HOOFDSCAN (FRST.txt)
Koptekst
Dit is een voorbeeld van een koptekst:
Scanresultaten van Farbar Recovery Scan Tool (FRST) (x64) Versie: 28-08-2023
Gestart door User (administrator) op DESKTOP-3DJ40NK (Dell Inc. Inspiron 7352) (03-09-2023 22:20:17)
Gestart vanaf C:\Users\User\Desktop\FRST64.exe
Geladen Profielen: User
Platform: Windows 10 Pro Versie 22H2 19045.3324 (X64) Taal: Nederlands (Nederland)
Standaardbrowser: FF
Boot Modus: Normal
Bestuderen van de verschillende onderdelen van deze koptekst kan nuttige informatie opleveren:
Eerste lijn: toont welke variant (32-bits of 64-bits) en welke versie van FRST is uitgevoerd. De versie van FRST is erg belangrijk. Een oudere versie heeft niet de meest recente mogelijkheden van FRST.
Tweede lijn: toont welke gebruiker het tool heeft opgestart en met welke rechten. Dit kan aangeven of de gebruiker de passende gebruikersrechten heeft. Bovendien wordt hier ook de computernaam weergegeven, samen met de naam en het model van de producent (indien beschikbaar). De datum en het uur waarop het tool werd gerund is nuttig om te herkennen of de gebruiker eventueel een oud log heeft aangeleverd.
Derde lijn: toont vanop welke locatie FRST werd uitgevoerd. Dit kan belangrijk zijn om de fix op te maken, indien FRST werd uitgevoerd vanop een andere locatie dan het bureaublad.
Vierde lijn: toont met welk account (profiel) de gebruiker van de gebruikerscomponenten was ingelogd (ntuser.dat en UsrClass.dat).
Aandacht: In het geval er meer dan één acoount opgeladen werd (via “andere gebruiker” of “uitloggen” om de accounts te wisselen), zal FRST alle accounts vermelden bij “Geladen Profielen” en hun registeritems. Andere niet-geladen accounts worden niet vermeld bij “Geladen Profielen”, maar FRST zal automatisch de gebruikerscomponenten (enkel ntuser.dat) aan de registerscan toevoegen.
Vijfde lijn: hier wordt de Windows-versie getoond, met inbegrip van belangrijke updates (“
Versie en OS build”) bij Windows 11 en Windows 10, “Update” bij Windows 8.1., “Service Pack” bij Windows 7 en ouder), samen met de ingestelde taal. Hier kan je eventueel uit afleiden of er problemen zijn met updates, indien deze niet de meest actuele zijn.
Zesde lijn; toont de standaardbrowser.
Zevende lijn: toont de modus waarin de scan is uitgevoerd.
Tot slot wordt de link getoond naar de handleiding van FRST.
Aandacht: De informatie in de koptekst – wanneer het tool is uitgevoerd in de Windows-herstelomgeving - is bijna identiek, hoewel korter omdat de gebruikersprofielen niet worden ingeladen.
Waarschuwingen die getoond worden in de koptekst:
Als er opstartproblemen zijn, verschijnt de waarschuwing “AANDACHT, "system" component kon niet geladen worden”. Dit is een aanduiding dat de SYSTEM-component ontbreekt. Deze SYSTEM-component herstellen kan eventueel via de opdracht
LastRegBack: (zie later).
"Default: Controlset001". Dit geeft aan welk CS van het system de standaard-CS is. Waarvoor heb je dat nodig ? Normaal heb je dit niet nodig, tenzij je in de CS die geladen wordt bij het opstarten van Windows wil kijken of je hierin veranderingen wil aanbrengen. Wijzigingen aanbrengen in elk ander beschikbaar CS zal geen effect hebben op je computer.
Processen
(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>
In het geval een proces wordt gerund door een ander proces, (
bovenliggend proces ->) zal op de lijst worden opgenomen.
<getal> toegevoegd aan het einde van de lijn duidt op meerder instanties van hetzelfde proces.
Er kunnen twee redenen zijn waarom je een proces zou willen stoppen. Ten eerste: je wil een legitiem proces uitschakelen dat een fix zou kunnen verhinderen. Ten tweede: je wil een fout proces stoppen en daarna de map of het bestand waarmee het verbonden is verwijderen.
Om een proces te stoppen, voeg je de noodzakelijke lijnen toe uit de FRST-scan.
