Infecté par le virus Think Point, help svp
TP help
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Je possède un PC portable HP avec Windows XP. Là je vous écris depuis le PC de mon travail, car le mien est infecté par le Virus Think Point et je ne peux rien faire. J'essaye de l'enlever mais n'y arrive pas. Vous connaissez sûrement le problème, dès le démarrage, une fenêtre de "Microsoft Think Point", qui est un faux anti-virus, s'ouvre et rend inaccessible le bureau et le reste des applications. Le problème, c'est que même en mode sans échec ça me le fait. Du coup, je n'ai jamais accès à mon menu démarrer.
Je peux tout de même ouvrir quelques trucs en passant par le gestionnaire des tâches. Mais impossible de m'en débarrasser. J'ai pu réussir, via msconfig, à parvenir au menu de restauration. Mais aucun point de restauration n'existe, ce qui rend la restauration du système impossible.
Pourriez-vous m'aider?
J'ai cruellement besoin de mon PC perso pour mon travail et je souhaiterais qu'il soit nettoyé au plus vite.
PS: Ici l'image de ce que je vois au démarrage:
http://img19.imageshack.us/img19/890/thinkpoint1.jpg
Et ici l'image de ce qui se passse quand je clique sur safe strartup (la seule chose que je peux faire)
http://img696.imageshack.us/img696/3505/thinkpoint2.jpg
Je possède un PC portable HP avec Windows XP. Là je vous écris depuis le PC de mon travail, car le mien est infecté par le Virus Think Point et je ne peux rien faire. J'essaye de l'enlever mais n'y arrive pas. Vous connaissez sûrement le problème, dès le démarrage, une fenêtre de "Microsoft Think Point", qui est un faux anti-virus, s'ouvre et rend inaccessible le bureau et le reste des applications. Le problème, c'est que même en mode sans échec ça me le fait. Du coup, je n'ai jamais accès à mon menu démarrer.
Je peux tout de même ouvrir quelques trucs en passant par le gestionnaire des tâches. Mais impossible de m'en débarrasser. J'ai pu réussir, via msconfig, à parvenir au menu de restauration. Mais aucun point de restauration n'existe, ce qui rend la restauration du système impossible.
Pourriez-vous m'aider?
J'ai cruellement besoin de mon PC perso pour mon travail et je souhaiterais qu'il soit nettoyé au plus vite.
PS: Ici l'image de ce que je vois au démarrage:
http://img19.imageshack.us/img19/890/thinkpoint1.jpg
Et ici l'image de ce qui se passse quand je clique sur safe strartup (la seule chose que je peux faire)
http://img696.imageshack.us/img696/3505/thinkpoint2.jpg
A voir également:
- Infecté par le virus Think Point, help svp
- Virus mcafee - Accueil - Piratage
- Point de suite word - Guide
- Point de restauration - Guide
- Comment envoyer un point gps par sms - Accueil - Téléphones
- Comment inserer une video dans un power point - Guide
40 réponses
slt tente de passer rogue remover suivi de malwarebyte
et colle nous les rapports
voir ceci:
http://www.commentcamarche.net/faq/30048-supprimer-thinkpoint
et colle nous les rapports
voir ceci:
http://www.commentcamarche.net/faq/30048-supprimer-thinkpoint
Salut,
Je suis la procédure, mais après le (faux) scan de Think Point, je n'arrive pas sur le bureau. Enfin si, mais il n'y a ni icône, ni menu démarrer. Et lorsque je passe par le gestionnaire des tâches, je peux lancer Rogue Remover, mais par Malwarebye.
Comment faire?
Je suis la procédure, mais après le (faux) scan de Think Point, je n'arrive pas sur le bureau. Enfin si, mais il n'y a ni icône, ni menu démarrer. Et lorsque je passe par le gestionnaire des tâches, je peux lancer Rogue Remover, mais par Malwarebye.
Comment faire?
passe déjà rogue remover
ensuite vois si tu peux passer à malwarebyte
sinon supprime manuellement le fichier hotfixe
puis passe alors malarebyte
ensuite vois si tu peux passer à malwarebyte
sinon supprime manuellement le fichier hotfixe
puis passe alors malarebyte
Okay. En attendant, voici le rapport de Rogue Remover:
RogueKiller V2.4.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 04/11/2010 15:22:44
Bad processes:
Found:
\...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe
Finished
RogueKiller V2.4.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 04/11/2010 15:49:09
Bad processes:
Found:
\...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe
Finished
(J'en ai fait deux car j'ai dû redémarrer)
RogueKiller V2.4.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 04/11/2010 15:22:44
Bad processes:
Found:
\...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe
Finished
RogueKiller V2.4.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 04/11/2010 15:49:09
Bad processes:
Found:
\...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe
Finished
(J'en ai fait deux car j'ai dû redémarrer)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je ne peux effectuer de recherche sur mon PC pour trouver hotfix.exe. Si je vais dans le dossier où il est indiqué par Rogue Remover (C:\Documents and Settings\William\Application Data\hotfix.exe), le dossier Application Data n'existe pas.
De pire en pire...
Combofix non plus ne veut pas se démarrer sur mon PC. Je reste bloqué sur mon bureau vide sans icône et en passant par le gestionnaire de tâches Malwarebyte et Combofix ne se lancent pas...
Combofix non plus ne veut pas se démarrer sur mon PC. Je reste bloqué sur mon bureau vide sans icône et en passant par le gestionnaire de tâches Malwarebyte et Combofix ne se lancent pas...
