เครื่องมือนี้จะไม่พร้อมใช้งาน จะมีการแทนที่ โดย Microsoft Windows Malicious Software Removal Tool สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือการเอาซอฟต์แวร์ที่เป็นอันตราย โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
890830 Microsoft Windows Malicious Software Removal Tool ช่วยกำจัดเฉพาะ ที่พบบ่อยและซอฟต์แวร์ที่เป็นอันตรายจากคอมพิวเตอร์ที่ใช้ Windows Server 2003, Windows XP หรือ Windows 2000
สรุป
Microsoft มีได้เรียนรู้โปรแกรมม้าโทรจันที่ชื่อ W32/Berbew (ตัวแปร A-H) ที่ถูกดาวน์โหลดมาหลังจากที่ติดเครื่องคอมพิวเตอร์ไคลเอ็นต์ที่ใช้ Windows Microsoft Download.Ject มัลแวร์ ปัญหานี้เกิดขึ้นเมื่อผู้เยี่ยมชมเว็บไซต์ที่โฮสต์บนเซิร์ฟเวอร์ที่กำลังเรียกใช้ Microsoft Internet Information Services (IIS) และที่ติดไวรัส โดย JS Scob เว็บเพจที่จะถูกดาวน์โหลดมายังคอมพิวเตอร์ของผู้ใช้ประกอบด้วยโปรแกรม JavaScript เพิ่มเติมที่ดาวน์โหลด Backdoor: W32 / ม้าโทรจัน Berbew Backdoor: W32 / Berbew ถูกเรียกว่า Backdoor AXJ, Webber หรือ Padodor เมื่อม้าโทรจันนี้เรียกใช้บนคอมพิวเตอร์ของผู้ใช้ โปรแกรมทำการดำเนินการหลาย รวมถึงต่อไปนี้:
-
จะตรวจสอบการเข้าถึงอินเทอร์เน็ต เมื่อผู้ใช้เข้าใช้หนึ่งในหลาย ๆ ทางการเงิน หรือ ISP เว็บไซต์ ม้าโทรจันรวบรวมข้อมูลที่สำคัญ เช่นชื่อล็อกอิน รหัสผ่าน และข้อมูลที่สำคัญอื่น ๆ ม้าโทรจันแล้วส่งข้อมูลนั้นไปยังเว็บเซิร์ฟเวอร์สำหรับผู้เขียนของม้าโทรจันเพื่อดึงข้อมูล จะติดตั้งพร็อกซีเซิร์ฟเวอร์ที่คุณสามารถกำหนดค่าของผู้ใช้คอมพิวเตอร์สำหรับการใช้งานเป็นแบบสับเปลี่ยนสำหรับการดำเนินการดังกล่าวเป็นการส่งสแปม
-
เปิดกล่องโต้ตอบการปลอมที่แสดงพร้อมท์ให้ผู้ใช้สามารถป้อนข้อมูลที่เป็นความลับ เช่นรหัสบัตร ATM หรือหมายเลขบัตรเครดิต จากนั้นข้อมูลนี้ถูกส่งไปยังเว็บเซิร์ฟเวอร์สำหรับผู้เขียนของม้าโทรจันเพื่อดึงข้อมูล
Microsoft ได้นำออกใช้เป็นเครื่องมือเพื่อช่วยให้คุณสามารถเอา Backdoor: W32 / ม้าโทรจัน Berbew ย่อยจากคอมพิวเตอร์ของคุณ คุณสามารถดาวน์โหลดเครื่องมือนี้จากศูนย์ดาวน์โหลดของ Microsoft และเรียกใช้บนคอมพิวเตอร์ของคุณเพื่อเอาติด Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C และ Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G และ Backdoor:W32/Berbew.Hโปรแกรมปรับปรุงด้านเทคนิค
-
