Virus Gema (bloquage de l'ordinateur)
Résolu/Fermé
A voir également:
- Virus Gema (bloquage de l'ordinateur)
- Ordinateur qui rame - Guide
- Réinitialiser ordinateur - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Qu'est ce qui se lance au démarrage de l'ordinateur - Guide
- Comment réinitialiser un ordinateur verrouillé - Guide
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
22 févr. 2012 à 13:09
22 févr. 2012 à 13:09
Salut,
Regarde là : https://www.malekal.com/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/
CTRL+ALT+PAUSE doit le fermer.
Tu peux récupérer la main pour faire RogueKiller + Malwarebyte.
Regarde là : https://www.malekal.com/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/
CTRL+ALT+PAUSE doit le fermer.
Tu peux récupérer la main pour faire RogueKiller + Malwarebyte.
Templier Nocturne
Messages postés
7734
Date d'inscription
jeudi 22 janvier 2009
Statut
Membre
Dernière intervention
21 mai 2016
1 104
22 févr. 2012 à 13:12
22 févr. 2012 à 13:12
Je propose que tu arrête de télécharger n'importe quoi...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
22 févr. 2012 à 13:13
22 févr. 2012 à 13:13
c'est par un exploit et notamment par des malvertising: https://www.malekal.com/malvertising-clicksor-toujours-en-ligne-internet-security-et-zeroaccess/
La simple visite d'un site permet l'infection, pas de téléchargement direct.
La simple visite d'un site permet l'infection, pas de téléchargement direct.
Templier Nocturne
Messages postés
7734
Date d'inscription
jeudi 22 janvier 2009
Statut
Membre
Dernière intervention
21 mai 2016
1 104
22 févr. 2012 à 13:16
22 févr. 2012 à 13:16
Ouais, fin à priori, on ne trouve pas ça sur le premier site venu, si ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
22 févr. 2012 à 13:36
22 févr. 2012 à 13:36
on ne trouve pas ça sur le premier site venu, si ?
Cette infection a été pensée pour être mis sur les sites de streaming, vu que le but c'est de se faire passer par la police.
Mais des sites hackés, y en a tous les jours, en général, ça ammène des infections types "rogue/scareware" ou du Zbot/spyeye.
Cette infection a été pensée pour être mis sur les sites de streaming, vu que le but c'est de se faire passer par la police.
Mais des sites hackés, y en a tous les jours, en général, ça ammène des infections types "rogue/scareware" ou du Zbot/spyeye.
Templier Nocturne
Messages postés
7734
Date d'inscription
jeudi 22 janvier 2009
Statut
Membre
Dernière intervention
21 mai 2016
1 104
22 févr. 2012 à 13:39
22 févr. 2012 à 13:39
Alors toutes mes excuses si tu as chopé ça sur un site légitime...
J'ai réussi à prendre la main en faisant ctrl+alt+supp tout de suite à l'ouverture de ma session et j'ai supprimer l'exécution gema.exe (il faut être très rapide)! A partir de là je peux faire une analyse avec malwarebytes. On verra bien si il arrive à supprimer ce virus.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
22 févr. 2012 à 19:50
22 févr. 2012 à 19:50
cool !
Poste le rapport Malwarebyte quand le scan est terminé !
Poste le rapport Malwarebyte quand le scan est terminé !
Voilà tout est rentré dans l'ordre ! Voici le rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.22.02
Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Delphine :: PC-DE-DELPHINE [administrateur]
22/02/2012 13:47:04
mbam-log-2012-02-22 (13-47-04).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 429679
Temps écoulé: 1 heure(s), 36 minute(s), 39 seconde(s)
Processus mémoire détecté(s): 1
C:\Windows\System32\crrss.exe (Trojan.Agent) -> 1300 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Windows\system32\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Trojan.Ransom.ICL) -> Données: C:\ProgramData\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Users\Delphine\AppData\Roaming\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Trojan.Downloader) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|crrss (Trojan.Agent) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Données: 0 -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Ransom.ICL) -> Mauvais: (C:\ProgramData\gema\gema.exe) Bon: () -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Agent) -> Mauvais: (C:\Windows\system32\crrss.exe) Bon: () -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Windows\System32\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LSUZ9MJC\test[1].exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\temp\8D9F.tmp (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\Microsoft\F7DD\F136.exe (Trojan.Agent.PE5) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Desktop\RK_Quarantine\gema.exe.vir (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\winlogon.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\crrss.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.22.02
Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Delphine :: PC-DE-DELPHINE [administrateur]
22/02/2012 13:47:04
mbam-log-2012-02-22 (13-47-04).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 429679
Temps écoulé: 1 heure(s), 36 minute(s), 39 seconde(s)
Processus mémoire détecté(s): 1
C:\Windows\System32\crrss.exe (Trojan.Agent) -> 1300 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Windows\system32\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Trojan.Ransom.ICL) -> Données: C:\ProgramData\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Données: C:\Users\Delphine\AppData\Roaming\gema\gema.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Trojan.Downloader) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|crrss (Trojan.Agent) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Données: 0 -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Ransom.ICL) -> Mauvais: (C:\ProgramData\gema\gema.exe) Bon: () -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Agent) -> Mauvais: (C:\Windows\system32\crrss.exe) Bon: () -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Windows\System32\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\gema\gema.exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LSUZ9MJC\test[1].exe (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Local\temp\8D9F.tmp (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\Microsoft\F7DD\F136.exe (Trojan.Agent.PE5) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Desktop\RK_Quarantine\gema.exe.vir (Trojan.Ransom.ICL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\winlogon.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\crrss.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
J'ai le même problème sauf que je n'ai pas de touch pause sur mon clavier (portable HP) comment je peux faire ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
22 févr. 2012 à 19:50
22 févr. 2012 à 19:50
créez ton sujet stp.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
23 févr. 2012 à 19:34
23 févr. 2012 à 19:34
Delphine, tu as d'autres infections \o
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
24 févr. 2012 à 12:56
24 févr. 2012 à 12:56
bha fait au moins celui là :
- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
24 févr. 2012 à 13:29
24 févr. 2012 à 13:29
hum..
O23 - Service: AMService - Unknown owner - C:\Windows\TEMP\tltacc\setup.exe (file missing)
Quand tu fais des recherches Google, tu arrives sur le bon site quand tu clics sur les résultats?
O23 - Service: AMService - Unknown owner - C:\Windows\TEMP\tltacc\setup.exe (file missing)
Quand tu fais des recherches Google, tu arrives sur le bon site quand tu clics sur les résultats?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
24 févr. 2012 à 13:45
24 févr. 2012 à 13:45
OK.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
24 févr. 2012 à 14:04
24 févr. 2012 à 14:04
bha je dirai que non comme ça :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
24 févr. 2012 à 14:29
24 févr. 2012 à 14:29
ayé :)
voici le résultat de Malwarebytes
je n'arrive pas à supprimer définitivement trojan.ransom car il est toujours présent même après redémarrage
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
<gras>HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\User\LOCALS~1\Temp\msxajbz.bat -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
je n'arrive pas à supprimer définitivement trojan.ransom car il est toujours présent même après redémarrage
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
<gras>HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\User\LOCALS~1\Temp\msxajbz.bat -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)