Narzędzie do wykrywania i usuwania ładunku programu Download.Ject

Narzędzie nie jest już dostępne. Zostało ono zastąpione przez narzędzie Microsoft Windows Malicious Software Removal Tool. Aby uzyskać dodatkowe informacje o narzędziu Microsoft Windows do usuwania złośliwego oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

890830 Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania ułatwia usuwanie określonych, najbardziej rozpowszechnionych rodzajów szkodliwego oprogramowania z komputerów z systemem Windows Server 2003, Windows XP lub Windows 2000

Streszczenie

Firma Microsoft dowiedziała się o programie typu „koń trojański” o nazwie W32/Berbew (odmiany A-H), który jest pobierany na komputer kliencki z systemem Microsoft Windows po zainfekowaniu tego komputera przez destrukcyjne oprogramowanie Download.Ject. Ten problem występuje, gdy użytkownik odwiedzi witrynę sieci Web przechowywaną na serwerze z Internetowymi usługami informacyjnymi (IIS) Microsoft, który jest zainfekowany wirusem JS.Scob. Strony sieci Web ładowane na komputer użytkownika zawierają dodatkowy program JavaScript, który pobiera konia trojańskiego Backdoor:W32/Berbew. Koń trojański Backdoor:W32/Berbew jest również znany jako Backdoor-AXJ, Webber lub Padodor. Po uruchomieniu na komputerze użytkownika koń trojański wykonuje między innymi następujące operacje:
 • Monitoruje dostęp do Internetu. Gdy użytkownik odwiedza jedną z kilku witryn finansowych lub witryn usługodawców internetowych w sieci Web, koń trojański przechwytuje poufne informacje, takie jak nazwy logowania, hasła itp. Następnie wysyła je na serwer sieci Web, z którego może je pobrać autor konia trojańskiego. Instaluje serwer proxy, który tak konfiguruje komputer użytkownika, aby mógł być użyty, na przykład, do wysyłania wiadomości-śmieci.
 • Otwiera fałszywe okna dialogowe, które monitują użytkownika o podanie poufnych informacji, takich jak kody kart ATM czy numery kart kredytowych. Informacje są następnie wysyłane na serwer sieci Web, z którego może je pobrać autor konia trojańskiego.
Firma Microsoft wydała narzędzie, które pomaga usunąć z komputera odmiany konia trojańskiego Backdoor:W32/Berbew. Narzędzie to można pobrać z witryny Microsoft — Centrum pobierania i uruchomić na komputerze, aby usunąć konia trojańskiego Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G lub Backdoor:W32/Berbew.H.
Aktualizacje techniczne
 • 8 lutego 2005: Firma Microsoft zastępuje niniejsze narzędzie narzędziem Microsoft Windows Malicious Software Removal Tool. Aby uzyskać dodatkowe informacje o narzędziu Microsoft Windows do usuwania złośliwego oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

  890830 Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania ułatwia usuwanie określonych, najbardziej rozpowszechnionych rodzajów szkodliwego oprogramowania z komputerów z systemem Windows Server 2003, Windows XP lub Windows 2000

 • 14.07.04: Aktualizacja sekcji „Streszczenie”, „Rozwiązanie” i „Informacje dotyczące użycia”.
 • 13 lipca 2004: Firma Microsoft opublikowała w witrynie Microsoft — Centrum pobierania wersję 1.0 narzędzia do wykrywania i usuwania ładunku programu Download.Ject. Wersja 1.0 wykrywa i usuwa wszystkie znane obecnie odmiany (od A do H) konia trojańskiego Backdoor:W32/Berbew.

Symptomy

Może wystąpić jeden lub kilka z następujących symptomów:
 • Wolniejsze działanie komputera lub połączenia sieciowego.
 • Podczas odwiedzania pewnych witryn finansowych lub witryn usługodawców internetowych w sieci Web pojawiają się komunikaty lub okna dialogowe monitujące o podanie numerów kart ATM i numerów kart kredytowych.

Przyczyna

Takie zachowanie występuje, ponieważ komputer jest zainfekowany przez konia trojańskiego Backdoor:W32/Berbew. Koń trojański Backdoor:W32/Berbew jest ładowany przez konia trojańskiego Download.Ject. Aby uzyskać więcej informacji dotyczących sposobu sprawdzenia, czy komputer jest zainfekowany jedną z odmian konia trojańskiego Backdoor:W32/Berbew, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Rozwiązanie

Oprogramowanie antywirusowe z aktualnymi sygnaturami pomaga chronić komputer przed zainfekowaniem koniem trojańskim Backdoor:W32/Berbew.

Ważne: Zaleca się także korzystanie z zapory internetowej i oprogramowania antywirusowego z aktualnymi sygnaturami oraz zaktualizowanie systemu Windows i wykorzystywanych programów.