Een Fixlog.txt zal verschijnen met volgende melding: procesnaam
=> Proces succesvol afgesloten
Indien je een fout proces wil stoppen en de daarmee verbonden bestanden of mappen wil verwijderen, moet je alle items afzonderlijk toevoegen aan je fix:
Register
Alle registeritems (sleutels en waarden) die geselecteerd werden uit je FRST-log en werden opgenomen in de fixlist, zullen verwijderd worden. FRST beschikt over een krachtige routine voor het verwijderen ervan. Alle sleutels of waarden die beschikken over onvoldoende rechten of null ingesloten waarden hebben, zullen toch verwijderd worden. Alle sleutels en waarden die niet verwijderd kunnen worden wegens “toegang geweigerd”, worden opgeslagen en in de planning geplaatst om te verwijderen bij het herstarten van het systeem. Enkel de sleutels en waarden die beschermd worden door een “kernel driver” worden niet verwijderd. Deze kunnen slechts verwijderd worden nadat de “kernel driver” die ze beschermt effectief verwijderd of uitgeschakeld is.
Het kopiëren van registeritems uit het log naar de fix, kan tot één van de volgende twee acties leiden op de geselecteerde registersleutel/waarde:
• het herstellen van de standaardsleutel/waarde (default sleutel/waarde).
• het verwijderen van de sleutel/waarde.
Indien items uit het log - die verband houden met
BootExecute, Winlogon waarden (Userinit, Shell, System),
LSA en
AppInit_DLLs gekopieerd worden naar de fixlist, herstelt het tool de standaardwaarden van Windows.
Aandacht: Indien er in AppInit_DLLs een slecht pad aanwezig is, zal FRST enkel dit specifieke pad weghalen uit AppInit_DLLs, zonder de rest te verwijderen.
Hiervoor hoef je geen batch of regfix te maken. Dit geldt ook voor andere belangrijke sleutels/waarden die door malware aangetast werden.
Opm.: FRST komt niet aan bestanden die door de registersleutels werden geladen of die momenteel worden uitgevoerd. Bestanden die moeten verplaatst worden, dienen afzonderlijk in de lijst te worden opgenomen met het volledige pad zonder bijkomende informatie.
Run-items,
Runonce-items,
Image File Execution Options en andere registeritems die naar de fixlist worden gekopieerd, zullen uit het register worden verwijderd. De bestanden die ze laden of uitvoeren, zullen echter niet worden verwijderd. Indien je deze toch zou willen verwijderen, moet je deze afzonderlijk vermelden in je fix.
Om bvb. een foutief Run-item samen met het bestand te verwijderen, moet je het vermelden in de fixlist zoals hieronder (de eerste lijn wordt rechtstreeks uit het log gekopieerd).
HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [Bestand niet getekend] <==== AANDACHT
C:\WINDOWS\TEMP\gA652.tmp.exe
Wanneer een bestand of een snelkoppeling in de
Startup-map wordt ontdekt, zal FRST dit vermelden in Startup:-items. Indien het bestand een snelkoppeling is, zal de volgende lijn het doel van de snelkoppeling vermelden (bvb. het uitvoerbaar bestand dat opgestart wordt door deze snelkoppeling). Indien je zowel de snelkoppeling als het uitvoerbaar bestand wil verwijderen, moet je beiden toevoegen aan de fix.
Voorbeeld
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [Bestand niet getekend]
Aandacht: De eerste lijn verplaatst alleen de snelkoppeling. De tweede lijn verplaatst hier het helper.vbs-bestand. Indien je enkel de tweede lijn in de fix vermeldt, zal het uitvoerbaar bestand worden verwijderd, maar blijft de snelkoppeling in de Startup-map staan. Bij het opnieuw opstarten van het systeem, zal er een foutmelding verschijnen, vermits de snelkoppeling het uitvoerbaar bestand wil opstarten, terwijl dit niet meer te vinden is.
FRST ontdekt omgeleide Startup-mappen (per gebruiker en per systeem)
Voorbeeld
StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\ <==== AANDACHT
Om te fixen voeg je deze toe aan de fixlist en FRST zal de standaardlijn herstellen.