8 กุมภาพันธ์ 2005: Microsoft แทนเครื่องมือนี้กับการ Microsoft Windows Malicious Software Removal Tool สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือการเอาซอฟต์แวร์ที่เป็นอันตราย โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
890830 Microsoft Windows Malicious Software Removal Tool ช่วยกำจัดเฉพาะ ที่พบบ่อยและซอฟต์แวร์ที่เป็นอันตรายจากคอมพิวเตอร์ที่ใช้ Windows Server 2003, Windows XP หรือ Windows 2000
-
14 กรกฎาคม 2004: "สรุป "การแก้ไข"และ"ข้อมูลการใช้"ส่วนถูกปรับปรุง
-
13 กรกฎาคม 2004: Microsoft นำออกใช้รุ่น 1.0 Download.Ject การตรวจหาสิ่งที่เตรียมไว้และเครื่องมือการเอาไปศูนย์ดาวน์โหลด Microsoft รุ่น 1.0 ตรวจหา และเอาย่อยทั้งหมดในขณะนี้รู้จัก (A ถึง H) ของ Backdoor: W32 / ม้าโทรจัน Berbew
อาการ
คุณอาจพบอย่างน้อยหนึ่งอาการดังต่อไปนี้:
-
ประสิทธิภาพการทำงานของคอมพิวเตอร์จะลดลง หรือการเชื่อมต่อเครือข่ายมีความช้า
-
คุณได้รับข้อความ หรือกล่องโต้ตอบที่ร้องขอ ATM ความปลอดภัยหมายเลขบัตรเครดิตข้อมูลและเมื่อคุณเข้าเยี่ยมชมบางออนไลน์ทางการเงินและ ISP เว็บไซต์
สาเหตุ
ลักษณะการทำงานนี้เกิดขึ้นเนื่องจากคอมพิวเตอร์ของคุณติดไวรัส ด้วย Backdoor: W32 / ม้าโทรจัน Berbew Backdoor: W32/Berbew โดยม้าโทรจัน Download.Ject มีการจัดส่ง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบว่า คอมพิวเตอร์ของคุณติดตัวแปรของ Backdoor: W32 / Berbew แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
การแก้ปัญหา
ซอฟต์แวร์ป้องกันไวรัสกับลายเซ็นที่ทันสมัยอยู่เสมอจะช่วยป้องกันการ Backdoor: W32 / ม้าโทรจัน Berbew ติดไปยังคอมพิวเตอร์ของคุณ
สิ่งสำคัญ เรายังแนะนำให้ คุณใช้ไฟร์วอลล์และโปรแกรมป้องกันไวรัสกับลายเซ็นที่ทันสมัย และที่ คุณเก็บทั้ง Windows และโปรแกรมของคุณทันสมัยอยู่เสมอด้วย
สำหรับข้อมูลเพิ่มเติม เกี่ยวกับวิธีการป้องกันไวรัส และวิธีการกู้คืนจากไวรัส คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
ไวรัสคอมพิวเตอร์129972 : คำอธิบาย การป้องกัน และการกู้คืน
ดาวน์โหลดและข้อมูลการตั้งค่า
ข้อกำหนดเบื้องต้น
ตรวจหาส่วนของข้อมูลของ Download.Ject และเครื่องมือการเอามีการข้อกำหนดเบื้องต้นต่อไปนี้:
-
คอมพิวเตอร์ต้องเรียกใช้ Microsoft Windows 2000 SP2 หรือรุ่นที่ใหม่กว่า หรือ Microsoft Windows XP รุ่น 32 บิต
-
คุณต้องล็อกอิน เป็นผู้ดูแลระบบคอมพิวเตอร์ หรือ เป็นสมาชิกของกลุ่มผู้ดูแลระบบ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบว่า คอมพิวเตอร์ที่ใช้ Windows XP รุ่น 32 บิตหรือรุ่น 64 บิตของ Windows XP คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
