Virus GEMA : L’accès à votre ordinateur a été fermé

Par

malekalmorte

– 2 février 2012

- Tweet

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Une nouvelle variante d’un ransomware après le Virus Gendarmerie : GEMA – L’accès à votre ordinateur a été fermé
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement 

Ce dernier droppe un fichier C:/Windows/System32/InetAccelerator.exe
Bien entendu le nom va changer dans le temps avec les variantes.

Une clef Run est créée ainsi que la modification de la clef Winlogon. Cela signifie que le malware va être actif en mode sans échec incluant l’invite de commande en mode sans échec.

SHA256: cee058c4c7585c0c68a5c539d8dd048444721f3d0d02e9bce6077dd7c226c1c8
File name: 4d54a66058ea3a0431ebb452b153f1ef.exe
Detection ratio: 18 / 38
Analysis date: 2012-02-02 09:22:28 UTC ( 2 minutes ago )

AntiVir TR/Agent.143360 20120201
Avast Win32:Malware-gen 20120202
AVG SHeur4.OPB 20120202
BitDefender Gen:Variant.Graftor.13803 20120202
Comodo Heur.Suspicious 20120202
Emsisoft Trojan-Ransom.Win32.Foreign!IK 20120202
F-Secure Gen:Variant.Graftor.13803 20120202
Fortinet W32/Foreign.WY!tr 20120202
GData Gen:Variant.Graftor.13803 20120202
Ikarus Trojan-Ransom.Win32.Foreign 20120202
Kaspersky Trojan-Ransom.Win32.Foreign.wy 20120202
Microsoft Trojan:Win32/Ransirac.A 20120202
NOD32 Win32/Agent.TKK 20120202
nProtect Trojan/W32.Agent_Packed.142848.D 20120202
Sophos Mal/Generic-L 20120202
TheHacker Posible_Worm32 20120202
VIPRE Trojan.Win32.Generic!BT 20120202
VirusBuster Trojan.Foreign!cDyTfOA7GhM

 

Les liens contactés par le sample qui télécharge la page affichée sur le PC. Le serveur fait la traduction de la page à la volée selon la position géographique de l’IP de la victime (GeoIP).

http://iframe-popka.com:8090/popka/?id=c8674ca2-f63e-4239-9e62-6545591fad06&u=1 qui redirige vers :
GET /popka/files/buttons.css
GET /popka/files/buttons.css
GET /ajax/libs/jquery/1.3.2/jquery.min.js
GET /ajax/libs/jquery/1.3.2/jquery.min.js
GET /popka/files/ttt.gif
GET /popka/files/ttt.gif
GET /popka/files/psc.gif
GET /popka/files/psc.gif
GET /popka/files/keyboard.js

 

(188.247.135.103 RO – Registrar: BIZCN.COM, INC.) 

 

 

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Fermer la fenêtre Virus Gema

Il est possible de récupérer la main sur le système via la combinaison de touches CTRL+ALT+PAUSE (pause est la touche en haut à droite du clavier).
Si la fenêtre se relance, refaire la combinaison de touche assez rapidement pour la fermer, celle-ci devrait plus se lancer.
Vous pouvez ensuite faire un scan avec  ou RogueKiller avec l’option suppression puis  Malwarebyte Anti-Malware

(Dans le cas où vous ne récupérez pas votre bureau après la fermeture de la fenêtre GEMA, faire CTRT+ALT+SUPPR pour ouvrir le gestionnaire de tâches puis Menu Fichier / Nouvelle tâche et taper iexplore.exe et valider.
Cela doit lancer Internet Explorer, ce qui peux vous permettre de télécharger RogueKiller et Malwarebyte).

En vidéo :

Windows Seven : Restauration du système

Seulement pour ceux qui sont en Windows Seven :  Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Depuis un CD Live : Kaspersky Live CD et Windows Unlocker

Kaspersky Live CD inclue une fonction Windows Unlocker qui permet de récupérer la main tout de suite après en mode sans échec pour par exemple utiliser Malwarebyte Anti-Malware ou RogueKiller.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.

Plus d’informations : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Depuis un CD Live

Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : http://support.kaspersky.com/faq/?qid=208285003

• Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : http://forum.malekal.com/otlpe-live-t23453.html#p195540
• Cela permet d’avoir accès au fichier du PC.
• Ouvrez le gestionnaire de fichiers par le menu disponible depuis un clic droit sur le bureau.
• Allez dans le dossiers Discs, la partition C de votre disque doit être présentez.
• Aller dans le dossier system32 de Windows et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware (ci dessous le fichier gema.exe).
• Même chose dans le dossier utilisateur :
• Windows Vista/Seven : C:Utilisateurs<user>Appdatagema.exe et C:UtilisateursAll UsersAppDatagema.exe
• Windows Xp : C:Documents and Settings<user>Application Datagema.exe et  C:Documents and SettingsAll UsersApplication Datagema.exe

Exemple ci-dessous avec le fichier malicieux gema.exe depuis le Kaspersky Live CD

• Si doute, faire un scan sur VirusTotal : http://www.virustotal.com
• Renommer le fichier en question.
• Redémarrer l’ordinateur et voyiez si ce dernier est inactif.

Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarrer sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tappez : \adresseduPCc$WindowsSystem32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

EDIT 15 Février 2012

Le fichier malicieux se nomme maintenant gema.exe.
RogueKiller ne supprime pas les clefs Run, je vais prévenir l’auteur

Détection antivirus du fichier malicieux  récupéré : https://www.virustotal.com/file/67ed1a0d2b186e19211258132c267d5fd266830e1f453b15f952247eecf68a13/analysis/1329328428/

ByteHero    Trojan.Malware.Win32.xPack.h    20120215
Kaspersky    UDS:DangerousObject.Multi.Generic    20120215
NOD32	probably a variant of Win32/LockScreen.AJX	20120215

 EDIT MARS 2012

Il semblerait qu’une nouvelle variante a vu le jour. Sur cette variante la combinaison de touches CTRL+ALT+PAUSE ne semble pas fonctionner.
Le malware se charge par une simple clef Run, contrairement aux variantes précédentes.
Cependant le malware supprime les clefs Safeboot, le redémarrage en mode sans échec n’est pas possible, on obtient un écran bleu : BSOD STOP 0X0000007B

Néanmoins, pour Windows XP, il est possible de lancer une restauration du système (aucune perte de données) via l’invites de commandes en mode sans échec.
Il faut passer les commandes comme dans la capture-ci dessous.

Dans le cas de Windows Seven, la restauration peux être faite au démarrage (voir début du billet).

Les clefs SafeBoot peuvent êtres restaurées, suivre la page suivante : http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

 

Ci-dessous, une capture du panel de tracking du malware. Comme vous pouvez le constater les plus touchés sont les Allemands (logique vu que l’alerte est de type GEMA).
Vous avez le nombre de vauchers 41, je vous laisse faire le calcul des gains obtenus pour ce site.

---

[Traduction]

70 Comments

1. staros

   Posté le 3 février 2012 à 5:25

   Bonsoir,
   J’ai été infecté par cette cochonnerie dont j’ai peiné à me débarrasser.
   Ma solution aprés de multiples essais :
   Au moment du lancement de windows, dés l’apparition du message de bienvenue, je tapote sur la touche « pause » de mon clavier et en même temps je lance « roguekiller » avec la souris.
   Le message du ransomware met plus de temps à se charger, ce qui laisse un peu de marge pour exécuter « roguekiller ». Je selectionne la touche 2 pour une éradication directe!
   Paf : mon bureau s’affiche normalement! Ouf!
   Un coup de « malwarebytes » par dessus et hop :
   Malwarebytes Anti-Malware 1.60.1.1000
   http://www.malwarebytes.org

   Version de la base de données: v2012.02.03.07

   Windows XP Service Pack 2 x86 NTFS
   Internet Explorer 6.0.2900.2180
   perso :: MARTIN [administrateur]

   03/02/2012 18:13:13
   mbam-log-2012-02-03 (18-13-13).txt

   Type d’examen: Examen rapide
   Options d’examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
   Options d’examen désactivées: P2P
   Elément(s) analysé(s): 162072
   Temps écoulé: 4 minute(s), 41 seconde(s)

   Processus mémoire détecté(s): 0
   (Aucun élément nuisible détecté)

   Module(s) mémoire détecté(s): 0
   (Aucun élément nuisible détecté)

   Clé(s) du Registre détectée(s): 0
   (Aucun élément nuisible détecté)

   Valeur(s) du Registre détectée(s): 1
   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun|InetAccelerator (Trojan.Agent) -> Données: C:WINDOWSsystem32InetAccelerator.exe -> Mis en quarantaine et supprimé avec succès.

   Elément(s) de données du Registre détecté(s): 0
   (Aucun élément nuisible détecté)

   Dossier(s) détecté(s): 0
   (Aucun élément nuisible détecté)

   Fichier(s) détecté(s): 4
   C:Documents and SettingspersoLocal SettingsTemp.6986987310311182.exe (Exploit.Drop.2) -> Mis en quarantaine et supprimé avec succès.
   C:WINDOWSsystem32InetAccelerator.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
   C:Documents and SettingsAll UsersApplication DataInetAcceleratorInetAccelerator.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
   C:Documents and SettingspersoApplication DataInetAcceleratorInetAccelerator.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

   (fin)

   Mille merci à vous!!!

2. bandit972

   Posté le 4 février 2012 à 8:32

   Merci staros.jai utilisé ta methode et sa a marché

3. kon-kun

   Posté le 4 février 2012 à 11:24

   je l’ai chopé hier ce fumier de virus! je suis sur un mac book sony vaio (je sais pas si sa peut vous renseigner) j’ai lu plus haut que vous aviez une commande « pause » pensez vous que j’ai une telle touche? je n’ai pas « rogue killer » instalé sur ce meme pc je sais pas comment faire, en fait je suis dans une merde pas possib’! help…

   merci

4. Rol_Tanguy

   Posté le 4 février 2012 à 2:07

   Bonjour,
   Je suis également infecté sous Win7 et toutes les tentatives de réparation décrites ici ou ailleurs ont échoué :
   - réparation du démarrage : l’outil de récupération ne trouve pas d’anomalie
   - restauration du registre : message d’erreur au moment de lister les points existants
   - accès du disque dur contaminé depuis un autre (j’ai XP sur un deuxième DD) : j’ai localisé les fichiers d’après leur date de création (3 fichiers dénommés « inet accelerator ») mais j’ai beau les supprimer, ils réapparaissent après chaque redémarrage sur Seven

   Je n’ai pas installé Malwarebyte ni rogue killer et là il semble bien que ce soit trop tard
   Mon antivirus Eset32 détecte bien la présence d’un trojan dans le fichier inetaccelerator32.exe quand je scanne le fichier individuellement sous XP mais ça n’a aucun autre effet puisqu’il revient touours.

