Restauration de fichiers systèmes

Tutoriels, Astuces pour Windows

Modérateur : Mods Windows

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90463
Inscription : 10 sept. 2005 13:57
Contact :

Restauration de fichiers systèmes

Message par Malekal_morte » 02 avr. 2009 16:30

Voici une page basique qui vous donne quelques explications pour restaurer un fichier système Windows effacé ou corrompu dans le cas où vous ne pouvez plus booter sous Windows.

Il peut arriver qu'un fichier système Windows soit corrompu suite à un problème matériel ou a été effacé
Des infections patchent des fichiers systèmes, il se peut alors que votre antivirus mettent en quarantaine le fichier système patché et Windows ne démarre plus, exemples :
viewtopic.php?f=62&t=17706&p=140996&hil ... it#p140996
viewtopic.php?f=3&t=18158&p=145134#p145134

Voir la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.

Ou plus simplement un faux positif et vous mettez le fichier en quarantaine sans savoir....

Console de récupération

La console de récupération permet de démarrer sur votre disque pour eventuellement effectuer la copie de fichiers pour restaurer un fichier systèmes supprimé ou endommagé.

Vous pouvez démarrer sur la console de récupération de Windows depuis le CD de Windows ou depuis votre disque dur si vous avez au préalable installer celle-ci.
Pour plus d'informations sur la console de restauration et comment démarrer dessus, suivez la page Installer et utiliser la console de récuparation de Windows.
Ceci ne sera pas détaillé sur cette page, notez que vous y trouverez aussi les commandes basiques.

NOTE : Les commandes ci-dessous sont données en exemple avec la copie du fichier userinit.exe, à vous de modifier si vous désirez restaurer un autre fichier système.
Les chemins du dossier Windows sont C:\Windows mais peuvent différer sur votre système, il en va de même pour la lettre de votre lecteur CD-Rom ou disquette.
Bref ce sont des exemples à vous de les adapter!

Copie DLLcache

Le répertoire C:\Windows\system32\dllcache contient des copies de sauvegardes lors des mises à jour etc..
Dans le cas d'une suppression d'un fichier système ce répertoire peut contenir des copies de sauvegarde et permettre la restauration.

Par exemple pour restaurer un fichier userinit.exe, vous pouvez tapez la commande :
copy C:\Windows\system32\dllcache\userinit.exe C:\Windows\system32
Image

Extration de fichiers depuis le CD de Windows

Dans l'exemple ci-dessous, nous restaurons le fichier userinit.exe depuis le CD (lecteur D:\ ici)..
Les fichiers systèmes dans les CD Windows se trouvent dans le dossier I386 et les extensions finissent par _ (exemple les fichiers .exe -> .ex_ et donc notre fichier userinit.exe devient userinit.ex_)
car le fichier est compressé.
La commande expand permet de décompresser le fichier et le placer à l'endroit souhaité :
expand D:\I386\userinit.ex_ C:\Windows\system32
Nous demandons donc à expand d'extraire le fichier compressé D:\I386\userinit.ex_ et de le placer à son emplacement d'origine C:\Windows\system32

Image

Copie de fichiers depuis une disquette..

Généralement le lecteur de disquette est le lecteur A:\

Dans le cas où vous souhaitez copier un fichier depuis la disquette la commande sera donc :
copy A:\userinit.exe C:\Windows\System32 dans le cas d'un fichier userinit.exe
copy A:\svchost.exe C:\Windows\System32 dans le cas d'un fichier svchost.exe
et ainsi de suite.

Par défaut, lorsque vous souhaitez copier ou lire un fichier depuis un chemin or du répertoire Windows, vous obtenez une erreur "accès refusé".

Les clefs USB doivent fonctionner (j'avoue ne pas avoir effectuer) à vous de mettre la bonne lettre lors de la copie.
La commande Dir permet de lister les fichiers, donc vous pouvez par exemple faire un dir E:\ pour eventuellement vérifier que E:\ est bien la lettre de votre clef USB.