Aby uzyskać dodatkowe informacje dotyczące sposobów ochrony przed wirusami oraz odzyskiwania systemów w przypadku infekcji wirusowych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
129972 Wirusy komputerowe: opis, zapobieganie i zwalczanie

Informacje dotyczące pobierania oraz instalowania

Wymagania wstępne

Narzędzie do wykrywania i usuwania ładunku programu Download.Ject ma następujące wymagania wstępne:
 • Na komputerze musi być uruchomiony system Microsoft Windows 2000 z dodatkiem SP2 lub nowszym albo 32-bitowa wersja systemu Microsoft Windows XP.
 • Trzeba zalogować się jako administrator komputera lub członek grupy Administratorzy.
Aby uzyskać dodatkowe informacje dotyczące sposobu sprawdzenia, czy na komputerze jest uruchomiona 32-, czy 64-bitowa wersja systemu Windows XP, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
827218 How to determine whether your computer is running a 32-bit version or 64-bit version of Windows XP

Jeśli te wymagania wstępne nie są spełnione, instalacja nie działa i pojawia się komunikat o błędzie. Aby uzyskać więcej informacji o tym komunikacie, zobacz następujący plik dziennika:
%Windir%\Debug\Berbcln.log
Ponadto zaleca się, aby przed uruchomieniem tego narzędzia zainstalować aktualizację systemu Windows wyłączającą obiekt ADODB.stream w programie Internet Explorer. Chociaż narzędzie usuwa konia trojańskiego z zainfekowanego komputera, nie zapobiega ponownej infekcji, jeśli komputer nadal nie jest przed nią chroniony. Zainstalowanie tej aktualizacji krytycznej pomaga zapobiec dodatkowemu pobraniu destrukcyjnego oprogramowania z serwera zainfekowanego koniem trojańskim Download.Ject.

Aby uzyskać dodatkowe informacje dotyczące aktualizacji systemu Windows, która wyłącza obiekt ADOBB.stream, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
870669 Jak wyłączyć obiekt ADODB.Stream w programie Internet Explorer

Wymagania dotyczące ponownego uruchamiania

Ponowne uruchomienie komputera po zainstalowaniu tego narzędzia nie jest konieczne.

Informacje o użytkowaniu

Ważne: Pamiętaj, aby przed wykonaniem poniższych kroków utworzyć kopię zapasową wszystkich ważnych danych.

Po zainstalowaniu narzędzia do wykrywania i usuwania ładunku programu Download.Ject i zaakceptowaniu umowy licencyjnej użytkownika oprogramowania (EULA) pakiet instalacyjny wyodrębnia w folderze tymczasowym plik Berbcln.exe, a następnie uruchamia narzędzie. Sprawdza ono, czy komputer spełnia wymagania wstępne wymienione w sekcjiWymagania wstępne. Jeśli wymagania wstępne są spełnione, narzędzie podejmuje następujące czynności:
 1. Szuka wpisów dodanych przez konia trojańskiego w następujących podkluczach rejestru:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
 2. Szuka w pamięci dowodu istnienia głównego składnika konia trojańskiego Backdoor:Win32/Berbew. Jeśli go znajdzie, kończy jego proces.
 3. Szuka następujących plików danych utworzonych przez konia trojańskiego. Mogą one zawierać ważne dane osobiste. Narzędzie usuwa te pliki.
  Neh2x32.vxd
  Neh2x32.dat
  Glumx32.vxd
  Glumx32.dat
  Tt32.vxd
  Tt32.dat
  Gart32.vxd
  Gart32.dat
  Jcole32.vxd
  Jcole32.dat
  Kk32.dll
  Kk32.dll
  Dnkk.dll
  Surf.dat
  Kkq32.dll
  Kkq32.vxd
  Dnkkq.dll
  Kar32.dll
  Kar32.vxd
  Dkk32.dll
  Zurfs.dat
 4. Usuwa wszystkie pliki skojarzone z koniem trojańskim Backdoor:W32/Berbew. Pliki te zostały znalezione w krokach 1 i 2.
 5. Usuwa wpisy rejestru znalezione w kroku 1. Jeśli wartość rejestru Berbew nie wskazuje już żadnego pliku na dysku twardym, narzędzie nie usuwa tej osieroconej wartości rejestru, ponieważ nie wyrządzi ona żadnej szkody, jeśli skojarzony z nią plik nie istnieje na dysku twardym.
 6. Częścią metody działania tego konia trojańskiego jest uruchomienie dwóch wystąpień programu Microsoft Internet Explorer w oknach ukrytych. Z tych okien następują próby połączenia się z destrukcyjnymi witrynami sieci Web. Jedno wystąpienie próbuje przekazać skradzione dane osobiste, a drugie szuka aktualizacji konia trojańskiego. Jeśli narzędzie znajdzie na komputerze konia trojańskiego Backdoor:W32/ Berbew, zamyka wszystkie uruchomione wystąpienia programu Internet Explorer.
 7. Wyświetla komunikat opisujący wynik procesu wykrywania i usuwania. Poniżej przedstawiono komunikaty, które mogą się pojawić, i ich objaśnienia:
  KomunikatZnaczenie
  No infection detectedNa komputerze nie wykryto konia trojańskiego Backdoor:Win32/Berbew.
  Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.Koń trojański Backdoor:Win32/Berbew został usunięty. Nie trzeba robić nic więcej.
  This tool must be run by an administrator.Trzeba się wylogować i zalogować ponownie jako administrator.
  Fatal error, please review log file.Aby uzyskać więcej informacji, zobacz katalog %Windir%\Debug\Berbcln.log.
  Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.Spróbuj ponownie uruchomić narzędzie i sprawdź, czy w pliku dziennika nie zostały zarejestrowane błędy.
  This tool requires Windows 2000 or Windows XP.Narzędzie nie jest obsługiwane w wersjach systemu Windows innych niż Windows 2000 i Windows XP.
  Incorrect Windows version (Win32s)Narzędzie nie jest obsługiwane w systemie Windows 3.1 z podsystemem Win32s.
  Narzędzie zostaje zamknięte wraz z zamknięciem okna komunikatu, a plik Berbcln.exe jest usuwany z folderu tymczasowego. Można wtedy ręcznie usunąć plik Windows-KB873018-ENU-V1.exe.
 8. Narzędzie tworzy plik dziennika o nazwie Berbcln.log w folderze %Windir%\Debug. Można go przejrzeć, aby stwierdzić, czy zostały wykryte infekcje spowodowane przez konia trojańskiego Backdoor:W32/Berbew.gen i czy zostały one usunięte.

