wordpress com stats

Comment supprimer le virus "Gendarmerie Nationale" et le message "Votre ordinateur a été bloqué pour violation de la loi française" ?


Voila un virus qui pourrait bien donner des sueurs froides aux adeptes des sites "roses" et autres plateformes de téléchargement illicite ... mais pas seulement !
Le logiciel malicieux "Gendarmerie Nationale", connu également sous le nom de "virus Ukash" ou "virus Hadopi", vous fait croire que "votre ordinateur a été bloqué pour violation de la loi française" et vous somme de payer une amende pour retrouver le plein usage de votre PC.
Dans les faits, la Gendarmerie nationale n'a rien a voir avec ça, pas plus que vos pratiques de surf. Enfin presque, car ce virus se diffuse préférentiellement via les sites de streaming.
Par chance, certaines versions de ce trojan ne sont pas trop compliquées à éradiquer comme je vous l'explique dans la suite de cette note.


Symptômes :

Au démarrage de votre ordinateur, à peine le bureau est-il apparu, que votre écran affiche un message annonçant que "Votre ordinateur a été bloqué pour violation de la loi française". Pour montrer que vous êtes bien repérés et que vous ne pourrez pas échapper à l'amende qui vous est demandée, votre adresse IP est indiquée à la fin du texte. dans certains cas, l'écran affiche même une photo de vous, prise avec votre webcam !
Notez que certaines versions du virus affichent un message différent.


Cause :

Votre PC est infecté par le désormais célèbre virus "Gendarmerie Nationale" que vous avez probablement attrapé en visionnant un feuilleton américain en streaming, ou bien en visitant un site réservé aux messieurs ;-)


Solution :

Note : ceci est une version mise à jour de ma note initiale, tenant compte de vos commentaires, ainsi que des différents autres cas que j'ai pu rencontrés.


Si vous êtes sous Windows Vista ou Windows 7 :

  • Redémarrez votre ordinateur et tapotez sur la touche F8 dès que le PC redémarre.
  • Lorsque le menu sur fond noir apparaît, choisissez "Réparer l'ordinateur".
  • Dans la nouvelle fenêtre, sélectionnez "Restaurer le système".
  • La fenêtre de Restauration Système s'ouvre.
  • Choisissez un point de restauration antérieur à la date d'apparition du virus Gendarmerie Nationale. Au besoin, cochez la case "Afficher d'autres points de restauration".
  • Cliquez sur suivant et attendez que la restauration s’opère.
  • Votre ordinateur va redémarrer, puis vous indiquer que la restauration du système s'est correctement déroulée. Le virus Gendarmerie Nationale n'est désormais plus présent !
  • Pour parfaire la désinfection, lancez une analyse du disque dur à l'aide de Malwarebyte's. (voir ici comment installer et utiliser Malwarebyte's, mais effectuez l'analyse en mode normal et pas en mode sans échec).
  • Terminez en purgeant les points de restauration comme indiqué dans la même note.

Si vous ne parvenez pas à obtenir le menu "Réparer l'ordinateur" en appuyant sur la touche F8 mais que vous avez le DVD d'installation de Vista ou de Seven, vous pouvez alors lancer le programme d'installation de Windows pour accéder à cette option.

Une autre possibilité pour accéder au menu de restauration que j'ai testée avec succès sur un PC sous Vista (et qui doit également convenir à Seven) ; ouvrir Windows sur un autre compte que celui qui est infecté. Evidemment, ceci n'est possible que si un second compte existe, ou si le compte Administrateur a été activé.
Ensuite, suivre les étapes suivantes :

  • Faites un clic-droit sur l'icône "Ordinateur", puis affichez les "Propriétés".
  • Dans la colonne de gauche de la fenêtre qui s'ouvre, cliquez sur "Protection du système". Une nouvelle fenêtre s'affiche".
  • Cliquez sur le bouton "Restauration du système".
  • La fenêtre de Restauration Système s'ouvre.
  • Reprenez alors la procédure comme indiqué pour la méthode dite de la "Réparation".


