Virus GEMA
2 messages
• Page 1 sur 1
Virus GEMA
Une nouvelle variante d’un ransomware après le Virus Gendarmerie : GEMA – L’accès à votre ordinateur a été fermé
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande :https://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement
Ce dernier droppe un fichier C:/Windows/System32/InetAccelerator.exe
Bien entendu le nom va changer dans le temps avec les variantes.
Une clef Run est crée ainsi que la modification de la clef Winlogon. Cela signifie que le malware va être actif en mode sans échec incluant l’invite de commande en mode sans échec.
Désinfection
Windows Seven : Restauration du système
Seulement pour ceux qui sont en Windows Seven : Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : https://forum.malekal.com/windows-recuper...ml#p166847
Depuis un CD Live
Vous pouvez tenter une désinfection via Kaspersky CD Live : https://forum.malekal.com/kaspersky-live-...12133.html
Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : https://support.kaspersky.com/faq/?qid=208285003
Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
Cela permet d’avoir accès au fichier du PC.
Aller dans le dossier system32 et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware.
Si doute, faire un scan sur VirusTotal : https://www.virustotal.com
Renommer le fichier en question
Redémarrer l’ordinateur et voyiez si ce dernier est inactif.
Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarré sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tapez : adresseduPCc$WindowsSystem32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.
Source
Source
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande :https://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement
Ce dernier droppe un fichier C:/Windows/System32/InetAccelerator.exe
Bien entendu le nom va changer dans le temps avec les variantes.
Une clef Run est crée ainsi que la modification de la clef Winlogon. Cela signifie que le malware va être actif en mode sans échec incluant l’invite de commande en mode sans échec.
Désinfection
Windows Seven : Restauration du système
Seulement pour ceux qui sont en Windows Seven : Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : https://forum.malekal.com/windows-recuper...ml#p166847
Depuis un CD Live
Vous pouvez tenter une désinfection via Kaspersky CD Live : https://forum.malekal.com/kaspersky-live-...12133.html
Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : https://support.kaspersky.com/faq/?qid=208285003
Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
Cela permet d’avoir accès au fichier du PC.
Aller dans le dossier system32 et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware.
Si doute, faire un scan sur VirusTotal : https://www.virustotal.com
Renommer le fichier en question
Redémarrer l’ordinateur et voyiez si ce dernier est inactif.
Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarré sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tapez : adresseduPCc$WindowsSystem32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.
Source
Source
Dernière édition par MamieSophie le Jeu 23 Fév 2012 10:54, édité 1 fois.
Raison: Corrigé
Raison: Corrigé
-
sniper3d
- Master Gamer
- Messages: 2480
- Inscription: Lun 3 Jan 2011 14:07
- Sexe:
- Wi-Fi: Oui
- Dongle PS3: Aucun
En ce moment le virus gendarmerie allemande fait des siennes, mais bon, tds killler , rogue killer , malwarebytes et combo fix, lui font regretter d'etre venu sur votre pc.
-
TGbot
- Famous Member
- Messages: 4774
- Inscription: Dim 21 Sep 2008 11:15
- Sexe:
- Wi-Fi: Oui
- cIOS Wii: Aucun
2 messages
• Page 1 sur 1
Retourner vers Logiciels/Patchs PC
Articles en relation
-
- Sujets
- Réponses
- Vus
- Dernier message
-
- Virus Duqu net analyse
par sniper3d » Lun 7 Nov 2011 21:24 - 4 Réponses
- 974 Vus
- Dernier message par sniper3d
Mar 15 Nov 2011 04:33
- Virus Duqu net analyse
-
- Liste des nouveaux Virus
par sniper3d » Mer 4 Jan 2012 18:12 - 6 Réponses
- 975 Vus
- Dernier message par sniper3d
Jeu 5 Jan 2012 04:37
- Liste des nouveaux Virus
-
- Logiciels à éviter ( spyware, trojan , virus & co)
par TGbot » Ven 22 Juil 2011 10:33 - 15 Réponses
- 999 Vus
- Dernier message par Oops
Sam 23 Juil 2011 09:32
- Logiciels à éviter ( spyware, trojan , virus & co)
-
- Virus Experts Warn of Stuxnet Variant "Duqu"
par sniper3d » Mar 18 Oct 2011 23:14 - 0 Réponses
- 902 Vus
- Dernier message par sniper3d
Mar 18 Oct 2011 23:14
- Virus Experts Warn of Stuxnet Variant "Duqu"
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun membre et 6 invités