Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
873018 Download.Ject Payload Detection and Removal Tool
Dieses Tool steht nicht mehr zur Verfügung. Es wurde durch das Microsoft Windows-Tool zum Entfernen bösartiger Software ersetzt. Weitere Informationen zum Tool zum Entfernen bösartiger Software finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830 Microsoft Windows-Tool zum Entfernen bösartiger Software unterstützt das Entfernen spezifischer, weit verbreiteter bösartiger Software von Computern mit Windows Server 2003, Windows XP oder Windows 2000
Zusammenfassung
Microsoft hat von der Existenz eines Trojaners mit dem Namen "W32/Berbew" (Varianten A bis H) Kenntnis erhalten. Dieser Trojaner wird heruntergeladen, nachdem ein Windows-basierter Computer mit der "Download.Ject"-Malware infiziert wurde. Dieses Problem tritt auf, wenn ein Benutzer eine Website besucht, die von einem Microsoft IIS-Server bereitgestellt wird und dieser Server mit dem Virus "JS.Scob" infiziert ist. Die Webseiten, die von diesem infizierten Computer aufgerufen werden, enthalten ein zusätzliches JavaScript-Programm, das den Backdoor:W32/Berbew-Trojaner auf den Computer des Benutzers herunterlädt. Backdoor:W32/Berbew ist ebenfalls unter den Namen "Backdoor-AXJ", "Webber" oder "Padodor" bekannt. Wenn dieser Trojaner auf dem Computer des Benutzers ausgeführt wird, führt er u. a. die folgenden Aktionen aus:
-
Er überwacht den Internetzugriff. Wenn der Benutzer eine oder mehrere Finanz- oder ISP-Websites besucht, zeichnet der Trojaner Daten wie z. B. Anmeldenamen, Kennwörter und andere kritische Informationen auf. Der Trojaner sendet diese Informationen dann an einen Webserver, wo sie vom Autor des Trojaners abgerufen werden können. Er installiert einen Proxyserver, der den Computer des Benutzers so konfiguriert, dass er für Aktionen wie beispielsweise das Weiterleiten von Spam-Mails genutzt werden kann.
-
Er öffnet Dialogfelder, in denen der Benutzer aufgefordert wird, z. B. Pinnummern von EC-Karten oder Kreditkartennummern einzugeben. Diese Informationen werden dann an einen Webserver gesendet, wo sie vom Autor des Trojaners abgerufen werden können.
Microsoft stellt ein Programm bereit, das Sie dabei unterstützt, die Varianten des Trojaners "Backdoor:W32/Berbew" von Ihrem Computer zu entfernen. Sie können dieses Programm aus dem Microsoft Download Center herunterladen und auf Ihrem Computer ausführen, um Infektionen durch Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G und Backdoor:W32/Berbew.H von Ihrem Computer zu entfernen.Technische Aktualisierungen
-
08.02.2005: Dieses Tool wurde durch das Microsoft Windows-Tool zum Entfernen bösartiger Software ersetzt. Weitere Informationen zum Tool zum Entfernen bösartiger Software finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830 Microsoft Windows-Tool zum Entfernen bösartiger Software unterstützt das Entfernen spezifischer, weit verbreiteter bösartiger Software von Computern mit Windows Server 2003, Windows XP oder Windows 2000
-
14.07.2004: Die Abschnitte "Zusammenfassung", "Lösung" und "Verwendung" wurden aktualisiert.
-
13.07.2004: Microsoft stellt Version 1.0 des Programms zum Erkennen und Entfernen der Download.Ject-Payload im Microsoft Download Center bereit. Version 1.0 erkennt und entfernt alle derzeit bekannten Varianten (A bis H) des Trojaners "Backdoor:W32/Berbew".
Problembeschreibung
Sie stellen möglicherweise eines oder mehrere der folgenden Symptome fest:
-
Die Leistung des Computers hat sich verschlechtert, oder die Netzwerkverbindung ist langsam.
-
Ihnen werden Meldungen oder Dialogfelder angezeigt, die Sie beim Besuch bestimmter Finanz- und ISP-Websites zur Eingabe von Pinnummern von EC-Karten und Kreditkartendaten auffordern.
Ursache
Dieses Verhalten ist darauf zurückzuführen, dass Ihr Computer mit dem Trojaner "Backdoor:W32/Berbew" infiziert ist. Backdoor:W32/Berbew wird durch den Trojaner "Download.ject" heruntergeladen. Weitere Informationen darüber, wie Sie feststellen können, ob Ihr Computer durch eine Variante von Backdoor:W32/Berbew infiziert ist, finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/germany/sicherheit/incident/download_ject.mspx
Lösung
Die Verwendung von Antivirensoftware mit aktuellen Virensignaturen kann eine Infektion Ihres Computer durch den Trojaner "Backdoor:W32/Berbew" verhindern helfen.
