ID do artigo: 873018 - �ltima revis�o: ter�a-feira, 7 de junho de 2005 - Revis�o: 4.0

Ferramenta de remo��o e detec��o da carga de Download.Ject

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Aviso

Esta ferramenta n�o est� mais dispon�vel. Foi substitu�da pela ferramenta de remo��o de software mal-intencionado do Microsoft Windows. Para obter informa��es adicionais sobre a ferramenta de remo��o de software mal-intencionado, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

890830� (http://support.microsoft.com/kb/890830/ ) A ferramenta de remo��o de software mal-intencionado do Microsoft Windows ajuda a remover softwares mal-intencionados espec�ficos e predominantes dos computadores que executam Windows Server 2003, Windows XP ou Windows 2000

Nesta p�gina

Expandir tudo | Recolher tudo

Sum�rio

A Microsoft tomou conhecimento de um programa cavalo de tr�ia chamado de W32/Berbew (variantes A-H) que � baixado ap�s um computador cliente com Microsoft Windows ser infectado com o c�digo mal-intencionado Download.Ject. Esse problema ocorre quando um usu�rio visita um site hospedado em um servidor executando os servi�os de informa��es da Internet da Microsoft (IIS) e que foi infectado pelo JS.Scob. As p�ginas da Web baixadas para o computador do usu�rio cont�m um programa JavaScript adicional que baixa o cavalo de tr�ia Backdoor:W32/Berbew. O Backdoor:W32/Berbew tamb�m � conhecido como Backdoor-AXJ, Webber ou Padodor. Quando o cavalo de tr�ia � executado no computador do usu�rio, ele executa diversas a��es, dentre elas:

Monitora o acesso � Internet. Quando o usu�rio visita o site de uma institui��o financeira, por exemplo, o cavalo de tr�ia captura as informa��es mais importantes, como logins, senhas e outras informa��es. Em seguida ele envia essas informa��es para um servidor da Web por meio do qual o autor do cavalo de tr�ia as recebe. Instala um servidor proxy que configura o computador do usu�rio para ser usado como retransmissor para a��es como o envio de spam.
Abre caixas de di�logo falsas que solicitam que o usu�rio insira informa��es confidenciais, como c�digos de cart�o eletr�nico ou n�meros de cart�o de cr�dito. Essas informa��es s�o enviadas para o autor do cavalo de tr�ia por meio de um servidor da Web.

A Microsoft lan�ou uma ferramenta para ajudar a remover as variantes do cavalo de tr�ia Backdoor:W32/Berbew do seu computador. � poss�vel baixar essa ferramenta no Centro de Download da Microsoft e execut�-la em seu computador para remover as infec��es causadas por Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C e Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G e Backdoor:W32/Berbew.H.

Atualiza��es t�cnicas

8 de fevereiro de 2005: A Microsoft substituiu essa ferramenta pela ferramenta de remo��o de software mal-intencionado do Microsoft Windows. Para obter informa��es adicionais sobre a ferramenta de remo��o de software mal-intencionado, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
890830� (http://support.microsoft.com/kb/890830/ ) A ferramenta de remo��o de software mal-intencionado do Microsoft Windows ajuda a remover softwares mal-intencionados espec�ficos e predominantes dos computadores que executam Windows Server 2003, Windows XP ou Windows 2000
14 de julho de 2004: As se��es "Resumo", "Resolu��o" e "Informa��o de uso" foram atualizadas.
13 de julho de 2004: A Microsoft disponibilizou a vers�o 1.0 da ferramenta de remo��o e detec��o da carga de Download.Ject no Centro de Download da Microsoft. A vers�o 1.0 detecta e remove todas as variantes atualmente conhecidas (de A a H) do cavalo de tr�ia Backdoor:W32/Berbew.

Voltar para o in�cio

Sintomas

Voc� pode enfrentar um ou mais dos seguintes sintomas:

O desempenho do seu computador diminui ou a conex�o de rede fica lenta.
Mensagens ou caixas de di�logo solicitando n�meros de cart�es e informa��es sobre o cart�o de cr�dito s�o exibidas ao visitar determinados sites ISP e financeiros.

Voltar para o in�cio

Causa

Esse comportamento ocorre porque o seu computador est� infectado pelo cavalo de tr�ia Backdoor:W32/Berbew. O Backdoor:W32/Berbew � derivado do cavalo de tr�ia Download.Ject. Para obter informa��es adicionais sobre como determinar se o seu computador est� infectado por uma variante do Backdoor:W32/Berbew, visite o seguinte site da Microsoft:

http://www.microsoft.com/brasil/security/download_ject.mspx (http://www.microsoft.com/brasil/security/download_ject.mspx)

Voltar para o in�cio

Resolu��o

Um software antiv�rus atualizado ajudar� a evitar que o seu computador seja infectado pelo cavalo de tr�ia Backdoor:W32/Berbew.

