Comment activer / désactiver les points de restauration

Si vous avez l'idée de faire une restauration pour gagner de la place, c'est une très mauvaise idée !

Conséquences d'une restauration après installation d'un programme ou d'un patch :

Si vous effectuez une restauration à un « Point de restauration » antérieur à l'installation d'une application ou d'un patch, pour gagner de la place en croyant tout effacer depuis le « Point de restauration » antérieur :

• Vous perdrez tout ce qui a été fait depuis le précédant « Point de restauration » et pas uniquement l'installation que vous cherchez à désinstaller.

• Cette application ne fonctionnera plus après la restauration ou le patch sera perdu. Pour utiliser cette application, vous devrez la réinstaller (attention aux pertes de vos identifiants en cas d'applications sous licence - veillez à sauvegarder vos codes de licence). Pour bénéficier du patch, vous devrez le réappliquer.

La « Restauration du système » ne remplace pas le processus de désinstallation d'une application qui a été installée. Pour éliminer complètement les fichiers installés par une application installée, vous devez supprimer cette application :

• Soit à l'aide de l'option « Ajout/Suppression de programmes » du Panneau de configuration. Lire Désinstaller complètement une application sous Windows.

• Soit en exécutant le programme de désinstallation correspondant livré avec l'application.

• Soit, infiniment mieux, en utilisant Revo Uninstaller (la version gratuite est suffisante) en mode « Avancé ».

Comment entrer dans les répertoires des points de restauration

Restauration système - Comment entrer dans les répertoires des points de restauration

Restauration système - Propriétés de « Système Volume Information »

Restauration système - Sélectionner un nom d'utilisateur

Restauration système - Sélectionner un nom de groupe

Vous pouvez annuler la dernière restauration en sélectionnant « Annuler ma dernière restauration ». Si vous avez effectué récemment une restauration, l'option « Annuler ma dernière restauration » est affichée dans la liste « Restauration du système ». Vous pouvez utiliser cette option pour annuler votre plus récente restauration. Cette option est disponible uniquement si vous avez effectué une restauration. Au-delà de la dernière restauration récupérable, les autres points de restauration supprimés ne sont pas sauvegardés et ne sont donc plus récupérables.

Pourquoi désactiver temporairement les points de restauration ?

Bien qu'il soit recommandé de conserver cette fonctionnalité active en permanence, il est des cas où il convient de la désactiver temporairement. C'est le cas lors de l'infestation par certains virus, RATs, Keyloggers et autres malveillantes. C'est le revers de la médaille et il convient donc de détruire les « Points de restauration », puisqu'ils sont en train de sauvegarder des infections, en levant momentanément la fonctionnalité. Exemple :

Restauration système - Point de restauration contenant un parasite

Cette capture d'écran montre un point de restauration infecté par un downloader. Elle n'a pu être possible que parce qu'un disque système a été copié en tant que sous-répertoire d'un autre volume sinon l'explorateur de Windows utilisé ici n'y aurait pas eu accès. Voir, éventuellement, la méthode pour déverrouiller l'accès.

• Des fichiers système sont infectés par un nouveau virus pas encore détecté par votre antivirus.

• Le système détecte une modification de ses fichiers et considère qu'il s'agit d'une mise à jour donc il effectue une restauration système à partir d'un point de restauration. Si vous disposez d'un système de contrôle d'intégrité en temps réel, comme ProcessGuard, vous êtes averti de la tentative de modification critique, mais, à moins d'être un utilisateur avancé, vous ne savez pas quoi décider et vous acceptez.

• Plus tard vous détectez un mauvais comportement de votre ordinateur et effectuez une recherche de virus. Votre antivirus (ou votre anti-trojans), désormais à jour, nettoie votre système mais n'a pas accès aux fichiers des points de restauration qui sont totalement protégés par Windows tant que la fonctionnalité de points de restauration est active. Ceci est une pure mesure de prudence de la part de Windows : il n'est pas question de permettre la levée de l'ultraprotection des points de restauration et la modification des fichiers qui la constituent par une quelconque tâche externe. Éventuellement, l'antivirus peut les analyser et y détecter l'infestation mais vous dit qu'il ne peut la réparer. Il y a désormais divergence entre fichiers système et fichiers de restauration.