In het geval dat malware “Niet-vertrouwde certificaten” (
Untrusted Certificates) of “Softwarerestrictiebeleid” (
Software Restriction Policies ) wil misbruiken, zal je in het log items zien verschijnen die er zo uit zien:
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== AANDACHT
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== AANDACHT
Om beveiligingsprogramma’s te deblokkeren, dien je deze regels in de fixlist op te nemen.
Aandacht: de detectie van het softwarerestrictiebeleid (Software Restriction Policies) werkt generiek (algemeen) en kan resulteren in het flaggen van andere legitieme items die aangemaakt werden om het systeem te beschermen tegen infecties. Zie ook: How to manually create Software Restriction Policies to block ransomware
FRST ontdekt ook de aanwezigheid van groepsbeleid-objecten (
Group Policy Objects) (Registry.pol en Scripts), die kunnen worden misbruikt door malware. Firefox, Google Chrome, Edge en Windows Defender in Registry.pol zullen afzonderlijk gerapporteerd worden.
GroupPolicy: Restrictie - Windows Defender <======= AANDACHT
Voor andere policies en scripts krijg je enkel een generieke (algemene) melding zonder details:
GroupPolicy: Restrictie ? <======= AANDACHT
GroupPolicyScripts: Restrictie <======= AANDACHT
Om de policies te herstellen, kan je deze regels toevoegen aan de fixlist. FRST zal dan de groepsbeleid-mappen (GroupPolicy) verkorten en een herstart forceren.
Voorbeeld:
C:\Windows\system32\GroupPolicy\Machine => is succesvol verplaatst
C:\Windows\system32\GroupPolicy\GPT.ini => is succesvol verplaatst
Aandacht: De detectie is ingesteld voor een standaard computer zonder speciaal ingestelde policies. Dit zou er toe kunnen leiden dat legitieme items die ingesteld zijn via gpedit.msc toch geflagged worden.
Geplande taken
Als een item in de fixlist wordt opgenomen, zal de taak zelf worden verwijderd.
Voorbeeld:
Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [Bestand niet getekend] <==== AANDACHT
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => is succesvol verwijderd
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => is succesvol verwijderd
C:\Windows\System32\Tasks\csrss => is succesvol verplaatst
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => is succesvol verwijderd
Hou er rekening mee dat FRST enkel de registeritems verwijderd en de taak verplaatst, maar het uitvoerbaar bestand niet verwijdert. Als dit uitvoerbaar bestand slecht is, moet het in een aparte regel toegevoegd worden aan de fixlist om verwijderd te worden.
Aandacht: Malware kan legitieme uitvoerbare bestanden gebruiken (bvb. sc.exe om de eigen service uit te voeren) voor het uitvoeren van het eigen bestand. M.a.w. dien je het uitvoerbare bestand eerst te controleren om na te kunnen gaan of het legitiem is of niet, alvorens actie te ondernemen.
De volgende lijn mag niet opgenomen worden in de fixlist:
"{Willekeurige GUID}" => sleutel is ontgrendeld. <==== AANDACHT
Dit bericht duidt aan dat FRST gebroken toelatingen heft ontdekt en deze automatisch heeft gefixed tijdens de scan. Een nieuw FRST-log moet aangemaakt worden om te controleren of de unlocked taak zichtbaar is (standaardtaak) of niet (veilig item op whitelist met Microsoft-entries). Indien nodig plaats je de standaard servicelijn in de fixlist.
Internet
Afgezien van enkele uitzonderingen, zullen de items die naar de fixlist gekopieerd worden, ook verwijderd worden. Bij registeritems die verbonden zijn met mappen of bestanden, moeten deze mappen en bestanden afzonderlijk worden toegevoegd om verplaatst te worden. Dit geldt niet voor browsergegevens. Zie de beschrijving later voor meer details daarover.
Winsock
Indien een
Catalog5-item werd toegevoegd om te fixen, dan zal FRST één van deze twee zaken uitvoeren:
1. in het geval van gekaapte standaarditems (default), worden deze standaarditems hersteld.
2. in het geval van aangepaste items, zullen deze worden verwijderd en zullen de catalogusitems worden hernummerd.
Indien er
Catalog9-items dienen gefixed te worden, wordt aanbevolen om "netsh winsock reset" te gebruiken.
cmd: netsh winsock reset
Als er dan nog steeds Catalog9-items moeten hersteld worden, kunnen deze opgenomen worden in de fix. In dat geval zal FRST deze items verwijderen en de catalogusitems hernummeren.