Wichtig: Microsoft empfiehlt außerdem die Verwendung einer Internetfirewall und eines Antivirenprogramms mit aktuellen Virensignaturen. Außerdem sollten Sie sowohl Windows als auch Ihre Programme stets auf dem neuesten Stand halten.
Weitere Informationen darüber, wie Sie Viren verhindern und Infektionen durch Viren beheben können, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
129972 Computerviren: Beschreibung, Vorbeugung und Wiederherstellung
Informationen zu Download und Installation
Voraussetzungen
Für die Verwendung des Programms zum Erkennen und Entfernen der Download.Ject-Payload bestehen folgende Voraussetzungen:
-
Auf dem Computer muss Microsoft Windows 2000 SP2 oder höher oder eine 32-Bit-Version von Microsoft Windows XP installiert sein.
-
Sie müssen sich als Computeradministrator oder als Mitglied der Administratorgruppe anmelden.
Weitere Informationen darüber, wie Sie feststellen können, ob auf einem Computer eine 32-Bit-Version von Windows XP oder eine 64-Bit-Version von Windows XP ausgeführt wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
827218 HOW TO: bestimmen Sie, ob auf ihrem Computer eine 32-Bitversion oder eine 64-Bit-Version Version von Windows XP verwandt wird
Wenn diese Voraussetzungen nicht erfüllt sind, funktioniert die Installation nicht, und eine Fehlermeldung wird angezeigt. Weitere Informationen über diese Fehlermeldung finden Sie in folgender Protokolldatei:
%Windir%\Debug\Berbcln.logMicrosoft empfiehlt außerdem, das Windows-Update zur Deaktivierung des Objekts "ADODB.stream" im Internet Explorer zu installieren, bevor Sie das Programm zum Entfernen des Trojaners ausführen. Zwar entfernt das Programm den Trojaner von infizierten Computern, verhindert jedoch keine Neuinfektion, wenn Ihr Computer weiterhin anfällig ist. Durch die Installation des wichtigen Updates können Sie weitere Downloads von Malware von einem durch Download.Ject infizierten Server verhindern.
Weitere Informationen über das Windows-Update zur Deaktivierung des Objekts "ADODB.stream" finden Sie in folgendem Artikel der Microsoft Knowledge Base:
870669 So deaktivieren Sie das Objekt "ADODB.Stream" im Internet Explorer
Neustart
Sie müssen Ihren Computer nicht neu starten, nachdem Sie dieses Tool installiert haben.
Verwendung
Wichtig: Sichern Sie alle wichtigen Daten, bevor Sie mit den folgenden Schritten fortfahren.
Wenn Sie das Programm zum Erkennen und Entfernen der Download.Ject-Payload installieren und den Endbenutzer-Lizenzvertrag (EULA) akzeptieren, extrahiert das Installationspaket die Datei "Berbcln.exe" in einen temporären Ordner. Anschließend wird das Programm ausgeführt. Das Programm überprüft, ob Ihr Computer die Voraussetzungen erfüllt, die im Abschnitt "Voraussetzungen" aufgeführt sind. Wenn die Voraussetzungen erfüllt sind, führt das Programm die folgenden Schritte durch:
-
Es untersucht die Registrierung auf folgende Einträge, die der Trojaner hinzugefügt hat:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
-
-
Das Programm sucht im Speicher nach Hinweisen auf die Hauptkomponente des Trojaners "Backdoor:Win32/Berbew". Wenn es solche Hinweise findet, wird der Prozess beendet.
-
Das Programm sucht nach folgenden Datendateien, die der Trojaner erstellt hat. Diese Dateien können kritische persönliche Daten enthalten. Das Programm löscht diese Dateien.
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat -
Das Programm löscht alle Dateien, die mit dem Trojaner "Backdoor:W32/Berbew" zusammenhängen. Diese Dateien wurden in den Schritten 1 und 2 identifiziert.
-
Das Tool entfernt die Registrierungseinträge, die im Schritt 1 gefunden wurden. Wenn ein Berbew-Registrierungswert nicht mehr auf eine Datei auf der Festplatte verweist, wird der verwaiste Registrierungswert nicht entfernt, da er keinen Schaden anrichtet, wenn die zugehörige Datei auf der Festplatte nicht mehr vorhanden ist.
-
Als Bestandteil seiner Vorgehensweise führt der Trojaner zwei Instanzen von Internet Explorer in versteckten Fenstern aus. Diese Fenster versuchen, eine Verbindung zu schädlichen Websites herzustellen. Eine Instanz versucht, gestohlene persönliche Daten hochzuladen, die andere sucht nach Softwareupdates für den Trojaner. Wenn das Programm den Trojaner "Backdoor:W32/ Berbew" auf dem Computer findet, beendet es alle aktiven Instanzen von Internet Explorer.
