זיהוי תוכן המנה Download.Ject והכלי להסרת

סיכום

Microsoft יש למדו של סוס טרויאני תוכנית בשם W32/Berbew (המשתנים A-H) מורד לאחר מחשב לקוח מבוסס Windows של Microsoft נגוע בתוכנות זדוניות Download.Ject. בעיה זו מתרחשת כאשר משתמש מבקר באתר אינטרנט המתארח בשרת שבו פועל Microsoft Internet Information Services (IIS) ואת אשר נגוע על-ידי JS. Scob. דפי האינטרנט יורדו למחשב של המשתמש להכיל תוכנית JavaScript נוספת הורדות Backdoor: W32 / סוס טרויאני Berbew. Backdoor: W32 / Berbew מכונה גם Backdoor-AXJ, Webber או Padodor. כאשר סוס טרויאני זה פועלת במחשב של המשתמש, הוא מבצע מספר פעולות, כולל את הפעולות הבאות:

הוא מפקח על גישה לאינטרנט. כאשר המשתמש יבקר אחת מתוך מספר פיננסי או אתרי אינטרנט ISP, סוס טרויאני הלוכד מידע רגיש, כגון שמות להיכנס, סיסמאות ומידע רגיש אחר. לאחר מכן, סוס טרויאני שולח מידע זה לשרת אינטרנט עבור מחבר הסוס הטרויאני לאחזר. התקנת שרת proxy אשר מגדיר את מחשב המשתמש לשימוש כ ממסר עבור פעולות, כגון שליחת דואר זבל.
הוא פותח את תיבות הדו-שיח מזויף אשר מנחה את המשתמש להזין מידע חסוי, כגון מספרי כרטיס ATM או מספרי כרטיס אשראי. מידע זה לאחר מכן נשלח לשרת אינטרנט עבור מחבר הסוס הטרויאני לאחזר.

Microsoft הוציאה לשוק כלי כדי לסייע לך להסיר Backdoor: W32 / סוס טרויאני Berbew משתנים מהמחשב שלך. באפשרותך להוריד כלי זה ממרכז ההורדות של Microsoft והפעל אותו במחשב שלך כדי להסיר הידבקויות Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G ו- Backdoor:W32/Berbew.H.עדכונים טכניים

8 בפברואר 2005: Microsoft מוחלף כלי זה הכלי להסרת תוכנות זדוניות של Microsoft Windows. לקבלת מידע נוסף אודות הכלי להסרת תוכנות זדוניות, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

Microsoft Windows הכלי להסרת תוכנות זדוניות 890830 , מסייע בהסרת תוכנות זדוניות נפוצות ספציפיות ממחשבים שבהם פועל Windows Server 2003, Windows XP או Windows 2000
14 ביולי, 2004: "סיכום," 'פתרון הבעיה', וכן מידע על השימוש"מקטעים עודכנו.
13 ביולי 2004: Microsoft פרסמה גירסה 1.0 של איתור תוכן המנה Download.Ject הכלי להסרת אל מרכז ההורדות של Microsoft. גירסה 1.0 מגלה והסרת כל הווריאנטים המוכרים כעת (A עד H) של Backdoor: W32 / סוס טרויאני Berbew.

מאפייני הבעיה

ייתכן שתיתקל באחת או יותר מהתופעות הבאות:

ביצועי המחשב יורדת או חיבור רשת איטי.
תקבל הודעות או תיבות הדו-שיח זה בקשת ATM אבטחה מספרי כרטיס אשראי ומידע בעת ביקור מסוימים מקוונת פיננסי ואתרי אינטרנט ISP.

הגורם

אופן פעולה זה מתרחש מאחר שהמחשב שלך נגוע בתולעת Backdoor: W32 / סוס טרויאני Berbew. דלת אחורית: W32/Berbew שנמסרו על-ידי סוס טרויאני Download.Ject. לקבלת מידע נוסף אודות האופן שבו ניתן לקבוע אם המחשב נגוע בווריאציה כלשהי של Backdoor: W32 / Berbew, בקר באתר האינטרנט הבא של Microsoft:

http://www.microsoft.com/security_essentials/default.aspx

פתרון

תוכנת אנטי-וירוס עם חתימות עדכנית תסייע למנוע Backdoor: W32 / סוס טרויאני Berbew מלפגוע במחשב שלך.

חשוב כמו כן, מומלץ להשתמש חומת אש לאינטרנט ותוכנית אנטי-וירוס עם חתימות מעודכן ולאחר לשמור הן את Windows והן את התוכניות שלך עדכנית.

