Mercredi 20 Novembre 2019, 10:20     Connectés : 4      Membres : 3


Mot de passe oublié ?

Pas encore de compte ?

[TUTO] Le virus du gendarme/de la SACEM

REPONDRE S'ABONNER
Ulvrith
Villageois
#1
Bonjour à tous,

Si d'aventure votre ordinateur attrape ce virus, voici la marche à suivre.

Mais tout d'abord comment reconnaitre ce virus ? Eh bien c'est vraiment très simple: vous vous levez tranquillement le matin, vous allumez votre PC et mettez le mot de passe de votre session, et là... Une page qui vous bloque l'accès à votre bureau apparait d'un coup et vous dit que vous avez apparemment enfreint une loi, et que vous devez composer un numéro qui vous donnera un code à placer dans une petite fenêtre (le montant va de 50 à plus de 100 €), mais selon les témoignages, ce n'est pas pour autant que cette page va disparaître.

N'ayant pas trouvé de solution(s) sur internet via mon portable, j'ai dû très vite m'en remettre à ce que je savais de l'informatique, et sacrifier une après midi entière afin de trouver cette solution.
Voici comment faire (n'oubliez pas qu'il faut être TRÈS RAPIDE):

1) redémarrez votre PC en mode sans échec.

2) appuyez simultanément sur CTRL+SHIFT+TAB, cela ouvrira le gestionnaire des tâches (c'est là qu'il faut être extrêmement rapide. car cette manipulation doit être faite avant que la page ne s'affiche).

3) allez dans processus

4) vous allez maintenant arrêter explorer.exe, afin d'empêcher la page de s'ouvrir définitivement.

5) retournez sur application, et allez sur nouvelle tâche

6) à l'aide du bouton parcourir, cherchez l'.exe de votre navigateur internet.

7) téléchargez roguekiller, et à l'aide du gestionnaire de tâches, lancez l'.exe, la menace du virus aura normalement disparue.

8) redémarrez

9) ça marche!!!

10) si le bureau ne s'affiche toujours pas, mais que le virus a disparu, allez, toujours à l'aide du gestionnaire des tâches sur le panneau de configuration, et créez une nouvelle session, là vous aurez un nouveau bureau.









SOLUTION ALTERNATIVE:

si vous êtes intelligents , vous avez sans doute planifiés la création d'un point de restauration windows qui se fera à une date précise. Il vous suffira donc de lancer un point de restauration antérieur à l'apparition du virus.




Donc voilà, j'espère que cette explication pourra vous aider à l'avenir, même si j'espère que vous n'aurez jamais à l'utiliser.

EDIT: La première solution ne fonctionne apparemment plus ( à cause d'une mise à jour du virus). Je vous redirige donc vers un lien donné par Dwilaseth, qui contient un "CD Live", qui vous permettra de réparer votre PC, si la solution d'une restauration système ne marche pas.

Le lien: http://www.malekal.com/2013/02/22/malekal-live-cd/
Je ne crois pas au destin, ni en aucun dieux d'ailleurs; Si ce n'est moi

Message édité pour la dernière fois le : 20/05/2013 à 12:26

Shizam
Grand chevalier
#2
Merci pour l'info Ulvrith

Moi, au prochain problème de ce genre, je format mon DD. y a tellement de bordel là-dessus.
Sorcier à 1 point de vie...Augmenté d' 1 point de vie temporaire.
Ulvrith
Villageois
#3
as tu déjà eu un virus de ce genre?
Perso jamais je ne formaterais mon DD, même si j'en ai 2 externes pour sauvegarder mes... sauvegardes :p

