RECUP XP apres Catastrophe [DIDACTICIEL]

RECUP XP apres Catastrophe Sobis (22.07.2007)

Lorsqu'après une catastrophe logicielle (le plus souvent un virus particulièrement vicieux..), il n'est même plus possible d'accéder à Windows, l'ordinateur redémarrant ou restant bloqué en noir ou bleu avant le chargement de l'OS, il n'est malheureusement pas possible de recourir aux méthodes habituelles (réparation de XP, scan disque dur, etc..). En effet, même après une prétendue "réparation" de XP avec le CD légal, l'ordinateur ne redémarre toujours pas, le virus étant toujours actif...

Restent alors deux solutions:
- soit, après un formatage, tout réinstaller : Windows (y compris le SP2), les drivers (multiples et variés), les logiciels, les périphériques, bref, une journée de travail particulièrement fastidieuse,

- soit effectuer une restauration d'une image de la partition système ce qui rétablit l'ordinateur dans l'état où il était, avant l'attaque virale, au jour où a été réalisée la sauvegarde. C'est évidemment la solution la plus simple, la plus rapide et la moins ennuyeuse, et cette solution est présentée comme telle, et à juste titre, depuis des années sur ces forums et dans les pages de votre magazine préféré. Le seul inconvénient c'est qu'elle nécessite l'utilisation d'un logiciel payant, soit Ghost de Symantec, soit True Image d'Acronis. J'ai toujours estimé que cela en valait le prix.

C'est cette méthode de restauration que je vais décrire en pas à pas ci-après
J'utilisais, depuis une décennie, Ghost, mais depuis un an je fais appel à Acronis que je trouve finalement plus ergonomique et plus simple.
La condition préalable de la restauration c'est, évidemment, d'avoir réalisé une sauvegarde de sa partition système avec le logiciel spécialisé et d'avoir effectué régulièrement des mises à jour (sauvegardes incrémentielles), au minimum une fois par mois.

Après ce long préambule, voici le pas à pas d'une restauration complète de l'OS et de la configuration utilisateur à partir d'une sauvegarde True Image (une complète initiale + deux incrémentielles) située sur un disque dur amovible relié à l'ordinateur en USB2.

1 – Il est important de connaître d'avance l'emplacement exact des sauvegardes True Image et d'avoir, bien sur, le CD légal d'Acronis sous le coude. Il faut également que dans le Bios de l'ordinateur, la séquence de Boot soit (comme elle devrait l'être...): CD puis DD et non l'inverse.. Savoir enfin que les lettres de lecteurs changeront pendant la mise en oeuvre et qu'il faudra donc toujours se baser sur la taille des partitions en octets pour s'y retrouver et savoir où on met les pieds..

2 – Mettre le CD de True Image dans le lecteur et redémarrer l'ordinateur après avoir éventuellement branché le disque amovible sur lequel se trouve les sauvegardes. Après affichage du Logo, s'affichent successivement "Loading, please wait" puis la page d'accueil d'Acronis. Clic sur "Restaurer" puis Suivant,

3 – S'affiche l'arbre du système complet de l'ordinateur y compris les disques amovibles externes. Ne pas être surpris si les lettres ne sont pas celles habituelles, comme déjà dit plus haut. Repérer la partition sur laquelle se trouve les sauvegardes True Image et la sélectionner puis l'ouvrir et descendre jusqu'au fichier de sauvegarde dont l'extension est .tib.
Il peut y en avoir plusieurs, pas d'importance à ce stade. Clic sur le ou l'un des fichiers .tib.

4 – S'affichent les sauvegardes disponibles avec indication "mode complet" ou "mode incrementiel" avec leur date de réalisation. Clic sur la plus récente (incrémentielle ou non) puis sur Suivant.

5 – Nouvelle fenêtre "Sélection du type de restauration". Clic sur "restaurer les disques ou les partitions" puis Suivant.

6 – Nouvelle fenêtre: "partition ou disque à restaurer". Clic sur "Partition system" puis Suivant.

7 – Après quelques minutes d'activité du disque sur lequel se trouve les restaurations, s'affiche une nouvelle fenêtre: "Emplacement de la partition restaurée". Clic sur "partition system" puis Suivant,

8 – Nouvelle fenêtre. Clic sur "active" puis suivant.

