L'ordinateur peut redémarrer automatiquement, ou un message « erreur sérieuse » ou un message d'erreur Stop peut s'afficher dans Windows Server 2003, dans Windows XP ou dans Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 894278 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit différents symptômes que vous pouvez rencontrer si votre ordinateur exécute le logiciel espion rootkit Spyware.Service.MiscrosoftUpdate (cheval de Troie). Pour supprimer ce cheval de Troie, vous devez identifier les fichiers qui provoquent ce problème puis les renommer.

Les composants de mode utilisateur (logiciel espion) Msupd*.exe et Reloadmedude.exe peuvent être nettoyés par certains programmes antivirus ou anti-logiciels espions dès que le pilote masqué est renommé. Le pilote masqué peut être nommé « gbqxhia.sys », « upzvlbvv.sys », « jsbmefvk.sys » ou porter un autre nom de fichier aléatoire contenant uniquement des lettres minuscules.

Plusieurs programmes anti-logiciels espions capables de détecter ce virus sont répertoriés dans la section « Plus Informations ».

Symptômes

Il se peut que vous rencontriez les problèmes suivants :
  • L'ordinateur redémarre automatiquement.
  • Après l'ouverture de session, le message d'erreur suivant s'affiche :
    Microsoft Windows
    Le système a récupéré d'une erreur sérieuse. Un journal de cette erreur a été créé. Veuillez signaler ce problème à Microsoft. Nous avons créé un rapport d'erreurs que vous pouvez envoyer pour nous aider à améliorer la qualité de Microsoft Windows. Nous traiterons vos rapports de façon confidentielle et anonyme. Pour afficher les données de ce rapport d'erreurs, cliquez ici.
    Si le message d'erreur est toujours affiché à l'écran, cliquez sur le lien « cliquez ici » en bas de la boîte de message pour consulter les informations contenues dans le rapport d'erreurs. Des informations de signature d'erreur semblables aux suivantes s'affichent alors :
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Produit : 256_1
  • Le message d'erreur Stop suivant s'affiche :
    Un problème a été détecté et Windows a été arrêté afin de prévenir tout dommage sur votre ordinateur. Informations techniques : ***STOP : 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • Le journal Système peut afficher un message d'erreur semblable à celui-ci :

    Date : date
    Source : Erreur système
    Heure : heure
    Catégorie : (102)
    Type : Erreur
    ID de l'événement : 1003
    Utilisateur : N/A
    Ordinateur : ordinateur
    Description : Code erreur 00000050, paramètre1 0xeb7ff002, paramètre2 0x00000000, paramètre3 0x8054af32, paramètre4 0x00000001. Pour plus d'informations, voir le Centre d'aide et de support à l'adresse http://support.microsoft.com. Données : 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Remarques

Les symptômes d'une erreur Stop varient selon les options de défaillance sélectionnées pour votre ordinateur. Pour plus d'informations sur la façon de configurer les options de défaillance du système, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
307973 COMMENT FAIRE : Configurer les options de défaillance et de récupération du système dans Windows
Les quatre paramètres mentionnés dans les informations de signature d'erreur (BCP n) et les informations techniques de l'erreur Stop à l'intérieur des parenthèses peuvent changer en fonction de la configuration de l'ordinateur.

Toutes les erreurs Stop 0x00000050 ne sont pas dues au problème décrit dans la section « Cause ».

Cause

Ce message d'erreur est provoqué par un pilote de noyau qui est installé par les logiciels espions rootkit connus suivants :
  • Msupd5.exe
  • Reloadmedude.exe

Résolution

Pour résoudre ce problème, appliquez l'une des méthodes suivantes ou plus : (Elles sont énumérées dans l'ordre de recommandation.)

