Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Dette værktøj er ikke længere tilgængeligt. Det er erstattet af Microsoft Windows Værktøj til fjernelse af skadelig software. Yderligere oplysninger om Værktøj til fjernelse af skadelig software finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

890830 Microsoft Windows Værktøj til fjernelse af skadelig software fjerner specifik, almindeligt kendt skadelig software fra computere, der kører Windows Server 2003, Windows XP eller Windows 2000

Sammenfatning

Microsoft har fået oplysninger om en trojansk hest kaldet W32/Berbew (variants A-H), som overføres efter at en Microsoft Windows-baseret klientcomputer er inficeret med malware-programmet Download.Ject. Problemet opstår, når en bruger besøger et websted, der ligger på en server, som kører Microsoft IIS (Internet Information Services), og som er blevet inficeret af JS.Scob. De websider, der hentes til brugerens computer, indeholder et ekstra JavaScript-program, der henter en anden trojansk hest Backdoor:W32/Berbew til brugerens computer. Backdoor:W32/Berbew kaldes også Backdoor-AXJ, Webber eller Padodor. Når denne trojanske hest kører på brugerens computer, udfører den forskellige handlinger, bl.a. følgende:

  • Den overvåger adgangen til internettet. Når brugeren besøger et af en række finansielle websteder eller internetudbyderes websteder, opsamler den trojanske hest følsomme oplysninger som f.eks. logonnavne, adgangskoder og andre fortrolige oplysninger. Den trojanske hest sender oplysningerne til en webserver, hvor udvikleren af den trojanske hest kan hente dem. Den installerer en proxyserver, der konfigurerer brugerens computer som et relæ til handlinger som f.eks. at sende spam.

  • Den åbner falske dialogbokse, hvor brugeren bliver bedt om at indtaste fortrolige oplysninger som f.eks. koder til hævekort eller kreditkortnumre. Oplysningerne sendes til en webserver, hvor udvikleren af den trojanske hest kan hente dem.

Microsoft har udgivet et værktøj, der kan hjælpe dig med at fjerne varianter af den trojanske hest Backdoor:W32/Berbew fra din computer. Du kan hente værktøjet fra Microsoft Download Center og køre det på computeren for at fjerne infektioner med Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G og Backdoor:W32/Berbew.H.Tekniske opdateringer

  • 08.02.05: Microsoft har erstattet dette værktøj med Microsoft Windows Værktøj til fjernelse af skadelig software. Yderligere oplysninger om Værktøj til fjernelse af skadelig software finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

    890830 Microsoft Windows Værktøj til fjernelse af skadelig software fjerner specifik, almindeligt kendt skadelig software fra computere, der kører Windows Server 2003, Windows XP eller Windows 2000

  • 14.07.04: afsnittene "Sammenfatning", "Opløsning" og "Brug" er opdateret.

  • 13.07.04: Microsoft udgiver version 1.0 af værktøjet til søgning efter og fjernelse af Download.Ject på Microsoft Download Center. Version 1.0 finder og fjerner alle aktuelt kendte varianter (A til H) af den trojanske hest Backdoor:W32/Berbew.

Symptomer

Du kan komme ud for et eller flere af følgende symptomer:

  • Computerens ydeevne reduceres, eller netværksforbindelsen bliver langsom.

  • Du modtager meddelelser eller dialogbokse, der spørger om koder til hævekort og kreditkortoplysninger, når du besøger bestemte finansielle websteder eller internetudbyderes websteder.

Årsag

Dette problem opstår, fordi computeren er inficeret med den trojanske hest Backdoor:W32/Berbew. Backdoor:W32/Berbew overføres af den trojanske hest Download.Ject Trojan. Yderligere oplysninger om, hvordan du finder ud af, om computeren er inficeret med en variant af Backdoor:W32/Berbew, finder du på følgende Microsoft-websted:

http://www.microsoft.com/security/incident/Download_Ject.mspx

Løsning

Antivirusprogrammer med opdaterede signaturer forhindrer den trojanske hest Backdoor:W32/Berbew i at inficere din computer.

Vigtigt! Vi anbefaler også, at du bruger en internetfirewall og et opdateret antivirusprogram, samt at du sørger for, at både Windows og dine programmer er opdateret.