Opgelet: een onderbroken string zal de computer beletten om verbinding te maken met het internet.
Winsock: -> Catalog5 - Gebroken internetverbinding vanwege ontbrekend item. <===== AANDACHT
Winsock: -> Catalog9 - Gebroken internetverbinding vanwege ontbrekend item. <===== AANDACHT
Om dit problem op te lossen, dienen de items opgenomen te worden in de fixlist.
Hosts
Als er aangepaste items zijn bij
Hosts, zal er in het internetgedeelte van het log van FRST.txt volgende lijn verschijnen:
Hosts: Er is meer dan één item in Hosts. Zie Hosts deel van Addition.txt
Indien het Hosts-bestand niet gevonden wordt, verschijnt er een melding dat het tool geen hosts kan vinden.
Om de hosts te resetten, kopieer je deze lijn en plak je ze in de fixlist. Hierdoor worden de hosts gereset. In Fixlog.txt zal je een lijn vinden die deze reset bevestigt.
TCPIP en andere items
Alle items die opgenomen worden in de fixlist zullen worden verwijderd.
Aandacht: DNS servers in het register (DhcpNameServer en NameServer) kunnen vergeleken worden met de scan bij “DNS servers” in Addition.txt om te ontdekken welke setup actief is.
Aandacht: In het geval van een StartMenuInternet hijacking, zullen de standaarditems in de whitelist opgenomen zijn. Wanneer deze items verschijnen in het FRST-log, betekent dit dat er een niet-standaarditem wordt getoond. De kans bestaat dat er dan – al dan niet – iets mis is met het toegangspad in het register. Verder onderzoek moet dan uitgevoerd worden. Indien er een probleem is, kan het item worden toegevoegd in de fixlist, waardoor het standaard registeritem zal worden hersteld.
Aandacht: bij extensies die niet via de officiële kanalen (Chrome Web Store, Firefox add-ons, Microsoft Edge Addons, Opera Add-ons) zijn geïnstalleerd, wordt een update van de URL genoteerd.
Edge
Bij Windows 10 worden beide versies van de browser ontdekt en samen opgenomen in het log.
Klassieke Edge: met uitzondering van DownloadDir, kunnen alle lijnen opgenomen worden in de fixlist en zullen alle items verwijderd worden.
Chromium-gebaseerde Edge: dezelfde regels toepassen als bij Google Chrome. Zie de beschrijving later.
Firefox
FSRT vermeldt FF-sleutels en FF-profielen (indien aanwezig), ongeacht het feit of FF geïnstalleerd is of niet. Wanneer er meerdere Firefox-versies of Firefox-klonen zijn, zal FRST de voorkeuren en extensies van alle profielen vermelden. Ook niet-standaardprofielen – toegevoegd door adware – zullen gemarkeerd worden.
Met uitzondering van FF DefaultProfile en FF DownloadDir, kunnen alle lijnen opgenomen worden in de fixlist en zullen alle items verwijderd worden.
FRST verifieert
de ondertekening van add-ons in Firefox. Niet-ondertekende add-ons worden gelabeld.
Voorbeeld:
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [Bestand niet getekend]
Chrome
FRST vermeldt Chrome-sleutels en Chrome-profielen (indien aanwezig), ongeacht het feit of Chome geïnstalleerd is of niet. Wanneer er meerdere profielen zijn, zal FRST voorkeuren en extensies van alle profielen oplijsten. Niet-standaardprofielen – toegevoegd door adware – zullen gemarkeerd worden.
De scan naar voorkeuren, bevat aangepaste HomePage en StartupUrls, ingeschakelde Session Restore-items en sommige aangepaste gegevens van de provider en toegestane meldingen.
CHR HomePage: Default -> hxxp: // www. web-pl. com/
CHR StartupUrls: Default -> "hxxp: // www. web-pl. com/"
CHR DefaultSearchURL: Default -> hxxp: // www. web-pl. com/search?q={searchTerms}
CHR Session Restore: Default -> is ingeschakeld
CHR Notifications: Default -> hxxps: // www. speedtestace. co
De HomePage en StartupUrls en Notifications die opgenomen zijn in de fixlist worden verwijderd. Het verwerken van andere Chrome-instellingen, kan leiden tot een gedeeltelijke reset van Chrome. De gebruiker zal dan de volgende melding zien: “Chrome heeft ontdekt dat sommige instellingen corrupt zijn geraakt door andere programma’s en herstelt ze naar de originele instellingen (defaults).”
