Ferramenta de remoção e detecção da carga de Download.Ject

Esta ferramenta não está mais disponível. Foi substituída pela ferramenta de remoção de software mal-intencionado do Microsoft Windows.
Para obter informações adicionais sobre a ferramenta de remoção de software mal-intencionado, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

890830 A ferramenta de remoção de software mal-intencionado do Microsoft Windows ajuda a remover softwares mal-intencionados específicos e predominantes dos computadores que executam Windows Server 2003, Windows XP ou Windows 2000

Sumário

A Microsoft tomou conhecimento de um programa cavalo de tróia chamado de W32/Berbew (variantes A-H) que é baixado após um computador cliente com Microsoft Windows ser infectado com o código mal-intencionado Download.Ject. Esse problema ocorre quando um usuário visita um site hospedado em um servidor executando os serviços de informações da Internet da Microsoft (IIS) e que foi infectado pelo JS.Scob. As páginas da Web baixadas para o computador do usuário contêm um programa JavaScript adicional que baixa o cavalo de tróia Backdoor:W32/Berbew. O Backdoor:W32/Berbew também é conhecido como Backdoor-AXJ, Webber ou Padodor. Quando o cavalo de tróia é executado no computador do usuário, ele executa diversas ações, dentre elas:

  • Monitora o acesso à Internet. Quando o usuário visita o site de uma instituição financeira, por exemplo, o cavalo de tróia captura as informações mais importantes, como logins, senhas e outras informações. Em seguida ele envia essas informações para um servidor da Web por meio do qual o autor do cavalo de tróia as recebe. Instala um servidor proxy que configura o computador do usuário para ser usado como retransmissor para ações como o envio de spam.

  • Abre caixas de diálogo falsas que solicitam que o usuário insira informações confidenciais, como códigos de cartão eletrônico ou números de cartão de crédito. Essas informações são enviadas para o autor do cavalo de tróia por meio de um servidor da Web.

A Microsoft lançou uma ferramenta para ajudar a remover as variantes do cavalo de tróia Backdoor:W32/Berbew do seu computador. É possível baixar essa ferramenta no Centro de Download da Microsoft e executá-la em seu computador para remover as infecções causadas por Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C e Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G e Backdoor:W32/Berbew.H.Atualizações técnicas

  • 8 de fevereiro de 2005: A Microsoft substituiu essa ferramenta pela ferramenta de remoção de software mal-intencionado do Microsoft Windows.
    Para obter informações adicionais sobre a ferramenta de remoção de software mal-intencionado, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

    890830 A ferramenta de remoção de software mal-intencionado do Microsoft Windows ajuda a remover softwares mal-intencionados específicos e predominantes dos computadores que executam Windows Server 2003, Windows XP ou Windows 2000

  • 14 de julho de 2004: As seções "Resumo", "Resolução" e "Informação de uso" foram atualizadas.

  • 13 de julho de 2004: A Microsoft disponibilizou a versão 1.0 da ferramenta de remoção e detecção da carga de Download.Ject no Centro de Download da Microsoft. A versão 1.0 detecta e remove todas as variantes atualmente conhecidas (de A a H) do cavalo de tróia Backdoor:W32/Berbew.

Sintomas

Você pode enfrentar um ou mais dos seguintes sintomas:

  • O desempenho do seu computador diminui ou a conexão de rede fica lenta.

  • Mensagens ou caixas de diálogo solicitando números de cartões e informações sobre o cartão de crédito são exibidas ao visitar determinados sites ISP e financeiros.

Causa

Esse comportamento ocorre porque o seu computador está infectado pelo cavalo de tróia Backdoor:W32/Berbew. O Backdoor:W32/Berbew é derivado do cavalo de tróia Download.Ject. Para obter informações adicionais sobre como determinar se o seu computador está infectado por uma variante do Backdoor:W32/Berbew, visite o seguinte site da Microsoft:

http://www.microsoft.com/brasil/security/download_ject.mspx

Resolução

Um software antivírus atualizado ajudará a evitar que o seu computador seja infectado pelo cavalo de tróia Backdoor:W32/Berbew.

Importante Também recomendamos o uso de um firewall da Internet e de um programa antivírus atual e que mantenha o Windows e seus programas atualizados.

