Problème(s) rencontré(s) par l'internaute

Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.

Qui est thinkpoint?

Thinkpoint fait partie de la famille des rogues.

On peut reconnaître Thinkpoint par des lignes contenant hotfix dans des rapports comme Hijackthis:

exemple:
C:\Documents and Settings\xp\Application Data\hotfix.exe

Procédure de désinfection

Accéder au bureau

Le rogue bloque l'accès au bureau.
Pour y parvenir, faire ceci:
Pour les captures et la description totale, voir ici: Rogue ThinkPoint

• cliquer sur "Safe Startup"
• Le rogue "charge des modules", appuyer sur OK, il lance un scan
• Allez dans "Settings", et cocher la case "Allow unprotected startup", puis cliquer sur "save settings"
• A la fin du scan, cliquer sur "Continue unprotected", et cliquer sur la croix en haut à droite pour parvenir (enfin) au bureau

Désactiver l'UAC sous Vista et 7

• Vous avez Vista ou Seven, vous devez désactiver l'UAC (User Account Control ou Contrôle des Comptes d'Utilisateurs) le temps de la désinfection.

Désactiver le Tea-timer de Spybot

• Si vous avez Spybot, il faut désactiver le TeaTimer (le résident de Spybot). Sa désactivation permet de ne pas gêner la désinfection.
  • Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé".
  • A gauche, cliquez sur "Outils", puis sur "Résident".
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot.

Les téléchargements sont bloqués

• Ce rogue étant plutôt "coriace", il est possible qu'il vous empêche de télécharger les outils de désinfection, dans ce cas, il faudrait avoir accès à un ordinateur "sain" afin de télécharger les programmes nécessaires sur un périphérique externe (clé usb, cd/dvd, disque dur externe.) et de les transférer sur la machine infectée afin de les exécuter.
• Faites attention! La clé risque fort d'être infectée une fois entrée dans l'ordinateur malade! c'est pourquoi il vous faut "vaccinée" la clé via un autre ordinateur si vous le pouvez comme ceci: http://www.commentcamarche.net/...

Début de la désinfection

RogueKiller et MalwareBytes' Antimalware

• Téléchargez sur le bureau RogueKiller (par Tigzy) (A partir d'une clé USB, car le Rogue empêche l'accès au net) . Voici une vidéo de RogueKiller en action sur Think Point .Une autre vidéo de RogueKiller en action sur Think Point
  • Sous Vista/Seven, clique droit -> lancer en tant qu'administrateur
  • Quitte tous tes programmes en cours
  • Lance le.
  • Lorsque demandé, tape 1 et valide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
  • Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passez le mode 2. Si vous ne savez pas, faites vous aider. Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement

N.B: ne pas redémarrer le pc après avoir fait RogueKiller sans quoi l'infection pourrait se réactiver et passer à Malwarebytes.

• Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre bureau.

• Installez le logiciel.
• /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
• S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
• Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
• Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)

rq: Si cela ne passe pas Démarrer en mode sans echec puis relancez la procédure ci dessus

Combofix

Pour tous les lecteurs :
/!\ Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! /!\

Très important : Avant d'utiliser Combofix, assurez vous que cet outil est compatible avec votre système d'exploitation

Bien prendre connaissance du tuto officiel sur l'utilisation de l'outil .

• Faire un clic droit ici.
  • Choisir : "Enregistrer la cible du lien sous..."
  • Choisir le Bureau comme destination.
  • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
  • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
  • !! Désactivez vos défenses ( anti-virus, anti-spyware, etc.. ) et fermez toutes les applications et programmes !!
  • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
  • Acceptez le message d'avertissement. Pour XP : acceptez l'installation de la "Console de récupération", c'est impératif !
  • Puis laissez travailler l'outil et ne touchez à rien ! Note : il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laissez le faire . Si l'outil anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", acceptez ...
  • Le rapport sera créé sous la racine : C:\Combofix.txt

Manuellement

• Vous pouvez également tenter de neutraliser Thinkpoint en désactivant le service de type hotfix en passant par le gestionnaire de tâches (pour cela appuyer simultanément sur les 3 touches CTRL+ ALT + SUPPR) .
• Ensuite rechercher les fichiers contenant Hotfix en utilisant la recherche de windows après avoir activé l'affichage des dossiers cachés.
• Supprimez ensuite les fichiers trouvés
• Passez ensuite le logiciel malwarebyte pour finir le nettoyage de ce rogue

Antivir Rescue System

Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.

Tutoriel

Après le nettoyage

• Pour vérifier qu'il ne reste rien, il est préférable de passer un antivirus en ligne .

Liens sur l'infection :

• http://www.malekal.com/Rogue_Faux_MicrosoftSecurityEssentials.php

Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue. Ce document intitulé « Supprimer Thinkpoint  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.