Zaloguj si�

Select the product you need help with

Narz�dzie do wykrywania i usuwania �adunku programu Download.Ject

Numer ID artyku�u: 873018 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

Uwaga

Narz�dzie nie jest ju� dost�pne. Zosta�o ono zast�pione przez narz�dzie Microsoft Windows Malicious Software Removal Tool. Aby uzyska� dodatkowe informacje o narz�dziu Microsoft Windows do usuwania z�o�liwego oprogramowania, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

890830

(http://support.microsoft.com/kb/890830/PL/ )

Narz�dzie Microsoft Windows do usuwania z�o�liwego oprogramowania u�atwia usuwanie okre�lonych, najbardziej rozpowszechnionych rodzaj�w szkodliwego oprogramowania z komputer�w z systemem Windows Server 2003, Windows XP lub Windows 2000

Rozwi� wszystko | Zwi� wszystko

Na tej stronie

Streszczenie

Firma Microsoft dowiedzia�a si� o programie typu �ko� troja�ski� o nazwie W32/Berbew (odmiany A-H), kt�ry jest pobierany na komputer kliencki z systemem Microsoft Windows po zainfekowaniu tego komputera przez destrukcyjne oprogramowanie Download.Ject. Ten problem wyst�puje, gdy u�ytkownik odwiedzi witryn� sieci Web przechowywan� na serwerze z Internetowymi us�ugami informacyjnymi (IIS) Microsoft, kt�ry jest zainfekowany wirusem JS.Scob. Strony sieci Web �adowane na komputer u�ytkownika zawieraj� dodatkowy program JavaScript, kt�ry pobiera konia troja�skiego Backdoor:W32/Berbew. Ko� troja�ski Backdoor:W32/Berbew jest r�wnie� znany jako Backdoor-AXJ, Webber lub Padodor. Po uruchomieniu na komputerze u�ytkownika ko� troja�ski wykonuje mi�dzy innymi nast�puj�ce operacje:

Monitoruje dost�p do Internetu. Gdy u�ytkownik odwiedza jedn� z kilku witryn finansowych lub witryn us�ugodawc�w internetowych w sieci Web, ko� troja�ski przechwytuje poufne informacje, takie jak nazwy logowania, has�a itp. Nast�pnie wysy�a je na serwer sieci Web, z kt�rego mo�e je pobra� autor konia troja�skiego. Instaluje serwer proxy, kt�ry tak konfiguruje komputer u�ytkownika, aby m�g� by� u�yty, na przyk�ad, do wysy�ania wiadomo�ci-�mieci.
Otwiera fa�szywe okna dialogowe, kt�re monituj� u�ytkownika o podanie poufnych informacji, takich jak kody kart ATM czy numery kart kredytowych. Informacje s� nast�pnie wysy�ane na serwer sieci Web, z kt�rego mo�e je pobra� autor konia troja�skiego.

Firma Microsoft wyda�a narz�dzie, kt�re pomaga usun�� z komputera odmiany konia troja�skiego Backdoor:W32/Berbew. Narz�dzie to mo�na pobra� z witryny Microsoft � Centrum pobierania i uruchomi� na komputerze, aby usun�� konia troja�skiego Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G lub Backdoor:W32/Berbew.H.

Aktualizacje techniczne

8 lutego 2005: Firma Microsoft zast�puje niniejsze narz�dzie narz�dziem Microsoft Windows Malicious Software Removal Tool. Aby uzyska� dodatkowe informacje o narz�dziu Microsoft Windows do usuwania z�o�liwego oprogramowania, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:
890830
(http://support.microsoft.com/kb/890830/PL/ )
Narz�dzie Microsoft Windows do usuwania z�o�liwego oprogramowania u�atwia usuwanie okre�lonych, najbardziej rozpowszechnionych rodzaj�w szkodliwego oprogramowania z komputer�w z systemem Windows Server 2003, Windows XP lub Windows 2000
14.07.04: Aktualizacja sekcji �Streszczenie�, �Rozwi�zanie� i �Informacje dotycz�ce u�ycia�.
13 lipca 2004: Firma Microsoft opublikowa�a w witrynie Microsoft � Centrum pobierania wersj� 1.0 narz�dzia do wykrywania i usuwania �adunku programu Download.Ject. Wersja 1.0 wykrywa i usuwa wszystkie znane obecnie odmiany (od A do H) konia troja�skiego Backdoor:W32/Berbew.

