Infecté par le virus Think Point, help svp

Question

Bonjour, 

Je possède un PC portable HP avec Windows XP. Là je vous écris depuis le PC de mon travail, car le mien est infecté par le Virus Think Point et je ne peux rien faire. J'essaye de l'enlever mais n'y arrive pas. Vous connaissez sûrement le problème, dès le démarrage, une fenêtre de "Microsoft Think Point", qui est un faux anti-virus, s'ouvre et rend inaccessible le bureau et le reste des applications. Le problème, c'est que même en mode sans échec ça me le fait. Du coup, je n'ai jamais accès à mon menu démarrer.
Je peux tout de même ouvrir quelques trucs en passant par le gestionnaire des tâches. Mais impossible de m'en débarrasser. J'ai pu réussir, via msconfig, à parvenir au menu de restauration. Mais aucun point de restauration n'existe, ce qui rend la restauration du système impossible.

Pourriez-vous m'aider?

J'ai cruellement besoin de mon PC perso pour mon travail et je souhaiterais qu'il soit nettoyé au plus vite.

PS: Ici l'image de ce que je vois au démarrage: 
http://img19.imageshack.us/img19/890/thinkpoint1.jpg

Et ici l'image de ce qui se passse quand je clique sur safe strartup (la seule chose que je peux faire)
http://img696.imageshack.us/img696/3505/thinkpoint2.jpg

Configuration: Windows XP / Firefox 3.6.8

jlpjlp · Answer

slt tente de passer rogue remover suivi de malwarebyte

et colle nous les rapports

voir ceci:
http://www.commentcamarche.net/faq/30048-supprimer-thinkpoint

TP help · Answer

Salut,

Je suis la procédure, mais après le (faux) scan de Think Point, je n'arrive pas sur le bureau. Enfin si, mais il n'y a ni icône, ni menu démarrer. Et lorsque je passe par le gestionnaire des tâches, je peux lancer Rogue Remover, mais par Malwarebye.

Comment faire?

jlpjlp · Answer

passe déjà rogue remover 

ensuite vois si tu peux passer à malwarebyte 
sinon supprime manuellement le fichier  hotfixe

puis passe alors malarebyte

TP help · Answer

Okay. En attendant, voici le rapport de Rogue Remover: RogueKiller V2.4.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Remontées: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 04/11/2010 15:22:44 Bad processes: Found: \...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe Finished RogueKiller V2.4.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Remontées: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 04/11/2010 15:49:09 Bad processes: Found: \...\Winlogon\ Shell : C:\Documents and Settings\William\Application Data\hotfix.exe Finished (J'en ai fait deux car j'ai dû redémarrer)

TP help · Answer

Je ne peux effectuer de recherche sur mon PC pour trouver hotfix.exe. Si je vais dans le dossier où il est indiqué par Rogue Remover (C:\Documents and Settings\William\Application Data\hotfix.exe), le dossier Application Data n'existe pas.

TP help · Answer

Sinon, peut-être dois-je utiliser ComboFix? Qu'en penses-tu?

jlpjlp · Answer

si malwarebyte passe pas colle un rapport combofix

TP help · Answer

De pire en pire...
Combofix non plus ne veut pas se démarrer sur mon PC. Je reste bloqué sur mon bureau vide sans icône et en passant par le gestionnaire de tâches Malwarebyte et Combofix ne se lancent pas...

jlpjlp · Answer

Télécharge OTL de OLDTimer ici : 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 

et enregistre le sur ton Bureau. 

Double clic sur OTL.exe pour le lancer. 

Coche les 2 cases Lop et Purity 

Coche la case devant "scan all users" 

Clic sur Run Scan. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 


Pour me le transmettre clique sur ce lien : 

http://www.cijoint.fr/ 

Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

_____________

sinon 

tu peux aller en mode sans echec? 

puis passer malwarebyte ? ou sinon tenter super antispyware

TP help · Answer

Je peux aller en mode sans échec, mais là encore je n'ai aucune icône et je ne peux rien ouvrir. Je tente la manoeuvre que tu viens de décrire.

jlpjlp · Answer

ok lors de la mise en mode sans echec tu à le choix entre plusieurs sessions?

si oui tente d'en ouvir une autre ou mieux en  administrateur

TP help · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijjlR65PP.txt

En mode sans échec j'ai le choix entre plusieurs sessions, mais toujours pas d'icône. Un informaticien de mon boulot est venu m'aider. Il a trouvé que c'était explorer qui était infecté.
Je l'ai copié/collé à partir d'un autre PC et l'ai remis dans mon PC perso. Evidemment, il est sans cesse attaqué par le virus et devient infecté. Mais au moins je vois mes icônes. Seulement, si j'ai pu lancer OTL, je ne peux toujours pas me servir de combofix et de malwarebyte/

jlpjlp · Answer

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
:Files 
C:\WINDOWS	asks\OGALogon.job
C:\WINDOWS\bootstat.dat 
C:\Documents and Settings\William\Application Data\hotfix.exe
C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat
:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.


