LockedKey => Access Denied.

=== End of ExportKey ===

Opmerking:
..\Invalidkey ] is geen fout, maar een visuele weergave van de nul die de sleutel vergrendelt.

Opmerking:
Het exporteren is bedoeld voor alleen onderzoeksdoeleinden en kan niet worden gebruikt voor backup en import acties.

File: and Folder:
Worden gebruikt om bestand specificaties te bekijken of de inhoud van een map.

Quote
File: path
Folder: path

Voorbeeld:
File: C:\Users\User\AppData\Local\Microsoft\Protect\protecthost.dll
Folder: C:\Users\User\AppData\Local\Microsoft\Protect

Quote
========================= File: C:\Users\User\AppData\Local\Microsoft\Protect\protecthost.dll ========================

File not signed
MD5: 8DCFCAB3BD33A3BF7358A594F0C3EA86
Creation and modification date: 2016-06-12 17:10 - 2016-06-12 17:10
Size: 1719296
Attributes: ----A
Company Name:
Internal Name:
Original Name:
Product:
Description:
File Version:
Product Version:
Copyright:

====== End of File: ======


========================= Folder: C:\Users\User\AppData\Local\Microsoft\Protect ========================

2016-06-12 17:10 - 2016-06-12 17:10 - 1719296 _____ () C:\Users\User\AppData\Local\Microsoft\Protect\protecthost.dll

====== End of Folder: ======

Opmerking:
De digitale handtekening controle is niet beschikbaar in Recovery Environment.

FindFolder:
Voor het zoeken naar een map op de systeem schijf.
Jokers zijn toegestaan.
Als je moet zoeken naar meer dan één map moeten de zoek termen gescheiden worden door een semicolon ;

Voorbeeld:

Quote
FindFolder: bestcleaner;gtfhaughton*

Hosts:
Voor reset van Hosts.
Zie ook hosts in het hoofdstuk hoofdscan (FRST.txt).

ListPermissions:
Wordt gebruikt om rechten op bestanden/mappen/sleutels in het script te vermelden.

Quote
ListPermissions: path/key

Voorbeeld:
Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\farbar\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

Move:
Er zijn momenten waarbij het hernoemen of verplaatsen van een bestand, in het bijzonder over verschillende schijven, problematisch is en het MS Rename commando mislukt.
Voor het verplaatsen of hernoemen van een bestand, gebruik het volgende script:

Quote
Move: source destination

Voorbeeld:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

Het programma verplaatst het doelbestand naar de Quarantaine (indien aanwezig) en verplaatst dan het bronbestand naar de doellocatie.

Opmerking:
Je mag hernoemen bij het gebruik van het Move: commando.

Opmerking:
Het doelpad moet het bestandsnaam bevatten, zelfs als het bestand momenteel wordt vermist in de doelmap.

Nointegritychecks on:
Dit is van toepassing op Vista en latere Windows versies.
Als de integrity checks functie is uitgeschakeld, zie je de volgende regel in het FRST log:

Quote
nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION!

Het betekent dat BCD is gewijzigd om de integity checks over te slaan tijdens het opstarten.
Om de integriteitscontrole in te schakelen kopieer en plak bovenstaande regel in de fixlist.
In sommige niet opstartbare computers helpt het uitschakelen van integriteitscontrole om het opstartprobleem op te lossen totdat we de functie opnieuw inschakelen.
Om de functie uit te schakelen voor het oplossen van problemen, of om een backup te maken in normale modus voordat Windows opnieuw wordt geïnstalleerd, gebruik de volgende syntax:

nointegritychecks on:

Powershell:
Om PowerShell instructies of scripts uit te voeren.
1.Voor een enkel onafhankelijk PowerShell commando uit te voeren en het resultaat in het Fixlog.txt te krijgen is de syntax:

Quote
Powershell: command
Voorbeeld:
Powershell: Get-Service

2. Om een onafhankelijk PowerShell commando uit te voeren en het resultaat in een tekstbestand (niet Fixlog.txt) te krijgen, gebruik :
Redirection operators’ of 'Out-File cmdlet':

Quote
Powershell: command > "Path to a text file"

Quote
Powershell: command | Out-File "Path to a text file"

Voorbeeld:
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt
3. Voor een kant en klaar scriptbestand (.ps1) uit te voeren dat één of meer PowerShell commando’s/regels bevat is de syntax:

Quote
Powershell: "Path to a script file"
Voorbeelden:
Powershell: C:\Users\UserName\Desktop\script.ps1

Powershell: "C:\Users\User Name\Desktop\script.ps1"

4. Voor het uitvoeren van meer PowerShell commando’s/regels van een script als uit een scriptbestand (.ps1), maar zonder het maken van het .ps1 bestand, gebruik een semicolon ; in plaats van line breaks om ze te scheiden.

