Cette suppression du virus Gendarmerie a été effectuée il y a quelques mois mais vu le nombre de victimes de ce virus, je mets en ligne la procédure de nettoyage de ce malware si extraverti. Voir ici la version vidéo de la suppression du virus gendarmerie . Un artisan maçon est tout décontenancé lorsqu’il voit -en regardant une vidéo sur Internet- apparaitre un message qui d’un coup d’un seul, occupe tout son écran et contient une phrase du genre « Ordinateur bloqué pour violation de la loi Française, vous avez été surpris en train de télécharger une vidéo protégée sur Internet, vous êtes désormais poursuivi, etc. »
Notre habitant de la ville de Brignoles me contact en essayant de prendre un ton faussement décontracté et me demande ce que je peux faire. Je le rassure en lui disant que c’est une fausse alerte légale, ce dont il se doutait (quand même..). Arrivé chez lui, je démarre son PC en mode sans échec : Problème : le mode sans échec n’aboutit pas et bloque sur un écran bleu (BSOD) : le virus a modifié le système pour empêcher ce mode si pratique aux yeux d’un spécialiste micro comme moi.
Donc je démarre le PC sur le CD bootable de Kaspersky rescue disk, initie une mise à jour de la base virale et lance un scan du disque dur contenant le système d’exploitation : Kaspersky Live CD trouve et détruit le virus ! Je retire le CD de Kaspersky et redémarre en mode normal. Autre soucis, rien ne s’affiche à l’écran, pourquoi ? Parce que le virus a remplacé le fichier explorer.exe par un fichier vérolé, et comme Kaspersky a supprimé lesdits fichiers corrompus…
Le virus a en réalité renommé l’exécutable explorer.exe original en tweak32.dll. Il me faut trouver le fichier tweak32.dll dans « C:\Windows » et le renommer en explorer.exe sous Kaspersky rescue disk. Redémarrage…tout est en place ! Les icônes, la barre des tâches, le menu Démarrer (on est sous Windows XP) tout est redevenu comme avant… Sauf qu’il faut résoudre une autre difficulté qui est la suivante : Impossibilité de lancer le PC en mode sans échec.
Je récupère un utilitaire qui restaure le bon fonctionnement de ce mode sur l’indispensable site bleepingcomputer.com, utilitaire qui répond au nom de SafeBoot Key Repair et le lance sous Windows XP en mode administrateur. Énième redémarrage, test du mode sans échec (bouton F8 au démarrage) c’est bon ! Le mode sans échec, indispensable pour dépanner certains problèmes (pilotes détériorés ou pas adaptés au système courant, nettoyage de fichier vérolés) est à nouveau fonctionnel.
Puis je règle les options Internet modifiées par le malware Gendarmerie pour une connexion directe vers le Web sans passer par un proxy et détruis les dernières traces du virus avec Malwarebytes.
J’en profite pour sensibiliser mon hôte sur la nécessité de garder à la fois Windows XP Et les programmes à jour : ces mises à jour, bien ennuyantes à lancer, suppriment des failles de sécurité utilisées par les virus pour véroler les ordinateurs.
