Infecté par le virus Think Point, help svp

TP help -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Je possède un PC portable HP avec Windows XP. Là je vous écris depuis le PC de mon travail, car le mien est infecté par le Virus Think Point et je ne peux rien faire. J'essaye de l'enlever mais n'y arrive pas. Vous connaissez sûrement le problème, dès le démarrage, une fenêtre de "Microsoft Think Point", qui est un faux anti-virus, s'ouvre et rend inaccessible le bureau et le reste des applications. Le problème, c'est que même en mode sans échec ça me le fait. Du coup, je n'ai jamais accès à mon menu démarrer.
Je peux tout de même ouvrir quelques trucs en passant par le gestionnaire des tâches. Mais impossible de m'en débarrasser. J'ai pu réussir, via msconfig, à parvenir au menu de restauration. Mais aucun point de restauration n'existe, ce qui rend la restauration du système impossible.

Pourriez-vous m'aider?

J'ai cruellement besoin de mon PC perso pour mon travail et je souhaiterais qu'il soit nettoyé au plus vite.

PS: Ici l'image de ce que je vois au démarrage:
http://img19.imageshack.us/img19/890/thinkpoint1.jpg

Et ici l'image de ce qui se passse quand je clique sur safe strartup (la seule chose que je peux faire)
http://img696.imageshack.us/img696/3505/thinkpoint2.jpg

40 réponses

  • 1
  • 2
Résumé de la discussion

Le problème porte sur une infection par Think Point sur un PC HP sous Windows XP qui empêche le bureau et les applications de démarrer, même en mode sans échec. Des solutions et outils de décontamination sont évoqués, notamment ZHPDiag et ZHPFix, ainsi que des programmes comme ComboFix, RogueKiller et Malwarebytes pour diagnostiquer et supprimer Think Point. Les interventions prévoient de remplacer des fichiers système infectés par des copies propres via ZHPFix et des étapes de copie, par exemple explorer.exe et winlogon.exe. En dernier lieu, des rapports et des instructions détaillées ont été fournis pour exécuter les outils de diagnostic et de nettoyage, avec des liens vers des guides supplémentaires.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt tente de passer rogue remover suivi de malwarebyte

    et colle nous les rapports

    voir ceci:
    http://www.commentcamarche.net/faq/30048-supprimer-thinkpoint
    0
  2. TP help
     
    Salut,

    Je suis la procédure, mais après le (faux) scan de Think Point, je n'arrive pas sur le bureau. Enfin si, mais il n'y a ni icône, ni menu démarrer. Et lorsque je passe par le gestionnaire des tâches, je peux lancer Rogue Remover, mais par Malwarebye.

    Comment faire?
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    passe déjà rogue remover

    ensuite vois si tu peux passer à malwarebyte
    sinon supprime manuellement le fichier hotfixe

    puis passe alors malarebyte
    0
  4. TP help
     
    Okay. En attendant, voici le rapport de Rogue Remover:

    RogueKiller V2.4.0 by Tigzy
    contact at www.sur-la-toile.com
    mail: tigzy44<at>hotmail<dot>fr
    Remontées: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
    Mode: Scan -- Time : 04/11/2010 15:22:44

    Bad processes:

    Found:
    \...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe

    Finished

    RogueKiller V2.4.0 by Tigzy
    contact at www.sur-la-toile.com
    mail: tigzy44<at>hotmail<dot>fr
    Remontées: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
    Mode: Scan -- Time : 04/11/2010 15:49:09

    Bad processes:

    Found:
    \...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe

    Finished

    (J'en ai fait deux car j'ai dû redémarrer)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. TP help
     
    Je ne peux effectuer de recherche sur mon PC pour trouver hotfix.exe. Si je vais dans le dossier où il est indiqué par Rogue Remover (C:\Documents and Settings\William\Application Data\hotfix.exe), le dossier Application Data n'existe pas.
    0
  7. TP help
     
