Restauration du registre via CD Live depuis point de restauration

Pas mal de BSOD au boot de Windows suite aux ransomwares fake Police – le billet suivant vous donne la marche à suivre afin de restaurer le registre Windows à partir de point de restauration système.
Cela peux permettre de récupérer un Windows qui démarre dans le cas où le plantage est dû à une modification malicieux du registre.
Avant de vous lancer, notez que :

• Dans le cas de Windows XP, vous pouvez effectuer une restauration du système depuis l’invite de commandes.
• Dans le cas de Windows Seven, il est aussi possible d’effectuer une restauration du système au démarrage. Plus d’informations sur la page suivante : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html

Le billet suivant peux être utile si ces procédures précédents ne fonctionnent pas où sont impossibles, par contre, si le malware a supprimé les points de restauration vous êtes bonbons.
Enfin, notez que dans le cas d’un pilotes défectueux, un problème matériel, la manipulation suivante est inutile.

Table des matières [masquer]

• 1 Principe
• 2 C’est parti!
• 3 Un mot sur les ruches utilisateurs
• 4 Désinfection par restauration du système par CD Live ?
• 5 Comment lire d'autres tutoriels de malekal.com ?
• 6 Besoin d'aide ?

Principe

Rappel – Les points de restauration Windows sont contenus dans le dossier System Volume Information (ce dernier a, par défaut, des permissions seulement pour SYSTEM, vous ne pouvez pas naviguer dedans).

• Restauration Windows XP : http://www.malekal.com/2010/11/12/la-restauration-du-systeme-sous-windows-xp-2/
• Restauration Windows Vista/Seven : http://www.malekal.com/2010/11/14/restauration-systeme-vistaseven/

Les diverses ruches systèmes du registre Windows sont stockées dans le dossier /Windows/System32/config
Les ruches utilisateurs sont stockées dans le dossier %USERNAME%/NTUSER.dat
Pour comprendre le fonctionnement des ruches du registre Windows, lire : http://forum.malekal.com/les-ruches-registre-windows-t36726.html
Le but étant donc de récupérer les ruches contenus dans les points de restauration et de les copiers dans celles systèmes afin de les remplacer en espérant que Windows démarre.
Notez que le programme Regback permet de faciliter tout cela : RegBak : sauvegarde du registre Windows

C’est parti!

Les captures ci-dessus ont été faites avec le CD Live de Kaspersky : http://forum.malekal.com/kaspersky-live-rescue-t12133.html
La copie peux être effectuée depuis n’importe quel CD Live GNU/Linux ou via CD Live Windows comme OTLPE.
Ouvrir le gestionnaire de fichiers depuis le menu Démarrer.
Ouvrir le disque C:\ et dossier System Volume Information.
Vous trouverez dedans un dossier _restore{GUID} comme ci dessus _restore{71BD8521-660A-4D67-AFEF-4D6BF6B49CF6}
Vous trouverez dedans des dossiers R{Chiffre} – ces dossiers sont les points de restauration.
Il est conseillé d’afficher le dossier sous forme de liste détaillée (souvent via le menu Affichage) afin d’avoir les dates et de cliquer sur la colonne date pour trier les points des restauration par date.
En effet, le choix du point de restauration est important, vous devez choisir un point de restauration à une date où Windows est fonctionnel et non infecté sans pour autant prendre une date trop ancienne car certains programmes risquent de ne pas fonctionner.

Une fois que vous avez choisi le point de restauration, double-cliquez sur le dossier R{chiffre} puis ouvrez le dossier snapshot.
Vous trouverez ci-dessous les dossiers _REGISTRY_Ruches – Dans notre exemple nous avons :

• En ruche système :
  • _REGISTRY_MACHINE_SAM
  • _REGISTRY_MACHINE_SECURITY
  • _REGISTRY_MACHINE_SOFTWARE
  • _REGISTRY_MACHINE_SYSTEM
• en ruche Utilisateur :
  • _REGISTRY_USER_.DEFAULT
  • _REGISTRY_USER_NTUSER_S-1-5-18
  • _REGISTRY_USER_NTUSER_S-1-5-19
  • _REGISTRY_USER_NTUSER_S-1-5-20
  • _REGISTRY_USER_NTUSER_S-1-5-21-823518204-725345543-786100373-1003
  • _REGISTRY_USER_USRCLASS_S-1-5-19
  • _REGISTRY_USER_USRCLASS_S-1-5-20
  • _REGISTRY_USER_USRCLASS_S-1-5-21-823518204-725345543-786100373-1003

