Makale numarası: 873018 - Son Gözden Geçirme: 09 Mayıs 2005 Pazartesi - Gözden geçirme: 4.0

Download.Ject Yükünü Algılama ve Temizleme Aracı

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.
Duyuru
Bu araç artık kullanılamaz. Onun yerine Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı geçmiştir. Kötü Amaçlı Yazılımları Temizleme Aracı hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
890830  (http://support.microsoft.com/kb/890830/ ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı yaygın olarak karşılaşılan bazı kötü amaçlı yazılımları Windows Server 2003, Windows XP veya Windows 2000 çalıştıran bilgisayarlardan temizlemenize yardımcı olur

Bu Sayfada

Hepsini aç | Hepsini kapa

™zet

Microsoft, Microsoft Windows tabanlı bir istemci bilgisayarına Download.Ject adlı zararlı yazılım bulaştıktan sonra karşıdan yüklenen W32/Berbew (türevleri A-H) adlı bir Truva atı programı olduğunu öğrendi. Bu sorun, kullanıcı Microsoft Internet Information Services (IIS) çalıştıran ve JS.Scob bulaşmış sunucuda barındırılan bir Web sitesini ziyaret ederse oluşur. Kullanıcının bilgisayarına karşıdan yüklenen Web sayfaları, Backdoor:W32/Berbew Truva atını karşıdan yükleyen ek bir JavaScript programı içerir. Backdoor:W32/Berbew, Backdoor-AXJ, Webber veya Padodor olarak da bilinir. Bu Truva atı kullanıcının bilgisayarında çalıştığında, aşağıdakiler de dahil birkaç işlemi gerçekleştirir:
  • Internet erişimini izler. Kullanıcı bazı finans veya ISS Web sitelerini ziyaret ettiğinde, Truva atı oturum açma adları, parolalar ve diğer kritik bilgiler gibi önemli bilgileri yakalar. Truva atı daha sonra bu bilgileri bir Web sunucusuna göndererek Truva atının yazarının eline geçmesini sağlar. Kullanıcının bilgisayarını, istenmeyen posta göndermek gibi işlemler için geçiş noktası olarak kullanmak üzere yapılandıran bir proxy sunucu yükler.
  • Kullanıcının ATM kartı şifreleri veya kredi kartı numaraları gibi gizli bilgileri girmesini isteyen sahte iletişim kutuları açar. Bu bilgiler daha sonra bir Web sunucusuna gönderilerek Truva atının yazarının eline geçmesi sağlanır.
Microsoft, Backdoor:W32/Berbew Truva atı türevlerini bilgisayarınızdan temizlemenize yardımcı olan bir araç yayımladı. Bu aracı Microsoft Yükleme Merkezi'nden yükleyebilir ve Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C ve Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G ve Backdoor:W32/Berbew.H bulaşmalarını temizlemek üzere bilgisayarınızda çalıştırabilirsiniz.
Teknik güncelleştirmeler
  • 8 Şubat 2005: Microsoft bu aracı, Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'yla değiştirmiştir. Kötü Amaçlı Yazılımları Temizleme Aracı hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    890830  (http://support.microsoft.com/kb/890830/ ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı yaygın olarak karşılaşılan bazı kötü amaçlı yazılımları Windows Server 2003, Windows XP veya Windows 2000 çalıştıran bilgisayarlardan temizlemenize yardımcı olur
  • 14 Temmuz 2004: "Özet," "Geçici Çözüm" ve "Kullanım Bilgileri" bölümleri güncelleştirilmiştir.
  • 13 Temmuz 2004: Microsoft, Download.Ject Yükünü Algılama ve Temizleme Aracı sürüm 1.0'ı Microsoft Yükleme Merkezi'nde yayımladı. Sürüm 1.0, Backdoor:W32/Berbew Truva atının şu anda bilinen tüm türevlerini (A'dan H'ye kadar) algılar ve temizler.
Üste

Belirtiler

Aşağıdaki belirtilerden en az biriyle karşılaşabilirsiniz:
  • Bilgisayar performansı düşük veya ağ bağlantısı yavaştır.
  • Bazı çevrimiçi finansal ve ISS Web sitelerini ziyaret ettiğinizde ATM güvenlik numarası ve kredi kartı bilgilerini isteyen iletiler veya iletişim kutuları alırsınız.
Üste

Neden

Bu davranış, bilgisayarınıza Backdoor:W32/Berbew Truva atı bulaşmasından kaynaklanır. Backdoor:W32/Berbew, Download.Ject Truva atıyla gönderilir. Bilgisayarınıza bir Backdoor:W32/Berbew türevinin bulaşmış olup olmadığını belirleme ile ilgili daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/security/incident/Download_Ject.mspx (http://www.microsoft.com/security/incident/Download_Ject.mspx)
Üste

Çözüm

Güncel imzalara sahip bir virüsten koruma yazılımı, Backdoor:W32/Berbew Truva atının bilgisayarınıza bulaşmasını engelleyebilir.

