Oppdagelses- og fjerningsverktøy for Download.Ject-nyttelast


Dette verktøyet er ikke lenger tilgjengelig. Det er erstattet av Microsoft Windows-verktøyet for fjerning av skadelig programvare. Hvis du vil ha mer informasjon om verktøyet for fjerning av skadelig programvare, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

890830 Microsoft Windows-verktøyet for fjerning av skadelig programvare hjelper deg med å fjerne bestemt, utbredt og skadelig programvare fra datamaskiner som kjører Windows Server 2003, Windows XP og Windows 2000

Sammendrag


Microsoft har blitt informert om et trojaner-program kalt W32/Berbew (variantene A-H) som lastes ned etter at en Microsoft Windows-basert klientdatamaskin har blitt infisert med Download.Ject-malware. Dette problemet oppstår når en bruker besøker et webområde på en server som kjører Microsoft Internet Information Services (IIS), og har blitt infisert av JS.Scob. Websidene som lastes ned til brukerens datamaskin, inneholder et nytt JavaScript-program som laster ned trojaneren Backdoor:W32/Berbew. Backdoor:W32/Berbew er også kjent som Backdoor-AXJ, Webber og Padodor. Når dette trojaner-programmet kjøres på brukerens datamaskin, utfører den flere handlinger, inkludert følgende:
  • Den overvåker Internett-tilgang. Når brukeren besøker websidene til en av mange finansinstitusjoner eller Internett-leverandører, fanger trojaner-programmet opp følsomme opplysninger som påloggingsnavn, passord og andre følsomme opplysninger. Trojaner-programmet sender deretter disse opplysningene til en webserver, slik at trojanerens forfatter kan få tak i dem. Det installerer en proxy-server som konfigurerer brukerens datamaskin for bruk som en videresender for for eksempel søppelpost.
  • Den åpner falske dialogbokser som ber brukeren om å oppgi konfidensielle opplysninger som for eksempel koder til minibankkort eller kredittkortnumre. Disse opplysningene sendes dereetter til en webserver, slik at trojanerens forfatter kan få tak i dem.
Microsoft har utgitt et verktøy som hjelper deg med å fjerne variantene av trojaneren Backdoor:W32/Berbew fra datamaskinen. Du kan laste ned dette verktøyet fra Microsoft Download Center og kjøre den på datamaskinen for å fjerne infeksjoner av Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, and Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G og Backdoor:W32/Berbew.H.
Tekniske oppdateringer
  • 8. februar 2005: Microsoft har erstattet dette verktøyet med Microsoft Windows-verktøyet for fjerning av skadelig programvare. Hvis du vil ha mer informasjon om Malicious Software Removal Tool, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

    890830 Microsoft Windows-verktøyet for fjerning av skadelig programvare hjelper deg med å fjerne bestemt, utbredt og skadelig programvare fra datamaskiner som kjører Windows Server 2003, Windows XP og Windows 2000

  • 14. juli 2004: avsnittene Oppsummering, Løsning og Bruksinformasjon er oppdatert.
  • 13. juli 2004: Microsoft har utgitt versjon 1.0 av oppdagelses- og fjerningsverktøyet for Download.Ject-nyttelast til Microsoft Download Center. Versjon 1.0 oppdager og fjerner alle for øyeblikket kjente varianter (A til H) av trojaneren Backdoor:W32/Berbew.

Symptom


Ett eller flere av følgende symptomer kan oppstå:
  • Datamaskinytelsen er nedsatt, eller nettverkstilkoblingen er treg.
  • Du mottar meldinger eller dialogbokser som ber om koder til minibank og kredittkortinformasjon når du besøker enkelte webområder for finansinstitusjoner og Internett-leverandører.

Årsak


Denne virkemåten inntreffer fordi datamaskinen er infisert med trojaneren Backdoor:W32/Berbew. Backdoor:W32/Berbew leveres av trojaneren Download.Ject. Du finner mer informasjon om hvordan du finner ut om datamaskinen er infisert med en variant av Backdoor:W32/Berbew på følgende Microsoft-webområde:

Løsning


Antivirus-programvare med oppdaterte signaturer vil bidra til å forhindre trojaneren Backdoor:W32/Berbew i å infisere datamaskinen.

