文章編號: 873018 - 上次校閱: 2005年5月5日 - 版次: 4.0

Download.Ject 內容偵測與移除工具

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項
此工具不再提供使用, 因為此工具已經由 Microsoft Windows 惡意軟體移除工具所取代。 如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體

在此頁中

全部展開 | 全部摺疊

結論

對於在 Microsoft Windows 用戶端電腦感染 Download.Ject 惡意程式之後下載而來的 W32/Berbew (變種 A-H) 特洛伊木馬程式,著實讓 Microsoft 學了一課。當使用者造訪執行 Microsoft Internet Information Services (IIS) 且已經感染 JS.Scob 的伺服器上所裝載的網站時,發生了這個問題。下載至使用者電腦的網頁包含其他 JavaScript 程式,而該程式會下載 Backdoor:W32/Berbew 特洛伊木馬程式。Backdoor:W32/Berbew 也稱為 Backdoor-AXJ、Webber 或 Padodor。這個特洛伊木馬程式在使用者電腦上執行時,會執行數個動作,其中包括:
  • 監視網際網路的存取。當使用者造訪金融網站或 ISP 網站時,這個特洛伊木馬程式會擷取機密資訊,例如登入名稱、密碼和其他機密資訊。接著,特洛伊木馬程式會將這些資訊傳送到網頁伺服器,讓特洛伊木馬程式的撰寫者得以擷取。安裝 Proxy 伺服器,將使用者電腦設定用來做為某些動作的轉接點,例如傳送垃圾郵件的這類動作。
  • 這個特洛伊木馬程式會開啟假造的對話方塊,提示使用者輸入機密資訊,例如金融卡卡號或信用卡卡號。接著將這些資訊傳送到網頁伺服器,讓特洛伊木馬程式的撰寫者得以擷取。
Microsoft 已經發行工具,可以協助您移除電腦上的 Backdoor:W32/Berbew 特洛伊木馬程式變種。您可以從「Microsoft 下載中心」下載這個工具並在電腦上執行,以移除 Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C 和 Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G 和 Backdoor:W32/Berbew.H 的感染。
技術更新
  • 2005 年 2 月 8 日:Microsoft 已經使用「Microsoft Windows 惡意軟體移除工具」來取代這個工具。 如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體
  • 2004 年 7 月 14 日:<結論>、<解決方案>和<使用資訊>三個章節已經更新過了。
  • 2004 年 7 月 13 日:Microsoft 已經在「Microsoft 下載中心」發佈「Download.Ject 內容偵測與移除工具」的 1.0 版本。1.0 版會偵測並移除所有目前已知的 Backdoor:W32/Berbew 特洛伊木馬程式變種 (A 到 H)。
回此頁最上方

徵狀

您可能會遇到下列一或多個徵狀:
  • 電腦效能降低或網路連線速度變慢。
  • 在造訪某些線上金融網站或 ISP 網站時,您會收到要求輸入金融卡卡號和信用卡資訊的訊息或對話方塊。
回此頁最上方

發生的原因

之所以發生這個問題,是因為電腦已感染 Backdoor:W32/Berbew 特洛伊木馬程式所造成的,而 Backdoor:W32/Berbew 是經由 Download.Ject 特洛伊木馬程式所傳遞的。如需有關如何判斷電腦是否感染 Backdoor:W32/Berbew 變種的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/security/incident/Download_Ject.mspx (http://www.microsoft.com/security/incident/Download_Ject.mspx)
回此頁最上方

解決方案

防火牆和最新的防毒軟體有助於防止電腦感染 Backdoor:W32/Berbew 特洛伊木馬程式。

重要 我們建議您使用網際網路防火牆,以及具有最新簽章的防毒程式,並且使您的 Windows 和程式保持在最新狀態。

如需有關如何預防感染病毒,以及從病毒感染復原的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
129972? (http://support.microsoft.com/kb/129972/ ) 電腦病毒:說明、預防和修復
回此頁最上方

下載與安裝資訊

先決條件

使用「Download.Ject 內容偵測與移除工具」需要具有下列先決條件:
  • 您的電腦必須執行 Microsoft Windows 2000 SP2 或更新的版本,或 32 位元版本的 Microsoft Windows XP。
  • 您必須以電腦系統管理員或系統管理員群組成員的身分登入。
如需有關如何判斷電腦是否正在執行 32 位元或 64 位元版本 Windows XP 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827218? (http://support.microsoft.com/kb/827218/ ) HOW TO:Determine Whether Your Computer Is Running a 32-Bit Version or 64-Bit Version of Windows XP
如果未符合這些先決條件,就無法完成安裝,並且您會收到錯誤訊息。如需有關錯誤訊息的詳細資訊,請檢視下列記錄檔:
%Windir%\Debug\Berbcln.log
此外,建議您在執行此移除工具之前,先安裝 Windows Update 以停用 Internet Explorer 中的 ADODB.stream 物件。雖然移除工具可以移除受感染電腦上的特洛伊木馬程式,但是如果您的電腦仍有弱點存在,並不會防止電腦再次受到感染。藉由安裝這個重大更新,將有助於防止從感染 Download.Ject 的伺服器下載其他的惡意程式。

如需有關以 Windows Update 停用 ADODB.stream 物件的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
870669? (http://support.microsoft.com/kb/870669/ ) 如何從 Internet Explorer 停用 ADODB.Stream 物件

