Detectie- en verwijderingshulpprogramma voor Download.Ject Payload


Dit hulpprogramma is niet meer beschikbaar. Het is vervangen door de Microsoft Windows Malicious Software Removal Tool. Als u meer informatie wilt over de Malicious Software Removal Tool, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

890830 Met het Microsoft Windows Malicious Software Removal Tool kunt u specifieke, wijdverspreide en schadelijke software verwijderen van computers waarop Windows Server 2003, Windows XP of Windows 2000 wordt uitgevoerd.

Samenvatting


Er is een Trojaans paard ontdekt met de naam W32/Berbew (varianten A-H) dat wordt gedownload nadat een Microsoft Windows-clientcomputer is geïnfecteerd met het schadelijke programma Download.Ject. Dit probleem treedt op wanneer een gebruiker een website bezoekt die op een IIS-server (Microsoft Internet Information Services) staat die is geïnfecteerd met JS.Scob. De webpagina's die naar de computer van de gebruiker worden gedownload, bevatten een extra JavaScript-programma waarmee het Trojaanse paard Backdoor:W32/Berbew wordt gedownload. Backdoor:W32/Berbew staat ook bekend als Backdoor-AXJ, Webber of Padodor. Wanneer dit Trojaanse paard op een computer actief is, worden onder andere de volgende acties uitgevoerd:
  • Het internetbezoek wordt gevolgd. Wanneer de gebruiker bepaalde websites van financiële instellingen of internetproviders bezoekt, worden vertrouwelijke gegevens, zoals inlognamen en wachtwoorden, onderschept. Deze gegevens worden vervolgens naar een webserver gestuurd waar ze door de auteur van het Trojaanse paard worden opgehaald. Er wordt een proxyserver geïnstalleerd zodat de computer kan worden misbruikt voor het doorsturen van bijvoorbeeld spam.
  • Er worden nepdialoogvensters geopend waarin de gebruiker wordt gevraagd vertrouwelijke gegevens in te voeren, zoals pincodes of creditcardnummers. Deze gegevens worden vervolgens naar een webserver gestuurd waar ze door de auteur van het Trojaanse paard worden opgehaald.
Microsoft heeft een hulpprogramma ontwikkeld waarmee u varianten van het Trojaanse paard Backdoor:W32/Berbew van uw computer kunt verwijderen. U kunt dit hulpprogramma downloaden vanaf het Microsoft Downloadcentrum en het op uw computer uitvoeren voor het verwijderen van Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C en Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G en Backdoor:W32/Berbew.H.
Technische updates
  • 8 februari 2005: Microsoft heeft dit programma vervangen door de Microsoft Windows Malicious Software Removal Tool. Als u meer informatie wilt over de Malicious Software Removal Tool, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

    890830 Met het Microsoft Windows Malicious Software Removal Tool kunt u specifieke, wijdverspreide en schadelijke software verwijderen van computers waarop Windows Server 2003, Windows XP of Windows 2000 wordt uitgevoerd.
  • 14 juli 2004: de secties 'Samenvatting', 'Oplossing' en 'Informatie over het gebruik' zijn bijgewerkt.
  • 13 juli 2004: Microsoft heeft versie 1.0 van het detectie- en verwijderingshulpprogramma voor Download.Ject Payload gepubliceerd op het Microsoft Downloadcentrum. Met versie 1.0 worden alle bekende varianten (A t/m H) van het Trojaanse paard Backdoor:W32/Berbew verwijderd.

Symptomen


Een of meer van de volgende symptomen kunnen zich voordoen:
  • De prestaties van de computer nemen af of de netwerkverbinding is traag.
  • Er worden berichten of dialoogvensters weergegeven waarin u wordt gevraagd om pincodes en creditcardgegevens zodra u bepaalde websites van financiële instellingen en internetproviders bezoekt.

Oorzaak


Dit probleem treedt op omdat uw computer is geïnfecteerd met het Trojaanse paard Backdoor:W32/Berbew. Backdoor:W32/Berbew wordt de computer binnengebracht door het Trojaanse paard Download.Ject. Bezoek de volgende website van Microsoft als u wilt weten of uw computer is geïnfecteerd met een variant van Backdoor:W32/Berbew:

Oplossing


Met behulp van antivirussoftware met bijgewerkte virusdefinities kunt u voorkomen dat uw computer besmet raakt met het Trojaanse paard Backdoor:W32/Berbew.

