FRST Handleiding - Hoe gebruik je Farbar Recovery Scan Tool

[kape 1.112]

 

 

Farbar's Recovery Scan Tool

 

De meest recente versie van FRST kan je hier downloaden:

 

Link 1 | Link 2

 

 

Farbar Recovery Scan Tool (FRST) is een diagnosetool met de ingebouwde mogelijkheid om via voorbereide scripts oplossingen aan te bieden voor met malware besmette computers. Het tool werkt zowel in normale modus als in veilige modus. Indien de computer opstartproblemen heeft, kan het ook ingezet worden in de Windows herstelomgeving. Deze laatste mogelijkheid is erg nuttig bij het behandelen van problemen die voorkomen tijdens het opstarten van de computer.

 

Informatie over de handleiding.

 

Deze handleiding werd origineel geschreven door emeraldnzl in overleg met Farbar en in samenwerking met BC (Bleeping Computer) en G2G (Geeks to Go). Emeraldnzl heeft zich inmiddels uit het project teruggetrokken en nu wordt de handleiding onderhouden en up-to-date gehouden door picasso in overleg met Farbar. De toelating van picasso en Farbar is vereist voor het gebruik van deze handleiding of het quoten van delen van deze handleiding op andere websites. Hou er rekening mee dat deze handleiding origineel opgesteld werd voor de ondersteuning van malwarehelpers op forums en niet voor individuele gebruikers.

 

 

 

 

Vertalingen

Frans

Duits

Pools

Russisch

Nederlands (België)

Nederlands (Nederland) = HijackThis.nll

 

Inhoudstafel

1. Inleiding

2. Standaard Scangebieden

3. Hoofdscan (FRST.txt)

 

•          Processen
•         Register
•         Internet
•     Services en Drivers
•          NetSvcs
•     Een maand (aangemaakt/gewijzigd)
•      Bestanden om te verplaatsen of te verwijderen
•       Bepaalde inhoud van TEMP
•     KnownDLLs
•       Bamital & volsnap
•       Koppelingen
•     Herstelpunten
•     Geheugeninfo
•     Schijven en MBR & Partitietabel
•       LastRegBack

 

4. Bijkomende scan (Addition.txt)

 

•           Accounts
•       Veiligheidscentrum (Security Center)
•       Geïnstalleerde programma’s
•       Aangepaste CLSID
•       Geplande taken
•       Snelkoppelingen & WMI
•       Geladen Modules
•       Alternate Data Streams
•       Veilige Modus
•       Bestandskoppeling
•       Internet Explorer vertrouwde/beperkte toegang
•       Hosts inhoud
•       Andere gebieden
•       MSCONFIG/TASK MANAGER uitgeschakelde items
•       Firewallregels
•       Herstelpunten
•       Defecte Apparaatbeheer Apparaten
•       Eventlog fouten
•       Geheugeninfo
•       Schijven
•       MBR & Partitietabel

 

5. Andere optionele scans

 

• Toon BCD
• Drivers MD5
• Snelkoppelingen (Shortcut.txt)
• Bestanden laatste 90 Dagen
• Zoeken bestanden
• Zoeken in register

 

6. Instructies/Commando’s

 

• CloseProcesses:
• CMD:
• Copy:
• CreateDummy:
• CreateRestorePoint:
• DeleteJunctionsInDirectory:
• DeleteKey: en DeleteValue:
• DeleteQuarantine:
• DisableService:
• EmptyTemp:
• ExportKey: en ExportValue:
• File:
• FilesInDirectory: en Folder:
• FindFolder:
• Hosts:
• ListPermissions:
• Move:
• nointegritychecks on:
• Powershell:
• Reboot:
• Reg:
• RemoveDirectory:
• RemoveProxy:
• Replace:
• Restore From Backup:
• RestoreErunt:
• RestoreMbr:
• RestoreQuarantine:
• SaveMbr:
• SetDefaultFilePermissions:
• StartBatch: — EndBatch:
• StartPowershell: — EndPowershell:
• StartRegedit: — EndRegedit:
• TasksDetails:
• testsigning on:
• Unlock:
• VerifySignature:
• VirusTotal:
• Zip:

 

7. Canned Speeches - Standaardteksten

 

8. Changelog

 

 

 

 

 

 

[kape]

Inleiding

 

Sterke punten van FRST zijn de eenvoud en gebruiksvriendelijkheid. Regels die verwijzen naar besmette items kunnen worden geïdentificeerd, gekopieerd uit het log, geplakt in een kladblok en opgeslagen. Met een simpele klik op een knop doet het tool dan de rest. Dit laat ook een grote flexibiliteit toe, waardoor nieuwe infecties snel kunnen worden geïdentificeerd en toegevoegd aan een fix.

 
Met welke Windows-versies werkt het ?

 

Farbar's Recovery Scan Tool is ontwikkeld om te werken met Windows XP, Windows Vista, Windows 7, Windows 8 en Windows 10 besturingssystemen. Er zijn twee versies beschikbaar, een 32-bits en een 64-bits versie.

 

Aandacht: FRST64 werkt niet op Windows XP 64-bits versies.

 

Diagnose

FRST maakt een log van verschillende gebieden binnen het Windows besturingssysteem. Dit log kan gebruikt worden bij de eerste probleemanalyse en verstrekt systeeminformatie.

Het tool wordt constant bijgewerkt. Een belangrijk onderdeel daarvan is het toevoegen van nieuwe informatie i.v.m. de identificatie van malware. Om die reden wordt ook sterk aanbevolen om geregeld een update te doen. Indien de computer verbonden is met het internet, wordt er een automatische controle uitgevoerd naar updates bij het openen van FRST. Een melding verschijnt en de laatste versie kan dan worden gedownload.

Indien er zich nieuwe infecties voordoen, een update niet mogelijk is of er geen internetverbinding (om welke reden dan ook) beschikbaar is, moet de malware-expert op de hoogte zijn van de laatste ontwikkelingen op het vlak van malware om tot een snelle vaststelling van de problemen te komen. Een leek kan dan ook beter hulp zoeken bij deze experten wanneer er nieuwe infecties verschijnen of wanneer het voor hen zelf moeilijk is om het probleem op hun computer te identificeren.

Net zoals vele andere scanners, gebruikt FRST standaard ook whitelisting (veilige items). Dit voorkomt het opmaken van erg lange logs. Indien je toch een volledig log wil zien, kan je het vinkje weghalen bij de whitelist-filters. Bereid je dan wel voor op een erg lang log, dat bij gebruik op forums voor analyse zal moeten opgeladen worden als bijlage.

 

•         FRST gebruikt een whitelist voor de standaard MS-registeritems.
•          Bij Services en Drivers worden niet alleen de standaard MS-services, maar ook alle andere legitieme services en drivers op de whitelist gezet.
•          Een service of driver zonder een bedrijfsnaam wordt niet aan de whitelist toegevoegd.
•          Beveiligingsprogramma’s (antivirus of firewall) komen niet op de whitelist.
•          De SPTD-service komt niet op de whitelist.

 

 

Voorbereiding voor gebruik

 

FRST moet uitgevoerd worden als “administrator”. Alleen als het tool wordt uitgevoerd door een gebruiker met administratorrechten zal het correct werken. Indien het tool niet wordt uitgevoerd als “administrator”, verschijnt er in de hoofding van FRST.txt hierover een “waarschuwing”.

In sommige gevallen beletten beveiligingsprogramma’s de volledige werking van het tool. In het algemeen is er geen probleem, maar wees attent op het feit dat een beveiligingsprogramma de scan met FRST kan belemmeren. Bij het uitvoeren van een fix is het aangewezen om programma’s als Comodo eerst uit te schakelen, omdat deze het tool hinderen om de taken correct uit te voeren. Indien je geplaagd wordt door een rootkit, is het een algemene aanbeveling om slechts één fix tegelijkertiid uit te voeren en te wachten op het resultaat ervan, alvorens je een ander tool uitvoert.

 

Het is niet noodzakelijk om een back-up van het register te maken. FRST maakt zelf een back-up van het register tijdens de eerste scan. Deze back-up kan je vinden in %SystemDrive%\FRST\Hives (in de meeste gevallen dus bij C:\FRST\Hives). Zie het onderdeel Restore From Backup: voor meer details.

 

FRST is beschikbaar in meerdere talen. Helpers neigen al eens naar het gebruik van Engels als keuzetaal bij hun probleemanalyse. Wanneer een helper of een gebruiker een Engelstalig log wenst, hoef je alleen het woord English toe te voegen aan de programmanaam. Dat ziet er dan zo uit: EnglishFRST.exe, EnglishFRST64.exe, FRSTEnglish.exe of FRSTEnglish64.exe. Het log dat je dan als resultaat krijgt is Engelstalig.

 

 

FRST opstarten

 

De gebruiker wordt aanbevolen om FRST naar het bureaublad te downloaden. Daar kan je dan dubbelklikken op het icoon van FRST, de disclaimer aanvaarden en het programma opstarten.

 

Het icoon van FRST ziet er als volgt uit:

 

Aandacht: De gebruiker moet de juiste (compatibele) versie gebruiken. Er zijn 32-bits en 64-bits versies. Als je niet zeker weet welke versie je nodig hebt, download dan beide versies en tracht deze op te starten. Enkel één versie – compatibel aan het systeem – zal werken. Dit is dan de correcte versie voor het gebruikte systeem.

 

Als FRST wordt geopend zal je eerst de startpagina zien. Die ziet er zo uit:

 

 

Nadat de scan voltooid is, worden er – in een kladblok – kopieën opgeslagen op dezelfde locatie waar FRST gestart werd. Zowel bij de eerste scan als alle volgende scans – buiten de herstelomgeving - wordt er een FRST.txt-log en een Addition.txt-log aangemaakt.

 

Kopieën van deze logs worden opgeslagen in %SystemDrive%\FRST\Logs (in de meeste gevallen zal dit dus bij C:\FRST\Logs zijn)

 

 
Fixen
 
Opgelet - Belangrijk

 

Farbar Recovery Scan Tool brengt geen ingrijpende wijzigingen aan en in de scanmodus heeft het geen invloed op de werking van de computer.

Echter

 

FRST is erg effectief bij het uitvoeren van opdrachten. Bij het uitvoeren van een fix waarbij de opdracht gegeven wordt om een item te verwijderen, zal het tool dit - in 99 % van de gevallen – ook probleemloos doen. Dit ondanks het feit dat er een aantal veiligheidsmaatregelen zijn ingebouwd, die een ruime basis hebben om het verwijderen van infecties niet te verstoren. De gebruiker van het tool dient zich hiervan bewust te zijn. Indien het tool op een foutieve wijze wordt gebruikt (wanneer er bv. opdracht wordt gegeven om essentiële bestanden te verwijderen), kan dit ertoe leiden dat het tool ervoor zorgt dat de computer niet meer kan opstarten.

 

Indien je twijfels hebt omtrent bepaalde items in een log van FRST, vraag dan zeker hulp bij experts vóór je een fix opstelt en uitvoert.

 

FRST bezit een uitgebreide reeks commando’s en switches die gebruikt kunnen worden om computerprocessen te sturen en om problemen die ontdekt werden te herstellen.

 

 

Voorbereiding van een fixlist

 

1. Fixlist.txt-methode – om problemen die je ontdekt hebt te fixen, kopieer je de lijnen uit het FRST-log  en plak je deze in een kladblok. Dit geef je de naam fixlist.txt en sla je op in dezelfde map waarin FRST wordt opgestart. 

Aandacht: Het is belangrijk dat Kladblok gebruikt wordt. De fix zal niet worden uitgevoerd indien Word of een ander tekstprogramma wordt gebruik.

 

2. Ctrl+y-methode – deze combinatie kan gebruikt worden om automatisch een leeg logbestand aan te maken, dat je dan kan aanvullen. Start FRST, druk op de combinatietoetsen Ctrl+y om het bestand te openen, plak er de fix in en sla deze op met de combinatietoetsen Ctrl+s.

 

3. Klembord-methode – voeg de regels van de fix in tussen de opdrachten Start:: en End:: (zie hieronder).

 

Quote

Start::

Inhoud script

End::

 

Laat de gebruiker de volledige inhoud, - met inbegrip van Start:: en End:: - kopiëren en klik dan op de “Fixen”-button.

 

 

Unicode

Om items met Unicode-tekens te fixen, dient het script opgeslagen te worden in Unicode, zo niet zullen de Unicode-tekens verloren gaan. De combinatie Ctrl+y slaat het tekstbestand op in Unicode. Indien fixlist.txt manueel wordt samengesteld, dient de juiste codering gekozen te worden in het kladblok (zie onderstaand voorbeeld).

Voorbeeld

Quote

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Ｇooｇle Ｃhroｍe.lnk.bat

 

Kopieer en plak de items in het kladblok, klik op “Opslaan als ….”, in het vak Codering selecteer je UTF-8, geef het de naam fixlist.txt en sla het op. Indien je de gegevens uit kladblok opslaat zonder UTF-8 te selecteren, zal het kladblok een “waarschuwing” geven. Indien je toch verdergaat met opslaan, zal je na sluiten en heropenen van het document het volgende zien:

 

Quote

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

 

En FRST zal er niet in slagen om deze fix te verwerken.

 

 

Gewijzigde gebruikersnamen

 

Sommige gebruikers veranderen logs door de gebruikersnaam te verwijderen of te vervangen. Om zeker te zijn dat de juiste items worden verwijderd bij een computer met slechts één gebruiker, kan je de verwijderde of vervangen gebruikersnaam vervangen door CurrentUserName. FRST zal deze sleutel dan automatisch omzetten naar een correcte gebruikersnaam.

 

Aandacht: Deze methode wordt niet ondersteund in de Windows herstelomgeving.

 

Om te voorkomen dat FRST gedurende lange tijd zou runnen, ten gevolge van foute scripts of andere onverwachte gebeurtenissen, is de maximale duur van de fix ingesteld op 40 minuten.

 

Items die verplaatst worden door de fix, worden opgeslagen in %SystemDrive%\FRST\Quarantine (in de meeste gevallen zal dit dus C:\FRST\Quarantine zijn), tot het opruimen en verwijderen van FRST.

Voor meer gedetailleerde informatie over het samenstellen van een fix, zie verder.