• Vous redémarrez votre ordinateur. Celui-ci détecte une modification entre ses fichiers courants désinfectés et ceux de son dernier point de restauration. Il pense, à tort, à une corruption des fichiers et les restaure en utilisant ceux infestés lors du dernier point de restauration.

• Tout ceci vous étonne et vous fait écrire des messages incendiaires contre tel ou tel antivirus puis lancer des appels au secours sur divers forums. En réalité l'antivirus (ou l'anti-trojans) est empêché de réparer par Windows lui-même.

De l'exemple ci-dessus on conclut que :

• Un antivirus (ou un anti-trojans) peut analyser les fichiers des points de restauration mais pas les modifier

• Un antivirus (ou un anti-trojans) ne pouvant modifier les fichiers des points de restauration il ne reste qu'une solution : la destruction pure et simple des fichiers des points de restauration. Soit les points de restauration sont propres et intouchables, soit ils sont corrompus et il n'est pas question de tenter de les réparer, ce qui ouvrirait la porte à toutes les attaques. La destruction du dernier point de restauration entraîne la destruction de tous les précédents. Il n'est pas question, dans ce cas, d'utiliser la possibilité de détruire sélectivement certains points de reprise et pas d'autres.

Conditions requises pour pouvoir activer / désactiver / réactiver les points de restauration :
Vous devez être connecté en tant qu'administrateur pour faire cette manipulation sinon l'onglet « Restauration du système » ne s'affichera pas. Si vous ne savez pas comment vous connecter en tant qu'administrateur, contactez votre administrateur réseau (si vous êtes sur un réseau) ou la personne qui a installé votre ordinateur.

Ces instructions s'appliquent si vous utilisez le « Menu Démarrer » par défaut de Windows XP, et ne s'appliquent pas si vous utilisez le « Menu Démarrer » classique.

Pour réactiver le menu par défaut, cliquez avec le bouton droit sur Démarrer Propriétés cochez « Menu Démarrer » (et non pas « Menu Démarrer » classique) Cliquez sur OK.

Restauration système
Activer / désactiver / réactiver les points de restauration
01 - sous Windows XP : Cliquez sur « Démarrer ».
Cliquez avec le bouton droit sur l'icône « Poste de travail », puis cliquez sur « Propriétés ».

Restauration système
Activer / désactiver / réactiver les points de restauration
02 - sous Windows XP : Cliquez sur l'onglet « Restauration du système ».
Sélectionnez « Désactiver la Restauration du système » ou « Désactiver la Restauration du système sur tous les lecteurs » comme le montre l'illustration suivante :

Restauration système
Activer / désactiver / réactiver les points de restauration
03 - sous Windows XP : Cliquez sur « Appliquer ». Le message suivant apparaît :

Restauration système
Activer / désactiver / réactiver les points de restauration
04 - sous Windows XP

Comme le dit le message, ceci supprimera tous les points de restauration existants. Comme dit plus haut, il n'est pas question d'autoriser un programme externe à modifier les fichiers des points de reprise, fût-ce pour les réparer. Pour faire cela, cliquez sur Oui.

Cliquez sur OK.

Effectuez ce que vous avez à faire (antivirus ou anti-trojans, etc.). Lorsque vous avez terminé, redémarrez l'ordinateur et suivez les instructions de la section suivante pour réactiver la restauration du système.

• Cliquez sur Démarrer.

• Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

• Cliquez sur l'onglet « Restauration du système ».

• Désélectionnez « Désactiver la Restauration du système » ou « Désactiver la Restauration du système sur tous les lecteurs ».

• Cliquez sur « Appliquer » puis sur « OK ».

La réactivation de la « Restauration du système » permet la reprise de la création régulière des sauvegardes de fichiers système et fichiers des programmes sélectionnés.

Avec Windows Me (Windows Millennium Edition), Microsoft a inauguré un système de protection des fichiers et paramètres système. Le principe est de pouvoir repartir d'une situation saine à une date antérieure (uniquement côté système, applications installées et paramètres système - rien à voir avec les données utilisateur). Le fonctionnement de cette protection repose sur des sauvegardes faites automatiquement à intervalles réguliers. Le tout est stocké dans un dossier crypté du nom de « _Restore ». Il se trouve à la racine du disque système - généralement c:. C'est un dossier caché qui doit être révélé en appliquant : Explorateur de Windows Outils Options des dossiers Affichage Cochez « Afficher les fichiers et dossiers cachés » Appliquer Ok.