Powr�t na g�r� | Przeka� opini�

Symptomy

Mo�e wyst�pi� jeden lub kilka z nast�puj�cych symptom�w:

Wolniejsze dzia�anie komputera lub po��czenia sieciowego.
Podczas odwiedzania pewnych witryn finansowych lub witryn us�ugodawc�w internetowych w sieci Web pojawiaj� si� komunikaty lub okna dialogowe monituj�ce o podanie numer�w kart ATM i numer�w kart kredytowych.

Powr�t na g�r� | Przeka� opini�

Przyczyna

Takie zachowanie wyst�puje, poniewa� komputer jest zainfekowany przez konia troja�skiego Backdoor:W32/Berbew. Ko� troja�ski Backdoor:W32/Berbew jest �adowany przez konia troja�skiego Download.Ject. Aby uzyska� wi�cej informacji dotycz�cych sposobu sprawdzenia, czy komputer jest zainfekowany jedn� z odmian konia troja�skiego Backdoor:W32/Berbew, odwied� nast�puj�c� witryn� firmy Microsoft w sieci Web:

http://www.microsoft.com/security/incident/Download_Ject.mspx

(http://www.microsoft.com/security/incident/Download_Ject.mspx)

Powr�t na g�r� | Przeka� opini�

Rozwi�zanie

Oprogramowanie antywirusowe z aktualnymi sygnaturami pomaga chroni� komputer przed zainfekowaniem koniem troja�skim Backdoor:W32/Berbew.

Wa�ne: Zaleca si� tak�e korzystanie z zapory internetowej i oprogramowania antywirusowego z aktualnymi sygnaturami oraz zaktualizowanie systemu Windows i wykorzystywanych program�w.

Aby uzyska� dodatkowe informacje dotycz�ce sposob�w ochrony przed wirusami oraz odzyskiwania system�w w przypadku infekcji wirusowych, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

129972

(http://support.microsoft.com/kb/129972/PL/ )

Wirusy komputerowe: opis, zapobieganie i zwalczanie

Informacje dotycz�ce pobierania oraz instalowania

Wymagania wst�pne

Narz�dzie do wykrywania i usuwania �adunku programu Download.Ject ma nast�puj�ce wymagania wst�pne:

Na komputerze musi by� uruchomiony system Microsoft Windows 2000 z dodatkiem SP2 lub nowszym albo 32-bitowa wersja systemu Microsoft Windows XP.
Trzeba zalogowa� si� jako administrator komputera lub cz�onek grupy Administratorzy.

Aby uzyska� dodatkowe informacje dotycz�ce sposobu sprawdzenia, czy na komputerze jest uruchomiona 32-, czy 64-bitowa wersja systemu Windows�XP, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

827218

(http://support.microsoft.com/kb/827218/PL/ )

How to determine whether your computer is running a 32-bit version or 64-bit version of Windows XP

Je�li te wymagania wst�pne nie s� spe�nione, instalacja nie dzia�a i pojawia si� komunikat o b��dzie. Aby uzyska� wi�cej informacji o tym komunikacie, zobacz nast�puj�cy plik dziennika:

%Windir%\Debug\Berbcln.log

Ponadto zaleca si�, aby przed uruchomieniem tego narz�dzia zainstalowa� aktualizacj� systemu Windows wy��czaj�c� obiekt ADODB.stream w programie Internet Explorer. Chocia� narz�dzie usuwa konia troja�skiego z zainfekowanego komputera, nie zapobiega ponownej infekcji, je�li komputer nadal nie jest przed ni� chroniony. Zainstalowanie tej aktualizacji krytycznej pomaga zapobiec dodatkowemu pobraniu destrukcyjnego oprogramowania z serwera zainfekowanego koniem troja�skim Download.Ject.

