Virus GEMA : L’accès à votre ordinateur a été fermé

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Une nouvelle variante d’un ransomware après le Virus Gendarmerie : GEMA – L’accès à votre ordinateur a été fermé
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement 

GEMA : L'accès à votre ordinateur a été fermé

 

 

 

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Fermer la fenêtre Virus Gema

Il est possible de récupérer la main sur le système via la combinaison de touches CTRL+ALT+PAUSE (pause est la touche en haut à droite du clavier).
Si la fenêtre se relance, refaire la combinaison de touche assez rapidement pour la fermer, celle-ci devrait plus se lancer.
Vous pouvez ensuite faire un scan avec  ou RogueKiller avec l’option suppression puis  Malwarebyte Anti-Malware

(Dans le cas où vous ne récupérez pas votre bureau après la fermeture de la fenêtre GEMA, faire CTRT+ALT+SUPPR pour ouvrir le gestionnaire de tâches puis Menu Fichier / Nouvelle tâche et taper iexplore.exe et valider.
Cela doit lancer Internet Explorer, ce qui peux vous permettre de télécharger RogueKiller et Malwarebyte).

En vidéo :

http://www.youtube.com/watch?v=ymEDUBpXFvw

Windows Seven : Restauration du système

Seulement pour ceux qui sont en Windows Seven :  Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Depuis un CD Live : Kaspersky Live CD et Windows Unlocker

Kaspersky Live CD inclue une fonction Windows Unlocker qui permet de récupérer la main tout de suite après en mode sans échec pour par exemple utiliser Malwarebyte Anti-Malware ou RogueKiller.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.

Plus d’informations : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Kaspersky Live CD et Windows Unlocker

Depuis un CD Live

Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : http://support.kaspersky.com/faq/?qid=208285003

  • Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : http://forum.malekal.com/otlpe-live-t23453.html#p195540
  • Cela permet d’avoir accès au fichier du PC.
  • Ouvrez le gestionnaire de fichiers par le menu disponible depuis un clic droit sur le bureau.
  • Allez dans le dossiers Discs, la partition C de votre disque doit être présentez.
  • Aller dans le dossier system32 de Windows et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware (ci dessous le fichier gema.exe).
  • Même chose dans le dossier utilisateur :
    • Windows Vista/Seven : C:\\Utilisateurs\\<user>\\Appdata\gema.exe et C:\\Utilisateurs\\All Users\\AppData\\gema.exe
    • Windows Xp : C:\\Documents and Settings\\<user>\\Application Data\\gema.exe et  C:\\Documents and Settings\\All Users\\Application Data\\gema.exe

Exemple ci-dessous avec le fichier malicieux gema.exe depuis le Kaspersky Live CDVirus Gema

  • Si doute, faire un scan sur VirusTotal : http://www.virustotal.com
  • Renommer le fichier en question.
  • Redémarrer l’ordinateur et voyiez si ce dernier est inactif.

Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarrer sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tappez : \\\\adresseduPC\\c$\\Windows\\System32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

EDIT 15 Février 2012

Le fichier malicieux se nomme maintenant gema.exe.
RogueKiller ne supprime pas les clefs Run, je vais prévenir l’auteur 🙂

Détection antivirus du fichier malicieux  récupéré : https://www.virustotal.com/file/67ed1a0d2b186e19211258132c267d5fd266830e1f453b15f952247eecf68a13/analysis/1329328428/

ByteHero    Trojan.Malware.Win32.xPack.h    20120215
Kaspersky    UDS:DangerousObject.Multi.Generic    20120215
NOD32	probably a variant of Win32/LockScreen.AJX	20120215

 EDIT MARS 2012

Il semblerait qu’une nouvelle variante a vu le jour. Sur cette variante la combinaison de touches CTRL+ALT+PAUSE ne semble pas fonctionner.
Le malware se charge par une simple clef Run, contrairement aux variantes précédentes.
Cependant le malware supprime les clefs Safeboot, le redémarrage en mode sans échec n’est pas possible, on obtient un écran bleu : BSOD STOP 0X0000007B

BSOD STOP 0X0000007B

Néanmoins, pour Windows XP, il est possible de lancer une restauration du système (aucune perte de données) via l’invites de commandes en mode sans échec.
Il faut passer les commandes comme dans la capture-ci dessous.

Dans le cas de Windows Seven, la restauration peux être faite au démarrage (voir début du billet).

Les clefs SafeBoot peuvent êtres restaurées, suivre la page suivante : http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

 

Ci-dessous, une capture du panel de tracking du malware. Comme vous pouvez le constater les plus touchés sont les Allemands (logique vu que l’alerte est de type GEMA).
Vous avez le nombre de vauchers 41, je vous laisse faire le calcul des gains obtenus pour ce site.

