Outil de détection et de suppression de la charge de Download.Ject


Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Cet outil n'est plus disponible. Il a été remplacé par l'Outil de suppression de logiciels malveillants Microsoft Windows Pour plus d'informations sur l'Outil de suppression de logiciels malveillants, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

890830 L'Outil de suppression de logiciels malveillants Microsoft Windows aide à supprimer des logiciels malveillants spécifiques et répandus présents sur des ordinateurs Windows Server 2003, Windows XP ou Windows 2000

Résumé


Microsoft a eu connaissance d'un programme cheval de Troie appelé W32/Berbew (variantes A à H) qui est téléchargé après qu'un ordinateur client Microsoft Windows a été infecté par le programme malveillant Download.Ject. Ce problème se produit lorsqu'un utilisateur visite un site Web hébergé sur un serveur qui exécute les services Internet (IIS) Microsoft et qui a été infecté par JS.Scob. Les pages Web qui sont téléchargées sur l'ordinateur de l'utilisateur contiennent un programme JavaScript supplémentaire qui télécharge le cheval de Troie Backdoor:W32/Berbew. Backdoor:W32/Berbew est également connu sous le nom Backdoor-AXJ, Webber ou Padodor. Lorsque ce cheval de Troie s'exécute sur l'ordinateur de l'utilisateur, il effectue plusieurs actions, dont les suivantes :
  • Il surveille les accès à Internet. Lorsque l'utilisateur visite un site Web financier ou un site Web d'un fournisseur de services Internet, le cheval de Troie capture des informations personnelles comme les noms d'ouverture de session, les mots de passe, etc., puis envoie ces informations à un serveur Web pour que l'auteur du cheval de Troie puisse les récupérer. Le cheval de Troie installe ensuite un serveur proxy qui configure l'ordinateur de l'utilisateur pour un usage en tant que relais pour diverses actions comme l'envoi de courrier indésirable (spam).
  • Il ouvre des boîtes de dialogue fictives qui invitent l'utilisateur à fournir des informations confidentielles comme des codes de carte ATM ou des numéros de carte de crédit. Il envoie ensuite ces informations à un serveur Web pour que l'auteur du cheval de Troie puisse les récupérer.
Microsoft a publié un outil pour vous aider à supprimer les variantes du cheval de Troie Backdoor:W32/Berbew de votre ordinateur. Vous pouvez le télécharger à partir du Centre de téléchargement Microsoft et l'exécuter sur votre ordinateur afin de supprimer les infections Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C et Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G et Backdoor:W32/Berbew.H.
Mises à jour techniques
  • 8 février 2005 : Microsoft a remplacé cet outil par l'Outil de suppression de logiciels malveillants Microsoft Windows. Pour plus d'informations sur l'Outil de suppression de logiciels malveillants, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

    890830 L'Outil de suppression de logiciels malveillants Microsoft Windows aide à supprimer des logiciels malveillants spécifiques et répandus présents sur des ordinateurs Windows Server 2003, Windows XP ou Windows 2000

  • 14 juillet 2004 : les sections « Résumé », « Résolution » et « Informations sur l'utilisation » ont été mises à jour.
  • 13 juillet 2004 : Microsoft a publié la version 1.0 de l'outil de détection et de suppression de la charge de Download.Ject sur le Centre de téléchargement Microsoft. La version 1.0 détecte et supprime toutes les variantes connues (A à H) du cheval de Troie Backdoor:W32/Berbew.

Symptômes


Il se peut que vous rencontriez les problèmes suivants :
  • Les performances de l'ordinateur sont diminuées ou la connexion réseau est lente.
  • Vous recevez des messages ou des boîtes de dialogue qui demandent des numéros de sécurité ATM et des informations de carte de crédit lorsque vous visitez certains sites Web financiers et de fournisseurs de services Internet en ligne.

Cause


Ces problèmes se produisent car votre ordinateur est infecté par le cheval de Troie Backdoor:W32/Berbew. Backdoor:W32/Berbew est transmis par le cheval de Troie Download.Ject. Pour plus d'informations sur la façon de déterminer si votre ordinateur est infecté par une variante de Backdoor:W32/Berbew, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :

Résolution


Un programme antivirus avec des signatures à jour contribueront à prévenir une infection de votre ordinateur par le cheval de Troie Backdoor:W32/Berbew.