 

 

FRST verwijderen

 

Om alle mappen en bestanden die aangemaakt werden door FRST en het tool zelf te verwijderen, wijzig je de naam FRST/FRST64.exe in uninstall.exe en laat je het tooltje terug lopen. Deze handeling vereist opnieuw opstarten en werkt enkel buiten de herstelomgeving.

 

 

 

[kape]

Standaard Scangebieden 

 

 

Zowel bij de eerste als alle volgende scans – buiten de Windows herstelomgeving – wordt er een FRST.txt-log en een Addition.txt-log aangemaakt. Dit Addition.txt-log wordt niet gemaakt indien FRST wordt uitgevoerd in de Windows-herstelomgeving.

 

Scans uitgevoerd in normale modus

 

Hoofdscan

Processen

Register

Internet

Services

Drivers

NetSvcs

Een maand (aangemaakt)

Een maand (gewijzigd)

Bestanden in de root van sommige mappen

Bestanden om te verplaatsen of te verwijderen

Sommige bestanden in TEMP

Sommige 0 byte-mappen en -bestanden

Bamital & volsnap

LastRegBack

 

Bijkomende Scan

Accounts

Security Center

Geïnstalleerde programma’s

Aangepaste CLSID

Geplande Taken

Snelkoppelingen & WMI

Geladen Modules

Alternate Data Streams

Veilige Modus

Bestandskoppeling

Internet Explorer vertrouwde/beperkte toegang

Hosts inhoud

Andere gebieden

MSCONFIG/TASK MANAGER, uitgeschakelde items

Firewallregels

Herstelpunten

Defecte Apparaatbeheer-apparaten

Eventlog fouten

Geheugeninfo

Schijven

MBR & Partitietabel

 

 

Optionele scans

 

Toon BCD

Drivers MD5

Shortcut.txt

Addition.txt

Bestanden laatste 90 dagen

Zoeken bestanden

Zoeken in register

Scans in de Windows-herstelomgeving

Hoofdscan

Register

Services

Drivers

NetSvcs

Een maand (aangemaakt)

Een maand (gewijzigd)

Bestanden om te verplaatsen of te verwijderen

Sommige bestanden in TEMP

KnownDLLs

Bamital & volsnap

Bestandskoppeling

Herstelpunten

Geheugeninfo

Schijven

MBR & Partitietabel

LastRegBack

 

 

Optionele Scans

Toon BCD

Drivers MD5

Bestanden laatste 90 dagen

Zoeken bestanden

 

 

 

 

 

 

[kape]

HOOFDSCAN (FRST.txt)

 

Koptekst

Dit is een voorbeeld van een koptekst:

Quote

Scanresultaten van Farbar Recovery Scan Tool (FRST) (x64) Versie: 20-10-2017

Gestart door User (administrator) op DESKTOP-3DJ40NK (21-10-2017 14:15:41)

Gestart vanaf C:\Users\User\Desktop

Geladen Profielen: User (Beschikbare Profielen: User & Administrator)

Platform: Windows 10 Pro Version 1709 16299.19 (X64) Taal: Nederlands (Nederland)

Standaardbrowser: FF
Boot Modus: Normal

 

 

Bestuderen van de verschillende onderdelen van deze koptekst kan nuttige informatie opleveren:

Eerste lijn: toont welke variant (32-bits of 64-bits) en welke versie van FRST is uitgevoerd. De versie van FRST is erg belangrijk. Een oudere versie heeft niet de meest recente mogelijkheden van FRST.

 
Tweede lijn: toont welke gebruiker het tool heeft opgestart en met welke rechten. Bovendien wordt hier ook de computernaam en de datum en tijd van het runnen van het tool weergegeven. In sommige gevallen kan een gebruiker een oud log plaatsen. Dat is dan merkbaar op deze regel.

Derde lijn: toont vanop welke locatie FRST werd uitgevoerd. Dit kan belangrijk zijn om de fix op te maken, indien FRST werd uitgevoerd vanop een andere locatie dan het bureaublad.

Vierde lijn: toont met welk account (profiel) de gebruiker van de gebruikerscomponent was ingelogd en (tussen haakjes) welke profielen er beschikbaar zijn op de computer, ook deze die bij het gebruik van FRST niet geladen werden

Aandacht. : Wanneer je inlogt op Windows, wordt alleen de gebruikerscomponent van de gebruiker geladen. Als de gebruiker inlogt met een ander account zonder herstarten (via “andere gebruiker” of “uitloggen”), wordt de tweede gebruikerscomponent ingeladen, maar wordt de eerste gebruikerscomponent niet uitgelogd. In dat geval zal FRST de registeritems van beide gebruikers vermelden, maar niet die van andere gebruikerscomponenten die niet werden geladen.

 

Vijfde lijn: hier wordt de Windows-versie getoond, met inbegrip van belangrijke updates (“Versie en OS build” bij Windows 10, “Update” bij Windows 8.1. en “Service Pack” bij Windows 7 en ouder), samen met de ingestelde taal. Hier kan je eventueel uit afleiden of er problemen zijn met updates, indien deze niet de meest actuele zijn.

 

Zesde lijn; toont de versie van Internet Explorer (bij Windows 7 en ouder) en de standaardbrowser.

 

Zevende lijn: toont de modus waarin de scan is uitgevoerd.

 

Tot slot wordt de link getoond naar de handleiding van FRST.

Aandacht: De informatie in de koptekst – wanneer het tool is uitgevoerd in de Windows-herstelomgeving - is bijna identiek, hoewel korter omdat de gebruikersprofielen niet worden ingeladen.

 

 

Waarschuwingen die getoond worden in de koptekst:

Als er opstartproblemen zijn, verschijnt de waarschuwing “AANDACHT, "system" component kon niet geladen worden”. Dit is een aanduiding dat de SYSTEM-groep ontbreekt. Deze SYSTEM-groep herstellen kan eventueel via de opdracht LastRegBack: (zie later).

"Default: Controlset001". Dit geeft aan welk CS van het systeem de standaard-CS is. Waarvoor heb je dat nodig ? Normaal heb je dit niet nodig, tenzij je in de CS die geladen wordt bij het opstarten van Windows wil kijken of je hierin veranderingen wil aanbrengen. Wijzigingen aanbrengen in elk ander beschikbaar CS zal geen effect hebben op je computer.

 

 

Processen

Er kunnen twee redenen zijn waarom je een proces zou willen stoppen. Ten eerste: je wil een beveiligingsprogramma uitschakelen dat een fix zou kunnen verhinderen. Ten tweede: je wil een fout proces stoppen en daarna de map of het bestand waarmee het verbonden is verwijderen.

 

Om een proces te stoppen, voeg je de noodzakelijke lijnen toe uit de FRST-scan.

 

Voorbeeld

Quote

(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe

 

Een Fixlog.txt zal verschijnen met volgende melding: procesnaam => Proces succesvol afgesloten

Indien je een fout proces wil stoppen en de daarmee verbonden bestanden of mappen wil verwijderen, moet je alle items afzonderlijk toevoegen aan de fix:

Voorbeeld: 

Quote

(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot

 

 

Register

Alle registeritems (sleutels en waarden) die geselecteerd werden uit je FRST-log en werden opgenomen in de fixlist, zullen verwijderd worden. FRST beschikt over een krachtige routine voor het verwijderen ervan. Alle sleutels of waarden die beschikken over onvoldoende rechten of null ingesloten waarden hebben, zullen toch verwijderd worden. Alle sleutels en waarden die niet verwijderd kunnen worden wegens “toegang geweigerd”, worden opgeslagen en in de planning geplaatst om te verwijderen bij het herstarten van het systeem. Enkel de sleutels en waarden die beschermd worden door een “kernel driver” worden niet verwijderd. Deze kunnen slechts verwijderd worden nadat de “kernel driver” die ze beschermt effectief verwijderd of uitgeschakeld is.

 

Het kopiëren van registeritems uit het log naar de fix, kan tot één van de volgende twee acties leiden op de geselecteerde registersleutel/waarde:

 

•          het herstellen van de standaardsleutel/waarde (default sleutel/waarde).
•          het verwijderen van de sleutel/waarde.

 

      Indien items uit het log - die verband houden met BootExecute, Winlogon waarden (Userinit, Shell, System), LSA en AppInit_DLLs gekopieerd worden naar de fixlist, herstelt het tool de standaardwaarden van Windows.

 

Aandacht: Indien er in AppInit_DLLs een slecht pad aanwezig is, zal FRST enkel dit specifieke pad weghalen uit AppInit_DLLs, zonder de rest te verwijderen.

 

Hiervoor hoef je geen batch of regfix te maken. Dit geldt ook voor andere belangrijke sleutels/waarden die door malware aangetast werden.

 

Opm.: FRST komt niet aan bestanden die door de registersleutels werden geladen of die momenteel worden uitgevoerd. Bestanden die moeten verplaatst worden, dienen afzonderlijk in de lijst te worden opgenomen met het volledige pad zonder bijkomende informatie.

 

Run-items, Runonce-items, Image File Execution Options en andere registeritems die naar de fixlist worden gekopieerd, zullen uit het register worden verwijderd. De bestanden die ze laden of uitvoeren, zullen echter niet worden verwijderd. Indien je deze toch zou willen verwijderen, moet je deze afzonderlijk vermelden in je fix.

 

Om bvb. een foutief Run-item samen met het bestand te verwijderen, moet je het vermelden in de fixlist zoals hieronder (de eerste lijn wordt rechtstreeks uit het log gekopieerd).

Quote

HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\User\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\User\AppData\Roaming\xF9HhFtI.exe

 

Wanneer een bestand of een snelkoppeling in de Startup-map wordt ontdekt, zal FRST dit vermelden in Startup:-items. Indien het bestand een snelkoppeling is, zal de volgende lijn het doel van de snelkoppeling vermelden (bvb. het uitvoerbaar bestand dat opgestart wordt door deze snelkoppeling). Indien je zowel de snelkoppeling als het uitvoerbaar bestand wil verwijderen, moet je beiden toevoegen aan de fix.

 

 

 

Voorbeeld

Quote

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk [2013-09-11]
ShortcutTarget: runctf.lnk -> C:\Users\User\1800947.exe ()

 

Aandacht: De eerste lijn verplaatst alleen de snelkoppeling. De tweede lijn verplaatst hier het 1800947.exe-bestand. Indien je enkel de tweede lijn in de fix vermeldt, zal het uitvoerbaar bestand worden verwijderd, maar blijft de snelkoppeling in de Startup-map staan. Bij het opnieuw opstarten van het systeem, zal er een foutmelding verschijnen, vermits de snelkoppeling het uitvoerbaar bestand wil opstarten, terwijl dit niet meer te vinden is.

 

In het geval dat malware Untrusted Certificates of Software Restriction Policies wil misbruiken, zal je in het log items zien verschijnen die er zo uit zien:

 

Quote

HKLM\DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <====== AANDACHT

 

Quote

HKLM Group Policy restriction on software: C:\ProgramFiles\AVAST Software <===== AANDACHT

 

Om beveiligingsprogramma’s te deblokkeren, dien je deze regels in de fixlist op te nemen.

 

Aandacht: de Software Restriction Policies detection werkt generiek (algemeen) en kan resulteren in het flaggen van andere legitieme items die aangemaakt werden om het systeem te beschermen tegen infecties. Zie ook: How to manually create Software Restriction Policies to block ransomware.

 

FRST ontdekt ook de aanwezigheid van Group Policy Objects (Registry.pol en Scripts), die kunnen worden misbruikt door malware. Firefox, Google Chrome (zie later bij browsers) en Windows Defender in Registry.pol zullen afzonderlijk gerapporteerd worden.

Quote

GroupPolicy: Restrictie - Windows Defender <======= AANDACHT

 

Voor andere policies en scripts krijg je enkel een generieke (algemene) melding zonder details:

Quote

GroupPolicy: Restrictie ? <======= AANDACHT
GroupPolicyScripts: Restrictie <======= AANDACHT

 

Om de policies te herstellen, kan je deze regels toevoegen aan de fixlist. FRST zal dan de GroupPolicy-mappen verkorten en een herstart forceren.

 

Voorbeeld:

Quote

C:\Windows\system32\GroupPolicy\Machine => is succesvol verplaatst

C:\Windows\system32\GroupPolicy\GPT.ini => is succesvol verplaatst

 

Aandacht: De detectie is ingesteld voor een standaard computer zonder speciaal ingestelde policies. Dit zou er toe kunnen leiden dat legitieme items die ingesteld zijn via gpedit.msc toch geflagged worden.

 

Als systeemherstel is uitgeschakeld via Group Policy, zal dit op de volgende manier gemeld worden:

Quote

HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== AANDACHT

 

Door het invoeren van deze lijn in de fixlist zal de hele sleutel worden verwijderd (standaard bestaat dit niet).

Aandacht: FRST geeft ook een waarschuwing in Addition.txt als systeemherstel is uitgeschakeld, zelfs als dit niet is uitgeschakeld via Group Policy, maar door de gebruiker zelf. In dat geval voert FRST niets uit. De gebruiker moet ervan verwittigd worden om systeemherstel in te schakelen. Er is geen Group Policy die het inschakelen ervan belemmert.

 

 

Internet

Afgezien van enkele uitzonderingen, zullen de items die naar de fixlist gekopieerd worden, ook verwijderd worden. Bij registeritems die verbonden zijn met mappen of bestanden, moeten deze mappen en bestanden afzonderlijk worden toegevoegd om verplaatst te worden. Dit geldt niet voor browsergegevens (uitgezonderd Internet Explorer). Zie de beschrijving later voor meer details daarover.

 

Winsock

 

Items die niet op de standaardlijst zijn opgenomen, worden in het log getoond. Indien een Catalog5-item werd toegevoegd om te fixen, dan zal FRST één van deze twee zaken uitvoeren:

 

1.    in het geval van gekaapte standaarditems (default), worden deze standaarditems hersteld.

2.    in het geval van aangepaste items, zullen deze worden verwijderd en zullen de catalogusitems worden hernummerd.
 

Indien er Catalog9-items dienen gefixed te worden, wordt aanbevolen om "netsh winsock reset" te gebruiken.

 

Quote

cmd: netsh winsock reset

 

Als er dan nog steeds Catalog9-items moeten hersteld worden, kunnen deze opgenomen worden in de fix. In dat geval zal FRST deze items verwijderen en de catalogusitems hernummeren.