Si vous êtes sous Windows XP :

  • Redémarrez votre ordinateur en mode sans échec. (tapotez sur la touche F5 ou F8 tout au démarrage du PC).
  • Ouvrez l'explorateur et suivez le chemin suivant : C:\Windows\System32\Restore puis double-cliquez sur rstrui (rstrui.exe si les extensions de fichiers connus sont affichées).
  • La fenêtre de Restauration Système s'ouvre.
  • Reprenez alors la procédure comme indiqué pour Vista ou 7.


S'il n'y a aucun point de restauration antérieur à la date d'apparition du virus Gendarmerie Nationale, mais que le pouriciel n'est pas actif en mode sans échec, vous pouvez essayer cette méthode que j'ai testée avec succès :

  • Redémarrez votre ordinateur en mode sans échec "avec prise en charge réseau". (tapotez sur la touche F5 ou F8 tout au démarrage du PC).
  • Téléchargez (enregistrez le programme d'installation sur le bureau) Malwarebytes' Anti-Malware.
  • Installez Malwarebytes' Anti-Malware et effectuez la mise à jour. Si le programme vous propose de tester la version Pro, répondez par la négative.
  • Une fois la mise à jour effectuée (relancez une recherche pour être sûr qu'il n'y a plus de mise à jour disponible), lancez un examen "Complet". L'analyse peut durer de quelques dizaines de minutes à plusieurs heures en fonction du volume d'informations présentes sur votre (vos) disque(s) dur(s).
  • Lorsque l'examen est terminé, cliquez sur "Supprimer la sélection" pour que Malwarebytes' nettoie les infections détectées et vérifiez sur le rapport qu'elles ont bien toutes été supprimées.
  • Redémarrez votre ordinateur. La désinfection est presque terminée.
  • Pour terminer le nettoyage, purgez les points de restauration comme indiqué (voir ici).
  • Cette fois, vous devriez être débarrassé du virus.


Si enfin le virus est également présent en mode sans échec, testez cette méthode (valable pour toutes les versions de Windows) que j'ai également appliquée avec succès très récemment :

  • Redémarrez votre ordinateur en mode "Invite de commande en mode sans échec". (tapotez sur la touche F5 ou F8 tout au démarrage du PC).
  • Si l'écran affiche "C:\Windows\System32>", sautez les 2 étapes suivantes.
  • A la suite de "C:\Users\nom_utilisateur>", ("C:\Documents and settings\nom_utilisateur>" si vous êtes sous Windows XP), entrez la commande : cd %windir% et validez.
  • A la suite de "C:\Windows>", entrez la commande : cd system32 et validez.
  • A la suite de "C:\Windows\System32>", et uniquement si vous êtes sous Windows XP, entrez la commande : cd restore et validez.
  • A la suite de "C:\Windows\System32>", ("C:\Windows\System32\Restore>" si vous êtes sous Windows XP), entrez la commande (attention, sans "cd") : rstrui.exe et validez.
  • La fenêtre de "Restauration du système" va s'ouvrir.
  • Reprenez alors la procédure comme indiqué plus haut.
  • Vous devriez être enfin débarrassé du virus.

maj du 27/05/2014 : Si aucune de ces méthodes ne fonctionne, allez lire mon commentaire de ce jour 27/05, j'y présente une autre méthode qui sera intégrée à la note si elle s'avère efficace. Merci de vos retours :-)

Je compte sur vous pour prendre quelques minutes afin de répondre au petit sondage qui permettra de valider que ces différentes solutions sont bien efficaces dans tous les cas.
Dans le cas contraire, n'hésitez pas à laisser un commentaire pour indiquer "où ça bloque", et je vous aiderai à vous en sortir. Objectif, vous répondre dans la journée.


Vous avez un compte Gmail ? Recommandez cette page si elle vous a été utile !

Commentaires

  1. Le 17/03/2014 à 13:54, Nicolas a écrit :
    .

    Bonjour Stéphane,

    Le second disque est bon puisuqe je vous écris à partir de lui. Je fais ma recherche sur google pour les fichiers cachés et fichiers protégés et je vous tiens au courant de l'évolution.

    Merci encore.

  2. Le 17/03/2014 à 22:30, Nicolas a écrit :
    .

    Bonsoir Stéphane,

    En fait tout était déjà décoché pour pouvoir voir les "fichiers cachés" ainsi que les "fichiers protégés du système d'exploitation".

