Malekal Live CD

Avec la recrudescence des ransomwares, on a parfois besoin d’un CD Live pour récupérer la main (lorsque

le mode sans échec et la restauration du système n’est pas possible).

Il existe OTLPE comme Live CD, ce dernier est basé sur Windows XP et n’est pas mis à jour (pilotes LAN /

WLAN).

Du coup j’ai décide de faire un Live CD et de le maintenir afin d’avoir des pilotes LAN / WLAN

relativement récent afin que le réseau puisse fonctionner dans la majeure partie des cas.

Le Live CD est basé sur du Win7PE, comme son nom l’indique il est en Windows Seven.

Présentation Rapide

Le Live CD embarque les programmes suivants :

RogueKiller

Malwarebyte’s Anti-Malware

OTL afin d’effectuer un diagnostique

Installation

Le lien de téléchargement : CD Live Malekal

Mirroir UploadHero : http://uploadhero.co/dl/rJuJ5Okq

MD5 : 10446331606a0066ff0609ddf7a34e37

Le Live CD peux fonctionner sur CD-Rom ou sur une clef USB.

Pour l’installation du CD Live sur un CD, ce n’est pas très compliqué, il suffit de télécharger le fichier ISO

et de graver l’ISO.

Par exemple avec IMBurn (ou plus bas aussi avec ISO2Disc).

Si vous désirez le mettre sur Clef USB, vous pouvez utiliser le programme ISO2Disc.

Dans le champ ISO Image : indiquez le chemin du fichier ISO à l’aide du bouton Browse.

Cochez Burn to USB Flash Drive et indiquez la lettre de votre clef USB.

Cliquez sur Start Burn pour copier le CD Live sur la clef USB.

Enfin pour « booter » sur le Live CD, redémarrez l’ordinateur et changez la séquence de démarrage

http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.

Voici une capture d’écran des disques – les lettres peuvent changer selon l’agencement de vos partitions

mais vous pouvez vous fier au nom des disques pour vous y retrouver, dans mon cas :

Disque C: c’est la partition système de mon Windows, celui qui est normalement infecté.

Disque X (Boot) : Partition Ramdisk créé par le CD Live pour le fonctionnement du Windows

Seven – Cette partition contient donc un dossier Windows et Programs.

Disque Y (Lecteur CD) : Clef USB / Lecteur CD-Rom où se trouve l’image du CD Live.

Il ne sert donc à rien de scanner le disque X et Y avec un anti-malware puisque ce sont les données du

disque.

Mise en place du réseau

Notez qu’en cas d’infection d’un Ransomware, vous pouvez utiliser RogueKiller qui devrait vous en

débarrasser. RogueKiller n’a pas besoin d’une connexion internet pour fonctionner.

Le live CD embarque une base de données de drivers.

Néanmoins si le réseau ne fonctionne pas, vous pouvez suivre cette procédure pour installer des pilotes

supplémentaires.

Dans le menu Démarrer ouvrez le dossier Computer Managment puis Drivers.

Cliquez sur Driver Packs Install

Laissez-vous guider en cliquant sur le bouton afin de lancer l’installation des pilotes.

Une fois les pilotes installés, cliquez sur Terminer

Si le programme vous propose de redémarrer l’ordinateur : REFUSER

Pour activer le Wifi, Lancez PE Network.

Cliquez sur l’onglet WIFI.

Cochez l’option Forcer la détection de nouveaux périphériques sur la liste des adaptateurs

Cliquez sur le bouton Démarrer pour activer le WIFI.

Si tout va bien, le WIFI devrait se lancer et la liste des réseaux disponibles apparaitre.

Le live CD embarque deux navigateurs WEB : Opéra et Internet Explorer

RogueKiller

RogueKiller est disponible, ce dernier fonctionne comme d’habitude.

A noter qu’il n’y a pas besoin qu’internet soit fonctionnel pour utiliser RogueKiller.

Dans le cas d’une attaque Ransomware, RogueKiller devrait parvenir à nettoyer sans trop de soucis.

Le rapport RogueKiller est créé sur le bureau.

Malwarebyte’s Anti-Malware

Malwarebyte est disponible aussi sur le CD Live.

La connexion internet doit être fonctionnelle pour pouvoir utiliser Malwarebyte étant donné que ce dernier

va aller chercher les dernières définitions virales.

Au premier lancement, cliquez sur le Menu Démarrer / Malwarebytes et lancer Malwarebytes (No

Runscanner).

Ce dernier vous indique que les définitions virales sont manquantes ou corrompues.

Cliquez sur Oui pour lancer leurs téléchargements.

Une fois les définitions virales mises à jour.

Fermez Malwarebyte’s Anti-Malwares.

Relancez Malwarebytes mais en prenant l’icone avec (Scan) – Cela va charger les ruches du registre

Windows et permettre de nettoyer le registre Windows.

Faites « Perform Full Scan » et décocher le disque X:

OTL / OTLPE

OTL permet d’effectuer un scan et de générer un rapport de diagnostic afin d’y déceler des malwares.

OTL permet aussi via un script de supprimer des éléments malicieux.

Pour fonctionner, il faut qu’OTL puisse avoir accès au registre Windows infecté.

Voici la procédure à suivre pour charger OTL.

Double-cliquez sur l’icône OTL.

Ce dernier va vous demander d’indiquer le dossier Windows, probablement C:Windows

OTL vous demande ensuite si vous désirez charger les profils utilisateurs.

Acceptez en cliquant sur Oui.

La liste des profils utilisateurs s’affichent.

Sélectionnez le profil dont la session est infectée.

Cliquez sur Oui.

OTL s’ouvre.

Dans le cas où un script vous a été fourni, copier/coller ce dernier dans le champs Custom Scan/Fixes.

Puis lancez le Scan.

Comme vous pouvez le constater ci-dessous, le rapport de diagnostic indique une version XP de Windows

qui correspond bien à la version de Windows infecté et non à celui du Live CD (Windows Seven).

NOTE : si le rapport OTLPE ne s’ouvre pas, allez le chercher manuellement à la racine du disque où se

trouve Windows C:OTL.txt D:OTL.txt etc.

Quelques autres outils

Quelques autres programmes présents sur le Live CD : MbrFix (notez que RogueKiller se charge des

bootkits), Remote Regedit qui permet de charger des ruches, mmc et des outils de réparation de Windows

Seven.

Les outils de réparation/récupération ne sont utiles que si Windows est sur Seven.

Il est notamment possible de lancer une restauration du système.

Si votre version de Windows est autre que Windows Seven, le message suivant apparaît :

Je vous rappelle qu’il est possible d’effectuer une restauration en invites de commande en mode sans échec :

http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html

Notez aussi qu’il est tout à fait possible d’effectuer une restauration du système manuelle en recopiant les

ruches du registre.

Le tutorial suivant décrit cette procédure : http://www.malekal.com/2012/06/12/restauration-du-registre-via-

cd-live-depuis-point-de-restauration/