FRST zal ook New Tab-omleidingen ontdekken, die veroorzaakt werden door extensies. Voor het verwijderen van deze omleidingen, moet je de bijhorende extensie (indien aanwezig) identificeren en deze verwijderen via de aangepaste Chrome-tools (zie verder).
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
Verwijderen van extensies wordt niet ondersteund. Om deze reden worden deze CHR Extension-lijnen niet verwerkt in de fix, je dient daarvoor de eigen Chrome-tools te gebruiken:
Typ chrome://extensions in de werkbalk en druk Enter. Klik op verwijderen onder de extensie die je volledig wil verwijderen. Er verschijnt een venster om dit te bevestigen. Klik dan op Verwijderen
Een uitzondering geldt voor een extensie-installer die in het register te vinden is
(CHR HKLM en HKU-labels). Indien dit item is opgenomen in de fixlist, zal de sleutel worden verwijderd.
Andere op Chromium gebaseerde browsers
Momenteel worden volgende browsers ondersteund: Brave, Opera, Vivaldi, Yandex Browser.
Hiervoor gelden dezelfde regels als voor Google Chrome. Zie bovenstaande beschrijving.
Services en Drivers
De opmaak van Services en Drivers ziet er als volgt uit:
Toestand Uitvoering StartType Servicenaam; ImagePath of ServiceDll (Grootte Aanmaakdatum) (NaamOndertekenaar -> Bedrijfsnaam) [controle ondertekening]
Toestand Uitvoering – de letter naast het nummer geeft de toestand van de uitvoering weer:
R=Running (actief)
S=Stopped (gestopt)
U=Undetermined (onbekend)
De cijfers bij het “StartType” zijn:
0=Boot
1=System
2=Auto (automatisch)
3=Demand (manueel)
4=Disabled (uitgeschakeld)
5=FRST kan het starttype niet lezen
Wanneer je een [X] ziet op het einde van een item, betekent dit dat FRST de bestanden niet kon vinden die verbonden zijn aan de specifieke Service of Driver en dat het tool in de plaats ervan de ImagePath of ServiceDll heeft geplaatst die in het register te vinden was.
Standaard Microsoft-services die verwijzen naar niet getekende bestanden moeten hersteld worden.
Voorbeeld:
==================== Services (gefilterd) =================
R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Bestand niet getekend]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Bestand niet getekend]
In dit geval dient het bestand vervangen te worden door een goede kopie. Om dat te fixen, gebruik je de instructie
Replace:
Om een foute service of driver service te verwijderen, kopieer je de lijn uit het log naar de fixlist. Alle bestanden die eraan gekoppeld zijn, moeten afzonderlijk worden toegevoegd.
Voorbeeld:
R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) <==== AANDACHT
C:\Windows\94BE3917F6DF.sys
Het tool sluit alle service-items die zijn toegevoegd aan de fixlist en verwijdert de service-sleutel.
Aandacht: FRST rapporteert of het stoppen van services die worden uitgevoerd geslaagd is of niet. Ongeacht of de service is gestopt, zal FRST proberen om deze te verwijderen. Wanneer de uitgevoerde service is verwijderd, zal FRST de gebruiker verwittigen hoe de fix moet voltooid worden en dat het systeem moet herstart worden. Daarna zal FRST het systeem herstarten. Op het einde van het fixlog zal je een regel vinden over de noodzakelijke herstart. Indien een service niet wordt uitgevoerd, zal FRST deze verwijderen zonder een herstart te forceren.
Er is
één uitzondering waarbij een service zal worden hersteld i.p.v. verwijderd. In het geval van thema’s door malware zijn aangetast, zal je het volgende zien:
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== AANDACHT
Dit item zal hersteld worden naar de standaardinstelling (default), wanneer het opgenomen is in de fixlist.
De volgende lijn mag niet in de fixlist opgenomen worden:
”Servicenaam” => service is ontgrendeld <===== AANDACHT
Dit bericht betekent dat FRST verbroken toelatingen heft ontdekt en deze automatisch gefixed heeft gedurende de scan. Een nieuw log van FRST moet aangemaakt worden om het resultaat te controleren. Indien nodig plaats je de standaard servicelijn in de fixlist.