   Est-il possible d’éditer la base de registre de mon Win7 sous Windows XP et de réparer les clés endommagées?

   Si quelqu’un a d’autres pistes, je suis preneur!

   Merci

5. malekalmorte

   Posté le 4 février 2012 à 2:21

   Utilise OTLPE pour le CD Live de Kaspersky pour supprimer le fichier inetaccelerator.exe
   Mais faut faire un reset des clefs du registre, Windows Unlocker sur le CD de Kaspersky ça peux aider.

6. Gatochoco

   Posté le 5 février 2012 à 3:08

   Bonjour à tous,

   Je suis sous Windows Vista et je viens d’attraper ce truc aujourd’hui alors que je n’ai absolument rien télécharger et je ne sais vraiment pas quoi (niveau informatique assez nul).

   J’ai donc essayé de formater mais impossible, même en essayant de passer en mode sans échec (je les ai tous passé en revu) atterri directement sur l’ouverture de cession, le Cd pour formater ne démarre pas…

   Je ne sais plus quoi faire car dès que je met mon password cette fenêtre GEMA s’ouvre tout de suite et me bloque tout : je ne peux pas la fermer, ni aller sur Internet, ni formater ni quoi que ce soit..
   Si au moins je pouvais formater !

   Si quelqu’un peux m’expliquer comment faire…

   D’avance merci !

7. Marcus

   Posté le 5 février 2012 à 3:12

   Salut. Sur windows XP, une simple combinaison des touches « Ctrl + Alt + Pause » me ferme la fenêtre GEMA et me rend la main.
   Vous pouvez toujours essayer…

8. Oliv

   Posté le 5 février 2012 à 7:46

   Merci Marcus !

9. Christophe

   Posté le 5 février 2012 à 8:43

   Bonsoir à tous,

   Au cas où cela peut en aider certains, en ce qui me concerne (sous Windows XP) j’ai réussi à m’en débarrasser de la façon suivante :
   - Démarrage en mode sans échec sans support Réseau
   - Ouvrir la session en Administrator (ou avec un compte ayant un accès de ce type)
   - Dés que le bureau commence à s’afficher, faire un Ctrl+Alt+Sup, passer sur l’onglet Processus
   - Un process du nom de inetAccelerator est présent, le sélectionner et faire un « Terminer le processus » et « Entrée ».

   Le tout est de faire cela très vite. En effet, apparemment la fenêtre Gema tente d’atteindre une ressource sur le Net (par l’intermédiaire de Winlogon) et le délai de timeout est tout juste suffisant pour permettre la manip’ et tuer le process avant qu’il ne soit trop tard. Si vous tardez trop, la fenêtre Gema bloque tout (même le Ctrl+Alt+Sup) mais en le faisant très vite à l’ouverture de session on arrive à lui couper l’herbe sous le pied.

   Ensuite procéder comme indiquer dans le premier post ( RogueKiller + MalwareBytes ), perso j’ai fait un petit coup de réparation du registre avec GlaryUtilities aussi.

10. Manon

    Posté le 5 février 2012 à 9:48

    Alors, j’ai aussi réussi à me débarrasser du virus! (non sans mal hein!)
    Donc utiliser le CD live de Kaspersky, fait un scan, puis j’ai été dans les fichiers du PC et j’ai supprimé les fichiers que Staros (plus haut) avait mis que Rogue Killer avait trouvé!
    Puis j’ai redémarrer l’ordi, ça marchait normalement, un scan avec Rogue Killer pour me sentir rassurée! Je passerais MalwareBytes aussi comme ça j’aurais tout fait!!

    Bref, merci vous m’avez épargné le prix d’une réparation, et mon budget et moi on vous béni =D

11. Pierre

    Posté le 5 février 2012 à 10:54

    bonjour, je l ai attrapé aussi, j ai suprime la pop-up avec le bouton pause, je vois mon bureau,mon antivirus se met en route avira antivirus, (oui, parceque ce n est pas roguekiller ou malwarebit),et je clique sur suprimer via la pop up avira mais quand je redemarre le PC le malware se manifeste toujours,et quand j essaye d aller telecharger votre logiciel mon PC se bloque (avec le petit sablier a cote de la fleche) a chaque action que je veux faire y compris demarrer internet ou demarer mon antivirus manuellement le malware fait apparement disparaitre la pop up avira que faire ?

12. Kris

    Posté le 6 février 2012 à 1:46

    Bonjour,

    Je l’ai attrapé hier soir. Je me suis renseigné ce matin sur Internet depuis le boulot. Je suis rentré chez moi à midi et j’ai réussi à fermer la fenêtre en faisant ctrl+alt+fn+pause car sur mon portable toshiba, pause est accessible par la touche fn.

    J’ai ensuite restauré le système (Windows 7) à une date ultérieure. Ca n’a pas marché. En redémarrant, le virus était toujours là.

    Je l’ai refermé de la même manière. J’ai fait une mise à jour d’Avira puis lancé un scan complet qui doit tourner en ce moment.

    Je verrai ce soir en fonction des résultats. Si ça n’a rien donné, je vais tenter Roguekiller.

    Bon courage à tous!

13. DIVET

    Posté le 7 février 2012 à 3:48

    Merci Manon !!!
    La procédure a parfaitement fonctionnée !

