Ransomware police-sacem amende 50€ Fermé

Question

Bonsoir. 

Bien qu'ayant cherché partout sur le web, je n'arrive pas à trouver sujet équivalent au mien. 
Je l'explique : 
Je viens d'avoir un ransomware (page qui bloque le bureau et demande de l'argent) de la SACEM et la POLICE NATIONALE qui me dit que j'ai téléchargé des titres musicaux et il faut que je paie 50€ pour débloquer mon pc. 
J'ai windows 7 pro (en anglais).  

J'ai donc voulu passer en mode sans échec pour faire un scan, même problème donc pas moyen de faire quelque chose.  
Invite de commandes en mode sans échec, je tape regedit afin de corriger le registre et on me dit que ca a été désactivé donc je peux pas nan plus. 
Je veux booter avec linux sur clé usb, pas moyen de trouver les fichiers modifiés à ce moment-là. Impossible également de trouver un antivirus qui fonctionne sous linux, et scan en ligne rien non plus. 
Je boot avec le cd d'installation, aucun point de restauration disponible. 


Donc je débranche mon disque dur, le connecte à mon netbook et passe un coup de Roguekiller, j'obtiens ceci : 
¤¤¤ Entrees de registre: 6 ¤¤¤ 
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND 
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND 
[] HKCU\[...]\Desktop :  () -> ACCESS DENIED 
[] HKCU\[...]\Desktop :  () -> ACCESS DENIED 
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND 
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND 

Je les supprime donc toutes. 
Je rebranche mon DD sur l'ordinateur, allume la session et toujours le message affiché. 

Quelqu'un a une autre idée pour éviter le formatage ?

NB : je précise aussi que la manip' du "ctrl + alt + pause" ne marche pas, et le "ctrl + alt + suppr" puis démarrer internet explorer non plus...

Malekal_morte- · Accepted Answer

C'est bon j'ai un sample. 

Alors le malware se lance en mode sans échec (comme les autres) et surtout aussi en invites de commandes en mode sans échec, ce qui rend la restauration impossible pour Windows XP. 

Pour Windows Seven vous pouvez lancer une restauration au démarrage, c'est le plus simple. 

Pöur Windows XP/ Vista
Solution : Kaspersky Windows Unlocker et virer le fichier. 
puis au redémarrage RogueKiller. 

Tout ceci est résumé là : https://www.malekal.com/virus-sacem-police-nationale/ 

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Linky31 · Answer

Attention je précise que ce n'est ni le virus de la gendarmerie nationale (celui-là je l'ai viré d'un autre ordi y'a 4mois) ni d'un virus allemand type GEMA, c'est bien écrit SACEM sur la page...

AciD-R · Answer

Bonjour   

même problème se matin en regardant l'actualiser sur le net, je suis bloquer sur cette fameuse page. 

-Le formatage.

-Ou si tu a un live CD de windows, ou linux regarde dans le dossier TEMP la plus par du temps c'est un EXE qui est lancer, je peut pas tester vue j'ai plus de live CD.

 Je te tien au courent si j'ai réussi a débloquer mon pc, vue je peut pas formater trop de ficher important.....

Linky31 · Answer

Bon au moins je ne suis pas le seul à être dans cet état "avancé" du blocage...

Les fichiers temp oui, mais à quelle arborescence du DD ? 
(Après pas forcément besoin du live cd dans mon cas vu que je peux le brancher en externe sur un autre pc mais bon...)

Yorde03 · Answer

Si tu peux branche ton disque infecté en usb sur un autre pc, et lancer l'anti virus + glary utilities + ccleaner + malware, tu devrais faire un bon ménage =)

(glary va te nettoyer rapidement plein de merde et tu vas pouvoir corriger ton registre, ccleaner va terminer le nettoyage et malware s'assurer que tu n'as plus de truc pas normal sur le poste).

Sinon, le temp souvent tapé est celui de C: et C:Windows ;)

Bonne Pioche · Answer

http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

debby_13 · Answer

Même topo pour moi il y a dix minutes ! C'est un virus ? En plus j'y connais que dal en PC, help !

vendeenne50 · Answer

pareil pour moi j'ai étè a la gendarmerie ,ils m'ont dis comment faire pour le supprimé mais incapable de le supprimé (au démarrage de windows,apres la 1ere fenetre faire f8 et invite de commande sans echec ,sur la fenetre cmd.exe tapez (regedit)et validezderoulez l'arborescence en cliquant sur les + de HKEY LOCAL MACHINESOFTWARE chercher SHELL et vous devez trouvez exporer.exe remplacer par iexplorer.exe (dans la fenetre on ne peux pas supprimer donc il faut renommé .ensuite redemarrer normalement  (moi j'ai fais tous et cela ne marche pas )alors si tu y arrive dis moi ce que je n'ai pas compris merci

Yorde03 · Answer

Sortir le disque de la machine et le branche en USb ou en esclave sur un autre pc. Et lancez tous les outils cités plus haut sur votre disque affecté, ça devrait l'avoir =)

AciD-R · Answer

je regarde sa cette après-midi, vue moi je suis obliger de passer par un live CD c'est un pc portable est j'ai pas de boitier 2.5 :S

Linky31 · Answer

Je vais tester vos scans en mode DD externe ce soir, en espérant que ça puisse enfin l'enlever.