Important Nous vous recommandons également d'utiliser un pare-feu Internet et un programme antivirus avec des signatures à jour et de mettre à jour Windows et vos programmes.

Pour plus d'informations sur la façon de prévenir l'infection par des virus et de récupérer après une infection, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
129972 Virus informatiques : description, prévention et récupération

Informations sur le téléchargement et l'installation

Conditions préalables

L'outil de détection et de suppression de la charge de Download.Ject exige les conditions préalables suivantes :
  • Votre ordinateur doit exécuter Microsoft Windows 2000 Service Pack 2 ou version ultérieure ou une version 32 bits de Microsoft Windows XP.
  • Vous devez ouvrir une session en tant qu'administrateur ou que membre du groupe Administrateurs.
Pour plus d'informations sur la façon de déterminer si votre ordinateur exécute une version 32 bits ou 64 bits de Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
827218 Comment faire pour déterminer si votre ordinateur exécute une version 32 bits ou 64 bits de Windows XP

Si ces conditions préalables ne sont pas satisfaites, l'installation échoue et un message d'erreur s'affiche. Pour plus d'informations sur le message d'erreur, consultez le fichier journal suivant :
%Windir%\Debug\Berbcln.log
Nous vous recommandons également d'installer la mise à jour Windows afin de désactiver l'objet ADODB.stream dans Internet Explorer avant d'exécuter l'outil de suppression. Bien que cet outil de suppression élimine le cheval de Troie des ordinateurs infectés, il ne prévient pas la réinfection si l'ordinateur est toujours vulnérable. En installant la mise à jour majeure, vous pouvez contribuer à prévenir d'autres téléchargements de programmes malveillants à partir d'un serveur infecté par Download.Ject.

Pour plus d'informations sur la mise à jour de Windows permettant de désactiver l'objet ADODB.stream, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
870669 Comment faire pour désactiver l'objet ADODB.Stream dans Internet Explorer

Nécessité d'un redémarrage

Vous n'avez pas besoin de redémarrer votre ordinateur après avoir installé cet outil.

informations d'utilisation

Important Avant de poursuivre, assurez-vous d'avoir sauvegardé toutes vos données importantes.

Lorsque vous installez l'outil de détection et de suppression de la charge de Download.Ject et que vous acceptez le Contrat de Licence Utilisateur Final (CLUF), le package d'installation extrait le fichier Berbcln.exe vers un dossier temporaire, puis exécute l'outil de suppression. L'outil de suppression vérifie que l'ordinateur satisfait aux conditions requises répertoriées à la section « Conditions préalables ». Si les conditions préalables sont remplies, l'outil de suppression effectue les actions suivantes :
  1. L'outil recherche, dans les sous-clés de Registre suivantes, les entrées que le programme cheval de Troie a ajoutées :
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. L'outil recherche dans la mémoire des indices de la présence du principal composant du cheval de Troie Backdoor:Win32/Berbew. Si l'outil de suppression en trouve, il arrête le processus.
  3. L'outil recherche les fichiers de données suivants, créés par le cheval de Troie. Ces fichiers peuvent contenir des données personnelles confidentielles. L'outil supprime également ces fichiers.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. L'outil supprime tous les fichiers associés au cheval de Troie Backdoor:W32/Berbew. Ces fichiers ont été identifiés au cours des étapes 1 et 2.
  5. L'outil supprime les entrées du Registre identifiées au cours de l'étape 1. Si une valeur du Registre relative à Berbew pointe sur un fichier qui n'est plus sur le disque dur, l'outil de suppression ne supprime pas la valeur de Registre « orpheline » car cette dernière ne provoque aucun dégât si le fichier associé n'existe plus sur le disque dur.
  6. Au cours de cette étape, le cheval de Troie exécute deux instances de Microsoft Internet Explorer dans des fenêtres masquées. Ces fenêtres tentent de se connecter à des sites Web malveillants. Une instance tente de télécharger les données personnelles subtilisées tandis que l'autre instance recherche des mises à jour logicielles du cheval de Troie. Si l'outil détecte le cheval de Troie Backdoor:W32/Berbew sur l'ordinateur, il arrête toutes les instances d'Internet Explorer en cours d'exécution.
  7. L'outil affiche un message décrivant le résultat de la recherche et de la suppression. La liste ci-dessous répertorie les messages que vous pouvez recevoir et explique ce qu'ils signifient.
    MessageSignification
    No infection detected (Aucune infection détectée)Le cheval de Troie Backdoor:Win32/Berbew n'a pas été détecté sur cet ordinateur.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. (Le cheval de Troie Backdoor:Win32/Berbew.gen a été supprimé correctement.) To prevent malicious communication, all instances of Internet Explorer were terminated. (Pour éviter les transmissions malveillantes, toutes les instances d'Internet Explorer ont été arrêtées.)Le cheval de Troie Backdoor:Win32/Berbew.gen a été supprimé. Aucune autre action n'est requise.
    This tool must be run by an administrator. (Cet outil doit être exécuté par un administrateur.)Vous devez fermer votre session et ouvrir une nouvelle session en tant qu'administrateur.
    Fatal error, please review log file. (Erreur irrécupérable. Consultez le fichier journal.)Pour plus d'informations, consultez le répertoire %Windir%\Debug\Berbcln.log.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (Le cheval de Troie Backdoor:/W32/Berbew.gen a été détecté, mais n'a pas pu être supprimé.)Réexécutez l'outil et consultez le fichier journal pour prendre connaissance des erreurs.
    This tool requires Windows 2000 or Windows XP. (Cet outil nécessite Windows 2000 ou Windows XP)Cet outil est pris en charge uniquement sur les versions de Windows 2000 et Windows XP.
    Incorrect Windows version (Win32s) (Version de Windows incorrecte (Win32s))Cet outil n'est pas pris en charge par Windows 3.1 avec Win32s.
    Lorsque vous fermez la zone de message, l'outil de suppression se ferme et le fichier Berbcln.exe est supprimé du dossier temporaire. Vous pouvez maintenant supprimer manuellement le fichier Windows-KB873018-ENU-V1.exe.
  8. L'outil de suppression crée un fichier journal, nommé Berbcln.log, dans le dossier %Windir%\Debug. Vous pouvez consulter ce fichier journal pour déterminer si les infections par le programme Backdoor:W32/Berbew.gen ont été détectées et supprimées.