14. pat

    Posté le 7 février 2012 à 10:38

    salut, je viens de choper cette merde, et impossible de l’enlever, si quelqu’un à une idée, j’ai essayé par ctrl alt supp .. j’ai windows xp et bitdefender comme antivirus
    merci par avance

15. volcan974

    Posté le 8 février 2012 à 8:50

    j’ai chopé cette merde lundi dernier et depuis roguekiller et malware ont scanné mon PC.Il semblerait qu’il est « disparu » de mon système mais lors du démarrage mon ordi n’est plus le même car je ne retrouve plus mon BUREAU windows et je n’arrive plus à ouvrir mozilla et consort.Lorsque je balance rogue par ma clé USB il me dit que le logiciel n’est plus à jour et m’invite à télécharger la dernière et loursque j’update Rogue, mozilla s’ouvre et je peux surfer.Par contre je ne peux plus « dérouler » mon disque system et je suis embêté de cette situation ……….si qqu’un peut m’aider!Merçi

16. adiel

    Posté le 8 février 2012 à 11:02

    Bonjour à tous,
    Je souhaite simplement laisser un commentaire car j’ai eu exactement le même problème (sous XP Pro) et que la situation est rétablie : le malware « inetaccelerator.exe » m’empêchait tout accès à quoi que ce soit et quel que soit le mode de démarrage (mode sans échec itou). J’ai suivi le conseil (l’un des nombreux et précieux conseils !) donné sur cette page et j’ai essayé avec succès la combinaison « Ctrl+Alt+Pause » qui m’a permis de reprendre la main comme vous dites. A partir de là, j’ai pu d’une part vérifier que l’intru était bien celui dont vous parliez, d’autre part me reconnecter et télécharger Malwarebytes.
    J’ai d’ailleurs eu à deux reprises un pb avec ce logiciel, je le mentionne au cas où d’autres passeraient par là : après installation de ce dernier et lancement du scan, le logiciel a, par deux fois, stoppé son scan et fermé tout bonnement (au bout d’une minute et des poussières). Je me suis dit que c’était parce que j’avais accepté la version d’essai Pro (quand on tâtonne, eh bé… on tâtonne) et j’ai donc désinstallé puis réinstallé la bêbête, en repassant évidemment par ce p-tain d’écran indépassable sauf grâce à la combinaison magique de touches sus mentionnée (n’ayez pas peur d’insister, c’est loin d’être immédiat !!). Et là, on ne m’a même pas demandé si je souhaitais essayer la version pro, bon tout est toujours clair… mais le scan s’est, cette fois-ci, déroulé complètement (environ 40 minutes) et a débouché sur la possibilité de supprimer tout les « intrus » dénichés, au premier rang desquels figurait bien entendu notre ami « inetaccelerator.exe » qui faisait de multiples apparitions à tout un tas d’endroits…
    Évidemment, plus aucun problème à partir de maintenant…
    UN GRAND MERCI À TOUS CEUX QUI PRENNENT LE TEMPS DE TUYAUTER LEURS CONGÉNÈRES !!!!!!!
    @diel

    PS : j’ai essayé avant la procédure décrite ici de renommer inetaccelerator en choisissant un vocable particulièrement adapté au désagrément qu’il m’occasionnait, mais le démarrage suivant m’a prouvé que cela n’empêchait pas le malware de rentrer en fonctionnement…

17. volcan974

    Posté le 8 février 2012 à 1:14

    Otlpe,kasperky ou live cd linux me donnent accès à mon system mais je voudrais juste retrouver mon xp pro à contre coeur car je suis pas très logiciel libre.
    ps:mon menu démarrer ne montre pas tous le programmes,mon deskop ne s’affiche pas sauf sous live cd et je ne veux pas réinstaller xp pro!
    help!
    Je passe par l’ordi en wifi de ma fille pour poster sur le forum

18. revolxut

    Posté le 9 février 2012 à 8:00

    @volcan974: L’utilisation de ces outils, Live CD,… sont temporaires ; ils permettent de reprendre la main sur le système. Sur ce billet, il est marqué 2 fois en gras en couleur rouge : « Aucune aide ne sera donnée en commentaire. Créez votre propre sujet sur le forum si vous avez besoins d’aide ». Vous savez ce qu’il vous reste à faire. Windows XP existe maintenant depuis 11 ans et devrait être enterré depuis quelques temps mais comme les utilisateurs rechignent « à évoluer », ils ont été obligés d’étendre le support technique. Le SP2 s’est arrêté en juillet 2010 – le cycle de vie de ce produit mort-vivant se terminera en avril 2014. Si vous souhaitez rester fidèle à Microsoft, il est temps de mettre la main au portefeuille et d’acheter une version plus récente de Windows. Vous dites ne pas être très logiciels libres mais vous utilisez pourtant Mozilla Firefox.

19. otchophi

    Posté le 9 février 2012 à 8:33

    BJR
    et il etait present aussi en mode sans echec
    pour ma part j ai reussi a le retirer, en faisant .
    mode sans echec avec prise en charge reseau.
    ctrl-alt-pause
    telecharger malwarebytes(puis executer anti malwarebytes)
    eteindre le pc(faut vraiment l eteindre)
    demarer le pc, et cette merde de gema n est plus la, en esperant que cela vous servira.

20. Anne

    Posté le 10 février 2012 à 1:48

    Merci à Malekalmorte pour son explication très détaillée ainsi que la vidéo…J’ai été infecté hier et mon PC fonctionne à merveille !!