À priori, rien ni personne n'a accès à ce dossier qui, comme de bien entendu, peut contenir une sauvegarde d'un système qui a été préalablement contaminé. Les utilitaires de sécurité, effectuant des éradications de malveillances, c'est-à-dire effectuant des modifications dans les fichiers, dont les fichiers système lorsqu'ils sont infectés, ne peuvent pas nettoyer les fichiers infectés se trouvant dans le dossier « _Restore ». Ils peuvent toutefois les lire et rapporter les erreurs qu'ils y trouvent. Un antivirus (ou un anti-trojans) peut donc produire un rapport indiquant ces infections dans « _Restore\Temp » ou « _Restore\Archive » mais signaler qu'il ne peut les réparer, même s'il sait, habituellement, réparer les fichiers compressés de type .zip ou .cab.

Il ne s'agit ni d'une erreur ni d'une faille de sécurité du système Windows Me. C'est la fonctionnalité « Restauration du système » de Windows Me (Windows Millennium Edition) qui protège tous les dossiers et fichiers situés dans le dossier « _Restore » sur la partition système de Windows Me. Cette bibliothèque est protégée pour assurer l'intégrité des données. La fonctionnalité « Restauration du système » est la seule méthode disponible pour obtenir l'accès à cette bibliothèque. La fonctionnalité « Restauration du système » n'est pas conçue pour détecter une infection par des virus ou une activité de virus. Toutefois, ces fichiers sont inactifs et ne peuvent être utilisés que par la fonctionnalité « Restauration du système ». Les malveillances qui s'y trouvent ne deviendraient actives qui si une restauration intervenait. Elles pourraient y rester jusqu'à leur disparition « naturelle » s'il n'y avait cet aspect psychologique devant la chose infectée, même inoffensive.

Contournement du problème - la fonctionnalité FIFO

S'exécute en 3 étapes :

1. Purger au maximum _Restore

2. Désinfecter au maximum le système

3. S'il subsiste quelque chose, purger intégralement les points de restauration (cette dernière étape peut être exécutée immédiatement, sans passer par les étapes 1 et 2, pour les internautes pressés et pour ceux habitués à travailler « à la hache »).

Cette méthode, FIFO ( First In First Out - Premier Entré Premier sorti), joue sur le fait que, chaque fois qu'un nouveau point de restauration est fait, et si la taille réservée à la bibliothèque _Restore est atteinte, le plus ancien point de restauration est poussé dehors (est détruit) afin de faire de la place au nouveau. La fonctionnalité FIFO démarre automatiquement dès que la taille de _Restore atteint 90% de sa taille maximale allouée et purge les fichiers les plus anciens jusqu'à ce que sa taille descende à 50% de sa taille maximale allouée.

La méthode FIFO va donc consister à réduire la taille allouée ou minimum puis à bien nettoyer le système et enfin, uniquement s'il subsiste quelque chose, à provoquer une purge totale de _Restore.

1. Etape 1 de la fonctionnalité FIFO

   Réduire la taille de l'espace alloué à la restauration : Panneau de configuration Option Système Onglet « Performances » Bouton « Système de fichiers » Onglet « Disque dur » Curseur « Espace disque... » complètement à gauche Appliquer Cliquez sur OK, puis à nouveau sur OK pour fermer les propriétés du système.
   
   Vous devrez peut-être redémarrer votre ordinateur pour que ces modifications prennent effet.

   
   

   
   Restauration système
   FIFO
   01 - sous Windows Me.
   

   
   

   Si la taille maximale allouée est de 400 mégaoctets (Mo), 90% = 360 Mo donc FIFO est déclenché dès que la taille du contenu de _Restore atteint 360 Mo.