Méthode 1 : Attribution d'un nouveau nom au pilote nuisible dans Internet Explorer

  1. Ouvrez Internet Explorer.
  2. Dans la zone Adresse, tapez %windir%\system32\drivers, puis appuyez sur ENTRÉE.
  3. Localisez le fichier .sys nommé de façon aléatoire, cliquez dessus avec le bouton droit, puis sélectionnez Renommer.
  4. Tapez malware.old pour renommer le fichier, puis appuyez sur ENTRÉE.
  5. Dans la zone Adresse, tapez \WINDOWS\system32, puis appuyez sur ENTRÉE.
  6. Recherchez les fichiers suivants, puis renommez-les, s'ils existent :
    • Msupd5.exe Renommez ce fichier en Msupd5.old.
    • Msupd4.exe. Renommez ce fichier en Msupd4.old.
    • Msupd.exe. Renommez ce fichier en Msupd.old.
    • Reloadmedude.exe Renommez ce fichier en Reloadmedude.old.
  7. Fermez Internet Explorer.
  8. Redémarrez l'ordinateur.
  9. Vérifiez que votre logiciel antivirus/anti-logiciels espions est mis à jour avec les dernières signatures, puis exécutez une analyse complète du système.

Méthode 2 : En mode sans échec, attribution d'un nouveau nom au pilote nuisible dans Poste de travail

  1. Démarrez l'ordinateur en mode sans échec. Pour cela, procédez comme suit :
    1. Redémarrez l'ordinateur.
    2. Lorsque votre ordinateur démarre, appuyez plusieurs fois sur F8 (une fois par seconde). Cette procédure permet d'afficher les options du menu de démarrage avancées de Microsoft Windows.
    3. Utilisez les touches HAUT et BAS pour sélectionner Mode sans échec, puis appuyez sur ENTRÉE.
  2. Ouvrez Internet Explorer.
  3. Dans la zone Adresse, tapez C:\%windir%\system32\drivers, puis appuyez sur ENTRÉE.
  4. Activez l'affichage des fichiers cachés. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, puis sur Poste de travail.
    2. Dans le menu Outils, cliquez sur Options des dossiers.
    3. Cliquez sur Affichage, désactivez la case à cocher Masquer les fichiers protégés du système d'exploitation (recommandé), puis cliquez sur Oui si vous recevez un message d'avertissement indiquant que vous avez choisi d'afficher les fichiers protégés du système d'exploitation.
    4. Sous Fichiers et dossiers cachés, cliquez sur Afficher les fichiers et dossiers cachés.
    5. Désactivez la case à cocher Masquer les extensions des fichiers dont le type est connu.
    6. Dans la zone Affichage des dossiers, cliquez sur Appliquer à tous les dossiers puis sur OK.
  5. Recherchez le dossier nommé C:\%windir%\System32\Drivers.
  6. Recherchez un fichier .sys pourvu des caractéristiques suivantes :
    1. nom de fichier généré de façon aléatoire constitué de huit lettres minuscules, par exemple « gbqxmhia.sys », « upzvlbvv.sys » ou « jsbmefvk.sys » ;
    2. fichier daté du 11 janvier 2005 ;
    3. taille du fichier de 14 Ko (13 824 octets) ;
    4. attribut caché défini

      Remarque Un fichier pour lequel un attribut masqué est défini porte une mention « HA » dans la colonne Attributs dans l'Explorateur Windows. Pour des instructions sur la façon d'afficher la colonne Attributs, consultez les étapes 5a et 5b de la procédure décrite dans la section « Plus informations ».
    5. fichier dépourvu d'informations sur la version, le nom du produit ou le fabricant.
  7. Cliquez avec le bouton droit sur chaque fichier trouvé, puis sélectionnez Renommer.
  8. Tapez malware1.old pour renommer le premier fichier, puis appuyez sur ENTRÉE.

    Remarque Tapez malware2.old pour renommer le deuxième fichier, malware3.old pour le troisième fichier, et ainsi de suite.
  9. Recherchez le dossier %windir%\System32.
  10. Renommez les fichiers suivants (s'ils existent) :
    • Msupd5.exe Renommez ce fichier en msupd5.old.
    • Msupd4.exe. Renommez ce fichier en Msupd4.old.
    • Msupd.exe. Renommez ce fichier en Msupd.old.
    • Reloadmedude.exe. Renommez ce fichier en Reloadmedude.old.
  11. Redémarrez l'ordinateur.
  12. Vérifiez que votre logiciel antivirus/anti-logiciels espions est mis à jour avec les dernières signatures, puis exécutez une analyse complète du système.