Opgelet: een onderbroken string zal de computer beletten om verbinding te maken met het internet.

Een verbroken internetverbinding – wegens ontbrekende winsock-items – zal in het log worden gerapporteerd als volgt:

Quote

Winsock: -> Catalog5 - Gebroken internetverbinding vanwege ontbrekend item. <===== AANDACHT
Winsock: -> Catalog9 - Gebroken internetverbinding vanwege ontbrekend item. <===== AANDACHT

Om dit probleem op te lossen, dienen de items opgenomen te worden in de fixlist.

 

 

Hosts
 

Als er aangepaste items zijn bij Hosts zal er in het internetgedeelte van het log van FRST.txt volgende lijn verschijnen:

Quote

Hosts: Er is meer dan één item in Hosts. Zie Hosts deel van Addition.txt

 

Indien het Hosts-bestand niet gevonden wordt, verschijnt er een melding dat het tool geen hosts kan vinden.

Om de hosts te resetten, kopieer je deze lijn en plak je ze in de fixlist. Hierdoor worden de hosts gereset. In Fixlog.txt zal je een lijn vinden die deze reset bevestigt.

TCPIP en andere items

Alle items die opgenomen worden in de fixlist zullen worden verwijderd.

Aandacht: In het geval van een StartMenuInternet hijacking voor IE, FF, Chrome en Opera, zullen de standaarditems in de whitelist opgenomen zijn. Wanneer deze items verschijnen in het FRST-log, betekent dit dat er een niet-standaarditem wordt getoond. De kans bestaat dat er dan – al dan niet – iets mis is met het toegangspad in het register. Verder onderzoek moet dan uitgevoerd worden. Indien er een probleem is, kan het item worden toegevoegd in de fixlist, waardoor het standaard registeritem zal worden hersteld.

 

 

Internet Explorer

 

Browserpagina's, SearchScopes (browsers) en andere items zonder binding met bestanden of mappen: afhankelijk van het type, zal FRST de sleutels verwijderen uit het register of ze herstellen naar hun standaardwaarde.

Voorbeeld:

Quote

HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}

 

URLSearchHook, BHO, Toolbar, Handler en Filter-items kunnen naar de fix gekopieerd worden en de sleutel in het register zal verwijderd worden. Bijhorende mappen en bestanden moeten afzonderlijk worden toegevoegd indien deze moeten worden verwijderd.

 

Voorbeeld:

Quote

BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz

 

Edge

FRST vermeldt wanneer een Edge HomeButtonPage aangepast werd,, Session Restore werd ingeschakeld en andere Extensies werden geïnstalleerd.

Quote

Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> is ingeschakeld
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]

 

De HomeButtonPage en Session Restore-meldingen die in de fixlist werden opgenomen, zullen verwijderd worden uit het register.

Van de extensies die in de fixlist werden opgenomen, zal de registersleutel verwijderd worden en zal de bijhorende map worden verplaatst.

 

Firefox

FSRT vermeldt FF-sleutels en FF-profielen (indien aanwezig), ongeacht het feit of FF geïnstalleerd is of niet. Wanneer er meerdere Firefox-versies of Firefox-klonen zijn, zal FRST de voorkeuren vermelden (user.js, Extensions en SerachPlugins) van alle profielen. Ook niet-standaardprofielen – toegevoegd door adware – zullen gemarkeerd worden.

Wanneer de voorkeuren in de fixlist worden geplakt, zullen de registerwaarden worden verwijderd. De volgende keer als Firefox of de Firefox-kloon wordt opgestart, zullen opnieuw de standaardinstellingen (default) worden ingesteld. De vermeldingen worden als volgt ingevoerd (deze lijnen komen rechtstreeks uit het log.

Quote

FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T

 

FRST verifieert de ondertekening van add-ons in Firefox. Niet-ondertekende add-ons worden gelabeld.

Voorbeeld:

Quote

FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [Bestand niet getekend]

 

FF Extension en andere lijnen kunnen opgenomen worden in de fixlist en zullen dan verwijderd worden.

 

Wanneer Group Policy Firefox blokkeert, wordt dit als volgt getoond:

 

Quote

GroupPolicy: Restrictie - Firefox <==== AANDACHT
GroupPolicy-Firefox: Restrictie <==== AANDACHT
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrictie <=== AANDACHT 

 

Zie de beschrijving van Group Policy Object bij het onderdeel register voor meer details.

 

Chrome

FSRT vermeldt Chrome-sleutels en Chrome-profielen (indien aanwezig), ongeacht het feit of Chome geïnstalleerd is of niet. Wanneer er meerdere profielen zijn, zal FRST het laatste profiel lezen en de voorkeuren vermelden van dit profiel. Extensies worden in alle profielen gedetecteerd. Ook niet-standaardprofielen – toegevoegd door adware – zullen gemarkeerd worden.
 

De scan naar voorkeuren, bevat aangepaste HomePage en StartupUrls, ingeschakelde Session Restore-items en sommige aangepaste gegevens van de provider.

Quote

CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> is ingeschakeld

 

De HomePage en StartupUrls die opgenomen zijn in de fixlist worden verwijderd. Het verwerken van andere Chrome-instellingen, kan leiden tot een gedeeltelijke reset van Chrome. De gebruiker zal dan de volgende melding zien: “Chrome heeft ontdekt dat sommige instellingen corrupt zijn geraakt door andere programma’s en herstelt ze naar de originele instellingen (defaults).”

 

FRST zal ook New Tab-omleidingen ontdekken, die veroorzaakt werden door extensies. Voor het verwijderen van deze omleidingen, moet je de bijhorende extensie (indien aanwezig) identificeren en deze verwijderen via de aangepaste Chrome-tools (zie verder):

 

Voorbeeld:

Quote

CHR NewTab: Default ->  Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"

CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

 

FRST is niet in staat om een extensie te verwijderen. De extensie wordt nog steeds getoond in de lijst van de extensies en de daaraan verbonden map zal door Chrome hersteld worden. Om deze reden worden deze Chrome extensions-lijnen niet verwerkt in de fix, je dient daarvoor de eigen Chrome-tools te gebruiken:

 

Quote

Typ chrome://extensions in de werkbalk en druk Enter. Klik op het prullenbak-icoon achter de extensie die je wil verwijderen. Er verschijnt een venster om dit te bevestigen. Klik dan op Verwijderen.

 

Een uitzondering geldt voor een extensie-installer (CHR HKLM en HKU-labels) die in het register te vinden is. Indien dit item is opgenomen in de fixlist, zal de sleutel worden verwijderd.

 

Sommige adware gebruikt Group Policy om veranderingen in extensies of andere functies te blokkeren.

Quote

GroupPolicy: Restrictie - Chrome <======= AANDACHT
CHR HKLM\SOFTWARE\Policies\Google: Restrictie <======= AANDACHT

 

Lees de Group Policy Object-beschrijving onder Register voor meer details.

 

 

 

Opera

FRST vermeldt de Opera-sleutels en –profielen (indien aanwezig), ongeacht of Opera geïnstalleerd is.

 

De Opera-scan is momenteel beperkt tot StartMenuInternet, StartupUrls, Session Restore en extensies:

Quote

OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> is ingeschakeld
OPR Extension: (iWebar) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

 

Het toevoegen van StartupUrls of SessionRegistry-items in de fixlist leidt tot het verwijderen van deze items.

Het toevoegen van extensies aan de fixlist zorgt ervoor dat de extensies verplaatst worden. Het toevoegen van een afzonderlijk pad is niet noodzakelijk.

Hoewel het niet langer actief is, zal het getoonde item nog te vinden zijn bij de browserextensies. Gebruik de Opera-tools om deze te verwijderen (zie hieronder).

 

Quote

Typ opera://extensions in de werkbalk en druk Enter. Klik op het prullenbak-icoon achter de extensie die je wil verwijderen. Er verschijnt een venster om dit te bevestigen. Klik dan op Verwijderen.

 

Voor browsers die niet in het log getoond worden, is de beste optie om eerst het programma volledig te verwijderen, daarna het system opnieuw op te starten en het programma opnieuw te installeren.

 

 

Services en Drivers

 

De opmaak van Services en Drivers ziet er als volgt uit:

Quote

Toestand Uitvoering StartType Servicenaam; ImagePath of ServiceDll (Grootte Aanmaakdatum) (Bedrijfsnaam)

 

Toestand Uitvoering – de letter naast het nummer geeft de toestand van de uitvoering weer:

 

R=Running (actief)
S=Stopped (gestopt)
U=Undetermined (onbekend)

 

De cijfers bij het “StartType” zijn:

 

0=Boot
1=System
2=Auto (automatisch)
3=Demand (manueel)
4=Disabled (uitgeschakeld)
5=FRST kan het starttype niet lezen

 

Wanneer je een [X] ziet op het einde van een item, betekent dit dat FRST de bestanden niet kon vinden die verbonden zijn aan de specifieke Service of Driver en dat het tool in de plaats ervan de ImagePath of ServiceDll heeft geplaatst die in het register te vinden was.

 

FRST scant naar een aantal bekende infecties en verifieert de digitale handtekening van de bestanden van Services en Drivers. Wanneer een bestand geen digitale handtekening heeft, wordt dit gerapporteerd.

 

Voorbeeld:

Quote

==================== Services (gefilterd) =================
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Bestand niet getekend]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Bestand niet getekend]

 

Een systeembestand van Microsoft dat geen digitale handtekening heeft (not signed), dient vervangen te worden door een goede kopie. Om dat te fixen, gebruik je de instructie Replace:
 

Aandacht: De controle op de digitale handtekeningen is niet beschikbaar in de herstelomgeving

Om een foute service of driver service te verwijderen, kopieer je de lijn uit het log naar de fixlist. Alle bestanden die eraan gekoppeld zijn, moeten afzonderlijk worden toegevoegd.

 

Voorbeeld:

Quote

R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig

 

Het tool sluit alle service-items die zijn toegevoegd aan de fixlist en verwijdert de service-sleutel.

 

Aandacht: FRST rapporteert of het stoppen van services die worden uitgevoerd geslaagd is of niet. Ongeacht of de service is gestopt, zal FRST proberen om deze te verwijderen. Wanneer de uitgevoerde service is verwijderd, zal FRST de gebruiker verwittigen hoe de fix moet voltooid worden en dat het systeem moet herstart worden. Daarna zal FRST het systeem herstarten. Op het einde van het fixlog zal je een regel vinden over de noodzakelijke herstart. Indien een service niet wordt uitgevoerd, zal FRST deze verwijderen zonder een herstart te forceren.
 

Er zijn twee uitzonderingen waarbij een service zal worden hersteld i.p.v. verwijderd. In het geval van thema’s en Windows Management Instrumentation die door malware zijn aangetast, zal je het volgende zien:

Quote

S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== AANDACHT

Quote

S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)

 

De items zullen hersteld worden naar hun standaardinstelling (default), wanneer ze opgenomen zijn in de fixlist.

 

De volgende lijn mag niet in de fixlist opgenomen worden:

 

Quote

”Servicenaam” => service is ontgrendeld <===== AANDACHT

 

Dit bericht betekent dat FRST verbroken toelatingen heft ontdekt en deze automatisch gefixed heeft gedurende de scan. Een nieuw log van FRST moet aangemaakt worden om het resultaat te controleren. Indien nodig plaats je de standaard servicelijn in de fixlist.

 

 

NetSvcs

 

Bekende legitieme items staan op een whitelist. Net als bij andere gescande gebieden die een whitelist gebruiken, betekent het niet dat de items die in FRST.txt opgenomen worden allemaal slecht zijn Zij dienen wel allemaal gecontroleerd te worden.

 

De items van NetSvc worden elk in een aparte regel getoond, zoals dit:

Quote

NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\iIpi\HpSvs.dll ()
NETSVCx32: WpSvc -> geen bestandpad

 

Aandacht: Wanneer Netsvc alleen vermeld wordt, wordt alleen de bijhorende waarde in het register verwijderd. De bijhorende service moet voor verwijdering afzonderlijk vermeld worden (indien hij aanwezig is in Services).

 

Voorbeeld:

 

Om de waarde, de bijhorende service in het register en het bijhorende DLL-bestand te verwijderen, ziet het script er als volgt uit:

Quote

S2 HpSvc; C:\Program Files (x86)\LuDaShi\Ipi\HpSvs.dll [239016 2016-07-21] () <==== AANDACHT
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\Ipi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi

 

 

Een maand (aangemaakt) en Een maand (gewijzigd).

De scan van “nieuwe” mappen en bestanden geeft de datum en tijd weer van de aanmaak van mappen en bestanden van de voorbije maand én de datum en tijd van de laatste bewerking. De scan van “gewijzigde” mappen en bestanden geeft de datum en tijd weer van de wijziging van mappen en bestanden tijdens de voorbije maand én de datum en tijd wanneer deze mappen en bestanden aangemaakt werden. De grootte van het bestand (aantal bytes) wordt eveneens getoond. Bij een map wordt 00000000 getoond, wanneer deze zelf geen bytes bezit.

 

Aandacht: Om een lange scantijd en de samenstelling van een extreem uitgebreid log te voorkomen, wordt de scan beperkt tot een aantal voorgedefinieerde locaties, de standaardmappen en hun submappen. Bovendien biedt FRST een opsomming van een aantal niet-standaardmappen, maar niet de inhoud ervan. Als je de inhoud van dergelijke niet-standaardmappen wil kennen, gebruik je de instructie Folder:.

 

FRST voegt kenmerken toe aan bepaalde items:
 

C - Compressed (gecomprimeerd)
D - Directory
H - Hidden (verborgen)
L - Symbolic Link (symbolische link)
N - Normal (heeft geen gedefinieerde attributen)
O - Offline
R - Readonly (enkel lezen)
S - System
T - Temporary (tijdelijk)
X - No scrub (Windows 8+) (geen opruiming)

Om een map of bestand te verwijderen uit de lijst van de mappen en bestanden van de voorbije maand, dien je enkel de regel te kopiëren en in de fixlist te plakken.

 

Lijnen die verwijzen naar een Symbolic Link (L-kenmerk) worden correct behandeld.
 

