Narzędzie do wykrywania i usuwania ładunku programu Download.Ject

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 873018 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Uwaga
Narzędzie nie jest już dostępne. Zostało ono zastąpione przez narzędzie Microsoft Windows Malicious Software Removal Tool. Aby uzyskać dodatkowe informacje o narzędziu Microsoft Windows do usuwania złośliwego oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
890830 Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania ułatwia usuwanie określonych, najbardziej rozpowszechnionych rodzajów szkodliwego oprogramowania z komputerów z systemem Windows Server 2003, Windows XP lub Windows 2000
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft dowiedziała się o programie typu „koń trojański” o nazwie W32/Berbew (odmiany A-H), który jest pobierany na komputer kliencki z systemem Microsoft Windows po zainfekowaniu tego komputera przez destrukcyjne oprogramowanie Download.Ject. Ten problem występuje, gdy użytkownik odwiedzi witrynę sieci Web przechowywaną na serwerze z Internetowymi usługami informacyjnymi (IIS) Microsoft, który jest zainfekowany wirusem JS.Scob. Strony sieci Web ładowane na komputer użytkownika zawierają dodatkowy program JavaScript, który pobiera konia trojańskiego Backdoor:W32/Berbew. Koń trojański Backdoor:W32/Berbew jest również znany jako Backdoor-AXJ, Webber lub Padodor. Po uruchomieniu na komputerze użytkownika koń trojański wykonuje między innymi następujące operacje:
  • Monitoruje dostęp do Internetu. Gdy użytkownik odwiedza jedną z kilku witryn finansowych lub witryn usługodawców internetowych w sieci Web, koń trojański przechwytuje poufne informacje, takie jak nazwy logowania, hasła itp. Następnie wysyła je na serwer sieci Web, z którego może je pobrać autor konia trojańskiego. Instaluje serwer proxy, który tak konfiguruje komputer użytkownika, aby mógł być użyty, na przykład, do wysyłania wiadomości-śmieci.
  • Otwiera fałszywe okna dialogowe, które monitują użytkownika o podanie poufnych informacji, takich jak kody kart ATM czy numery kart kredytowych. Informacje są następnie wysyłane na serwer sieci Web, z którego może je pobrać autor konia trojańskiego.
Firma Microsoft wydała narzędzie, które pomaga usunąć z komputera odmiany konia trojańskiego Backdoor:W32/Berbew. Narzędzie to można pobrać z witryny Microsoft — Centrum pobierania i uruchomić na komputerze, aby usunąć konia trojańskiego Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G lub Backdoor:W32/Berbew.H.
Aktualizacje techniczne
  • 8 lutego 2005: Firma Microsoft zastępuje niniejsze narzędzie narzędziem Microsoft Windows Malicious Software Removal Tool. Aby uzyskać dodatkowe informacje o narzędziu Microsoft Windows do usuwania złośliwego oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    890830 Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania ułatwia usuwanie określonych, najbardziej rozpowszechnionych rodzajów szkodliwego oprogramowania z komputerów z systemem Windows Server 2003, Windows XP lub Windows 2000
  • 14.07.04: Aktualizacja sekcji „Streszczenie”, „Rozwiązanie” i „Informacje dotyczące użycia”.
  • 13 lipca 2004: Firma Microsoft opublikowała w witrynie Microsoft — Centrum pobierania wersję 1.0 narzędzia do wykrywania i usuwania ładunku programu Download.Ject. Wersja 1.0 wykrywa i usuwa wszystkie znane obecnie odmiany (od A do H) konia trojańskiego Backdoor:W32/Berbew.

Symptomy

Może wystąpić jeden lub kilka z następujących symptomów:
  • Wolniejsze działanie komputera lub połączenia sieciowego.
  • Podczas odwiedzania pewnych witryn finansowych lub witryn usługodawców internetowych w sieci Web pojawiają się komunikaty lub okna dialogowe monitujące o podanie numerów kart ATM i numerów kart kredytowych.

Przyczyna

Takie zachowanie występuje, ponieważ komputer jest zainfekowany przez konia trojańskiego Backdoor:W32/Berbew. Koń trojański Backdoor:W32/Berbew jest ładowany przez konia trojańskiego Download.Ject. Aby uzyskać więcej informacji dotyczących sposobu sprawdzenia, czy komputer jest zainfekowany jedną z odmian konia trojańskiego Backdoor:W32/Berbew, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/security/incident/Download_Ject.mspx

Rozwiązanie

Oprogramowanie antywirusowe z aktualnymi sygnaturami pomaga chronić komputer przed zainfekowaniem koniem trojańskim Backdoor:W32/Berbew.