Önemli Ayrıca Internet güvenlik duvarı ve güncel imzalara sahip olan bir virüsten koruma programı kullanmanızı, Windows ve programlarınızı güncel tutmanızı öneririz.

Virüsleri engelleme ve virüs bulaşmalarını temizleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki ilgili makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
129972  (http://support.microsoft.com/kb/129972/ ) Bilgisayar virüsleri: tanımlama, önleme ve kurtarma
Üste

Karşıdan yükleme ve kurulum bilgileri

Önkoşullar

Download.Ject Yükünü Algılama ve Temizleme Aracı, aşağıdaki önkoşullara sahiptir:
  • Bilgisayarınız Microsoft Windows 2000 SP2 veya daha yeni bir sürümünü veya Microsoft Windows XP'nin 32-bit sürümünü çalıştırmalıdır.
  • Bilgisayar yöneticisi veya Administrators grubunun üyesi olarak oturum açmanız gerekir.
Bilgisayarın Windows XP 32-bit sürümünü mü yoksa Windows XP 64-bit sürümünü mü çalıştırdığını belirleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
827218  (http://support.microsoft.com/kb/827218/ ) Bilgisayarınızda Windows XP'nin 32-bit sürümünün mü yoksa 64-bit sürümünün mü çalıştığını belirleme
Bu önkoşullar yerine getirilmezse, yükleme çalışmaz ve bir hata iletisi alırsınız. Hata iletisi hakkında daha fazla bilgi için aşağıdaki günlük dosyasını görüntüleyin:
%Windir%\Debug\Berbcln.log
Ayrıca, kaldırma aracını çalıştırmadan önce, Internet Explorer'da ADODB.stream nesnesini devre dışı bırakan Windows güncelleştirmesini yüklemenizi öneririz. Temizleme aracı Truva atını bilgisayardan temizlemesine karşın, bilgisayarın korumasız olması durumunda Truva atının yeniden bulaşmasını engellemeyecektir. Kritik güncelleştirmeyi yüklemek, Download.Ject bulaşmış sunucudan yapılan diğer zararlı yazılım yüklemelerini engellemenize yardımcı olabilir.

ADODB.stream nesnesini devre dışı bırakan Windows güncelleştirmesi hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
870669  (http://support.microsoft.com/kb/870669/ ) Internet Explorer'da ADODB.Stream nesnesi nasıl devre dışı bırakılır

Yeniden başlatma gereksinimi

Bu aracı yükledikten sonra bilgisayarınızı yeniden başlatmanız gerekmez.
Üste

Kullanım bilgileri

Önemli Bu adımları izlemeden önce, tüm önemli verilerinizi yedeklediğinizden emin olun.