Quote
Powershell: line 1; line 2; (en zo verder)

Voorbeeld:
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

Als alternatief kan de StartPowershell: — EndPowershell: instructie gebruikt worden (zie hieronder)

Reboot:
Om een herstart te forceren.
Het maakt geen verschil waar je dit in de fixlist plaatst.
Zelfs als je het aan het begin plaatst, zal de herstart pas uitgevoerd worden nadat alle andere reparaties zijn uitgevoerd.

Opmerking:
Dit commando werkt niet en is niet noodzakelijk in de Recovery Environment.

Reg:
Om het Windows register aan te passen m.b.v Reg command line programma.
De syntax is:

Quote
Reg: reg command

Voorbeeld:
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f

Opmerking:
In tegenstelling tot eigen FRST instructies heeft het Reg commando correcte reg.exe syntax nodig, zoals het gebruik van “ quotes in geval van ruimte in sleutel/waarde naam.

Opmerking:
Het commando verwerkt geen geblokkeerde of onvolledige sleutels.
Lees de beschrijving van DeleteKey: en DeleteValue:, eerder in de handleiding beschreven.

RemoveDirectory:
Voor verwijderen (niet verplaatst naar quarantine) van mappen met beperkte permissies en onvolledige paden of namen.
Unlock: instructie is niet noodzakelijk.
Deze instructie moet gebruikt worden voor mappen die een gebruikelijk verplaats actie weerstaan.
Het is erg krachtig in Veilige Modus, maar het krachtigst in RE (Recovery Environment).

Het script zal als volgt zijn:

Quote
RemoveDirectory: path

RemoveProxy:
Verwijdert sommige Internet Explorer policy restricties settings zoals "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" of ProxySettingsPerUser in HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings.
Het verwijdert "ProxyEnable" (indien ingesteld op 1), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" en "SavedLegacySettings" waardes van de machine en gebruikers sleutels.
Het is ook van toepassing op het BITSAdmin commando met NO_PROXY.

Daarnaast verwijdert het de standaard waarde van de "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" sleutel als deze is aangepast.

Opmerking:
Bij uitvoerende software of een service die de instellingen herstelt moet de software en de service eerst verwijderd worden, voordat de instructie wordt gebruikt.
Dit is noodzakelijk om te voorkomen dat de proxy instellingen terug gezet worden.

Replace:
Voor het vervangen van een bestand gebruik volgende script:

Quote
Replace: source destination

Voorbeeld:
Replace: c:\WINDOWS\ServicePackFiles\i386\afd.sys c:\WINDOWS\system32\drivers\afd.sys
Replace: c:\WINDOWS\ServicePackFiles\i386\atapi.sys c:\WINDOWS\system32\drivers\atapi.sys

Het programma verplaatst het doellocatie bestand (indien aanwezig) naar de Quarantaine en kopieert dan het bronbestand naar de doellocatie.
Het bronbestand wordt niet verplaatst en het bronbestand blijft in de originele locatie.
Dus in het bovenstaande voorbeeld afd.sys in de i386 map zal daar in de toekomst zijn.
Opmerking:
Het doelpad moet de bestandsnaam bevatten, zelfs als het bestand op dat moment vermist wordt in de doelmap.

Opmerking:
In het geval van een missende doelmap zal het commando falen.
FRST herbouwt niet een hele map structuur.

Restore From Backup:
De eerste keer als het programma wordt uitgevoerd, worden de groepen als backup naar de %SystemDrive%\FRST\Hives map gekopieerd (gewoonlijk C:\FRST\Hives).
Het zal niet worden overschreven als het programma een volgende keer opnieuw wordt uitgevoerd, tenzij de backup ouder is dan twee maanden.
Als er iets fout gaat kan uit iedere groep hersteld worden.
De syntax is:

Quote
Restore From Backup: HiveName

Voorbeelden:
Restore From Backup: software
Restore From Backup: system

RestoreErunt:
Groepen herstellen vanuit Erunt: het script is dan:

Quote
RestoreErunt: path

Backups herstellen die gemaakt zijn met CF (ComboFix), het script is dan:
RestoreErunt: cf