Voorbeeld:

Quote

2018-02-21 21:04 - 2018-02-21 21:04 - 0000000 ___DL C:\WINDOWS\system32\Link

 

Wanneer opgenomen in de fixlist, zal FRST enkel de link verwijderen, niet de doelmap.

Quote

Symbolische koppeling gevonden: "C:\WINDOWS\system32\Link" => C:\WINDOWS\system32\Target"

"C:\WINDOWS\system32\Link" => Symbolische koppeling met succes verwijderd

C:\WINDOWS\system32\Link => is succesvol verplaatst

 

Als alternatief kan de instructie DeleteJunctionsInDirectory: gebruikt worden.

 

Om andere mappen en bestanden te verwijderen, kan het pad opgenomen worden in de fixlist.

Voorbeeld:

Quote

DeleteJunctionsInDirectory: C:\Windows\system64

 

Om andere mappen en bestanden te herstellen, kan je het pad opnemen in de fixlist. Wanneer er spaties zijn in het pad, dienen er geen quotes aan toegevoegd te worden bij de behandeling ervan.

Quote

C:\Windows\System32\Drivers\bad.sys

C:\Program Files (x86)\Bad

 

Indien er meer bestanden aanwezig zijn met een gelijkaardige bestandsnaam en je wil deze allemaal verwijderen, kan je gebruik maken van de wildcard *.

Je kan deze bestanden ofwel afzonderlijk vermelden, zoals dit:

Quote

C:\Windows\Tasks\At1.job

C:\Windows\Tasks\At8.job

C:\Windows\Tasks\At13.job

C:\Windows\Tasks\At52.job

of door gebruik te maken van de wildcard *, zoals dit:

Quote

C:\Windows\Tasks\At*.job

 

Aandacht: Het vraagteken “?” wordt genegeerd om veiligheidsredenen, ongeacht of het een wildcard is of ter vervanging van Unicode-karakters (zie ook onder de hoofding “Unicode” eerder in deze handleiding) is opgenomen. Er is ook geen ondersteuning voor wildcards in mappen.

 

 

Bestanden om te verplaatsen of verwijderen

Bestanden die in dit onderdeel staan zijn ofwel slecht of staan op een verkeerde locatie.

Voorbeelden van legitieme bestanden zijn o.m. bestanden die door de gebruikers gedownload en opgeslagen werden in de gebruikers-directory. Andere voorbeelden zijn bestanden die door legitieme programma’s van derden werden opgeslagen in deze gebruikers-directory. Dit zijn dan fouten van de softwareleverancier. Deze bestanden dienen verplaatst te worden, ook al zijn het volkomen legitieme bestanden. Er werden – bij vele infecties – echter ook bestanden ontdekt (op het eerste zicht legitiem, maar eigenlijk malware) die in deze gebruikers-directory verborgen worden en van daaruit uitgevoerd worden.

De manier waarop mappen en bestanden behandeld worden in een fix, is identiek aan de manier die toegelicht werd onder de hoofding “Een maand (aangemaakt)” en “Een maand (gewijzigd)" (zie eerder in deze handleiding).
 

Bepaalde inhoud van TEMP

Dit is een scan die beperkt is tot een aantal specifieke extensies, om te bepalen of er malwarebestanden geplaatst werden in de TEMP-root. Dit onderdeel is niet zichtbaar indien er geen bestanden voldoen aan de voorwaarden van de zoekopdracht. Dit betekent echter niet dat TEMP leeg is of dat er geen malware aanwezig is (malware kan in een submap zitten die door FRST niet wordt uitgevouwen), wél dat er niets gevonden is dat aan de specifieke parameters van de zoekopdracht voldoet. Voor een grondige opruiming van TEMP-bestanden, kan je gebruik maken van de instructie EmptyTemp:.

KnownDLLs

Sommige items in dit onderdeel kunnen opstartproblemen veroorzaken, indien ze ontbreken, gepatcht werden of corrupt zijn.

Hier wordt ook een whitelist gebruikt en worden items enkel getoond indien ze moeten worden onderzocht.

Voorzichtigheid is geboden bij het behandelen van items die in dit onderdeel worden getoond. Het kan hier immers gaan om bestanden die ontbreken of op één of andere manier aangepast werden. Hierbij wordt de hulp van een expert aanbevolen, om er zeker van te zijn dat het probleembestand correct werd geïndentificeerd en dat het op de passende manier wordt behandeld. In de meeste gevallen is er op het systeem een bruikbare vervanging te vinden, dat kan gevonden worden met de zoekfunctie van FRST. Zie het onderdeel “Instructies/Commando’s” in deze handleiding om de vervanging van bestanden te bekijken en “Andere Optionele Scans” in deze handleiding om te vernemen hoe je een zoekopdracht uitvoert.

 

 

Bamital & volsnap

Origineel ontworpen om een malwarecheck te doen op Bamital en volsnap, maar momenteel ook uitgebreid om andere afwijkingen te ontdekken.

Aangepaste systeembestanden kunnen wijzen op mogelijke malware-infecties. Indien er een infectie wordt vastgesteld, dient men voorzichtig te zijn om correcties uit te voeren. Ook hier is hulp van een expert aangewezen, omdat het verwijderen van systeembestanden ervoor kan zorgen dat de computer niet meer kan opstarten.
 

Wanneer een bestand geen correcte digitale handtekening heeft, zal je de eigenschappen ervan in de plaats zien.

Voorbeeld uit een Hijacker.DNS.Hosts-infectie: 

Quote

C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E
C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

 

In dat geval dient het bestand vervangen te worden door een goede kopie. Hiervoor gebruik je de instructie Replace:.

Aandacht: De controle op de digitale handtekening is niet beschikbaar in de herstelomgeving.
 

FRST controleert %SystemDrive%\Windows\system32\drivers-directory en toont alle “gesloten” bestanden (locked files).
 
Voorbeeld uit een SmartService-infectie :

Quote

C:\WINDOWS\system32\drivers\vdhmqtwa.sys -> Toegang geweigerd <======= AANDACHT

 

Aandacht: De willekeurige rootkit-drivers zijn verborgen en worden niet getoond bij het onderdeel “Drivers” in de normale modus. Om de drivers en de gesloten bestanden (locked files) te verwijderen, gebruik je de herstelmodus of andere tools met anti-rootkit-mogelijkheden.
 
Sommige versies van de SmartService-infectie schakelen de herstelmodus uit. FRST zet de BCD-modificaties automatisch om gedurende de scan.

Quote

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== Met succes hersteld

De meest veilige manier om op te starten in “veilige modus” is om gebruik te maken van F8 (Windows 7 en ouder) of “Advanced Startup” (Geavanceerd Opsterten) (Windows 8 en 10) tijdens het opstarten. In sommige gevallen wordt “System Configuration Utility” gebruikt om op te starten in “veilige modus”. Indien de “veilige modus” echter corrupt is, zal de computer vergrendeld worden en kan het systeem niet in normale modus opstarten, vermits het geconfigureerd is om op te starten in de “veilige modus”. In dat geval krijg je het volgende te zien:
 

Quote

safeboot: ==> Het systeem is geconfigureerd om op te starten in veilige modus <===== AANDACHT

 

Om dit probleem op te lossen, moet je de bovenstaande regel toevoegen in de fixlist. FRST zal de normale modus als standaardmodus (default) instellen, zodat het systeem uit de loop kan komen.

Aandacht: Dit geldt voor Vista en latere Windows-versies.

 

 

Koppelingen

Aandacht: “Koppelingen” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt. De scan in de herstelomgeving is beperkt tot koppelingen van .exe-bestanden.

Deze .exe-bestandskoppelingen worden zo aangegeven:

Quote

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== AANDACHT

 

Net zoals bij andere registeritems, kan je deze probleemitems gewoon kopiëren en plakken in de fixlist, waarna ze worden hersteld. Er is geen nood om zelf te fixen in het register.
 

 

Herstelpunten

Aandacht: “Herstelpunten” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt.

De herstelpunten worden vermeld.

Aandacht: Alleen in Windows XP kunnen met FRST de componenten worden hersteld. De herstelpunten in Vista en latere Windows-versies moeten hersteld worden vanuit de herstelomgeving, door gebruik te maken van Windows Recovery Options.

Om dit te herstellen, voeg je het betreffende herstelpunt toe aan de fixlist.

Voorbeeld van een XP-systeem

Quote

RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

 

Voor het herstellen van de componenten van RP82 (2010-10-24), moet deze regel gekopieerd en geplakt worden in de fixlist op deze wijze:
 

Quote

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82

 

Om een fix te herstellen vanuit back-up-software (FRST heeft componenten, ERUNT of CF opgeslagen) bij Vista of latere Windows-versies, raadpleeg het onderdeel "Instructies/Commando's" van deze handleiding.

Geheugeninfo

Aandacht: “Geheugeninfo” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt.

“Geheugeninfo” vermeldt de hoeveelheid RAM (Random Access Memory) dat is geïnstalleerd in de computer, samen met het beschikbaar fysiek geheugen en het percentage aan vrij geheugen. Soms kan dit nuttig zijn om een verklaring te vinden voor bepaalde symptomen die zich voordoen (bvb. als de gebruiker aangeeft dat de getoonde hoeveelheid RAM niet overeenkomt met de werkelijk aanwezige hoeveelheid hardware). De gemelde hoeveelheid RAM kan bvb. lager zijn dan wat beschikbaar is op de computer. Dit kan gebeuren als de computer geen toegang krijgt tot het volledige RAM-geheugen. Dan is het mogelijk dat er een defect geheugen of  problemen met het moederbord zijn, of dat er binnen het BIOS problemen zijn om dit te herkennen (bvb. BIOS heeft een upgrade nodig).

 

Voor 32-bit-systemen met meer dan 4 GB RAM, zal de maximum hoeveelheid van 4 GB in het rapport gemeld worden. Dit is een beperking voor 32 bit-toepassingen.

Informatie over de processor, het virtueel geheugen en het beschikbare virtueel geheugen wordt eveneens vermeld.

 

 

Schijven en MBR & Partitietabel

Aandacht: “Schijven” en “MBR & Partitietabel” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt.

Geeft een overzicht van de vaste schijven op de computer en de verwijderbare schijven die op het moment van de scan verbonden zijn met de computer. Niet-gekoppelde volumes worden herkend door hun volume GUID-paden.

 

Quote

Drive 😄 (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

 

Bij een UEFI/GPT partitieschema: enkel de basis GPT layout wordt ontdekt, maar een volledige lijst van partities is niet beschikbaar.

 

Quote

Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)
Partition: GPT.

 

Bij een BIOS/MBR partitieschema: de MBR code en de partities worden ontdekt. Logische partities van uitgebreide partities worden echter niet opgelijst.

 

Quote

Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)

 

Wanneer er een indicatie is dat er iets fout is met MBR, is een controle van MBR aangewezen. Dit kan je doen via een MBR-dump. Voer onderstaande fix met FRST uit in alle modi:

Quote

SaveMbr: drive=0 (of het gepaste drive-nummer)

 

Door deze fix uit te voeren, wordt MBRDUMP.txt opgeslagen op de locatie waar FRST/FRST64 werd gedownload.

Aandacht: Ondanks het feit dat een MBR-dump kan uitgevoerd worden in de normale modus of in de herstelomgeving, kunnen sommige MBR-infecties MBR vervalsen terwijl Windows wordt geladen. Daarom wordt aangeraden om deze MBR-dump uit te voeren in de herstelomgeving.

 

 

LastRegBack

 

FRST onderzoekt het systeem en vermeldt de laatste register-back-up die gemaakt werd door het systeem. Deze register-back-up bevat een back-up van alle componenten. Deze verschilt van de LKGC-back-up (Last Known Good Configuration) van de ControlSet.

Er zijn talrijke redenen mogelijk waarom je deze back-up zou gebruiken om een probleem op te lossen, maar de meest voorkomende is deze waarbij dataverlies heeft plaatsgevonden of het systeem corrupt is geworden.

Je zou dit kunnen zien in de FRST-koptekst:

Quote

AANDACHT: "system" component kon niet geladen worden

 

Om dit te herstellen kan je volgende regel toevoegen aan de fixlist: 

Quote

LastRegBack: >>datum<< >>tijd<<

 

Voorbeeld:

Quote

LastRegBack: 2013-07-02 15:09

 

 

 

 

[kape]

 

Bijkomende scan (Addition.txt)

 

 

Koptekst

De koptekst van de “Bijkomende Scan” bevat een korte samenvatting met nuttige informatie.

Dit is een voorbeeld van een koptekst:

Quote

Extra scanresultaten van Farbar Recovery Scan Tool (x64) Versie: 20-10-2017
Gestart door User (21-10-2017 14:16:13)
Gestart vanaf C:\Users\User\Desktop
Windows 10 Pro Version 1709 16299.19 (X64) (2017-10-17 23:06:22)
Boot Modus: Normal

 

Eerste lijn: toont welke variant (32-bits of 64-bits) en welke versie van FRST is uitgevoerd.

Tweede lijn: toont welke gebruiker het tool heeft opgestart, samen met de datum en tijd.

Derde lijn: toont vanop welke locatie FRST werd uitgevoerd.

Vierde lijn: hier wordt de Windows-versie getoond en de datum van installatie ervan.

Vijfde lijn: toont de modus waarin de scan is uitgevoerd.


Accounts

De verschillende accounts op het systeem worden vermeld op deze manier: accountnaam (account SID – privileges- Enabled/Disabled) en profielpad. De accountnamen van Microsoft worden niet getoond.

Voorbeeld:

Quote

Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
User (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\User
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)

 

 

Veiligheidscentrum (Security Center)

In deze lijst kunnen restanten gevonden worden van eerder verwijderde beveiligingsprogramma’s. In dit geval kan je deze regel toevoegen aan de fixlist om te verwijderen. Er zijn sommige beveiligingsprogramma’s (bvb. Spybot S&D) die het verwijderen van items belemmeren als deze niet volledig gedeïnstalleerd zijn. In dat geval zal je – in plaats van een bevestiging van verwijdering – in Fixlog het volgende zien:

Quote

Veiligheidscentrum-item => Het item wordt beschermd. Zorg ervoor dat de software wordt verwijderd en haar service wordt verwijderd.

 

 

Geïnstalleerde programma’s

Vermeldt klassieke desktopprogramma's, "moderne" toepassingen die geïnstalleerd werden via de Windows Store of voor-geïnstalleerd werden op Windows 10/8 uitgezonderd.