Viktig!  Vi anbefaler også at du bruker en Internett-brannmur og antivirus-programvare med oppdaterte signaturer, og at du holder Windows og programmene dine oppdatert.

Hvis du vil ha mer informasjon om hvordan du forhindrer og gjenoppretter fra virusinfeksjoner, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
129972 Datamaskinvirus: beskrivelse, forebygging og gjenoppretting

Nedlastings- og installasjonsinformasjon

Forutsetninger

Oppdagelses- og fjerningsverktøyet for Download.Ject-nyttelast har følgende forutsetninger:
  • Datamaskinen må kjøre Microsoft Windows 2000 SP2 eller senere eller en 32-biters versjon av Microsoft Windows XP.
  • Du må logge på som datamaskinadministrator eller som medlem av administratorgruppen.
Hvis du vil ha mer informasjon om hvordan du finner ut om en datamaskin kjører en 32-biters eller en 64-biters versjon av Windows XP, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base (denne artikkelen kan være på engelsk):
827218 Slik finner du ut om datamaskinen kjører en 32-biters eller 64-biters versjon av Windows XP

Hvis disse forutsetningene ikke er oppfylt, fungerer ikke installasjonen, og du får en feilmelding. Hvis du vil ha mer informasjon om feilmeldingen, viser du følgende loggfil:
%Windir%\Debug\Berbcln.log
I tillegg anbefaler vi at du installerer Windows-oppdateringen for å deaktivere ADODB.Stream-objektet i Internet Explorer før du kjører fjerningsverktøyet. Selv om fjerningsverktøyet vil fjerne trojaneren fra infiserte datamaskiner, vil den ikke forhindre ny infeksjon hvis datamaskinen fortsatt er sårbar. Ved å installere den kritiske oppdateringen, kan du forhindre flere nedlastinger av malware fra en Download.Ject-infisert server.

Hvis du vil ha mer informasjon om Windows-oppdateringen for å deaktivere ADODB.Stream-objektet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
870669 Slik deaktiverer du ADODB.Stream-objektet fra Internet Explorer

Omstartskrav

Du trenger ikke starte datamaskinen på nytt etter at du har installert dette verktøyet.

Bruksinformasjon

Viktig!  Før du følger disse trinnene, må du kontrollere at du har tatt sikkerhetskopi av alle viktige data.