Importante Tamb�m recomendamos o uso de um firewall da Internet e de um programa antiv�rus atual e que mantenha o Windows e seus programas atualizados.

Para obter informa��es adicionais sobre como evitar e se recuperar de infec��es de v�rus, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

129972� (http://support.microsoft.com/kb/129972/ ) V�rus: Explica��o, preven��o e recupera��o

Voltar para o in�cio

Informa��es sobre o download e a instala��o

Pr�-requisitos

A ferramenta de remo��o e detec��o da carga de Download.Ject possui os seguintes pr�-requisitos:

Seu computador deve estar executando o Microsoft Windows 2000 SP2 ou mais recente, ou uma vers�o de 32 bits do Microsoft Windows XP.
� necess�rio fazer o logon como um administrador de computador ou membro do grupo Administradores.

Para obter informa��es adicionais sobre como determinar se um computador est� executando uma vers�o de 32 bits do Windows XP ou uma vers�o de 64 bits do Windows XP, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

827218� (http://support.microsoft.com/kb/827218/ ) Como determinar se o seu computador est� executando uma vers�o de 32 bits ou de 64 bits do Windows XP

Se esses pr�-requisitos n�o forem atendidos, a instala��o n�o funcionar� e uma mensagem de erro ser� exibida. Para obter informa��es adicionais sobre a mensagem de erro, consulte o arquivo de log a seguir:

%Windir%\Debug\Berbcln.log

Al�m disso, recomendamos a instala��o da atualiza��o do Windows para desativar o objeto ADODB.stream do Internet Explorer antes de executar a ferramenta de remo��o. Apesar da ferramenta remover o cavalo de tr�ia dos computadores infectados, ela n�o ir� impedir que seu computador seja novamente infectado se ele continuar vulner�vel. Ao instalar a atualiza��o cr�tica, voc� pode ajudar a evitar que outros c�digos mal-intencionados sejam baixados a partir do servidor infectado pelo Download.Ject.

Para obter informa��es adicionais sobre a atualiza��o do Windows que desativa o objeto ADODB.stream, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

870669� (http://support.microsoft.com/kb/870669/ ) Como desativar o objeto ADODB.Stream do Internet Explorer

Requisitos de reinicializa��o

N�o � necess�rio reiniciar o computador ap�s a instala��o dessa ferramenta.

Voltar para o in�cio

Informa��es de uso

Importante Antes de executar essas etapas, verifique se voc� possui um backup de todos os dados importantes.

Ao instalar a ferramenta de remo��o e detec��o da carga de Download.Ject e aceitar o contrato de licen�a de usu�rio final (EULA), o pacote de instala��o ir� extrair o arquivo Berbcln.exe para uma pasta tempor�ria e a ferramenta de remo��o ser� executada. A ferramenta de remo��o verifica se o computador possui os pr�-requisitos listados na se��o "Pr�-requisitos". Se os pr�-requisitos forem atendidos, a ferramenta de remo��o far� o seguinte:

Examinar� as seguintes subchaves do Registro em busca de entradas adicionadas pelo cavalo de tr�ia.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
Pesquisar�, na mem�ria, evid�ncias do componente principal do cavalo de tr�ia Backdoor:Win32/Berbew. Se a ferramenta de remo��o encontrar algo, o processo ser� encerrado.
Pesquisar� os seguintes arquivos de dados criados pelo cavalo de tr�ia. Esses arquivos podem conter dados pessoais importantes. A ferramenta os exclui.
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat
A ferramenta exclui todos os arquivos associados ao cavalo de tr�ia Backdoor:W32/Berbew. Esses arquivos foram identificados nas etapas 1 e 2.
A ferramenta remove as entradas do Registro identificadas na etapa 1. Se um valor do Registro do Berbew n�o apontar mais para um arquivo no disco r�gido, a ferramenta de remo��o n�o ir� remover o valor do Registro "orf�o", porque esse valor n�o causar� danos se o arquivo associado n�o existir no disco r�gido.
Como parte de seu m�todo de opera��o, o cavalo de tr�ia executa duas inst�ncias do Microsoft Internet Explorer em janelas ocultas. Essas janelas tentam se conectar a sites mal-intencionados. Uma inst�ncia tenta carregar dados pessoais roubados, enquanto a outra procura atualiza��es de software para o cavalo de tr�ia. Se a ferramenta detectar o cavalo de tr�ia Backdoor:W32/ Berbew no computador, ela fechar� todas as inst�ncias atualmente em execu��o do Internet Explorer.