FRST heeft een ingebouwde database voor het markeren van een aantal adware- en PUP-programma’s.

Voorbeeld:

Quote

DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version:  - Mindspark Interactive Network) <==== AANDACHT
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version:  - ) <==== AANDACHT

 

Het is sterk aanbevolen om deze gemarkeerde programma’s eerst te verwijderen vóór een geautomatiseerd programma of tool wordt ingezet om deze adwareprogramma’s te verwijderen. De uninstaller van het adwareprogramma verwijdert het merendeel van de items en maakt de meeste configuratiewijzigingen ongedaan.

In het geval dat er programma’s niet getoond worden in de lijst van de door de gebruiker geïnstalleerde programma’s, maar deze er wél zijn, zal FRST deze oplijsten met labels, zoals hieronder:

Quote

Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden

 

Deze programma’s zijn niet noodzakelijk slecht …. alleen verborgen (hidden). Zij hebben een registerwaarde die “SystemComponent” genoemd wordt, met een REG_DWORD ingesteld op 1. Deze programma’s zijn niet zichtbaar in “Toevoegen/Verwijderen Programma's” (XP) of “Programma's en Onderdelen” (Vista en later), waardoor de gebruiker deze daar niet kan verwijderen. FRST kan deze “SystemComponent” verwijderen en deze programma’s zichtbaar maken voor de gebruiker.

Als dit item uit Addition.txt wordt toegevoegd aan de fixlist, krijg je het volgende

Quote

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff\\SystemComponent => Waarde succesvol verwijderd

 

Aandacht: Deze fix maakt het programma alleen zichtbaar, maar deïnstalleert dit niet. Het programma moet door de gebruiker verwijderd worden.

Zoals eerder aangegeven zijn niet alle verborgen programma’s slecht. Er zijn talrijke legitieme programma’s (inclusief MS-programma’s), die om goede redenen “verborgen” (hidden) zijn.

Aangepaste CLSID

Deze lijst vermeld CLSID-items in de gebruikerscomponenten, ShellIconOverlayIdentifiers, ContextMenuHandlers en FolderExtensions.

Voorbeelden:

Quote

HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== AANDACHT 

Quote

ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-01] () 

 

Quote

ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] ()

Om kwaadaardige items te fixen, voeg je deze toe aan de fixlist. FRST zal de registersleutels verwijderen. De daaraan verbonden mappen en bestanden moeten wel afzonderlijk vermeld worden om verwijderd te worden.

Aandacht: Legitieme software van derde partijen kan aangepaste CLSID’s maken, zodat voorzichtigheid geboden is omdat deze legitieme CLSID’s niet verwijderd moeten worden.


Geplande taken

Geplande taken die niet op de whitelist staan, worden hier getoond. Als een item in de fixlist wordt opgenomen, zal de taak zelf worden verwijderd.

Voorbeeld:

Quote

fixlist inhoud:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== AANDACHT
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== AANDACHT
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => sleutel succesvol verwijderd successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => sleutel succesvol verwijderd
C:\Windows\System32\Tasks\FocusPick => is succesvol verplaatst
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => sleutel succesvol verwijderd
C:\windows\Tasks\FocusPick.job => is succesvol verplaatst

 

Hou er rekening mee dat FRST enkel de registeritems verwijderd en de taak verplaatst, maar het uitvoerbaar bestand niet verwijdert. Als dit uitvoerbaar bestand slecht is, moet het in een aparte regel toegevoegd worden aan de fixlist om verwijderd te worden.

 

Aandacht: Malware kan legitieme uitvoerbare bestanden gebruiken (bvb. sc.exe om de eigen service uit te voeren) voor het uitvoeren van het eigen bestand. M.a.w. dien je het uitvoerbare bestand eerst te controleren om na te kunnen gaan of het legitiem is of niet, alvorens actie te ondernemen.

 

De volgende lijn mag niet opgenomen worden in de fixlist:

 

Quote

”{Willekeurige GUID}” sleutel is ontgrendeld.<===== AANDACHT

 

Dit bericht duidt aan dat FRST gebroken toelatingen heft ontdekt en deze automatisch heeft gefixed tijdens de scan. Een nieuw Addition-log moet aangemaakt worden om te controleren of de unlocked taak zichtbaar is (standaardtaak) of niet (veilig item op whitelist met Microsoft-entries). Indien nodig plaats je de standaard servicelijn in de fixlist.


Snelkoppelingen & WMI

Maakt melding van gekaapte of verdachte snelkoppelingen in het gebruikerspad en in de root-directory van C:\ProgramData\Microsoft\Windows\Start Menu\Programs en C:\Users\Public\Desktop.

Deze items kunnen toegevoegd worden aan de fixlist – zie Shortcut.txt in “Andere Optionele Scans” in deze handleiding.

Aandacht: Een scan met Shortcut.txt bevat alle snelkoppelingen van al de gebruikers, maar in Addition.txt worden enkel de gekaapte en verdachte snelkoppelingen opgenomen van de ingelogde gebruiker.

 

FRST scant de WMI-naamruimten voor niet-standaard registraties. Bekende infecties worden gemeld.

 

Voorbeeld van een Cryptocurrency Miner-infectie:

 

Quote

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"****youmm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"****youmm2_filter\": <==== AANDACHT
WMI:subscription\__TimerInstruction->****youmm2_itimer: <==== AANDACHT
WMI:subscription\__IntervalTimerInstruction->****youmm2_itimer: <==== AANDACHT
WMI:subscription\__EventFilter->****youmm2_filter: <==== AANDACHT

 

Om de malware te verwijderen plaats je deze lijnen in de fixlist.

 

Aandacht: OEM-software (bvb. Dell) kan zorgen voor gewone registraties. Onderzoek onbekende ingangen om meer informatie te ontdekken of deze legitiem zijn of niet.

 

Geladen Modules

“Geladen Modules” zijn opgenomen in een whitelist op basis van een bedrijfsnaam. Enkel de modules zonder bedrijfsnaam worden getoond. Hou er wel rekening mee dat er – in sommige gevallen - “foute” modules mét een bedrijfsnaam aanwezig kunnen zijn, die echter niet getoond worden bij deze scan.

Alternate Data Streams

FRST vermeldt de Alternate Data Streams (ADS) zo:

Quote

==================== Alternate Data Streams (gefilterd) ==========

AlternateDataStreams: C:\Windows\System32\legitiem bestand:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

 

De grootte van de ADS (het aantal bytes) wordt op het einde van de regel getoond tussen haakjes.

Indien de ADS gekoppeld is aan een legitieme map of bestand, dan dien je de volledige regel uit het log te kopiëren en te plakken in de fixlist om te herstellen.

Voorbeeld:

Quote

AlternateDataStreams: C:\Windows\System32\legitiem bestand:malware.exe [134]

 

Indien de ADS is gekoppeld aan een “foute” map of bestand, dan ziet de fix er zo uit:

Quote

C:\malware

 

In het eerste geval verwijdert FRST de ADS van de map of het bestand. In het tweede geval wordt het bestand of de map verwijderd.

 

Veilige Modus

De standaarditems zijn opgenomen in een whitelist. Indien hier geen meldingen staan, betekent dit dat er geen aangepaste items op de computer aanwezig zijn. Indien er één van de hoofdsleutels (SafeBoot, SafeBoot\Minimal en SafeBoot\Network) ontbreekt, wordt dit gerapporteerd. In dat geval moet dit handmatig hersteld worden. Als er een malware-item gevonden wordt, kan dit toegevoegd worden aan de fixlist om verwijderd te worden.
 

 

Bestandskoppeling - zie eerder bij Bestandskoppeling in deze handleiding.

 

Deze bestandskoppelingen worden hier opgenomen: .bat, .cmd, .com, .exe, .reg en .scr. De standaarditems zijn echter opgenomen op een whitelist. Indien er geen aangepaste of toegevoegde bestandskoppelingen zijn, zal er dus niets getoond worden in dit onderdeel. Als een aangepast item wordt opgenomen in de fixlist, zal dit hersteld worden naar zijn standaardvorm (default). Elke gebruikerssleutel die in de fixlist wordt opgenomen, zal verwijderd worden.

 

 

Internet Explorer vertrouwde/beperkte toegang

 

Vermeldt de door Internet Explorer geregistreerde vertrouwde websites of websites met beperkte toegang. Indien een item aan de fixlist wordt toegevoegd, zal het gekoppelde item verwijderd worden uit het register.

 

 

Hosts inhoud – zie eerder bij Hosts Inhoud in deze handleiding.

 

Geeft meer details aan over het Hosts-bestand, d.w.z. de eigenschappen van dit bestand en de eerste 30 actieve items. Inactieve items (met een #-teken) zijn verborgen.
 

Voorbeeld:

Quote

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

 

De regels kunnen niet individueel bewerkt worden. Om het standaardbestand te resetten, gebruik je de Hosts:-instructie of voeg je de regel toe met de waarschuwing uit FRST.txt. In het geval van een niet-standaard host.ics-bestand, voeg je het bestandpad toe aan de fixlist.

 

 

Andere gebieden
 

Er zijn sommige gebieden die door FRST worden gescand, maar waarvan het resultaat niet wordt opgenomen onder één van de andere onderdelen. FRST vermeldt deze items enkel. Er gebeurt geen automatische fix voor deze items.

 

 

Path – het onderdeel wordt zichtbaar in volgende gevallen: de standaardstring ontbreekt, een foute plaats van de standaardstring, geen Pathwaarde.

Voorbeeld:

 

Quote

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

 

Om de variabele van de Path te fixen, kan een manuele registerfix of de Omgevingsvariabelen-editor worden gebruikt.

 

Aandacht: een corrupt Path kan invloed hebben op sommige FRST-opdrachten (cmd: en Reg:) door gebruik van een relatief pad bij de gereedschapsconsole.

 

 

Wallpaper - Diverse crypto-malwarevarianten maken gebruik van deze instellingen om bvb. meldingen i.v.m. losgeld weer te geven.
 

Voorbeeld:

 

Een normaal pad ziet er zo uit:

Quote

HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\ Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

 

Een “fout” pad zou er zo kunnen uitzien:

Quote

HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\User\My Documents\!Decrypt-All-Files-scqwxua.bmp

 

In het geval van malware-items, kan het bestandspad toegevoegd worden aan de fix, samen met de gerelateerde bestanden die gevonden werden in FRST.txt.

 

Aandacht: Bij het verwijderen van het bestand van de malware-wallpaper, zal de achtergrond van het bureaublad verdwijnen.
 

De gebruiker zal dan opnieuw de achtergrond van het bureaublad moeten instellen.

Bij Windows XP:

 

Om de achtergrond van het bureaublad opnieuw in te stellen, moet je rechtsklikken op een willekeurige plaats op het bureaublad en selecteer je daar “eigenschappen”, daarna “bureaublad” en kies je een afbeelding. Klik dan op “toepassen” en “OK”.

 

Bij Windows Vista of later:

 

Om de achtergrond van het bureaublad opnieuw in te stellen, moet je rechtsklikken op een willekeurige plaats op het bureaublad en selecteer je daar “aan persoonlijke voorkeur aanpassen” en kies je een afbeelding. Klik dan op “wijzigingen opslaan”.

 

 

DNS servers – Dit is bruikbaar om hacking van de DNS-router te detecteren.
 

Voorbeeld:

Quote

DNS Servers: 213.46.228.196 - 62.179.104.196

 

Zoek het adres op in WhoisLookup om te achterhalen of de server legitiem is of niet.

 

Aandacht: De serverslijst wordt niet uit het register gehaald, dus moet de computer aangesloten zijn op het internet.
 

Wanneer FRST in veilige modus werkt of wanneer de computer niet verbonden is met internet, krijg je volgende melding:

Quote

DNS Servers: "Het systeem is niet verbonden met internet." 

 

 

UAC

 

Ingeschakeld (standaardinstellingen)

 

Voorbeeld:

Quote

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

 

Uitgeschakeld

 

Voorbeeld:

Quote

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

 

Dit kan het gevolg zijn van het feit dat de gebruiker UAC heeft uitgeschakeld of van een bijwerking van malware. Als het duidelijk is dat het om malware gaat, kan je de fix opmaken. In het andere geval dien je eerst met de gebruiker te overleggen voordat de fix wordt ingezet.

 

 

SmartScreen (Windows 8+) 

 

Quote

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Waarde gegevens) 

 

Waarden ondersteund door Windows: Bmoeck - Warn - Off (Windows 10 Versie 1703+) en RequireAdmin (standaardinstelling) - Prompt - Off (oudere systemen). Ontbrekende waarden (standaardinstelling bij Windows 10 Versie 1703+) of lege waarden zullen als volgt gerapporteerd worden:

Quote

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )

 

 

Telefonische Service Providers (TSP)

 

Standaardingangen en enige derde partij-ingangen zijn opgenomen op een whitelist. De regel is enkel zichtbaar als een gewone ingang werd ontdekt.

Voorbeeld:

 

Quote

HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\onbekende.tsp (Uitgever)

Kwaadaardige of verbroken ingangen vereisen een manuele registerfix. Verwijder de passende ProviderIDx en ProviderFileNamex-ingangen en hernummer de overblijvende ingangen. Zie ook: Correcting The Registry When TAPI Providers Are Corrupted. 

 

 

Windows Firewall

 

Voorbeeld:

Quote

Windows Firewall is ingeschakeld.

 

Hier wordt gerapporteerd of de Windows Firewall in- of uitgeschakeld is. Wanneer FRST in veilige modus wordt uitgevoerd of als er iets fout is met het systeem, zal er geen melding gemaakt worden over de firewall.

 

 

MSCONFIG/TASK MANAGER uitgeschakelde items

 

Dit onderdeel is nuttig wanneer de gebruiker MSCONFIG of Task Manager heeft gebruikt om malware-items uit te schakelen in plaats van deze te verwijderen. Of wanneer er teveel is uitgeschakeld, waardoor noodzakelijke services of programma’s niet naar behoren kunnen worden uitgevoerd.
 

Voorbeeld:

 

MSCONFIG in Windows 7 en oudere besturingssystemen:

Quote

MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

 

Dit moet je als volgt lezen:
 

Uitgeschakelde Services:

Quote

MSCONFIG\Services: Servicenaam => Originele start type

Uitgeschakelde items in Startup-map:

Quote

MSCONFIG\startupfolder: Origineel pad ("\" vervangen door "^" door Windows)  => Pad naar Windows backup.