Belangrijk Het is ook raadzaam gebruik te maken van een internetfirewall en een antivirusprogramma met bijgewerkte virusdefinities. Zorg er bovendien voor dat zowel Windows als uw programma's steeds zijn bijgewerkt.

Voor meer informatie over het voorkomen en verwijderen van virussen klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
129972 Computervirussen: beschrijving, preventie en herstel

Informatie over downloaden en installeren

Vereisten

Voor het detectie- en verwijderingshulpprogramma voor Download.Ject Payload gelden de volgende vereisten:
  • Op uw computer moet Microsoft Windows 2000 SP2 of hoger of een 32-bits versie van Microsoft Windows XP worden uitgevoerd.
  • U moet zijn aangemeld als computerbeheerder of als lid van de groep Administrators.
Klik op het volgende artikel in de Microsoft Knowledge Base voor meer informatie over de manier waarop u kunt controleren of op een computer een 32-bits of een 64-bits versie van Windows XP wordt uitgevoerd:
827218 Bepalen of op uw computer een 32-bits of 64-bits versie van Windows XP is geïnstalleerd
Als niet aan deze voorwaarden wordt voldaan, werkt de installatie niet en verschijnt er een foutbericht. Bekijk het volgende logboekbestand voor meer informatie over het foutbericht:
%Windir%\Debug\Berbcln.log
Het is bovendien raadzaam de Windows-update te installeren om het ADODB.stream-object in Internet Explorer uit te schakelen voordat u het hulpprogramma uitvoert. Hoewel met het hulpprogramma weliswaar het Trojaanse paard van geïnfecteerde computers kan worden verwijderd, wordt daarmee niet voorkomen dat uw computer opnieuw wordt geïnfecteerd wanneer deze nog steeds niet goed is beveiligd. Door de essentiële update te installeren kunt u voorkomen dat er opnieuw schadelijke software wordt gedownload van een server die is geïnfecteerd met Download.Ject.

Klik voor meer informatie over de Windows-update voor het uitschakelen van het ADODB.Stream-object op het volgende artikelnummer in de Microsoft Knowledge Base:
870669 Het ADODB.Stream-object uitschakelen vanuit Internet Explorer

Computer opnieuw opstarten

U hoeft de computer niet opnieuw op te starten nadat u dit hulpprogramma hebt geïnstalleerd.

Informatie over het gebruik

Belangrijk Maak een reservekopie van alle belangrijke gegevens voordat u deze stappen uitvoert.

Wanneer u het detectie- en verwijderingshulpprogramma voor Download.Ject Payload installeert en de gebruiksrechtovereenkomst accepteert, wordt het bestand Berbcln.exe uitgepakt in een tijdelijke map en wordt het hulpprogramma vervolgens uitgevoerd. Met het hulpprogramma wordt uw computer gecontroleerd op de vereisten die staan vermeld in de sectie 'Vereisten'. Als aan de vereisten wordt voldaan, worden de volgende acties uitgevoerd:
  1. Met het hulpprogramma worden de volgende registersubsleutels gecontroleerd op vermeldingen die door het Trojaanse paard zijn toegevoegd:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. Het geheugen wordt doorzocht op sporen van het belangrijkste onderdeel van het Trojaanse paard Backdoor:Win32/Berbew. Als dit onderdeel wordt aangetroffen, wordt het proces beëindigd.
  3. Er wordt gezocht naar de volgende gegevensbestanden die door het Trojaanse paard zijn gemaakt. Deze bestanden kunnen vertrouwelijke gegevens bevatten. De bestanden worden door het hulpprogramma verwijderd.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Alle bestanden die verband houden met het Trojaanse paard Backdoor:W32/Berbew, worden verwijderd. Deze bestanden zijn met behulp van stap 1 en 2 opgespoord.
  5. De registervermeldingen die in stap 1 zijn opgespoord, worden verwijderd. Als een Berbew-registerwaarde niet meer verwijst naar een bestand op de vaste schijf, wordt de 'achtergebleven' registerwaarde niet verwijderd, omdat de registerwaarde geen schade kan aanrichten wanneer het bijbehorende bestand niet op de vaste schijf staat.
  6. Het Trojaanse paard opent Microsoft Internet Explorer in twee verborgen vensters. In deze vensters wordt geprobeerd verbinding te maken met schadelijke websites. In het ene venster wordt geprobeerd onderschepte persoonlijke gegevens te uploaden terwijl in het andere venster wordt gezocht naar software-updates voor het Trojaanse paard. Als het Trojaanse paard Backdoor:W32/ Berbew op de computer wordt aangetroffen, worden alle actieve vensters van Internet Explorer afgesloten.
  7. Er wordt een bericht weergeven met een beschrijving van het resultaat van de opsporing en verwijdering. In de volgende lijst ziet u de berichten die kunnen worden weergegeven met hun betekenis:
    BerichtBetekenis
    No infection detectedHet Trojaanse paard Backdoor:Win32/Berbew is niet aangetroffen op deze computer.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.Het Trojaanse paard Backdoor:Win32/Berbew is verwijderd. Er zijn geen extra handelingen vereist.
    This tool must be run by an administrator.Meld u af bij de computer en meld u weer aan als beheerder.
    Fatal error, please review log file.Zie de map %Windir%\Debug\Berbcln.log voor meer informatie.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.Probeer het hulpprogramma opnieuw uit te voeren en controleer het logboekbestand op fouten.
    This tool requires Windows 2000 or Windows XP.Dit hulpprogramma wordt alleen ondersteund in Windows 2000 en Windows XP.
    Incorrect Windows version (Win32s)Dit hulpprogramma wordt niet ondersteund in Windows 3.1 met Win32s.
    Wanneer u het berichtvenster sluit, wordt het hulpprogramma afgesloten en wordt het bestand Berbcln.exe verwijderd uit de tijdelijke map. U kunt nu het bestand Windows-KB873018-ENU-V1.exe handmatig verwijderen.
  8. Het hulpprogramma maakt een logboekbestand met de naam Berbcln.log in de map %Windir%\Debug. U kunt dit logboekbestand raadplegen om na te gaan of er infecties van Backdoor:W32/Berbew.gen zijn aangetroffen en verwijderd.

