الكشف عن حمولة Download.Ject وأداة إزالة

ينطبق على: Microsoft Windows XP ProfessionalMicrosoft Windows XP Home EditionMicrosoft Windows XP Tablet PC Edition

هذه الأداة لم يعد متوفراً. فقد تم استبداله بأداة إزالة البرامج الضارة ل Microsoft Windows. لمزيد من المعلومات حول "أداة إزالة البرامج الخبيثة"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

890830 تساعد "Microsoft Windows أداة إزالة البرامج الضارة" على إزالة البرامج الضارة المنتشرة المحددة من أجهزة الكمبيوتر التي تشغل Windows Server 2003 أو نظام التشغيل Windows XP أو Windows 2000

ملخص


علم Microsoft لبرنامج حصان طروادة يسمى W32/بيربو (متغيرات أ ح) التي تم تحميلها بعد إصابة جهاز كمبيوتر عميل يستند إلى Windows Microsoft مع البرامج الضارة Download.Ject. تحدث هذه المشكلة عندما يقوم مستخدم بزيارة موقع ويب تتم استضافته على ملقم الذي يشغل خدمات معلومات إنترنت ل Microsoft (IIS) والذي أصاب بشبيبة. "سكوب". تحتوي صفحات الويب التي يتم تنزيلها إلى الكمبيوتر الخاص بالمستخدم على برنامج إضافي JavaScript الذي يقوم بتحميل مستتر: W32/حصان طروادة بيربو. مستتر: W32/بيربو المعروف أيضا عُزي مستتر أو يبر بادودور. عند تشغيل هذا حصان طروادة على جهاز الكمبيوتر الخاص بالمستخدم، تنفيذ العديد من الإجراءات، بما في ذلك ما يلي:
  • مراقبة الوصول إلى إنترنت. عندما يقوم المستخدم بزيارة واحدة من عدة المالية أو مواقع ويب ISP، حصان طروادة تلتقط معلومات حساسة، مثل أسماء تسجيل الدخول وكلمات المرور وغيرها من المعلومات الحساسة. حصان طروادة ثم يرسل تلك المعلومات إلى ملقم ويب للكاتب حصان طروادة لاسترداد. تثبيت ملقم وكيل تكوين جهاز الكمبيوتر الخاص بالمستخدم للاستخدام كترحيل لتلك الإجراءات مثل إرسال بريد إلكتروني عشوائي.
  • فتح مربعات الحوار الزائفة التي تطالب المستخدم بإدخال معلومات سرية، مثل الرموز بطاقة ATM أو أرقام بطاقات الائتمان. ثم يتم إرسال هذه المعلومات إلى ملقم ويب للكاتب حصان طروادة لاسترداد.
أصدرت Microsoft أداة للمساعدة في إزالة مستتر: W32/حصان طروادة بيربو متغيرات من جهاز الكمبيوتر الخاص بك. يمكنك تنزيل هذه الأداة من "مركز تحميل microsoft" وتشغيلها على الكمبيوتر لإزالة الإصابة Backdoor:W32/Berbew.A، Backdoor:W32/Berbew.B، Backdoor:W32/Berbew.C، و Backdoor:W32/Berbew.D، Backdoor:W32/Berbew.E، Backdoor:W32/Berbew.F، Backdoor:W32/Berbew.G و Backdoor:W32/Berbew.H.
التحديثات التقنية
  • 8 شباط/فبراير 2005: استبدال Microsoft هذه الأداة باستخدام أداة إزالة البرامج الضارة ل Microsoft Windows. لمزيد من المعلومات حول "أداة إزالة البرامج الخبيثة"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    890830 تساعد "Microsoft Windows أداة إزالة البرامج الضارة" على إزالة البرامج الضارة المنتشرة المحددة من أجهزة الكمبيوتر التي تشغل Windows Server 2003 أو نظام التشغيل Windows XP أو Windows 2000

  • 14 تموز/يوليه 2004: "ملخص،" "حل المشكلة"، و "استخدام المعلومات" الأبواب التي تم تحديثها.
  • 13 تموز/يوليه 2004: أصدرت Microsoft الإصدار 1.0 من الكشف عن حمولة Download.Ject وأداة إزالة لمركز التنزيل ل Microsoft. الكشف عن الإصدار 1.0 ويزيل كافة المعروفة حاليا المتغيرات (أ إلى H) من مستتر: W32/حصان طروادة بيربو.

