Malekal Live CD

Avec la recrudescence des ransomwares, on a parfois besoin d’un CD Live pour récupérer la main (lorsque le mode sans échec et la restauration du système n’est pas possible).
Il existe OTLPE comme Live CD, ce dernier est basé sur Windows XP et n’est pas mis à jour (pilotes LAN / WLAN).
Du coup j’ai décide de faire un Live CD et de le maintenir afin d’avoir des pilotes LAN / WLAN relativement récent afin que le réseau puisse fonctionner dans la majaure partie des cas.

Le Live CD est basé sur les projets Win7PESE et Win8PESE, Merci à ChrisR et JFX.

Présentation Rapide

CD_Live_Malekal
Le Live CD embarque les programmes suivants :

 

Installation

Pour le choix de l’ISO. Prenez Win7PE sauf si vous êtes en Win8PE.
CD Live Win7 PE

Le lien de téléchargement : CD Live Malekal
MD5 : baeeaf87d515940bd08ee67ab7ef4627

Si votre ordinateur est en Windows 8 et configuré en UEFI – vous devez switcher en Legacy Bios afin de pouvoir démarrer sur ce CD.
Se reporter au dernier paragraphe de la page : http://forum.malekal.com/booter-sur-dvd-t9447.html#p70575

CD Live Win8PE (support UEFI)

Le CD Live Win8PE fonctionne sur les ordinateurs UEFI.

Lien de téléchargementhttp://www.malekal.com/download/Win8PE_x64_EFI.ISO

 

La procédure est la suite:

  • On télécharge un fichier ISO (soit Win7PE soit Win8PE).
  • On met le fichier ISO sur le CD ou clef USB avec ISO2Burn (et pas autrement).
  • On redémarre le PC sur la clef USB ou CD en modifiant la séquence de démarrage pour charger l’ISO alternatif.

 

Téléchargez et installez ISO2Disc. Le but d’ISO2Dic est de « graver » le fichier ISO du CD Live sur un CD-Rom ou une clef USB.
Le but est d’indiquer à ISO2Dic, le chemin du fichier ISO du Live CD afin de le « graver » sur CD-Rom ou clef USB.

  • Lancez ISO2Disc
  • En haut sur ISO Image, cliquez sur Browse afin d’aller chercher le fichier ISO. Ce dernier doit certainement se trouver dans votre dossier de téléchargement.
  • Cliquez sur le nom de la session en haut.

ISO2Disc_CD_Live_Malekal

  • Chercher le fichier Téléchargement et ouvrez le.

ISO2Disc_CD_Live_Malekal2

  • Le fichier ISO du CD Live doit s’y trouver, double-cliquez dessus.

ISO2Disc_CD_Live_Malekal3

  • Le chemin du fichier ISO s’affiche en haut.

ISO2Disc_CD_Live_Malekal4

  • Dans le champs ISO Image : indiquez le chemin du fichier ISO à l’aide du bouton Browse.
  • Dans le cas d’une clef USB : Cochez Burn to USB Flash Drive et indiquez la lettre de votre clef USB.
  • Dans le cas d’un CD-Rom/DVD : choisir Burn to CD/DVD
  • Cliquez sur Start Burn pour copier le CD Live sur la clef USB.

ISO2Disc_Malekal_CDLive

Enfin pour « booter » sur le Live CD, redémarrez l’ordinateur et changez la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.
Si votre ordinateur est en UEFI et que vous avez pris le CD Live Win7PE, vous devez passer en Legacy BIOS.
Lisez bien le dernier paragraphe.

Voici une capture d’écran des disques – les lettres peuvent changer selon l’agencement de vos partitions mais vous pouvez vous fier au nom des disques pour vous y retrouver, dans mon cas :

  • Disque C: c’est la partition système de mon Windows, celui qui est normalement infecté.
  • Disque X (Boot) : Partition Ramdisk créé par le CD Live pour le fonctionnement du Windows Seven – Cette partition contient donc un dossier Windows et Programs.
  • Disque Y (Lecteur CD) : Clef USB / Lecteur CD-Rom où se trouve l’image du CD Live.

Il ne sert donc à rien de scanner le disque X et Y avec un anti-malware puisque ce sont les données du disque.

Live_CD_Malekal_disque

Mise en place du réseau

Notez qu’en cas d’infection d’un Ransomware, vous pouvez utiliser RogueKiller qui devrait vous en débarrasser. RogueKiller n’a pas besoin d’une connexion internet pour fonctionner.

Le live CD embarque une base de données de drivers.
Néanmoins si le réseau ne fonctionne pas, vous pouvez suivre cette procédure pour installer des pilotes supplémentaires.

Dans le menu Démarrer ouvez le dossier Computer Managment puis Drivers.
Cliquez sur Driver Packs Install

Live_CD_Malekal
Laissez-vous guider en cliquant sur le bouton afin de lancer l’installation des pilotes. Live_CD_Malekal2

Une fois les pilotes installés, cliquez sur Terminer

Live_CD_Malekal3
Si le programme vous propose de redémarrer l’ordinateur : REFUSER

CD_Live_Malekal_drivers_redemarrage

Pour activer le Wifi, Lancez PE Network.
Cliquez sur l’onglet WIFI.
Cochez l’option Forcer la déteciton de nouveaux périphériques sur la liste des adaptateurs

CD_Live_Malekal_drivers_Forcer_detection_peripherique
Cliquez sur le bouton Démarrer pour activer le WIFI.
Si tout va bien, le WIFI devrait se lancer et la liste des réseaux disponibles apparaitrent.
Live_CD_Malekal4

Le live CD embarque deux navigateurs WEB : Opéra et Internet Explorer

Live_CD_Malekal_navigateurs_WEB

RogueKiller

RogueKiller est disponible, ce dernier fonctionne comme d’habitude.
A noter qu’il n’y a pas besoin qu’internet soit fonctionnel pour utiliser RogueKiller.