NetSvcs
De items van NetSvc worden elk op een aparte regel getoond, zoals dit:
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\iIpi\HpSvs.dll ()
NETSVCx32: WpSvc -> geen bestandpad
Aandacht: Wanneer Netsvc alleen vermeld wordt, wordt alleen de bijhorende waarde in het register verwijderd. De bijhorende service moet voor verwijdering afzonderlijk vermeld worden (indien hij aanwezig is bij Services).
Voorbeeld:
Om de waarde, de bijhorende service in het register en het bijhorende DLL-bestand te verwijderen ziet het script er als volgt uit:
S2 HpSvc; C:\Program Files (x86)\LuDaShi\Ipi\HpSvs.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== AANDACHT
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\Ipi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi
Een maand (aangemaakt) en Een maand (gewijzigd).
De scan van “nieuwe” mappen en bestanden geeft de datum en tijd weer van de aanmaak van mappen en bestanden van de voorbije maand én de datum en tijd van de laatste bewerking. De scan van “gewijzigde” mappen en bestanden geeft de datum en tijd weer van de wijziging van mappen en bestanden tijdens de voorbije maand én de datum en tijd wanneer deze mappen en bestanden aangemaakt werden. De
grootte van het bestand (aantal bytes) wordt eveneens getoond. Bij een map wordt 00000000 getoond, wanneer deze zelf geen bytes bezit.
Aandacht: Om een lange scantijd en de samenstelling van een extreem uitgebreid log te voorkomen, wordt de scan beperkt tot een aantal voorgedefinieerde locaties, de standaardmappen en hun submappen. Bovendien biedt FRST een opsomming van een aantal niet-standaardmappen, maar niet de inhoud ervan. Als je de inhoud van dergelijke niet-standaardmappen wil kennen, gebruik je de instructie Folder:.
Aandacht: Controle van digitale handtekeningen is beperkt tot de uitvoerende bestanden van Microsoft (standaard whitelisted). Andere digitale handtekeningen worden niet gecontroleerd. Om een bijkomende lijst met niet-getekende uitvoerbare bestanden te bekomen, gebruik je de optie SigCheckExt (bij Optionele scans).
FRST voegt kenmerken toe aan bepaalde items:
C - Compressed (gecomprimeerd)
D - Directory
H - Hidden (verborgen)
L - Symbolic Link (symbolische link)
N - Normal (heeft geen gedefinieerde attributen)
O - Offline
R - Readonly (enkel lezen)
S - System
T - Temporary (tijdelijk)
X - No scrub (Windows 8+) (geen opruiming)
Om een map of bestand te verwijderen uit de lijst van de mappen en bestanden van de voorbije maand, dien je enkel de regel te kopiëren en in de fixlist te plakken:
Lijnen die verwijzen naar een Symbolic Link (L kenmerk) worden correct behandeld.
Voorbeeld:
2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Link
Wanneer opgenomen in de fixlist, zal FRST enkel de link verwijderen, niet de doelmap.
Symbolische koppeling gevonden: "C:\WINDOWS\system32\Link" => "C:\Windows\System32\Target"
"C:\WINDOWS\system32\Link" => Symbolische koppeling met succes verwijderd
C:\WINDOWS\system32\Link => is succesvol verplaatst
Als alternatief kan de instructie
DeleteJunctionsInDirectory: gebruikt worden.
Om andere mappen en bestanden te verwijderen, kan het pad opgenomen worden in de fixlist.
Voorbeeld:
DeleteJunctionsInDirectory: C:\Windows\system64
Om andere mappen en bestanden te herstellen, kan je het pad opnemen in de fixlist. Wanneer er spaties zijn in het pad, dienen er geen quotes aan toegevoegd te worden bij de behandeling ervan.
C:\Windows\System32\Drivers\bad.sys
C:\Program Files (x86)\Bad
Indien er meer bestanden aanwezig zijn met een gelijkaardige bestandsnaam en je wil deze allemaal verwijderen, kan je gebruik maken van de wildcard *.
Je kan deze bestanden ofwel afzonderlijk vermelden, zoals dit:
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
of door gebruik te maken van de wildcard *, zoals dit:
C:\Windows\Tasks\At*.job
Aandacht: Het vraagteken “?” wordt genegeerd om veiligheidsredenen, ongeacht of het een wildcard is of ter vervanging van Unicode-karakters (zie ook onder de hoofding “Unicode” eerder in deze handleiding) is opgenomen. Er is ook geen ondersteuning voor wildcards in mappen.
