Disque dur externe contaminer

[bleupo]

Bonjours, voila je suis nouveau sur le forum mais pas vraiment nouveau dans l'informatique. en general je resoud mes problemes moi meme, mais la, j'aurai besoin d'une aide.
Depuis quelques temps, a peu pres depuis le debut de l'année, je me suis choper un virus sur mon disque dur externe.
Avast me la detecter mais impossible de le supprimer.
Quand je branche mon disque, il met l'autorun du disque
je peu choisir en voir les photos, ecouter la musiques, et tout les autres.
Sauf que tout en haut il m'affiche Executer le programme.
Chose que je n'avais pas avant. et quand je clique sur executer le programme il m'affiche: E:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx
Nom du logiciel malveillant: Win32:Confi [Wrm] impossible a supprimer
J'ai deja fait un formatage logique,
et j'ai utiliser Killdisk pour vider le disque et la partition jusqu'au point zero. Cela marche quelques temps. Puis apres il reapparait. Que dois je faire. Il parait que c'est un nouveau virus. merci d'avance.

[r@in | b0w]

Bonjour.

Possibilité d'une infection se transmettant par support USB et que tu avais donc éradiqué mais qui est revenue ensuite.
Cependant, le dossier RECYCLER fait référence à la poubelle du disque...

Branche ton disque, ensuite:

_ Tu suis ce tutorial et poste le rapport d'analyse généré;


_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

[bleupo]

Ok merci beaucoup je vais essayer ça de suite!

[bleupo]

bon ben voila, j'ai fait l'analyse avec malwarebyte's et ca na rien donner.
Et voila le raport Hyjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:55, on 02/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesHPQQuick Launch ButtonsEabServr.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FileshpqHP Wireless AssistantHP Wireless Assistant.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesHPQsharedhpqwmi.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN Messengerusnsvc.exe
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsRaphaelBureauSniffle.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:Program FilesHPDigital ImaginginHPDTLK02.dll
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [ATIPTA] "C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe"
O4 - HKLM..Run: [eabconfg.cpl] C:Program FilesHPQQuick Launch ButtonsEabServr.exe /Start
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [hpWirelessAssistant] C:Program FileshpqHP Wireless AssistantHP Wireless Assistant.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_01in
pjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_01in
pjpi150_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3272706484
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Adobe LM Service - Unknown owner - C:Program FilesFichiers communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:Program FilesHPQsharedhpqwmi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:WINDOWSsystem32PnkBstrB.exe

[r@in | b0w]

Tu supprimes:

O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)


Ensuite et toujours en branchant le disque dur externe contaminé:


_ tu désactives la Restauration automatique du système:

Tu cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.

Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.


_ tu télécharges ceci que tu installes ensuite.


_ tu télécharges anti-downadup au format .zip que tu décompresses sur ton Bureau.


_ tu désactives ta connexion internet (ou tu débranches le câble Ethernet) et tu lances Anti-Downadup-graphics.exe puis Anti-Downadup-console.exe.


Normalement, cela viendra à bout de ton souci.

Ps: lien BitDefender ici.

[bleupo]

Voila tout est fait, le virus a disparu! MERCI
Mais quand je clique sur mon disque pour l'ouvrir il m'affiche a chaque fois la fenetre pour me demander quoi! Si je veu executer le program(le virus), si je veu lire les photos, les video, ou si je ne veu rien faire!
quand je choisi exectuer le program il me dit que le fichier est introuvable.
Mais comment supprimer la demande pour executer le programme.
Faudrai t-il modifier l'autorun?

[r@in | b0w]

Tu télécharges AutoFix que tu lances ensuite en ayant avant pris soin de connecter tous tes périphériques.

Il va normalement tout nettoyer.

[bleupo]

j'ai utiliser autofix, il me disai qu'il n'arrivai pas a trouver le probleme.
j'ai demarrer en mode sans echec j'ai fait le nettoyage qui a fonctionner.
Ensuite j'ai tout relancer normalement sous XP, il ne me demandai plus rien! fausse joie!!!!!!
J'ai eteind le disque et relancer et il y a toujours cette execution!

[r@in | b0w]

Alors aucune idée supplémentaire.

Peut-être oui travailler le fichier autorun mais je ne sais même pas si cela sera efficace.

[bleupo]

Merci quand meme pour l'aide ^^
Le virus n'ai plus la mais son execution oui.
C'est pas important jpense, j'ai desactiver les autorun du pc ca suffi pour l'instant.
Merci