Malekal Live CD | malekal's siteclimato.free.fr/upload/malekal2.pdf · 2016-10-24 · Win7PE, vous devez passer en Legacy BIOS. Lisez bien le dernier paragraphe. Voici une capture

malekal.com

Malekal Live CD | malekal's site

Avec la recrudescence des ransomwares, on a parfois besoin dʼunCD Live pour récupérer la main (lorsque le mode sans échec et larestauration du système nʼest pas possible) ou ne serait-ce quepour des opérations de diagnostique matériel.Il existe OTLPE comme Live CD, ce dernier est basé sur WindowsXP et nʼest pas mis à jour (pilotes LAN / WLAN).Du coup jʼai décide de faire un Live CD et de le maintenir afindʼavoir des pilotes LAN / WLAN relativement récent afin que leréseau puisse fonctionner dans la majeure partie des cas.Deux versions sont proposées :

La version Windows 7 pour les ordinateurs équipés dʼun Windows7 (non fonctionnel sur un EFI)

La version Windows 10, si votre ordinateur est en Windows 10,compatible EFI.

Le Live CD est basé sur les projets Win7PESE et Win10PESE,Merci à ChrisR et JFX.

Présentation Rapide


1 sur 34

Les Live CD embarquent les programmes suivants :

Les outils de la version Win10SE :

HD :TreeSize : pour évaluer ce qui prend de la place disque

Unlocker : pour supprimer les fichiers récalcitrants

Outils diagnostique HD :HDTune

GMsmartcontrol


2 sur 34

TestDisk

Perte de mot de passe :NPTWEdit

Password Renew

Récupération de fichiers :PC File Inspector Recovery

Photorec

Restoration

DiversBlueScreenviewer: rapport dʼinformations relatives aux plantagesécrans bleus de la mort (BSOD)

BCDEdit : réparation du démarrage de Windows et notammentles erreurs liés au BCD.

EasyBCD

RegScanner

BootSec


3 sur 34

GPU-Z, HWinfo, SpeedFan et RealTemp

Productkey et ShowKeyPlus pour récupérer vos clés Microsoft

Accès à distance : VNC et Accès à distance

Téléchargement & Installation

Essayez de prendre la même version de Windows que le LiveCD,cela vous permettra dʼeffectuer une restauration du système.

Téléchargement CD Live

CD Live Win7 PE

Le lien de téléchargement : CD Live MalekalMD5 : baeeaf87d515940bd08ee67ab7ef4627

Si votre ordinateur est en Windows 10 et configuré en UEFI– Utilisez le Live CD Win10PE.

CD Live Win10PE (support UEFI)


4 sur 34

Le CD Live Win10PE fonctionne sur les ordinateurs UEFI.

Lien de téléchargement : https://mega.nz/#!Y8YR0CKI!q1nqME2hs6lDFZhYCydoIawdHX0lP_ztQbg9wTVbZsE

Installation

La procédure est la suite:

On télécharge un fichier ISO (soit Win7PE soit Win8PE).

On met le fichier ISO sur le CD ou clef USB avec ISO2Burn (etpas autrement).

On redémarre le PC sur la clef USB ou CD en modifiant laséquence de démarrage pour charger lʼISO alternatif.

Téléchargez et installez ISO2Disc. Le but dʼISO2Dic est de« graver » le fichier ISO du CD Live sur un CD-Rom ou une clefUSB.Le but est dʼindiquer à ISO2Dic, le chemin du fichier ISO du LiveCD afin de le « graver » sur CD-Rom ou clef USB.Il existe dʼautres outils comme Rufus, se reporter à la page : Outilscréation USB Live

Lancez ISO2Disc

En haut sur ISO Image, cliquez sur Browse afin dʼaller chercher lefichier ISO. Ce dernier doit certainement se trouver dans votredossier de téléchargement.


5 sur 34

Cliquez sur le nom de la session en haut.

Chercher le fichier Téléchargement et ouvrez le.


6 sur 34

Le fichier ISO du CD Live doit sʼy trouver, double-cliquez dessus.

Le chemin du fichier ISO sʼaffiche en haut.


7 sur 34

Dans le champs ISO Image : indiquez le chemin du fichier ISO àlʼaide du bouton Browse.

Dans le cas dʼune clef USB : Cochez Burn to USB Flash Drive etindiquez la lettre de votre clef USB.

Dans le cas dʼun CD-Rom/DVD : choisir Burn to CD/DVD

Cliquez sur Start Burn pour copier le CD Live sur la clef USB.