Uitgeschakelde RUN-items:

Quote

MSCONFIG\startupreg: Waarde naam => Bestandpad

 

TASK MANAGER in Windows 8 en Windows 10:

Quote

HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

 

Aandacht: Windows 8 en later gebruiken msconfig enkel voor services. De startup-items zijn verplaatst naar de Task Manager, die de uitgeschakelde items opslaat in verschillende sleutels. Een uitgeschakeld - maar aanwezig - item wordt tweemaal vermeld: eerst in FRST.txt (Register) en daarna in Addition.txt.

 

 

Deze items kunnen worden opgenomen in de fixlist om verwijderd te worden. FRST zal dan het volgende uitvoeren:

 

- in het geval van uitgeschakelde services zal het de sleutel die door MSCONFIG werd aangemaakt én de service zelf verwijderen.

- in het geval van uitgeschakelde RUN-items zal de sleutel/waarde verwijderd worden die MSCONFIG of Task Manager heeft aangemaakt. Ook het RUN-item zelf, zal bij recentere besturingssystemen worden verwijderd.

- in het geval van items in de Startup-map zal de sleutel/waarde verwijderd worden die MSCONFIG of Task Manager heeft aangemaakt en wordt de back-up van het bestand dat door Windows werd gemaakt (bij oudere systemen) of het bestand zelf (bij recentere systemen) toegevoegd.

 

 

Belangrijk: fix een item uit dit onderdeel enkel als je helemaal zeker bent dat het een malware-item is. Als je twijfelt aan de aard van een item, neem het dan niet mee op in een fix, dit om te voorkomen dat je legitieme items zal verwijderen. Indien er legitieme items uitgeschakeld zijn die normaal moeten ingeschakeld zijn, moet de gebruiker verwittigd worden om deze via MSCONFIG of Task Manager in te schakelen.

 

 

Firewallregels
 

Dit onderdeel meldt de lijst van FirewallRules, AuthorizedApplications en GloballyOpenPorts.

 

Voorbeeld (Windows 10):

Quote

FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe

 

Voorbeeld (XP):

Quote

StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

 

 

Als een item is opgenomen in de fixlist, zal het verwijderd worden uit het register. Eventueel vermelde bestanden worden niet verwijderd, tenzij apart vermeld.

 

 

Herstelpunten – zie eerder bij Herstelpunten in deze handleiding.
 

De herstelpunten worden als volgt getoond:

Quote

18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

 

Indien het maken van herstelpunten is uitgeschakeld, wordt dit gerapporteerd:

Quote

AANDACHT: Herstelpunten zijn uitgeschakeld

 

 

Defecte Apparaatbeheer Apparaten

 

Voorbeeld:

Quote

Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved. 

 

 

Eventlog fouten:

 

- Applicatiefouten

- Systeemfouten

- CodeIntegrity

- Fouten en waarschuwingen van Windows Defender

 

 

Geheugeninfo – zie eerder bij Geheugeninfo in deze handleiding.

 

 

Schijven – zie eerder bij Schijven in deze handleiding.

 

 

MBR & Partitietabel – zie eerder bij MBR & Partitietabel in deze handleiding.

 

 

 

 

 

 

[kape]

Andere optionele scans

 

 

Optionele Scans

Door een vinkje te plaatsen in één van de vakjes onder “Optionele Scan” zal FRST het gevraagde item scannen.
 

 

Toon BCD

Boot Configuration Data worden in een lijst gezet.

 

 

Drivers MD5

Maakt een lijst aan met drivers en de bijhorende MD5-sums. Die ziet er zo uit:

Quote

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451

 

Deze kunnen dan op hun geldigheid gecontroleerd worden.
 

Snelkoppelingen (Shortcut.txt)

 

Deze lijst vermeldt alle types snelkoppelingen van alle standaardaccounts. Gekaapte items kunnen toegevoegd worden aan de fixlist om hersteld of verwijderd te worden.

Voorbeeld:

Quote

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

 

Voor het herstellen van ShortcutWithArgument:, kopieer je deze regels en plak je deze in de fixlist. Om de objecten van Shortcut: te verwijderen, voeg je het pad afzonderlijk toe aan de fix.

Een volledig script ziet er dan zo uit:

Quote

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

C:\Program Files (x86)\jIxmRfR

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

C:\Users\Public\Desktop\Google Chrome.lnk

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

 

 

Aandacht: FRST verwijdert de argumenten van de snelkoppelingen, met uitzondering van de snelkoppeling voor Internet Explorer (No Add-ons).lnk. Het argument voor deze snelkoppeling is standaard niet leeg (het argument = -extoff) en wordt gebruikt om Internet Explorer te starten zonder add-ons. Het is vitaal voor het oplossen van problemen met Internet Explorer dat het argument van deze snelkoppeling wordt hersteld.

Hou er ook rekening mee dat FRST - bij gebruik van een ander programma om de argumenten van Internet Explorer (No Add-ons).lnk te verwijderen – het niet zal vermelden onder ShortcutWithArgument: en dat daardoor de argumenten niet meer door FRST hersteld kunnen worden. In dat geval kan de gebruiker de argumenten wel manueel herstellen.

Om een argument manueel te herstellen, moet de gebruiker navigeren naar Internet Explorer (No Add-ons).lnk:

Rechtsklik op de link en kies voor Eigenschappen.

Voeg in de Doel-box twee spaties toe aan het pad en dan –extoff.

Klik dan op Toepassen en OK.
 

Bestanden laatste 90 dagen

Wanneer de optie “Bestanden laatste 90 dagen” is aangevinkt, zal FRST “Drie maanden (Aangemaakt/Gewijzigd)” vermelden i.p.v. “Een maand (Aangemaakt/Gewijzigd)”.

 

 

Zoekopties

Zoeken bestanden

Op de startpagina van FRST is er een zoekfunctie via de button “Bestanden Zoeken”. Om bestanden te zoeken, kan je de zoekterm van de bestanden typen of kopiëren en plakken in de “zoek”-box. Wildcards zijn toegestaan. Indien je zoekt naar meer dan één bestand, moet je de bestandsnamen scheiden door een punt-komma ; 

Quote

zoekterm;zoekterm

 

Quote

*zoekterm*;*zoekterm*

 

Wanneer de button “Bestanden Zoeken” is aangeklikt, wordt de gebruiker ervan verwittigd dat het zoeken is gestart. Er verschijnt een melding en een statusbalk. Wanneer het zoeken is voltooid verschijnt er een bericht. Het log Search.txt wordt opgeslagen op dezelfde locatie waar FRST is opgeslagen.

De gevonden bestanden worden getoond in een lijst met de aanmaakdatum, de datum van wijzigingen, de grootte, de attributen, de bedrijfsnaam, MD5 en de digitale handtekening in het volgende formaat:

Quote

C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll
[2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Bestand is getekend]

 

Aandacht: De digitale handtekening is niet beschikbaar in de herstelomgeving.

Het zoeken van bestanden is beperkt tot de systeemdrive. Er zijn gevallen mogelijk waarbij een legitiem systeembestand ontbreekt of corrupt is, waardoor opstartproblemen ontstaan en waarvoor geen vervanging voorzien is op de computer. Wanneer de optie “Bestanden zoeken” wordt gebruikt in de herstelmodus (Vista en later), wordt het zoeken ook uitgebreid naar de bestanden in X: (virtuele opstart partitie). Dit kan – in sommige gevallen – de reddende engel zijn. Een voorbeeld: een ontbrekend bestand bvb. services.exe kan dan gekopieerd worden van X:\Windows\System32 naar C:\Windows\System32

Aandacht: De X:-partitie zal alleen 64-bit uitvoerbare bestanden bevatten voor een 64-bit systeem.

 

De button “Bestanden Zoeken” kan ook gebruikt worden voor bijkomende zoekopdrachten, kijk bij “Zoek Mappen” FindFolder: en “Alles Zoeken” SearchAll: later in deze handleiding. De resultaten worden eveneens opgenomen in het log Search.txt.
 

Zoeken in register

Op de startpagina van FRST is er een zoekfunctie in het register via de button “Zoek in register”. Om items te zoeken, kan je de namen typen of kopiëren en plakken in de “zoek”-box. Indien je zoekt naar meer dan één item, moet je de namen scheiden door een punt-komma ; 

Quote

zoekterm;zoekterm

 

In tegenstelling tot het zoeken naar bestanden, moet er bij het zoeken naar items in het register vermeden worden om wildcards te gebruiken. De tekens van deze wildcards worden immers letterlijk opgevat. Wanneer toch een wildcard (“*” of “?”) is toegevoegd aan het item dat gezocht wordt in het register, zal FRST deze negeren en op zoek gaan naar de zoekterm zonder deze wildcard.

 

Het log Search.txt wordt opgeslagen op dezelfde locatie waar FRST is opgeslagen.

 

Aandacht: de functie “Zoek in register” werkt niet in de herstelomgeving.

 

 

Zoek mappen (FindFolder:)

Om mappen te zoeken op de systeempartitie, voeg je volgende syntax toe in de “zoek”-box en klik je op de button “Bestanden Zoeken”:

Quote

FindFolder: zoekterm;zoekterm

 

Wildcards worden ondersteund:

Quote

FindFolder: *zoekterm*;*zoekterm*

 

 

Alles zoeken (SearchAll:)

Om alles te zoeken (mappen, bestanden, register) over één of meerdere zoektermen, kan je de volgende syntax gebruiken in de “zoek”-box en de button “Bestanden Zoeken” aanklikken:
 

Quote

SearchAll: zoekterm;zoekterm

 

Voeg hier geen wildcard toe aan de zoektermen. FRST interpreteert de zoektermen automatisch als "zoekterm" in het geval van mappen en bestanden.

 

Aandacht: "Alles zoeken" is in de herstelomgeving beperkt tot mappen en bestanden.

 

 

 

 

 

 

[kape]

Instructies/Commando’s

 

 

 

 

Alle instructies en commando’s in FRST moeten op één regel geplaatst worden, vermits door FRST het script regel per regel wordt verwerkt.

 

 

 

 

Beknopt overzicht van instructies en commando’s.

Aandacht: Instructies en commando’s zijn niet hoofdlettergevoelig.

 

Alleen gebruiken in normale modus

CreateRestorePoint:

TasksDetails:

 

 

Alleen gebruiken in normale modus en veilige modus

CloseProcesses:
EmptyTemp:

Powershell:
Reboot:
RemoveProxy:

StartPowershell: — EndPowershell:

VerifySignature:

VirusTotal:
Zip:

 

 

Gebruiken in normale modus, veilige modus en herstelomgeving.

cmd:

Copy:

CreateDummy:
DeleteJunctionsInDirectory:

DeleteKey: en DeleteValue:
DeleteQuarantine:
DisableService:

ExportKey: en ExportValue:
File:

FilesInDirectory: en Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMbr:
SetDefaultFilePermissions:

StartBatch: — EndBatch:

StartRegedit: — EndRegedit:
testsigning on:
Unlock:

Alleen gebruiken in de herstelomgeving

LastRegBack:

Restore From Backup:
RestoreErunt:
RestoreMbr:

 

 

Gebruiksvoorbeelden

 

 

 

CloseProcesses:

 

Sluit alle niet-noodzakelijke processen af. Dit draagt er toe bij dat er sneller en efficiënter kan gefixt worden.

 

Voorbeeld:

Quote

CloseProcesses:

 

Wanneer deze instructie is toegevoegd aan een fix, wordt er automatisch een herstart (reboot) uitgevoerd. Het is dan ook niet noodzakelijk om het commando Reboot: te gebruiken. De instructie CloseProcesses: is niet noodzakelijk en niet beschikbaar in de herstelomgeving.

 

 

CMD:
 

In uitzonderlijke gevallen moet je de opdracht CMD toepassen. In dergelijke gevallen moet je het commando CMD: gebruiken.
 

Het script zal er dan zo uitzien:

Quote

CMD: commando

 

Indien er meer dan één commando is, dien je elke regel te starten met CMD: om een uitvoerlog voor elk commando te verkrijgen.

 

Voorbeeld:

Quote

CMD: copy /y c:\windows\minidump\*.dmp e:\

 

Quote

CMD: bootrec /FixMbr

 

Het eerste commando zal een minidump van bestanden kopiëren naar een flash drive (indien de stationsletter van de flash drive E is). Het tweede commando wordt gebruikt om MBR in Windows Vista en later te herstellen.

 

Als alternatief kunnen de commando’s StartBatch: - EndBatch: gebruikt worden (zie hieronder).

Aandacht: In tegenstelling tot normale of andere FRST-instructies, moet je bij commando’s met CMD de correcte syntax toepassen, met o.a. het gebruik van “ quotes in het geval dat er in een pad ruimtes zijn tussen directories en bestanden.

 

 

Copy:

 

Om mappen of bestanden te kopiëren op een wijze als xcopy.

 

De syntax is:

Quote

Copy: bronbestand/map bestemmingsmap

 

De bestemmingsmap zal automatisch aangemaakt worden (indien niet aanwezig).

 

Voorbeeld:

Quote

Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup

Copy: C:\Windows\Minidump F:\

 

Aandacht: Om individuele bestanden te vervangen, is het aanbevolen om de instructie Replace: te gebruiken. Indien er een bestemmingsbestand aanwezig is, zal Copy: het bestand enkel trachten te overschrijven, terwijl Replace: bijkomend het bestand zal trachten te ontsluiten en te verplaatsen naar de quarantaine. 

 

 

CreateDummy: 

 

Maakt een dummymap aan om te voorkomen dat er foute mappen of bestanden hersteld worden. Deze dummymap moet verwijderd worden nadat malware is geneutraliseerd.

 

De syntax ziet er zo uit:

Quote

CreateDummy: pad

 

Voorbeeld:

Quote

CreateDummy: C:\Windows\System32\bad.exe

CreateDummy: C:\ProgramData\Bad

 

 

CreateRestorePoint:

Om een herstelpunt aan te maken.
 

Voorbeeld:

Quote

CreateRestorePoint:

 

Aandacht: Deze instructie werkt enkel in normale modus. Ze werkt ook niet indien het maken van herstelpunten is uitgeschakeld.