Après, j'aurais une requête à qui lira ce message: Savez vous comment régler ce £:ù@ç*%¨µ* problème de NVLDDMKM.sys ?
Je ne crois pas au destin, ni en aucun dieux d'ailleurs; Si ce n'est moi
Hayden
Noble
#4
J'ai déja eut ce genre de virus. Une vrai saloperie à enlever. j'ai également du faire face au virus du faux anti-virus qui s'installe tout seule et qui t'annonce que ton ordinateur et tout corrompus et qu'il faut payer pour qu'il soit de nouveau tout propre.
Elric
Chevalier
#5
Bonjour Ulvrith. J'ai souffert d'une variante de ce virus et j'ai procédé suivant ta solution alternative. Plus de problème.
Par sécurité j'ai passé ensuite Malewarebytes.
Il m'a alors également trouvé un fichier correspondant à la page affichée mais plus d'exécutable/autorun.
Ce n'est pas parce que l'on fait un pas en avant et trois pas en arrière qu'il faut arrêter d'avancer
Munshine421
Garde royal
#6
C'est là que Adblock et NoScript sous Firefox sont bien utiles pour se prémunir contre ces machins.
Ulvrith
Villageois
#7
c'est surtout sur adfly, et les pop-up du genre "comment gagner 500 € par heures grâce à la bourse" qu'on chope pleins de virus dans ce genre.
je ne sais pas si les modules que tu as cité sont utiles contre l'apparition de pages comme celles ci, je n'ai jamais essayé de méthodes comme celle de mettre un module anti pop-up, mais merci quand même d'avoir donné des noms, cela pourrait m'être utile pour éviter de devoir mettre des fichiers en quarantaine toutes les semaines.
Je ne crois pas au destin, ni en aucun dieux d'ailleurs; Si ce n'est moi
Munshine421
Garde royal
#8
Pas seulement les pop ups, les sites webs normaux peuvent être infectés par des scripts malveillants. NoScript bloque tous les scripts par défaut et c'est à toi d'autoriser ou pas le site de s'afficher partiellement ou normalement. C'est un peu contraignant quand on a pas l'habitude (car parfois des contenus légitimes comme des vidéos sont aussi bloqués) mais la navigation est beaucoup plus sure.

Message édité pour la dernière fois le : 19/05/2013 à 20:03

Dwilaseth
Seigneur
#9
c'est surtout sur adfly, et les pop-up du genre "comment gagner 500 € par heures grâce à la bourse" qu'on chope pleins de virus dans ce genre

Je dirais même "surtout via le prestataire Adfly". C'est là que je me suis mangé une de ces variantes justement, en voulant télécharger un "freeware" (tout ce qu'il y a de légal donc). J'ai eu le malheur d'attendre les 5 secondes obligatoire et de cliquer sur la pub présenté (histoire de supporter les développeurs) pour voir ma machine redémarrer d'elle même et m'afficher une demande de rançon pour retrouver mon système. En prétextant que je venais tout juste de recevoir une amande, non pas de la gendarmerie, mais de la SACEM (ils aiment pas trop qu'ont utilisent du freeware ^^).

Plus sérieusement, heureusement que j'avais une autre machine à coté de moi parce que quand sa t'arrive ben t'es bien dans la merde. En plus je fumais de la tête comme un fou car je paie une fortune annuellement pour la protection de mon réseau (McAfee Total Protection ^^) et je venais de me manger un truc aussi "noobs" que ce malware. Qui à la décharge de McAfee, n'est PAS un virus. Enfin peut-être, mais sa fait bien chier quand même ...

Même si la manipulation se fait au redémarrage du système (l'infection n'étant qu'un script), je trouve tout de même hallucinant qu'on puisse toucher à un fichier aussi important que le GUI de Windaube, explorer.exe

2) appuyez simultanément sur CTRL+SHIFT+TAB, cela ouvrira le gestionnaire des tâches (c'est là qu'il faut être extrêmement rapide. car cette manipulation doit être faite avant que la page ne s'affiche).

3) allez dans processus

4) vous allez maintenant arrêter explorer.exe, afin d'empêcher la page de s'ouvrir définitivement.