    Mais cela est fait sur le disque sain. Sur le disque virussé (V), je ne sais pas si je peux le faire. Ni où.

    Donc je n'ai pas avancé. Je suis bloqué au même point Ne pas pouvoir explorer " C:\System Volume Information\_restore"

    Avez-vous une idée ?

    Je suis par ailleurs étonné de ne pas trouver l'image qui s'affiche "gendarmerie française". Par le passé, j'arrivais à la trouver et à trouver par "propriété" l'.exe qui l'affichait. Il suffisait de supprimer cet .exe et de faire une restauration et tout repartait très bien.

    A bientôt,

    Nicolas

  3. Le 17/03/2014 à 23:02, Nicolas a écrit :
    .

    Est-ce que ces fichiers avec ces extensions sont sains :

    sur le disque virussé au jour de 02 03 2014 j'an ai 17 avec une extension .jp

    quelques exemples :

    TASKMGR.EXE-20256C55.pf
    JAVA.EXE-0C263507.pf
    REGSVR32.EXE-25EEFE2F.pf

    Est-ce normal ?

    Bien à vous

  4. Le 17/03/2014 à 23:38, Stéphane a écrit :
    .

    Nicolas
    Attention. Ce n'est pas dans "C://System Volume.... Qu'il faut chercher _Restore, mais dans X://System Volume... Où X est la lettre affectée à la partition système du disque infecté (le disque en USB).
    C:// est la lettre du nouveau disque dur, et là,il est normal que vous ne puissiez pas afficher le contenu de System Volume Information.
    Pour votre 2de question, je ne sais pas.
    Avez-vous essayé d'installer Malwarebyte et d'analyser le disque en USB, le disque infecté donc ?

  5. Le 18/03/2014 à 12:13, Nicolas a écrit :
    .

    Bonjour Stéphane,

    Le disque dur infecté apparaît avec le nom de E. Le disque qui gère actuellement mon ordi est bien nommé C. Et c'est bien E://System Volume.... qui ne m'est pas accessible.

    Avez-vous une autre idée ?

    Bien cordialement,

  6. Le 18/03/2014 à 14:22, Stéphane a écrit :
    .

    Nicolas
    Effectivement, vous ne pouvez pas accéder à ce répertoire.
    Il faut pour cela accorder des droits à l'utilisateur.
    Pour cela, faites un clic-droit sur "System Volume Information", puis cliquez (gauche) sur "Propriétés".
    Dans la fenêtre qui s'ouvre, activez l'onglet "Sécurité", puis cliquez sur "Continuer".
    Dans la liste des "Noms de groupes ou d'utilisateurs", il ne doit probablement n'y avoir que "Système".
    Cliquez alors sur "Modifier", puis dans la nouvelle fenêtre sur "Ajouter". Dans la zone sous "Entrez les noms des objets à sélectionner", entrez le nom de l'utilisateur de la présente session Windows, ou alors "Tout le monde" qui doit également fonctionner. Cliquez sur "Vérifier les noms". Si le nom est correctement entré, il va se souligner.
    Validez par OK. Accordez enfin le "Contrôle total" à cet utilisateur.
    Là, vous devriez pouvoir accéder à "System Volume Information". Il sera nécessaire de refaire la même opération avec le dossier "_restore...". Pour les autres répertoires, fermer la fenêtre d'information devrait suffire à ouvrir le dossier.
    Une fois les différentes opérations effectuées, (et quand vous aurez vérifié que votre PC est "guéri", refaites l'opération "à l'envers", c'est à dire, supprimez l'utilisateur ou "Tout le monde" de la liste.

  7. Le 20/03/2014 à 16:40, Nicolas a écrit :
    .

    Bonjour Stéphane,

    Dans "Propriétés" je n'ai pas d'onglet "sécurité". Seulement les onglets Général / Partage / Personnaliser.

    Je suis sur XP 2.

    Mon "System Volume Information" pèse 0 octets ainsi que le contenu : 0 octets.

    A-t-il été modifié par le virus ?

    Il y a-t-il une autre possibilité d'y accéder ?