Commutateurs de ligne de commande

Le programme d'installation de l'outil de suppression prend en charge les commutateurs de ligne de commande suivants :
  • /Q - Utilise le mode silencieux ou supprime les messages lors de l'extraction des fichiers.
  • /Q:U - Utilise le mode silencieux utilisateur. Le mode silencieux utilisateur affiche certaines boîtes de dialogue à l'utilisateur.
  • /Q:A - Utilise le mode silencieux administrateur. Le mode silencieux administrateur permet de ne pas afficher de boîte de dialogue à l'utilisateur.
  • /T: chemin_accès - Indique l'emplacement du dossier temporaire utilisé par l'outil de détection et de suppression de la charge de Download.Ject, ou indique le dossier cible pour l'extraction des fichiers (en cas d'utilisation avec le commutateur /C).
  • /C - Extrait les fichiers sans les installer. Si /T: chemin_accès n'est pas spécifié, vous êtes invité à indiquer un dossier cible.
  • /C: cmd - Indique le chemin d'accès et le nom d'un autre fichier Setup.inf ou d'un fichier .exe à utiliser pour installer l'outil.
  • /R:N - Ne redémarre jamais l'ordinateur après une installation.
  • /R:I - Invite l'utilisateur à redémarrer l'ordinateur si un redémarrage est requis, sauf en cas d'utilisation avec le commutateur /Q:A.
  • /R:A - Redémarre toujours l'ordinateur après une installation.
  • /R:S - Redémarre l'ordinateur après l'installation sans afficher d'invite à l'utilisateur.
Pour plus d'informations sur les commutateurs d'installation pris en charge, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
197147 Commutateurs de ligne de commande pour les packages de mise à jour logicielle IExpress

L'outil de suppression prend en charge le commutateur de ligne de commande suivant :
  • /S - Active le mode silencieux de l'outil. Ce commutateur supprime la boîte de dialogue d'état de l'infection affichée après l'exécution de l'outil.

Informations sur la suppression

Le fichier Berbcln.exe est supprimé automatiquement de son emplacement temporaire à la fin de l'exécution de l'outil de suppression. Vous pouvez supprimer le package du programme d'installation de l'outil après avoir installé l'outil de suppression.

Remarque Une fois installé, l'outil de détection et de suppression de la charge de Download.Ject n'apparaît pas dans la liste Programmes installés de l'outil Ajout/Suppression de programmes du Panneau de configuration.