21. Tony

    Posté le 11 février 2012 à 1:41

    Je le même problème j arrive pas a le résoudre je suis pas exper en informatique wind 7 j e pas le cd merci à tous d avance

22. jp138

    Posté le 12 février 2012 à 2:35

    Tout d’abord merci à tous ceux qui ont contribué à l’ellaboration de ce forum.Je crois que j’ai réussi à éradiquer cette m…erde de GEMA – j’avais une page m’indiquant qu’il m’était impossible d’ouvrir une page web.. avec vos conseils « ctrl alt pause » je revenais à la page d’acceuil gema comme quoi j’aurais telechargé illégalement de la musique…………
    sous vista pro – démarage mode sans echec – ctrl alt pause – reprise en main du bureau – lancement de roguekiller – qui me supprime inet accelerator – redemarrage lancement de malwarebytes. — j’ai du repeter l’opération au moins 3 fois mais à première vue c’est bon.

    A noter qu’heureusement je dispose de 2DD un avec vista pro et un avec 7 sinon je sais pas comment je m’en serai sorti.
    Encore merci à tous

23. Ludovic

    Posté le 13 février 2012 à 2:22

    Merci beaucoup ça ma beaucoup aidé

24. annick

    Posté le 13 février 2012 à 10:41

    Bonjour, il y a quelques jours, j’ai eu le virus gendarmerie nationale, police municipale et tutti quanti et grâce à votre aide, votre tutoriel super précis j’ai réussi à l’éradiquer …
    Aujourd’hui apparaît la fenêtre que vous montrez sur votre site « l’accès à votre ordinateur a été fermé » et là rien à faire … Mode sans échec impossible comme vous le dites plus haut et j’essaie aussi la combinaison ctrl+alt+pause sans succès aucun …. J’ai réussi une fois à être en mode sans échec mais je n’avais pas de connexion internet donc impossible de télécharger quoique ce soit … Là je suis sur le portable de ma fille, svp aidez moi car je n’ai pas les moyens de payer une réparation en boutique …
    Merci beaucoup par avance, heureusement qu’il existe une entraide entre internautes c’est super sympa…

25. annick

    Posté le 13 février 2012 à 10:45

    P.S. je suis sous VISTA

26. annick

    Posté le 13 février 2012 à 11:33

    Merci merci merci je ne sais pas comment j’y suis arrivée mais en tapotant sur le bouton pause et après avoir essayé d’éteindre et de rallumé le pc plusieurs fois la fenêtre s’en est allée … Là je fais un scan avec mon antivirus microsoft security essentials et j’ai aussi téléchargé Malwarebytes qui est aussi entrain de scanner et a déjà détecté 8 éléments, après je ne sais pas comment les éradiquer mais je vais trouver … Merci encore à vous tous et très bonne journée

27. sucre21

    Posté le 13 février 2012 à 6:00

    Merci de votre aide vous me sauvez d’une grosse galaire.
    encore merci

28. Biibou

    Posté le 13 février 2012 à 9:03

    bonsoir , ma sœur viens de choper cette merde ,et mon copain javais deja choper aussi mais lui impossible de l enlever , le mode sans echec ne saffiche pas on ne me demande pas si je veut redemarer windows normalement ou sans echec , donc je n’y arrive pas :/ aider moi svp !

29. Biibou

    Posté le 13 février 2012 à 9:05

    a oui et ca maffiche aussi comme quoi la page web et impossible a ouvir

30. viel

    Posté le 14 février 2012 à 4:43

    bonjour je suis infecter par le virus gema et je n arrive pas a m en defaire,j ai window xp
    merci de m aider

31. tatiana

    Posté le 14 février 2012 à 5:08

    bonjour, je viens de choppé cette saloperie de virus sur mon vista .je n arrive plus a acceder au bureau.et ce que vous avait marqué pour un xp ne fonctionne pas pour le vista. comment faire j arrive juste a avoir acces au gestionnaire de taches mais sa change rien. si vous avait une idéé pour me débloqué elle sera la bien venu .merci

32. jess

    Posté le 14 février 2012 à 6:02

    Bonjour, je me suis (comme tout le monde) fais infectée par ce virus !!
    J’ai tenté toutes les manip’ proposées mais rien à faire je ne peux pas reprendre la main ! Donc je n’accède pas au bureau, ….
    J’ai un pc portable TOSHIBA et toutes le donnes dessues super importantes … C’est la panique !
    Je vous serez reconnaissant si quelqu’un arrive à faire revivre mon pc

    Merci pour toutes les infos et de prendre le temps de donner un coup de main

33. annick

    Posté le 14 février 2012 à 6:58

    Bonsoir, à ceux dont le pc est bloqué moi j’y suis arrivée en tapotant la touche pause en haut à droite du clavier dès que je redémarrais l’ordi, j’ai du m’y prendre en plusieurs fois car à chaque fois la page réapparaissait … Ensuite j’ai téléchargé Malwarebytes fait un scan il a trouvé 9 infections et les a toutes supprimées … En revanche ce soir à nouveau j’ai failli avoir la page en question, je ne comprends pas … pourtant mon ordi est protégé, j’ai ouvert un site et la fenêtre s’est fermée puis quand j’allais sur Google le fond était bleu … Alors j’ai refait un scan et là encore 3 virus de trouvés … Je ne comprends pas …

34. malekalmorte

    Posté le 15 février 2012 à 12:24

    Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

35. Xavier

    Posté le 15 février 2012 à 12:46

    Bonjour, j’ai été moi aussi infecté par ce virus plutôt coriace. Après deux jours de prise de tête, j’ai enfin trouvé une solution (nécessite 2 ordinateurs) :

    -télécharger roguekiller et malwarebytes et les mettre sur une clé (avec un ordinateur autre que celui infecté)
    -ensuite, mettre la clé sur l’ordi infecté avant le démarrage. Démarrer le, et appuyer sur F8. Aller dans « invite de commande en mode sans échec » (la 3ème en partant du haut). Si la page du virus s’ouvre de nouveau, appuyer sur ctrl+alt+pause.
    -une fenêtre noire s’ouvre, entrez « diskmgmt.msc ».
    -une fenêtre s’ouvre, vous pouvez de là ouvrir votre disque dur externe et lancer roguekiller. Ensuite installer malwarebytes et cochez la case « lancer malwareytes après l’installation ». Faites un scan et supprimer les virus.
    -Redémarrez l’ordi, refaites de nouveau un scan avec roguekiller et malwarebyte pour le supprimer définitivement.