לקבלת מידע נוסף אודות כיצד למנוע וירוסים ואודות דרכי התמודדות הידבקות בווירוסים, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

129972 וירוסי מחשבים: תיאור, מניעה ושחזור

הורדה ומידע ההתקנה

דרישות מוקדמות

זיהוי תוכן המנה Download.Ject והכלי להסרת כולל את הדרישות המוקדמות הבאות:

יש במחשב שלך פועל Microsoft Windows 2000 SP2 או גירסה מתקדמת יותר או גירסת 32 סיביות של Microsoft Windows XP.
עליך לבצע כניסה כמנהל מחשב או כחבר בקבוצה Administrators.

לקבלת מידע נוסף אודות האופן שבו ניתן לקבוע אם במחשב שלך פועלת גירסה של 32 סיביות של Windows XP או של גירסת 64 סיביות של Windows XP, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

827218 כיצד לקבוע אם במחשב שלך פועלת גירסה של 32 סיביות או גירסת 64 סיביות של מערכת ההפעלה Windows

אם לא מתקיימים תנאים מוקדמים אלה, ההתקנה לא תפעל, ולא תקבל הודעת שגיאה. לקבלת מידע נוסף אודות הודעת השגיאה, להציג את קובץ יומן הרישום הבאים:

%Windir%\Debug\Berbcln.logבנוסף, אנו ממליצים להתקין את Windows update כדי להשבית את האובייקט ADODB.stream ב- Internet Explorer לפני הפעלת הכלי להסרת. למרות הכלי להסרת יסיר את סוס טרויאני ממחשבים נגועים, דבר זה לא ימנע הידבקות מחדש אם המחשב שלך הוא עדיין פגיע. על-ידי התקנת העדכון הקריטי, באפשרותך לסייע למנוע הורדות נוספות של תוכנות זדוניות משרת נגוע Download.Ject.

לקבלת מידע נוסף אודות עדכון Windows כדי להשבית את האובייקט ADODB.stream, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

870669 כיצד ניתן להפוך את האובייקט ADODB. אובייקט זרם מ- Internet Explorer

דרישת הפעלה מחדש

אין לך להפעיל מחדש את המחשב לאחר התקנת כלי זה.

מידע שימוש

חשוב לפני ביצוע שלבים אלה, ודא כי ביצעת גיבוי כל הנתונים החשובים שלך.

בעת התקנת זיהוי תוכן המנה Download.Ject והכלי להסרת לקבל את הסכם הרשיון למשתמש קצה (EULA), חבילת ההתקנה מחלצת את הקובץ Berbcln.exe לתיקיה זמנית, ולאחר מכן מפעיל כלי ההסרה. הכלי להסרת מוודא שהמחשב שלך עומד המוקדמים הנזכרים בסעיף 'תנאים מוקדמים'. אם עמדת בתנאים המוקדמים, הכלי להסרת נוקט את הפעולות הבאות:

הכלי בוחנת את מפתחות המשנה הבאים של הרישום עבור ערכי הסוס הטרויאני הוסיף:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
מחפש הכלי בזיכרון עבור עדות של Win32: Backdoor הראשי / רכיב מסוג סוס טרויאני Berbew. אם הכלי להסרת מאתר זה, התהליך הסתיים.
הכלי מחפש קבצי הנתונים הבאים שיצרה סוס טרויאני. קבצים אלה עשויים להכיל נתונים אישיים רגישים. הכלי מחיקת קבצים אלה.

Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat
הכלי מחיקת כל הקבצים המשויכים Backdoor: W32 / סוס טרויאני Berbew. קבצים אלה זוהו בשלבים 1 ו- 2.
הכלי מסיר את ערכי הרישום שזוהו אותו בשלב 1. אם ערך הרישום Berbew עוד מצביע על קובץ בדיסק הקשיח, כלי ההסרה אינה מסירה את ערך הרישום מיותם מאחר שערך הרישום לא תגרום כל נזק אם לא קיים קובץ משויך בדיסק הקשיח.
כחלק שיטת הפעולה שלו, סוס טרויאני מפעיל שני מופעים של Microsoft Internet Explorer בחלונות מוסתרים. חלונות אלה לנסות להתחבר לאתרי אינטרנט זדוניים. מופע אחד מנסה להעלות נתונים אישיים נגנב, ונראה המופע השני עבור עדכוני תוכנה עבור סוס טרויאני. אם הכלי מזהה Backdoor: W32 / סוס טרויאני Berbew במחשב, הכלי מסתיימת כל המופעים הפועלים כעת של Internet Explorer.

הכלי מציג הודעה המתארת את התוצאה של תהליך האיתור וההסרה. הרשימה הבאה מכילה את ההודעות שאתה מקבל, ומסביר משמעותם.