Dans le cas d’une attaque Ransomware, RogueKiller devrait parvenir à nettoyer sans trop de soucis.

Le rapport RogueKiller est créé sur le bureau.

Si RogueKiller plante pendant le PreScan : cela est généralement dû au scan des drivers. Il est possible de lancer RogueKiller sans le scan via le menu Démarrer  /  RogueKiller / RogueKiller sans driver scan.

Live_CD_Malekal_RogueKiller

Malwarebyte’s Anti-Malware

Malwarebyte est disponible aussi sur le CD Live.
La connexion internet doit être fonctionnelle pour pouvoir utiliser Malwarebyte étant donné que ce dernier va aller chercher les dernières définitions virales.

Au premier lancement, cliquez sur le Menu Démarrer / Malwarebytes et lancer Malwarebytes (No Runscanner).

CD_Live_Malekal_Malwarebytes
Ce dernier vous indique que les définitions virales sont manquantes ou corrompues.
Cliquez sur Oui pour lancer leurs téléchargements.CD_Live_Malekal_Malwarebytes2
CD_Live_Malekal_Malwarebytes3
Une fois les définitions virales mises à jour.
Fermez Malwarebyte’s Anti-Malwares.
Relancez Malwarebytes mais en prenant l’icone avec (Scan) – Cela va charger les ruches du registre Windows et permettre de nettoyer le registre Windows.

Faites « Perform Full Scan » et décocher le disque X:\ CD_Live_Malekal_Malwarebytes4
CD_Live_Malekal_Malwarebytes5
CD_Live_Malekal_Malwarebytes6

OTL / OTLPE

OTL permet d’effectuer un scan et de générer un rapport de diagnostic afin d’y déceler des malwares.
OTL permet aussi via un script de supprimer des éléments malicieux.

Pour fonctionner, il faut qu’OTL puisse avoir accès au registre Windows infecté.
Voici la procédure à suivre pour charger OTL.

Double-cliquez sur l’icône OTL.
Ce dernier va vous demander d’indiquer le dossier Windows, probablement C:\Windows

Live_CD_Malekal_OTL
OTL vous demande ensuite si vous désirez charger les profils utilisateurs.
Acceptez en cliquant sur Oui.
Live_CD_Malekal_OTL2

La liste des profils utilisateurs s’affichent.
Sélectionnez le profil dont la session est infectée.
Cliquez sur Oui.Live_CD_Malekal_OTL3
OTL s’ouvre.
Dans le cas où un script vous a été fourni, copier/coller ce dernier dans le champs Custom Scan/Fixes.Live_CD_Malekal_OTL4 
Puis lancez le Scan.
Comme vous pouvez le constater ci-dessous, le rapport de diagnostic indique une version XP de Windows qui correspond bien à la version de Windows infecté et non à celui du Live CD (Windows Seven).

NOTE : si le rapport OTLPE ne s’ouvre pas, allez le chercher manuellement à la racine du disque où se trouve Windows C:\OTL.txt D:\OTL.txt etc.
Live_CD_Malekal_OTL5

Farbar Recovery Scan Tool (FRST)

Le programme Farbar Recovery Scan Tool (FRST) fonctionne aussi sur CD Live.
Se reporter au tutorial Farbar Recovery Scan Tool (FRST)Maleka_CD_Live_Farbar
Ci-dessous, le programme trouve les fichiers skype.dat relative au ransomware Urausy.
Il suffit alors de créer sur le bureau un fichier fixlist.txt contenant les lignes avec les chemins des fichiers skype et sur Farbar de cliquer sur Fix.
Cela va supprimer les fichiers en questions.
(On peux bien entendu aller les supprimer manuellement).
Maleka_CD_Live_Farbar2

 

Quelques autres outils

Quelques autres programmes présents sur le Live CD : MbrFix (notez que RogueKiller se charge des bootkits), Remote Regedit qui permet de charger des ruches, mmc et des outils de réparation de Windows Seven.

Live_CD_Malekal_autres_outils Live_CD_Malekal_autres_outils2

Les outils de réparation/récupération ne sont utiles que si Windows est sur Seven.
Il est notamment possible de lancer une restauration du système.

Live_CD_Malekal_restauration Live_CD_Malekal_restauration2 Live_CD_Malekal_restauration3 Live_CD_Malekal_restauration4

Si votre version de Windows est autre que Windows Seven, le message suivant apparaît : Live_CD_Malekal_restauration5

Je vous rappelle qu’il est possible d’effectuer une restauration en invites de commande en mode sans échec : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html
Notez aussi qu’il est tout à fait possible d’effecuter une restauration du système manuelle en recopiant les ruches du registre.
Le tutorial suivant décrit cette procédure : http://www.malekal.com/2012/06/12/restauration-du-registre-via-cd-live-depuis-point-de-restauration/

Memtest

Afin de tester vos barettes mémoires, le programme Memtest86+ est disponible

CDLive_Malekal_Memtest

HD tune

HD Tune permet de tester son disque dur (vitesse et SMART), plus d’informations : http://forum.malekal.com/tune-monitorer-son-disque-dur-t43963.html

CDLive_Malekal_HDTune CDLive_Malekal_HDTune2 TestDisk

TestDisk permet de récupérer des partitions endommagées, réparer des systèmes de fichiers etc..

CDLive_Malekal_TestDisk CDLive_Malekal_TestDisk2

 

Voila !

En espérant que cela aide!