الأعراض


قد تواجه واحداً أو أكثر من الأعراض التالية:
  • يتم تقليل أداء الكمبيوتر أو اتصال شبكة اتصال بطيء.
  • تتلقى رسائل أو مربعات الحوار التي طلب ATM الأمن أرقام ومعلومات بطاقة الائتمان عند زيارة معينة عبر الإنترنت المالية والمواقع على شبكة الإنترنت ISP.

السبب


يحدث هذا السلوك لأن جهاز الكمبيوتر الخاص بك مصاباً مستتر: W32/حصان طروادة بيربيو. الباب الخلفي: W32/بيربيو المسلم بحصان طروادة Download.Ject. لمزيد من المعلومات حول كيفية تحديد إذا كان الكمبيوتر مصاباً بأحد مستتر: W32/بيربيو، قم بزيارة موقع Microsoft التالي على الويب:

الحل


يساعد برنامج مكافحة الفيروسات بأحدث التوقيعات منع مستتر: W32/حصان طروادة بيربيو من إصابة الكمبيوتر.

هام: كما يوصي باستخدام جدار حماية إنترنت وبرنامج الحماية من فيروسات باستخدام التواقيع محدثة، وأنه يمكنك تحديث Windows والبرامج.

لمزيد من المعلومات حول كيفية منع الفيروسات وكيفية التعافي من الإصابة بالفيروسات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

129972 فيروسات الكمبيوتر: الوصف والمنع والاسترداد

معلومات التنزيل والإعداد

المتطلبات الأساسية

تم الكشف عن حمولة Download.Ject وأداة إزالة المتطلبات الأساسية التالية:
  • يجب أن يعمل الكمبيوتر من نظام التشغيل Microsoft Windows 2000 SP2 أو إصدار أحدث أو إصدار 32 بت من نظام التشغيل Microsoft Windows XP.
  • يجب تسجيل الدخول كمسؤول كمبيوتر أو كعضو مجموعة المسؤولين.
لمزيد من المعلومات حول كيفية تحديد ما إذا كان كمبيوتر يشغل إصدار 32 بت من نظام التشغيل Windows XP أو إصدار 64 بت من نظام التشغيل Windows XP، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

827218 كيفية تحديد ما إذا كان جهاز الكمبيوتر يعمل بإصدار 32 بت أم إصدار 64 بت من نظام التشغيل Windows

إذا لم تتحقق هذه المتطلبات، لن تنجح عملية التثبيت، وسوف تتلقى رسالة إعلام بخطأ. لمزيد من المعلومات حول رسالة الإعلام بالخطأ، عرض ملف السجل التالي:
%Windir%\Debug\Berbcln.log
بالإضافة إلى ذلك، نوصي بتثبيت Windows update لتعطيل كائن ADODB.stream في Internet Explorer قبل تشغيل أداة الإزالة. على الرغم من أنه سيتم إزالة أداة إزالة حصان طروادة من أجهزة كمبيوتر مصابة، سوف لن يمنع عودة العدوى إذا كان جهاز الكمبيوتر الخاص بك لا تزال عرضه. بتثبيت التحديث الضروري، يمكنك منع تحميلات إضافية من البرامج الضارة من خادم إصابة Download.Ject.

لمزيد من المعلومات حول تحديث Windows لتعطيل كائن ADODB.stream، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

كيف 870669 لتعطيل كائن ADODB. Stream من Internet Explorer

متطلبات إعادة التشغيل

لا يلزم إعادة تشغيل جهاز الكمبيوتر بعد تثبيت هذه الأداة.