Ela ir� exibir uma mensagem que descreve o resultado do processo de detec��o e remo��o. A seguinte lista cont�m as mensagens que podem ser exibidas e explica o significado de cada mensagem:

Recolher esta tabelaExpandir esta tabela

Mensagem	Significado
Nenhuma infec��o encontrada	O cavalo de tr�ia Backdoor:Win32/Berbew n�o foi detectado neste computador.
O cavalo de tr�ia Backdoor:Win32/Berbew.gen foi removido com �xito. Para impedir a comunica��o mal-intencionada, todas as inst�ncias do Internet Explorer foram encerradas.	O cavalo de tr�ia Backdoor:Win32/Berbew foi removido. Nenhuma a��o adicional � necess�ria.
Esta ferramenta deve ser executada por um administrador.	� necess�rio se desconectar e fazer o logon novamente como administrador.
Erro fatal, revise o arquivo de log.	Verifique o diret�rio %Windir%\Debug\Berbcln.log para obter informa��es adicionais.
O cavalo de tr�ia Backdoor:/W32/Berbew.gen foi detectado, mas n�o p�de ser removido.	Tente executar a ferramenta novamente e examine o arquivo de log em busca de erros.
Esta ferramenta requer Windows 2000 ou Windows XP.	Esta ferramenta � suportada apenas pelas vers�es 2000 e XP do Windows.
Vers�o do Windows incorreta (Win32s)	Esta ferramenta n�o � suportada pelo Windows 3.1 com Win32s.

Ao fechar a caixa de mensagem, a ferramenta de remo��o fecha e o arquivo Berbcln.exe � exclu�do da pasta tempor�ria. Agora � poss�vel excluir o arquivo Windows-KB873018-ENU-V1.exe manualmente.

A ferramenta de remo��o cria um arquivo de log chamado Berbcln.log na pasta %Windir%\Debug. � poss�vel consultar esse arquivo de log para determinar se as infec��es de Backdoor:W32/Berbew.gen foram detectadas e removidas.

Op��es de linha de comando

A instala��o da ferramenta de remo��o oferece suporte para as seguinte op��es de linha de comando:

/Q - Especifica o modo silencioso ou suprime as mensagens quando os arquivos estiverem sendo extra�dos.
/Q:U - Usa o modo silencioso do usu�rio. O modo silencioso do usu�rio apresenta algumas caixas de di�logo ao usu�rio.
/Q:A - Usa o modo silencioso do administrador. O modo silencioso do administrador n�o apresenta caixas de di�logo ao usu�rio.
/T: caminho - Especifica o local da pasta tempor�ria usado pelo programa de instala��o da ferramenta de remo��o e detec��o da carga de Download.Ject ou a pasta de destino para extrair os arquivos (quando usado com a op��o /C).
/C - Extrai os arquivos sem instal�-los. Se /T: caminho n�o for especificado, voc� ser� solicitado a especificar uma pasta de destino.
/C: cmd - Especifica o caminho e o nome de um outro arquivo Setup.inf ou um arquivo .exe a ser usado para a instala��o da ferramenta.
/R:N - Nunca reinicia o computador ap�s a instala��o.
/R:I - Solicita que o usu�rio reinicie o computador caso isso seja necess�rio, exceto quando usada com a op��o /Q:A.
/R:A - Sempre reinicia o computador ap�s a instala��o.
/R:S - Reinicia o computador ap�s a instala��o sem avisar o usu�rio.

Para obter informa��es adicionais sobre as op��es de instala��o suportadas, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

197147� (http://support.microsoft.com/kb/197147/ ) Op��es de linhas de comando para pacotes de atualiza��o de software do IExpress

A ferramenta de remo��o suporta as seguintes op��es da linha de comando:

/S - Ativa o modo silencioso para a ferramenta. Essa op��o suprime a caixa de di�logo de status da infec��o recebida ap�s a ferramenta ser executada.

Informa��es sobre a remo��o

O arquivo Berbcln.exe � automaticamente exclu�do de seu local tempor�rio ap�s a execu��o da ferramenta de remo��o. � poss�vel excluir o pacote de instala��o da ferramenta ap�s instalar a ferramenta de remo��o.

Observa��o Ap�s instalar a ferramenta de remo��o e detec��o da carga de Download.Ject, ela n�o aparecer� na lista de Programas instalados na ferramenta Adicionar ou remover programas no Painel de controle.

Voltar para o in�cio