Malheureusement, dans les dernières variantes du malware cette solution ne fonctionne plus car la fenêtre de processus reste systématiquement en arrière plan. Donc plus moyen de fermer le "faux" explorer.exe. Il faut obligatoirement passer par un "CD Live" (une mouture externe de Windows Seven) soit par CD, soit comme je l'avais fait à l'époque, en démarrant le système d'exploitation via clés USB. Une fois chargé, tu as tout à loisir de lancer roguekiller qui va immédiatement scanné et détecter tout problème dans les programmes en taches de fond. A noter que, peut importe la variante du malware que vous aurez la malchance de rencontrer, il ne supprime jamais le "vrai" explorer.exe.

Ceux intéressé pourront télécharger le "CD Live" via l'adresse ci-dessous. A noter qu'il ne sert pas exclusivement qu'en cas de rançonnage, mais pour TOUT problème qui empêcherait le chargement du GUI de windaube (type *.dll manquante ou erroné).

http://www.malekal.com/2013/02/22/malekal-live-cd/

à bientôt !
Steam ID: Dereck3o3 / BattleTag: Dwilaseth#2920 / UPlay: Dwilaseth
Ulvrith
Villageois
#10
-> Dwilaseth

La solution du CD live est en effet bien plus simple, merci d'avoir mis un lien vers un tutoriel bien plus complet et utile que le mien, qui apparemment est devenue obsolète.

Je vais Editer mon premier message, et y mettre ton lien à la place.
Je ne crois pas au destin, ni en aucun dieux d'ailleurs; Si ce n'est moi
Dwilaseth
Seigneur
#11
merci d'avoir mis un lien vers un tutoriel bien plus complet et utile que le mien, qui apparemment est devenue obsolète

Merci d'ajouter mon lien à ton sujet. A noter quand même que ton didacticiel reste tout à fait fonctionnel dans le cas où l'utilisateur a accès à la fenêtre de processus, donc il n'est pas obsolète. De vieilles variantes tournent encore sur le net, malheureusement je n'ai pas eu la ... chance ... d'être infecté par celles-ci. Quoi qu'il en soit, le site d'entraide communautaire "Malekal" fait une synthèse exhaustive de ce malware en y présentant plusieurs variantes et surtout plusieurs solutions pour y remédier, donc il reste une source d'information intéressante.

http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

La solution du CD live est en effet bien plus simple

Windows Seven donne l'opportunité de créer un disque similaire au "CD Live" dédié à la restauration du système d'exploitation, la différence avec ce "custom" c'est que l'auteur y a ajouter une série de logiciels spécialisés, tels que "Roguekiller". Un tout en un en sorte qui peut éviter beaucoup de problème à l'utilisateur.

Comme on dit c'est l'expérience qui prime, cet mauvaise aventure aura eu au moins le mérite de m'apprendre quelque chose ! mdr
Steam ID: Dereck3o3 / BattleTag: Dwilaseth#2920 / UPlay: Dwilaseth

Message édité pour la dernière fois le : 20/05/2013 à 18:07

MaximeXIII
Villageois
#12
Un gros merci à l'auteur de la part de mes parents. Ils ont chopé ce virus ce soir et on a suivi par téléphone le tuto à la lettre. Ca a marché !!!!

Merci encore !!
Shizam
Grand chevalier
#13
Comment on peut savoir si notre logiciel anti-virus à intégré ou pas ce Faux Gendarme?
Mon Avira (version non complète) me télécharge tous les jours au moins 2 mises à jour, mais il fait ça discret, doit y avoir des tonnes d'infos dans ses dossiers.
Sorcier à 1 point de vie...Augmenté d' 1 point de vie temporaire.
Ulvrith
Villageois
#14
Heureux que mon tuto ai pu t'aider
Je ne crois pas au destin, ni en aucun dieux d'ailleurs; Si ce n'est moi