Tigzy · Answer

Salut

Donc je débranche mon disque dur, le connecte à mon netbook et passe un coup de Roguekiller, j'obtiens ceci :

Normal, comment veut tu que RogueKiller désinfecte un PC s'il n'est pas sur le PC infecté? :/

Mgeezy · Answer

J'ai été contaminé par ce virus et j'ai la solution !!!!!!!

pour ma part je l'ai eclipsé grace a une restauration system (aucune suppression de fichier je vous rassure )
au démarage faites (configuration du bios) changer les mot de passe superviseur 
quitez et faite enregister et redémarer une restauration devrai se faire .
passez ensuite un coup de malwarbytes antibytes et de ccleaner et tout devrait aller ;)

mendosa · Answer

salut j'ai eu le meme probleme ce matin sous windows 7 et jj'ai réussi (sans trop savoir comment)  à aller dans l'outil de diagnostique de demarrage de windows et là, il m'a fait une restauration de la base de registre et tout est revenu nikel ! 
il m'a fallu uniquement 20 min pour cela sans rentrer dans la base de registre ou utiliser un logiciel de scan. 
j fais quand meme quelques analyse pour etre sur qu'il n'y ai pas de problemes recurrents mais tout semble ok

Linky31 · Answer

My computer is reborn ! \o/

Pour ceux qui peuvent lire leur disque dur sur un autre ordinateur, effectuez cela :
- Scannez tout avec Glary Utilities et réparez tout.
- Nettoyez avec CCleaner, corrigez le registre
- Ensuite vous faites un scan complet du disque dur avec Malwarebyte's

Rebranchez votre DD, allumez l'ordinateur et retrouvez votre bureau... :)

Pour ceux qui ne peuvent pas faire comme ça et bien... avis aux génies informatiques, la discussion est ouverte !

(merci à tous et en particulier à Yorde03 !)

Afin de ne pas retomber dans la même galère, pensez à mettre à jours vos logiciels grâce à Filehippo Updater, très bon programme pour accéder à toutes les MAJ d'un coup d'oeil.
Et bien évidemment, ayez un antivirus à jour !

g3n-h@ckm@n · Answer

bah ils font tous n importe quoi avec n'importe quoi.....

Mbam en rate la moitié....enfin bon....

AciD-R · Answer

A l'aide d'un live CD, si vous avez pas d'autre moyen tout comme moi. 

-Télécharger n'importe quel Live CD, pour ma par sa a été BARTPE simple est rapide. 
-Booter le, attendre le chargement................... 

-Allez dans C:\User\Nom Du PC\AppData\Roaming 
-il y a un .exe du style 415445641524Q.exe supprimer le  

-Allez dans aussi dans C:\User\Nom Du PC\AppData\local 
-Pareil que au 1er. 

Aprés, réactiver les droits du pc en administrateur. 

je vous invite a lire sa  
https://www.commentcamarche.net/faq/10082-gestionnaire-des-taches-desactive 

Est pour le (REGEDIT) faite la même chose 

Toujours dans GPEDIT.MSC 

allez dans configuration utilisateur, Modèles d'administration, dans syteme est chercher dans la fenétre de droit (empêche l'accès aux outils de modifications de registre) 
clique deux fois dessus est faite DÉSACTIVE.  

On redémarre  

Une fois redémarre vous devrez avoir un ecran Noir  (pas de panique)

Faite CTRL + ALT + SUPR est cliquer sur 'Ficher , Nouvelle Tâche (Exécuter..) 

Rentrés 'Explorer.exe'  

Est voila passer un coup de malwarebyte pour trouver le méchant virus............

g3n-h@ckm@n · Answer

tu connais pas Inetaccelerator et gema toi....

AciD-R · Answer

le pc se lancer plus donc donc me conseiller des logiciel alors que le pc pouvais plus rien lancé en normal est en mode sans echec, je vois pas comme il aurai plus m'aider ;)

Yorde03 · Answer

Glary poubelle O_O...OMG ...Réparation de registre, détection de malware, scan des fichiers corrompus...

CCleaner va plus loin et permet de forcer la désinstalle de certain programme ce qui dans certain cas peut être utile. Et de vérifier si le programme malveillant ne se propage pas...

Malware permet de faire un tir global...