FLock
In deze sectie worden geblokkeerde (locked) bestanden en mappen in standaarddirectories opgenomen.
FCheck
Dit onderdeel is ontworpen om foute bestanden die gededecteerd worden- bvb.
DLL Hijacking – op te lijsten. Ook sommige zero-byte-bestanden (.exe en .dll-bestanden) in standaardmappen worden op de lijst gezet. Dit onderdeel wordt enkel getoond indien er bestanden van die aard aanwezig zijn.
Wanneer een item in de fixlist wordt opgenomen, zal het bestand/de map verplaatst worden.
KnownDLLs
Sommige items in dit onderdeel kunnen opstartproblemen veroorzaken, indien ze ontbreken, gepatcht werden of corrupt zijn. Deze scan komt enkel voor wanneer het tool gebruikt wordt in de herstelmodus.
Hier wordt ook een whitelist gebruikt en worden items enkel getoond indien ze moeten worden onderzocht.
Voorzichtigheid is geboden bij het behandelen van items die in dit onderdeel worden getoond. Het kan hier immers gaan om bestanden die ontbreken of op één of andere manier aangepast werden. Hierbij wordt de hulp van een expert aanbevolen, om er zeker van te zijn dat het probleembestand correct werd geïndentificeerd en dat het op de passende manier wordt behandeld. In de meeste gevallen is er op het systeem een bruikbare vervanging te vinden, dat kan gevonden worden met de zoekfunctie van FRST. Zie het onderdeel “
Instructies/Commando’s” in deze handleiding om de vervanging van bestanden te bekijken en “
Andere Optionele Scans” om te vernemen hoe je een zoekopdracht uitvoert.
SigCheck
FRST controleert een aantal belangrijke systeembestanden. Bestanden zonder een correcte digitale handtekening of ontbrekende bestanden worden gemeld. Dit onderdeel is whitelisted buiten de herstelomgeving indien er geen problemen zijn met de bestanden.
Aangepaste systeembestanden kunnen wijzen op mogelijke malware-infecties. Indien er een infectie wordt vastgesteld, dient men voorzichtig te zijn om correcties uit te voeren. Ook hier is hulp van een expert aangewezen, omdat het verwijderen van systeembestanden ervoor kan zorgen dat de computer niet meer kan opstarten.
Voorbeeld uit een Hijacker.DNS.Hosts-infectie:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E
C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
Een systeembestand van Microsoft dat geen digitale handtekening heeft (not signed), dient vervangen te worden door een goede kopie. Om dat te fixen, gebruik je de instructie
Replace:
Sommige versies van de
SmartService-infectie schakelen de herstelmodus uit. FRST zet de BCD-modificaties automatisch om gedurende de scan.
BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== Met succes hersteld
De meest veilige manier om op te starten in “veilige modus” is om gebruik te maken van
F8 (Windows 7 en ouder) of
“Advanced Startup” (Geavanceerd opstarten) (Windows 11, Windows 10 en Windows
tijdens het opstarten. In sommige gevallen wordt “System Configuration Utility” gebruikt om op te starten in “veilige modus”. Indien de “veilige modus” echter corrupt is, zal de computer vergrendeld worden en kan het systeem niet in normale modus opstarten, vermits het geconfigureerd is om op te starten in de “veilige modus”. In dat geval krijg je het volgende te zien:
safeboot: Minimal ==> Het systeem is geconfigureerd om op te starten in veilige modus <===== AANDACHT
Om dit probleem op te lossen, moet je de bovenstaande regel toevoegen in de fixlist. FRST zal de normale modus als standaardmodus (default) instellen, zodat het systeem uit de loop kan komen.
Aandacht: Dit geldt voor Vista en latere Windows-versies.
Koppelingen
Aandacht: “Koppelingen” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt. De scan in de herstelomgeving is beperkt tot koppelingen van .exe-bestanden.
Deze .exe-bestandskoppelingen worden zo aangegeven:
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== AANDACHT
Net zoals bij andere registeritems, kan je deze probleemitems gewoon kopiëren en plakken in de fixlist, waarna ze worden hersteld. Er is geen nood om zelf te fixen in het register.
Herstelpunten
Aandacht: “Herstelpunten” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt.