-
Eine Meldung wird angezeigt, die das Ergebnis des Erkennungs- und Entfernungsvorgangs beschreibt. Die folgende Liste enthält die Meldungen, die angezeigt werden können, und erläutert sie:
Meldung
Bedeutung
No infection detected (Keine Infektion gefunden)
Der Trojaner "Backdoor:Win32/Berbew" wurde auf diesem Computer nicht gefunden.
Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.
The Backdoor:Win32/Berbew Trojan horse was removed. Sie müssen keine weiteren Schritte unternehmen.
This tool must be run by an administrator. (Dieses Programm muss von einem Administrator ausgeführt werden.)
Sie müssen sich abmelden und als Administrator wieder anmelden.
Fatal error, please review log file. (Schwerer Fehler, bitte prüfen Sie die Protokolldatei.)
Weitere Informationen finden Sie im Verzeichnis "%Windir%\Debug\Berbcln.log".
Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (Trojaner "Backdoor:/W32/Berbew.gen" wurde gefunden, konnte jedoch nicht entfernt werden.)
Versuchen Sie nochmals, das Programm auszuführen, und prüfen Sie die Protokolldatei auf Fehler.
This tool requires Windows 2000 or Windows XP. (Dieses Programm setzt Windows 2000 oder Windows XP voraus.)
Dieses Programm wird von anderen Windows-Versionen als Windows 2000 und Windows XP nicht unterstützt.
Incorrect Windows version (Win32s) (Falsche Windows-Version (Win32s))
Dieses Programm wird von Windows 3.1 mit Win32s nicht unterstützt.
Wenn Sie das Dialogfeld mit der Meldung schließen, wird das Programm beendet, und die Datei "Berbcln.exe" wird aus dem temporären Ordner entfernt. Jetzt können Sie die Datei "Windows-KB873018-ENU-V1.exe" manuell löschen.
-
Das Programm erstellt im Ordner "%Windir%\Debug" eine Protokolldatei namens "Berbcln.log". Sie können diese Protokolldatei anzeigen, um zu ermitteln, ob Infektionen durch "Backdoor:W32/Berbew.gen" gefunden und entfernt wurden.
Befehlszeilenoptionen
Das Installationsprogramm für das Entfernungsprogramm unterstützt folgende Befehlszeilenoptionen:
-
/Q - Aktiviert den stillen Modus oder unterdrückt Meldungen beim Extrahieren von Dateien.
-
/Q:U - Stiller Benutzermodus. Bei diesem Modus werden dem Benutzer einige Dialogfelder angezeigt.
-
/Q:A - Stiller Administratormodus. Bei diesem Modus werden dem Benutzer keinerlei Dialogfelder angezeigt.
-
/T: Pfad - Gibt den Speicherort des temporären Ordners an, der vom Programm zum Erkennen und Entfernen der Download.Ject-Payload verwendet wird, oder den Zielordner für das Extrahieren von Dateien (wenn diese Option in Verbindung mit der Option /C verwendet wird).
-
/C - Extrahiert die Dateien, ohne sie zu installieren. Falls /T: Pfad
nicht angegeben wird, werden Sie aufgefordert, einen Zielordner anzugeben. -
/C: cmd - Legt Pfad und Dateinamen für die alternative Datei "Setup.inf" oder die EXE-Datei für die Installation des Programms fest.
-
/R:N - Der Computer wird nach der Installation niemals neu gestartet.
-
/R:I Der Benutzer wird gegebenenfalls aufgefordert, den Computer neu zu starten, außer in Verbindung mit /Q:A.
-
/R:A - Der Computer wird nach der Installation immer neu gestartet.
-
/R:S - Der Computer wird nach der Installation neu gestartet, ohne dass der Benutzer aufgefordert wird, dies zu bestätigen.
Weitere Informationen zu den unterstützten Installationsoptionen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
197147 Befehlszeilenoptionen für IExpress-Softwareupdatepakete
Das Entfernungsprogramm unterstützt die folgende Befehlszeilenoption:
-
/S - Aktiviert den stillen Modus für das Tool. Diese Option unterdrückt das Dialogfeld, das nach Ausführung des Tools den Infektionsstatus anzeigt.
Informationen zur Deinstallation
Die Datei "Berbcln.exe" wird nach Ausführung des Programms automatisch aus ihrem temporären Ordner gelöscht. Sie können das Installationspaket des Tools nach der Installation entfernen.
Hinweis: Das Programm zum Erkennen und Entfernen der Download.Ject-Payload erscheint nach seiner Installation nicht in der Liste Zurzeit installierte Programme (Systemprogramm Software in der Systemsteuerung).
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.