 

EDIT – 5 septembre

Retour du virus Gema en français :

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 374 times, 1 visits today)

77 thoughts on “Virus GEMA : L’accès à votre ordinateur a été fermé

  1. Bonsoir,
    J’ai été infecté par cette cochonnerie dont j’ai peiné à me débarrasser.
    Ma solution aprés de multiples essais :
    Au moment du lancement de windows, dés l’apparition du message de bienvenue, je tapote sur la touche « pause » de mon clavier et en même temps je lance « roguekiller » avec la souris.
    Le message du ransomware met plus de temps à se charger, ce qui laisse un peu de marge pour exécuter « roguekiller ». Je selectionne la touche 2 pour une éradication directe!
    Paf : mon bureau s’affiche normalement! Ouf!
    Un coup de « malwarebytes » par dessus et hop :
    Malwarebytes Anti-Malware 1.60.1.1000
    http://www.malwarebytes.org

    Version de la base de données: v2012.02.03.07

    Windows XP Service Pack 2 x86 NTFS
    Internet Explorer 6.0.2900.2180
    perso :: MARTIN [administrateur]

    03/02/2012 18:13:13
    mbam-log-2012-02-03 (18-13-13).txt

    Type d’examen: Examen rapide
    Options d’examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d’examen désactivées: P2P
    Elément(s) analysé(s): 162072
    Temps écoulé: 4 minute(s), 41 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|InetAccelerator (Trojan.Agent) -> Données: C:\WINDOWS\system32\InetAccelerator.exe -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 4
    C:\Documents and Settings\perso\Local Settings\Temp.6986987310311182.exe (Exploit.Drop.2) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\system32\InetAccelerator.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\All Users\Application Data\InetAccelerator\InetAccelerator.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\perso\Application Data\InetAccelerator\InetAccelerator.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Mille merci à vous!!!

  2. je l’ai chopé hier ce fumier de virus! je suis sur un mac book sony vaio (je sais pas si sa peut vous renseigner) j’ai lu plus haut que vous aviez une commande « pause » pensez vous que j’ai une telle touche? je n’ai pas « rogue killer » instalé sur ce meme pc je sais pas comment faire, en fait je suis dans une merde pas possib’! help…

    merci

  3. Bonjour,
    Je suis également infecté sous Win7 et toutes les tentatives de réparation décrites ici ou ailleurs ont échoué :
    – réparation du démarrage : l’outil de récupération ne trouve pas d’anomalie
    – restauration du registre : message d’erreur au moment de lister les points existants
    – accès du disque dur contaminé depuis un autre (j’ai XP sur un deuxième DD) : j’ai localisé les fichiers d’après leur date de création (3 fichiers dénommés « inet accelerator ») mais j’ai beau les supprimer, ils réapparaissent après chaque redémarrage sur Seven

    Je n’ai pas installé Malwarebyte ni rogue killer et là il semble bien que ce soit trop tard 🙁
    Mon antivirus Eset32 détecte bien la présence d’un trojan dans le fichier inetaccelerator32.exe quand je scanne le fichier individuellement sous XP mais ça n’a aucun autre effet puisqu’il revient touours.

    Est-il possible d’éditer la base de registre de mon Win7 sous Windows XP et de réparer les clés endommagées?

    Si quelqu’un a d’autres pistes, je suis preneur!

    Merci

  4. Utilise OTLPE pour le CD Live de Kaspersky pour supprimer le fichier inetaccelerator.exe
    Mais faut faire un reset des clefs du registre, Windows Unlocker sur le CD de Kaspersky ça peux aider.

  5. Bonjour à tous,

    Je suis sous Windows Vista et je viens d’attraper ce truc aujourd’hui alors que je n’ai absolument rien télécharger et je ne sais vraiment pas quoi (niveau informatique assez nul).

    J’ai donc essayé de formater mais impossible, même en essayant de passer en mode sans échec (je les ai tous passé en revu) atterri directement sur l’ouverture de cession, le Cd pour formater ne démarre pas…

    Je ne sais plus quoi faire car dès que je met mon password cette fenêtre GEMA s’ouvre tout de suite et me bloque tout : je ne peux pas la fermer, ni aller sur Internet, ni formater ni quoi que ce soit..
    Si au moins je pouvais formater !

    Si quelqu’un peux m’expliquer comment faire…

    D’avance merci !

  6. Salut. Sur windows XP, une simple combinaison des touches « Ctrl + Alt + Pause » me ferme la fenêtre GEMA et me rend la main.
    Vous pouvez toujours essayer…

  7. Bonsoir à tous,

    Au cas où cela peut en aider certains, en ce qui me concerne (sous Windows XP) j’ai réussi à m’en débarrasser de la façon suivante :
    – Démarrage en mode sans échec sans support Réseau
    – Ouvrir la session en Administrator (ou avec un compte ayant un accès de ce type)
    – Dés que le bureau commence à s’afficher, faire un Ctrl+Alt+Sup, passer sur l’onglet Processus
    – Un process du nom de inetAccelerator est présent, le sélectionner et faire un « Terminer le processus » et « Entrée ».