De herstelpunten worden vermeld.
Aandacht: Alleen in Windows XP kunnen met FRST de componenten worden hersteld. De herstelpunten in Vista en latere Windows-versies moeten hersteld worden vanuit de herstelomgeving, door gebruik te maken van Windows Recovery Options.
Om dit te herstellen, voeg je het betreffende herstelpunt toe aan de fixlist.
Voorbeeld van een XP-systeem
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Voor het herstellen van de componenten van RP82 (2010-10-24), moet deze regel gekopieerd en geplakt worden in de fixlist op deze wijze:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
Geheugeninfo
Aandacht: “Geheugeninfo” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt en bevat het meer informatie (BIOS, Moederbord, Processor).
“Geheugeninfo” vermeldt de hoeveelheid RAM (Random Access Memory) dat is geïnstalleerd in de computer, samen met het beschikbaar fysiek geheugen en het percentage aan vrij geheugen. Soms kan dit nuttig zijn om een verklaring te vinden voor bepaalde symptomen die zich voordoen (bvb. als de gebruiker aangeeft dat de getoonde hoeveelheid RAM niet overeenkomt met de werkelijk aanwezige hoeveelheid hardware). De gemelde hoeveelheid RAM kan bvb. lager zijn dan wat beschikbaar is op de computer. Dit kan gebeuren als de computer geen toegang krijgt tot het volledige RAM-geheugen. Dan is het mogelijk dat er een defect geheugen of problemen met het moederbord zijn, of dat er binnen het BIOS problemen zijn om dit te herkennen (bvb. BIOS heeft een upgrade nodig).
Voor 32-bit-systemen met meer dan 4 GB RAM, zal de maximum hoeveelheid van 4 GB in het rapport gemeld worden. Dit is een beperking voor 32 bit-toepassingen.
Het virtueel geheugen en het beschikbare virtueel geheugen wordt eveneens vermeld.
Schijven en MBR & Partitietabel
Aandacht: “Schijven” en “MBR & Partitietabel” verschijnt in FRST.txt als FRST wordt uitgevoerd in de herstelomgeving. Wanneer FRST wordt uitgevoerd buiten deze herstelomgeving, verschijnt dit onderdeel in Addition.txt.
Geeft een overzicht van de vaste schijven op de computer en de verwijderbare schijven die op het moment van de scan verbonden zijn met de computer. Niet-gekoppelde volumes worden herkend door hun volume GUID-paden.
Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Model: Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Model: Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32
Bij een
UEFI/GPT partitieschema : enkel de
basis GPT layout wordt ontdekt, maar een volledige lijst van partities is niet beschikbaar.
Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)
Partition: GPT.
Bij een
BIOS/MBR partitieschema : de
MBR code en de partities worden ontdekt. Logische partities van uitgebreide partities worden echter niet opgelijst.
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)
Wanneer er een indicatie is dat er iets fout is met MBR, is een controle van MBR aangewezen. Dit kan je doen via een MBR-dump. Voer onderstaande fix met FRST uit in alle modi:
SaveMbr: drive=0 (of het gepaste drive-nummer)
Door deze fix uit te voeren, wordt MBRDUMP.txt opgeslagen op de locatie waar FRST/FRST64 werd gedownload.
Aandacht: Ondanks het feit dat een MBR-dump kan uitgevoerd worden in de normale modus of in de herstelomgeving, kunnen sommige MBR-infecties MBR vervalsen terwijl Windows wordt geladen. Daarom wordt aangeraden om deze MBR-dump uit te voeren in de herstelomgeving.
LastRegBack
FRST onderzoekt het systeem en vermeldt de laatste register-back-up die gemaakt werd door het systeem. Deze register-back-up bevat een back-up van alle componenten. Deze verschilt van de LKGC-back-up (Last Known Good Configuration) van de ControlSet.
Er zijn talrijke redenen waarom je deze back-up zou gebruiken om een probleem op te lossen, maar de meest voorkomende is deze waarbij dataverlies heeft plaatsgevonden of het systeem corrupt is geworden.
Je zou dit kunnen zien in de FRST-koptekst:
AANDACHT: "system" component kon niet geladen worden.
Om dit te herstellen kan je volgende regel toevoegen aan de fixlist.
LastRegBack: >>datum<< >>tijd<<
Voorbeeld:
LastRegBack: 2013-07-02 15:09