Przełączniki wiersza polecenia

Instalator narzędzia obsługuje następujące przełączniki wiersza polecenia:
 • /Q — określa tryb cichy, czyli powoduje, że podczas wyodrębniania plików pomijane są komunikaty;
 • /Q:U — określa tryb cichy użytkownika. W tym trybie są wyświetlane okna dialogowe zawierające informacje przeznaczone dla użytkownika;
 • /Q:A — określa tryb cichy administratora. W tym trybie nie są wyświetlane żadne okna dialogowe zawierające informacje przeznaczone dla użytkownika.
 • /T:
  ścieżka
  — określa lokalizację folderu tymczasowego, który jest używany przez program instalacyjny narzędzia do wykrywania i usuwania ładunku programu Download.Ject lub określa folder docelowy dla wyodrębnianych plików (jeśli ten przełącznik zostanie użyty razem z przełącznikiem /C);
 • /C — wyodrębnia pliki bez ich instalowania. Jeśli parametr /T:
  ścieżka
  nie jest określony, wyświetlany jest monit o wskazanie folderu docelowego;
 • /C:
  polecenie
  — określa ścieżkę i nazwę innego pliku .inf lub pliku .exe Instalatora, który ma być użyty do zainstalowania narzędzia;
 • /R:N — nigdy nie uruchamia ponownie komputera po instalacji;
 • /R:I — monituje użytkownika o ponowne uruchomienie komputera, jeśli jest ono wymagane (z wyjątkiem sytuacji, w której został użyty również przełącznik /Q:A;
 • /R:A — zawsze uruchamia ponownie komputer po instalacji;
 • /R:S — uruchamia ponownie komputer po instalacji bez monitowania użytkownika.
Aby uzyskać dodatkowe informacje o obsługiwanych przełącznikach Instalatora, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
197147 Command-line switches for IExpress software update packages

Narzędzie do usuwania obsługuje następujący przełącznik wiersza polecenia:
 • /S — włącza tryb cichy narzędzia. Ten przełącznik powoduje pominięcie okna dialogowego z informacją o stanie infekcji, które normalnie jest wyświetlane po uruchomieniu narzędzia.

Informacje dotyczące usuwania

Plik Berbcln.exe zostaje automatycznie usunięty ze swojej lokalizacji tymczasowej po uruchomieniu narzędzia. Po zainstalowaniu narzędzia użytkownik może usunąć pakiet Instalatora narzędzia.

Uwaga: Zainstalowane narzędzie do wykrywania i usuwania ładunku programu Download.Ject nie pojawia się na liście Aktualnie zainstalowane programy w aplecie Dodaj/Usuń programy w Panelu sterowania.
Właściwości

Identyfikator artykułu: 873018 — ostatni przegląd: 20.09.2005 — zmiana: 1

Opinia