827218วิธีตรวจสอบว่า คอมพิวเตอร์ของคุณกำลังเรียกใช้รุ่น 32 บิตหรือระบบปฏิบัติการ Windows รุ่น 64 บิต
ถ้าไม่ตรงตามข้อกำหนดเบื้องต้นเหล่านี้ จะไม่มีทำการติดตั้ง และคุณจะได้รับข้อผิดพลาด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อผิดพลาด ดูล็อกไฟล์ต่อไปนี้:
%Windir%\Debug\Berbcln.logนอกจากนี้ เราขอแนะนำให้ คุณติดตั้งการปรับปรุงของ Windows เมื่อต้องการปิดใช้งานวัตถุ ADODB.stream ใน Internet Explorer ก่อนที่คุณเรียกใช้เครื่องมือการเอาไว้ แม้ว่าเครื่องมือการเอาจะเอาม้าโทรจันจากคอมพิวเตอร์ที่ติดไวรัส ดังกล่าวจะไม่ป้องกันการติดไวรัสอีกครั้งได้ถ้าคอมพิวเตอร์ของคุณจะยังคงมีช่องโหว่ ด้วยการติดตั้งการปรับปรุงที่สำคัญ คุณสามารถช่วยป้องกันการดาวน์โหลดเพิ่มเติมของมัลแวร์จากเซิร์ฟเวอร์ Download.Ject ติดไวรัส
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงของ Windows เมื่อต้องการปิดใช้งานวัตถุ ADODB.stream คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
วิธีการ870669 ADODB การปิดการใช้งาน วัตถุกระแสข้อมูลจาก Internet Explorer
ข้อกำหนดการรีสตาร์ท
คุณไม่จำเป็นต้องรีสตาร์ทเครื่องคอมพิวเตอร์หลังจากที่คุณติดตั้งเครื่องมือนี้
ข้อมูลการใช้งาน
สิ่งสำคัญ ก่อนที่คุณทำตามขั้นตอนเหล่านี้ โปรดตรวจสอบให้แน่ใจว่า คุณได้สำรองข้อมูลสำคัญทั้งหมดของคุณ
เมื่อคุณติดตั้งเครื่องมือการเอาและตรวจหาส่วนของข้อมูลของ Download.Ject และยอมรับข้อตกลงสิทธิ์การใช้งานสำหรับผู้ใช้ (EULA), แพ็คเกจการติดตั้งแยกแฟ้ม Berbcln.exe ไปยังโฟลเดอร์ชั่วคราว และรันเครื่องมือการเอาออกแล้ว เครื่องมือการเอาตรวจสอบว่า คอมพิวเตอร์ของคุณมีคุณสมบัติตรงตามข้อกำหนดเบื้องต้นที่ระบุไว้ในส่วน "ข้อกำหนดเบื้องต้น" ถ้าตรงตามข้อกำหนดเบื้องต้นแบบ เครื่องมือการเอาจะดำเนินการต่อไปนี้:
-
เครื่องมือนี้ตรวจสอบคีย์ย่อยของรีจิสทรีต่อไปนี้สำหรับรายการที่มีเพิ่มม้าโทรจัน:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
-
-
เครื่องมือนี้ค้นหาในหน่วยความจำสำหรับร่องรอยของ Backdoor: Win32 หลัก / ม้าโทรจัน Berbew คอมโพเนนต์ ถ้าเครื่องมือการเอาพบนี้ กระบวนการเสร็จสิ้นแล้ว
-
เครื่องมือที่ค้นหาแฟ้มข้อมูลต่อไปนี้ที่สร้างม้าโทรจัน แฟ้มเหล่านี้อาจประกอบด้วยข้อมูลส่วนบุคคลที่สำคัญ เครื่องมือนี้ลบแฟ้มเหล่านี้
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat -
เครื่องมือนี้ลบแฟ้มทั้งหมดที่เกี่ยวข้องกับ Backdoor: W32 / ม้าโทรจัน Berbew มีระบุแฟ้มเหล่านี้ในขั้นตอนที่ 1 และ 2