    Le tout est de faire cela très vite. En effet, apparemment la fenêtre Gema tente d’atteindre une ressource sur le Net (par l’intermédiaire de Winlogon) et le délai de timeout est tout juste suffisant pour permettre la manip’ et tuer le process avant qu’il ne soit trop tard. Si vous tardez trop, la fenêtre Gema bloque tout (même le Ctrl+Alt+Sup) mais en le faisant très vite à l’ouverture de session on arrive à lui couper l’herbe sous le pied.

    Ensuite procéder comme indiquer dans le premier post ( RogueKiller + MalwareBytes ), perso j’ai fait un petit coup de réparation du registre avec GlaryUtilities aussi.

  8. Alors, j’ai aussi réussi à me débarrasser du virus! (non sans mal hein!)
    Donc utiliser le CD live de Kaspersky, fait un scan, puis j’ai été dans les fichiers du PC et j’ai supprimé les fichiers que Staros (plus haut) avait mis que Rogue Killer avait trouvé!
    Puis j’ai redémarrer l’ordi, ça marchait normalement, un scan avec Rogue Killer pour me sentir rassurée! Je passerais MalwareBytes aussi comme ça j’aurais tout fait!!

    Bref, merci vous m’avez épargné le prix d’une réparation, et mon budget et moi on vous béni =D

  9. bonjour, je l ai attrapé aussi, j ai suprime la pop-up avec le bouton pause, je vois mon bureau,mon antivirus se met en route avira antivirus, (oui, parceque ce n est pas roguekiller ou malwarebit),et je clique sur suprimer via la pop up avira mais quand je redemarre le PC le malware se manifeste toujours,et quand j essaye d aller telecharger votre logiciel mon PC se bloque (avec le petit sablier a cote de la fleche) a chaque action que je veux faire y compris demarrer internet ou demarer mon antivirus manuellement le malware fait apparement disparaitre la pop up avira que faire ?

  10. Bonjour,

    Je l’ai attrapé hier soir. Je me suis renseigné ce matin sur Internet depuis le boulot. Je suis rentré chez moi à midi et j’ai réussi à fermer la fenêtre en faisant ctrl+alt+fn+pause car sur mon portable toshiba, pause est accessible par la touche fn.

    J’ai ensuite restauré le système (Windows 7) à une date ultérieure. Ca n’a pas marché. En redémarrant, le virus était toujours là.

    Je l’ai refermé de la même manière. J’ai fait une mise à jour d’Avira puis lancé un scan complet qui doit tourner en ce moment.

    Je verrai ce soir en fonction des résultats. Si ça n’a rien donné, je vais tenter Roguekiller.

    Bon courage à tous!

  11. salut, je viens de choper cette merde, et impossible de l’enlever, si quelqu’un à une idée, j’ai essayé par ctrl alt supp .. j’ai windows xp et bitdefender comme antivirus
    merci par avance

  12. j’ai chopé cette merde lundi dernier et depuis roguekiller et malware ont scanné mon PC.Il semblerait qu’il est « disparu » de mon système mais lors du démarrage mon ordi n’est plus le même car je ne retrouve plus mon BUREAU windows et je n’arrive plus à ouvrir mozilla et consort.Lorsque je balance rogue par ma clé USB il me dit que le logiciel n’est plus à jour et m’invite à télécharger la dernière et loursque j’update Rogue, mozilla s’ouvre et je peux surfer.Par contre je ne peux plus « dérouler » mon disque system et je suis embêté de cette situation ……….si qqu’un peut m’aider!Merçi

  13. Bonjour à tous,
    Je souhaite simplement laisser un commentaire car j’ai eu exactement le même problème (sous XP Pro) et que la situation est rétablie : le malware « inetaccelerator.exe » m’empêchait tout accès à quoi que ce soit et quel que soit le mode de démarrage (mode sans échec itou). J’ai suivi le conseil (l’un des nombreux et précieux conseils !) donné sur cette page et j’ai essayé avec succès la combinaison « Ctrl+Alt+Pause » qui m’a permis de reprendre la main comme vous dites. A partir de là, j’ai pu d’une part vérifier que l’intru était bien celui dont vous parliez, d’autre part me reconnecter et télécharger Malwarebytes.
    J’ai d’ailleurs eu à deux reprises un pb avec ce logiciel, je le mentionne au cas où d’autres passeraient par là : après installation de ce dernier et lancement du scan, le logiciel a, par deux fois, stoppé son scan et fermé tout bonnement (au bout d’une minute et des poussières). Je me suis dit que c’était parce que j’avais accepté la version d’essai Pro (quand on tâtonne, eh bé… on tâtonne) et j’ai donc désinstallé puis réinstallé la bêbête, en repassant évidemment par ce p-tain d’écran indépassable sauf grâce à la combinaison magique de touches sus mentionnée (n’ayez pas peur d’insister, c’est loin d’être immédiat !!). Et là, on ne m’a même pas demandé si je souhaitais essayer la version pro, bon tout est toujours clair… mais le scan s’est, cette fois-ci, déroulé complètement (environ 40 minutes) et a débouché sur la possibilité de supprimer tout les « intrus » dénichés, au premier rang desquels figurait bien entendu notre ami « inetaccelerator.exe » qui faisait de multiples apparitions à tout un tas d’endroits…
    Évidemment, plus aucun problème à partir de maintenant…
    UN GRAND MERCI À TOUS CEUX QUI PRENNENT LE TEMPS DE TUYAUTER LEURS CONGÉNÈRES !!!!!!!
    @diel