RestoreMbr:
Voor de MBR te herstellen zal FRST MBRFix gebruiken dat is opgeslagen op de flash drive om een MBR.bin bestand naar een drive te schrijven.
Hiervoor is het MbrFix/MbrFix64 hulpprogramma noodzakelijk, de MBR.bin die hersteld moet worden en het script die de drive toont:

Quote
RestoreMbr: Drive=#

Voorbeeld:
RestoreMbr: Drive=0

(Opmerking: Het MBR dat hersteld gaat worden moet hernoemd worden naar MBR.bin en daarna gezipped en toegevoegd)

RestoreQuarantine:
Je kunt de hele inhoud uit Quarantaine herstellen of enkele of meerdere bestanden of mappen uit de Quarantaine herstellen.
Voor de hele inhoud van Quarantaine te herstellen is de syntax ofwel:
RestoreQuarantine:

Of:

RestoreQuarantine: C:\FRST\Quarantine
Voor het herstellen van een bestand of map is de syntax:

Quote
RestoreQuarantine: PathInQuarantine

Voorbeeld:

Quote
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD
Om het pad in de Quarantaine te vinden kan je gebruiken:
Folder: C:\FRST\Quarantine

Of:

CMD: dir /a/b/s C:\FRST\Quarantine

Opmerking:
Als een bestand al bestaat (buiten Quarantaine) in het doelpad, zal FRST het niet overschrijven.
Het originele bestand zal niet verplaatst worden en blijft in de Quarantaine.
Maar als je nog steeds het bestand wilt herstellen uit de Quarantaine, dan moet het bestand in het doelpad hernoemd/verwijderd worden.

SaveMbr: Lees hoofdstuk Drives en MBR & Partition Table in deze handleiding.
Voor het maken van een MBR kopie wordt de volgende syntax gebruikt:

Quote
SaveMbr: Drive=#

Voorbeeld:
SaveMbr: Drive=0

Opmerking:
Door dit uit te voeren wordt MBRDUMP.txt gemaakt op de flash drive die bijgevoegd moet worden aan het bericht van de gebruiker.

SetDefaultFilePermissions:

Gemaakt voor geblokkeerde systeem bestanden.
Het zet de groep “Administrators” als eigenaar en afhankelijk van het systeem verstrekt het toegangsrechten aan de standaard groepen.

Opmerking:
De instructie stelt niet TrustedInstaller in als eigenaar, maar het kan wel gebruikt worden voor systeem bestanden die geblokkeerd worden door de malware.
Het script zal als volgt zijn:

Quote
SetDefaultFilePermissions: path

StartBatch: — EndBatch:
Voor het maken en uitvoeren van een batch bestand.

De syntax is als volgt:

StartBatch:
Line 1
Line 2
Etc.
EndBatch:

Het resultaat wordt doorgestuurd naar het Fixlog.txt.

StartPowershell: — EndPowershell:
Een beter alternatief voor het maken en uitvoeren van een PowerShell bestand dat meerdere regels bevat (zie PowerShell: instructie eerder in de handleiding).

De syntax is als volgt:

StartPowershell:
Line 1
Line 2
Etc.
EndPowershell:

Het resultaat zal gekopieerd worden naar Fixlog.txt.

StartRegedit: — EndRegedit:
Voor het maken en importeren van een register bestand (.reg).

De syntax is:

Quote
StartRegedit:
.reg file format
EndRegedit:

Windows Registry Editor Version 5.00 kop invoegen is optioneel, maar regedit4 kop is vereist.

Voorbeeld:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:
Je krijgt een bevestiging in Fixlog.txt
====> Registry
Opmerking:

De bevestigingsregel verschijnt ongeacht mogelijke fouten in je .reg bestand.

Opmerking:
De instructies handelen geen geblokkeerde of onvolledige sleutels af.
De meest efficiente manier om sleutels te verwijderen is door de DeleteKey: instructie of door middel van [–Key] format te gebruiken, zoals al eerder in de handleiding is beschreven.

TaskDetails:
Vermeldt toegevoegde taak details in relatie met uitvoer tijd.

De syntax is:

Quote
TasksDetails:

Voorbeeld:

========================= TasksDetails: ========================
UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

Opmerking:
De instructie wordt niet ondersteund in Windows XP en werkt alleen in Normale Modus.

Testsigning on:
Is van toepassing op Windows Vista en later.
Malware voegt soms een item toe aan BCD (Boot Configuration Data) om zo aan de integrity checks te ontkomen tijdens het opstarten.
De malware moet eerst opgeruimd en van de machine verwijderd worden en daarna de standaard BCD herstellen.