Enfin pour « booter » sur le Live CD, redémarrez lʼordinateur etchangez la séquence de démarrage, lire la page Booter sur un CD,DVD ou clé USB pour faire démarrer sur le CD ou clef USB.Si votre ordinateur est en UEFI et que vous avez pris le CD LiveWin7PE, vous devez passer en Legacy BIOS.Lisez bien le dernier paragraphe.

Voici une capture dʼécran des disques – les lettres peuvent changerselon lʼagencement de vos partitions mais vous pouvez vous fier au


8 sur 34

nom des disques pour vous y retrouver, dans mon cas :

Disque C: cʼest la partition système de mon Windows, celui quiest normalement infecté.

Disque X (Boot) : Partition Ramdisk créé par le CD Live pour lefonctionnement du Windows Seven – Cette partition contient doncun dossier Windows et Programs.

Disque Y (Lecteur CD) : Clef USB / Lecteur CD-Rom où se trouvelʼimage du CD Live.

Il ne sert donc à rien de scanner le disque X et Y avec unanti-malware puisque ce sont les données du disque.


9 sur 34

Mise en place du réseau

Notez quʼen cas dʼinfection dʼun Ransomware, vous pouvez utiliserRogueKiller qui devrait vous en débarrasser. RogueKiller nʼa pasbesoin dʼune connexion internet pour fonctionner.

Le live CD embarque une base de données de drivers.Néanmoins si le réseau ne fonctionne pas, vous pouvez suivrecette procédure pour installer des pilotes supplémentaires.

Dans le menu Démarrer ouvez le dossier Computer Managmentpuis Drivers.Cliquez sur Driver Packs Install

Laissez-vous guider en cliquant sur le bouton afin de lancerlʼinstallation des pilotes.


10 sur 34

Une fois les pilotes installés, cliquez sur Terminer

Si le programme vous propose de redémarrer lʼordinateur :REFUSER


11 sur 34

Pour activer le Wifi, Lancez PE Network.Cliquez sur lʼonglet WIFI.Cochez lʼoption Forcer la déteciton de nouveaux périphériques surla liste des adaptateurs

Cliquez sur le bouton Démarrer pour activer le WIFI.Si tout va bien, le WIFI devrait se lancer et la liste des réseauxdisponibles apparaitrent.


12 sur 34

Le live CD embarque deux navigateurs WEB : Opéra et InternetExplorer


13 sur 34

RogueKiller (seulement version Windows 7)

RogueKiller est disponible, ce dernier fonctionne commedʼhabitude.A noter quʼil nʼy a pas besoin quʼinternet soit fonctionnel pourutiliser RogueKiller.

Dans le cas dʼune attaque Ransomware, RogueKiller devraitparvenir à nettoyer sans trop de soucis.

Le rapport RogueKiller est créé sur le bureau.

Si RogueKiller plante pendant le PreScan : cela estgénéralement dû au scan des drivers. Il est possible de lancerRogueKiller sans le scan via le menu Démarrer / RogueKiller /RogueKiller sans driver scan.


14 sur 34

Malwarebyteʼs Anti-Malware

Malwarebyte est disponible aussi sur le CD Live.La connexion internet doit être fonctionnelle pour pouvoir utiliserMalwarebyte étant donné que ce dernier va aller chercher lesdernières définitions virales.

Au premier lancement, cliquez sur le Menu Démarrer /Malwarebytes et lancer Malwarebytes (No Runscanner).

Ce dernier vous indique que les définitions virales sont manquantes


15 sur 34

ou corrompues.Cliquez sur Oui pour lancer leurs téléchargements.


16 sur 34

Une fois les définitions virales mises à jour.Fermez Malwarebyteʼs Anti-Malwares.Relancez Malwarebytes mais en prenant lʼicone avec (Scan) – Celava charger les ruches du registre Windows et permettre de nettoyerle registre Windows.

Faites « Perform Full Scan » et décocher le disque X:\


17 sur 34


18 sur 34

OTL / OTLPE (seulement version Windows 7)

OTL permet dʼeffectuer un scan et de générer un rapport dediagnostic afin dʼy déceler des malwares.OTL permet aussi via un script de supprimer des élémentsmalicieux.

Pour fonctionner, il faut quʼOTL puisse avoir accès au registreWindows infecté.Voici la procédure à suivre pour charger OTL.

Double-cliquez sur lʼicône OTL.Ce dernier va vous demander dʼindiquer le dossier Windows,probablement C:\Windows


19 sur 34

OTL vous demande ensuite si vous désirez charger les profilsutilisateurs.Acceptez en cliquant sur Oui.

La liste des profils utilisateurs sʼaffichent.Sélectionnez le profil dont la session est infectée.Cliquez sur Oui.


