Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

Ez az eszköz már nem elérhető, helyette a Microsoft Windows ártalmas szoftvereket eltávolító eszközét lehet letölteni. A rosszindulatú szoftvereket eltávolító eszközről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

890830 A Microsoft Windows rosszindulatú szoftvereket eltávolító eszközzel meghatározott, széles körben elterjedt ártalmas szoftverek távolíthatók el Windows Server 2003, Windows XP és Windows 2000 rendszerű számítógépekről

Összefoglaló

A Microsoft tudomására jutott egy W32/Berbew (A-H variáns) nevű trójai program léte, amely a Download.Ject nevű féregvírussal fertőzött ügyfélszámítógépekre töltődik le. A probléma akkor fordul elő, ha a felhasználók meglátogatnak egy Download.Ject vírussal fertőzött IIS-kiszolgálón üzemelő webhelyet. A felhasználó számítógépére letöltött weblapok tartalmazhatnak egy olyan JavaScript-programot is, mely a Backdoor:W32/Berbew nevű trójai programot tölti le a felhasználó számítógépére. Ennek a második programnak a neve Backdoor:W32/Berbew, de Backdoor-AXJ, Webber és Padodor néven is ismert. Ha a trójai program a felhasználó számítógépén működésbe lép, többek között az alábbi műveleteket hajtja végre:

  • Figyelemmel kíséri az internetkapcsolatot. Ha a felhasználó bizonyos pénzügyi vagy internetszolgáltatói webhelyek valamelyikét látogatja meg, a trójai program rögzíti az érzékeny információkat, például a felhasználóneveket és a jelszavakat, majd elküldi ezeket a trójai program szerzőjének valamelyik webkiszolgálójára. Telepít egy olyan proxykiszolgálót, mely a felhasználó számítógépét kéretlen reklámlevelek átengedésére és más hasonló műveletekre alkalmas közvetítőállomássá teszi.

  • Olyan hamis párbeszédpaneleket jelenít meg, melyek a felhasználót bizalmas adatok, például hitelkártyaszámok vagy ATM-kártyák kódjainak megadására kérik, majd elküldi ezeket a trójai program szerzőjének valamelyik webkiszolgálójára.

A Microsoft kiadott egy olyan eszközt, amellyel eltávolíthatók a számítógépről a Backdoor:W32/Berbew trójai program variánsai. Ez az eszköz letölthető a Microsoft letöltőközpontjából, és futtatásával a számítógépről eltávolítható a Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G és Backdoor:W32/Berbew.H nevű trójai program.Műszaki frissítések

  • 2005. február 8.: A Microsoft ezen eszköz helyett kiadta a Microsoft Windows ártalmas szoftvereket eltávolító eszközt. A rosszindulatú szoftvereket eltávolító eszközről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

    890830 A Microsoft Windows rosszindulatú szoftvereket eltávolító eszközzel meghatározott, széles körben elterjedt ártalmas szoftverek távolíthatók el Windows Server 2003, Windows XP és Windows 2000 rendszerű számítógépekről

  • 2004. július 14.: az „Összefoglaló”, „A megoldás” és a „Használati tudnivalók” szakasz frissítve.

  • 2004. július 13.: A Microsoft közzétette a Download.Ject vírust érzékelő és eltávolító eszköz 1.0-s verzióját a Microsoft letöltőközpontjában. Az eszköz 1.0-s verziója érzékeli és eltávolítja a Backdoor:W32/Berbew trójai program jelenleg ismert összes variánsát (A-tól H-ig).

A jelenség

Az alábbi jelenségekkel találkozhat:

  • A számítógép teljesítménye csökken, vagy lelassul a hálózati kapcsolat.

  • ATM-kártyák biztonsági kódját vagy bankkártyaszámokat kérő üzenetek vagy párbeszédpanelek jelennek meg egyes online pénzügyi és internetszolgáltatói webhelyek meglátogatása során.

Oka

A jelenségeket az okozza, hogy a számítógép fertőzött a Backdoor:W32/Berbew trójai programmal. A Backdoor:W32/Berbew program a Download.Ject trójai programmal jut a számítógépre. A számítógép Backdoor:W32/Berbew valamely variánsa által okozott fertőzöttségének megállapításával kapcsolatban további információt talál a Microsoft következő webhelyén:

http://www.microsoft.com/hun/biztonsag/download_ject.mspx

A megoldás

A víruskereső szoftver aláírásainak frissítésével elkerülhető a számítógép Backdoor:W32/Berbew trójai programmal való fertőzése.

Fontos: Javasolt, hogy ezen kívül használjon internetes tűzfalat és friss víruskereső programot, illetve hogy mind a Windows rendszert, mind az alkalmazásait rendszeresen frissítse.