Pas op:
BCD aanpassen is delicaat werk, verkeerd uitgevoerd geeft een niet opstartbare computer.

Als FRST bewijs lokaliseert van dit soort knoeien, wordt het op deze manier gerapporteerd:

Quote
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

Wanneer de malware nog steeds op de computer aanwezig is, zal er ook een (verborgen) niet ondertekende driver op de volgende manier in het log worden getoond:

Quote
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()

De gebruiker kan ook zeggen dat hij dit on z’n desktop heeft gezien:
“Er viel me iets op onder aan de rechterkant van mijn desktop, iets met “Test Mode, Windows 7, Build 7601”.
Dit heb ik niet eerder gezien.

Het script voor verwijdering zal zijn:
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

Naast het verwijderen van de malware driver zal FRST ook de waarde verwijderen die is toegevoegd aan BCD.
Verder is er geen actie noodzakelijk.
Het komt soms voor dat andere programma’s de machine maar gedeeltelijk gereinigd hebben, maar BCD niet gerepareerd.
In deze gevallen kan je het volgende gebruiken:

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

In een situatie waar, nadat testsigning terug is gezet naar standaard instelling (uitgeschakeld), iets fout gaat, schakel testsigning weer in voor verder onderzoek, gebruik hiervoor het volgende commando:

Quote
testsigning on:

Unlock:
Deze instructie, in het geval van bestanden/mappen, stelt de groep “everyone” in als eigenaar, verleent toegang aan iedereen en wordt herhaald bij toepassing op mappen.
Het dient gebruikt te worden voor slechte bestanden/mappen.
In het geval van register items wordt de groep “administrators” als eigenaar ingesteld en verleent aan groepen de gebruikelijke toegang en werkt alleen op de betreffende sleutel.
Dit kan voor zowel slechte en legitieme sleutels worden toegepast.

Het script is dan als volgt:

Quote
Unlock: path

Soms werken de gebruikelijke handelingen niet vanwege rechten.
Hier kom je achter als je meldingen krijgt als “Kan bestand/map niet verplaatsen” in het Fixlog.txt.
In dat geval kan je de instructie “Unlock:” gebruiken op deze bestanden of mappen.

Voorbeeld:
Unlock: C:\Windows\System32\bad.exe
Voor het verwijderen van het hele bestand kan je het pad afzonderlijk in de fix toevoegen:

Unlock: C:\Windows\System32\bad.exe
C:\Windows\System32\bad.exe

Je kunt het commando gebruiken om register items te deblokkeren als ze geblokkeerd zijn.
Als je bijvoorbeeld de fix uitvoert in de recovery modus en het current controlset is ControlSet001, dan is het volgende van toepassing:

Unlock: hklm\system\controlset001\badservice\subkeyname

Voor het verwijderen van het item kan je de Reg: instructie gebruiken.
De volledige syntax zal dan zijn als volgt:

Unlock: hklm\system\controlset001\badservice\subkeyname
Reg: reg delete hklm\system\controlset001\badservice /f

Opmerking:
De DeleteKey: instructie kan gebruikt worden i.p.v de Unlock: en Reg: combinatie.

VerifySignature:
Het checken van een digitale handtekening voor een bestand.

Quote
VerifySignature: path

Voorbeeld:
VerifySignature: C:\Windows\notepad.exe

Zip:
Om bestanden/mappen te comprimeren en op te slaan als Date_Time.zip naar een gebruikers bureaublad voor vervolgens een handmatige upload door de gebruiker.
Er wordt meer dan één archief gemaakt voor files/folders met dubbele namen.

Quote
Zip: path;path

Plaats zoveel bestanden/mappen als noodzakelijk in de lijst, maar gescheiden door semicolons ;.

Voorbeeld:
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Aanname is vaak de oorzaak van ellende.
BBgebruiker1
Site Admin
Berichten: 1756
Lid geworden op: 26 jun 2014, 15:55
Locatie: Amersfoort
Zodiac:
Contacteer:

Re: Wie heeft Nederlandstalige handleiding FRST?

Ongelezen bericht door BBgebruiker1 »

Ik had een Nederlandse vertaling gemaakt van de handleiding voor dit programma.
Het is niet officieel en daarom publiceer ik het ook niet, want publicatie mag niet zonder overleg met de maker van het programma.
Aanname is vaak de oorzaak van ellende.
Plaats reactie

Terug naar “Malware”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 4 gasten