-
เครื่องมือนี้ลบรายการรีจิสทรีที่ได้ระบุไว้ในขั้นตอนที่ 1 หากค่ารีจิสทรี Berbew ไม่ชี้ไปยังแฟ้มบนฮาร์ดดิสก์ เครื่องมือการเอาไม่เอาค่ารีจิสทรีที่ถูกละเลยเนื่องจากค่ารีจิสทรีจะไม่ทำให้เกิดความเสียหายใด ๆ ถ้าไม่มีแฟ้มเชื่อมโยงอยู่บนฮาร์ดดิสก์
-
เป็นส่วนหนึ่งของวิธีการดำเนินการ ม้าโทรจันเรียกใช้อินสแตนซ์ที่สองของ Microsoft Internet Explorer ใน windows ที่ซ่อนอยู่ เหล่านี้ windows พยายามเชื่อมต่อไปยังเว็บไซต์ที่เป็นอันตราย อินสแตนซ์หนึ่งพยายามอัปโหลดถูกโจรกรรมข้อมูลส่วนบุคคล และอินสแตนซ์ที่ค้นหาโปรแกรมปรับปรุงซอฟต์แวร์สำหรับม้าโทรจัน ถ้าเครื่องมือตรวจพบ Backdoor: W32 / ม้าโทรจัน Berbew บนเครื่องคอมพิวเตอร์ เครื่องมือการอินสแตนซ์ที่กำลังทำงานอยู่ในปัจจุบันทั้งหมดของ Internet Explorer ที่สิ้นสุดลง
-
เครื่องมือจะแสดงข้อความที่อธิบายผลลัพธ์ของกระบวนการตรวจหาและเอาออก รายการต่อไปนี้ประกอบด้วยข้อความที่คุณอาจได้รับ และจะอธิบายความหมายของพวกเขา
ข้อความ
ความหมาย
ไม่ติดไวรัสที่ตรวจพบ
Backdoor: Win32 / ไม่พบม้าโทรจัน Berbew บนคอมพิวเตอร์เครื่องนี้
เอาออกเรียบ Backdoor:Win32/Berbew.gen โทรจัน เพื่อป้องกันการติดต่อสื่อสารที่เป็นอันตราย อินสแตนซ์ทั้งหมดของ Internet Explorer ถูกยุติทำงาน
Backdoor: Win32 / ม้าโทรจัน Berbew ถูกเอาออก ไม่มีการกระทำเพิ่มเติมที่ถูกต้อง
เครื่องมือนี้ต้องถูกเรียกใช้ โดยผู้ดูแลระบบ
คุณต้องออกจากระบบ และเข้าสู่ระบบอีกครั้งในฐานะผู้ดูแล
ข้อผิดพลาดที่ร้ายแรง โปรดตรวจทานแฟ้มบันทึก
ดูไดเรกทอรี %Windir%\Debug\Berbcln.log สำหรับข้อมูลเพิ่มเติม
ตรวจพบโทรจัน Backdoor:/W32/Berbew.gen แต่ไม่สามารถเอาออก
มีความพยายามที่จะเรียกใช้เครื่องมืออีกครั้ง และตรวจสอบข้อผิดพลาดในล็อกไฟล์
เครื่องมือนี้จำเป็นต้องใช้ Windows 2000 หรือ Windows XP
เครื่องมือนี้ไม่ได้รับการสนับสนุนบนเวอร์ชันของ Windows อื่นนอกเหนือจาก Windows 2000 และ Windows XP
Windows รุ่นที่ไม่ถูกต้อง (Win32s)
เครื่องมือนี้ไม่ได้รับการสนับสนุนบน Windows 3.1 ด้วย Win32s
เมื่อคุณปิดกล่องข้อความ เครื่องมือการเอาออกจาก และแฟ้ม Berbcln.exe จะถูกลบออกจากโฟลเดอร์ชั่วคราว ขณะนี้คุณสามารถลบแฟ้ม Windows-KB873018-ENU-V1.exe ด้วยตนเอง
-
เครื่องมือการเอาออกสร้างแฟ้มบันทึกชื่อ Berbcln.log ในโฟลเดอร์ %Windir%\Debug คุณสามารถดูแฟ้มบันทึกนี้เพื่อกำหนดว่าถ้าติด Backdoor:W32/Berbew.gen ตรวจพบ และถูกเอาออก
สวิตช์บรรทัดคำสั่ง
