Nástroj pro zjištění datové části a odebrání viru Download.Ject


Tento nástroj již není k dispozici. Byl nahrazen Nástrojem pro odebrání nebezpečného softwaru ze systému Microsoft Windows. Další informace o Nástroji pro odebrání nebezpečného softwaru ze systému Windows získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

890830 Nástroj pro odebrání nebezpečného softwaru ze systému Microsoft Windows pomáhá odstranit určité druhy nejčastěji se vyskytujícího nebezpečného softwaru z počítačů se systémem Windows Server 2003, Windows XP nebo Windows 2000

Souhrn


Společnost Microsoft zjistila výskyt trojského koně s názvem W32/Berbew (varianty A-H), který je stahován poté, co jsou klientské počítače se systémem Microsoft Windows infikovány nebezpečným softwarem Download.Ject. K těmto potížím dochází, pokud uživatel navštíví web hostující na serveru s Internetovou informační službu (IIS), který je infikován virem JS.Scob. Webové stránky, které se stahují do počítače uživatele, obsahují další program JavaScript, který stáhne trojského koně Backdoor:W32/Berbew. Trojský kůň Backdoor:W32/Berbew je také znám pod názvy Backdoor-AXJ, Webber nebo Padodor. Po spuštění v počítači uživatele provede tento trojský kůň několik operací, mezi něž patří následující akce:
  • Sleduje přístup k Internetu. Pokud uživatel navštíví jeden nebo více webů finančních institucí nebo poskytovatelů připojení k Internetu (ISP), zachytí tento trojský kůň citlivé informace, jako jsou přihlašovací jména, hesla a další důvěrné informace. Tyto informace potom odešle na webový server, kde je může zobrazit autor trojského koně. Nainstaluje server proxy, který nastaví počítač uživatele tak, aby sloužil k provádění různých akcí, například k odesílání nevyžádané pošty.
  • Zobrazí falešná dialogová okna vyžadující od uživatele zadání důvěrných informací, například zadání kódů a čísel kreditních karet nebo jiných důležitých informací. Tyto informace jsou potom odeslány na webový server, kde je může zobrazit autor trojského koně.
Společnost Microsoft vydala nástroj, který umožňuje odebrání různých variant trojského koně Backdoor:W32/Berbew z počítače. Tento nástroj lze stáhnout z centra pro stahování Microsoft Download Center a spustit v počítači za účelem odebrání infekcí Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C a Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G a Backdoor:W32/Berbew.H.
Technické aktualizace
  • 8. února 2005: Společnost Microsoft tento nástroj nahradila Nástrojem pro odebrání nebezpečného softwaru ze systému Microsoft Windows. Další informace o Nástroji pro odebrání nebezpečného softwaru ze systému Windows získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    890830 Nástroj pro odebrání nebezpečného softwaru ze systému Microsoft Windows pomáhá odstranit určité druhy nejčastěji se vyskytujícího nebezpečného softwaru z počítačů se systémem Windows Server 2003, Windows XP nebo Windows 2000

  • 14. července 2004: Byly aktualizovány části Shrnutí, Řešení a Informace o použití.
  • 13. července 2004: Společnost Microsoft vydala verzi 1.0 nástroje pro zjištění datové části a odebrání viru Download.Ject v centru pro stahování Microsoft Download Center. Verze 1.0 umožňuje zjistit a odebrat všechny aktuálně známé varianty (A až H) trojského koně Backdoor:W32/Berbew.

Příznaky


Můžete zaznamenat jeden nebo více následujících příznaků:
  • Výkon počítače je nízký nebo je pomalé připojení k síti.
  • Zobrazují se zprávy nebo dialogová okna vyžadující zadání kódů k platebním a kreditním kartám nebo informace o vaší poslední návštěvě webů některých finančních institucí nebo poskytovatelů připojení k Internetu.

Příčina


K tomuto chování dochází z důvodu infekce počítače trojským koněm Backdoor:W32/Berbew. Virus Backdoor:W32/Berbew byl do počítače odeslán trojským koněm Download.Ject. Více informací o tom, jak určit, zda je počítač infikován některou variantou trojského koně Backdoor:W32/Berbew, naleznete na následujícím webu společnosti Microsoft:

Řešení


Infikování počítače trojským koněm Backdoor:W32/Berbew lze zabránit používáním antivirového softwaru s aktualizovanými podpisy.

