Eliminar virus GEMA / virus policía / virus gendarmerie

Ayer me mensajearon durante el concierto de Michael Schenker preguntándome por el virus GEMA. Por el nombre no caía, pero luego ya vi que es el virus de “Somos la policía, paga 50 euros o no te desbloqueamos”. Bueno, es ya la cuarta vez que me preguntar en un mes. Lo primero, si te llega un e-mail de la policía avisándote de una multa ¿Por qué te lo crees? Si la policía quisiera contactar contigo lo harían mediante una carta certificada, algo que les permita garantizar el saber que lo has recibido, no un e-mail. La prevención es la mejor defensa, dado que la ingeniería social suele ser el mejor ataque.

Si ya estáis infectados tampoco os preocupéis, todo es salvable. La primera versión del virus se podía liquidar entrando en modo seguro con funciones de red y pasando un antivirus en la nube, pero la última mutación era más cabrona, no te permitía el arranque en modo seguro. En ese caso lo primero que tienes que hacer es entrar en la BIOS de tu equipo y configurar el orden de arranque para que inicie por USB o por CD-ROM. Para los usuarios con menos experiencia es complicado explicar cómo hacerlo, porque cada fabricante de placas base o equipos va a su bola con la BIOS, tienen menús diferentes y se entra de forma diferente. En el caso de mi equipo, un Packard Bell, se entra pulsando F2, pero recuerdo haber reparado algún ACER que pedía pulsar ESC y en un sobremesa viejo (AMD k6 con placa ASUS) se entraba pulsando tabulador. Sobre cómo cambiar el arranque también depende de la bios que tengáis (la bios es un programa, a fin de cuentas, y no es un estandar, por lo que los menús pueden estar organizados de distintas formas). Si no sabes cómo acceder a la bios lo mejor es que le preguntes a algún amigo que tenga algo más de pericia para que te lo haga.

Una vez configurado el arranque por USB o por CD-ROM (algunos equipos antiguos no permiten arranque por USB) necesitas un cd de recuperación para eliminar el virus. En este enlace al siempre util Foro Spyware os explican cómo crear un USB arrancable o un cd-rom, con el software de Kaspersky para recuperar el equipo. Seguís esos pasos y deberíais tener todo solucionado.

Sobre la bios, repito lo mismo, cada una es un mundo. Si no sabéis, preguntad porque es una zona muy sensible del equipo. Este método ha sido probado en dos equipos y ha funcionado, por lo que en principio debería funcionaros, sacando que haya aparecido otra versión más del virus (que ya sería rizar el rizo).

Anuncios

11 comentarios en “Eliminar virus GEMA / virus policía / virus gendarmerie

  1. Derliz

    ¿Y qué hago si es un servidor virtual Web Server 2008? Lo tengo contratado en Strato y no hay forma de eliminar esta maldición de virus desde el modo a prueba de fallos que me da su sistema.

    1. ¿Tienes la opción de entra en modo “símbolo de sistema” (es decir, consola de comandos)? Igual desde ahí puedes lanzar un navegador y utilizar un antivirus desde la nube para eliminarlo.

    1. La nuba es Internet. En los diagramas de redes se suele representar como una nube. Un servicio “en la nube” es un servicio online (por ejemplo, un antivirus on-line, un servicio de almacenamiento de archivos)

  2. japa57

    Ya entiendo.Gracias.Mi problema es que no me deja entrar a prueba de errores ni nada.Hice una reparacion del sistema pero cuando abre el escritorio me pide validar w_xp ,le doy a cambiar la clave pero no me sirve.Me puedes decir en que ubicacion se instala el gusano y asi poder eliminarlo.Gracias por responder tan rapido.Un saludo.

    1. Bufff, si te pide validar el XP ¿no tienes la contraseña? Si asumo que tu XP está pirateado la cosa se complica. Prueba con el antivirus http://www.kaspersky.com/virusscanner si puedes arrancar, a ver si te safa. La ubicación del gusano suele ser en tu carpeta personal(C:\Documents and Settings\tu nombre de usuario) seguida de \application data\gema\gema.exe pero borrarlo no te garantiza la desinfección, porque tiende a meterse en el arranque del sistema. En el registro del sistema crea las siguientes claves y valores:

      HKLM\software\Microsoft\Windows\CurrentVersion\Run (Valor: “gema” = “%System%\gema.exe”)

      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon (Valor: “userinit” = “%System%\gema.exe, %System%\userinit.exe”)

      HKCU\software\Microsoft\Windows\CurrentVersion\Run (Valor: “gema” = “%Application Data%\gema\gema.exe”)

      HKCU\software\Microsoft\Windows NT\CurrentVersion\Winlogon (sin un valor predefinido)

  3. anónimo

    Buenas, en mi caso tanto cuando arrancó Windows como cuando lo hago con modo seguro(de todos los tipos) no me deja. No me aparece ni la barra de inicio ni ninguno de mis programas
    ¿Que puedo hacer?
    Un saludo
    PD: Necesito mucha de la información que tengo y la necesito recuperar cuanto anteS. Por favor, si me contestará con rapidez se lo agradecería.

  4. Marc

    Hola Donnie, recientemente me ha infectado el virus de la sgae pidiendo 50euros. He probado de todo…
    1. Entrando en modo seguro continua aparecien dobloqueando pantalla
    2. con diferentes antivirus con cd de arranque: kaspersky, avg, avira, panda, bitdefender. Y ninguno de ellos me lo ha detectado/eliminado.
    A parte de formatear que opciones más me quedan?
    Gracias.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s