Ważne: Zaleca się także korzystanie z zapory internetowej i oprogramowania antywirusowego z aktualnymi sygnaturami oraz zaktualizowanie systemu Windows i wykorzystywanych programów.

Aby uzyskać dodatkowe informacje dotyczące sposobów ochrony przed wirusami oraz odzyskiwania systemów w przypadku infekcji wirusowych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
129972 Wirusy komputerowe: opis, zapobieganie i zwalczanie

Informacje dotyczące pobierania oraz instalowania

Wymagania wstępne

Narzędzie do wykrywania i usuwania ładunku programu Download.Ject ma następujące wymagania wstępne:
  • Na komputerze musi być uruchomiony system Microsoft Windows 2000 z dodatkiem SP2 lub nowszym albo 32-bitowa wersja systemu Microsoft Windows XP.
  • Trzeba zalogować się jako administrator komputera lub członek grupy Administratorzy.
Aby uzyskać dodatkowe informacje dotyczące sposobu sprawdzenia, czy na komputerze jest uruchomiona 32-, czy 64-bitowa wersja systemu Windows XP, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
827218 How to determine whether your computer is running a 32-bit version or 64-bit version of Windows XP
Jeśli te wymagania wstępne nie są spełnione, instalacja nie działa i pojawia się komunikat o błędzie. Aby uzyskać więcej informacji o tym komunikacie, zobacz następujący plik dziennika:
%Windir%\Debug\Berbcln.log
Ponadto zaleca się, aby przed uruchomieniem tego narzędzia zainstalować aktualizację systemu Windows wyłączającą obiekt ADODB.stream w programie Internet Explorer. Chociaż narzędzie usuwa konia trojańskiego z zainfekowanego komputera, nie zapobiega ponownej infekcji, jeśli komputer nadal nie jest przed nią chroniony. Zainstalowanie tej aktualizacji krytycznej pomaga zapobiec dodatkowemu pobraniu destrukcyjnego oprogramowania z serwera zainfekowanego koniem trojańskim Download.Ject.

Aby uzyskać dodatkowe informacje dotyczące aktualizacji systemu Windows, która wyłącza obiekt ADOBB.stream, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
870669 Jak wyłączyć obiekt ADODB.Stream w programie Internet Explorer

Wymagania dotyczące ponownego uruchamiania

Ponowne uruchomienie komputera po zainstalowaniu tego narzędzia nie jest konieczne.

Informacje o użytkowaniu

Ważne: Pamiętaj, aby przed wykonaniem poniższych kroków utworzyć kopię zapasową wszystkich ważnych danych.

Po zainstalowaniu narzędzia do wykrywania i usuwania ładunku programu Download.Ject i zaakceptowaniu umowy licencyjnej użytkownika oprogramowania (EULA) pakiet instalacyjny wyodrębnia w folderze tymczasowym plik Berbcln.exe, a następnie uruchamia narzędzie. Sprawdza ono, czy komputer spełnia wymagania wstępne wymienione w sekcjiWymagania wstępne. Jeśli wymagania wstępne są spełnione, narzędzie podejmuje następujące czynności:
  1. Szuka wpisów dodanych przez konia trojańskiego w następujących podkluczach rejestru:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. Szuka w pamięci dowodu istnienia głównego składnika konia trojańskiego Backdoor:Win32/Berbew. Jeśli go znajdzie, kończy jego proces.
  3. Szuka następujących plików danych utworzonych przez konia trojańskiego. Mogą one zawierać ważne dane osobiste. Narzędzie usuwa te pliki.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Usuwa wszystkie pliki skojarzone z koniem trojańskim Backdoor:W32/Berbew. Pliki te zostały znalezione w krokach 1 i 2.
  5. Usuwa wpisy rejestru znalezione w kroku 1. Jeśli wartość rejestru Berbew nie wskazuje już żadnego pliku na dysku twardym, narzędzie nie usuwa tej osieroconej wartości rejestru, ponieważ nie wyrządzi ona żadnej szkody, jeśli skojarzony z nią plik nie istnieje na dysku twardym.
  6. Częścią metody działania tego konia trojańskiego jest uruchomienie dwóch wystąpień programu Microsoft Internet Explorer w oknach ukrytych. Z tych okien następują próby połączenia się z destrukcyjnymi witrynami sieci Web. Jedno wystąpienie próbuje przekazać skradzione dane osobiste, a drugie szuka aktualizacji konia trojańskiego. Jeśli narzędzie znajdzie na komputerze konia trojańskiego Backdoor:W32/ Berbew, zamyka wszystkie uruchomione wystąpienia programu Internet Explorer.
  7. Wyświetla komunikat opisujący wynik procesu wykrywania i usuwania. Poniżej przedstawiono komunikaty, które mogą się pojawić, i ich objaśnienia:
    Zwiń tę tabelęRozwiń tę tabelę
    KomunikatZnaczenie
    No infection detectedNa komputerze nie wykryto konia trojańskiego Backdoor:Win32/Berbew.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.Koń trojański Backdoor:Win32/Berbew został usunięty. Nie trzeba robić nic więcej.
    This tool must be run by an administrator.Trzeba się wylogować i zalogować ponownie jako administrator.
    Fatal error, please review log file.Aby uzyskać więcej informacji, zobacz katalog %Windir%\Debug\Berbcln.log.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.Spróbuj ponownie uruchomić narzędzie i sprawdź, czy w pliku dziennika nie zostały zarejestrowane błędy.
    This tool requires Windows 2000 or Windows XP.Narzędzie nie jest obsługiwane w wersjach systemu Windows innych niż Windows 2000 i Windows XP.
    Incorrect Windows version (Win32s)Narzędzie nie jest obsługiwane w systemie Windows 3.1 z podsystemem Win32s.
    Narzędzie zostaje zamknięte wraz z zamknięciem okna komunikatu, a plik Berbcln.exe jest usuwany z folderu tymczasowego. Można wtedy ręcznie usunąć plik Windows-KB873018-ENU-V1.exe.
  8. Narzędzie tworzy plik dziennika o nazwie Berbcln.log w folderze %Windir%\Debug. Można go przejrzeć, aby stwierdzić, czy zostały wykryte infekcje spowodowane przez konia trojańskiego Backdoor:W32/Berbew.gen i czy zostały one usunięte.

Przełączniki wiersza polecenia

Instalator narzędzia obsługuje następujące przełączniki wiersza polecenia:
  • /Q — określa tryb cichy, czyli powoduje, że podczas wyodrębniania plików pomijane są komunikaty;
  • /Q:U — określa tryb cichy użytkownika. W tym trybie są wyświetlane okna dialogowe zawierające informacje przeznaczone dla użytkownika;
  • /Q:A — określa tryb cichy administratora. W tym trybie nie są wyświetlane żadne okna dialogowe zawierające informacje przeznaczone dla użytkownika.
  • /T: ścieżka — określa lokalizację folderu tymczasowego, który jest używany przez program instalacyjny narzędzia do wykrywania i usuwania ładunku programu Download.Ject lub określa folder docelowy dla wyodrębnianych plików (jeśli ten przełącznik zostanie użyty razem z przełącznikiem /C);
  • /C — wyodrębnia pliki bez ich instalowania. Jeśli parametr /T: ścieżka nie jest określony, wyświetlany jest monit o wskazanie folderu docelowego;
  • /C: polecenie — określa ścieżkę i nazwę innego pliku .inf lub pliku .exe Instalatora, który ma być użyty do zainstalowania narzędzia;
  • /R:N — nigdy nie uruchamia ponownie komputera po instalacji;
  • /R:I — monituje użytkownika o ponowne uruchomienie komputera, jeśli jest ono wymagane (z wyjątkiem sytuacji, w której został użyty również przełącznik /Q:A;
  • /R:A — zawsze uruchamia ponownie komputer po instalacji;
  • /R:S — uruchamia ponownie komputer po instalacji bez monitowania użytkownika.
Aby uzyskać dodatkowe informacje o obsługiwanych przełącznikach Instalatora, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
197147 Command-line switches for IExpress software update packages
Narzędzie do usuwania obsługuje następujący przełącznik wiersza polecenia:
  • /S — włącza tryb cichy narzędzia. Ten przełącznik powoduje pominięcie okna dialogowego z informacją o stanie infekcji, które normalnie jest wyświetlane po uruchomieniu narzędzia.

Informacje dotyczące usuwania

Plik Berbcln.exe zostaje automatycznie usunięty ze swojej lokalizacji tymczasowej po uruchomieniu narzędzia. Po zainstalowaniu narzędzia użytkownik może usunąć pakiet Instalatora narzędzia.

Uwaga: Zainstalowane narzędzie do wykrywania i usuwania ładunku programu Download.Ject nie pojawia się na liście Aktualnie zainstalowane programy w aplecie Dodaj/Usuń programy w Panelu sterowania.

Właściwości

Numer ID artykułu: 873018 - Ostatnia weryfikacja: 20 września 2005 - Weryfikacja: 4.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Słowa kluczowe: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin atdownload KB873018

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com