   Lancez l'explorateur de Windows, naviguez jusqu'à _Restore et faites un clic dessus avec le bouton droit de votre souris. Choisissez « Propriétés » et lisez la taille actuelle de votre bibliothèque _Restore. Supposons qu'elle soit de 200 Mo et la taille maximale allouée de 400 Mo. Réduisez la taille maximale allouée à son minimum, soit 200 Mo. FIFO va se déclencher automatiquement et purger vos fichiers de restauration les plus anciens jusqu'à ce que les fichiers conservés ne totalisent plus que 100 Mo. Voilà déjà une première partie du nettoyage de faite.

   Nota : si la taille actuelle est inférieure à 180 Mo (soit 90% du minimum de 200 Mo) FIFO ne sera pas lancé.

2. Etape 2 de la fonctionnalité FIFO

   Exécuter tous vos utilitaires de nettoyage : antivirus, anti-trojans etc. Il se peut que plus rien ne soit trouvé : Les malveillances dans le système de points de restauration se trouvaient dans les plus anciens fichiers qui viennent d'être poussés vers la sortie (détruits). Vous avez alors terminé : inutile d'exécuter l'étape 3.

3. Etape 3 de la fonctionnalité FIFO

   S'il reste des malveillances dans l'outil de restauration de Windows Me, purger intégralement le contenu de _Restore. Il va s'agir de désactivez et réactivez la fonctionnalité Restauration du système. Cette procédure supprime intégralement tous les points de restauration. N'utilisez pas cette méthode si cette suppression totale peut provoquer des problèmes. Lors de la réactivation de la fonctionnalité Restauration du système, la fonctionnalité créera un nouveau point de restauration et recommencera à surveiller votre ordinateur:

   1. Démarrer

   2. Paramètres

   3. Panneau de configuration

   4. Double-cliquez sur Système

   5. Onglet Performances

   6. Cliquez sur « Système de fichiers »

   7. Onglet « Dépannage »

   8. Activez la case à cocher « Désactiver la restauration du système »

   9. Cliquez sur Appliquer

   10. Désactivez la case à cocher « Désactiver la restauration du système »

   11. Cliquez à nouveau sur Appliquer

   12. Cliquez sur OK.

   13. Replacez, éventuellement, le curseur sur sa position d'origine ou appropriée

   14. Fermer les fenêtres ouvertes

   15. Redémarrez l'ordinateur lorsque vous êtes invité à le faire. Lors du redémarrage de l'ordinateur, la bibliothèque de données est purgée et la fonctionnalité Restauration du système recommence à surveiller votre système.

   
   

   
   Restauration système
   FIFO
   02 - sous Windows Me.
   

   
   

Cette opération est irréversible sauf à réinstaller Windows Me. Vous devez être à l'aise avec la manipulation de la base de registre. Faites :

Démarrer Exécuter saisir la ligne suivante puis validez :
rundll.exe setupx.dll,InstallHinfSection Uninstall 132 C:\Windows\Inf\PCHealth.inf

Windows procède alors à la mise à jour de ses paramètres système - un indicateur de progression s'affiche. Une fois terminée, faites :

Démarrer Exécuter Regedit validez Localisez toutes les occurrences de la clé PCHealth et détruisez-la puis faites de même pour la clé StateMgr.exe.

Redémarrez

Supprimez le dossier « _Restore » qui n'est désormais plus protégé.

Redémarrez pour constater que « _Restore » n'est plus recréé.

Nota : Cette manipulation provoque également la désactivation de MSInfo32 (un utilitaire de Windows). Elle inhibe également l'usage d'un icône d'Aide du menu Démarrer ce qui empêche l'accès à l'aide en ligne de Windows par cet intermédiaire (elles reste accessible par la touche F1). Vous pouvez alors supprimer cet icône en faisant :
Démarrer Exécuter Regedit validez Localisez la hiérarchie HKCR (accédez au registre avec l'éditeur RegEdit - Mode d'emploi) et descendez l'arborescence suivante :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Dans le volet de droite, créez une valeur binaire NoSMHelp et attribuez-lui la valeur 01000000

Redémarrez.

Le dossier « _Restore » est protégé par défaut et empêche des programmes d'utiliser ou de manipuler les fichiers qu'il contient. Ces fichiers sont inactifs lorsqu'ils sont stockés dans la bibliothèque de données et ne peuvent être utilisés par aucun utilitaire autre que la fonctionnalité Restauration du système.