Schakelopties voor de opdrachtregel

Bij het installatieprogramma van dit verwijderingshulpprogramma kunt u de volgende schakelopties gebruiken:
  • /Q - Uitvoeren in stille modus of berichten onderdrukken wanneer de bestanden worden uitgepakt.
  • /Q:U - Uitvoeren in stille modus voor gebruikers. In de stille modus voor gebruikers worden enkele dialoogvensters weergegeven.
  • /Q:A - Uitvoeren in stille modus voor beheerders. In de stille modus voor beheerders worden geen dialoogvensters voor de gebruiker geopend.
  • /T: pad - De locatie opgeven van de tijdelijke map die door het Setup-programma voor het detectie- en verwijderingshulpprogramma voor Download.Ject Payload wordt gebruikt, of de doelmap opgeven voor het uitpakken van bestanden (wanneer deze schakeloptie samen met /C wordt gebruikt).
  • /C - De bestanden uitpakken zonder ze te installeren. Als /T: pad niet is opgegeven, wordt u gevraagd een doelmap op te geven.
  • /C: opdr - Het pad en de naam opgeven van een ander INF-bestand voor Setup of van een EXE-bestand voor het installeren van het hulpprogramma.
  • /R:N - De computer na de installatie nooit opnieuw opstarten.
  • /R:I - De gebruiker vragen of de computer opnieuw moet worden opgestart wanneer dat nodig is, behalve wanneer naast deze schakeloptie ook de optie /Q:A wordt gebruikt.
  • /R:A - De computer na de installatie altijd opnieuw opstarten.
  • /R:S - De computer na de installatie opnieuw opstarten zonder de gebruiker hierom te vragen.
Voor meer informatie over de ondersteunde schakelopties voor de installatie klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
197147 Opdrachtregelparameters voor update-pakketten van IExpress-software
Bij dit verwijderingshulpprogramma kunt u de volgende schakeloptie gebruiken:
  • /S - Het hulpprogramma uitvoeren in de stille modus. Het berichtvenster met een beschrijving van het resultaat van de opsporing of verwijdering wordt niet weergegeven bij het gebruik van deze schakeloptie.

Hulpprogramma verwijderen

Het bestand Berbcln.exe wordt automatisch verwijderd van de tijdelijke locatie nadat het hulpprogramma is uitgevoerd. U kunt het installatiepakket van het hulpprogramma verwijderen nadat u het verwijderingshulpprogramma hebt geïnstalleerd.

Opmerking Wanneer u het detectie- en verwijderingshulpprogramma voor Download.Ject Payload hebt geïnstalleerd, wordt dit niet weergegeven in de lijst Geïnstalleerde programma's in het onderdeel Software van het Configuratiescherm.