zorik-informatique-telephone
mercredi, 20 juin 2012 09:59

Supprimer le virus Gendarmerie Nationale

Vous surfiez tranquillement sur internet, quand soudain est apparu un message semblant provenir de la gendarmerie nationale, vous accusant d'avoir visité des sites pornographiques (ou pire : pédophiles) illégaux. Il n'est pas difficile ensuite de s'imaginer les confusions qui en ont découlé : combien d'époux ou d'adolescents ont ainsi été injustement accusés d'avoir une libido débordante, alors qu'ils n'y étaient pour rien ?

Si la petite histoire peut faire sourire, il n'en reste pas moins que ce virus très agressif a fait de nombreux ravages, notamment en immobilisant l'ordinateur qu'il infectait. Et continue encore malheureusement de sévir... car il a fait des émules, et se décline maintenant en plusieurs versions, toutes aussi efficaces quand il s'agit de rendre inopérant votre pc.

Le virus "Gendarmerie Nationale" : un virus particulièrement vicieux

A peine le bureau affiché, l'illusion est parfaite, d'autant que le logo semble bel et bien émaner de l'administration en question. Et qui plus est, il fait vibrer la corde sensible, en remettant en cause votre honnêteté, puisque "votre ordinateur a été bloqué pour violation de la loi française". Les sueurs froides commencent à perler, d'autant que vous êtes repéré : le message indique votre adresse IP. Mais comment cela est-il possible ? Et la fine arnaque de se poursuivre, en proposant ensuite la solution miracle : payer une amende de 100, voire 200€, pour retrouver l'usage de son ordinateur. Le mode de règlement met d'ailleurs la puce à l'oreille : par tickets ou cartes prépayées. Car dans les faits, la gendarmerie n'est absolument pas en cause, et pas davantage vos pratiques sur le net (bien que ce virus a une prédilection pour sa diffusion : les sites de streaming ainsi que ceux pour adultes). Heureusement, ce virus n'est pas trop délicat à supprimer (bien que dans certains cas, il soit tentant de s'arracher les cheveux).

Comment se débarrasser de la première version ?

La première solution consiste à effectuer un point de restauration antérieur à votre mésaventure. Pour ce faire, il suffit de redémarrer votre ordinateur en mode sans échec (disponible en tapotant sur F8 juste après le démarrage, et juste avant l'affichage Windows). Ouvrez ensuite l'explorateur, en indiquant "c:\Windows\System32", puis en double-cliquant sur "rstrui/rstrui.exe" : apparaît alors la fenêtre de restauration. Le reste n'est plus qu'une formalité : il faut sélectionner un point de restauration antérieur à cet événement fâcheux, cliquer sur "suivant", puis attendre la restauration. Une fois le redémarrage effectué, et un message vous indiquant que l'opération s'est bien déroulée, lancez éventuellement une analyse, en mode normal, du disque dur, avec Malwarebytes.


Si aucun point de restauration n'est disponible, mais que le virus est inactif en mode sans échec, effectuez un redémarrage avec ce mode, puis téléchargez l'anti-malware Malwarebytes et installez-le, en prenant soin de le mettre à jour. Pour finir, procédez à une analyse complète (qui peut s'éterniser), puis terminez en cliquant sur "supprimer la sélection".
Dans les deux cas, il est important de purger les points de restauration : pour XP en cliquant droit sur "poste de travail", puis ensuite sur "propriétés/restauration du système", et pour Windows7 sur "ordinateur" et "protection du système", en sélectionnant "disque C:\" puis terminer par "configurer".

Un virus aux multiples versions, pour mieux tromper le consommateur

Plusieurs versions ont vu le jour depuis l'apparition de "Gendarmerie Nationale" vers la mi- décembre 2011.
Les messages fluctuent en "activité illicite démêlée" ou en "activité illégale révélée", etc... la police nationale (ou l'office central de lutte) pouvant aussi remplacer la gendarmerie nationale. Contrairement à la "version-mère" qui créait dans la base de registre une clé Run, la seconde version modifie la clé Shell (le bureau est remplacé par le malware) : il faut donc changer cette clé pour récupérer le mode normal, en renommant explorer.exe.
Pour ce faire, passez en mode sans échec, puis inscrivez dans la fenêtre cmd.exe "copyc:\windows\twexx32.dllc:\windows\explorer.exe". Acceptez de remplacer le fichier, puis saisissez "exit" pour effectuer un redémarrage. Par ailleurs, cette version récupère les identifiants web : nous ne pouvons donc que vous conseiller d'en changer.
La troisième version, délicate à contrer sans un professionnel (ou un amateur averti), vérole quant à elle le fichier explorer.exe.

Quelques conseils de précaution

Ce genre de virus n'infecte que les ordinateurs considérés comme vulnérables : il faut donc maintenir vos logiciels (Adobe Reader, Java, Flash...) dans des conditions optimales, et donc installer au fur et à mesure les mises à jour sans les remettre à plus tard ! Et se poser des questions sur son antivirus : est-il suffisamment efficace ?

Enfin, si vos turpitudes informatiques ne sont pas résolues, les professionnels de la société ZORIK INFORMATIQUE seront ravis d'éradiquer le virus Gendarmerie Nationale, en effectuant à votre domicile ou sur votre lieu de travail un dépannage informatiqueMarseille, Allauch, Aubagne, Gardanne, Vitrolles, Aix-en-Provence, Martigues ou La Ciotat... Et de vous épargner ainsi de nombreuses heures de désespoir.

Lu 17433 fois Dernière modification le lundi, 15 octobre 2012 02:50

Media

Laissez un commentaire

Assurez-vous d'indiquer les informations obligatoires (*).
Le code HTML n'est pas autorisé.