    Bien à vous,

    Nicolas

  8. Le 21/03/2014 à 09:42, Stéphane a écrit :
    .

    Bonjour Nicolas
    L'indication de la taille est "normale". J'ai la même indication, bien que le répertoire ne soit pas vide.
    Je suppose que vous êtes sous XP Home et que le le disque est formaté en NTFS. C'est ça ?
    Dans ce cas, reportez-vous à cette aide de Microsoft (au paragraphe "Utilisation de CACLS avec Windows XP Édition familiale et le système de fichiers NTFS") à cette adresse : http://support.microsoft.com/kb/309531/fr
    Une précision, si la lettre de la partition infectée est X, alors il vous faudra tout d'abord entrer "X:" (sans les "") pour vous trouver à la racine "de la partition dont vous voulez accéder au dossier System Volume Information". (vous allez retrouver ce texte dans l'aide Microsoft). Dans la ligne de commande que vous devrez ensuite entrer, il faudra remplacer "lettre_lecteur" par la lettre de la partition infectée (X dans mon exemple).
    Ensuite, vous devriez pouvoir accéder au contenu de System Volume Information et suivre la suite de la procédure.
    On va finir par y arriver :-)

  9. Le 21/03/2014 à 13:16, Nicolas a écrit :
    .


    Bonjour stéphane,

    je ne suis pas en XP Home mais XP pro pack 2.
    Il est en NTFS (je viens de vérifier).
    La démarche reste-t-elle la même ?

    Bien cordialement,

    Nicolas

  10. Le 21/03/2014 à 14:22, Stéphane a écrit :
    .

    Nicolas
    Lorsque vous écrivez que vous êtes sous XP Pro, est-ce le PC sain, ou bien le PC infecté ?
    Et le format NTFS est-il celui du disque C (actuel, celui du disque sur lequel vous avez réinstallé XP), ou bien le format du disque infecté, monté en USB ?

  11. Le 22/03/2014 à 00:50, Nicolas a écrit :
    .

    Les deux disques sont formatés NFTS et les deux sont XP pro 2 mais de deux XP différents. L'un rvint d'un disu format avec un autre pc. Et celui virussé était l'XP vendu avec le pc.

    Je n'ai qu'un pc (une tour. Et j'ai ôté le disque visruusé (xp pro 2 NFTS) pour le mettre en USB. J'ai réinstallé dans la tour un disque neuf formaté NFTS et installé XP pro 2.

    C'est clair :-))

    Je dois avoir attrapé un virus bien sévère.

    Cordialement,

    Nicolas

  12. Le 22/03/2014 à 12:48, Stéphane a écrit :
    .

    Bonjour Nicolas
    Il y a quelque chose qui m'échappe car vous devriez pouvoir accéder à la propriété "Sécurité" de System Volume Information.
    Je vous propose de partir sur une autre méthode. Pouvez-vous installer Malwarebyte's et exécuter un examen complet du disque infecté ? Attention, décochez la case proposant d'activer la version d'essai Pro lors de l'installation.

  13. Le 26/03/2014 à 17:39, dom a écrit :
    .

    Mon soucis est qu'après avoir appuye sur F8, tous les modes choisis sont inefficaces et me renvoient sur mon bureau avec la pages du virus.

  14. Le 27/03/2014 à 08:52, Stéphane a écrit :
    .

    Bonjour Dom
    Quel est votre système d'exploitation (XP, Vista, 7, 8) ?
    Quels sont les menus que vous avez testés ?

  15. Le 02/04/2014 à 21:22, Nicolas a écrit :
    .

    Bonjour Stéphane,

    Me voici de retour.
    Demain je procède à votre conseil du message du 22 03.

    Sino, bientôt c'est la fin du support de XP. Conseillez-vous quelque chose par rapport à cela ?
    Télécharger certains additif ou des compléments pour avoir une copie ?
    Est-ce que Windows supprimera la page des supports en cours XP ?

    Bien cordialement,

    Nicolas

  16. Le 03/04/2014 à 18:22, Nicolas a écrit :
    .

    Bonsoir Stéphanr,

    J'ai bien téléchargé et installé malwarebytes trial avec mise à jour.
    En français. Mais je n'arrive pas à trouver où est l'onglet pour lui faire faire le scan du disque virussé. Et à partir du poste de travail, je ne trouve rien non plus pour lancer malwarebytes sur un disque spécifique.