További információt a vírusfertőzések megelőzéséről és megszüntetéséről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

129972 Számítógépvírusok: ismertetés, megelőzés és helyreállítás

Letöltési és telepítési információ

Előfeltételek

A Download.Ject vírust érzékelő és eltávolító eszköz telepítésének előfeltételei:

  • A számítógépen SP2 vagy újabb szervizcsomaggal frissített Microsoft Windows 2000 rendszernek, vagy a Microsoft Windows XP rendszer valamelyik 32 bites verziójának kell futnia.

  • A számítógépen rendszergazdaként vagy a Rendszergazdák csoport tagjaként kell bejelentkezni.

További információt annak megállapításáról, hogy a számítógépen a Windows XP 32 bites vagy 64 bites verziója fut-e, a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

827218 Miként állapítható meg, hogy a Windows XP 32 bites vagy 64 bites verziója fut-e a számítógépen? (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Amennyiben az előfeltételek nem teljesülnek, a telepítés nem hajtható végre, a program pedig hibaüzenetet fog megjeleníteni. A hibaüzenetről a következő naplófájl nyújt bővebb tájékoztatást:

%Windir%\Debug\Berbcln.logAz eltávolítóeszköz telepítése előtt ajánlott még a Windows azon frissítésének telepítése is, mely letiltja az ADODB.stream objektum használatát az Internet Explorer böngészőben, mert bár az eltávolító eszköz eltávolítja a trójai programot a fertőzött számítógépekről, az újrafertőződést nem tudja megakadályozni, ha a számítógép még mindig sebezhető. A fontos frissítés telepítésével megkönnyíti a trójai program Download.Ject vírussal fertőzött kiszolgálókról való ismételt letöltésének megakadályozását.

További információt az ADODB.Stream objektumot letiltó Windows-frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

870669 Az ADODB.Stream objektum letiltása az Internet Explorer programban

Újraindítás szükségessége

Az eszköz telepítése után nincs szükség a számítógép újraindítására.

Használati tudnivalók

Fontos: Az alábbi eljárás végrehajtása előtt győződjön meg arról, hogy valamennyi fontos adatról biztonsági másolatot készített.

A Download.Ject vírust eltávolító eszköz telepítése során, a végfelhasználói licencszerződés (EULA) elfogadását követően, a telepítőcsomag kibontja a Berbcln.exe fájlt egy ideiglenes mappába, majd elindul az eltávolítóeszköz. Az eszköz ellenőrzi, hogy a számítógép megfelel-e az Előfeltételek szakaszban ismertetett követelményeknek. Az előfeltételek teljesülése esetén az eszköz az alábbi műveleteket hajtja végre:

  1. Megvizsgálja, hogy a trójai program hozzáad-e bejegyzéseket a rendszerleíró adatbázis következő alkulcsaihoz:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. Az eszköz a memóriában a Backdoor:Win32/Berbew trójai program fő összetevőjének jelenlétére utaló bizonyítékok után kutat. Ha ezeket megtalálja, a folyamat leáll.

  3. Az eszköz megkeresi a trójai program által létrehozott következő adatfájlokat. Ezek a fájlok érzékeny személyes adatokat is tartalmazhatnak. Az eszköz törli a fájlokat.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. Az eszköz törli a Backdoor:W32/Berbew trójai programmal társított összes fájlt. Ezek egyébként az 1. és 2. lépésben azonosított fájlok.

  5. Az eszköz eltávolítja az 1. lépésben azonosított rendszerleíró bejegyzéseket. Ha egy Berbew rendszerleíró azonosító nem egy merevlemezen található fájlra mutat, az eltávolítóeszköz nem távolítja el az árvává vált rendszerleíró azonosítót, mivel az nem tud sérülést okozni, ha a vele társított fájl nem található meg a merevlemezen.

  6. Működése részeként a trójai program rejtett ablakokban elindítja a Microsoft Internet Explorer két példányát. A program ezekben az ablakokban próbál csatlakozni az ártó szándékú webhelyekhez. Az egyik példány az ellopott személyes adatok feltöltésével próbálkozik, míg a másik a trójai programhoz készült szoftverfrissítéseket keresi. Ha az eszköz érzékeli a Backdoor:W32/Berbew trójai program jelenlétét a rendszerben, az Internet Explorer összes futó példányát leállítja.

  7. Az eszköz megjelenít egy üzenetet, melyben ismerteti az érzékelési és eltávolítási folyamat kimenetelét. A következő listában a lehetséges üzeneteket és azok jelentését találja.

    Üzenet

    Jelentés

    No infection detected. (Nem érzékelhető fertőzés.)

    Az eszköz nem érzékelte, hogy a Backdoor:Win32/Berbew trójai program jelen lenne a számítógépen.