הודעה	משמעות
לא זוהתה פגיעה	Backdoor: Win32 / סוס טרויאני Berbew לא זוהה במחשב זה.
הוסר בהצלחה Backdoor:Win32/Berbew.gen טרויאנים. כדי למנוע תקשורת זדונית, כל המופעים של Internet Explorer היו הסתיים.	Backdoor: Win32 / סוס טרויאני Berbew הוסר. נדרשת פעולה נוספת.
יש להפעיל כלי זה על-ידי מנהל מערכת.	אתה חייב לצאת מהמערכת והיכנס שוב כמנהל.
שגיאה מכרעת, נא עיין בקובץ יומן הרישום.	ראה את הספריה %Windir%\Debug\Berbcln.log לקבלת מידע נוסף.
Backdoor:/W32/Berbew.gen טרויאני זוהה, אך לא היתה אפשרות להסיר.	נסה להפעיל את הכלי שוב ובדוק את קובץ יומן הרישום עבור שגיאות.
כלי זה מחייב Windows 2000 או Windows XP.	כלי זה אינו נתמך בגירסאות של Windows שאינן Windows 2000 ו- Windows XP.
גירסה שגויה של Windows (Win32s)	כלי זה אינו נתמך ב- Windows 3.1 עם הפעלה מסוג win32.

כאשר תסגור את תיבת ההודעה, כלי ההסרה נסגר ולאחר למחיקת הקובץ Berbcln.exe מהתיקיה הזמנית. כעת באפשרותך למחוק את הקובץ Windows-KB873018-ENU-V1.exe באופן ידני.

הכלי להסרת יוצר קובץ יומן רישום בשם Berbcln.log בתיקייה %Windir%\Debug. באפשרותך להציג קובץ יומן רישום זה כדי לקבוע אם Backdoor:W32/Berbew.gen הידבקויות זוהו והם הוסרו.

בוררים של שורת הפקודה

המתקין הכלי להסרת תומך בבוררי שורת הפקודה הבאים:

/Q - השתמש במצב שקט או הסתר הודעות בעת חילוץ הקבצים.
/Q: u - השתמש במצב שקט-משתמש. מצב שקט-משתמש מציג תיבות דו-שיח מסוימות בפני המשתמש.
/Q: a - השתמש במצב שקט-מנהל. מצב שקט-מנהל אינו מציג תיבות דו-שיח בפני המשתמש.
/T:
נתיב - ציין את מיקום התיקייה הזמנית המשמשת לזיהוי תוכן המנה Download.Ject ותוכנית ההתקנה של כלי ההסרה, או לציין את תיקיית היעד לחילוץ הקבצים (כאשר בורר זה נמצא בשימוש יחד בבורר /C ).
/C - חלץ את הקבצים מבלי להתקין אותם. If /T:
הנתיב לא צוין, תתבקש לציין תיקיית יעד.
/C:
cmd - ציין את הנתיב והשם של קובץ Setup.inf אחר או קובץ. .exe להשתמש כדי להתקין את הכלי.
/R: n - לעולם הפעלה מחדש של המחשב לאחר ההתקנה.
/R: I -מנחה את המשתמש להפעיל מחדש את המחשב אם דרושה הפעלה מחדש, למעט כאשר בורר זה נמצא בשימוש עם הבורר /q: a .
/R: a - תמיד הפעל מחדש את המחשב לאחר ההתקנה.
/R: s - הפעלה מחדש המחשב לאחר ההתקנה מבלי להציג הודעה למשתמש

לקבלת מידע נוסף אודות בוררי ההתקנה הנתמכים, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

197147 בוררי שורת הפקודה עבור חבילות עדכוני תוכנה של IExpress

הכלי להסרת תומך את בורר שורת הפקודה הבאה:

/S - מצב שקט מאפשר לכלי. בורר זה מעלימה את תיבת הדו-שיח מצב נגוע שתקבל לאחר הפעלת הכלי.

מידע בדבר הסרת ההתקנה

הקובץ Berbcln.exe נמחקת אוטומטית ממיקומו זמניים לאחר הפעלת הכלי להסרת. באפשרותך למחוק את חבילת המתקין של הכלי לאחר התקנת כלי ההסרה.

הערה לאחר התקנת זיהוי תוכן המנה Download.Ject והכלי להסרת, היא אינה מופיעה ברשימת תוכניות מותקנות בכלי הוספה או הסרה של תוכניות בלוח הבקרה.

מידע נוסף

בגירסאות חדשות יותר של Robocopy, כגון גירסה XP010, הבורר /SECFIX בו בוטלו. כדי לרענן את מידע האבטחה עבור היעד קיימים קבצים ותיקיות מבלי להעתיק נתוני קובץ, השתמש /IS לעבור יחד עם /COPY לעבור ללא דגל D. לדוגמה, /IS /COPY:SOU רענון כל מידע אבטחה עבור כל הקבצים שנבחרו מבלי להעתיק נתוני קובץ כלשהם. לקבלת מידע נוסף, עיין בנושא "באופן סלקטיבי העתקת קובץ נתונים" בקובץ Robocopy.doc.