Sélectionnez les 4 fichiers _REGISTRY_MACHINE_ et faites un clic droit / Copier

Naviguez maintenant vers le dossier Windows puis system32 et enfin config
Comme vous pouvez le voir ci-dessous, on a les mêmes fichiers (sans _REGISTRY_) et des fichiers en plus.
Créez un dossier old, copier tous les chemins dans le dossier old (afin de sauvegarder les ruches, si l’on souhaite revenir en arrière).
Vous ne devez donc plus avoir que deux dossiers : systemprofile et old

Coller les 5 fichiers issus du point de restauration

Renommer les fichiers pour supprimer _REGISTRY_MACHINE_ afin d’obtenir comme dans la capture ci-dessous :

• DEFAULT
• SAM
• SECURITY
• SOFTWARE
• SYSTEM

Un mot sur les ruches utilisateurs

Il est tout à fait possible de restaurer la ruche utilisateur mais la procédure est plus compliquée.
Avant de continuer, il faut bien comprendre comment fonctionne les ruches Windows : http://forum.malekal.com/les-ruches-registre-windows-t36726.html
Dans notre point de restauration, nous avons en ruche utilisateurs :

• _REGISTRY_USER_.DEFAULT
• _REGISTRY_USER_NTUSER_S-1-5-18
• _REGISTRY_USER_NTUSER_S-1-5-19
• _REGISTRY_USER_NTUSER_S-1-5-20
• _REGISTRY_USER_NTUSER_S-1-5-21-823518204-725345543-786100373-1003
• _REGISTRY_USER_USRCLASS_S-1-5-19
• _REGISTRY_USER_USRCLASS_S-1-5-20
• _REGISTRY_USER_USRCLASS_S-1-5-21-823518204-725345543-786100373-1003

Le but est d’identifier quelle est la ruche de l’utilisateur à qui l’on souhaite restaurer le registre à partir de son CSLID.
Dans notre cas, c’est simple car on a qu’une seule session, la ruche utilisateur est celle avec le long CSLID soit donc : _REGISTRY_USER_NTUSER_S-1-5-21-823518204-725345543-786100373-1003
Pour identifier quelle est le CSLID, vous devez charger la ruche SOFTWARE (Windows/system32/config/SOFTWARE) et vous rendre dans la clef : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList – L’éditeur du registre de Kaspersky le fait par défaut, sur OTLPE ce n’est pas le cas, il faut charger la ruche.
On voit bien que  S-1-5-21-823518204-725345543-786100373-1003 pointe vers le dossier de l’utilisateur MaK

Se rendre dans le dossier %USERPROFILE% soit donc

• C:/Documents And Settings/ pour Windows XP
• C:/Users/ pour Windows Vista et Seven

Il suffit ensuite de copier le fichier _REGISTRY_USER_NTUSER_CSLID vers NTUSER.DAT de votre profile utilisateur.

Désinfection par restauration du système par CD Live ?

Cette procédure permet-elle de désinfecter son PC ?
Oui dans la majorité des cas, notamment les  ransomwares fake Police
Si vous restaurez les ruches systeme et utilisateurs depuis un point de restauration ne référençant pas les fichiers malicieux (d’où le choix important du point de restauration), alors le malware ne sera pas chargé au démarrage.
Un scan avec un antivirus pour supprimer les fichiers malicieux est alors possible – il est conseillé d’utiliser Malwarebyte Anti-Malware.
Les seuls cas où cette procédure ne supprimera pas les infections sont :

• Les infections type Rootkit qui infectent le MBR comme Alueron
• Les infections qui patchent des fichiers systèmes qui seront dans tous les cas chargés par le système – notamment certaines variantes de ZeroAccess.
• Les virus au sens strict du terme qui infecte les fichiers executables style Virut ou Ramnit

Source.: