Votre nom :
Votre email :
Email du destinataire :

Virus du faux message de la gendarmerie : la solution !

Le virus qui affiche un faux message de gendarmerie et qui demande le paiement d’une amende a fait des ravages en France : il rend l’ordinateur inutilisable et est très difficile à éradiquer. Voici la solution pour s’en débarrasser !

En décembre dernier, Panoptinet avertissait déjà les internautes de ce malware particulièrement énervant : Faux gendarmes et fausses amendes sur le web. Il semble que l’infection se soit rapidement répandu en France (notamment via les sites de streaming), puisqu’il s’agit de l’actualité Panoptinet la plus consultée du site ! Les solutions proposées alors ne permettaient pas de régler tous les cas, en fonction du système touché, et des différentes variantes du malware.

Suite aux nombreux commentaires exprimant l’impuissance des internautes face à ce mal, l’internaute Skasbak a transmis à Panoptinet la solution qui lui a permis de supprimer le virus. Avant de vous jeter à corps perdu dans la procédure de récupération, sachez tout de même qu’il s’agit de manipulations assez techniques pour le commun des utilisateurs. Elles sont néanmoins l’unique espoir de se débarrasser de l’infection, à moins de préférer une réinstallation en bonne et due forme de Windows. Dans tous les cas, Panoptinet ne saurait être tenu responsable des éventuelles bévues commises sur votre ordinateur !

Vous êtes prêts à mettre les mains dans le cambouis ? Alors accrochez votre cigarette et éteignez votre ceinture, voici la solution de Skasbak !

 

Salut amis panoptitiens,

Vous êtes bloqués ? Avec une page web en plein écran ? Aucun raccourci clavier ne fonctionne ? Ctrl+Alt+Supr, Alt+Tab, Ctrl+Shift+Esc ? Et si ! Alt+F4 : Super, on a fermé la page mais rien gagné. :-( Félicitations, vous avez le virus Police Nationale !

Mais tranquillité, c’est comme les flics, ils ne vous veulent aucun mal, ils sont juste là pour racketter : 100€ à payer pour la libération, c’est pour cela qu’on appelle ce genre de malware des Ransomwares.

1. Pas de panique

Le virus n’efface pas les fichiers. Vous pouvez tout de même déconnecter le réseau… On ne sait jamais.

2. On ne peut rien faire? Si, redémarrer…

  • 5 secondes sur le bouton Power de l’ordinateur
  • Méthode bourrin : on arrache le câble d’alimentation

Rallumer

3. On va au menu « Mode sans échec »

C’est simple : au démarrage de l’ordi, appuyer 1 fois par seconde sur F8 jusqu’à ce que le menu apparaisse. ça ne marche pas ?

  • Le logo de Windows apparaît, c’est raté, il faut recommencer.
  • Méthode bourrin : attendre que le logo de Windows apparaisse, éteindre l’ordi brusquement (méthode ci-dessus). Au redémarrage, le menu apparaît obligatoirement, pratique !

4. Comment on fait pour travailler ?

Maintenant il faut réussir à prendre la main sur Windows. Essayez ces différentes techniques dans l’ordre, il y en aura bien une qui marchera :

A- On démarre en « Mode sans échec » : si tout va bien, on a un Windows en moche et limité, sans virus.

B- On démarre en « Mode sans échec avec prise en charge réseau » : si tout va bien, on a un Windows en moche et limité, sans virus.

C- On démarre en « invites de commandes en mode sans échec » : c’est quand même moins pratique… mais nettement plus efficace !

Pour lancer l’invite de commande à partir du mode graphique (démarrage normal) : « Windows+R » , ou « Gestionnaire des taches » puis Fichier > Exécuter : taper « cmd ».

5. Remplir sa caisse à outils

Trouver un autre ordinateur, et télécharger les fichiers suivants:

  • http://www.malekal.com/download/explorer_XP_SP3.exe
  • http://www.malekal.com/download/explorer_XP_SP2.exe
  • http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
  • http://www.malwarebytes.org/mbam-download.php

Copier tout ça sur une clef USB ou graver sur un CD.

6. Commencer la désinfection

Qu’est-ce qu’il faut faire ? Tenter toutes ces étapes, les unes puis les autres, redémarrer à volonté, on finira bien par s’en sortir !

A un moment quand tout est au vert, le démarrage normal fonctionne à nouveau ! Courage !

7. Tenter tout d’abord le 1er outil automatique : Rogue Killer

Insérer la clef USB et lancer le fichier : RogueKiller.exe. En mode graphique, c’est facile quand la clef apparaît, sinon tenter en mode commande (cf. point 4) :

A- Trouver la lettre de votre clef USB (C:, D:, E: ?) à tâtons: « dir c: », « dir d: », « dir e: » …

B- Passer sur la lettre : ex: « E: », puis « dir «  : ok !

C- Executer RogueKiller.exe : « RogueKiller.exe »

Après un premier PreScan, cliquer sur « Scan », puis sur « Suppression ». Alors? c’est grave ? Bon signe, il y a eu du nettoyage de fait !

Félicitations à ces mecs, chapeau.

8. 2ème outil : Malware Byte

Insérer la clef USB et installer le logiciel : « Malware Byte Anti-Malware ». Exécuter le logiciel installé, lancer un « Exécuter un examen rapide » et appliquer les corrections.

9. Si le virus a modifié explorer.exe (l’une des variantes du virus)

Lancer l’éditeur de registre: « regedit » (cf. point 4)

Déroulez l’arborescence suivante en cliquant sur les + :

HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon

A droite, chercher Shell, vous devez avoir explorer.exe : remplacer par iexplore.exe

Redémarrer l’ordinateur : « shutdown /r »

Insérer la clef USB et copier le fichier explorer_XP_SP2/3.exe qui correspond à votre système dans c:windowsexplorer.exe.

En mode graphique, c’est facile quand ça apparaît, sinon tenter en mode commande :

A- Trouver la lettre de votre clef USB (C:, D:, E:?) à tatons: « dir c: », « dir d: », « dir e: »

B- Passer sur la lettre: ex: « E: » ,  » dir «  : ok !

C- Copier le fichier : « copy explorer_XP_SP3.exe c:windowsexplorer.exe »

Redémarrer l’ordinateur: « shutdown /r »

Maintenant qu’on a un fichier explorer.exe tout propre, retournez sur regedit, allez sur :

HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon

Ouvrir le clef ‘Shell’, et là où il devrait y avoir ‘iexplore.exe’ mettez ‘explorer.exe’ (c’est la bonne valeur à garder).

Redémarrer l’ordinateur pour tenter : « shutdown /r »

10. Est-ce que ça va mieux ?

Redémarrez l’ordinateur, vous devriez avoir accès à votre système. Est-ce que c’est bon ?

  • Non : pas de bol, réitérer les procédures, ou s’orienter vers une solution sérieuse : un vrai antivirus, un vrai informaticien, réinstaller Windows ou installer Linux !
  • Oui : très bien ! Mais c’est pas fini…

11. Qu’est-ce qu’il reste à faire ?

Scanner l’ordi à la recherche de virus ou autres malfaiteurs :

  • Rogue Killer
  • MalwareBytes: Examen Complet
  • Antivirus (ex : Bitdefender, Avast) : examen complet

Mettre à jour vos logiciels :

  • Windows Update
  • Firefox
  • Java
  • Adobe Flash Player (surtout celui-la !!)
  • Adobe Acrobat Reader (surtout celui-la !!)

Trop compliqué de suivre les mises à jour ? Faites confiance à un professionnel (surtout que celui-là est gratuit !) :

12. Epilogue

Si tout s’est bien passé, vous avez mérité votre bière (ou toute autre récompense de votre choix) ! C’est dans ces moments là qu’on se dit qu’avoir négligé la sécurité de son système peut coûter beaucoup plus de temps qu’on ne le croit !

Des liens qui méritent vraiment le détour :

  • http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
  • http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei

 

Merci qui ? Merci Skasbak !

TAGS informatiquelogiciel utilitairemalwaremise à jourpédagogiesécuritéWindows

76 commentaires

Répondre à macinisas Annuler la réponse.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«Quelle est la couleur du cheval blanc d'Henri IV  ?»

Dans le texte ci dessus, indice  : bien cachée, certes, mais la réponse est dans la question

Votre réponse :

Gazou
24/08/2013 07:07

Bonjour Moi aussi je suis tombé sur ce virus. J'ai redémarré mon ordinateur et le massage a disparu. pas de nouvelle ni rien. Pourquoi il n'est pas revenu ? (Enfin tant mieux car sur le coup j'ai eu peur ^^)

matrom
25/08/2013 16:09

J'ai recu le même message hier mais ayant vu l'url du site je me suis méfier. Pourtant sur les autres onglet je pouvait encore effectuer mes recherches. Je n'est fait que fermer ma session puis la réouvrir.

nikos_974
06/10/2013 00:08

merci pour RogueKiller…ca m'a sauvé la vie ! (j'ai falli perdre mon job ! )

Félix
09/11/2013 19:58

Bonjour veuillez d'abord m'excuser pour les fautes d'orthographes que je vais faire

mais bon j'éprouve le même problème que vous tous et je me demandais si la technique dit par "mousse" envoyer le 8 mars 2012 est vraiment efficace ? Si je suprime ma session infecté ( car j'ai actuellement deux autres session de disponible)est ce que le virus risque d'aller sur une de ces sessions ? merci d'avance

12/11/2013 09:34

Je ne peux hélas confirmer ce que je n'ai pas pu tester… Si vous tentez la manip, merci de partager votre expérience ici !

macinisas
15/12/2013 12:08

nn n'est pas peur sur d'otre session il ne marche pas ca fonction normalement et meme ci tu veus etre des chifre par hasard dans le code de virus et il diparer jusqu'au nouveu demarage de pc tu peux le metre en veille rolonger et il ne reviendra jamais

stef
12/11/2013 10:53

Une autre solution est d'utiliser Linux

J'ai bien eu le message affiché sur mon navigateur, j'ai alors redemarré l'ordinateur et le probleme a disparu, le probleme au redemarrage s'executant en environnement windows

Félix
18/11/2013 01:39

Voila ce qui m'est arrivé, j'ai utilisé Roguekiller sur une autre session intacte et je suis retourner sur la session infecté puis plus rien. le virus n'est plus la. Cependant ont ma dit qu'esseyer de suprimer un virus sur une autre session ne fonctionne jamais. Alors qu'est il arrivé? suis je sauvé de ce virus ?

Cadderly58
20/12/2013 08:54

Bonjour,

Une nouvelle version que je rencontre depuis hier matin, problème même avec un fichier explorer.exe tout neuf impossible de le shooter.

J'entends par là : 

supprimer l'ancien explorer.exe

redemarrer le pc (sans bureau)

expand d'un explorer depuis le cd de windows

lancement de la nouvelle tache explorer.exe

hé bien il est de retour. je pense à une dll ouverte par le fichier explorer au moment ou il s'execute !

 

nevar
23/12/2013 22:13

On peut utiliser le mode sans echec avec prise en charge reseau afin de dl les logiciels de cette manip(la seule que j ai trouver). Attention il est tres tenace

Jultos
24/01/2014 23:30

Bonjour à tous, j'ai eu cette fameuse page de la police ( virus ). J'ai tout de suite fait fin de tàche de firefox puis j'ai relancer firefox et elle est réapparue et donc dans la foulé j'ai redémarré immédiatement mon pc. il a redémarré normalement et je n'ai plus eu cette page et j'ai accès à tout ( je crois ). Je me demande si j'ai pu éviter ce virus ou si il est toujours là quelque part, je suis inquiet, qu'en pensé vous? Que ferez vous ? Svp merci