Når du installerer oppdagelses- og fjerningsverktøyet for Download.Ject-nyttelast, og godtar lisensavtalen for sluttbrukere (EULA), vil installasjonspakken pakke ut filen Berbcln.exe i en midlertidig mappe, og deretter kjøres verktøyet for fjerning. Verktøyet for fjerning kontrollerer at datamaskinen oppfyller forutsetningene som er oppført under Forutsetninger. Hvis forutsetningene er oppfylt, gjør verktøyet for fjerning følgende:
  1. Verktøyet ser i følgende registerundernøkler etter oppføringer som trojaneren har lagt til:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. Verktøyet søker i minnet etter spor av hovedkomponenten for trojaneren Backdoor:Win32/Berbew. Hvis fjerninfsverktøyet finner denne, avsluttes prosessen.
  3. Verktøyet søker etter følgende datafiler opprettet av trojaneren. Disse filene kan inneholde sensitive personlige data. Verktøyet sletter disse filene.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Verktøyet sletter alle filer som er tilknyttet trojaneren Backdoor:W32/Berbew. Disse filene ble identifisert i trinn 1 og 2.
  5. Verktøyet fjerner registeroppføringer som ble identifisert i trinn 1. Hvis en Berbew-registerverdi ikke lenger peker på en fil på harddisken, fjerner ikke fjerningsverktøyet den, siden løse registerverdier ikke gjør noen skade så lenge den tilknyttede filen ikke finnes på harddisken.
  6. Som en del av virkemåten, kjører trojaneren to forekomster av Microsoft Internet Explorer i skjulte vinduer. Disse vinduene prøver å koble til ondsinnede webområder. En forekomst prøver å laste opp stjålne personlige data, den andre forekomsten ser etter programvareoppdateringer for trojaneren. Hvis verktøyet oppdager trojaneren Backdoor:W32/Berbew på datamaskinen, avslutter verktøyet alle kjørende forekomster av Internet Explorer.
  7. Verktøyet viser en melding som beskriver resultatet av søket og fjerningsprosessen. Følgende liste inneholder meldinger du kan få, og hva de betyr.
    MeldingBetydning
    No infection detectedTrojaneren Backdoor:Win32/Berbew ble ikke oppdaget på denne datamaskinen.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.Trojaneren Backdoor:Win32/Berbew ble fjernet. Du trenger ikke gjøre noe mer.
    This tool must be run by an administrator.Du må logge av og logge på på nytt, som en administrator.
    Fatal error, please review log file.Se i mappen %Windir%\Debug\Berbcln.log for mer informasjon.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.Prøv å kjøre verktøyet på nytt, og se etter feil i loggfilen.
    This tool requires Windows 2000 or Windows XP.Dette verktøyet støttes ikke på andre Windows-versjoner enn Windows 2000 og Windows XP.
    Incorrect Windows version (Win32s)Dette verktøyet støttes ikke på Windows 3.1 med Win32s.
    Når du lukker meldingsboksen, avsluttes verktøyet for fjerning, og filen Berbcln.exe slettes fra den midlertidige mappen. Du kan nå slette filen Windows-KB873018-ENU-V1.exe manuelt.
  8. Verktøyet for fjerning oppretter en loggfil med navnet Berbcln.log i mappen %Windir%\Debug. Du kan vise denne loggfilen for å finne ut om Backdoor:W32/Berbew.gen-infeksjoner ble funnet og fjernet.

Kommandolinjebrytere

Installasjonsprogrammet for verktøyet for fjerning støtter følgende kommandolinjebrytere:
  • /Q – Bruk stille modus eller undertrykk meldinger når filene pakkes ut.
  • /Q:U – Bruk stille brukermodus. Stille brukermodus viser noen dialogbokser for brukeren.
  • /Q:A – Bruk stille administratormodus. Stille administratormodus viser ikke noen dialogbokser for brukeren.
  • /T:
    bane
    – Angi plasseringen for den midlertidige mappen som brukes av installasjonsprogrammet for oppdagelses- og fjerningsprogrammer for Download.Ject-nyttelast, eller angi en målmappe for utpakking av filer (når den brukes sammen med /C-bryteren).
  • /C – Pakk ut filer uten å installere dem. Hvis /T:
    bane
    ikke er angitt, blir du bedt om å angi en målmappe.
  • /C:
    cmd
    – Angi banen og navnet til en alternativ Setup.inf-fil eller EXE-fil som skal brukes til å installere verktøyet.
  • /R:N – Starter aldri datamaskinen på nytt etter installasjon.
  • /R:I – Ber brukeren om å starte datamaskinen på nytt hvis en omstart kreves, unntatt ved bruk sammen med bryteren /Q:A.
  • /R:A – Starter alltid datamaskinen på nytt etter installasjon.
  • /R:S – Starter datamaskinen på nytt etter installasjonen uten å spørre brukeren.
Hvis du vil ha mer informasjon om installasjonsbrytere som støttes, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
197147 Kommandolinjebrytere for oppdateringspakker for IExpress-programvare (Denne artikkelen kan være på engelsk.)

Verktøyet for fjerning støtter følgende kommandolinjebryter:
  • /S – Aktiverer stille modus for verktøyet. Denne bryteren undertrykker dialogboksen med infeksjonsstatus som du vanligvis ser når verktøyet er kjørt.

Informasjon om fjerning

Filen Berbcln.exe slettes automatisk fra den midlertidige mappen når verktøyet for fjerning er kjørt. Du kan slette installasjonspakken for verktøyet når du har installert verktøyet for fjerning.

Obs!  Når du har installert verktøyet for oppdagelse og fjerning av Download.Ject-nyttelast, vises det ikke i listen Installerte programmer i verktøyet Legg til eller fjern programmer i Kontrollpanel.