    Voilà, en espérant que cette astuce peu orthodoxe puisse vous aidez. Bonne chance !

36. john

    Posté le 17 février 2012 à 7:23

    J’ai attrapé ce virus il y a 2 jours. Merci à Malekalmorte pour ses explications très détaillées en vidéo. Mon PC fonctionne à nouveau !

37. Merci Xavier

    Posté le 17 février 2012 à 7:33

    Bien joué Xavier, ta solution marche du tonnerre. Les admins devraient le mettre dans la page principale comme solution intermédiaire pour ceux qui n’arrivent pas à simplement fermer avec CTRL + ALT + PAUSE

    merci

38. argol13

    Posté le 22 février 2012 à 1:40

    reprendre le contrôle de l’ordi, (clrt+alt+suppr+pause), puis un petit coup de malewarebites. pb resolu en 15min

39. Florian

    Posté le 26 février 2012 à 12:52

    Xavier ta methode marche !!!
    L’ordinateur etait infecté hier soir, et ce midi c’etait reglé!!!
    Merci beaucoup!!!

40. Skaldir

    Posté le 27 février 2012 à 10:19

    Salutations,

    Je viens aussi d’avoir cette fenêtre. Ce n’est pas la première fois que je me fais infecté, je me tape régulièrement des rogue spyware dont le principe est le même.

    Ce genre de malware s’installe via des trojans. Ceux ci peuvent venir de certains sites que vous fréquentez qui utilisent des exploit dans les scripts de votre navigateur pour s’installer ( firefox et chrome compris ). Un scan régulier peut aider à contrer ca, mais le plus sûr reste de trouver les sites en question et de s’en débarasser ou essayer de s’en passer.

    En ce qui me concerne. La commande avec pause fonctionne, mais j’utilise un killer de processus ( pkiller , mais rkill fait aussi bien pour ceux qui connaissent ) et aprés je fais un scan avec Malwarebytes et Spybot en mode normal. La plupart du temps ca suffit pour ce genre d’infections. Si ca persiste, mode sans echec et élimination manuelle de ce qui peut encore poser le problème.

    Juste une chose, que vous soyez débutant ou non en informatique, faites passer le message qu’ils ne faut pas céder à ce genre de chantage. Ils prennent différentes formes mais n’ont qu’un seul but, vous extorquez du fric et vous faire perdre du temps. Il faut se prémunir au possible contre ce genre de chose, et la première et meilleure solution reste d’être informé. Il faut aussi sauvegardé régulièrement ses données importantes sur support externe. Après c’est surtout de la prudence.
    Puis si ca arrive, ne pas paniquer et être patient, les solutions finissent par arriver si elles ne sont pas encore là.

    Ce genre de chose sont vraiment frustrantes, énervantes; mais je préfère un internet comme ca qu’un internet complétement fermé et contrôlé par des gouvernements et des multinationales. C’est ce qui risque arrivé si l’on ne soutiens pas complétement l’internet ouvert.

    Cordialement,

    Skaldir

41. sylvie

    Posté le 29 février 2012 à 4:57

    Merci bcp pour vos conseils. Je viens d’attraper ce virus il y 1 heure environ sur l’ordinateur familial et c’était la panique totale puisque plus rien ne répond. J’ai alors pris l’ordi portable de ma fille pour me connecter et chercher une solution. Je suis tombé sur ce site et en faisant ctrl+alt+pause au démarage quand « bienvenue » s’affiche j’ai réussi à fermer la fenètre Gema (clic droit sur l’onglet tout à fait en bas) Il faut faire très vite, je m’y suis reprise 2 fois mais j’y suis arrivé.
    MERCI

42. olive

    Posté le 2 mars 2012 à 9:41

    merci a xavier pour son aide ainsi ka malekal! ct galere sous windows 7

43. grazou

    Posté le 2 mars 2012 à 8:05

    bonsoir a tous j’ai tout d’abord choper le virus gema et la un autre police nationnale mais dans le meme genre ctrl alt pause ne marche comment faire pour m’en debarraser car plus ordi la page ne s’en va pas ggggrrrrr !!! merci d’avance a tous ceux qui m’aideront!!!!qu’elle consequence cela peut avoir !!!