__________


Télécharge ZHPDiag ( de Nicolas coolman ).  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  


(outil de diagnostic)  

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )  

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )  

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.  

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.  

Rend toi sur Cjoint : http://www.cijoint.fr/  

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

TP help · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cij5xrnTPZ.txt

Voilà.

jlpjlp · Answer

tu es gavé 

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Copie/colle les lignes en gras suivantes :  

----------------------------------------------------------  

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59 
O17 - HKLM\System\CCS\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59 
O17 - HKLM\System\CS1\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59 
O17 - HKLM\System\CS1\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59 
O17 - HKLM\System\CS2\Services\Tcpip\..\{3BA40D98-0222-472E-B7D6-5BCBA553AAAE}: NameServer = 93.188.162.249,93.188.160.59 
O17 - HKLM\System\CS2\Services\Tcpip\..\{618FDC22-E9F0-40BB-B2A6-1917ECCA906C}: NameServer = 93.188.162.249,93.188.160.59 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59 
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\OGALogon.job 
C:\WINDOWS	asks\OGALogon.job  
C:\WINDOWS\bootstat.dat  
C:\Documents and Settings\William\Application Data\hotfix.exe  
C:\Documents and Settings\William\Application Data\dkfjasdfshd.bat  

----------------------------------------------------------  
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »  
- Copie/colle la totalité du rapport dans ta prochaine réponse  

_________________ 

puis  analyse sur virus total le fichier en gras suivant si tu peux et colle nous le rapport :https://www.virustotal.com/gui/

C:\Windows\Explorer.exe 

lance ZHPDIAG puis clique sur les jumelles en haut pour lancer Zhpsearch 

et 

avec zhsearch  


1) Sélectionner "Trojan.Batimal" dans la liste déroulante si tuée en bas à droite  
2) Cliquer sur le bouton "Loupe" pour lancer la recherche  
3) En fin de recherche, cliquer sur le bouton "Afficher le rapport"  
4) Poster le rapport

TP help · Answer

Non non attends je suis désolé j'avais pas fait la première manoeuvre avec OTL (copie des lignes sous personnalisation). Voilà le rapport que m'a donné OTL avec la copie des lignes sous "Personnalisation":

http://www.cijoint.fr/cjlink.php?file=cj201011/cijeplc9es.txt

Puis voilà ce que m'a donné le rapport ZhpDiag juste après:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijgwOqfWU.txt

TP help · Answer

Et voici les rapports faits selon ton dernier messages:

Le rapport Zhpfix:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijJka3scH.txt

Et le rapport Zhpdiag:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijHyWoH0s.txt

jlpjlp · Answer

tente de repasser combofix et colle le rapport



si il passe pas:


télécharge SEAF http://www.teamxscript.org/too/SEAF.exe

puis recherche ceci winlogon  puis  explore

et coche toutes les options de recherche sauf la recherche dans le registre






rs il reste ceci : https://forum.malekal.com/viewtopic.php?t=28779&start=

et donc les manip risquent de ne pas être facile

TP help · Answer

Combofix ne marche toujours pas.

Voici le rapport de SEAF:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijc9Us4wv.txt

jlpjlp · Answer

ok l'autre rapport ? seaf

TP help · Answer

C'est le rapport de Seaf au-dessus. Combofix n'a pas marché. Ce sont les deux rapports que tu m'as demandé dans le message au-dessus.

jlpjlp · Answer

je me suis trompé c'est pas explore  mais  Explorer  qu'il fallait chercher :)

et fait séparement les deux fichiers pour la clarté du rapports

TP help · Answer

D'accord.

Voici:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijUrhpDWL.txt

TP help · Answer

Et voici le rapport pour winlogon seul (au-dessus, c'était explorer seul).

http://www.cijoint.fr/cjlink.php?file=cj201011/cijltWd1M6.txt

jlpjlp · Answer

ok 
on va tenter de remplacer les fichiers infectés par des fichiers sains:

télécharge Zhpdiag

puis lance le

puis

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Copie/colle les lignes en gras suivantes : 

FCOPY:
C:\WINDOWS\explorer.exe| C:\WINDOWS\ServicePackFiles\i386\explorer.exe
C:\WINDOWS\system32\winlogon.exe| C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

TP help · Answer

Voici:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijsga8v5b.txt

TP help · Answer

Ca se corse... 
Il ne veut plus se démarrer. 
Il me met un écran bleu avec marqué: 

STOP: c000021a {Erreur Syst 
me irrécupérable} 
Le processus système Windows Logon Process s'est terminé de façon inattendue ave 
c l'état 0xc0000034 (0x00000000 0x00000000) 
Le système a été arrêté. 