Restauration via ComboFix

Dans le cas où vous désirez restaurer des fichiers de la quarantaine de ComboFix (C:\quoobox\quarantine\c\ ...)
Voici les commandes à saisir à l'arrivée sur la console de restauration :
CD ERDNT
BATCH CFRECOVERY.BAT

CD \QooBox
Il est ensuite possible de copier un fichier de la quarantaine, exemple :
copy C:\quoobox\quarantine\c\Windows\System32\userinit.exe C:\Windows\system32
Image

Petite explication pour ceux que cela interresse, nous rendons dans le dossier Windows\ERDNT
donc commande "cd ERDNT" puis nous executions le fichier CFRECOVERY.BAT via la commande "BATCH CFRECOVERY.BAT".

Par défaut dans la console de récupération, il est impossible de naviguer dans l'arboresce complète du disque dur et de lire les fichiers sous peine de recevoir un message "Accès refusé".
Impossible donc de copier un fichier depuis la quarantaine ComboFix C:\quoobox\quarantine\c\

Pour pouvoir se déplacer dans l'arborescence complète du disque dans la console de récupération, il faut avoir rempli les conditions suivantes :
La valeur SetCommand doit être positionné à 1 dans la clef [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
Image

Dans la console de récupération, vous devez saisir les commandes suivantes (ce que le batch CFRECOVERY.BAT de Combofix se charge de faire) :
set allowwildcards = true
Set allowallpaths = true
Set allowremovablemedia = true
La navigation et la lecteur de fichiers dans toute l'arborescence du disque est alors possible.

CD Live

Les CD Live permettent de démarrer sur un systèmes d'exploitation depuis un CD-Rom.
Ils sont très utiles dans le cas où il est impossible de démarrer sur votre Windows et peuvent donc être utilisés pour restaurer des fichiers afin de rendre votre système bootable.

Le télécharge et la gravure des CD Live ne sera pas décrit sur cette page, les pages suivantes comportant déjà ces informations : La copie de fichiers via Ultimate Boot CD ne devrait pas poser de soucis dans le sens où l'interface est vraiment proche de celle de Windows.
Encore faut-il avoir les fichiers systèmes (ou le CD de Windows) pour créer le CD.

Un petit mot sur Kaella, lors de mon essai, si vous double-cliquez sur l'icône du disque dur présente sur le bureau Kaella (voir capture ci-dessous), ce dernier mount la partition NTFS en ro (read-only -> lecture seule), il est donc impossible d'écrire sur la partition Windows et donc de restaurer d'éventuels fichiers systèmes.
(Je ne sais pas ce qu'il en ait pour les autres Live CD Ubuntu, Gentoo, Fedora etc).

Image

Pour monter la partition en rw (read & write), ouvrez la console (icone avec l'écran noir en bas, entouré en bleu dans la capture ci-dessus).
On passe en root via la commande su -
Le fdisk -l permet d'identifier la partition principale NTFS (l'icone sur le bureau donne aussi l'info).. si vous avez un disque dur IDE, la partition sera certainement /dev/hda1 dans le cas de disque dur SATA/SCSI ce sera /dev/sda1
Dans mon cas, c'est /dev/hda1, vous devez bien entendu adapter la partition à votre système.

Image

Saisissez la commande :
ntfsfix /dev/hda1
(attention la partition doit être démontée, si vous avez double-cliquez sur l'icone du bureau, la partition est montée, tapez umount /dev/hda1 pour démonter celle-ci).

Si ntfsfix ne retourne aucune erreur, on peut alors monter notre partition NTFS via la commande :
mount /dev/hda1 /mnt/hda1
Image

Il est alors possible de double-cliquer sur l'icône de la partition sur le bureau pour naviguer dans les dossiers avec Konqueror.
L'écriture est alors possible, on peux créer de nouvelle dossier etc et donc restaurer des fichiers systèmes.

Image


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90463
Inscription : 10 sept. 2005 13:57
Contact :

Re: Restauration de fichiers systèmes

Message par Malekal_morte » 03 avr. 2009 12:49

Voir aussi, en complément, le site fspsa.free.fr et plus particulièrement cette page qui traite aussi de la console de récupération et CD Live : http://fspsa.free.fr/cdr.htm
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tutoriels Windows »