Yderligere oplysninger om, hvordan du forhindrer og genopretter efter virusangreb, får du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

129972 Computervirus: beskrivelse, forebyggelse og genoprettelse

Oplysninger om overførsel og installation

Forudsætninger

Værktøjet til søgning efter og fjernelse af Download.Ject har følgende forudsætninger:

  • Din computer skal køre Microsoft Windows 2000 SP2 eller nyere eller en 32-bit version af Microsoft Windows XP.

  • Du skal logge på som computeradministrator eller som medlem af administratorgruppen.

Yderligere oplysninger om, hvordan det konstateres, om en computer kører en 32-bit-version af Windows XP eller en 64-bit-version af Windows XP, finder du ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

827218 Sådan konstateres det, om computeren kører en 32-bit-version eller 64-bit-version af Windows XP (artiklen er evt. på engelsk)

Hvis disse forudsætninger ikke er opfyldt, fungerer installationen ikke, og du får vist en fejlmeddelelse. Yderligere oplysninger om fejlmeddelelsen finder du i følgende logfil:

%Windir%\Debug\Berbcln.logVi anbefaler desuden, at du installerer Windows-opdateringen til deaktivering af objektet ADODB.stream i Internet Explorer, før du kører fjernelsesværktøjet. Selvom fjernelsesværktøjet fjerner den trojanske hest fra inficerede computere, forhindrer værktøjet ikke en ny infektion, hvis computeren stadig er sårbar. Hvis du installerer den vigtige opdatering, hjælper det dig med at forhindre nye overførsler af malware fra Download.Ject-inficerede servere.

Yderligere oplysninger om Windows-opdateringen til deaktivering af objektet ADODB.stream får du ved at klikke på nedenstående artikelnummer for at læse artiklen i Microsoft Knowledge Base:

870669 Sådan deaktiveres objektet ADODB.Stream fra Internet Explorer

Krav om genstart

Du behøver ikke at genstarte computeren efter installationen af dette værktøj.

Brug

Vigtigt! Inden du følger denne fremgangsmåde, skal du sørge for at tage en sikkerhedskopi af alle vigtige data.

Når du installerer værktøjet til at søge efter og fjerne Download.Ject og accepterer slutbrugerlicensaftalen (EULA), pakker installationsprogrammet filen Berbcln.exe ud i et midlertidigt bibliotek, og derefter køres værktøjet. Værktøjet kontrollerer, om computeren lever op til de forudsætninger, der er beskrevet i afsnittet "Forudsætninger". Hvis forudsætningerne er opfyldt, udfører værktøjet følgende handlinger:

  1. Værktøjet søger i følgende undernøgler i registreringsdatabasen efter poster, som den trojanske hest har oprettet:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. Værktøjet søger i hukommelsen efter tegn på hovedkomponenten i Backdoor:Win32/Berbew. Hvis værktøjet finder dette, afsluttes processen.

  3. Værktøjet søger efter følgende datafiler, som den trojanske hest har oprettet. Filerne kan indeholde fortrolige personlige data. Værktøjet sletter disse filer.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. Værktøjet sletter alle filer, der hører til den trojanske hest Backdoor:W32/Berbew. Filerne blev identificeret i trin 1 og 2.

  5. Værktøjet fjerner de poster i registreringsdatabasen, der identificeres i trin 1. Hvis en Berbew-registreringsdatabaseværdi ikke længere henviser til en fil på harddisken, fjerner værktøjet ikke registreringsdatabaseværdien, eftersom værdien ikke kan forvolde skade, hvis den tilknyttede fil ikke findes på harddisken.

  6. Som en del af dets funktionalitet kører den trojanske hest to forekomster af Microsoft Internet Explorer i skjulte vinduer. Disse vinduer forsøger at oprette forbindelse til skadelige websteder. Den ene forekomst forsøger at sende stjålne personlige data, mens den anden forekomst søger efter programopdateringer til den trojanske hest. Hvis værktøjet finder den trojanske hest Backdoor:W32/ Berbew på computeren, afsluttes alle aktive forekomster af Internet Explorer.

  7. Værktøjet viser en meddelelse, der beskriver resultatet af søge- og fjernelsesprocessen. Følgende liste indeholder de meddelelser, som du kan modtage, og hvad de betyder.