 

 

DeleteJunctionsInDirectory:

Voor het verwijderen van knooppunten, gebruik je de volgende syntax:

Quote

DeleteJunctionsInDirectory: pad

 

Voorbeeld:

Quote

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

 

 

DeleteKey: en DeleteValue:

De meest effectieve manier om sleutels of waarden te verwijderen, om beperkingen door standaard verwijderalgoritmen in Reg: en StartRegedit: -Endregedit: te omzeilen.

 

De syntax ziet er dan zo uit:

 

1. voor sleutels:

Quote

DeleteKey: sleutel

Als alternatief kan je ook een regedit-formaat gebruiken:

Quote

[-sleutel]

 

2. voor waarden:

Quote

DeleteValue: sleutel|waarde

 

Indien de waarde een standaardwaarde is, laat dan de benaming van de waarde leeg:

Quote

DeleteValue: sleutel|

 

Voorbeeld:

Quote

DeleteKey: HKLM\SOFTWARE\Microleaves

DeleteValue: HKEY_CURRENT_USER\Environment|SNF

DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|

[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

 

Deze instructies hebben de mogelijkheid om sleutels en waarden die geblokkeerd zijn vanwege onvoldoende rechten, die embedded-null-karakters bezitten of registry symbolic links te verwijderen. Daarvoor hoef je dan niet het commando Unlock: te gebruiken.
 

Voor sleutels of waarden die beschermd worden door software die uitgevoerd wordt (“Access Denied” of “Toegang Geweigerd”), moet je de veilige modus gebruiken (om de uitgevoerde software te omzeilen) of dien je de hoofdcomponenten te verwijderen vóór je het commando gebruikt.
 

Aandacht: Indien de voor verwijdering opgenomen sleutel een registerlink naar een andere sleutel is, zal die (bron)sleutel die de symbolische link is, verwijderd worden. De doelsleutel zal niet verwijderd worden. Dit is voorzien om te voorkomen dat zowel de foute symbolische link die kan wijzen naar een legitieme sleutel én de legitieme sleutel zelf, verwijderd worden. Wanneer zowel de bron- als de doelsleutel fout zijn, dan moeten beiden voor verwijdering vermeld worden.

 

DeleteQuarantine:

 

Na het beëindigen van de opruiming, zou de map %SystemDrive%\FRST (normaal C:\FRST) die is aangemaakt door FRST, verwijderd moeten worden van de computer. In sommige gevallen kan deze folder niet manueel verwijderd worden, omdat de map %SystemDrive%\FRST\Quarantine geblokkeerde of ongebruikelijke malwaremappen of malwarebestanden bevat. Het commando DeleteQuarantaine: zal dan de quarantainefolder verwijderen.
 

Andere tools die enkel bestanden verplaatsen, zullen niet gebruikt worden om C:\FRST te verwijderen, vermits deze tools de bestanden enkel verplaatsen naar hun eigen directory en deze bestanden dus in het systeem aanwezig blijven.
 

Dit commando dient zo in de fixlist opgenomen te worden:

Quote

DeleteQuarantine:

 

Aandacht: de automatische uninstaller van FRST (zie de omschrijving bij de "Inleiding") bevat dezelfde mogelijkheid om de geblokkeerde quarantaine te verwijderen.

 

DisableService:

 

Om een service of driver uit te schakelen, kan je volgend script gebruiken:

 

Quote

DisableService: ServiceNaam

 

Voorbeeld:

Quote

DisableService: sptd

DisableService: Wmware Nat Service

 

FRST zal de service uitschakelen en deze service zal de volgende maal bij het opstarten niet uitgevoerd worden.
 

Aandacht: De naam van de service moet opgenomen worden zoals hij voorkomt in het register of het FRST-log, zonder toevoegingen. Aanhalingstekens zijn bvb. niet vereist.

 

EmptyTemp:

De volgende mappen worden leeggemaakt:

 

• Windows Temp
• Temp folders alle gebruikers
• Edge, IE, FF, Chrome en Opera cache, HTML5 opslag, cookies en geschiedenis (Aandacht: de geschiedenis van FF wordt niet verwijderd)
• Recent geopende bestandscaches
• Flash Player cache
• Java cache
• Steam HTML cache
• Explorer minitiaturen en icooncaches
• BITS overdrachten wachtrij (qmgr*.dat bestanden)
• Prullenbak

 

Wanneer het commando EmptyTemp: is gebruikt, zal het systeem automatisch worden heropgestart nà een fix. Het commando Reboot: dient dus niet gebruikt te worden. Het maakt niet uit of het commando EmptyTemp: aan het begin, in het midden of op het einde van de fixlist wordt toegevoegd, vermits het pas wordt uitgevoerd nadat alle andere regels uit de fixlist al zijn uitgevoerd.
 

Belangrijk: Wanneer de opdracht EmptyTemp: wordt toegepast, worden de items permanent verwijderd. Ze worden niet verplaatst naar een quarantaine.
 

Aandacht: Deze opdracht wordt uitgeschakeld in de herstelomgeving om schade te voorkomen.

 

 

ExportKey: en ExportValue: 

 

Een meer betrouwbare methode om de inhoud van een sleutel te inspecteren. Deze instructies overwinnen sommige beperkingen van regedit.exe en reg.exe. Het verschil tussen de instructies is de grootte van de export. ExportKey: geeft alle waarden en subsleutels weer, terwijl ExportValue: alleen de waarden in de sleutel toont.

 

De syntax is:

Quote

ExportKey: sleutel

of

Quote

ExportValue: sleutel

 

Voorbeeld:

Quote

ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Verdachte Sleutel

 

Quote

================== ExportKey: ===================

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Verdachte Sleutel]

[HKEY_LOCAL_MACHINE\SOFTWARE\Verdachte Sleutel\Ongeldige Sleutel ]

"VerborgenWaarde"="Verborgen Gegevens"

[HKEY_LOCAL_MACHINE\SOFTWARE\Verdachte Sleutel\Geblokkeerde Sleutel]

HKEY_LOCAL_MACHINE\SOFTWARE\Verdachte Sleutel\Geblokkeerde Sleutel => Toegang Geweigerd.

 

=== Einde van ExportKey ===

 

Aandacht: Exporteren van deze gegevens is alleen bedoeld voor onderzoeksdoeleinden en kan niet gebruikt worden voor een back-up of importacties.

File:

Opdracht om de eigenschappen van bestanden te bekijken. Meerdere bestanden kunnen worden opgenomen, gescheiden door puntkomma’s: 

Quote

File: pad;pad

 

Voorbeeld:

Quote

File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe

 

Quote

========================= File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================

Bestand niet getekend
MD5: 4793A9663376EF3A9044E07A9A45D966
datum aanmaken en wijzigen: 2017-07-30 12:04 - 2017-07-30 12:04
Grootte: 000242688
Kenmerken: ----A
Bedrijfsnaam:
Interne Naam: wmplayer.exe
Originele Naam: wmplayer.exe
Product: Windows Media Player
Beschrijving: Windows Media Player
bestand versie: 1.0.0.0
Productversie: 1.0.0.0
Auteursrecht: Copyright ©  2017
VirusTotal: https://www.virustotal.com/file/8eb7326be9966a76b83c3497109a147bce7237e72940680642b4ca02f9089ed9/analysis/1503093556/

====== Einde van File: ======

 

Aandacht: De digitale handtekening is niet beschikbaar in de herstelomgeving.

 

Aandacht: Het commando File: biedt geen automatische upload naar VirusTotal, dit in tegenstelling tot het commando VirusTotal:

 

 

FilesInDirectory: en Folder:

 

Beiden bieden de mogelijkheid om de inhoud van mappen te controleren. FilesInDirectory: is bedoeld om één of meer bestanden te zoeken, waarvoor een * wildcard werd ingevoerd. Folder: is dan weer ontwikkeld om de volledige inhoud van een map te krijgen. Bij de output van beide opdrachten zijn de MD5 checksums inbegrepen.
 
De syntax is zo:

Quote

FilesInDirectory: pad\patroon;patroon

 

Quote

Folder: pad

 

Voorbeeld:

Quote

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll

Folder: C:\Windows\desktop-7ec3qg0

 

Quote

 

================= FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll =============

 

2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe

====== Einde van Filesindirectory ======

================= Folder: C:\Windows\desktop-7ec3qg0 ============================

2017-10-05 11:11 - 2016-03-28 15:22 - 000000407 ____A [4FED6C66502829268459034D6A2D51F6] () C:\Windows\desktop-7ec3qg0\config.txt
2017-10-05 11:11 - 2016-02-07 07:10 - 000000021 ____A [141C4B266FCC6204D7EE7C6EDCCC2D70] () C:\Windows\desktop-7ec3qg0\default.action
2017-10-05 11:11 - 2017-09-20 02:05 - 000000117 ____A [4A44010B8D5F3455F5447ED376294FF4] () C:\Windows\desktop-7ec3qg0\default.filter
2017-10-05 11:11 - 2016-01-22 05:45 - 000086528 ____A [90F8887CBFCD2FF300214C70348E19EC] () C:\Windows\desktop-7ec3qg0\mgwz.dll
2017-10-05 11:11 - 2016-01-22 05:45 - 000373248 ____A [7D82D50DBC3AFDCEF5838A36B3296F86] (The Privoxy team - www.privoxy.org) C:\Windows\desktop-7ec3qg0\oxy.exe
2017-10-05 11:11 - 2017-10-05 11:11 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Windows\desktop-7ec3qg0\oxy.log
2017-10-05 11:11 - 2017-09-20 02:20 - 000540160 ____A [47D76AB2C7EBDA69DEBA03B454A9F551] (addzire.com) C:\Windows\desktop-7ec3qg0\RuntimeBroker.exe
2017-10-05 11:11 - 2016-09-09 16:32 - 000000215 ____A [7198513210A07AB63043FA7A84635AE2] () C:\Windows\desktop-7ec3qg0\uninstall.bat

====== Einde van Folder: ======

 

 

Aandacht: Het commando Folder: maakt (ook) een log aan van de inhoud van alle subfolders. Daardoor kan het een erg omvangrijk log worden.

 

 

FindFolder:

Zie bij "Zoekopties" -  “Zoek mappen” in “Andere optionele scans”. Dit commando werkt op dezelfde manier als FindFolder: in de zoekbox, maar de resultaten worden opgenomen in Fixlog.txt.

 

 

Hosts:

Opdracht om Hosts te resetten. Kijk ook bij “Hosts” in de Hoofdscan (FRST.txt).

 

ListPermissions:

Dit commando wordt gebruikt om rechten op mappen, bestanden en sleutels in het script te vermelden: 

Quote

ListPermissions: pad/sleutel

 

Voorbeeld:

Quote

ListPermissions: C:\Windows\Explorer.exe

ListPermissions: C:\Users\User\appdata

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip

ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

 

 

Move:

Soms is het hernoemen of verplaatsen van bestanden problematisch, in het bijzonder wanneer dit over de verschillende schijven dient te gebeuren en zeker wanneer het commando MS Rename mislukt. Voor het hernoemen en/of verplaatsen van een bestand, gebruik je dan het volgende script:

Quote

Move: bron bestemming

 

Voorbeeld:

Quote

Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.old

Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

 

Het tool verplaatst het doelbestand naar de quarantaine (indien aanwezig) en verplaatst daarna het bronbestand naar de doellocatie.

Aandacht: Je mag ook bestanden hernoemen tijdens de instructie Move:

Aandacht: Het doelpad moet de bestandsnaam bevatten, zelfs als het bestand momenteel ontbreekt in de doelmap.
 

Powershell:

Om instructies van PowerShell of andere scripts uit te voeren.

 

1. om een enkel onafhankelijk commando van PowerShell uit te voeren en de output ervan in Fixlog.txt zichtbaar te maken, gebruik je de volgende syntax:

Quote

Powershell: commando

 

Voorbeeld:

Quote

Powershell: Get-Service

 

2. om een enkel onafhankelijk commando van PowerShell uit te voeren en de output in een tekstbestand (niet Fixlog.txt) te krijgen, gebruik je redirection operators of Out-File cmdlet:

Quote

Powershell: commando > "Pad naar tekstbestand"

Quote

Powershell: commando | Out-File "Pad naar tekstbestand"

 

Voorbeeld:

Quote

Powershell: Get-Service > C:\log.txt

Powershell: Get-Process >> C:\log.txt

 

3. om een kant-en-klaar-script (.ps1) - dat één of meerdere commado’s of regels van PowerShell bevat – uit te voeren, gebruik je volgende syntax:

Quote

Powershell: "Pad naar scriptbestand" 

 

Voorbeelden:

Quote

Powershell: C:\Users\UserName\Desktop\script.ps1

Quote

Powershell: "C:\Users\User Name\Desktop\script.ps1"

 

4. om meer commando’s of regels van PowerShell uit een scriptbestand (.ps1) uit te voeren, echter zonder het maken van een .ps1-bestand, gebruik je een puntkomma ; in plaats van verschillende lijnen om ze te scheiden:

Quote

Powershell: regel 1; regel 2; (en verder)

 

Voorbeeld:

Quote

Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

 

Als alternatief kan je ook de instructie StartPowershell: — EndPowershell: gebruiken (zie hieronder).

 

 

Reboot:

Om een herstart te forceren.

Het maakt geen verschil uit waar je deze opdracht plaatst in de fixlist. Ook wanneer je dit aan het begin van de fix plaatst, zal de herstart pas uitgevoerd worden nadat alle andere aanpassingen zijn uitgevoerd.

Aandacht: Dit commando werkt niet én is ook niet noodzakelijk in de herstelomgeving.

 

Reg:

 

Om het Windowsregister aan te passen d.m.v. het Reg command line tool.

 

De syntax is dan:

Quote

Reg: reg commando

 

Voorbeeld:

Quote

Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"

Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f

Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f

 

Aandacht: In tegenstelling tot de eigen FRST-instructies, heeft het Reg:-commando een correcte reg.exe syntax nodig, zoals het gebruik van “ quotes in geval van ruimte in naam van de sleutel of de waarde.

 

Aandacht: Dit commando bewerkt geen geblokkeerde of ongeldige sleutels en/of waarden. Lees de beschrijving bij DeleteKey: en DeleteValue: eerder in deze handleiding.