重新啟動需求

安裝此工具之後,您不必重新啟動電腦。
回此頁最上方

使用資訊

重要 執行下列步驟之前,請確定您已經備份所有的重要資料。

當您安裝「Download.Ject 內容偵測與移除工具」,並接受使用者授權合約 (EULA) 時,安裝套件會將 Berbcln.exe 檔案解壓縮至暫存資料夾,然後執行移除工具。移除工具會檢查您的電腦是否符合<先決條件>一節所列的需求。如果符合先決條件,移除工具就會執行下列動作:
  1. 工具會檢查下列特洛伊木馬程式所新增項目的登錄子機碼。
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. 工具會在記憶體中搜尋是否有 Backdoor:Win32/Berbew 特洛伊木馬程式元件存在的跡象。如果移除工具有所發現,就會結束處理程序。
  3. 工具會搜尋下列特洛伊木馬程式所建立的資料檔案。這些檔案中可能含有個人機密資料。工具會刪除這些檔案。
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. 工具會刪除所有與 Backdoor:W32/Berbew 特洛伊木馬程式相關的檔案。這些檔案是執行步驟 1 和 2 而找到的。
  5. 工具會移除步驟 1 所識別的登錄項目。如果 Berbew 登錄值不再指向硬碟上的檔案,移除工具就不會移除遺棄的登錄值,因為當硬碟上沒有相關檔案時,登錄值也就不具有任何危險性。
  6. 以隱藏的視窗執行兩個 Microsoft Internet Explorer 執行個體,是特洛伊木馬程式運作方法的一部分。這些視窗會嘗試連線到惡意網站,一個執行個體會嘗試上載竊取到的個人資料,而另一個執行個體會查看特洛伊木馬程式是否有軟體更新。如果工具在電腦上偵測到 Backdoor:W32/ Berbew 特洛伊木馬程式,就會結束所有正在執行的 Internet Explorer 執行個體。
  7. 工具會顯示訊息說明偵測及移除處理的結果。下列清單列出您可能會收到的訊息,以及這些訊息所代表的意思。
    摺疊此表格展開此表格
    訊息意思
    No infection detected (未偵測到任何感染)這部電腦上沒有偵測到 Backdoor:Win32/Berbew 特洛伊木馬程式。
    Successfully removed Backdoor:Win32/Berbew.gen Trojan.To prevent malicious communication, all instances of Internet Explorer were terminated. (成功移除 Backdoor:Win32/Berbew.gen 特洛伊木馬程式。為了防止惡意的通訊,已經終止所有 Internet Explorer 執行個體)已經移除 Backdoor:Win32/Berbew 特洛伊木馬程式。不需執行其他操作。
    This tool must be run by an administrator. (系統管理員才能執行此工具)您必須先登出再以系統管理員身分登入。
    Fatal error, please review log file. (嚴重錯誤,請檢閱記錄檔)如需詳細資訊,請參閱 %Windir%\Debug\Berbcln.log 目錄。
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (偵測到 Backdoor:/W32/Berbew.gen 特洛伊木馬程式,但無法移除)嘗試再執行一次工具,並檢查錯誤的記錄檔。
    This tool requires Windows 2000 or Windows XP. (此工具需要 Windows 2000 或 Windows XP)此工具不支援 Windows 2000 和 Windows XP 以外的 Windows 版本。
    Incorrect Windows version (Win32s) (不正確的 Windows 版本 (Win32))具有 Win32 的 Windows 3.1 不支援此工具。
    關閉訊息方塊之後,移除工具就會結束並從暫時資料夾中刪除 Berbcln.exe 檔案。現在,您可以手動刪除 Windows-KB873018-ENU-V1.exe 檔案。
  8. 移除工具會在 %Windir%\Debug 資料夾中建立名為 Berbcln.log 的記錄檔。您可以檢視此記錄檔,看看是否已經偵測到或移除 Backdoor:W32/Berbew.gen 的感染。

命令列參數

移除工具安裝程式支援下列命令列參數:
  • /Q - 解壓縮檔案時,指定無訊息模式或隱藏訊息。
  • /Q:U - 指定使用者無訊息模式。使用者無訊息模式會對使用者顯示一些對話方塊。
  • /Q:A - 指定系統管理員無訊息模式。系統管理員無訊息模式不會對使用者顯示任何對話方塊。
  • /T: path - 指定「Download.Ject 內容偵測與移除工具」安裝程式所使用暫存資料夾的位置,或指定檔案解壓縮的目標資料夾 (如果與 /C 參數搭配使用)。
  • /C - 解壓縮檔案,但不進行安裝。如果未指定 /T: path,系統會提示您指定目標資料夾。
  • /C: cmd - 指定另一個 Setup.inf 檔或 .exe 檔的路徑和名稱,用來安裝工具。
  • /R:N - 安裝之後一律不重新啟動電腦。
  • /R:I - 如果需要重新啟動,就提示使用者重新啟動電腦,但是搭配 /Q:A 參數使用時,則不重新啟動。
  • /R:A - 安裝之後,一律重新啟動電腦。
  • /R:S - 安裝之後重新啟動電腦,不提示使用者。
如需有關受支援安裝參數的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197147? (http://support.microsoft.com/kb/197147/ ) IExpress 軟體更新套件的命令列參數
此移除工具支援下列命令列參數:
  • /S - 啟用工具的無訊息模式。此參數會隱藏執行工具之後您收到的感染狀態對話方塊。

移除資訊

移除工具執行完成之後,就會自動從暫時位置刪除 Berbcln.exe 檔。安裝移除工具之後,您就可以刪除工具的安裝程式套件。

注意 安裝「Download.Ject 內容偵測與移除工具」之後,此工具並不會出現在 [控制台] 中 [新增/移除程式] 工具的 [目前安裝的程式] 清單中。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin atdownload KB873018
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。