Autour du PC

Chevaux de Troie

Electronique

Trucs et astuces

Sécurité

 

CSS Valide !

Site optimisé en 1024x768



 

Acces au registre sur un PC en panne



Réparer les infections d'ouverture de session

Ou acceder au registre d'une machine refusant tout bonement de démarrer.

Symptôme: A la demande du mot de passe lors de l'ouverture de la session, aprés avoir validée la saisie, la session ne s'ouvre plus et la fenêtre de demande du mot de passe se re-affiche.

Cause: C'est le fichier userinit.exe qui verifie la validité du nom et du mot de passe d'ouverture de session, si pour une raison ou une autre celui-ci est conrompu, qu'un virus ait pris sa place ou la clé du registre correspondante soit modifiée, quelque soit la saisie, la session s'ouvre se referme aussitôt et revient à l'ecran d'accueil.

Remède: Il n'y a pas grand chose à faire, deux solutions s'offre à nous:

1) Premiere solution de réparation

1) Ouvrir la machine , debranché le disque dur où se trouve le système et le réinstaller en esclave dans une autre machine (saine).

2) Une fois démarré remplacer le fichier userinit.exe conrompu par l'original:
Dans un système sain, ce fichier se trouve dans Windows\system32\ ou sur le CD d'installation dans le dossier \i386 , ce fichier a une taille de 24 Ko .

3) Nettoyer la clé du registre faisant reference au userinit.exe:
En effet certain virus peuvent modifié ce type de clé afin de se lancer eux-même. Celle-ci est la suivante:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
La clé doit contenir la valeur suivante: "UserInit" = %System%\userinit.exe,

4) Donc, nous sommes toujours sur la machine saine, nous avons le disque du PC infecté.

Lancer regedit , selectioner HKEY_USERS , dans le menu Fichier, cliquer sur Charger la ruche..., aller chercher la ruche SOFTWARE sur le disque du PC infecté dans le dossier Windows\system32\config . Donner-lui un nom par exemple newhive.

5) Une nouvelle ruche est apparue sous HKEY_USERS (newhive) c'est en fait la copie exact de la ruche HKEY_LOCAL_MACHINE\SOFTWARE du système infecté.

Dans celle-ci aller verifier et modifier si necessaire la valeur de la clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

La clé doit contenir la valeur suivante: "UserInit" = %System%\userinit.exe,
Important: ne pas oublier la virgule à la fin de la ligne.

6) Selectionner dans le menu Fichier la commande 'Décharger la ruche...', confirmer la commande par oui.

7) Il ne reste plus qu'a remonter le disque dans le PC d'origne.

8) Redemarrer alors le système, tout devrait être rentré dans l'ordre, aprés bien sûr avoir fait les vérifications d'usages, à savoir:
Désactiver la restauration automatique du système, passer l'odinateur à l'antivirus et aux outils 'antisaloperies' de votre choix.
Il ne reste plus qu'une derniere fois de redemarrer la machine et de réactiver la restauration automatique du système.

2) Autres solutions (plus simple) de réparation

Si vous ne vous sentez pas de démonté le disque dur, il exite une solution logiciel qui consiste à utiliser un LiveCD. Ce sont des systèmes bootables sur CD et ne travaillant qu'en mémoire. Il en existe differents types:
Ultimate Boot CD , UBCD4WIN (basé sur BartePE), Hiren's Boot CD, Live CD de Windows fait maison ou distribution Linux (vous trouverez d'ailleurs une impressionnante liste de ces CDs sur http://www.livecdlist.com ) .

J'utilise pour ma part UBCD4WIN à télécharger ici , ce live CD reprend lors de sa création les fichiers système de Windows (donc une interface graphique) et une quantité impressionnante d'outils de dépannage et de diagnostiques.

La solution qui parait la plus simple est de démarrer avec ce type de CD, aller chercher le fichier SOFTWARE décrit plus haut, le copier sur un support amovible ou sur le reseau, traiter le fichier comme indiqué plus haut sur un PC sain puis remplacer celui d'origine, faire ensuite de même pour le fichier userinit.exe

Encore plus simple: il existe un utilitaire sur UBCD4WIN permettant la modification du registre sans avoir besoin de rapatrier les fichiers sur un autre PC.
Une fois le CD système demarré, accéder aux outils comme indiquer ci-dessous:

Dans regedit charger, modifier puis décharger la ruche SOFTWARE comme indiqué dans la première solution plus haut.
Enlever le LiveCD et redemarrer la machine.

Un CD Bootable juste pour la reparation du registre

Pour pousser un peu plus loin, pour ceux n'ayant pas envie de fabriquer un Live Cd, il existe un outil tout prêt dedié à ce genre de travail. Le programme s'appelle PC regedit disponible ici .
Cette solution peut être une alternative dans le cas du dépannage d'une petite configuration (peu de mémoire), car les LiveCD ont besoin de pas mal de mémoire.

Ce fichier est sous la forme d'une image ISO à brûler sur un CD pour en faire une support bootable.

Démarrer le PC, booter sur le CD.
Une fenêtre MyFileChooser apparait pointant directement dans le dossier config (mentionné plus haut) du PC infecté.

Le reste est un jeux d'enfant:
Faire descendre la liste des fichiers, charger le fichier SOFTWARE.

La fenêtre suivante fait apparaitre une interface de type regedit, rechercher la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
et verifier la valeur
"UserInit" = %System%\userinit.exe,

Si la valeur est inexistante: faire un clic droit sur la partie droite de la fenêtre et chosir Add Key , dans Name mettre : "UserInit" et dans Type choisir REG_SZ puis cliquer sur OK.

Une fois cette clé créé faire un clic doit dessus et choisir Value edit, mettre: %System%\userinit.exe, (sans oublié la virgule).

Fermer la fenêtre, sauvegarder les modifs.
Voila... enlever le CD redemarrer la machine et effectuer les vérifications d'usages vues plus haut.

Conclusion

Aprés tout ceci, il est simple de deviner que le principe peut s'appliquer à pas mal de situations dans le cas de modifications ou de reparations du registre. Pour info voici les fichiers à chargés correspondant aux ruches de la base de registres:

Emplacement du registre : HKEY_LOCAL_MACHINE \ SOFTWARE - Fichier SOFTWARE
Emplacement du registre : HKEY_LOCAL_MACHINE\SECURITY - Fichier SECURITY
Emplacement du registre : HKEY_LOCAL_MACHINE\SYSTEM - Fichier SYSTEM
Emplacement du registre: HKEY_LOCAL_MACHINE\SAM - Fichier SAM
Emplacement du registre: HKEY_USERS\.DEFAULT - Fichier DEFAULT
Ces fichiers se trouvent dans windows\system32\config

Emplacement du registre: HKEY_CURRENT_USER - Fichier NTUSER.DAT
Ce fichier de trouvent dans:
Sous XP: Documents and Settings\nom_utilisateur \NTUSER.DAT
Sous Vista utilisateur\nom_utilisateur \NTUSER.DAT

Vempyr...