    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated. (A Backdoor:Win32/Berbew.gen sikeresen eltávolítva. Az ártó célú kommunikáció megelőzése érdekében az Internet Explorer minden példánya le lett állítva.)

    Az eszköz eltávolította a Backdoor:Win32/Berbew trójai programot. Nincs szükség további műveletekre.

    This tool must be run by an administrator. (Az eszközt egy rendszergazdának kell futtatnia.)

    Ismételten be kell jelentkezni a rendszerbe, mégpedig rendszergazdaként.

    Fatal error, please review log file. (Súlyos hiba – tekintse meg a naplófájlt.)

    További információért tanulmányozza a %Windir%\Debug\Berbcln.log fájlt.

    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (A Backdoor:/W32/Berbew.gen trójai program érzékelve, de nem távolítható el.)

    Próbálkozzon az eszköz ismételt futtatásával, és az esetleges hibákkal kapcsolatos információkért tekintse meg a naplófájlt.

    This tool requires Windows 2000 or Windows XP. (Az eszköz csak Windows 2000 és Windows XP rendszeren futtatható.)

    Az eszközt csak a Windows 2000 és a Windows XP operációs rendszerek támogatják.

    Incorrect Windows version (Win32s) (Nem megfelelő Windows-verzió (Win32s))

    Az eszközt a Win32s eszközzel futó Windows 3.1 rendszerek nem támogatják.

    Az üzenetpanel bezárását követően az eltávolítóeszköz kilép, és törli az ideiglenes mappából a Berbcln.exe fájlt. Ezt követően a Windows-KB873018-ENU-V1.exe fájl saját kezűleg törölhető.

  8. Az eltávolítóeszköz egy Berbcln.log nevű naplófájlt hoz létre a %Windir%\Debug mappában. A naplófájl segítségével megállapítható, hogy a rendszer észlelte, majd eltávolította-e a Backdoor:W32/Berbew.gen trójai program okozta fertőzéseket.

Parancssori kapcsolók

Az eltávolítóeszköz telepítője a következő parancssori kapcsolók használatát támogatja:

  • /Q – Csendes mód, vagy az üzenetek megjelenítésének mellőzése a fájlok kibontása során.

  • /Q:U – Felhasználói csendes mód. Ekkor egyes párbeszédpanelek megjelennek a felhasználó előtt.

  • /Q:A – Rendszergazdai csendes mód. Ilyenkor egyetlen párbeszédpanel sem jelenik meg a felhasználók előtt.

  • /T: elérési út – A Download.Ject vírust érzékelő program telepítője által használt ideiglenes mappa helyének megadása, vagy a fájlok kibontásához használandó célmappa megadása (a /C kapcsolóval együtt használva).

  • /C – A fájlok kibontása telepítés nélkül. Ha a /T: elérési út kapcsoló nincs megadva, meg kell adni a célmappát.

  • /C: parancs – Az eszköz telepítéséhez használni kívánt másik Setup.inf fájl vagy egy .exe fájl nevének és elérési útjának megadása.

  • /R:N – Újraindítás mellőzése a telepítés végén.

  • /R:I – Újraindítás szükségessége esetén engedélykérés az újraindításra a felhasználótól, kivéve ha a /Q:A kapcsoló is meg van adva.

  • /R:A – A számítógép újraindítása a telepítés befejeztével.

  • /R:S – A számítógép újraindítása a telepítés végén a felhasználó megkérdezése nélkül.

További információt a támogatott telepítési kapcsolókról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

197147 Parancssori kapcsolók az IExpress szoftverfrissítési csomagokhoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az eltávolítóeszköz az alábbi parancssori kapcsoló használatát támogatja:

  • /S – Az eszköz csendes módjának engedélyezése. Ez a fertőzés állapotáról értesítő, az eszköz futtatását követően megjelenő párbeszédpanel megjelenítésének letiltását jelenti.

Információ az eltávolításhoz

Az eltávolítóeszköz futtatása után a rendszer automatikusan törli a Berbcln.exe fájlt annak ideiglenes mappájából. Az eszköz telepítőcsomagját az eszköz telepítését követően nyugodtan törölheti.

Megjegyzés: A Download.Ject vírust érzékelő és eltávolító eszköz a telepítés után nem jelenik meg a Vezérlőpultról elérhető Programok telepítése és törlése párbeszédpanel Jelenleg telepített programok listájában.

További segítségre van szüksége?

Ismeretek bővítése

Oktatóanyagok megismerése >

Új szolgáltatások listájának lekérése

CSATLAKOZZON A MICROSOFT 365 INSIDERSHEZ >

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?

Köszönjük a visszajelzését!

×