Lo strumento non è più disponibile, in quanto è stato sostituito dallo strumento Microsoft Windows per la rimozione di software dannoso.
Per ulteriori informazioni sullo strumento per la rimozione di software dannoso, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

890830 L'utilità di Microsoft Windows per la rimozione di software dannoso facilita l'eliminazione di specifici componenti software dannosi dai computer che eseguono Windows Server 2003, Windows XP o Windows 2000

Sommario

Si è a conoscenza di un programma di tipo Trojan horse denominato W32/Berbew (varianti A-H) che viene scaricato dopo che un computer client basato su Microsoft Windows è stato infettato dal software dannoso Download.Ject. Questo problema si verifica quando un utente visita un sito Web ospitato su un server basato su Microsoft Internet Information Services (IIS) che è stato infettato da JS.Scob. Le pagine Web che vengono scaricate nel computer dell'utente contengono infatti un programma JavaScript aggiuntivo che scarica il virus di tipo Trojan horse Backdoor:W32/Berbew, anche noto con il nome di Backdoor-AXJ, Webber o Padodor. Quando questo Trojan horse viene eseguito nel computer dell'utente, svolge numerose azioni, tra cui:

  • Monitora l'accesso a Internet. Quando l'utente visita il sito Web di un provider di servizi Internet oppure un sito Web contenente informazioni di natura finanziaria, il virus acquisisce informazioni riservate, quali account di accesso, password e altri tipi di informazioni, e le invia a un server Web da dove l'autore del Trojan horse può recuperarle. Installa un server proxy che configura il computer dell'utente in modo da poterlo utilizzare per inoltrare ad esempio posta indesiderata.

  • Visualizza finestre di dialogo contraffatte, in cui viene chiesto all'utente di immettere informazioni riservate, quali codici di carte di credito o di bancomat. Queste informazioni vengono quindi inviate a un server Web dove l'autore del Trojan horse può recuperarle.

Microsoft ha rilasciato uno strumento per la rimozione delle varianti del virus di tipo Trojan horse Backdoor:W32/Berbew dal computer. È possibile scaricare questo strumento dall'Area download Microsoft ed eseguirlo nel computer per rimuovere infezioni causate da Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G e Backdoor:W32/Berbew.H.Aggiornamenti tecnici

  • 8 febbraio 2005: Microsoft ha sostituito questo strumento con lo strumento Microsoft Windows per la rimozione di software dannoso.
    Per ulteriori informazioni sullo strumento per la rimozione di software dannoso, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

    890830 L'utilità di Microsoft Windows per la rimozione di software dannoso facilita l'eliminazione di specifici componenti software dannosi dai computer che eseguono Windows Server 2003, Windows XP o Windows 2000

  • 14 luglio 2004: È stato aggiornato il contenuto delle sezioni "Sommario", "Risoluzione" e "Informazioni sull'utilizzo".

  • 13 luglio 2004: Microsoft ha rilasciato la versione 1.0 dello strumento di rilevamento e rimozione del payload di Download.Ject disponibile nell'Area download Microsoft. La versione 1.0 consente di rilevare e rimuovere tutte le varianti attualmente note (dalla A alla H) del virus Trojan horse Backdoor:W32/Berbew.

Sintomi

È possibile che si verifichi uno o più dei seguenti sintomi:

  • Le prestazioni del computer subiscono un peggioramento oppure la connessione di rete è lenta.

  • Quando si visitano siti Web di provider di servizi Internet o contenenti informazioni di natura finanziaria, vengono visualizzati messaggi o finestre di dialogo in cui viene chiesto di specificare il proprio numero di bancomat o le informazioni della propria carta di credito.

Cause

Questo comportamento si verifica perché il computer è stato infettato dal virus Trojan horse Backdoor:W32/Berbew, a sua volta inserito nel computer dal virus Trojan horse Download.Ject. Per ulteriori informazioni su come determinare se il computer è stato infettato da una variante del virus Backdoor:W32/Berbew, visitare il seguente sito Web Microsoft:

http://www.microsoft.com/italy/security/incident/download_ject.mspx

Risoluzione

L'utilizzo di software antivirus con definizioni delle firme dei virus aggiornate impedisce l'infezione del computer da parte del virus Backdoor:W32/Berbew.