Et l'antivirus de contrôler tout le système pour terminer xD

Donc en effet on fait n'importe quoi avec n'importe quoi mais ça fonctionne =)

Ceci dit, la solution avec des logiciels "inutiles" ça a solutionné le problème donc it's okay =)

g3n-h@ckm@n · Answer

d'où le fait qu'on le propose jamais sur un forum de desinfection......puis suivant la variante et les degats , comme dit tigzy , faut encore arriver à les lancer les logiciels inutiles :)

Yorde03 · Answer

Vous savez, on a tous à apprendre =) Je testerai vos logiciels de façon plus complète afin de me faire une véritable idée de tout cela =) Avoir d'autres logiciels en poche prêt à l'emploie c'est toujours utile =)

g3n-h@ckm@n · Answer

ben justement faut pas les avoir dans la poche prets à l'emploi , car ils sont mis à jour plusieurs fois par jour....des fois plus souvent meme qu'un antivirus (pour ma part en tout cas après tigzy je sais pas j'y comprends rien en C++ ^^) 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Yorde03 · Answer

Avoir le nom cest déjà pas mal =) Gen, jte MP pour pas flooder ce sujet qui me semble d'ailleurs résolue (:D).
J'ai des questions ^^

Malekal_morte- · Answer

Salut,

Tu as une idée sur quel site tu as choppé ça ?

Linky31 · Answer

Coucou Malekal_morte.

Perso j'avais chopé ça en étant sur ma page d'accueil gmail... :/

Jackdemoniak · Answer

Bonjour,j'ai eu le problème tout à l'heure,il suffit de mettre le cd de reinstallation windows et de lancer une restauration...

Deudz · Answer

Salut à tous!

J'ai également été contaminé par cette bestiole.
Voici ce que j'ai fait:

Sous Vista:
J'ai appuyé sur F8 au démarrage, puis fais une restauration système à partir de là.
Au redémarrage RogueKiller.

Pour l'instant il n'est pas réapparu.

Merci à tous.

adryx · Answer

Je confirme que la restauration en invite de commande fonctionne 
Je vien de le faire

Apx · Answer

Bonjour, j'ai eu ce problème très gênant, étant feignant et débutant en informatique les méthodes proposés me semblaient trop longues et compliquées... J'ai donc usé de mes méthodes (^_^) ! 
 Pour commencer j'ai "fatiguer" mon pc. ( Genre rester 5 minutes sur "Ctrl, alt, suppr" et enchainer les "Alt,F4" et "ctrl, maj, Echap". )
Une fois que le pc à commencer à ralentir, j'ai pu entrevoir le gestionnaire des taches.
Ensuite j'ai vu dans les applications un icon Bleu avec écris " Ram.." etc.. (J'ai pas fait attention au nom.. ^^)
J'ai fait "Fin de tache". Là j'ai réussi à faire planter le programme, donc il s'est fermé ! Donc mon antivirus l'a cramé et j'ai pu lancé un scan avec Avira antivirus.  (Je croise les doigts.) 
Petit hic, ça a fait planter explorer.exe 
Donc pas d'icon, pas mon anti-malware ni l'invite de commande.. 
QUE FAIRE ? J'ai déjà réussi à le fermer c'est plutôt chouette, cependant si je redémarre maintenant, il sera dans les programmes de démarrage je suppose, non ? 
Aidez-nous les geek. :D
Pardonnez les fautes, amicalement.

Malekal_morte- · Answer

Sinon tu fais ce qui est demandé => démarrage MSE , RogueKiller

Ca ne fonctionnera pas dans la majorité des cas car la dernière variante modifie la clef Shell et donc le virus sacem se lance en mode sans échec.

D'autre part, il y a des campagnes ZeroAccess/Sirefef qui installent le virus Sacem, là depuis quelques jours, il y a un gros pic.
=> https://www.malekal.com/zeroaccesssirefef-droppe-le-virus-sacem/

Faut donc virer ZeroAccess sinon il va le remettre.

tof · Answer

solution kapersky pour la sacem (ou plutot en court avant que mon pc rebloque    je donnerai des nouvelles si j'ai reussi)

dailleur j'ai ni chiffre ni ponctuation pour l'instant donc desolé de la presentation

lancer le cd kapersky grace a f(douze)au demarage
lancer mise a jour et analise 
il m'a trouvé      trojan(point)win(trente deux)(point)autoit(point)asj

ca permet aussi de pouvoir se connecté a internet (la preuve j'y suis)

la sacem c'est tabout on en viendra tous a bout (du virus)

voliver · Answer

salut je viens de chopé cette daube ,j ai fait ctrl, alt et suppr au demarage ,mode sans echec et  restauration system , et ca a plutot l'air de marcher

340MS · Answer

salut je vien d etre infecter par le ransomware sacem j ai redemare le pc en tapotant sur f8 ensuite invite de commande sans echec puis taper "rstrui.exe"puis entrée (restauration system ) choisir une date enterieur lance la restauration le pc redemare bien faire analise anti virus

Ransomware police-sacem amende 50€

34 réponses

Discussions similaires