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
_____________
sinon
tu peux aller en mode sans echec?
puis passer malwarebyte ? ou sinon tenter super antispyware
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
_____________
sinon
tu peux aller en mode sans echec?
puis passer malwarebyte ? ou sinon tenter super antispyware
Je peux aller en mode sans échec, mais là encore je n'ai aucune icône et je ne peux rien ouvrir. Je tente la manoeuvre que tu viens de décrire.
ok lors de la mise en mode sans echec tu à le choix entre plusieurs sessions?
si oui tente d'en ouvir une autre ou mieux en administrateur
si oui tente d'en ouvir une autre ou mieux en administrateur
http://www.cijoint.fr/cjlink.php?file=cj201011/cijjlR65PP.txt
En mode sans échec j'ai le choix entre plusieurs sessions, mais toujours pas d'icône. Un informaticien de mon boulot est venu m'aider. Il a trouvé que c'était explorer qui était infecté.
Je l'ai copié/collé à partir d'un autre PC et l'ai remis dans mon PC perso. Evidemment, il est sans cesse attaqué par le virus et devient infecté. Mais au moins je vois mes icônes. Seulement, si j'ai pu lancer OTL, je ne peux toujours pas me servir de combofix et de malwarebyte/
En mode sans échec j'ai le choix entre plusieurs sessions, mais toujours pas d'icône. Un informaticien de mon boulot est venu m'aider. Il a trouvé que c'était explorer qui était infecté.
Je l'ai copié/collé à partir d'un autre PC et l'ai remis dans mon PC perso. Evidemment, il est sans cesse attaqué par le virus et devient infecté. Mais au moins je vois mes icônes. Seulement, si j'ai pu lancer OTL, je ne peux toujours pas me servir de combofix et de malwarebyte/
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
?Copie la liste qui se trouve en gras ci-dessous,
? colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
:Files
C:\WINDOWS\tasks\OGALogon.job
C:\WINDOWS\bootstat.dat
C:\Documents and Settings\William\Application Data\hotfix.exe
C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat
:commands
[emptytemp]
[start explorer]
[reboot]
? Clique sur "Correction" pour lancer la suppression.
? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
__________
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
?Copie la liste qui se trouve en gras ci-dessous,
? colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
:Files
C:\WINDOWS\tasks\OGALogon.job
C:\WINDOWS\bootstat.dat
C:\Documents and Settings\William\Application Data\hotfix.exe
C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat
:commands
[emptytemp]
[start explorer]
[reboot]
? Clique sur "Correction" pour lancer la suppression.
? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
__________
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
tu es gavé
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CCS\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS1\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS1\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS2\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS2\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\OGALogon.job
C:\WINDOWS\tasks\OGALogon.job
C:\WINDOWS\bootstat.dat
C:\Documents and Settings\William\Application Data\hotfix.exe
C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
_________________
puis analyse sur virus total le fichier en gras suivant si tu peux et colle nous le rapport :https://www.virustotal.com/gui/
C:\Windows\Explorer.exe
lance ZHPDIAG puis clique sur les jumelles en haut pour lancer Zhpsearch
et
avec zhsearch
1) Sélectionner "Trojan.Batimal" dans la liste déroulante si tuée en bas à droite
2) Cliquer sur le bouton "Loupe" pour lancer la recherche
3) En fin de recherche, cliquer sur le bouton "Afficher le rapport"
4) Poster le rapport
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CCS\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS1\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS1\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS2\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS2\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\OGALogon.job
C:\WINDOWS\tasks\OGALogon.job
C:\WINDOWS\bootstat.dat
C:\Documents and Settings\William\Application Data\hotfix.exe
C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
_________________
puis analyse sur virus total le fichier en gras suivant si tu peux et colle nous le rapport :https://www.virustotal.com/gui/
C:\Windows\Explorer.exe
lance ZHPDIAG puis clique sur les jumelles en haut pour lancer Zhpsearch
et
avec zhsearch
1) Sélectionner "Trojan.Batimal" dans la liste déroulante si tuée en bas à droite
2) Cliquer sur le bouton "Loupe" pour lancer la recherche
3) En fin de recherche, cliquer sur le bouton "Afficher le rapport"
4) Poster le rapport
Non non attends je suis désolé j'avais pas fait la première manoeuvre avec OTL (copie des lignes sous personnalisation). Voilà le rapport que m'a donné OTL avec la copie des lignes sous "Personnalisation":
http://www.cijoint.fr/cjlink.php?file=cj201011/cijeplc9es.txt
Puis voilà ce que m'a donné le rapport ZhpDiag juste après:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijgwOqfWU.txt
http://www.cijoint.fr/cjlink.php?file=cj201011/cijeplc9es.txt
Puis voilà ce que m'a donné le rapport ZhpDiag juste après:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijgwOqfWU.txt
Et voici les rapports faits selon ton dernier messages:
Le rapport Zhpfix:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijJka3scH.txt
Et le rapport Zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijHyWoH0s.txt
Le rapport Zhpfix:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijJka3scH.txt
Et le rapport Zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijHyWoH0s.txt
tente de repasser combofix et colle le rapport
si il passe pas:
télécharge SEAF http://www.teamxscript.org/too/SEAF.exe
puis recherche ceci winlogon puis explore
et coche toutes les options de recherche sauf la recherche dans le registre
rs il reste ceci : https://forum.malekal.com/viewtopic.php?t=28779&start=
et donc les manip risquent de ne pas être facile
si il passe pas:
télécharge SEAF http://www.teamxscript.org/too/SEAF.exe
puis recherche ceci winlogon puis explore
et coche toutes les options de recherche sauf la recherche dans le registre
rs il reste ceci : https://forum.malekal.com/viewtopic.php?t=28779&start=
et donc les manip risquent de ne pas être facile