Importante Si consiglia inoltre l'utilizzo di un firewall Internet e di un programma antivirus aggiornato, oltre a mantenere aggiornati Windows e i programmi installati.

Per ulteriori informazioni sul ripristino e sulla prevenzione da infezioni da virus, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito:

129972 Virus informatici: descrizione, prevenzione, ripristino

Informazioni sul download e sull'installazione

Prerequisiti

Lo strumento di rilevamento e rimozione del payload di Download.Ject prevede i seguenti prerequisiti:

  • Nel computer deve essere in esecuzione Microsoft Windows 2000 SP2 o versioni successive oppure una versione a 32 bit di Microsoft Windows XP.

  • È necessario effettuare l'accesso come amministratore del computer o come membro del gruppo degli amministratori.

Per ulteriori informazioni su come determinare se il computer esegue una versione a 32 bit o una versione a 64 bit di Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

827218 HOW TO: Determinare se nel computer è in esecuzione una versione a 32 o 64 bit di Windows XP

Se tali prerequisiti non vengono soddisfatti, l'installazione non andrà a buon fine e verrà visualizzato un messaggio di errore. Per ulteriori informazioni sul messaggio di errore, visualizzare il seguente file di registro:

%Windir%\Debug\Berbcln.logSi raccomanda inoltre di installare l'aggiornamento di Windows per disattivare l'oggetto ADODB.stream in Internet Explorer prima di eseguire questo strumento di rimozione. Sebbene lo strumento di rimozione consenta di rimuovere il virus Trojan horse dai computer infetti, non impedirà al sistema di essere attaccato di nuovo se il computer è ancora vulnerabile. L'installazione di questo aggiornamento critico aiuta a impedire il download di software dannoso da un server infettato da Download.Ject.

Per ulteriori informazioni sull'aggiornamento di Windows che consente di disattivare l'oggetto ADODB.stream, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito:

870669 Disattivazione dell'oggetto ADODB.Stream da Internet Explorer

Richiesta di riavvio

Dopo l'installazione di questo strumento non è necessario riavviare il computer.

Informazioni sull'utilizzo

Importante Prima di effettuare i passaggi successivi, assicurarsi di aver eseguito il backup di tutti i dati importanti.

Quando si installa lo strumento di rilevamento e rimozione del payload di Download.Ject e si accetta il Contratto di licenza con l'utente finale (EULA), il file Berbcln.exe viene estratto in una directory temporanea e viene eseguito lo strumento di rimozione. Viene verificato che il computer risponda ai prerequisiti elencati nella sezione "Prerequisiti". Se i prerequisiti vengono soddisfatti, tramite questo strumento vengono effettuate le seguenti operazioni:

  1. Vengono esaminate le sottochiavi del Registro di sistema elencate di seguito alla ricerca di voci aggiunte dal virus Trojan horse:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. Viene effettuata una ricerca in memoria del componente principale del virus Backdoor:Win32/Berbew. Se tale componente viene trovato, il processo ha termine.

  3. Viene eseguita una ricerca dei file di dati elencati di seguito, creati dal virus Trojan horse, che possono contenere dati personali riservati. Se trovati, questi file vengono automaticamente eliminati.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. Vengono eliminati tutti i file associati al virus Backdoor:W32/Berbew, identificati ai passaggi 1 e 2.

  5. Vengono rimosse le voci di registro identificate al passaggio 1. Se un valore di registro relativo al virus Berbew non fa più riferimento a un file presente sul disco rigido, il valore di registro "orfano" non viene rimosso in quanto non potrà causare danni in assenza del relativo file sul disco rigido.

  6. Il virus Trojan horse esegue due istanze di Microsoft Internet Explorer in finestre nascoste, che cercano di connettersi a siti Web dannosi. Un'istanza tenta di caricare i dati personali sottratti, mentre l'altra va alla ricerca di aggiornamenti software Trojan horse. Se lo strumento rileva la presenza del virus Backdoor:W32/ Berbew nel computer, vengono terminate tutte le istanze di Internet Explorer attualmente in esecuzione.