44. Le.Scorpion

    Posté le 3 mars 2012 à 6:05

    Bonjour a tous je me le suis chopper aussi et meme avec les touche sa ne fait rien…
    Par contre jai une autre session sur mon HP Mini et Gema ni est pas il a affecté que ma session d’administrateur…
    Bref aider-moi ya til une solution pour que je me debarasse de cette merde a partir de l’autre session

45. Le.Scorpion

    Posté le 3 mars 2012 à 6:42

    Re bonjour Jai reussi
    Sur mon PC javai une otre session (standard).Ma session d’administrateur a ete affecter par GEMA alors jai ete sur la session standard et GEMA n’y etait pas alors jai nommer le compte standard administrateur et reussi a supprimer le compte affecté bref pu de gema jsuis trop content

    PS: si vouler plus de detail laisser commentaires ;D

46. Thalewste

    Posté le 4 mars 2012 à 7:32

    Bonjour,
    Mon copain m’a appelé mort de peur hier soir parce qu’il avait attrapé ce virus, en pensant que la police l’avait vraiment attrapé. J’ai d’abord cherché ce que c’était, pour voyant que c’était un virus comme je lui avais déjà supposé, je me suis référencée à ce tutoriel très simple et efficace, merci beaucoup pour ce tutoriel =)

47. Effective

    Posté le 5 mars 2012 à 1:29

    Tutorial génial ! Super solution, j’ai été touché par cette merd* et grâce à vous j’ai pu supprimer ce « virus ».

    Il faudrait être vraiment débile ou plutôt naïf pour payer la sois disante amende

48. Alain

    Posté le 7 mars 2012 à 10:10

    Merci pour les 2 outils, qui m’ont bien aidé! (Roguekiller et Malwarebytes)
    La combinaison de touches pour fermer le virus GEMA était CTRL+ALT GR+PAUSE.

    Encore merci pour ce tuto.

49. Maurice

    Posté le 8 mars 2012 à 11:32

    Bonjour
    Perso, j’ai eu le virus sur mon xp, j’ai démarré un imageur de partition, recopié mon image sur la partition infecté, et terminé, le virus a disparu.
    Mais je garde vos recettes pour le cas où.
    Maurice

50. Phil

    Posté le 10 mars 2012 à 6:25

    Et un de plus à s’être fait attaquer.

    Merci à Xavier pour sa recette. J’ai réussi à virer ce p…. de virus.

51. LAURA

    Posté le 10 mars 2012 à 4:54

    Bonjour je me suis infectée aujourd’hui et la méthode ctrl+alt+fn+pause ou ctrl+alt gr+pause ne fonctionne pas…. je ne peux donc pas fermer la fenetre du virus et avoir acces a internet pour telecharger rogue killer… j’ai un pc portable un DELL et je suis sous windows 7 pro.
    Quelu’un aurait une solution? merci

52. Clemoucheron

    Posté le 13 mars 2012 à 5:23

    merci bien !

53. Chris

    Posté le 14 mars 2012 à 11:05

    Bonjour,g aussi été infecté par ce virus,la solution ctrl-alt-fn-pause m’enlève bien la page mais un écran noir apparaît et a part ouvrir le gestionnaire de tâche je ne peux rien faire!!! G bien chercher à arrêter le processus décrit plus haut mais il n’apparaît pas!!!
    En mode sans échec avec ou sans connexion c’est la même musique,impossible de reprendre la main…aidez moi svp,il y a pas mal de fichier important sur mon ordi.
    Merci d’avance et un grand merci à tous les internautes expert en informatique d’aider tous ceux qui en ont besoin!

54. phil

    Posté le 16 mars 2012 à 3:37

    Version allemande de cette crasse , plus de mode sans echec , kapersky rescue qui éteint le pc , ou qui subit le shutdown ( d ‘apres les lignes de commandes que j ‘ ai eu (peu) le temps de lire pendant l ‘ extinction c’ est la commande run qui déclencherait celle ci, pas d ‘ acces par ctrl-alt -pause , mais un peu de « temps a la souris  » apres les essais avec kapersky
    Bref avec un rogue killer sur clé usb j ‘ ai fini par arriver à l ‘ executer avant que le malware ne me bloque et miracle la fenêtre rogue est rester devant le masque de rançon , la je passe malwarebytes apres rogue ,
    Merci a tous.
    Phil

55. anne

    Posté le 29 mars 2012 à 7:02

    Bonjour
    J’ai attrapé mercredi un virus sur l’ordi du boulot, avast m’a demandé de scanner, de supprimer ou mettre en quarantaine, j’ai supprimé. Un pavé m’explique que tout n’a pas fonctionné, qu’il me reste des choses contaminées. Ensuite de nombreuses fenêtres (une dizaine) se mettent en route en même temps (je ne me souviens plus de ce qui est noté, je n’ose pas rallumer l’ordi), je tente de les fermer, puis à la fin on me demande d’acheter une nouvelle protection sécurité. Je n’ai accès à rien. J’ai peur d’avoir perdu tout mon travail que j’ai hélas très partiellement sauvegardé. J’ai besoin d’une aide (avec des termes simples !), un grand merci.

56. milena108

    Posté le 30 mars 2012 à 12:47

    UN GRAND MERCI A XAVIER!!!!

    TA SOLUTION MARCHE DU TONNERRE, LE PC EST A NOUVEAU OPERATIONNEL

    MERCI, MERCI,

57. themis

    Posté le 5 avril 2012 à 10:27

    Bonsoir!
    Juste merci à vous qui passez du temps à expliquer toutes ces procédures pour se sortir de là
    j’ai eu ce virus et heureusement grâce à vous j’ai réusi à m’en sortir et vraiment je vous tire mon chapeau: C’EST CA AUSSI ETRE CITOYEN, ce que vous faites là au quotidien…Chapeau bas à tous et à toutes! car quand on n’est pas formé c’est flippant, frustrant….Alors que mon ordi j’en ai besoin pour mon boulot je n’ai aucune formation
    MERCI, MERCI ENCORE

58. Adri

    Posté le 9 avril 2012 à 8:24

    Bonjour,
    ‘ai attrappé ce virus en allemagne et aucune solution ne marche, pas même celle de Xavier, en effet ctrl+alt+pause ne m’ouvre aucune fenêtre noire..
    En fait apres le mot de passe, mon écran me montre soit le virus, soit un ecran internet explorer  » ce programme ne peut pas afficher la page web » si je l’allume en mode sans échec et lorsque je veux ouvrir le gestionnaire des tâches, il s’ouvre une micro seconde puis disparait…
    Que dois je faire ??