    Sinon, peut-être dois-je utiliser ComboFix? Qu'en penses-tu?
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si malwarebyte passe pas colle un rapport combofix
    0
  9. TP help
     
    De pire en pire...
    Combofix non plus ne veut pas se démarrer sur mon PC. Je reste bloqué sur mon bureau vide sans icône et en passant par le gestionnaire de tâches Malwarebyte et Combofix ne se lancent pas...
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge OTL de OLDTimer ici :

    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant "scan all users"

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    _____________

    sinon

    tu peux aller en mode sans echec?

    puis passer malwarebyte ? ou sinon tenter super antispyware
    0
  11. TP help
     
    Je peux aller en mode sans échec, mais là encore je n'ai aucune icône et je ne peux rien ouvrir. Je tente la manoeuvre que tu viens de décrire.
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok lors de la mise en mode sans echec tu à le choix entre plusieurs sessions?

    si oui tente d'en ouvir une autre ou mieux en administrateur
    0
  13. TP help
     
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijjlR65PP.txt

    En mode sans échec j'ai le choix entre plusieurs sessions, mais toujours pas d'icône. Un informaticien de mon boulot est venu m'aider. Il a trouvé que c'était explorer qui était infecté.
    Je l'ai copié/collé à partir d'un autre PC et l'ai remis dans mon PC perso. Evidemment, il est sans cesse attaqué par le virus et devient infecté. Mais au moins je vois mes icônes. Seulement, si j'ai pu lancer OTL, je ne peux toujours pas me servir de combofix et de malwarebyte/
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ?Copie la liste qui se trouve en gras ci-dessous,

    ? colle-la dans la zone sous "Personnalisation" :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    :Files
    C:\WINDOWS\tasks\OGALogon.job
    C:\WINDOWS\bootstat.dat
    C:\Documents and Settings\William\Application Data\hotfix.exe
    C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat
    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ? Clique sur "Correction" pour lancer la suppression.

    ? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    __________

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  15. TP help
     
    http://www.cijoint.fr/cjlink.php?file=cj201011/cij5xrnTPZ.txt

    Voilà.
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu es gavé

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
    O17 - HKLM\System\CCS\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
    O17 - HKLM\System\CS1\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
    O17 - HKLM\System\CS2\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\OGALogon.job
    C:\WINDOWS\tasks\OGALogon.job
    C:\WINDOWS\bootstat.dat
    C:\Documents and Settings\William\Application Data\hotfix.exe
    C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    _________________

    puis analyse sur virus total le fichier en gras suivant si tu peux et colle nous le rapport :https://www.virustotal.com/gui/

    C:\Windows\Explorer.exe

    lance ZHPDIAG puis clique sur les jumelles en haut pour lancer Zhpsearch

    et

    avec zhsearch

    1) Sélectionner "Trojan.Batimal" dans la liste déroulante si tuée en bas à droite
    2) Cliquer sur le bouton "Loupe" pour lancer la recherche
    3) En fin de recherche, cliquer sur le bouton "Afficher le rapport"
    4) Poster le rapport
    0
  17. TP help
     
    Non non attends je suis désolé j'avais pas fait la première manoeuvre avec OTL (copie des lignes sous personnalisation). Voilà le rapport que m'a donné OTL avec la copie des lignes sous "Personnalisation":

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijeplc9es.txt

    Puis voilà ce que m'a donné le rapport ZhpDiag juste après:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijgwOqfWU.txt
    0
  18. TP help
     
    Et voici les rapports faits selon ton dernier messages:

    Le rapport Zhpfix:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijJka3scH.txt

    Et le rapport Zhpdiag:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijHyWoH0s.txt
    0
  19. TP help
     
    Combofix ne marche toujours pas.

    Voici le rapport de SEAF:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijc9Us4wv.txt
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok l'autre rapport ? seaf
    0
  • 1
  • 2