Download.Ject откриване и премахване

Резюме

Microsoft е научил на троянски кон програма с име W32/Berbew (варианти A-H) се изтегля след Microsoft Windows базиран компютър е заразен със злонамерен софтуер, Download.Ject. Този проблем възниква, когато даден потребител посети уеб сайт, хостван на сървър, на който се изпълнява Microsoft Internet Information Services (IIS) и че е заразен с JS. Scob. Уеб страници, които се изтеглят на компютъра на потребителя съдържа допълнителни JavaScript програма, която записва таен: W32 / Berbew троянски надбягване. Таен: W32 / Berbew е известна още като таен AXJ, Уебър или Padodor. Когато този троянски кон се изпълнява на компютъра на потребителя, тя извършва няколко дейности, включително следните:

Той следи за достъп до интернет. Когато потребителят посети една от няколкото финансови или доставчика на интернет сайтове, троянски кон улавя поверителна информация, като влезете в имена, пароли и друга поверителна информация. Троянски кон след изпраща тази информация на уеб сървър за автор троянски кон за извличане. Той се инсталира прокси сървър, който се конфигурира компютъра на потребителя за използване като препращането за действия като изпращане на спам.
Отваря се фалшиви диалогови прозорци, които подкани потребителя да въведете поверителна информация, като Банкомат карта кодове или номера на кредитната карта. Тази информация се изпраща на уеб сървър за автор троянски кон за извличане.

Microsoft издаде инструмент, за да ви помогне да премахнете таен: W32 / Berbew троянски Конна варианти от вашия компютър. Можете да изтеглите инструмента от центъра за изтегляния на Microsoft и да го изпълните на компютъра, за да премахнете Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C и Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G и Backdoor:W32/Berbew.H инфекции.Техническа актуализации

8 февруари 2005 г.: Microsoft заменя този инструмент с Microsoft Windows зловреден софтуер. За повече информация относно инструмента за премахване на злонамерен софтуер, щракнете върху следния номер на статия в базата знания на Microsoft:

890830 инструментът помага за премахването на специфичен, предимно зловреден софтуер от компютри, работещи под Windows Server 2003, Windows XP или Windows 2000
14 юли 2004 г.: "Резюме," "Решение" и "Информация за потребителя" раздели са актуализирани.
13 юли 2004 г.: Microsoft пусна версия 1.0 на Download.Ject откриване и премахване на центъра на Microsoft за изтегляния. Версия 1.0 открива и премахва всички познати варианти (A до H) таен: W32 / Berbew троянски надбягване.

Симптоми

Можете да наблюдавате един или повече от следните симптоми:

Намалява производителността на компютъра или мрежовата връзка е бавен.
Получавате съобщения или диалогови прозорци, заявка Банкомат номера и кредитна карта за сигурността, когато посещавате определени онлайн финансови и доставчика на интернет сайтове.

Причина

Това поведение възниква, тъй като компютърът ви е заразен с таен: W32 / Berbew троянски надбягване. Задна врата: W32/Berbew се доставя на Download.Ject троянски кон. За повече информация как да определите дали компютърът е заразен с вариант на таен: W32 / Berbew, посетете следния уеб сайт на Microsoft:

http://www.microsoft.com/security_essentials/default.aspx

Решение

Антивирусен софтуер с актуални подписи ще помогне за предотвратяване на таен: W32 / Berbew троянски Конна заразяване на компютъра.

Важно: Препоръчваме да използвате интернет защитна стена и антивирусна програма с актуален подписи и че да актуализира Windows и другите програми.

За повече информация относно начините за предпазване от вируси и как да се възстанови от вирусни инфекции щракнете върху следния номер на статия в базата знания на Microsoft:

129972 компютърни вируси: описание, предпазване и възстановяване

Изтегляне и информация

Необходими условия:

Download.Ject откриване и премахване на има следните условия:

Компютърът трябва да се изпълнява Microsoft Windows 2000 SP2 или по-късно или 32-битова версия на Microsoft Windows XP.
Трябва да влезете като компютърен администратор или като член на групата на администраторите.

За повече информация как да определите дали компютър работи 32-битова версия на Windows XP или 64-битова версия на Windows XP щракнете върху следния номер на статия в базата знания на Microsoft:

827218 как да определите дали компютърът ви работи под 32-битова или 64-битова версия на операционната система Windows

Ако тези условия не са изпълнени, инсталирането няма да работи, и ще получите съобщение за грешка. За повече информация относно съобщението за грешка вижте регистрационния файл на следното:

%Windir%\Debug\Berbcln.logОсвен това препоръчваме да инсталирате актуализация на Windows да забраните ADODB.stream обект в Internet Explorer, преди да стартирате инструмента за премахване. Въпреки че инструмента за премахване ще премахне троянски кон от заразени компютри, тя няма да попречи повторно заразяване, ако компютърът ви е все още уязвими. Като инсталирате критична актуализация, можете да предотвратите допълнителни файлове за изтегляне на злонамерен софтуер от заразени Download.Ject сървър.

За повече информация относно актуализацията на Windows, за да забраните ADODB.stream обект щракнете върху следния номер на статия в базата знания на Microsoft:

870669 как да забраните ADODB. Поток на обект на Internet Explorer

Изискване за рестартиране

Не трябва да рестартирате компютъра след инсталирането на този инструмент.

Информация за потребителя

Важно: Преди да изпълните тези стъпки, уверете се, че резервно копие на всички важни данни.

