Forums


#1 29/06/2005 10:48:25

anthony59000
Membre
Date d'inscription: 29/06/2005
Messages: 2

Virus/ver backdoor.haxdoor

Bonjour,

je viens de me prendre un virus nome Backdoor.haxdoor, qui est tres tres tres genant car il boot mon pc des l ouverture de cession!
Jai fais une recherche sur internet avec u autre PC, mais il ne parle nullement de ce virus avec ces symptome!

Mon antivirus le detecte a peine et hop, au bout de 30 seconde meme pas que le pc est allume il boot , mais dans ce cas met au redemarrage, disk boot failure, il faut eteindre completement pour qu il puisse degner a demarrer!

Il se trouve dans: C:WINDOWS/systeme 32/avpx64.sys

Qui pourrais m aider pour ce probleme, je l' en remercierais 1000 fois d' avance!
voici mon mais pour me contacter: anthony59000@hotmail.fr

Merco d' avance.

Hors ligne

 

#2 29/06/2005 11:25:02

Grégory
Administrateur
Lieu: Sophia-Antipolis
Date d'inscription: 17/01/2005
Messages: 80
Site web

Re: Virus/ver backdoor.haxdoor

Bonjour anthony59000,

Essaye de démarrer ton ordinateur en mode sans échec en suivant l'une des procédures suivantes :

Redémarrer en mode sans échec

Sous Windows 95:

1. Redémarrer l'ordinateur.
2. Presser la touche F8 lors du message de démarrage de Windows 95.
3. Sélectionner le mode sans échec dans le menu affiché et appuyer sur Entrer.

Sous Windows 98 et ME:

1. Redémarrer l'ordinateur.
2. Laisser appuyer sur la touche CTRL jusqu'a ce que le menu de démarrage s'affiche.
3. Sélectionner le mode sans échec dans le menu affiché et appuyer sur Entrer

Sous Windows 2000 :

1. Redémarrer la machine
2. Appuyer sur la touche F8 lorsque vous voyez la barre de démarrage de Windows au bas de l'écran.
3. Sélectionner le mode sans échec dans le menu qui apparaît à l'écran et appuyez sur la touche Entrer.

Sous Windows XP:

1. Redémarrer la machine
2. Appuyer sur la touche F8 après que le test de mise sous tension soit terminé. Si le menu avancé de démarrage de Windows n'apparaît pas, essayer plusieurs fois en appuyant sur F8.
3. Sélectionner le mode sans échec dans le menu qui apparaît à l'écran et appuyer sur la touche Entrer.

Passe ensuite ton ordinateur avec ton antivirus (qui est je suppose Norton Antivirus).

Normalement il devrait pouvoir t'éliminer la bestiole.

Si ce n'est pas le cas, supprime ses entrées dans la base de registre afin qu'il ne s'exécute plus au démarrage de ton système.

Supprimer les entrées de la base de registre

Supprimer les entrées de la base de registre prévient de l'exécution du cheval de Troie au démarrage du système.

Ouvrir l'éditeur de registre système. Pour cela, dans la Barre des tâches, cliquez sur Démarrer puis Exécuter. Saisir ensuite "Regedit" et appuyez sur Entrée. L'éditeur de la base de registre s'ouvre alors.

Avant toute modification du registre système, il est préférable d'effectuer une sauvegarde. Pour cela, dans le menu "Registre", cliquer sur "Exporter un fichier du registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre.

Rechercher ensuite l'entrée suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MPRServices\
TestService\MPRServices\TestServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg


Supprimer les informations de la base de registre.

Fermez l'éditeur de base de registre système.

Supprimer ensuite toutes les références au cheval de Troie.

A savoir :

Il se copie dans le répertoire %System% sous le nom de fichier "JSDAPI.EXE".

Note: '%System%' est une variable de localisation. Haxdoor détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Il démarre et s'enregistre en tant que processus "JSDAPI.EXE", tu devrait donc le voir dans le gestionnaire des tâches (CTRL+ALT+SUPPR).

Il crée ensuite les fichiers suivants toujours dans le répertoire %System% :

DEBUGG.DLL
BOOT32.SYS
C3.DLL
C3.SYS
C4.SYS
SMTAPI.SYS


Je pense qu'avec toutes ces informations tu devrais pouvoir te débarrasser de ce troyen.

N'hésite pas à nous recontacter si tu as un problème.

Hors ligne

 

#3 04/01/2006 14:11:39

cyrillebl
Membre
Date d'inscription: 04/01/2006
Messages: 3

Re: Virus/ver backdoor.haxdoor

Bonjour,

je suis sous windows 98 et j'ai chope le trojan Haxdoor.
Il se trouve sur C:\Windows\System\ps.a3d

Au bout d'1/2 demi heure, mon PC se bloque et je ne peux plus rien faire, je suis oblige de redémarrer pour que ca reparte.
J'ai l'anti trojan Xoftspy qui le repere et le met en quarantaine mais des que je redemarre mon pc, le trojan réapparait.
j'ai essayé de le supprimer en suivant les instructions ci dessous sur les entres de base du registre mais j'ai pas retrouve les même fichiers

Sinon je ne sais pas si les deux sont liés mais le logiciel spy sweeper a aussi trouve ps guard

est ce que vous savez comment je peux me débarasser de ce ou ces trojan?

merci mille fois d'avance

Cyrille

Hors ligne

 

#4 05/01/2006 19:05:41

polo62
Moderateur
Date d'inscription: 17/09/2005
Messages: 197
Site web

Re: Virus/ver backdoor.haxdoor

Bonjour

Dans un premier temps desinstalle ce Xoftspy qui est la cause de plus de mal que de bien

Ensuite telecharge, installe hijackthis
sauvegarde le log et fais un copier coller ici


Polo62 ou !aur3n7

Hors ligne

 

#5 06/01/2006 14:50:32

cyrillebl
Membre
Date d'inscription: 04/01/2006
Messages: 3

Re: Virus/ver backdoor.haxdoor

Bonjour,

merci
mais je ne peux pas executer  hijackthis, qd je l'execute l'ordi dit
"fichier ddl requis  MSVBM60-DDL n'a pas été trouvé" et ca bloque

Hors ligne

 

#6 07/01/2006 02:56:05

polo62
Moderateur
Date d'inscription: 17/09/2005
Messages: 197
Site web

Re: Virus/ver backdoor.haxdoor

Bonjour,

On va faire ca dans l'ordre des choses.

Fais un scan ici avec internet explorer http://www.pandasoftware.com/activescan … ncipal.htm

sauvegarde le log en fin d'analyse et fais en un copier coller

Au passage ouvre toi une question afin de ne pas melanger avec les questions d'autres membres.


Polo62 ou !aur3n7

Hors ligne

 

Pied de page du Forum