Message édité pour la dernière fois le : 01/06/2013 à 02:56

Ulvrith
Villageois
#15
Hum... Bonne question en effet.
J'ai lu quelque part, en plus du message de Dwilaseth, qui a dit que Mc afee ne le considérait pas comme un virus, que les anti virus ne le considèrent justement pas comme un virus , parce qu'il s'agit justement d'un exécutable.
après je ne peux te donner plus d'infos quant à la capacité des anti virus à le combattre...
Ou alors il faudrait un excellent par feu qui bloquerait tout ce qui est en provenance de pages pop up (genre comment gagner de l'argent, ce genre de trucs, ainsi que adfly, qui est une vrai plaie).
Je ne crois pas au destin, ni en aucun dieux d'ailleurs; Si ce n'est moi
Dwilaseth
Seigneur
#16
J'ai lu quelque part, en plus du message de Dwilaseth, qui a dit que Mc afee ne le considérait pas comme un virus, que les anti virus ne le considèrent justement pas comme un virus qu'il s'agit en fait d'un exécutable.

... et je confirme, ce n'est pas un virus et c'est pour cette raison qu'AUCUN anti-virus n'intègre de protection (hormis bien entendu le fait de stopper ou d'interpréter du code php ou javascript. On est plus ici sur un tour de passe passe qu'autre chose en effet puisque suite à l'infection Windows charge un "faux" explorer.exe et rien de plus. Le coup des fichiers qui seraient crypté c'est de l'intox.

Donc comment se prémunir de se genre de désagrément ? C'est très simple, l'infection se déroule toujours suite à un "exploit", c.a.d l'utilisation d'un faille technique. L'important c'est de bien vérifier que Windows est à jour ainsi que tout se qui touche à internet (.NET et les drivers flash en autres)
Steam ID: Dereck3o3 / BattleTag: Dwilaseth#2920 / UPlay: Dwilaseth
zenokan
Garde
#17
J ai eu ce Virus il y a quelques jours apres avoir "trainé" sur des site de DDL.

Heureusement que de nos jours on peu aller chercher les solution sur le Net via nos Smartphone!

Apres il y a plusieurs version de ce virus en fonction des logo "hadopi", "gendarmerie" etc...
Ils ont tous des petites variantes plus ou moins contraignante mais à priori on peu tjs récupérer son pc en suivant les bon tuto (celui ici présent marche très bien la plus part du temps)
La version que j ai eu ne ce lançait pas en mode sans échec donc j ai pu recup le roguekiller facilement. Une chance!

Courage à ceux qui choppe cette merde, et surtout ne paniquez pas!
hobby3333
Chevalier
#18
Merci pour le tuto, cela pourra servir au cas où ...

Quelqu'un sait-il si Kaspersky le bloque ?

D'autre part, si cela prend l'apparence d'un faux explorer, on doit bien se rendre compte de quelque chose de louche si on est en train de surfer avec un autre navigateur (firefox par exemple) ?

Enfin, si c'est un exe, cela ne doit pas fonctionner sur Mac ?
Et le Maître dit à Marmaduke, l'Apprenti Avatar : "Toujours manuellement tu patcheras, jamais un launcher tu n'utiliseras" Marmaduke interloqué se retira dans sa cellule et médita pendant une lune Le 28ème jour, il sut que le Maître était sage, et lui avait fait un don inestimable.

Message édité pour la dernière fois le : 09/06/2013 à 09:34

Oded
Paladin
#19

Après, j'aurais une requête à qui lira ce message: Savez vous comment régler ce £:ù@ç*%¨µ* problème de NVLDDMKM.sys ?


Hélas... Non. J'ai essayé quasi toutes les méthodes glanées sur le web, et toujours ces beaux artefacts + crash nvlddmkm aléatoire (mais jamais en jeu).
Dwilaseth
Seigneur
#20
D'autre part, si cela prend l'apparence d'un faux explorer, on doit bien se rendre compte de quelque chose de louche si on est en train de surfer avec un autre navigateur (firefox par exemple) ?

Effectivement, ton système d'exploitation se ferme tout seul et la machine se relance, le faux explorer chargé en mémoire. Pour le reste, non rien ! L'important, pour éviter d'être affecté par ce genre de scripts c'est de mettre à jour régulièrement Flash et .NET Framework qui seraient utilisé comme porte d'entré !
Steam ID: Dereck3o3 / BattleTag: Dwilaseth#2920 / UPlay: Dwilaseth