    PS : j’ai essayé avant la procédure décrite ici de renommer inetaccelerator en choisissant un vocable particulièrement adapté au désagrément qu’il m’occasionnait, mais le démarrage suivant m’a prouvé que cela n’empêchait pas le malware de rentrer en fonctionnement…

  14. Otlpe,kasperky ou live cd linux me donnent accès à mon system mais je voudrais juste retrouver mon xp pro à contre coeur car je suis pas très logiciel libre.
    ps:mon menu démarrer ne montre pas tous le programmes,mon deskop ne s’affiche pas sauf sous live cd et je ne veux pas réinstaller xp pro!
    help!
    Je passe par l’ordi en wifi de ma fille pour poster sur le forum

  15. @volcan974: L’utilisation de ces outils, Live CD,… sont temporaires ; ils permettent de reprendre la main sur le système. Sur ce billet, il est marqué 2 fois en gras en couleur rouge : « Aucune aide ne sera donnée en commentaire. Créez votre propre sujet sur le forum si vous avez besoins d’aide ». Vous savez ce qu’il vous reste à faire. Windows XP existe maintenant depuis 11 ans et devrait être enterré depuis quelques temps mais comme les utilisateurs rechignent « à évoluer », ils ont été obligés d’étendre le support technique. Le SP2 s’est arrêté en juillet 2010 – le cycle de vie de ce produit mort-vivant se terminera en avril 2014. Si vous souhaitez rester fidèle à Microsoft, il est temps de mettre la main au portefeuille et d’acheter une version plus récente de Windows. Vous dites ne pas être très logiciels libres mais vous utilisez pourtant Mozilla Firefox.

  16. BJR
    et il etait present aussi en mode sans echec
    pour ma part j ai reussi a le retirer, en faisant .
    mode sans echec avec prise en charge reseau.
    ctrl-alt-pause
    telecharger malwarebytes(puis executer anti malwarebytes)
    eteindre le pc(faut vraiment l eteindre)
    demarer le pc, et cette merde de gema n est plus la, en esperant que cela vous servira.

  17. Merci à Malekalmorte pour son explication très détaillée ainsi que la vidéo…J’ai été infecté hier et mon PC fonctionne à merveille !!

  18. Tout d’abord merci à tous ceux qui ont contribué à l’ellaboration de ce forum.Je crois que j’ai réussi à éradiquer cette m…erde de GEMA – j’avais une page m’indiquant qu’il m’était impossible d’ouvrir une page web.. avec vos conseils « ctrl alt pause » je revenais à la page d’acceuil gema comme quoi j’aurais telechargé illégalement de la musique…………
    sous vista pro – démarage mode sans echec – ctrl alt pause – reprise en main du bureau – lancement de roguekiller – qui me supprime inet accelerator – redemarrage lancement de malwarebytes. — j’ai du repeter l’opération au moins 3 fois mais à première vue c’est bon.

    A noter qu’heureusement je dispose de 2DD un avec vista pro et un avec 7 sinon je sais pas comment je m’en serai sorti.
    Encore merci à tous

  19. Bonjour, il y a quelques jours, j’ai eu le virus gendarmerie nationale, police municipale et tutti quanti et grâce à votre aide, votre tutoriel super précis j’ai réussi à l’éradiquer …
    Aujourd’hui apparaît la fenêtre que vous montrez sur votre site « l’accès à votre ordinateur a été fermé » et là rien à faire … Mode sans échec impossible comme vous le dites plus haut et j’essaie aussi la combinaison ctrl+alt+pause sans succès aucun …. J’ai réussi une fois à être en mode sans échec mais je n’avais pas de connexion internet donc impossible de télécharger quoique ce soit … Là je suis sur le portable de ma fille, svp aidez moi car je n’ai pas les moyens de payer une réparation en boutique …
    Merci beaucoup par avance, heureusement qu’il existe une entraide entre internautes c’est super sympa…

  20. Merci merci merci je ne sais pas comment j’y suis arrivée mais en tapotant sur le bouton pause et après avoir essayé d’éteindre et de rallumé le pc plusieurs fois la fenêtre s’en est allée … Là je fais un scan avec mon antivirus microsoft security essentials et j’ai aussi téléchargé Malwarebytes qui est aussi entrain de scanner et a déjà détecté 8 éléments, après je ne sais pas comment les éradiquer mais je vais trouver … Merci encore à vous tous et très bonne journée 🙂

  21. bonsoir , ma sœur viens de choper cette merde ,et mon copain javais deja choper aussi mais lui impossible de l enlever , le mode sans echec ne saffiche pas on ne me demande pas si je veut redemarer windows normalement ou sans echec , donc je n’y arrive pas :/ aider moi svp !