9 – Nouvelle fenêtre "Taille de la partition restaurée". Ne rien changer et clic sur Suivant.

10 – Nouvelle fenêtre "Sélection suivante". Cocher Non puis Suivant.

11 - Nouvelle fenêtre "Options de restauration", Cocher "valider avant restauration".

12 – Nouvelle fenêtre résumant les options de restauration. Clic sur "Procéder" pour lancer la vérification puis la restauration elle-même.

Il faut compter au moins 45 minutes pour la restauration.
A la fin, il faut retirer le CD d'Acronis et l'ordinateur poursuit son démarrage (sinon, redémarrer l'ordinateur).

A+

Une excellente idée , j'utilise moi même true image, qui est simple et efficace.
Il existe une version compatible vista. Ce logiciel m'a sauvé la mise trois fois après des bidouilles hasardeuses . Il y a toujours la petite montée d'adrénaline (c'te foutu machin va t-il refonctionner ? )Mais après on est bien content de retrouver ses billes !

Je fait personnellement une sauvegarde complète par mois du système et je garde les sauvegardes sur deux mois. Ensuite au moindre doute, j'écrase le système avec la sauvegarde la plus récente. Le tout secondé par un bon anti-virus (+ par feux)
et pas de soucis....Si une saleté s'incruste, Crak j'explose le problème avec la sauvegarde !

Exactement comme moi !!!

... mais aujourd'hui, je pense étre aux prises avec un virus de Boot et c'est pas de la tarte !!! Si tu as un secret, n'hésites pas
A+

Les virus de Boot c'est pas évident, peut être en montant le disque sur un autre pc en esclave pour essayer de le traiter. (mais j'y crois pas vraiment)

Il y a aussi l'utilitaire (sous Dos) DelPart Téléchargable avec explications Ici
Cet utilitaire permet d'effacer totalement une partition (donc son MBR aussi) il ne reste plus alors qu'a reformater celle ci proprement.

Sinon, il y a bien une solution radicale mais pas sans risque: "le formatage de bas niveau" suivit d'un formatage classique avec recréation des partitions.
Alors il faut utiliser le bon utilitaire lien ici
Et si le formatage foire il ne reste plus qu'a changer le disque dur.

Attention! Si le virus c'est aussi mis dans le Bios (ça arrive) il faut le flasher avec le logiciel adhoc.

Ensuite il ne reste qu'à réinstaller l'image d'un système sain, et les données sauvegardées au préalable.

Mais surtout ce qu'il faut faire après réparation, c'est activer la protection antiviral dans le BIOS normalement elle doit s'opposer à toute tentative de modification du Boot ou du BIOS.

Merci de ta réponse détaillée dont je connaissais les éléments, SAUF ta derniére suggestion
J'avais la notion qu'on ne devait jamais activer la protection au niveau du Bios..! Cela ne peut-t-il pas entrer en conflit avec le logiciel antivirus actif sous Windows ? (dans mon cas AVG free qui semble bien un peu passoire... ).

Par ailleurs, je fais un scan antivirus avec tous les antivirus on Line que je trouve et aucun ne me détecte le virus de Boot que je pense avoir chopé...

A+

Je ne sais pas s'il y a un risque de conflit, j'utilse pour ma part bitdefender (internet sécurity) depuis plusieurs années sans soucis, son prix est raisonnable et la licence dure deux ans, si j'ai le temps je posterai la question de compatibilité à leurs techniciens

Oui, ça serait bien d'avoir leur avis... A+

J'ai posté la question, je leur ai demandé si l'activation de cet utilitaire est compatible avec l'antivirus et si cette activation est utile avec l'antivirus.

En effet, l'antivirus du Bios semble fonctionner de la façon suivante:
En fait d'antivirus, c'est un message d'alerte qui apparait à chaque fois qu'un appel direct à une fonction du BIOS est détecté lors de l'exécution d'un programme (quel que soit le programme)... ça permet juste d'arrêter un virus qui aurait envie de faire des saletés avec le BIOS ou d'accéder aux disques sans demander la permission à l'OS...

Par contre important: il faut toujours désactiver cet utilitaire avant de modifier le partitionnement du disque, un scandisk (CHKDSK), l'installation d'un nouvel OS ou toute opération touchant au MBR.