Důležité Doporučujeme také používat bránu firewall pro připojení k Internetu a antivirový software s aktualizovanými podpisy a také aktualizované verze systému Windows a všech programů.

Další informace, jak se bránit napadení virem a jak lze obnovit napadený systém, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
129972 Počítačové viry: popis, prevence a obnovení

Informace o souborech ke stažení a o instalaci

Požadavky

Nástroj pro zjištění datové části a odebrání viru Download.Ject má následující požadavky:
  • V počítači musí být nainstalován systém Microsoft Windows 2000 SP2 nebo vyšší nebo 32bitová verze systému Microsoft Windows XP.
  • Uživatel se k počítači musí přihlásit jako správce nebo jako člen skupiny Administrators.
Další informace o tom, jak zjistit, zda počítač používá 32bitovou nebo 64bitovou verzi systému Windows XP, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
827218 Jak zjistit, zda počítač používá 32bitovou verzi nebo 64bitovou verzi systému Windows XP (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Nejsou-li tyto požadavky splněny, instalace nebude funkční a zobrazí se chybová zpráva. Další informace o chybové zprávě získáte v následujícím souboru protokolu:
%Windir%\Debug\Berbcln.log
Před spuštěním nástroje pro odebrání viru doporučujeme nainstalovat aktualizaci systému Windows, která zakáže spuštění objektu ADODB.stream v aplikaci Internet Explorer. Nástroj pro odebrání sice odstraní trojského koně z infikovaných počítačů, nezabrání však opakované infekci, zůstane-li počítač nadále ohrožen. Instalací této důležité aktualizace můžete zabránit dalšímu stahování nebezpečného softwaru ze serveru infikovaného virem Download.Ject.

Další informace o aktualizaci systému Windows umožňující zakázání objektu ADODB.stream získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
870669 Zakázání objektu ADODB.Stream v aplikaci Internet Explorer

Požadavek na restartování

Po instalaci tohoto nástroje není třeba restartovat počítač.

Informace o použití

Důležité: Před provedením těchto kroků byste měli zálohovat všechna důležitá data.

Jestliže nainstalujete nástroj pro zjištění datové části a odebrání viru Download.Ject a budete souhlasit s licenční smlouvou s koncovým uživatelem (EULA), extrahuje instalační balíček do dočasné složky soubor Berbcln.exe a nástroj pro odebrání se spustí. Nástroj pro odebrání zkontroluje, zda počítač splňuje požadavky uvedené v části Požadavky. Pokud jsou požadavky splněny, provede nástroj pro odebrání následující akce:
  1. Nástroj zjistí, zda trojský kůň nepřidal položky do následujících podklíčů registru:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. Nástroj vyhledá v paměti důkaz přítomnosti hlavní součásti trojského koně Backdoor:Win32/Berbew. Jestliže jej nástroj pro odebrání najde, bude proces ukončen.
  3. Nástroj vyhledá následující datové soubory, které trojský kůň vytvořil. Tyto soubory mohou obsahovat citlivá osobní data. Nástroj tyto soubory smaže.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Nástroj odstraní všechny soubory související s trojským koněm Backdoor:W32/Berbew. Tyto soubory jsou popsány v kroku 1 a 2.
  5. Nástroj odstraní položky registru popsané v kroku 1. Pokud již položka registru Berbew neodkazuje k souboru uloženému na pevném disku, neodstraní nástroj pro odebrání tuto zbývající hodnotu, protože již nemůže způsobit žádnou škodu. Uvedený soubor se již nenachází na pevném disku.
  6. V rámci své činnosti spustí trojský kůň dvě instance aplikace Microsoft Internet Explorer ve skrytých oknech. Tato okna se pokusí připojit k nebezpečnému webu. Jedna instance se pokusí odeslat odcizená osobní data, zatímco druhá instance vyhledává aktualizace softwaru trojského koně. Pokud nástroj zjistí v počítači trojského koně Backdoor:W32/Berbew, ukončí všechny aktuálně spuštěné instance aplikace Internet Explorer.
  7. Nástroj zobrazí zprávu s popisem výsledků procesu zjišťování a odebrání. Následující seznam obsahuje zprávy, které mohou být zobrazeny, a vysvětlení jejich významu:
    ZprávaVýznam
    No infection detected (Infekce nebyla zjištěna.)Trojský kůň Backdoor:Win32/Berbew nebyl v počítači nalezen.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated. (Trojský kůň Backdoor:Win32/Berbew.gen byl úspěšně odstraněn. Z důvodu ochrany před nebezpečnou komunikací byly ukončeny všechny instance aplikace Internet Explorer.)Trojský kůň Backdoor:Win32/Berbew byl odstraněn. Není vyžadována žádná další akce.
    This tool must be run by an administrator. (Tento nástroj musí spustit správce.)Je třeba se odhlásit a znovu přihlásit s oprávněním správce.
    Fatal error, please review log file. (Závažná chyba, prostudujte si soubor protokolu.)Více informací naleznete v souboru %Windir%\Debug\Berbcln.log.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (Trojský kůň Backdoor:/W32/Berbew.gen byl nalezen v počítači, ale nelze jej odstranit.)Zkuste znovu spustit nástroj pro odebrání a vyhledat chyby v souboru protokolu.
    This tool requires Windows 2000 or Windows XP. (Tento nástroj vyžaduje systém Windows 2000 nebo Windows XP.)Tento nástroj není podporován jinými verzemi systému Windows než Windows 2000 a Windows XP.
    Incorrect Windows version (Win32s) (Chybná verze systému Windows (Win32s))Tento nástroj nelze spustit v systémech Windows 3.1 se systémem Win32s.
    Zavřete-li okno se zprávou, bude nástroj pro odebrání ukončen a soubor Berbcln.exe bude odstraněn z dočasné složky. Nyní můžete soubor Windows-KB873018-ENU-V1.exe odstranit ručně.
  8. Nástroj pro odebrání vytvoří ve složce %Windir%\Debug soubor protokolu nazvaný Berbcln.log. Zobrazením tohoto souboru protokolu můžete zjistit, zda byly zjištěny a odstraněny infekce trojského koně Backdoor:W32/Berbew.gen.