Aby uzyska� dodatkowe informacje dotycz�ce aktualizacji systemu Windows, kt�ra wy��cza obiekt ADOBB.stream, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

870669

(http://support.microsoft.com/kb/870669/PL/ )

Jak wy��czy� obiekt ADODB.Stream w programie Internet Explorer

Wymagania dotycz�ce ponownego uruchamiania

Ponowne uruchomienie komputera po zainstalowaniu tego narz�dzia nie jest konieczne.

Informacje o u�ytkowaniu

Wa�ne: Pami�taj, aby przed wykonaniem poni�szych krok�w utworzy� kopi� zapasow� wszystkich wa�nych danych.

Po zainstalowaniu narz�dzia do wykrywania i usuwania �adunku programu Download.Ject i zaakceptowaniu umowy licencyjnej u�ytkownika oprogramowania (EULA) pakiet instalacyjny wyodr�bnia w folderze tymczasowym plik Berbcln.exe, a nast�pnie uruchamia narz�dzie. Sprawdza ono, czy komputer spe�nia wymagania wst�pne wymienione w sekcjiWymagania wst�pne. Je�li wymagania wst�pne s� spe�nione, narz�dzie podejmuje nast�puj�ce czynno�ci:

Szuka wpis�w dodanych przez konia troja�skiego w nast�puj�cych podkluczach rejestru:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
Szuka w pami�ci dowodu istnienia g��wnego sk�adnika konia troja�skiego Backdoor:Win32/Berbew. Je�li go znajdzie, ko�czy jego proces.
Szuka nast�puj�cych plik�w danych utworzonych przez konia troja�skiego. Mog� one zawiera� wa�ne dane osobiste. Narz�dzie usuwa te pliki.
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat
Usuwa wszystkie pliki skojarzone z koniem troja�skim Backdoor:W32/Berbew. Pliki te zosta�y znalezione w krokach 1 i 2.
Usuwa wpisy rejestru znalezione w kroku 1. Je�li warto�� rejestru Berbew nie wskazuje ju� �adnego pliku na dysku twardym, narz�dzie nie usuwa tej osieroconej warto�ci rejestru, poniewa� nie wyrz�dzi ona �adnej szkody, je�li skojarzony z ni� plik nie istnieje na dysku twardym.
Cz�ci� metody dzia�ania tego konia troja�skiego jest uruchomienie dw�ch wyst�pie� programu Microsoft Internet Explorer w oknach ukrytych. Z tych okien nast�puj� pr�by po��czenia si� z destrukcyjnymi witrynami sieci Web. Jedno wyst�pienie pr�buje przekaza� skradzione dane osobiste, a drugie szuka aktualizacji konia troja�skiego. Je�li narz�dzie znajdzie na komputerze konia troja�skiego Backdoor:W32/ Berbew, zamyka wszystkie uruchomione wyst�pienia programu Internet Explorer.

Wy�wietla komunikat opisuj�cy wynik procesu wykrywania i usuwania. Poni�ej przedstawiono komunikaty, kt�re mog� si� pojawi�, i ich obja�nienia:

Zwi� t� tabel�Rozwi� t� tabel�

Komunikat	Znaczenie
No infection detected	Na komputerze nie wykryto konia troja�skiego Backdoor:Win32/Berbew.
Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.	Ko� troja�ski Backdoor:Win32/Berbew zosta� usuni�ty. Nie trzeba robi� nic wi�cej.
This tool must be run by an administrator.	Trzeba si� wylogowa� i zalogowa� ponownie jako administrator.
Fatal error, please review log file.	Aby uzyska� wi�cej informacji, zobacz katalog %Windir%\Debug\Berbcln.log.
Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.	Spr�buj ponownie uruchomi� narz�dzie i sprawd�, czy w pliku dziennika nie zosta�y zarejestrowane b��dy.
This tool requires Windows 2000 or Windows XP.	Narz�dzie nie jest obs�ugiwane w wersjach systemu Windows innych ni� Windows 2000 i Windows XP.
Incorrect Windows version (Win32s)	Narz�dzie nie jest obs�ugiwane w systemie Windows 3.1 z podsystemem Win32s.