  22. bonjour, je viens de choppé cette saloperie de virus sur mon vista .je n arrive plus a acceder au bureau.et ce que vous avait marqué pour un xp ne fonctionne pas pour le vista. comment faire j arrive juste a avoir acces au gestionnaire de taches mais sa change rien. si vous avait une idéé pour me débloqué elle sera la bien venu .merci

  23. Bonjour, je me suis (comme tout le monde) fais infectée par ce virus !!
    J’ai tenté toutes les manip’ proposées mais rien à faire je ne peux pas reprendre la main ! Donc je n’accède pas au bureau, ….
    J’ai un pc portable TOSHIBA et toutes le donnes dessues super importantes … C’est la panique !
    Je vous serez reconnaissant si quelqu’un arrive à faire revivre mon pc 🙂

    Merci pour toutes les infos et de prendre le temps de donner un coup de main

  24. Bonsoir, à ceux dont le pc est bloqué moi j’y suis arrivée en tapotant la touche pause en haut à droite du clavier dès que je redémarrais l’ordi, j’ai du m’y prendre en plusieurs fois car à chaque fois la page réapparaissait … Ensuite j’ai téléchargé Malwarebytes fait un scan il a trouvé 9 infections et les a toutes supprimées … En revanche ce soir à nouveau j’ai failli avoir la page en question, je ne comprends pas … pourtant mon ordi est protégé, j’ai ouvert un site et la fenêtre s’est fermée puis quand j’allais sur Google le fond était bleu … Alors j’ai refait un scan et là encore 3 virus de trouvés … Je ne comprends pas …

  25. Bonjour, j’ai été moi aussi infecté par ce virus plutôt coriace. Après deux jours de prise de tête, j’ai enfin trouvé une solution (nécessite 2 ordinateurs) :

    -télécharger roguekiller et malwarebytes et les mettre sur une clé (avec un ordinateur autre que celui infecté)
    -ensuite, mettre la clé sur l’ordi infecté avant le démarrage. Démarrer le, et appuyer sur F8. Aller dans « invite de commande en mode sans échec » (la 3ème en partant du haut). Si la page du virus s’ouvre de nouveau, appuyer sur ctrl+alt+pause.
    -une fenêtre noire s’ouvre, entrez « diskmgmt.msc ».
    -une fenêtre s’ouvre, vous pouvez de là ouvrir votre disque dur externe et lancer roguekiller. Ensuite installer malwarebytes et cochez la case « lancer malwareytes après l’installation ». Faites un scan et supprimer les virus.
    -Redémarrez l’ordi, refaites de nouveau un scan avec roguekiller et malwarebyte pour le supprimer définitivement.

    Voilà, en espérant que cette astuce peu orthodoxe puisse vous aidez. Bonne chance !

  26. J’ai attrapé ce virus il y a 2 jours. Merci à Malekalmorte pour ses explications très détaillées en vidéo. Mon PC fonctionne à nouveau !

  27. Bien joué Xavier, ta solution marche du tonnerre. Les admins devraient le mettre dans la page principale comme solution intermédiaire pour ceux qui n’arrivent pas à simplement fermer avec CTRL + ALT + PAUSE

    merci 😉

  28. Salutations,

    Je viens aussi d’avoir cette fenêtre. Ce n’est pas la première fois que je me fais infecté, je me tape régulièrement des rogue spyware dont le principe est le même.

    Ce genre de malware s’installe via des trojans. Ceux ci peuvent venir de certains sites que vous fréquentez qui utilisent des exploit dans les scripts de votre navigateur pour s’installer ( firefox et chrome compris ). Un scan régulier peut aider à contrer ca, mais le plus sûr reste de trouver les sites en question et de s’en débarasser ou essayer de s’en passer.

    En ce qui me concerne. La commande avec pause fonctionne, mais j’utilise un killer de processus ( pkiller , mais rkill fait aussi bien pour ceux qui connaissent ) et aprés je fais un scan avec Malwarebytes et Spybot en mode normal. La plupart du temps ca suffit pour ce genre d’infections. Si ca persiste, mode sans echec et élimination manuelle de ce qui peut encore poser le problème.