  7. Al termine, viene visualizzato un messaggio in cui è descritto l'esito del processo di rilevamento o di rimozione. Nell'elenco seguente sono riportati i messaggi che potrebbero essere visualizzati e il relativo significato:

    Messaggio

    Significato

    No infection detected

    Non è stata rilevata la presenza del virus Trojan horse Backdoor:Win32/Berbew nel computer.

    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.

    Il virus Backdoor:Win32/Berbew è stato rimosso. Non sono richieste ulteriori operazioni.

    This tool must be run by an administrator.

    È necessario disconnettersi e accedere nuovamente come amministratore.

    Fatal error, please review log file.

    Per ulteriori informazioni, vedere %Windir%\Debug\Berbcln.log.

    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.

    Provare a eseguire di nuovo lo strumento e verificare se sono presenti errori nel file di registro.

    This tool requires Windows 2000 or Windows XP.

    Questo strumento non è supportato nelle versioni di Windows diverse da Windows 2000 e Windows XP.

    Incorrect Windows version (Win32s)

    Questo strumento non è supportato su Windows 3.1 con Win32s.

    Quando si chiude la finestra di messaggio, lo strumento di rimozione viene chiuso e il file Berbcln.exe eliminato dalla cartella temporanea. È possibile, a questo punto, rimuovere manualmente il file Windows-KB873018-ENU-V1.exe.

  8. Durante l'esecuzione dello strumento di rimozione viene creato un file di registro denominato Berbcln.log nella cartella %Windir%\Debug. Per determinare se le infezioni causate dal virus Backdoor:W32/Berbew.gen sono state rilevate e rimosse, è possibile visualizzare tale file di registro.

Opzioni della riga di comando

Il programma di installazione dello strumento di rimozione supporta le seguenti opzioni della riga di comando:

  • /Q - Consente di specificare la modalità non interattiva, in cui non viene visualizzato alcun messaggio durante l'estrazione dei file.

  • /Q:U - Consente di utilizzare la modalità non interattiva per l'utente, in cui è possibile visualizzare alcune finestre di dialogo.

  • /Q:A - Consente di utilizzare la modalità non interattiva per l'amministratore, in cui non viene visualizzata alcuna finestra di dialogo all'utente.

  • /T: percorso - Consente di specificare il percorso della cartella temporanea utilizzata dal programma di rilevamento e rimozione del payload di Download.Ject o della cartella di destinazione per l'estrazione dei file, quando viene utilizzato insieme all'opzione /C.

  • /C - Consente di estrarre i file senza installarli. Se /T: percorso non viene specificato, verrà chiesto di indicare una cartella di destinazione.

  • /C: cmd - Consente di specificare il percorso e il nome di un file di installazione inf o exe alternativo da utilizzare per l'installazione dello strumento.

  • /R:N - Consente di non riavviare mai il computer dopo l'installazione.

  • /R:I - Consente di richiedere all'utente di riavviare il computer se è necessario un riavvio, salvo quando viene utilizzato con l'opzione /Q:A.

  • /R:A - Consente di imporre il riavvio del computer dopo l'installazione.

  • /R:S - Consente di imporre il riavvio automatico del computer, senza previa richiesta, al termine dell'installazione.

Per ulteriori informazioni sulle opzioni di installazione supportate, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

197147 Opzioni della riga di comando per i pacchetti di aggiornamento software IExpress

Lo strumento di rimozione supporta le seguenti opzioni della riga di comando:

  • /S - Consente di attivare la modalità non interattiva per lo strumento. Non apparirà quindi la finestra di dialogo relativa allo stato di infezione che viene visualizzata al termine dell'esecuzione dello strumento.

Informazioni sulla rimozione

Il file Berbcln.exe viene eliminato automaticamente dal percorso temporaneo al termine dell'esecuzione dello strumento di rimozione. Dopo aver completato l'installazione dello strumento di rimozione, è possibile eliminare il relativo pacchetto di installazione.

Nota Dopo l'installazione, lo strumento di rilevamento e rimozione del payload di Download.Ject non viene visualizzato nell'elenco dei
Programmi installati nella finestra Installazione applicazioni del Pannello di controllo.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Quanto ti soddisfa la qualità della traduzione?

Cosa ha influito sulla tua esperienza?

Altri commenti e suggerimenti? (Facoltativo)

Grazie per il feedback!

×