Puis redémarre tout seul jusqu'à cet écran bleu, et ainsi de suite... 

Que faire?

TP help · Answer

Voilà la photo:

http://img638.imageshack.us/img638/1944/erreursysy.jpg

A un moment il a essayé de faire ça aussi:

Mais au bout d'une vingtaine de pour-cent il a fini par s'arrêter et m'afficher le même message d'erreur qu'au-dessus.

http://img816.imageshack.us/img816/7638/11pourcent.jpg

jlpjlp · Answer

C:\WINDOWS\explorer.exe| C:\WINDOWS\ServicePackFiles\i386\explorer.exe 
C:\WINDOWS\system32\winlogon.exe| C:\WINDOWS\ServicePackFiles\i386\winlogon.exe 

tentez 

Grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start= 

Tu démarre sur le cd OTLPE. 

puis : 

copie et remplace 

C:\WINDOWS\ServicePackFiles\i386\explorer.exe 

vers c:\windows\explorer.exe 

et 



copie et remplace C:\WINDOWS\ServicePackFiles\i386\winlogon.exe 
  
vers C:\Windows\System32\winlogon.exe 
Ensuite tu redémarres. 

Tu scannes à nouveau c:\windows\explorer.exe et C:\Windows\system32\wininit.exe sur https://www.virustotal.com/gui/ et tu donnes les liens ici.

TP help · Answer

Comment faire démarrer son PC sur un CD? Quand je vais dans la console, je ne sais pas quoi taper. J'ai essayer chkdsk d:\ mais je ne pense pas que ce soir ça...

jlpjlp · Answer

il faut aller dans le bios (en appuyant sur F2 ou F5 ou F8 ou suppr  en général ) et mettre en priorité le lecteur cd pour le demarrage 
https://www.vulgarisation-informatique.com/bios.php


et tenter la manip ci dessus

TP help · Answer

J'ai la commande D:\> et même E:\> si je veux utiliser la clé USB, mais le OTLPEStd.exe que j'ai sur mon CD et sur ma clé ne marche pas.
Quand je mets D:\>OTLPEStd.exe ou même D:\>OTLPEStd, la console écrit que "La commande n'est pas reconnue. Entrez HELP pour obtenir une liste des commandes prises en charge."

...

jlpjlp · Answer

non pas dans l'editeur de commande mais dans le bios

il faut appuyer sur une touche au demarrage du pc à plusieurs reprises et d'aller dans le bios et de mettre le lecteur de cd/dvd en priorité avant le disque dur

TP help · Answer

Je l'ai fait, mais ça ne marche pas. Ça s'obstine à démarrer par XP.

jlpjlp · Answer

tu dois mal faire

si tu as deux lecteur de cd tente de mettre le cd dans l'autre lecteur


tu grave bien l'image  et au bon format ? et tu la clôture?

TP help · Answer

Ah oui j'ai dû oublié un truc. Le OTLPEStd.exe, je l'ouvre avant de le graver? Je l'ai copié tel quel sur le CD vierge. J'ai voulu l'ouvrir mais j'étais sur le PC de ma soeur et j'avais peur que ça fasse quelque chose de pas bien sur son PC. Je dois l'ouvrir avec un CD vierge dans le lecteur pour qu'il le grave?

jlpjlp · Answer

voir le message de 10h42 ici

https://forum.malekal.com/viewtopic.php?t=23453&start=

TP help · Answer

Ah ok merde j'avais pas vu. Je quitte mon boulot là. Je n'ai plus de PC mais demain matin je tenterai de continuer la manoeuvre. Ou dans la soirée. A demain, bonne soirée et merci encore!

TP help · Answer

Yep.

J'ai mis du temps à retrouver ce topic (je me souvenais plus du titre).
Bref, grâce à ta manoeuvre, j'ai pu revenir sur mon bureau. J'en ai profité pour sauver toutes mes données et j'ai finalement formaté (il faut le faire de temps en temps et je me suis dit que là, vu l'état de mon PC, c'était le bon moment).

Bref, merci beaucoup en tout cas, avec mes données sauvées mon PC est comme neuf et il n'y a évidemment plus de problème.

Merci encore!

Bonne continuation!

jlpjlp · Answer

ok parfait

bonne suite

Infecté par le virus Think Point, help svp

40 réponses

Votre réponse

Discussions similaires

Newsletters