    Juste une chose, que vous soyez débutant ou non en informatique, faites passer le message qu’ils ne faut pas céder à ce genre de chantage. Ils prennent différentes formes mais n’ont qu’un seul but, vous extorquez du fric et vous faire perdre du temps. Il faut se prémunir au possible contre ce genre de chose, et la première et meilleure solution reste d’être informé. Il faut aussi sauvegardé régulièrement ses données importantes sur support externe. Après c’est surtout de la prudence.
    Puis si ca arrive, ne pas paniquer et être patient, les solutions finissent par arriver si elles ne sont pas encore là.

    Ce genre de chose sont vraiment frustrantes, énervantes; mais je préfère un internet comme ca qu’un internet complétement fermé et contrôlé par des gouvernements et des multinationales. C’est ce qui risque arrivé si l’on ne soutiens pas complétement l’internet ouvert.

    Cordialement,

    Skaldir

  29. Merci bcp pour vos conseils. Je viens d’attraper ce virus il y 1 heure environ sur l’ordinateur familial et c’était la panique totale puisque plus rien ne répond. J’ai alors pris l’ordi portable de ma fille pour me connecter et chercher une solution. Je suis tombé sur ce site et en faisant ctrl+alt+pause au démarage quand « bienvenue » s’affiche j’ai réussi à fermer la fenètre Gema (clic droit sur l’onglet tout à fait en bas) Il faut faire très vite, je m’y suis reprise 2 fois mais j’y suis arrivé.
    MERCI

  30. bonsoir a tous j’ai tout d’abord choper le virus gema et la un autre police nationnale mais dans le meme genre ctrl alt pause ne marche comment faire pour m’en debarraser car plus ordi la page ne s’en va pas ggggrrrrr !!! merci d’avance a tous ceux qui m’aideront!!!!qu’elle consequence cela peut avoir !!!

  31. Bonjour a tous je me le suis chopper aussi et meme avec les touche sa ne fait rien…
    Par contre jai une autre session sur mon HP Mini et Gema ni est pas il a affecté que ma session d’administrateur…
    Bref aider-moi ya til une solution pour que je me debarasse de cette merde a partir de l’autre session

  32. Re bonjour Jai reussi
    Sur mon PC javai une otre session (standard).Ma session d’administrateur a ete affecter par GEMA alors jai ete sur la session standard et GEMA n’y etait pas alors jai nommer le compte standard administrateur et reussi a supprimer le compte affecté bref pu de gema jsuis trop content

    PS: si vouler plus de detail laisser commentaires ;D

  33. Bonjour,
    Mon copain m’a appelé mort de peur hier soir parce qu’il avait attrapé ce virus, en pensant que la police l’avait vraiment attrapé. J’ai d’abord cherché ce que c’était, pour voyant que c’était un virus comme je lui avais déjà supposé, je me suis référencée à ce tutoriel très simple et efficace, merci beaucoup pour ce tutoriel =)

  34. Tutorial génial ! Super solution, j’ai été touché par cette merd* et grâce à vous j’ai pu supprimer ce « virus ».

    Il faudrait être vraiment débile ou plutôt naïf pour payer la sois disante amende

  35. Merci pour les 2 outils, qui m’ont bien aidé! (Roguekiller et Malwarebytes)
    La combinaison de touches pour fermer le virus GEMA était CTRL+ALT GR+PAUSE.

    Encore merci pour ce tuto.

  36. Bonjour
    Perso, j’ai eu le virus sur mon xp, j’ai démarré un imageur de partition, recopié mon image sur la partition infecté, et terminé, le virus a disparu.
    Mais je garde vos recettes pour le cas où.
    Maurice

  37. Et un de plus à s’être fait attaquer.

    Merci à Xavier pour sa recette. J’ai réussi à virer ce p…. de virus.

  38. Bonjour je me suis infectée aujourd’hui et la méthode ctrl+alt+fn+pause ou ctrl+alt gr+pause ne fonctionne pas…. je ne peux donc pas fermer la fenetre du virus et avoir acces a internet pour telecharger rogue killer… j’ai un pc portable un DELL et je suis sous windows 7 pro.
    Quelu’un aurait une solution? merci

  39. Bonjour,g aussi été infecté par ce virus,la solution ctrl-alt-fn-pause m’enlève bien la page mais un écran noir apparaît et a part ouvrir le gestionnaire de tâche je ne peux rien faire!!! G bien chercher à arrêter le processus décrit plus haut mais il n’apparaît pas!!!
    En mode sans échec avec ou sans connexion c’est la même musique,impossible de reprendre la main…aidez moi svp,il y a pas mal de fichier important sur mon ordi.
    Merci d’avance et un grand merci à tous les internautes expert en informatique d’aider tous ceux qui en ont besoin!