معلومات الاستخدام

هام: قبل اتباع الخطوات التالية، تأكد من احتياطياً كافة البيانات الهامة.

عند تثبيت أداة إزالة والكشف عن حمولة Download.Ject وقبول اتفاقية ترخيص المستخدم (EULA)، استخراج حزمة تثبيت الملف Berbcln.exe إلى مجلد مؤقت ومن ثم تشغيل الأداة. إزالة أداة التحقق من أن الكمبيوتر يلبي المتطلبات الأساسية المسردة في قسم "المتطلبات المسبقة". إذا تم استيفاء المتطلبات المسبقة، يتخذ أداة إزالة الإجراءات التالية:
  1. الأداة بفحص مفاتيح التسجيل الفرعية التالية لإدخالات أضاف حصان طروادة:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. تبحث الأداة في الذاكرة للدليل الرئيسي مستتر: Win32/حصان طروادة بيربو المكون. في حالة عثور أداة إزالة هذا، يتم إنهاء العملية.
  3. تبحث الأداة عن ملفات البيانات التالية التي تم إنشاؤها وحصان طروادة. قد تحتوي هذه الملفات على البيانات الشخصية الحساسة. الأداة حذف هذه الملفات.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. الأداة بحذف كافة الملفات المقترنة مع مستتر: W32/حصان طروادة بيربيو. تم التعرف على هذه الملفات في الخطوتين 1 و 2.
  5. الأداة بإزالة إدخالات السجل التي حددتها في الخطوة 1. إذا لم يعد إحدى قيم سجل بيربو يشير إلى ملف على القرص الثابت، إزالة أداة إزالة قيمة التسجيل المعزول لقيمة التسجيل لا يؤدي أي ضرر إذا كان الملف المقترن غير موجود على القرص الثابت.
  6. كجزء من أسلوب العملية، يعمل حصان طروادة مثيلين من Microsoft Internet Explorer في windows المخفية. حاول windows هذه للاتصال بمواقع ويب الضارة. يحاول مثيل واحد لتحميل البيانات الشخصية المسروقة، والمثيل الآخر بالبحث عن تحديثات برامج لحصان طروادة. إذا اكتشفت الأداة مستتر: W32/حصان طروادة بيربو على جهاز الكمبيوتر، تقوم الأداة إنهاء كافة مثيلات Internet Explorer قيد التشغيل حاليا.
  7. تقوم الأداة بعرض رسالة تصف نتائج عملية الكشف والإزالة. تحتوي القائمة التالية على الرسائل التي قد تظهر، وهذا ما يفسر معانيها.
    الرسالةالمعني
    تم اكتشاف إصابة لامستتر: Win32/لم يتم الكشف عن حصان طروادة بيربو على هذا الكمبيوتر.
    إزالة بنجاح Backdoor:Win32/Berbew.gen حصان طروادة. لمنع الاتصالات الضارة، تم إنهاء كافة مثيلات "إنترنت مستكشف".مستتر: Win32/حصان طروادة بيربو تمت إزالته. مطلوب أي إجراء إضافي.
    يجب تشغيل هذه الأداة بمسؤول.يجب تسجيل الخروج وتسجيل الدخول مرة أخرى كمسؤول.
    خطأ فادح، الرجاء مراجعة ملف السجل.راجع دليل %Windir%\Debug\Berbcln.log لمزيد من المعلومات.
    تم الكشف عن فيروس حصان طروادة Backdoor:/W32/Berbew.gen، ولكن لا يمكن إزالتها.حاول تشغيل الأداة مرة أخرى والتحقق من ملف سجل الأخطاء.
    تتطلب هذه الأداة Windows 2000 أو Windows XP.هذه الأداة غير معتمد في الإصدارات من Windows بخلاف نظام التشغيل Windows 2000 و Windows XP.
    إصدار Windows غير صحيح (Win32s)هذه الأداة غير معتمد على Windows 3.1 مع Win32s.
    عند إغلاق مربع الرسالة، يتم إنهاء أداة الإزالة وتم حذف الملف Berbcln.exe من المجلد المؤقت. يمكنك الآن حذف ملف Windows-KB873018-الإنجليزية-V1.exe يدوياً.
  8. إنشاء أداة إزالة ملف سجل يسمى Berbcln.log في المجلد %Windir%\Debug. يمكنك عرض ملف السجل هذا لتقرير ما إذا تم الكشف عن الإصابة Backdoor:W32/Berbew.gen وتمت إزالتها.