    Avez-vous une idée de ma manoeuvre à effectuer ?

    Avec mes remerciements,

  17. Le 04/04/2014 à 09:23, Stéphane a écrit :
    .

    Bonjour Nicolas

    Concernant l'arrêt du support Windows de XP, mon avis pourrait se résumer à ceci : pas de panique, ou en tout cas, pas la panique qu'espère peut être Microsoft.
    Cela dit, la prudence dicte quand même d'adopter certaines règles, en attendant de savoir si XP est réellement devenu dangereux ou pas :
    Préférez Chrome ou Firefox à Internet Explorer. Soyez encore plus prudent sur les réseaux sociaux. N'effectuez des téléchargements que sur les sites des éditeurs ou sur des sites sûrs comme Clubic. Evidemment, installer un antivirus, gratuit ou payant sur votre ordinateur. Avast est pour moi un bon choix, mais comme pour tout, il y a les "Pour" et les "Contre" ;-)

    Pour Malwarebyte's, depuis l'onglet "Recherche", lancez un examen complet. Malwarebyte's va alors ouvrir une fenêtre affichant tous les supports de stockage - partitions et supports amovibles-. Vous pourrez alors sélectionner la partition système du disque infecté.
    Ou bien, à partir de l'explorateur Windows, vous pouvez également faire un clic-droit sur la partition système du disque infecté puis cliquer sur "Examiner avec Malwarebyte's". Dans ce dernier cas, Malwarebyte's ne doit pas être ouvert sur le bureau.
    Attention, à la fin de l'examen, il faudra bien veiller à ce que les lignes soient cochées (sinon, clic-droit "tout sélectionner"), avant de cliquer sur "Supprimer la sélection".
    Cette fois devrait être la bonne !

  18. Le 06/04/2014 à 21:21, Nicolas a écrit :
    .

    Bonsoir Stéphane.

    J'ai "passé" malewarebytes et j'ai détecté 7 fichiers infectés. Comme ils étaient cochés je les ai supprimé.
    Souhaitez-vous que je vous envoie la copie d'écrand es 7 fichiers infectés. Si oui comment pouvons-nous procéder ?
    Demain je réinstalle le disque "soigé sur le pc. J'espère qu'il va fonctionner.

    je vous tiens informé de la manoeuvre.
    Merci pour vootre ettention et votre soutien.

    A bientôt,

    Nicolas

  19. Le 07/04/2014 à 09:33, Stéphane a écrit :
    .

    Bonjour Nicolas

    Croisons les doigts pour que cela soit bon. Inutile de m'envoyer une copie d'écran. Le résultat final sera plus parlant.
    Cela dit, 7 infections, c'est peu par rapport à ce que je vois parfois, mais s'il n'y avait que ce virus, c'est normal. Et comme les lignes étaient cochées par défaut, c'est le signe que Malwarebyte's les a identifiées comme "très" problématiques.
    Les fins des em...es ?

  20. Le 26/05/2014 à 16:48, Timoujhin a écrit :
    .

    Bonjour,
    jai suivi moi aussi toute les indications listées ci dessus et rien a faire ...lorsque je met invite de commandes en mode sans échec ,au lieu de s'ouvrir tel quel ,il s'eteind tout seul pr redemarrer en mode normal.

    merci

  21. Le 26/05/2014 à 16:57, Timoujhin a écrit :
    .

    j'ai finalement reussi a aller sur l administrateur mais lorsque je rentre "rstrui.exe" , j ai un message qui me dit qu il n y a aucun point de restauration.
    avez vous une autre solution ??
    merci d'avance

  22. Le 27/05/2014 à 09:48, Stéphane a écrit :
    .

    Bonjour Timoujhin
    Essayez cela :

    Une fois dans une Invite de commande en mode sans échec, appuyez simultanément sur les touches Ctrl Alt et Suppr.
    Le gestionnaire des tâches s'ouvre.
    Dans le menu "Fichier" cliquez sur "Nouvelle tâche".
    Entrez "msconfig.exe" et validez.
    Sautez au bas ma réponse pour la partie qui concerne msconfig.