  40. Version allemande de cette crasse , plus de mode sans echec , kapersky rescue qui éteint le pc , ou qui subit le shutdown ( d ‘apres les lignes de commandes que j ‘ ai eu (peu) le temps de lire pendant l ‘ extinction c’ est la commande run qui déclencherait celle ci, pas d ‘ acces par ctrl-alt -pause , mais un peu de « temps a la souris  » apres les essais avec kapersky
    Bref avec un rogue killer sur clé usb j ‘ ai fini par arriver à l ‘ executer avant que le malware ne me bloque et miracle la fenêtre rogue est rester devant le masque de rançon 🙂 , la je passe malwarebytes apres rogue ,
    Merci a tous.
    Phil

  41. Bonjour
    J’ai attrapé mercredi un virus sur l’ordi du boulot, avast m’a demandé de scanner, de supprimer ou mettre en quarantaine, j’ai supprimé. Un pavé m’explique que tout n’a pas fonctionné, qu’il me reste des choses contaminées. Ensuite de nombreuses fenêtres (une dizaine) se mettent en route en même temps (je ne me souviens plus de ce qui est noté, je n’ose pas rallumer l’ordi), je tente de les fermer, puis à la fin on me demande d’acheter une nouvelle protection sécurité. Je n’ai accès à rien. J’ai peur d’avoir perdu tout mon travail que j’ai hélas très partiellement sauvegardé. J’ai besoin d’une aide (avec des termes simples !), un grand merci.

  42. Bonsoir!
    Juste merci à vous qui passez du temps à expliquer toutes ces procédures pour se sortir de là
    j’ai eu ce virus et heureusement grâce à vous j’ai réusi à m’en sortir et vraiment je vous tire mon chapeau: C’EST CA AUSSI ETRE CITOYEN, ce que vous faites là au quotidien…Chapeau bas à tous et à toutes! car quand on n’est pas formé c’est flippant, frustrant….Alors que mon ordi j’en ai besoin pour mon boulot je n’ai aucune formation
    MERCI, MERCI ENCORE

  43. Bonjour,
    ‘ai attrappé ce virus en allemagne et aucune solution ne marche, pas même celle de Xavier, en effet ctrl+alt+pause ne m’ouvre aucune fenêtre noire..
    En fait apres le mot de passe, mon écran me montre soit le virus, soit un ecran internet explorer  » ce programme ne peut pas afficher la page web » si je l’allume en mode sans échec et lorsque je veux ouvrir le gestionnaire des tâches, il s’ouvre une micro seconde puis disparait…
    Que dois je faire ??

  44. Bonjour,

    J’ai viré le Trojan Sacem de mon pc de bureau la semaine dernière.
    Ma question est la suivante:
    Combien de temps peut-il s’écouler entre le téléchargement du trojan et le blocage du pc?
    Merci pour votre aide.

  45. Bonjour !

    Je suis sous ordinateur portable HP et win 7 édition familiale et j’ai le même problème…
    Je bourrine les boutons CTRL ALT PAUSE et CTRL ALT FN PAUSE mais rien
    Ne se passe… Quelqu’un peut-il m’aider ? :'(

  46. J ai testé la plupart des solutions proposées sous Xp. La seule qui a fonctionne est celle de Xavier. Merci a Xavier et aux autres contributeurs.

  47. Sur mon ordinateur j’avais le choix de démarrage entre deux systèmes, j’ai démarré avec le système d’exploitation qui n’était pas bloqué, ensuite avec l’explorateur de fichiers je suis allé dans le répertoire c\windows\system32, j’ai affiché les fichiers par date, dans les derniers il y avait un exécutable avec la date du jour même, j’ai effacé cet exécutable (le nom doit être plus ou moins aléatoire), j’ai aussi lancé un nettoyage par l’antivirus et Malwarebytes mais encore une fois la méthode manuelle est meilleure car le virus changeant de nom il n’est pas forcément reconnu. Ensuite j’ai redémarré mon système d’exploitation normal et là ça marche. Ensuite pour enlever la clé de lancement de l’exécutable de virus dans le registre ce n’est pas besoin d’éditer soi même le registre, il suffit de lancer ccleaner en effet il supprime les clés obsolètes de lancement ne correspondant à aucun fichier. Donc il supprime les clés correspondant au programme effacé. Pour avoir accès au registre on est obligé d’être lancé dans le système d’exploitation correspondant, l’accès en « extérieur » ne fonctionne pas.
    Si vous n’avez pas 2 systèmes d’exploitation il y aussi la solution de démarrer sur un disque live Cd de linux ou autre, et sinon pour les bricoleurs enlever le disque dur et le brancher par une interface USB sur un autre ordinateur pour nettoyer ce disque. JLouis

  48. j’effectue la manipulation de xavier, mais sur mon ordinateur, quand je souhaite faire ctr+alt+pause j’ai le gestionnaire de tache qui est désactivé et je peux donc effectuer les autre manipulation car le virus intervient en full screen et je ne peux plus rien faire .

    Quelqu’un aurait-il la solution ?