    Meddelelse

    Betydning

    No infection detected (Der blev ikke fundet nogen infektion)

    Den trojanske hest Backdoor:Win32/Berbew blev ikke fundet på computeren.

    Successfully removed Backdoor:Win32/Berbew.gen Trojan (Den trojanske hest Backdoor:Win32/Berbew.gen er blevet fjernet). Alle forekomster af Internet Explorer blev stoppet for at forhindre skadelig kommunikation.

    Den trojanske hest Backdoor:Win32/Berbew blev fjernet. Du behøver ikke gøre mere.

    This tool must be run by an administrator (Værktøjet skal køres af en administrator).

    Du skal logge af og derefter logge på igen som administrator.

    Fatal error, please review log file (Alvorlig fejl, læs logfilen).

    Se i mappen %Windir%\Debug\Berbcln.log for at få yderligere oplysninger.

    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed (Den trojanske hest Backdoor:/W32/Berbew.gen blev fundet, men kunne ikke fjernes).

    Prøv at køre værktøjet igen, og se fejlene i logfilen.

    This tool requires Windows 2000 or Windows XP (Dette værktøj kræver Windows 2000 eller Windows XP).

    Værktøjet understøttes ikke på andre versioner af Windows end Windows 2000 og Windows XP.

    Incorrect Windows version (Win32s) (Forkert version af Windows (Win32s))

    Værktøjet understøttes ikke på Windows 3.1 med Win32s.

    Når du lukker meddelelsen, afsluttes værktøjet, og filen Berbcln.exe slettes fra det midlertidige bibliotek. Du kan nu slette filen Windows-KB873018-ENU-V1.exe manuelt.

  8. Værktøjet opretter en logfil med navnet Berbcln.log i mappen %Windir%\Debug. Du kan få vist denne logfil for at se, om der blev registreret og fjernet infektioner med Backdoor:W32/Berbew.gen.

Kommandolinjeparametre

Værktøjets installationsprogram understøtter følgende kommandolinjeparametre:

  • /Q – Installer uden brugerinput, eller udelad meddelelser, mens filerne udpakkes.

  • /Q:U – Installer uden brugerinput. Under installation uden brugerinput får brugeren vist nogle få dialogbokse.

  • /Q:A – Installer uden administratorinput. Under installation uden administratorinput får brugeren ikke vist nogen dialogbokse.

  • /T:
    sti – Angiv placeringen for den midlertidige mappe, der bruges af installationsprogrammet til værktøjet til søgning efter og fjernelse af Download.Ject, eller den destinationsmappe, som filerne udpakkes i (når parameteren bruges sammen med parameteren /C).

  • /C - Udpak filerne uden at installere dem. Hvis /T:
    sti ikke er angivet, bliver du bedt om at angive en destinationsmappe.

  • /C:
    cmd – Angiv stien og navnet på en anden Setup.inf-fil eller .exe-fil til installation af værktøjet.

  • /R:N – Genstart aldrig computeren efter installation.

  • /R:I – Brugeren bliver om nødvendigt bedt om at genstarte computeren, undtagen når parameteren bruges sammen med parameteren /Q:A.

  • /R:A – Genstart altid computeren efter installation.

  • /R:S – Genstart computeren efter installation uden at spørge brugeren.

Yderligere oplysninger om understøttede kommandolinjeparametre finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

197147 Kommandolinjeparametre for opdateringspakker til IExpress-software (artiklen er evt. på engelsk)

Værktøjet understøtter følgende kommandolinjeparametre:

  • /S – Aktiverer uovervåget tilstand. Denne parameter udelader den dialogboks med infektionsstatus, du får vist, når værktøjet er kørt.

Oplysninger om fjernelse

Filen Berbcln.exe slettes automatisk fra den midlertidige placering, når værktøjet har kørt. Du kan slette værktøjets installationspakke, når du har installeret værktøjet.

Bemærk! Når du installerer værktøjet til søgning efter og fjernelse af Download.Ject, vises det ikke på listen Installerede programmer under Tilføj/fjern programmer i Kontrolpanel.

Facebook LinkedIn E-mail

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×