رموز تبديل سطر الأوامر

إزالة أداة المثبت تدعم رموز تبديل سطر الأوامر التالية:
  • /Q -استخدام الوضع الهادئ أو منع الرسائل عند استخراج الملفات.
  • /Q:U -استخدام الوضع الهادئ الخاص بالمستخدم. وضع المستخدم الهادئ يعرض بعض مربعات الحوار للمستخدم.
  • /Q: a -استخدام الوضع الهادئ الخاص بالمسؤول. وضع المسؤول الهادئ لا يقدم أية مربعات حوار للمستخدم.
  • /T:
    مسار -تحديد موقع المجلد المؤقت المستخدم من قبل برنامج إعداد أداة الإزالة والكشف عن حمولة Download.Ject، أو تحديد المجلد الهدف لاستخراج الملفات (عند استخدام رمز التبديل هذا معا مع رمز التبديل /C ).
  • /C -استخراج الملفات دون تثبيتها. If /T:
    غير محدد ، فستتم مطالبتك بتحديد مجلد هدف.
  • /C:
    cmd -تعيين المسار واسم الملف Setup.inf أخرى أو ملف.exe استخدام تثبيت الأداة.
  • /R: n -عدم إعادة تشغيل الكمبيوتر بعد التثبيت.
  • /R: أنا -مطالبة المستخدم بإعادة تشغيل الكمبيوتر إذا كانت هناك ضرورة، باستثناء حالة استخدام رمز التبديل هذا مع رمز التبديل /q: a .
  • /R: a -إعادة تشغيل جهاز الكمبيوتر دوماً بعد التثبيت.
  • /R: s -إعادة تشغيل جهاز الكمبيوتر بعد التثبيت دون عرض مطالبة للمستخدم
لمزيد من المعلومات حول رموز التبديل المعتمدة الخاصة بالتثبيت، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

197147 مبدلات سطر الأوامر لحزم تحديثات برامج تستخدم تقنية IExpress

تدعم أداة إزالة تبديل سطر الأوامر التالية:
  • /S -تمكين وضع السكون للأداة. يمنع رمز التبديل هذا مربع الحوار حالة إصابة تتلقى بعد تشغيل الأداة.

معلومات الإزالة

يتم تلقائياً حذف الملف Berbcln.exe من الموقع المؤقت بعد تشغيل الأداة. يمكنك حذف حزمة مثبت الأداة بعد تثبيت أداة الإزالة.

ملاحظة: بعد تثبيت أداة الإزالة والكشف عن حمولة Download.Ject، لا تظهر في قائمة البرامج المثبتة في الأداة "إضافة/إزالة البرامج" في "لوحة التحكم".

مزيد من المعلومات


في الإصدارات الأحدث من Robocopy، مثل إصدار XP010، تم إهمال رمز التبديل /SECFIX . لتحديث معلومات الأمان للوجهة موجودة تبديل الملفات والمجلدات دون نسخ بيانات الملف، استخدم التبديل /IS جنبا إلى جنب مع /COPY دون إشارة د. على سبيل المثال، /IS/COPY:SOU بتحديث كافة معلومات الأمان لكافة الملفات المحددة دون نسخ أية بيانات الملف. لمزيد من المعلومات، راجع الموضوع "بشكل انتقائي نسخ ملف البيانات" في الملف Robocopy.doc.