    Merci à vous

  49. Bonjour, j’ai attrapé la version belge de ce virus … GEMA devient SABAM … J’ai essayé tout ce qui était proposé comme solution mais rien ne marche :
    – Aucuns des modes sans échec
    -La combinaison ctrl alt pause ou ctrl alt gr pause ou … ne marge pas …
    -Impossible d’avoir l’invit commande
    -le gestionnaire de tâche ne semble pas vouloir s’ouvrir …
    – j’ai plusieur compte utilisateur, et seulement le compte admin est accessible. Lorsque j’essaie de lancer les autres, on me redirige vers le choix de la session pour que je choisisse la session administrateur.
    Bref, j’ai l’impression d’avoir chopé la version puissance 1000 et donc vachement plus corriace … Quelqu’un saurait il m’aider ? C’est assez urgent, j’ai des travaux universitaires à rendre …
    Bien à vous

  50. Bonjour,

    Merci à Xavier pour sa solution ! Cependant, je n’arrive pas à remettre le gestionnaire de taches… j’ai essayé *gpedit.msc mais sans succes sur Windows 7 familiale
    *regedit mais la valeur est deja « 0 »

    Merci de votre aide !

  51. Idem Antho, rien ne fonctionne. J ai aussi chopé la version Sabam de ce virus il y a ans jours…
    Plaise hèlp …

  52. J’ai essayé la solution de Xavier.

    J’avais la page SABAM (traduc belge de la page sacem) sur mon seven (ctrl alt pause inopérant).
    Avec mon deuxième pc je suis allé chercher Roguekiller et Malwarebytes Avec une clé usb j’ai pu les installer sur le pc infecté grace au mode sans échec.
    Apparemment cette solution est efficace.
    Merci Xavier!

  53. Salut à tous.
    Un truc qui a marché presque par hasard…
    Entrer en ‘mode sans échec en mode VGA’ (pourquoi…sais pas !)
    CTRL+ALT+DEL = Gestionnaire de tâche
    Lancer un nouveau processus = msconfig.exe
    Lancer la restauration du système…
    Si ça ne marche pas, lancer l’exécutable de ‘Malwarebytes’ en indiquant le programme précis…’xxx.exe’ de Malwarebytes. Evidemment,il faut disposer au préalable de Malmwarebytes sur l’ordi.
    Après cela, le virus est ‘attrapé’ et ilfaut encore ‘nettoyer’ avecMalware.
    Coup de pot ??? Chez nous, ça a marché.

    Bonne chance.

    AlbertII

  54. Damned… J ai pu lancer malwarebytes qui a detecté un trjan, et qui l a effacé. Le lendemain, en voulant démarrer le pc, autre pb, encore plus bloquant: souris et clavier bloqués, ils ne répondent plus. Le pc reste donc coincé sur l ecran windows où j entre le mot de passe…
    Serait-ce un nouveau tour du trjan? Un autre probleme? Meme si je voulais reformater le disque, comment m y prendre lorsque tout est bloqué?
    Merci d avance pour vos avis éclairés…
    Pour etre complet: qd j appuie sur F12 (le clavier fonctionne pour entrer dans le bios!) et que je choisis l invite commande ms dos, le pc demarre qd,meme sur windows…

  55. salut a tous j ai un pc windows 7 composee j ai choper se virus de put cree par des con
    J aimerai qu on m aide a le supprimer quand je lance mon ordi sa me marque bienvenu et puis pouf un ecran tous blanc mais tout tout blanc et puis le virus apparait comment je peux faire merci de l aide

  56. Salut tout le monde
    Je vous propose une technique inspirée de tout ce que je viens de lire
    PC = Vista 32 bits (c’est pas le mien ! )
    Le mode sans échec a bien démarré. J’ai fait quelques « ctrl alt pause » sans savoir si ça a été utile, win a démarré, mais seul le gestionnaire de taches fonctionnait (celui de : ctrl alt supp )

    Dans l’onglet applications, bouton nouvelle tache , j’ai lancé iexplore.exe (c’est le petit nom d’Internet Explorer) , il a bien démarré (contrairement à explorer.exe qui ne marchait pas).

    Dans la barre d’adresse, j’ai mis le chemin de ma clef USB ( d:\utilitaires , par exemple )
    J’ai double cliqué rogue killer, qui a fait son boulot comme indiqué plus haut.
    J’ai egalement passé un coup de adwcleaner.

    Un redémarrage normal, et tout est rentré dans l’ordre.
    Un nettoyage final avec les logiciels cités par malekal, et voila.

    Notez que rogue killer a fonctionné en mode sans echec a partir de la clef usb, mais ensuite j’ai du le copier sur le bureau pour qu’il fonctionne bien.

    Autre remarque, la protection anti malware de microsoft était activée ( belle inefficacité) , elle a seulement fait conflit avec l’antivirus que j’ai installé ensuite.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *