Il peut arriver qu'un fichier système Windows soit corrompu suite à un problème matériel ou a été effacé
Des infections patchent des fichiers systèmes, il se peut alors que votre antivirus mettent en quarantaine le fichier système patché et Windows ne démarre plus, exemples :
http://forum.malekal.com/viewtopic.php? ... it#p140996
http://forum.malekal.com/viewtopic.php? ... 34#p145134
Voir la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.
Ou plus simplement un faux positif et vous mettez le fichier en quarantaine sans savoir....
Console de récupération
La console de récupération permet de démarrer sur votre disque pour eventuellement effectuer la copie de fichiers pour restaurer un fichier systèmes supprimé ou endommagé.
Vous pouvez démarrer sur la console de récupération de Windows depuis le CD de Windows ou depuis votre disque dur si vous avez au préalable installer celle-ci.
Pour plus d'informations sur la console de restauration et comment démarrer dessus, suivez la page Installer et utiliser la console de récuparation de Windows.
Ceci ne sera pas détaillé sur cette page, notez que vous y trouverez aussi les commandes basiques.
NOTE : Les commandes ci-dessous sont données en exemple avec la copie du fichier userinit.exe, à vous de modifier si vous désirez restaurer un autre fichier système.
Les chemins du dossier Windows sont C:\Windows mais peuvent différer sur votre système, il en va de même pour la lettre de votre lecteur CD-Rom ou disquette.
Bref ce sont des exemples à vous de les adapter!
Copie DLLcache
Le répertoire C:\Windows\system32\dllcache contient des copies de sauvegardes lors des mises à jour etc..
Dans le cas d'une suppression d'un fichier système ce répertoire peut contenir des copies de sauvegarde et permettre la restauration.
Par exemple pour restaurer un fichier userinit.exe, vous pouvez tapez la commande :
copy C:\Windows\system32\dllcache\userinit.exe C:\Windows\system32
Extration de fichiers depuis le CD de Windows
Dans l'exemple ci-dessous, nous restaurons le fichier userinit.exe depuis le CD (lecteur D:\ ici)..
Les fichiers systèmes dans les CD Windows se trouvent dans le dossier I386 et les extensions finissent par _ (exemple les fichiers .exe -> .ex_ et donc notre fichier userinit.exe devient userinit.ex_)
car le fichier est compressé.
La commande expand permet de décompresser le fichier et le placer à l'endroit souhaité :
Nous demandons donc à expand d'extraire le fichier compressé D:\I386\userinit.ex_ et de le placer à son emplacement d'origine C:\Windows\system32expand D:\I386\userinit.ex_ C:\Windows\system32
Copie de fichiers depuis une disquette..
Généralement le lecteur de disquette est le lecteur A:\
Dans le cas où vous souhaitez copier un fichier depuis la disquette la commande sera donc :
et ainsi de suite.copy A:\userinit.exe C:\Windows\System32 dans le cas d'un fichier userinit.exe
copy A:\svchost.exe C:\Windows\System32 dans le cas d'un fichier svchost.exe
Par défaut, lorsque vous souhaitez copier ou lire un fichier depuis un chemin or du répertoire Windows, vous obtenez une erreur "accès refusé".
Les clefs USB doivent fonctionner (j'avoue ne pas avoir effectuer) à vous de mettre la bonne lettre lors de la copie.
La commande Dir permet de lister les fichiers, donc vous pouvez par exemple faire un dir E:\ pour eventuellement vérifier que E:\ est bien la lettre de votre clef USB.
Restauration via ComboFix
Dans le cas où vous désirez restaurer des fichiers de la quarantaine de ComboFix (C:\quoobox\quarantine\c\ ...)
Voici les commandes à saisir à l'arrivée sur la console de restauration :
Il est ensuite possible de copier un fichier de la quarantaine, exemple :CD ERDNT
BATCH CFRECOVERY.BAT
CD \QooBox
copy C:\quoobox\quarantine\c\Windows\System32\userinit.exe C:\Windows\system32
Petite explication pour ceux que cela interresse, nous rendons dans le dossier Windows\ERDNT
donc commande "cd ERDNT" puis nous executions le fichier CFRECOVERY.BAT via la commande "BATCH CFRECOVERY.BAT".
Par défaut dans la console de récupération, il est impossible de naviguer dans l'arboresce complète du disque dur et de lire les fichiers sous peine de recevoir un message "Accès refusé".
Impossible donc de copier un fichier depuis la quarantaine ComboFix C:\quoobox\quarantine\c\
Pour pouvoir se déplacer dans l'arborescence complète du disque dans la console de récupération, il faut avoir rempli les conditions suivantes :
La valeur SetCommand doit être positionné à 1 dans la clef [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
Dans la console de récupération, vous devez saisir les commandes suivantes (ce que le batch CFRECOVERY.BAT de Combofix se charge de faire) :
La navigation et la lecteur de fichiers dans toute l'arborescence du disque est alors possible.set allowwildcards = true
Set allowallpaths = true
Set allowremovablemedia = true
CD Live
Les CD Live permettent de démarrer sur un systèmes d'exploitation depuis un CD-Rom.
Ils sont très utiles dans le cas où il est impossible de démarrer sur votre Windows et peuvent donc être utilisés pour restaurer des fichiers afin de rendre votre système bootable.
Le télécharge et la gravure des CD Live ne sera pas décrit sur cette page, les pages suivantes comportant déjà ces informations :
- Pour Kaella (CD Live GNU/Linux), se reporter à cette page : https://www.malekal.com/RecuperationDonnees.php
- Pour Ultimate Boot CD, se reporter à la page suivante : https://www.malekal.com/Scanner_CDLive_Ubcd4Win.php
- Pour les personnes à base de Windows Vista, vous pouvez aussi utiliser VistaPE : Tutorial : Créer un CD Live VistaPE qui contient les mêmes programmes de récupération.
Encore faut-il avoir les fichiers systèmes (ou le CD de Windows) pour créer le CD.
Un petit mot sur Kaella, lors de mon essai, si vous double-cliquez sur l'icône du disque dur présente sur le bureau Kaella (voir capture ci-dessous), ce dernier mount la partition NTFS en ro (read-only -> lecture seule), il est donc impossible d'écrire sur la partition Windows et donc de restaurer d'éventuels fichiers systèmes.
(Je ne sais pas ce qu'il en ait pour les autres Live CD Ubuntu, Gentoo, Fedora etc).
Pour monter la partition en rw (read & write), ouvrez la console (icone avec l'écran noir en bas, entouré en bleu dans la capture ci-dessus).
On passe en root via la commande su -
Le fdisk -l permet d'identifier la partition principale NTFS (l'icone sur le bureau donne aussi l'info).. si vous avez un disque dur IDE, la partition sera certainement /dev/hda1 dans le cas de disque dur SATA/SCSI ce sera /dev/sda1
Dans mon cas, c'est /dev/hda1, vous devez bien entendu adapter la partition à votre système.
Saisissez la commande :
(attention la partition doit être démontée, si vous avez double-cliquez sur l'icone du bureau, la partition est montée, tapez umount /dev/hda1 pour démonter celle-ci).ntfsfix /dev/hda1
Si ntfsfix ne retourne aucune erreur, on peut alors monter notre partition NTFS via la commande :
mount /dev/hda1 /mnt/hda1
Il est alors possible de double-cliquer sur l'icône de la partition sur le bureau pour naviguer dans les dossiers avec Konqueror.
L'écriture est alors possible, on peux créer de nouvelle dossier etc et donc restaurer des fichiers systèmes.