Un nouveau (?) virus (enfin si on peut l’appeler comme ça) a fait son apparition…
Lors de l’ouverture de session, il bloque l’ordinateur avec une page présentant un logo de la Gendarmerie et indiquant : “Votre ordinateur a été bloqué pour violation de la loi Française”.
Il va sans dire que ceci n’est qu’une escroquerie et que la Gendarmerie n’a absolument rien à voir là dedans.
Il vous est demandé de payer 200€ pour débloquer votre ordinateur… Inutile de le rappeler mais sait-on jamais… NE PAS PAYER !
Sur internet on trouve plusieurs origines :
1- Remplacement de la clé Winlogon\Shell de Explorer.exe vers mahmud.exe.
2- Remplacement du fichier Explorer.exe par un fichier infecté.
La solution MalwareBytes n’a pas fonctionné pour le cas que j’ai rencontré (le second).
La solution simple et efficace pour s’en débarrasser étant :
1 – Récupération sur une clé USB du fichier Explorer.exe (présent dans C:\Windows\Explorer.exe) sur un ordinateur non infecté (de préférence de même service pack, mais ça marchera quand même si ce n’est pas le cas).
2 – Au démarrage de l’ordinateur, appuyer sur F8 pour avoir le menu de démarrage.
3 – Choisir le démarrage en ligne de commande (qui ne charge pas explorer.exe mais cmd.exe comme shell)
4 – Renommer le fichier explorer.exe existant dans C:\Windows
5 – Copier la version saine depuis la clé USB vers C:\Windows
6 – Redémmarrer.
C’est fini !
Bon courage…