Narz�dzie zostaje zamkni�te wraz z zamkni�ciem okna komunikatu, a plik Berbcln.exe jest usuwany z folderu tymczasowego. Mo�na wtedy r�cznie usun�� plik Windows-KB873018-ENU-V1.exe.

Narz�dzie tworzy plik dziennika o nazwie Berbcln.log w folderze %Windir%\Debug. Mo�na go przejrze�, aby stwierdzi�, czy zosta�y wykryte infekcje spowodowane przez konia troja�skiego Backdoor:W32/Berbew.gen i czy zosta�y one usuni�te.

Prze��czniki wiersza polecenia

Instalator narz�dzia obs�uguje nast�puj�ce prze��czniki wiersza polecenia:

/Q � okre�la tryb cichy, czyli powoduje, �e podczas wyodr�bniania plik�w pomijane s� komunikaty;
/Q:U � okre�la tryb cichy u�ytkownika. W tym trybie s� wy�wietlane okna dialogowe zawieraj�ce informacje przeznaczone dla u�ytkownika;
/Q:A � okre�la tryb cichy administratora. W tym trybie nie s� wy�wietlane �adne okna dialogowe zawieraj�ce informacje przeznaczone dla u�ytkownika.
/T: �cie�ka � okre�la lokalizacj� folderu tymczasowego, kt�ry jest u�ywany przez program instalacyjny narz�dzia do wykrywania i usuwania �adunku programu Download.Ject lub okre�la folder docelowy dla wyodr�bnianych plik�w (je�li ten prze��cznik zostanie u�yty razem z prze��cznikiem /C);
/C � wyodr�bnia pliki bez ich instalowania. Je�li parametr /T: �cie�ka nie jest okre�lony, wy�wietlany jest monit o wskazanie folderu docelowego;
/C: polecenie � okre�la �cie�k� i nazw� innego pliku .inf lub pliku .exe Instalatora, kt�ry ma by� u�yty do zainstalowania narz�dzia;
/R:N � nigdy nie uruchamia ponownie komputera po instalacji;
/R:I � monituje u�ytkownika o ponowne uruchomienie komputera, je�li jest ono wymagane (z wyj�tkiem sytuacji, w kt�rej zosta� u�yty r�wnie� prze��cznik /Q:A;
/R:A � zawsze uruchamia ponownie komputer po instalacji;
/R:S � uruchamia ponownie komputer po instalacji bez monitowania u�ytkownika.

Aby uzyska� dodatkowe informacje o obs�ugiwanych prze��cznikach Instalatora, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

197147

(http://support.microsoft.com/kb/197147/PL/ )

Command-line switches for IExpress software update packages

Narz�dzie do usuwania obs�uguje nast�puj�cy prze��cznik wiersza polecenia:

/S � w��cza tryb cichy narz�dzia. Ten prze��cznik powoduje pomini�cie okna dialogowego z informacj� o stanie infekcji, kt�re normalnie jest wy�wietlane po uruchomieniu narz�dzia.

Informacje dotycz�ce usuwania

Plik Berbcln.exe zostaje automatycznie usuni�ty ze swojej lokalizacji tymczasowej po uruchomieniu narz�dzia. Po zainstalowaniu narz�dzia u�ytkownik mo�e usun�� pakiet Instalatora narz�dzia.

Uwaga: Zainstalowane narz�dzie do wykrywania i usuwania �adunku programu Download.Ject nie pojawia si� na li�cie Aktualnie zainstalowane programy w aplecie Dodaj/Usu� programy w Panelu sterowania.

Powr�t na g�r� | Przeka� opini