    Si le gestionnaire des tâches ne s'ouvre pas, procédez ainsi :

    Si vous êtes sous Vista / 7 :
    Si l'écran affiche "C:\Windows\System32>", sautez les 2 étapes suivantes, sinon :
    1) A la suite de "C:\Users\nom_utilisateur>", entrez la commande : cd %windir% et validez.
    2) A la suite de "C:\Windows>", entrez la commande : cd system32 et validez.
    A la suite de "C:\Windows\System32>", entrez la commande : msconfig.exe et validez.
    Allez à la partie qui concerne msconfig plus bas.

    Si vous êtes sous XP :
    Entrez la commande : CD \ et validez.
    A la suite de "C:\>", entrez la commande : CD Windows et validez.
    A la suite de "C:\Windows>", entrez la commande : CD pchealth et validez.
    A la suite de "C:\Windows\pchealth>", entrez la commande : cd helpctr et validez.
    A la suite de "C:\Windows\pchealth\helpctr>", entrez la commande : msconfig.exe et validez.

    La fenêtre de l'"Utilitaire de configuration système s'ouvre".
    Activez l'onglet "Démarrage".
    Décochez toutes les lignes qui portent un nom suspect ou qui n'ont pas de nom du tout (et notez les).
    Redémarrez votre ordinateur.
    Si le virus est toujours présent, recommencez, mais décochez toutes les lignes. (Attention, si vous avez un portable, vous allez peut être désactiver le pavé tactile, prévoyez une souris USB).
    Une fois le PC démarré sans le virus, installez Malwrebyte's puis désinfectez.
    Ensuite, toujours sous Windows, via le Menu démarrer / Rechercher, relancez msconfig.exe et recochez les cases que vous aviez décochées. Redémarrez l'ordinateur.

    Dites nous si cette méthode s'avère efficace :-)

  23. Le 18/06/2014 à 19:14, Pluchr a écrit :
    .

    Bonjour, merci pour ces bonnes info. Je suis sur windows 7 et j ai fait la restauration qui semble avoir bien marché(message ). Cependant et après avoir redémarrer mon ordi plusieurs fois, relancer ma boxe je n ai plus d accès internet ( ce qui n est pas le cas pour les autres Pc de la maison... Que puis je faire? Encore merci pour votre aide .

  24. Le 19/06/2014 à 11:23, Stéphane a écrit :
    .

    Bonjour Pluchr
    Vous n'avez plus accès à Internet. Mais êtes-vous bien connecté à votre box ? C'est la première chose à vérifier dans le "Centre Réseau et partage" auquel vous accéderez via le Panneau de configuration.

  25. Le 19/06/2014 à 18:31, Hélène a écrit :
    .

    Avec Vista, Windows 7 le hic est qu'il faut attendre 30 seconde AVANT de redémarrez l'ordinateur et suivre la procédure. Ça fonctionné pour moi.

  26. Le 06/08/2014 à 10:11, laurent a écrit :
    .

    bonjour
    j'ai un virus police nationale sur un aspire one acer en xp édition familiale comment puis je m'en sortir car quand au démarrage je fais F8 en mode invite de commande en mode sans échec il m'affiche choisissez le système d'exploitation à démarrer et il se met sur Microsoft Windows xp édition familiale et rien d'autre
    merci de votre aide

  27. Le 23/08/2014 à 13:57, philippe a écrit :
    .

    Bonjour,

    je suis sur windows XP et le mode sans échec ne marche pas ! je n'ai donc accès à aucune des méthodes décrites;
    Avez-vous une solution ?

  28. Le 27/01/2016 à 13:17, parking aéroport roissy a écrit :
    .

    Merci pour le coup de main! j'ai tenter de trouver des antivirus mais je crois que cet article répond à tous mes soucis.

  29. Le 13/06/2016 à 14:27, Rémy a écrit :
    .

    Bonjour et merci beaucoup pour ces astuces.

    Je trouve que les antivirus n'ont plus d'effet de nos jours, ceux qui créent les virus peuvent outrepasser les antivirus de plus en plus facilement !

  30. Le 22/06/2019 à 19:34, developpeur web freelance a écrit :
    .

    Super article, merci pour ces informations precieuses

  31. Le 18/11/2019 à 10:26, SSI à Paris a écrit :
    .

    Merci pour ces astuces.

<< Précédents

L'utilisation des commentaires est désactivée pour cette note.