 

RemoveDirectory:

Om mappen met beperkte permissies of onvolledige paden of namen te verwijderen (niet om deze te verplaatsen naar de quarantaine). Gebruik van de instructie Unlock: is niet noodzakelijk. RemoveDirectory: dient gebruikt te worden voor mappen die weerstaan aan de normale verplaatsactie. Indien het gebruikt wordt in veilige modus is het erg krachtig, maar in de herstelmodus is het het meest krachtige.

Het script ziet er zo uit:

Quote

RemoveDirectory: pad

 

 

RemoveProxy:

Verwijdert sommige policy restricties van Internet Explorer, zoals "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" of ProxySettingsPerUser in “HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings”. Het verwijdert de waarden van de machine- en gebruikerssleutels van “ProxyEnable” (indien deze ingesteld staat op 1), “ProxyServer”, “AutoConfigURL”, “DefaultConnectionSettings” en “SavedLegacySettings”. Het is ook van toepassing op het BITSAdmin-commando met NO_PROXY.

 

Bijkomend verwijdert het de standaardwaarde van de sleutel “HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies” (indien deze is aangepast).

Aandacht: Indien er een uitvoerende software of een service actief is die de instellingen herstelt, moet de software en de service eerst verwijderd worden, voordat deze instructie wordt uitgevoerd. Dit is noodzakelijk om te voorkomen dat de proxy-instellingen teruggezet worden.


Replace:

Om een bestand te vervangen, gebruik je volgend script:

Quote

Replace: bron bestemming

 

Voorbeeld:

Quote

Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll

Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

 

Het tool verplaatst het bestand van de doellocatie (indien aanwezig) naar de quarantaine en kopieert dan het bronbestand naar de doellocatie.

Het zal het bronbestand niet verplaatsen en dit bronbestand blijft aanwezig op de oorspronkelijke locatie. In bovenstaand voorbeeld zal dnsapi.dll ook in de toekomst in de WinSxS-directory aanwezig blijven.

Aandacht: Het doelpad moet de bestandsnaam bevatten, ook als het bestand op dat moment ontbreekt in de doelmap.

Aandacht: In het geval dat de doelmap ontbreekt, zal de instructie mislukken. FRST herstelt niet de volledige mappenstructuur. De instructie Copy: kan in dat geval ingezet worden.

 

Restore From Backup:

 

De eerste keer dat het tool wordt uitgevoerd, worden de componenten als back-up gekopieerd naar %SystemDrive%\FRST\Hives (in de meeste gevallen C:\FRST\Hives). Het zal niet worden overschreven wanneer het tool een volgende maal wordt uitgevoerd, behalve wanneer de back-up ouder is dan twee maanden. Indien er iets misloopt, kan één van de componenten hersteld worden.

 

De syntax zal dan zo zijn:

Quote

Restore From Backup: Componentnaam

 

Voorbeelden:

Quote

Restore From Backup: software

Restore From Backup: system

 

 

RestoreErunt:

Indien componenten hersteld dienen te worden uit Erunt, ziet het script er zo uit:

Quote

RestoreErunt: pad

 

Om back-ups te herstellen die gemaakt zijn met CF (Combofix), gebruik je dit script:

Quote

RestoreErunt: cf

 

 

RestoreMbr:

Om MBR te herstellen, zal FRST gebruikmaken van MbrFix dat is opgeslagen op de flash drive om een MBR.bin-bestand naar een drive te schrijven. Hiervoor is het hulpprogramma MbrFix/MbrFix64 noodzakelijk, het MBR.bin-bestand dat hersteld moet worden en het script dat de drive toont:

Quote

RestoreMbr: Drive=#

 

Voorbeeld:

Quote

RestoreMbr: Drive=0

 

Aandacht: Het MBR dat hersteld gaat worden, moet MBR.bin genoemd worden en daarna gezipped en toegevoegd.

 

 

RestoreQuarantine:

Hiermee kan men de volledige inhoud van de quarantaine of enkele of meerdere mappen en bestanden uit de quarantaine herstellen

Om de volledige inhoud van de quarantaine te herstellen, is de één van de volgende syntaxen mogelijk:

Quote

RestoreQuarantine:

of

Quote

RestoreQuarantine: C:\FRST\Quarantine

 
Om een map of een bestand te herstellen, is de syntax:

Quote

RestoreQuarantine: PadInQuarantine

 

Voorbeeld:

Quote

RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\Desktop\ANOTB.exe.xBAD

 

Om het pad in de quarantaine te vinden, kan je dit gebruiken:

Quote

Folder: C:\FRST\Quarantine

of

Quote

CMD: dir /a/b/s C:\FRST\Quarantine

 

Aandacht: Indien een bestand al bestaat in het doelpad (buiten de quarantaine), zal FRST dit niet overschrijven. Het originele bestand zal niet verplaatst worden en zal in de quarantaine behouden blijven. Mocht je toch dit bestand willen herstellen vanuit de quarantaine, dan moet het bestand in het doelpad eerst hernoemd of verwijderd worden.

 

 

SaveMbr:

Kijk ook bij Schijven en MBR & Partitietabel in deze handleiding.

Om een kopie te maken van MBR, gebruik je volgende syntax:

Quote

SaveMbr: Drive=#

 

Voorbeeld:

Quote

SaveMbr: Drive=0

 

Aandacht: Door dit uit te voeren wordt MBRDUMP.txt aangemaakt op de flash drive, dat moet toegevoegd worden aan het bericht van de gebruiker.

 

SetDefaultFilePermissions:

Deze instructie is ontworpen voor geblokkeerde systeembestanden. Het zet de groep “Administrators” als eigenaar en – afhankelijk van het systeem – verstrekt het toegangsrechten tot de standaardgroepen.

Aandacht: Deze instructie schakelt TrustedInstaller niet in als eigenaar, maar ze kan wel gebruikt worden voor systeembestanden die geblokkeerd worden door malware.

Het script ziet er dan zo uit:

Quote

SetDefaultFilePermissions: pad

 

 

StartBatch: — EndBatch: 

 

Voor het maken en uitvoeren van batch-bestanden.

 

De syntax is dan:

Quote

StartBatch:

Regel 1

Regel 2

Etc.

EndBatch:

 

Het resultaat wordt opgenomen in Fixlog.txt

 

 

StartPowershell: — EndPowershell:

 

Dit is een beter alternatief voor het maken en uitvoeren van een PowerShell-bestand dat meerdere regels bevat (zie ook de instructie PowerShell: eerder in deze handleiding).

 

De syntax is dan:

Quote

StartPowershell:

Regel 1

Regel 2

Etc.

EndPowershell:

 

Het resultaat wordt opgenomen in Fixlog.txt.

 

StartRegedit: — EndRegedit:

Voor het maken en importeren van een registerbestand (.reg).
 
De syntax is dan:

Quote

StartRegedit:
.reg bestandsformaat
EndRegedit:

 

Het invoegen van de hoofding van Windows Registry Editor Version 5.00 is optioneel, maar de hoofding van REGEDIT4 is vereist.
 
Voorbeeld:

Quote

StartRegedit:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]

"Start"=dword:00000002

EndRegedit:

 

Je krijgt een bevestiging in Fixlog.txt:

 

Quote

====> Register

Aandacht: De regel ter bevestiging verschijnt steeds, ongeacht mogelijke fouten in het .reg-bestand.

 

Aandacht: De instructies behandelen geen geblokkeerde of ongeldige sleutels en/of waarden. Zie de beschrijving bij DeleteKey: en DeleteValue: eerder in deze handleiding.

 

 

TasksDetails: 

 

Dit vermeldt details over de taken en de tijd van uitvoering.

 

De syntax is:

Quote

TasksDetails: 

 

Voorbeeld:

Quote

========================= TasksDetails: ========================

 

UCBrowser Updater (LastRunTime: NA -> NextRunTime: 2006-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

 

Aandacht: Deze instructie wordt niet ondersteund in Windows XP en werkt enkel in normale modus.

 

 

testsigning on

 

Is van toepassing op Windows Vista en later. Ondersteunt geen systeem waarop Secure Boot is ingesteld.

 

Indien testsigning is ingesteld, is dit geen standaard BCD-instelling. Dit kan veroorzaakt worden door malware of door gebruikers die niet-ondersteunde drivers hebben trachten te installeren. Als FRST vaststelt dat er geknoeid werd op dit vlak, zal het dit als volgt rapporteren:
 

Quote

testsigning ==> "Testsigning" is ingesteld. Controleer op eventueel niet-ondertekend stuurprogramma <===== AANDACHT

 

Controleer de drivers om te bekijken of er een driver aanwezig is die de oorzaak is van deze melding. Afhankelijk van de situatie kan je de driver mét de melding of de melding alleen opnemen in de fixlist.

 

In het geval dat toch iets fout gaat, schakel dan testsigning opnieuw in voor verder onderzoek. Gebruik hiervoor de volgende instructie:

Quote

testsigning on:

 

 

Unlock:

Deze instructie stelt, in het geval van mappen en bestanden, de groep “iedereen” (everyone) in als eigenaar, verleent toegang aan “iedereen” en herhaalt dit ook bij alle later gebruikte mappen. Dit dient gebruikt te worden bij slechte mappen en/of bestanden. Om systeembestanden te deblokkeren, gebruik je de instructie SetDefaultFilePermissions:

Bij registeritems wordt de groep “Administrators” als eigenaar ingesteld en wordt aan alle groepen de gebruikelijke toegang verleend. Dit werkt enkel op de betreffende sleutel. Hier kan dit zowel op slechte als legitieme sleutels worden toegepast.

 

Het script ziet er zo uit:

Quote

Unlock: pad

 

In sommige gevallen werken de instructies niet tengevolge van de ingestelde toelatingen. Dit kan je vaststellen in Fixlog.txt als je de melding krijgt: “Kan bestand/map niet verplaatsen”. In dergelijk geval kan je de instructie Unlock: gebruiken voor deze mappen of bestanden.

Voorbeeld:

Quote

Unlock: C:\Windows\System32\bad.exe

 

Om het hele bestand te verwijderen, moet je het pad afzonderlijk toevoegen in de fix:

Quote

Unlock: C:\Windows\System32\bad.exe

C:\Windows\System32\bad.exe

 

Deze instructie kan ook gebruikt worden om geblokkeerde registeritems te deblokkeren. Als je bvb. de fix uitvoert in de herstelomgeving en de current control set is ControlSet001, dan kan je het volgende toepassen:

Quote

Unlock: hklm\system\controlset001\foute service\subsleutelnaam

 

Voor het verwijderen van het registeritem, gebruik je dan de instructie Reg:. De syntax ziet er dan zo uit:

Quote

Unlock: hklm\system\controlset001\foute service\subsleutelnaam

Reg: reg delete hklm\system\controlset001\foute service /f

 

Aandacht: De instructie DeleteKey: kan gebruikt worden i.p.v. de combinatie Unlock: en Reg:

 

 

VerifySignature:

Om de digitale handtekening van een bestand te controleren.

Quote

VerifySignature: pad

 

Voorbeeld:

Quote

VerifySignature: C:\Windows\notepad.exe

 

 

VirusTotal:

 

Om bestanden te controleren bij VirusTotal. FRST zoekt naar eerdere analyses in de database van VirusTotal. Een bestand dat niet bekend is bij VirusTotal wordt opgeladen voor analyse.

 

Meerdere bestanden kunnen tegelijkertijd worden gecontroleerd, indien ze gescheiden zijn door punt-komma’s.

Quote

VirusTotal: pad;pad

 

Voorbeeld:

Quote

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys

Quote

 

VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https: //www.virustotal.com/file/b529ca4dd148fdfcee0c1f267bc6821cc5168c121363fa690536a72e0f447c19/ analysis/ 1500276443/

VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)

 

 

"0-byte MD5" geeft aan dat een bestand in gebruik is, dat het geblokkeerd is, dat het leeg is of dat het pad naar een symbolische link refereeert.

 

 

Zip:

Om mappen en bestanden te zippen en op te slaan als Datum_Tijd.zip op het bureaublad, zodat dit handmatig kan geupload worden door de gebruiker. Er wordt meer dan één archief gemaakt voor mappen en bestanden met dubbele namen.

 

Je kan meerdere mappen en bestanden tegelijkertijd toevoegen, mits het scheiden door punt-komma’s.

Quote

Zip: pad;pad

 

Voorbeeld:

Quote

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log

 

 

 

 

 

 

 

 

 

[kape]

Canned Speeches

 

 

 

Downloaden en uitvoeren FRST

 

Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links naar het bureaublad.

 

Farbar Recovery Scan Tool Link

HIER staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren
 
Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.

• Druk op de knop Scannen.
• Na de scan worden 2 logbestanden gemaakt (FRST.txt en Addition.txt) op dezelfde plaats vanwaar het tool is gestart.
• Voeg deze log bestanden als bijlage toe in je volgende bericht.

 

Een handleiding via een filmpje van Farbar Recovery Scan Tool kan je HIER vinden.

 

 

 
Fixen

 

Start het Farbar Recovery Scan Tool nogmaals.

 

Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is. 

 

Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.

 

• Druk op de knop Fixen.
• Er zal nu een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar het tool is gestart.
• Voeg dit logbestand als bijlage toe aan het volgende bericht.

   

Een handleiding via een filmpje van Farbar Recovery Scan Tool kan je HIER vinden.

 

 

 

 

 

 

[kape]

CHANGELOG

 

31/05/2018 Nederlandse vertaling voltooid.
12/10/2018 Nederlandse vertaling toegevoegd.
12/10/2018 UTF-8 codering gespecifieerd voor manueel aangemaakte fixlist.txt
12/10/2018 Verklaring van de melding AANDACHT bij automatisch unlocken van Services en Geplande Taken
12/10/2018 WMI-omschrijving vervangen
12/10/2018 Scan TSP (Telefonische Service Providers) toegevoegd bij Andere Onderdelen

13/01/2019 Beschrijving register geupdate en vereenvoudigd

13/01/2019 Inhoud Hosts geupdate om hosts.ics toe te voegen

13/01/2019 Scan van path-variabelen toegevoegd onder Andere Gebieden

13/01/2019 Enkele FRST.txt-benamingen geupdate

18/01/2019 Versie Internet Explorer verwijderd in koptekst FRST.txt bij Windows 8 en later