Méthode 3 : En mode sans échec, attribution d'un nouveau nom au pilote nuisible à l'aide de l'invite de commandes

  1. Démarrez l'ordinateur en mode sans échec. Pour cela, procédez comme suit :
    1. Redémarrez l'ordinateur.
    2. Lorsque votre ordinateur démarre, appuyez plusieurs fois sur F8 (une fois par seconde). Cette procédure permet d'afficher les options du menu de démarrage avancées de Microsoft Windows.
    3. Utilisez les touches HAUT et BAS pour sélectionner Invite de commandes en mode sans échec, puis appuyez sur ENTRÉE.
  2. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  3. À l'invite de commandes, tapez CD %windir%\system32\drivers, puis appuyez sur ENTRÉE.
  4. Tapez Dir /ah, puis appuyez sur ENTRÉE.
  5. Un texte semblable au texte suivant s'affiche. Le nom de fichier .sys sera généré aléatoirement.
    Directory of C:\WINDOWS\system32\drivers
    
    01/11/2005  09:18 AM               13,824 gbqxmhia.sys
                   1 File(s)            13,824 bytes
                   0 Dir(s)     961,425,408 bytes free
    
  6. Tapez Attrib ?s ?h nom_fichier_aléatoire, puis appuyez sur ENTRÉE. Cette action supprime les attributs de système et les attributs masqués dans le fichier.

    Remarque L'espace réservé nom_fichier_aléatoire représente le nom du fichier .sys affiché après avoir exécuté l'étape 5. Par exemple, vous taperiez Attrib ?s ?h gbqxmhia.sys pour le nom de fichier spécifié dans l'exemple de l'étape 5.
  7. Tapez Ren nom_fichier_aléatoire malware.old et appuyez sur ENTRÉE. Cette action renomme le fichier nommé de façon aléatoire.
  8. Tapez CD, puis appuyez sur ENTRÉE. Cela modifie la ligne de commande sur le dossier %windir%\System32.
  9. Tapez les commandes suivantes une par une, puis appuyez sur ENTRÉE après avoir tapé chaque commande :
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Remarque Si le message d'erreur suivant s'affiche, vous pouvez l'ignorer en toute sécurité, car il indique que le fichier cible n'existe pas :
    Le fichier spécifié est introuvable.
  10. Tapez Exit, puis appuyez sur ENTRÉE.
  11. Redémarrez l'ordinateur.
  12. Vérifiez que votre logiciel antivirus/anti-logiciels espions est mis à jour avec les dernières signatures, puis exécutez une analyse complète du système.

Plus d'informations

Pour vérifier si votre ordinateur est infecté par ce logiciel espion, procédez comme suit :
  1. Démarrez Internet Explorer.
  2. Dans la zone Adresse d'Internet Explorer, tapez %windir%\system32\drivers, puis appuyez sur ENTRÉE.
  3. Modifiez la façon dont Windows affiche les fichiers masqués et les fichiers protégés du système d'exploitation. Pour cela, procédez comme suit :
    1. Dans le menu Outils, cliquez sur Options des dossiers.
    2. Cliquez sur Affichage, désactivez la case à cocher Masquer les fichiers protégés du système d'exploitation (recommandé), puis cliquez sur Oui si vous recevez un message d'avertissement indiquant que vous avez choisi d'afficher les fichiers protégés du système d'exploitation.
    3. Sous Fichiers et dossiers cachés, cliquez sur Afficher les fichiers et dossiers cachés.
    4. Désactivez la case à cocher Masquer les extensions des fichiers dont le type est connu.
    5. Activez la case à cocher Afficher le contenu des dossiers système, puis cliquez sur OK.
    6. Dans le menu Affichage, cliquez sur Détails.
  4. Appuyez sur F5 pour mettre à jour l'affichage du dossier Drivers.
  5. Recherchez tous les fichiers système (fichiers dont le nom porte une extension .sys) dont l'attribut est caché et ne possédant pas d'informations concernant le nom de produit, la société et la version de fichier.