Přepínače příkazového řádku

Instalační program nástroje pro odebrání podporuje následující přepínače příkazového řádku:
  • /Q – Nastaví tichý režim nebo potlačí zobrazování zpráv během extrahování souborů.
  • /Q:U – Nastaví tichý režim pro uživatele. V tichém režimu se uživateli zobrazí jen některá dialogová okna.
  • /Q:A – Použije tichý režim pro správce. V tomto režimu se uživateli nezobrazí žádná dialogová okna.
  • /T: cesta – Určuje umístění dočasné složky instalačního programu nástroje pro zjištění datové části a odebrání viru Download.Ject nebo cílové složky extrahovaných souborů (pokud je tento přepínač použit spolu s přepínačem /C).
  • /C – Extrahuje soubory, ale nenainstaluje je. Není-li zadán přepínač /T: cesta, zobrazí se výzva k zadání cílové složky.
  • /C: cmd – Určuje název a cestu jiného souboru Setup.inf nebo souboru s příponou EXE, který slouží k instalaci nástroje.
  • /R:N – Po instalaci nerestartuje počítač.
  • /R:I – Zobrazí výzvu k restartování počítače, pokud je to požadováno, kromě případů, kdy je zároveň použit přepínač /Q:A.
  • /R:A – Po instalaci vždy restartuje počítač.
  • /R:S – Po instalaci restartuje počítač, aniž by uživateli zobrazil výzvu.
Další informace o podporovaných instalačních přepínačích získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
197147 Přepínače příkazového řádku pro balíčky aktualizací softwaru aplikace IExpress (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Nástroj pro odebrání podporuje následující přepínač příkazového řádku:
  • /S – Povoluje pro nástroj tichý režim. Tento přepínač potlačuje dialogové okno o stavu infekce, které se zobrazí po spuštění nástroje.

Informace o odinstalování

Po spuštění nástroje pro odebrání je soubor Berbcln.exe automaticky odstraněn z dočasného umístění. Po instalaci nástroje pro odebrání můžete instalační balíček nástroje odstranit.

Poznámka: Po instalaci nástroje pro zjištění datové části a odebrání viru Download.Ject se tento nástroj nezobrazí v seznamu Nainstalované programy v panelu Přidat nebo odebrat programy v Ovládacích panelech.