59. boro

    Posté le 9 avril 2012 à 2:51

    http://xylibox.blogspot.fr/2012/03/gema-fakepolicealert.html

60. Gianni

    Posté le 10 avril 2012 à 12:49

    Merci bien à Xavier !!!
    Je suis reussi à réprendre le control de mon PC…

61. kieffer

    Posté le 16 avril 2012 à 10:50

    Bonjour,

    J’ai viré le Trojan Sacem de mon pc de bureau la semaine dernière.
    Ma question est la suivante:
    Combien de temps peut-il s’écouler entre le téléchargement du trojan et le blocage du pc?
    Merci pour votre aide.

62. Lucien

    Posté le 17 avril 2012 à 3:37

    Bonjour !

    Je suis sous ordinateur portable HP et win 7 édition familiale et j’ai le même problème…
    Je bourrine les boutons CTRL ALT PAUSE et CTRL ALT FN PAUSE mais rien
    Ne se passe… Quelqu’un peut-il m’aider ? :’(

63. Sabrina

    Posté le 20 avril 2012 à 8:34

    J ai testé la plupart des solutions proposées sous Xp. La seule qui a fonctionne est celle de Xavier. Merci a Xavier et aux autres contributeurs.

64. Ramel

    Posté le 26 avril 2012 à 8:40

    Sur mon ordinateur j’avais le choix de démarrage entre deux systèmes, j’ai démarré avec le système d’exploitation qui n’était pas bloqué, ensuite avec l’explorateur de fichiers je suis allé dans le répertoire cwindowssystem32, j’ai affiché les fichiers par date, dans les derniers il y avait un exécutable avec la date du jour même, j’ai effacé cet exécutable (le nom doit être plus ou moins aléatoire), j’ai aussi lancé un nettoyage par l’antivirus et Malwarebytes mais encore une fois la méthode manuelle est meilleure car le virus changeant de nom il n’est pas forcément reconnu. Ensuite j’ai redémarré mon système d’exploitation normal et là ça marche. Ensuite pour enlever la clé de lancement de l’exécutable de virus dans le registre ce n’est pas besoin d’éditer soi même le registre, il suffit de lancer ccleaner en effet il supprime les clés obsolètes de lancement ne correspondant à aucun fichier. Donc il supprime les clés correspondant au programme effacé. Pour avoir accès au registre on est obligé d’être lancé dans le système d’exploitation correspondant, l’accès en « extérieur » ne fonctionne pas.
    Si vous n’avez pas 2 systèmes d’exploitation il y aussi la solution de démarrer sur un disque live Cd de linux ou autre, et sinon pour les bricoleurs enlever le disque dur et le brancher par une interface USB sur un autre ordinateur pour nettoyer ce disque. JLouis

65. nathy555

    Posté le 28 avril 2012 à 11:49

    j’effectue la manipulation de xavier, mais sur mon ordinateur, quand je souhaite faire ctr+alt+pause j’ai le gestionnaire de tache qui est désactivé et je peux donc effectuer les autre manipulation car le virus intervient en full screen et je ne peux plus rien faire .

    Quelqu’un aurait-il la solution ?

    Merci à vous

66. NADINE

    Posté le 3 mai 2012 à 9:03

    Merci beaucoup Xavier, ta solution a marche pour moi.
    Merci a vous tous

67. Bellande

    Posté le 4 mai 2012 à 8:07

    Bravo Xavier (15 février 2012 à 12:46) ca marche super

68. ludo897

    Posté le 16 mai 2012 à 3:25

    Merci à Xavier après plusieurs heures de galère j’ai réussi grâce à toi .

69. Antho

    Posté le 18 mai 2012 à 9:05

    Bonjour, j’ai attrapé la version belge de ce virus … GEMA devient SABAM … J’ai essayé tout ce qui était proposé comme solution mais rien ne marche :
    - Aucuns des modes sans échec
    -La combinaison ctrl alt pause ou ctrl alt gr pause ou … ne marge pas …
    -Impossible d’avoir l’invit commande
    -le gestionnaire de tâche ne semble pas vouloir s’ouvrir …
    - j’ai plusieur compte utilisateur, et seulement le compte admin est accessible. Lorsque j’essaie de lancer les autres, on me redirige vers le choix de la session pour que je choisisse la session administrateur.
    Bref, j’ai l’impression d’avoir chopé la version puissance 1000 et donc vachement plus corriace … Quelqu’un saurait il m’aider ? C’est assez urgent, j’ai des travaux universitaires à rendre …
    Bien à vous

70. Alex

    Posté le 18 mai 2012 à 11:08

    Bonjour,

    Merci à Xavier pour sa solution ! Cependant, je n’arrive pas à remettre le gestionnaire de taches… j’ai essayé *gpedit.msc mais sans succes sur Windows 7 familiale
    *regedit mais la valeur est deja « 0″

    Merci de votre aide !