โปรแกรมติดตั้งเครื่องมือการเอาออกสนับสนุนการสลับบรรทัดคำสั่งต่อไปนี้:
-
/Q - ใช้โหมด quiet หรือไม่แสดงข้อความเมื่อมีการขยายแฟ้มต่าง ๆ
-
/Q:U - โหมด user-quiet ใช้ โหมด user-quiet แสดงกล่องโต้ตอบบางอย่างให้กับผู้ใช้
-
/Q:A - ใช้โหมด quiet ผู้ดูแลระบบ โหมด quiet ผู้ดูแลระบบไม่ปรากฏกล่องโต้ตอบใด ๆ ต่อผู้ใช้
-
/T:
เส้นทาง- ระบุตำแหน่งของโฟลเดอร์ชั่วคราวที่ใช้ โดยโปรแกรมตรวจหาส่วนของข้อมูลของ Download.Ject และติดตั้งเครื่องมือการเอาออก หรือระบุโฟลเดอร์เป้าหมายสำหรับการดึงข้อมูลไฟล์ (เมื่อใช้สวิตช์นี้ร่วมกับสวิตช์/C ) -
/C - ขยายแฟ้ม โดยไม่มีการติดตั้ง If /T:
ไม่ได้ระบุเส้นทางได้รับพร้อมท์ให้ระบุโฟลเดอร์เป้าหมาย -
/C:
คำสั่ง- ระบุพาธและชื่อของแฟ้ม Setup.inf อื่นหรือเป็นแฟ้ม.exe เพื่อใช้ในการติดตั้งเครื่องมือ -
/R: n - ไม่รีสตาร์ทคอมพิวเตอร์หลังการติดตั้ง
-
/R: ฉัน-แสดงพร้อมท์ผู้ใช้ให้รีสตาร์ทคอมพิวเตอร์หากจำเป็น ยกเว้นเมื่อใช้สวิตช์นี้กับสวิตช์/Q:A
-
/R:A - เสมอให้รีสตาร์ทคอมพิวเตอร์หลังการติดตั้ง
-
/R: s รี- รีสตาร์ทคอมพิวเตอร์หลังการติดตั้งโดยไม่มีการพร้อมท์ผู้ใช้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสวิตช์การติดตั้งการสนับสนุน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
197147สวิตช์บรรทัดคำสั่งสำหรับแพคเกจการปรับปรุงซอฟต์แวร์ IExpress
เครื่องมือการเอาสนับสนุนสวิตช์บรรทัดคำสั่งต่อไปนี้:
-
/S - เปิดใช้งานโหมด silent สำหรับเครื่องมือนี้ สวิตช์นี้ไม่ใส่กล่องโต้ตอบสถานะการติดไวรัสที่คุณได้รับหลังจากที่มีการเรียกใช้เครื่องมือนี้
ข้อมูลการเอาออก
แฟ้ม Berbcln.exe จะถูกลบจากตำแหน่งที่ตั้งชั่วคราวโดยอัตโนมัติหลังจากเรียกใช้เครื่องมือการเอา คุณสามารถลบแพ็คเกจการติดตั้งเครื่องมือหลังจากที่คุณติดตั้งเครื่องมือการเอา
หมายเหตุ หลังจากที่คุณติดตั้งเครื่องมือการเอาและตรวจหาส่วนของข้อมูลของ Download.Ject ไม่ปรากฏในรายการโปรแกรมที่ติดตั้งในเครื่องมือเพิ่ม/เอาโปรแกรมออก'ใน'แผงควบคุม'
ข้อมูลเพิ่มเติม
ในรุ่นที่ใหม่กว่า Robocopy เช่น XP010 รุ่นสวิตช์/SECFIXได้รับการสนับสนุน เมื่อต้องการรีเฟรชข้อมูลความปลอดภัยสำหรับปลายทางที่มีอยู่ แฟ้มและโฟลเดอร์โดยไม่คัดลอกแฟ้มข้อมูล ใช้/ISสลับร่วมกับ/COPYสลับ โดยไม่มีค่าสถานะ D ตัวอย่างเช่น/IS /COPY:SOUรีเฟรชข้อมูลความปลอดภัยทั้งหมดสำหรับแฟ้มที่เลือกไว้ทั้งหมดโดยไม่คัดลอกแฟ้มข้อมูลใด ๆ สำหรับข้อมูลเพิ่มเติม ให้ดูหัวข้อ "เลือกที่จะคัดลอกแฟ้มข้อมูล" ในแฟ้ม Robocopy.doc
