La plupart des virus cherchent à se faire oublier… Je m’explique : pour pouvoir voler vos mots de passes, comptes bancaires, contacts, etc… Les malwares récents doivent se montrer le plus discret possible ainsi vous ne vous inquiétez pas et continuez à utiliser votre ordinateur comme si de rien n’était. Mais il en reste certains -comme pour le cas exposé dans cet article- dont le rôle est de mettre une pagaille monstre dans le système d’exploitation.
Mon mandataire, un particulier demeurant dans le village de Saint Anastasie, a « la totale » : il a réussi à détruire le virus de lui-même avec un CD bootable Kaspersky rescue disc, mais désormais il n’a plus internet, la plupart de ses programmes ne se lancent pas, ses fichiers PDF, Word, ses documents PowerPoint ne s’ouvrent plus ou essaient de se lancer avec un programme qui n’existe plus, ses photos aussi ne sont plus « visionnables » !
Le virus est bel et bien détruit mais au passage il a complètement « déréglé » le système -notamment la base de registre de Windows qui contient la plupart des paramètres système. Vous me direz « Mais bon sang, faites une restauration système et puis voilà ! » Mais mon client est aussi un bidouilleur et a « optimisé » son Windows Vista en désactivant la restauration.
Une réinstallation de Vista est inévitable ? Pas vraiment : Si les conditions s’y prêtent (peu de logiciels « vitaux » sur le PC, ordinateur récent, un seul compte utilisateur de préférence) on peut forcer une restauration système à la main, en utilisant les fichiers registre Windows sauvegardés tous les 10 jours. Dans Vista ces fichiers salvateurs sont situés dans « C:\Windows\System32\config\RegBack ».
Comment j’ai procédé : J’ai retiré le disque dur et l’ai connecté dans un boitier, puis je l’ai branché en tant que disque externe USB sur un PC sain. Ensuite j’ai copier-coller les fichiers du dossier « C:\Windows\System32\config\RegBack » nommés DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM vers le dossier « C:\Windows\System32\Config ».
Explications: Ce dernier dossier contient les fichiers registre « actifs » du système. Par sécurité j’ai pris la précaution de faire des sauvegarde du dossier « C:\Windows\System32\Config ».
Après remontage du disque dur dans son unité d’origine, le PC démarre et j’ouvre une session : les problèmes ont disparus sauf pour les fichiers qui ne possèdent pas de liaison valide aux programmes censés les ouvrir (ex : le programme Microsoft PowerPoint pour les fichiers .ppt, le programme Acrobat PDF Reader pour les fichiers.pdf). Je suis obligé de faire la réassociation à la main pour chaque type de fichier en cliquant droit sur celui-ci, puis en choisissant « Ouvrir Avec » et en pointant vers le bon programme. Mais c’est un moindre mal face à une réinstallation…
Heureusement le fichier registre utilisateur NTUSER.DAT placé dans « C:\Users\nom d’utilisateur » n’a pas été corrompu par le virus (ou seulement en ce qui concerne les associations de fichiers, désormais rétablis). Dans le cas contraire, j’aurais créé un nouvel utilisateur (NTUSER.DAT étant le fichier registre contenant les paramètres de session utilisateur) et importé dans ce nouveau compte les documents et favoris du compte détérioré.
Cette réparation est très semblable à mon article sur une restauration système « à la main » sous Windows XP.
