Services informatiques pour PME et particulier
Professionnel depuis plus de dix ans dans le Centre-Var, basé à Brignoles
06.28.07.77.83 ou par E-mail
La sauvegarde est simple: Un PC sous Windows 10, Tout le disque C et la partition de boot « Réservée au système » sont sauvegardés sur un NAS Synology, quotidiennement et de façon incrémentielle. Les étapes du diagnostic:
- Un checkdisk complet (en ligne de commande chkdsk /F /R C: et redémarrage)
- Vérification de l’antivirus OK; il s’agit de Windows defender donc bien intégré à Windows 10
- Désactivation dans Acronis de la fonction anti-ransomware pour test (remis plus tard)
- Mises à jour Windows 10 OK
Sur la capture on voit qu’il peut s’agir d’un problème VSS (Volume Shadow Copy Service). un service Windows qui permet la copie de fichiers en cours d’utilisation. Je ne vois pas pourquoi il dis-fonctionnerait, vu que la création de point de restauration système fonctionne. Malgré tout je vérifie s’il n’y aurait pas de problèmes d’exclusion trop élargie depuis le registre Windows https://docs.microsoft.com/fr-fr/windows/desktop/VSS/excluding-files-from-shadow-copies.
Plutôt que de procéder de façon « bête et méchante »: Réinstaller Windows sans perte, réinstaller Acronis ou autres procédé, j’ai trouvé plus formateur d’investiger le fichier bloquant en question! Sauf que c’est moins facile que ça en a l’air. Des forums conseillent d’utiliser un défragmenteur, sauf qu’il faut chercher dans des millions de petites cases , l’outil Microsoft nfi.exe en ligne de commande aurait été pratique mais je ne le trouve pas sur la Toile.
Reste les éditeur Hexa; où le logiciel HxD ne convient pas car il faut peut trouver un fichier d’après le secteur logique, hors Acronis donne le Numéro d’un secteur physique vu qu’il précise dans le message d’erreur « Disque 1 » au lieu de « partition xx ».
Explication: il faut savoir (enfin pas tout le monde) qu’il y a des différences entre les secteurs physiques et secteurs logiques:
Les secteurs physiques sont les plus petites unités de stockage sur le disque, on peut considérer qu’ils sont réellement.. physiques. Nous n’avons pas la main pour réorganiser les secteurs physiques.
Les secteurs logiques, ou unités d’allocation, dépendent du système de fichiers choisit (NTFS, Fat32) et de la taille du disque dur. C’est le système d’exploitation qui décide de regrouper en unité d’allocation un certain nombre de secteurs physiques (formatage haut niveau).
Les fichiers sont référencés (nom, taille, emplacement) depuis les secteurs logiques grâce à la MFT (table de fichiers principale), tout ça pour dire… que si je rentre dans un éditeur hexa le N° de secteur physique 119 190 552, je n’aurais pas une vue intelligible du fichier (nom, chemin, taille, attributs) mais seulement une bouillie de caractères cabalistiques.
Justement, quel éditeur Hexa choisir? Diskexplorer est trop compliqué pour moi, ce sera donc Winhex version free, suffisante. Attention que la version Free n’autorisée pas l’analyse des partitions cachées comme les partitions spéciales qu’on peut trouver sous Windows 10.
Je réouvre le disque en choisissant cette fois « Lecteur logique« , puis je rentre ce N° de secteur, toujours depuis Navigation > Atteindre le secteur.
La présentation change alors: le disque dur est appelé Drive C:\ et les dossiers du disque sont détectés. A noter le message Accès refusé en bas, cohérent avec le problème de sauvegarde:
Ca y est j’ai identifié le fichier coupable! Dans Winhex Sur le panneau de droite je vois Win32kfull.sys, le fichier est dans le dossier C:\Windows\WinSxS\ dans un sous-dossier au doux nom « amd64_microsoft-windows-win32k_31bf3856ad364e35_10.0.17134.1_none_9e74061203b12faa\« .
Je ne me sentais pas de taper un si long nom de dossier: La recherche Windows dans C:\Windows\WinSxS m’aide à visualiser ce fichier:
Le fichier -malgré que je sois administrateur- est complètement verrouillé, impossible de le copier etc.. même rentrer dans ses propriétés pour changer le propriétaire et les droits n’y fait rien! J’utilise donc grantperms de Farbar : outil initialement conçu pour déverrouiller des fichiers composant un virus pour pouvoir les supprimer.
Bizarrement il ne donne rien non plus… Je n’arrive pas à comprendre comment cela est possible: fichier corrompu? MFT chancelante? le checkdisk aurait précédemment réglé ces soucis. Je décide donc d’exclure simplement ce fichier de la sauvegarde Acronis depuis les options avancées: Il faut absolument que les backups quotidiens se fassent: Le PC du client servant à énormément de choses; courriel, compta, facturation.
Je redémarre une sauvegarde: Même problème! Je dois donc supprimer Win32kfull.sys. Pour vérifier si cela impactera Windows, je fais la manipulation sur machine virtuelle Windows 10: Cela n’a pas impacté Windows. Maintenant comment je vais effacer un fichier système que je n’arrive même pas à copier-coller…? ni modifier ses droits?
Le logiciel fileassassin de malwarebyte est spécialisé dans ce genre de soucis, je choisis Fileassassin pour la notoriété de son éditeur, et règle ainsi le logiciel. (astuce: Pour faciliter la frappe du dossier contenant win32kfull.sys, je maintiens le bouton MAJ du clavier et clic droit sur win32kfull, le menu contextuel affiche alors « copier le chemin d’accès« ):
Le fichier cette fois a bel et bien été supprimé, je relance une sauvegarde Acronis et celle-ci aboutit!
Par contre supprimer un fichier système n’est jamais bon; il faut le restaurer dans son état fonctionnel en lançant une réparation des composants:
Dism /Online /Cleanup-Image /RestoreHealth.
Ceci fait je réouvre le dossier qui contenait le fichier système corrompu; il a bien été restauré mais sa taille a légèrement changé ce qui confirme l’idée qu’il a d’une manière ou d’une autre été corrompu. Je teste un copier-coller dans un autre dossier et ça fonctionne. Mission accomplie.