Download.Ject Yükünü Algılama ve Temizleme Aracı'nı yükleyip son kullanıcı lisans sözleşmesini (EULA) kabul ettiğinizde, yükleme paketi Berbcln.exe dosyasını geçici bir klasöre ayıklar ve sonra temizleme aracı çalışır. Temizleme aracı, bilgisayarınızın "Önkoşullar" bölümünde listelenen koşulları karşıladığını doğrular. Önkoşullar karşılanıyorsa, temizleme aracı aşağıdaki işlemleri gerçekleştirir:
  1. Araç, Truva atının eklediği aşağıdaki kayıt defteri alt anahtarlarını inceler:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. Araç, bellekte ana Backdoor:Win32/Berbew Truva atı bileşenine dair kanıt arar. Temizleme aracı böyle bir kanıt bulursa, işlem sonlandırılır.
  3. Araç, Truva atının oluşturduğu aşağıdaki veri dosyalarını arar. Bu dosyalar, önemli kişisel veriler içerebilir. Araç, bu dosyaları siler.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Araç, Backdoor:W32/Berbew Truva atıyla ilişkili tüm dosyaları siler. Bu dosyalar 1. ve 2. adımlarda belirlenir.
  5. Araç, 1. adımda belirlediği kayıt defteri girişlerini kaldırır. Berbew kayıt defteri değeri sabit diskteki bir dosyayı işaret etmiyorsa, temizleme aracı, ilişkili dosya sabit diskte olmadığından kayıt defteri değeri herhangi bir zarara yol açmayacağı için artık kayıt defteri değerini kaldırmaz.
  6. Truva atı, işlem yönteminin bir parçası olarak Microsoft Internet Explorer'ın iki örneğini gizli pencerelerde çalıştırır. Bu pencereler, kötü amaçlı Web sitelerine bağlanmaya çalışır. Kopyalardan biri, çalınan kişisel verileri karşıya yüklemeye çalışır, diğeri de Truva atı için yazılım güncelleştirmelerini arar. Araç bilgisayarda Backdoor:W32/ Berbew Truva atının bulunduğunu saptarsa, Internet Explorer'ın çalışan tüm örneklerini sonlandırır.
  7. Araç, algılama ve temizleme işleminin sonucunu açıklayan bir ileti görüntüler. Aşağıdaki liste, alabileceğiniz iletileri içerir ve bu iletilerin anlamını açıklar.
    Bu tabloyu kapaBu tabloyu aç
    İletiAnlamı
    No infection detected (Bulaşma algılanmadı)Bilgisayarınızda Backdoor:Win32/Berbew Truva atı algılanmamıştır.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated. (Backdoor:Win32/Berbew.gen Truva atı başarıyla temizlendi. Kötü amaçlı iletişimi engellemek amacıyla, tüm Internet Explorer kopyaları sonlandırıldı)Backdoor:Win32/Berbew Truva atı temizlenmiştir. Başka bir işlem yapılması gerekmemektedir.
    This tool must be run by an administrator. (Bu araç bir yönetici tarafından çalıştırılmalıdır)Oturumu kapatmanız ve yönetici olarak yeniden oturum açmanız gerekmektedir.
    Fatal error, please review log file. (Önemli hata, lütfen günlük dosyasını inceleyin)Daha fazla bilgi için, %Windir%\Debug\Berbcln.log dizinine bakın.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (Backdoor:/W32/Berbew.gen Truva atı algılandı, ancak temizlenemedi)Aracı yeniden çalıştırmayı deneyin ve günlük dosyasındaki hatalara bakın.
    This tool requires Windows 2000 or Windows XP. (Bu araç Windows 2000 veya Windows XP gerektirir)Bu araç, Windows 2000 ve Windows XP dışındaki Windows sürümlerinde desteklenmemektedir.
    Incorrect Windows version (Win32s) (Hatalı Windows sürümü)Bu araç Win32s olan Windows 3.1'de desteklenmemektedir.
    İleti kutusunu kapattığınızda, temizleme aracından çıkılır ve Berbcln.exe dosyası geçici klasörden silinir. Windows-KB873018-ENU-V1.exe dosyasını artık el ile silebilirsiniz.
  8. Temizleme aracı, %Windir%\Debug klasöründe Berbcln.log adlı bir günlük dosyası oluşturur. Backdoor:W32/Berbew.gen bulaşmalarının algılanıp temizlendiğine dair bilgiyi bu günlük dosyasından görüntüleyebilirsiniz.

Komut satırı anahtarları

Temizleme aracı yükleyicisi aşağıdaki komut satırı anahtarlarını destekler:
  • /Q - Sessiz modu kullan veya dosyalar ayıklanırken iletileri bastır.
  • /Q:U - Kullanıcı-sessiz modunu kullan. Kullanıcı-sessiz modu bazı iletişim kutularını kullanıcıya görüntüler.
  • /Q:A - Yönetici-sessiz modunu kullan. Yönetici-sessiz modu, kullanıcıya hiçbir iletişim kutusu göstermez.
  • /T: yol - Download.Ject Yükünü Algılama ve Temizleme Aracı Kurulum programı tarafından kullanılan geçici klasörün konumunu veya dosyaları ayıklamak için kullanılacak hedef klasörü belirle (bu anahtar, /C anahtarıyla birlikte kullanıldığında).
  • /C - Dosyaları yüklemeden ayıkla. /T: yol belirtilmemişse, bir hedef klasör sorulur.
  • /C: cmd - Aracı yüklemek için kullanılacak başka bir Setup.inf dosyasının veya .exe dosyasının yolunu ve adını belirtin.
  • /R:N - Yüklemeden sonra kesinlikle bilgisayarı yeniden başlatma.
  • /R:I - Bu anahtarın /Q:A anahtarıyla kullanılması dışında, yeniden başlatma gerekirse kullanıcıdan bilgisayarı yeniden başlatmasını iste.
  • /R:A - Yüklemeden sonra her zaman bilgisayarı yeniden başlat.
  • /R:S - Yükleme işleminden sonra kullanıcıya sormadan bilgisayarı yeniden başlat
Desteklenen yükleme anahtarları hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki ilgili makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
197147  (http://support.microsoft.com/kb/197147/ ) IExpress yazılım güncelleştirme paketleri için komut satırı anahtarları
Kaldırma aracı aşağıdaki komut satırı anahtarını destekler:
  • /S - Araç için sessiz modu etkinleştirir. Bu anahtar, araç çalıştıktan sonra aldığınız bulaşma durumu iletişim kutusunu gizler.

Temizleme Bilgileri

Temizleme aracı çalıştıktan sonra, Berbcln.exe dosyası geçici konumundan otomatik olarak silinir. Temizleme aracını yükledikten sonra, aracın yükleyici paketini silebilirsiniz.

Not Download.Ject Yükünü Algılama ve Temizleme Aracı yüklendikten sonra, Denetim Masası'ndaki Program Ekle/Kaldır aracının Yüklü programlar listesinde görünmez.
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Üste
Anahtar Kelimeler: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin atdownload KB873018
Üste