Когато инсталирате Download.Ject откриване и премахване на и приемете лицензионното споразумение с краен потребител (EULA), инсталационният пакет извлича Berbcln.exe файла във временна папка и след това инструмента за премахване. Инструментът за премахване на проверява дали компютърът отговаря на предварителните условия, изброени в раздела "Предварителни". Ако необходимите условия са изпълнени, инструментът за премахване на се следните действия:

Инструментът проверява следните подключове на системния регистър за записите, които добави троянски кон:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
Инструмент за търсене в паметта за наличие на основни таен: Win32 / троянски Berbew Конна компонент. Ако инструментът за премахване на открие това, процесът е завършен.
Инструмент за търсене за следните файлове с данни, създаден на троянски кон. Тези файлове могат да съдържат конфиденциални данни. Инструмент изтрива тези файлове.

Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat
Инструмент изтрива всички файлове, които са свързани с таен: W32 / Berbew троянски надбягване. Тези файлове са идентифицирани стъпки 1 и 2.
Инструментът премахва записи в системния регистър, тя отбелязва в стъпка 1. Ако стойността в системния регистър Berbew вече не сочи към файл на твърдия диск, инструментът за премахване на не премахва загубени регистър стойност защото стойността от системния регистър няма да доведе до щети, ако свързания файл не съществува на твърдия диск.
Като част от начина на работа на троянски кон изпълнява екземпляра на Microsoft Internet Explorer в скрити windows. Тези windows се опита да злонамерени уеб сайтове. Едно копие се опитва да качите откраднати лични данни и други екземпляри търси софтуерни актуализации за троянски кон. Ако инструментът открие таен: W32 / Berbew троянски кон на компютъра, инструментът завършва всички текущо изпълнявани екземпляри на Internet Explorer.

Той показва съобщение, което описва резултатите от процеса на откриване и премахване. Следният списък съдържа съобщенията, които получавате, и обяснява какво означават.

Съобщение	Значение
Няма инфекция Открит	Таен: Win32 / Berbew троянски кон не е открит на този компютър.
Премахнати успешно троянски Backdoor:Win32/Berbew.gen. За предотвратяване на злонамерени комуникация, бяха прекратени всички прозорци на Internet Explorer.	Таен: Win32 / Berbew троянски кон е премахната. Няма допълнителни действия е необходимо.
Този инструмент трябва да се изпълни като администратор.	Трябва да излезете и влезте отново като администратор.
Фатална грешка, Прегледайте регистрационния файл.	Вижте %Windir%\Debug\Berbcln.log директория за повече информация.
Троянски backdoor:/W32/Berbew.Gen е открит, но не можа да бъде премахнат.	Опитайте да стартирате инструмента отново Проверете регистрационния файл за грешки.
Този инструмент изисква Windows 2000 или Windows XP.	Този инструмент не се поддържа версии на Windows, различна от Windows 2000 и Windows XP.
Неправилна версия на Windows (Win32s)	Този инструмент не се поддържа от Windows 3.1 с Win32s.

Когато затворите прозореца на съобщението, Зловредният софтуер се затваря и Berbcln.exe файлът е изтрит от временната папка. Сега можете да изтриете файла Windows-KB873018-ENU-V1.exe ръчно.

Инструментът за премахване на създава регистрационен файл с име Berbcln.log в папката %Windir%\Debug. Можете да прегледате този файл, за да определи дали Backdoor:W32/Berbew.gen инфекции са и са премахнати.

Превключватели на командния ред

Инструмент за премахване инсталиращата програма поддържа следните параметри на командния ред:

/Q - Използвай тих режим или потискане на съобщенията при извличане на файлове.
/q:u/Q: u - Използвай тих режим за потребителя. Тихият режим показва някои диалогови прозорци за потребителя.
/Q:A - Използвай тих режим за администратора. Тихият режим за администриране не предоставя диалогови прозорци за потребителя.
/T:
път - Задайте местоположението на временната папка, която се използва от програма на Download.Ject откриване и премахване на инструмент за инсталиране или задайте целевата папка за извличане на файлове (когато този превключвател се използва заедно с ключа /C ).
/C - Извличай файловете без да ги инсталираш. If /T:
Пътят не е зададен, ще бъдете подканени да укажете целева папка.
/C:
cmd - задава пътя и името на друг Setup.inf или .exe файла да се използва за инсталиране на инструмента.
/r:n/R: n - никога не Рестартирай компютъра след инсталирането.
/R: I -подкани потребителя да рестартира компютъра, ако е необходимо, освен когато този превключвател се използва с /Q:A ключ.
/R:A - винаги Рестартирай компютъра след инсталирането.
/r:s/R: n - Рестартирай компютъра след инсталирането без подканване на потребителя

За повече информация относно поддържаните инсталационни параметри щракнете върху следния номер на статия в базата знания на Microsoft:

197147 превключвателите за актуализация на софтуера IExpress

Зловредният софтуер поддържа ключа следния команден ред:

/s/S - тих режим позволява на инструмента. Този параметър премахва диалоговия прозорец състояние на инфекция, появяващо се след Инструментът е стартиран.

Информация за премахване

Berbcln.exe файлът се изтрива автоматично от си временно място след инструмента за премахване. Можете да изтриете пакет за инсталиране на инструмента, след като инсталирате инструмента за премахване.

Забележка: След инсталиране на Download.Ject откриване и премахване на, той не се появява в списъка с инсталирани програми в инструмента Add/Remove Programs в контролния панел.

Допълнителна информация

В по-нови версии на Robocopy, като например версия XP010 /SECFIX ключ е остаряла. За обновяване на информацията за защита за съществуващите destination файлове и папки, без да копирате файл с данни, използвайте е превключвате с /COPY превключване без D флаг. Например е /COPY:SOU обновява цялата информация за защита за всички избрани файлове, без да копирате файла данни. За повече информация вижте темата "Избирателно копиране на файл с данни" във файла Robocopy.doc.