    Remarque Les fichiers pour lesquels un attribut masqué est défini portent une mention « HA » dans la colonne Attributs de l'Explorateur Windows. Pour obtenir des instructions sur la façon de consulter la colonne Attributs, reportez-vous aux étapes 5a et 5b.

    Pour cela, procédez comme suit.

    Remarque Le fichier de logiciel espion peut sembler avoir un nom de fichier généré de façon aléatoire et composé de huit lettres minuscules.
    1. Modifiez la façon dont l'Explorateur Windows affiche les informations de fichiers dans le dossier. Pour cela, procédez comme suit :
      1. Dans le menu Affichage, cliquez sur Choisir les détails.
      2. Activez la case à cocher Attributs.
      3. Activez la case à cocher Nom du produit.
      4. Activez la case à cocher Entreprise.
      5. Activez la case à cocher Version du fichier.
    2. Cliquez sur l'en-tête de colonne Attributs pour trier la liste de fichiers par attributs. Les fichiers du dossier Drivers contiennent en général uniquement l'attribut archive (A). Recherchez tous les fichiers qui ont également l'attribut masqué (HA).
      La liste suivante contient des exemples de noms de fichiers de logiciels espions connus pour provoquer ce problème :
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Après avoir localisé un fichier que vous suspectez être un fichier de logiciel espion, vérifiez ses propriétés en utilisant la boîte de dialogue Propriétés. Cliquez avec le bouton droit sur le fichier, cliquez sur Propriétés, puis recherchez les informations suivantes :
      • Cliquez sur l'onglet Général :
        • Modifié : 11.01.05
        • Taille : 14 Ko (13 824 octets)
        • Une coche dans la case à cocher Fichier caché
      • Cliquez sur l'onglet Version :
        • Aucune version de fichier
        • Aucune description
        • Aucun copyright
        • Aucun nom de société
        • Aucun nom de produit
    Si un fichier a des attributs masqués et ne possède pas d'informations concernant le nom de produit, la société et la version de fichier, votre ordinateur est infecté par le logiciel espion.
  6. Cliquez sur OK pour fermer la boîte de dialogue Propriétés, puis suivez les étapes de l'une des méthodes décrites dans la section « Résolution » pour résoudre le problème.
  7. Dans la zone Adresse d'Internet Explorer, tapez %windir%\system32, puis appuyez sur ENTRÉE.
  8. Recherchez des fichiers d'application (fichiers dont le nom a une extension .exe) qui portent des noms semblables aux suivants :
    • Msupd.exe
    • Msupd*.exe

      Remarque L'espace réservé * représente un nombre à chiffre unique.
    • Reloadmedude.exe
    Ces fichiers ont une date aléatoire et une taille de 60 Ko (61 440 octets).
    Des noms connus de ces fichiers sont notamment les suivants :
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. S'il existe un ou plusieurs de ces fichiers, l'ordinateur est infecté par le logiciel espion. Suivez les étapes de l'une des méthodes décrites dans la section « Résolution » pour résoudre le problème.

Produits de sécurité qui détectent ce logiciel espion

Plusieurs produits de sécurité détectent ce logiciel espion. Des exemples de ces produits et les noms de logiciel espion correspondants sont notamment :
Réduire ce tableauAgrandir ce tableau
ProduitNom de logiciel espion correspondant
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (cheval de Troie)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO et Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
SymantecTrojan.Lodmeduod

Références

Pour plus d'informations sur le produit Microsoft AntiSpyware, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
892279 Comment faire pour obtenir Microsoft Windows AntiSpyware (version bêta)
892340 Microsoft Windows AntiSpyware (version bêta) identifie un programme comme étant un logiciel espion

Pour plus d'informations sur les fournisseurs de logiciels antivirus, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
49500 Liste des fournisseurs de logiciels antivirus

Propriétés

Numéro d'article: 894278 - Dernière mise à jour: lundi 10 juin 2013 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
Mots-clés : 
kbsecurity kbsecantivirus kbtshoot kbprb KB894278
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com