Virus Gema (bloquage de l'ordinateur)
Résolu
delphine
-
Krisdenerf -
Krisdenerf -
Bonjour,
En allant sur internet, j'ai été infecté par le virus Gema ("téléchargement de musique...") qui bloque l'ordinateur et qui demande de payer. Ayant déjà eu le virus de la gendarmerie nationale, je me suis souvenue qu'il fallait aller en mode sans échec pour le supprimer. Cependant, ce virus Gema se lance même en mode sans échec. J'ai donc relancé en mode normal. L'ordi est toujours bloqué mais à partir de là il ne me met plus la page du virus mais une page blanche "ce programme ne peut pas afficher la page web". J'ai par la suite essayé tout ce qui est dis sur ce forum( ctrl+alt+pause ou mode sans échec avec accès aux commances...) mais rien de fonctionne je n'ai pas la main sur l'ordinateur. Le ctrl+alt+supp fonctionne mais lorsque je fais ouvrir le gestionnaire des tâches celle-ci ne s'ouvre pas !
Que dois-je faire ???
En allant sur internet, j'ai été infecté par le virus Gema ("téléchargement de musique...") qui bloque l'ordinateur et qui demande de payer. Ayant déjà eu le virus de la gendarmerie nationale, je me suis souvenue qu'il fallait aller en mode sans échec pour le supprimer. Cependant, ce virus Gema se lance même en mode sans échec. J'ai donc relancé en mode normal. L'ordi est toujours bloqué mais à partir de là il ne me met plus la page du virus mais une page blanche "ce programme ne peut pas afficher la page web". J'ai par la suite essayé tout ce qui est dis sur ce forum( ctrl+alt+pause ou mode sans échec avec accès aux commances...) mais rien de fonctionne je n'ai pas la main sur l'ordinateur. Le ctrl+alt+supp fonctionne mais lorsque je fais ouvrir le gestionnaire des tâches celle-ci ne s'ouvre pas !
Que dois-je faire ???
A voir également:
- Virus Gema (bloquage de l'ordinateur)
- Ordinateur - Guide
- Ordinateur qui rame - Guide
- Clavier de l'ordinateur - Guide
- Réinitialiser ordinateur - Guide
- Virus mcafee - Accueil - Piratage
10 réponses
Salut,
Regarde là : https://www.malekal.com/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/
CTRL+ALT+PAUSE doit le fermer.
Tu peux récupérer la main pour faire RogueKiller + Malwarebyte.
Regarde là : https://www.malekal.com/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/
CTRL+ALT+PAUSE doit le fermer.
Tu peux récupérer la main pour faire RogueKiller + Malwarebyte.
Je propose que tu arrête de télécharger n'importe quoi...
c'est par un exploit et notamment par des malvertising: https://www.malekal.com/malvertising-clicksor-toujours-en-ligne-internet-security-et-zeroaccess/
La simple visite d'un site permet l'infection, pas de téléchargement direct.
La simple visite d'un site permet l'infection, pas de téléchargement direct.
on ne trouve pas ça sur le premier site venu, si ?
Cette infection a été pensée pour être mis sur les sites de streaming, vu que le but c'est de se faire passer par la police.
Mais des sites hackés, y en a tous les jours, en général, ça ammène des infections types "rogue/scareware" ou du Zbot/spyeye.
Cette infection a été pensée pour être mis sur les sites de streaming, vu que le but c'est de se faire passer par la police.
Mais des sites hackés, y en a tous les jours, en général, ça ammène des infections types "rogue/scareware" ou du Zbot/spyeye.
J'ai réussi à prendre la main en faisant ctrl+alt+supp tout de suite à l'ouverture de ma session et j'ai supprimer l'exécution gema.exe (il faut être très rapide)! A partir de là je peux faire une analyse avec malwarebytes. On verra bien si il arrive à supprimer ce virus.
Voilà tout est rentré dans l'ordre ! Voici le rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.22.02
Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Delphine :: PC-DE-DELPHINE [administrateur]
22/02/2012 13:47:04
mbam-log-2012-02-22 (13-47-04).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 429679
Temps écoulé: 1 heure(s), 36 minute(s), 39 seconde(s)
Processus mémoire détecté(s): 1
C:\Windows\System32\crrss.exe (Trojan.Agent) -> 1300 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Windows\system32\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Trojan.Ransom.ICL) -> Données: C:\ProgramData\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Users\Delphine\AppData\Roaming\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Trojan.Downloader) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|crrss (Trojan.Agent) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Données: 0 -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Ransom.ICL) -> Mauvais: (C:\ProgramData\gema\gema.exe) Bon: () -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Agent) -> Mauvais: (C:\Windows\system32\crrss.exe) Bon: () -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Windows\System32\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LSUZ9MJC\test[1].exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\temp\8D9F.tmp (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\Microsoft\F7DD\F136.exe (Trojan.Agent.PE5) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Desktop\RK_Quarantine\gema.exe.vir (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\winlogon.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\crrss.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.22.02
Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Delphine :: PC-DE-DELPHINE [administrateur]
22/02/2012 13:47:04
mbam-log-2012-02-22 (13-47-04).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 429679
Temps écoulé: 1 heure(s), 36 minute(s), 39 seconde(s)
Processus mémoire détecté(s): 1
C:\Windows\System32\crrss.exe (Trojan.Agent) -> 1300 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Windows\system32\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Trojan.Ransom.ICL) -> Données: C:\ProgramData\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Users\Delphine\AppData\Roaming\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Trojan.Downloader) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|crrss (Trojan.Agent) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Données: 0 -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Ransom.ICL) -> Mauvais: (C:\ProgramData\gema\gema.exe) Bon: () -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Agent) -> Mauvais: (C:\Windows\system32\crrss.exe) Bon: () -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Windows\System32\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LSUZ9MJC\test[1].exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\temp\8D9F.tmp (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\Microsoft\F7DD\F136.exe (Trojan.Agent.PE5) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Desktop\RK_Quarantine\gema.exe.vir (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\winlogon.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\crrss.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
J'ai le même problème sauf que je n'ai pas de touch pause sur mon clavier (portable HP) comment je peux faire ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Delphine, tu as d'autres infections \o
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
bha fait au moins celui là :
- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
hum..
O23 - Service: AMService - Unknown owner - C:\Windows\TEMP\tltacc\setup.exe (file missing)
Quand tu fais des recherches Google, tu arrives sur le bon site quand tu clics sur les résultats?
O23 - Service: AMService - Unknown owner - C:\Windows\TEMP\tltacc\setup.exe (file missing)
Quand tu fais des recherches Google, tu arrives sur le bon site quand tu clics sur les résultats?
OK.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
voici le résultat de Malwarebytes
je n'arrive pas à supprimer définitivement trojan.ransom car il est toujours présent même après redémarrage
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
<gras>HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\User\LOCALS~1\Temp\msxajbz.bat -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
je n'arrive pas à supprimer définitivement trojan.ransom car il est toujours présent même après redémarrage
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
<gras>HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\User\LOCALS~1\Temp\msxajbz.bat -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)