Restaurer le registre Windows depuis Live CD et point de restauration système

Pas mal de BSOD (écran bleu de la mort) au démarrage de Windows suite aux ransomwares fake Police.
Ce tutoriel vous donne la marche à suivre afin de restaurer le registre Windows à partir de point de restauration système depuis un Live CD.
Cela peut permettre de récupérer un Windows qui ne démarre plus, dans le cas où le plantage est dû à une modification malicieuse de la base de registre Windows.
Plus d’informations sur les live CD, lire : Comrendre les Live CD

Avant de vous lancer, notez que :

Le billet suivant peux être utile si ces procédures précédents ne fonctionnent pas où sont impossibles, par contre, si le virus a supprimé les points de restauration vous êtes bonbons.

Enfin, notez que dans le cas d’un pilotes défectueux, un problème matériel, la manipulation suivante est inutile.

nettoyer_registre_windows

Principe

Rappel – Les points de restauration Windows sont contenus dans le dossier System Volume Information (ce dernier a, par défaut, des permissions seulement pour SYSTEM, vous ne pouvez pas naviguer dedans).

Les diverses ruches systèmes du registre Windows sont stockées dans le dossier /Windows/System32/config
Les ruches utilisateurs sont stockées dans le dossier %USERNAME%/NTUSER.dat
Pour comprendre le fonctionnement des ruches du registre Windows, lire : Les ruches du registre Windows

Le but étant donc de récupérer les ruches contenus dans les points de restauration et de les copiers dans celles systèmes afin de les remplacer en espérant que Windows démarre.

Notez que le programme Regback permet de faciliter tout cela : RegBak : sauvegarde du registre Windows

Sur la page suivante, se trouve une vidéo qui montre comment restaurer le registre Windows depuis les options de récupération de Windows 10 : Windows 10 démarre en boucle sur la réparation automatique

Restaurer le registre Windows 7, 8 et Windows 10 depuis un Live CD

Démarrer sur un Live CD, par exemple avec le Live CD Malekal.
Une fois que vous avez démarrez votre ordinateur dessus, rendez-vous dans le dossier C:\Windows\system32\config, pour cela, ouvrez l’icône « ce PC ».
Ensuite, ouvre successivement les dossiers Windows > system32 > config.
Se trouve donc les fichiers liés au registre de Windows.

Restaurer le registre Windows 7, 8 et Windows 10 depuis un Live CD

Le but ici est de vérifier qu’une sauvegarde se trouve dans le dossier RegBack.
Si c’est le cas, il suffit de copier tous les fichiers dans le dossier config.

Restaurer le registre Windows 7, 8 et Windows 10 depuis un Live CD

On sélectionne tous les fichiers puis clic droit et copier.

Restaurer le registre Windows 7, 8 et Windows 10 depuis un Live CD

On revient alors dans le dossier config puis clic droit coller et on écraser les fichiers existants.
Enfin redémarrez l’ordinateur pour voir si cela corrige les problèmes rencontrés.

Restaurer le registre Windows 7, 8 et Windows 10 depuis un Live CD

Restaurer le registre Windows 7 depuis un Live CD

Cette astuce ne fonctionne pas sur Windows 10, car la structure des fichiers de la restauration du système a changé.
Cela fonctionne pour Windows Xp, Windows Vista ou Windows 7.

Les captures ci-dessus ont été faites avec le CD Live de Kaspersky : https://forum.malekal.com/kaspersky-live-rescue-t12133.html
La copie peux être effectuée depuis n’importe quel CD Live GNU/Linux ou via CD Live Windows comme le CD Live Malekal.

Ouvrir le gestionnaire de fichiers depuis le menu Démarrer.
Ouvrir le disque C:\ et dossier System Volume Information.
Vous trouverez dedans un dossier _restore{GUID} comme ci dessus _restore{71BD8521-660A-4D67-AFEF-4D6BF6B49CF6}

Vous trouverez dedans des dossiers R{Chiffre} – ces dossiers sont les points de restauration.
Il est conseillé d’afficher le dossier sous forme de liste détaillée (souvent via le menu Affichage) afin d’avoir les dates et de cliquer sur la colonne date pour trier les points des restauration par date.
En effet, le choix du point de restauration est important, vous devez choisir un point de restauration à une date où Windows est fonctionnel et non infecté sans pour autant prendre une date trop ancienne car certains programmes risquent de ne pas fonctionner.

Restaurer le registre Windows 7 depuis un Live CD

Une fois que vous avez choisi le point de restauration, double-cliquez sur le dossier R{chiffre} puis ouvrez le dossier snapshot.
Vous trouverez ci-dessous les dossiers _REGISTRY_Ruches – Dans notre exemple nous avons :

    • En ruche système :
      • _REGISTRY_MACHINE_SAM
      • _REGISTRY_MACHINE_SECURITY
      • _REGISTRY_MACHINE_SOFTWARE
      • _REGISTRY_MACHINE_SYSTEM
    • en ruche Utilisateur :
      • _REGISTRY_USER_.DEFAULT
      • _REGISTRY_USER_NTUSER_S-1-5-18
      • _REGISTRY_USER_NTUSER_S-1-5-19
      • _REGISTRY_USER_NTUSER_S-1-5-20
      • _REGISTRY_USER_NTUSER_S-1-5-21-823518204-725345543-786100373-1003
      • _REGISTRY_USER_USRCLASS_S-1-5-19
      • _REGISTRY_USER_USRCLASS_S-1-5-20
      • _REGISTRY_USER_USRCLASS_S-1-5-21-823518204-725345543-786100373-1003

Sélectionnez les 4 fichiers _REGISTRY_MACHINE_ et faites un clic droit / Copier

Restaurer le registre Windows 7 depuis un Live CD

Naviguez maintenant vers le dossier Windows puis system32 et enfin config
Comme vous pouvez le voir ci-dessous, on a les mêmes fichiers (sans _REGISTRY_) et des fichiers en plus.

Créez un dossier old, copier tous les chemins dans le dossier old (afin de sauvegarder les ruches, si l’on souhaite revenir en arrière).
Vous ne devez donc plus avoir que deux dossiers : systemprofile et old

Restaurer le registre Windows 7 depuis un Live CD

Coller les 5 fichiers issus du point de restauration

Restaurer le registre Windows 7 depuis un Live CD

Renommer les fichiers pour supprimer _REGISTRY_MACHINE_ afin d’obtenir comme dans la capture ci-dessous :

      • DEFAULT
      • SAM
      • SECURITY
      • SOFTWARE
      • SYSTEM

Restaurer le registre Windows 7 depuis un Live CD

Un mot sur les ruches utilisateurs du registre Windows

Il est tout à fait possible de restaurer la ruche utilisateur mais la procédure est plus compliquée.
Avant de continuer, il faut bien comprendre comment fonctionne les ruches Windows : https://forum.malekal.com/les-ruches-registre-windows-t36726.html

Dans notre point de restauration, nous avons en ruche utilisateurs :

      • _REGISTRY_USER_.DEFAULT
      • _REGISTRY_USER_NTUSER_S-1-5-18
      • _REGISTRY_USER_NTUSER_S-1-5-19
      • _REGISTRY_USER_NTUSER_S-1-5-20
      • _REGISTRY_USER_NTUSER_S-1-5-21-823518204-725345543-786100373-1003
      • _REGISTRY_USER_USRCLASS_S-1-5-19
      • _REGISTRY_USER_USRCLASS_S-1-5-20
      • _REGISTRY_USER_USRCLASS_S-1-5-21-823518204-725345543-786100373-1003

Le but est d’identifier quelle est la ruche de l’utilisateur à qui l’on souhaite restaurer le registre à partir de son CSLID.
Dans notre cas, c’est simple car on a qu’une seule session, la ruche utilisateur est celle avec le long CSLID soit donc : _REGISTRY_USER_NTUSER_S-1-5-21-823518204-725345543-786100373-1003

Pour identifier quelle est le CSLID, vous devez charger la ruche SOFTWARE (Windows/system32/config/SOFTWARE) et vous rendre dans la clef : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList – L’éditeur du registre de Kaspersky le fait par défaut, sur OTLPE ce n’est pas le cas, il faut charger la ruche.

On voit bien que  S-1-5-21-823518204-725345543-786100373-1003 pointe vers le dossier de l’utilisateur MaK

Restaurer le registre Windows 7 depuis un Live CD
Se rendre dans le dossier %USERPROFILE% soit donc

  • C:/Documents And Settings/ pour Windows XP
  • C:/Users/ pour Windows Vista et Seven

Il suffit ensuite de copier le fichier _REGISTRY_USER_NTUSER_CSLID vers NTUSER.DAT de votre profile utilisateur.

Restaurer le registre Windows 7 depuis un Live CD

Désinfection par restauration du système par CD Live ?

Cette procédure permet-elle de désinfecter son PC ?

Oui dans la majorité des cas, notamment les  ransomwares fake Police

Si vous restaurez les ruches systeme et utilisateurs depuis un point de restauration ne référençant pas les fichiers malicieux (d’où le choix important du point de restauration), alors le malware ne sera pas chargé au démarrage.
Un scan avec un antivirus pour supprimer les fichiers malicieux est alors possible – il est conseillé d’utiliser Malwarebyte Anti-Malware.

Les seuls cas où cette procédure ne supprimera pas les infections sont :

  • Les infections type Rootkit qui infectent le MBR comme Alueron
  • Les infections qui patchent des fichiers systèmes qui seront dans tous les cas chargés par le système – notamment certaines variantes de ZeroAccess.
  • Les virus au sens strict du terme qui infecte les fichiers executables style Virut ou Ramnit
(Visité 1 413 fois, 3 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet