Accueil / Mes interventions / Un virus nommé gendarmerie…

Un virus nommé gendarmerie…

virus-gendarmerie-suppressionCette suppression du virus Gendarmerie a été effectuée il y a quelques mois mais vu le nombre de victimes de ce virus, je mets en ligne la procédure de nettoyage de ce malware si extraverti. Voir ici la version vidéo de la suppression du virus gendarmerie

Un artisan maçon est tout décontenancé lorsqu’il voit -en regardant une vidéo sur Internet- apparaitre un message qui d’un coup d’un seul, occupe tout son écran et contient une phrase du genre « Ordinateur bloqué pour violation de la loi Française, vous avez été surpris en train de télécharger une vidéo protégée sur Internet, vous êtes désormais poursuivi, etc. »

 

 

 

Il faudrait que les créateurs de ce virus fasse, en parallèle, une capture photo depuis la Webcam des victimes et les mettent en ligne, ce serait franchement marrant !
En tout cas, notre habitant de la ville de Brignoles me contacte en essayant de prendre un ton faussement décontracté et me demande ce que je peux faire. Je le rassure en lui disant que c’est une fausse alerte légale, ce dont il se doutait (quand même..).
Arrivé chez lui, je démarre son PC en mode sans échec : Problème : le mode sans échec n’aboutit pas et bloque sur un écran bleu (BSOD) : le virus a modifié le système pour empêcher ce mode si pratique aux yeux d’un spécialiste micro comme moi.

Donc je démarre le PC sur le CD bootable de Kaspersky rescue disk, initie une mise à jour de la base virale et lance un scan du disque dur contenant le système d’exploitation : Kaspersky Live CD trouve et détruit le virus ! Je retire le CD de Kaspersky et redémarre en mode normal. Autre soucis, rien ne s’affiche à l’écran, pourquoi ? Parce  que le virus a remplacé le fichier explorer.exe par un fichier vérolé, et comme Kaspersky a supprimé lesdits fichiers corrompus…

Il me faut trouver le fichier tweak32.dll dans "C:\Windows" et le renommer en explorer.exe sous Kaspersky rescue disk. Redémarrage…tout est en place ! Les icônes, la barre des tâches, le menu Démarrer (on est sous Windows XP) tout est redevenu comme avant… Sauf qu’il faut résoudre une autre difficulté qui est la suivante : Impossibilité de lancer le PC en mode sans échec.

Je récupère un utilitaire qui restaure le bon fonctionnement de ce mode sur l’indispensable site bleepingcomputer.com, utilitaire qui répond au nom de SafeBoot Key Repair et le lance sous Windows XP en mode administrateur.
Énième redémarrage, test du mode sans échec (bouton F8 au démarrage) c’est bon ! Le mode sans échec, indispensable pour dépanner certains problème de Windows (pilotes détériorés ou pas adaptés au système courant, nettoyage de fichier vérolés) est à nouveau disponible.

Puis je règle les options Internet modifiées par le malware Gendarmerie pour une connexion directe vers le Web sans passer par un proxy et détruis les dernières traces du virus avec le logiciel éradicateur Malwarebytes.

Coup de l’opération : 60€. J’en profite pour sensibiliser mon  hôte sur la nécessité de garder à la fois Windows XP Et les programmes à jour : ces mises à jour, bien qu’ennuyantes à lancer, suppriment des failles de sécurité utilisées par les virus pour véroler les ordinateurs.

Il me faut dans la foulée, lancer ces mises à jour pour protéger l’artisan d’une nouvelle attaque, avec l'aide de l'utilitaire bien pratique FileHipo.com update checker.