Donc si cet utilitaire est compatible, il n'a pas que des avantages mais peut être utile avant de lancer un exécutable potentiellement douteux.

Ceci dit, j'ai fait une petite recherche sur le fonctionnement de Fdisk et sur les virus de Boot:
1> généralement, quand un virus de boot modifie le Bios, il le rend inutilisable car il ne peut pas l'ajouter au Bios, il le flash simplement de façon incorrect (un virus ne peut pas déterminer le type de Bios présent et s'adapter en créant le bon Bios mais sous une forme "améliorée :evil:")
Donc si le Bios fonctionne il est improbable que le virus s'y trouve.

2> Il semble que quand on fait "fdisk /mbr" en bootant sur le CD ou une disquette (l'important étant de ne pas booter sur le disque) on efface et on reconstruit le MBR, cela devrait logiquement détruire un virus de Boot.

Merci de tes recherches et de ton analyse.

Mon Bios fonctionne normalement et mes diffénts scan avec des antivirus en ligne n'ont rien trouvé comme virus.. J'ai peut-étre eu plus de peur que de mal... mais le cumul de petits problémes divers était inquiétant..
Je reste, bien entendu, vigilant.

En ce qui concerne le soit-disant "anti-virus" du Bios j'avais lu, il y a déja longtemps, une analyse que confirme la tienne: il semble bien que l'activer c'est ouvrir la porte à des messages d'alerte à répétition et des problémes chaque fois qu'on veut faire quelquechose avec son ordi.. C'est probablement la raison pour laquelle on ne parle quasiment jamais de cet utilitaire dans la presse spécialisée qui l'ignore superbement...

A+

J'ai la réponse du technicien de chez BitDefender



Donc, en conclusion: Dans un usage normal d'un PC correctement protégé, l'antivirus doit intercepter toute tentative de modification du Bios ou du MBR (en tout cas pour BitDefender) et avec un bon antivirus, il vaut mieux ne pas activer l'utilitaire antivirus du Bios car des confits peuvent survenir

De toute façon il semblerait que l'usage d'une image (créée par True Image par exemple) remplace le MBR du disque par celui présent dans l'image.

Donc, normalement, pour un problème de virus de Boot exploser le problème avec une image de la partition système en bootant sur un CD du logiciel devrait la aussi tout arranger.

Je suis en PARFAIT ACCORD avec toi et c'est bien le message que j'essaye de faire passer sur les forums depuis des années: la meilleure parade en cas de catastrophe c'est, et de loin, une image de la partition systéme réalisée lorsque celle-ci était propre et efficace.

Quant à la meilleure protection, c'est, d'une part, un Firewall efficace (et rien ne vaut le firewall d'une Box ou d'un routeur, toujours plus efficace qu'un Firewall logiciel) accompagné d'un bon antivirus parfaitement à jour (mise à jour quotidienne si possible) et du patch des antimalwares habituels (Windowsdefender + SpywareBlaster + AdAware + SpyBot).

A bons entendeurs.. salut les Forumeurs !!

Bonsoir.

J'utilise Acronis True Image 9 depuis un an.
J'ignorais que le CD etait bootable.
Par contre j' ai fait un support de demarrage de secours qui m'a sauvé la mise avec la fonction en mode sans échec.
Si tu veux bien rajouter cette possibilité.

Il parait que PC Cloneur ferait aussi bien pour moins chers, mais je n'ai pas essayé.

Bonjour Avercamp,

Sois gentil de nous décrire la maniére dont tu as procédé pour fabriquer ton "support de démarrage de secours" et la maniére dont tu l'utilises, et poste tout ça à la suite: ta contribution sera ainsi utile à tous !!!
A+

Bonsoir sobis.

Une précision, le support de secours ne contient pas la sauvegarde ni même la totalité de true image; seulement la partie nécessaire de celui-ci.
Le logiciel: 97 Mo
Le support : 12,2 Mo

Pour le créer,dans la colonne de gauche,Outils > créer un support...puis suivre l'assistant. On peut le graver sur un CD-RW

En cas de gros plantage de Windows, démarrer sur le CD.
Utiliser le mode normal de préférence, mais en cas de difficulté, ne pas hésiter à prendre le mode sans échec, ça marche très bien. On retombe sur la procédure habituelle.

*Il s'agit de la version 9, il y a peut être eu des changements depuis.

Merci pour tous