20 sur 34

OTL sʼouvre.Dans le cas où un script vous a été fourni, copier/coller ce dernierdans le champs Custom Scan/Fixes.


21 sur 34

Puis lancez le Scan.Comme vous pouvez le constater ci-dessous, le rapport dediagnostic indique une version XP de Windows qui correspond bienà la version de Windows infecté et non à celui du Live CD(Windows Seven).

NOTE : si le rapport OTLPE ne sʼouvre pas, allez le cherchermanuellement à la racine du disque où se trouve WindowsC:\OTL.txt D:\OTL.txt etc.

Farbar Recovery Scan Tool (FRST)

Le programme Farbar Recovery Scan Tool (FRST) fonctionne aussisur CD Live.Se reporter au tutorial Farbar Recovery Scan Tool (FRST)


22 sur 34

Ci-dessous, le programme trouve les fichiers skype.dat relative auransomware Urausy.Il suffit alors de créer sur le bureau un fichier fixlist.txt contenant leslignes avec les chemins des fichiers skype et sur Farbar de cliquersur Fix.Cela va supprimer les fichiers en questions.(On peux bien entendu aller les supprimer manuellement).


23 sur 34

Restauration Windows à partir du CD Live Malekal

Restauration du système CD Live Windows 10

Il est possible dʼeffectuer une restauration du système Windows ouréinitialisation de Windows à partir du CD Live Malekal.Les options de récupération système étant disponibles sur le CDLive Malekal.

et les options de récupérations système :


24 sur 34

Restauration du système CD live Windows 7

Les outils de réparation/récupération ne sont utiles que si Windowsest sur Seven.Il est notamment possible de lancer une restauration du système.


25 sur 34


26 sur 34


27 sur 34

Si votre version de Windows est autre que Windows Seven, lemessage suivant apparaît :

Pour Windows 7, je vous rappelle quʼil est possible dʼeffectuer unerestauration en invites de commande en mode sans échec :http://forum.malekal.com/windows-recuperer-son-systeme-t20428.htmlNotez aussi quʼil est tout à fait possible dʼeffectuer une restaurationdu système manuelle en recopiant les ruches du registre.Le tutorial suivant décrit cette procédure : http://www.malekal.com/2012/06/12/restauration-du-registre-via-cd-live-depuis-point-de-restauration/

Récupérer sa clé Windows avec le CD Live Malekal


28 sur 34

En vidéo, récupérer sa clé Windows avec le CD Live Maleka,pratique dans le cas où Windows ne démarre plus et voussouhaitez réinstaller Windows sans avoir noté la clé avant.

Recréer un compte administrateur / Mot de passeadministrateur perdu

Lʼutilitaire Password Renew Sala permet de changer son mot depasse administrateur et/ou recréer des comptes administrateurs, sivous les avez tous supprimés.Plus dʼinformations :

Windows retrouver son compte administrateur

Mot de passe perdu sur Windows 10

En vidéo, lʼutilisation de Password Renew Sala :

Quelques autres outils

Quelques autres programmes présents sur le Live CD : MbrFix(notez que RogueKiller se charge des bootkits), Remote Regeditqui permet de charger des ruches, mmc et des outils de réparationde Windows Seven.


29 sur 34

Memtest

Afin de tester vos barettes mémoires, le programme Memtest86+est disponible


30 sur 34

HD tune

HD Tune permet de tester son disque dur (vitesse et SMART), plusdʼinformations : http://forum.malekal.com/tune-monitorer-son-disque-dur-t43963.html


31 sur 34

TestDisk

TestDisk permet de récupérer des partitions endommagées, réparerdes systèmes de fichiers etc..


32 sur 34

SFC

Il est tout à fait possible dʼeffecuter un scan SFC pour réparer desfichiers systèmes.Pour cela reportez-vous à la FAQ : SFC et CheckSUR : outils devérification fichiers systèmes


33 sur 34

Diskpart

Diskpart est aussi disponible sur la version Win10PE.On peut alors corriger certaines problèmes de partition de disque,comme recréer la partition EFI.

Voila !

En espérant que cela aide!

Autres CD Live

Dʼautres CD Live sont disponibles sur la page : CD LiveRécupération/Rescue système

Noamment Microsoft Diagnostics and Recovery Toolset (DaRT) estassez intéressant : Tutoriel Microsoft Diagnostics and RecoveryToolset (DaRT)


34 sur 34

Documents

Malekal Live CD | malekal's siteclimato.free.fr/upload/malekal2.pdf · 2016-10-24 · Win7PE, vous devez passer en Legacy BIOS. Lisez bien le dernier paragraphe. Voici une capture