Para obter informações adicionais sobre como evitar e se recuperar de infecções de vírus, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

129972 Vírus: Explicação, prevenção e recuperação

Informações sobre o download e a instalação

Pré-requisitos

A ferramenta de remoção e detecção da carga de Download.Ject possui os seguintes pré-requisitos:

  • Seu computador deve estar executando o Microsoft Windows 2000 SP2 ou mais recente, ou uma versão de 32 bits do Microsoft Windows XP.

  • É necessário fazer o logon como um administrador de computador ou membro do grupo Administradores.

Para obter informações adicionais sobre como determinar se um computador está executando uma versão de 32 bits do Windows XP ou uma versão de 64 bits do Windows XP, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

827218 Como determinar se o seu computador está executando uma versão de 32 bits ou de 64 bits do Windows XP

Se esses pré-requisitos não forem atendidos, a instalação não funcionará e uma mensagem de erro será exibida. Para obter informações adicionais sobre a mensagem de erro, consulte o arquivo de log a seguir:

%Windir%\Debug\Berbcln.logAlém disso, recomendamos a instalação da atualização do Windows para desativar o objeto ADODB.stream do Internet Explorer antes de executar a ferramenta de remoção. Apesar da ferramenta remover o cavalo de tróia dos computadores infectados, ela não irá impedir que seu computador seja novamente infectado se ele continuar vulnerável. Ao instalar a atualização crítica, você pode ajudar a evitar que outros códigos mal-intencionados sejam baixados a partir do servidor infectado pelo Download.Ject.

Para obter informações adicionais sobre a atualização do Windows que desativa o objeto ADODB.stream, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

870669 Como desativar o objeto ADODB.Stream do Internet Explorer

Requisitos de reinicialização

Não é necessário reiniciar o computador após a instalação dessa ferramenta.

Informações de uso

Importante Antes de executar essas etapas, verifique se você possui um backup de todos os dados importantes.

Ao instalar a ferramenta de remoção e detecção da carga de Download.Ject e aceitar o contrato de licença de usuário final (EULA), o pacote de instalação irá extrair o arquivo Berbcln.exe para uma pasta temporária e a ferramenta de remoção será executada. A ferramenta de remoção verifica se o computador possui os pré-requisitos listados na seção "Pré-requisitos". Se os pré-requisitos forem atendidos, a ferramenta de remoção fará o seguinte:

  1. Examinará as seguintes subchaves do Registro em busca de entradas adicionadas pelo cavalo de tróia.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. Pesquisará, na memória, evidências do componente principal do cavalo de tróia Backdoor:Win32/Berbew. Se a ferramenta de remoção encontrar algo, o processo será encerrado.

  3. Pesquisará os seguintes arquivos de dados criados pelo cavalo de tróia. Esses arquivos podem conter dados pessoais importantes. A ferramenta os exclui.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. A ferramenta exclui todos os arquivos associados ao cavalo de tróia Backdoor:W32/Berbew. Esses arquivos foram identificados nas etapas 1 e 2.

  5. A ferramenta remove as entradas do Registro identificadas na etapa 1. Se um valor do Registro do Berbew não apontar mais para um arquivo no disco rígido, a ferramenta de remoção não irá remover o valor do Registro "orfão", porque esse valor não causará danos se o arquivo associado não existir no disco rígido.

  6. Como parte de seu método de operação, o cavalo de tróia executa duas instâncias do Microsoft Internet Explorer em janelas ocultas. Essas janelas tentam se conectar a sites mal-intencionados. Uma instância tenta carregar dados pessoais roubados, enquanto a outra procura atualizações de software para o cavalo de tróia. Se a ferramenta detectar o cavalo de tróia Backdoor:W32/ Berbew no computador, ela fechará todas as instâncias atualmente em execução do Internet Explorer.

  7. Ela irá exibir uma mensagem que descreve o resultado do processo de detecção e remoção. A seguinte lista contém as mensagens que podem ser exibidas e explica o significado de cada mensagem:

    Mensagem

    Significado

    Nenhuma infecção encontrada

    O cavalo de tróia Backdoor:Win32/Berbew não foi detectado neste computador.

    O cavalo de tróia Backdoor:Win32/Berbew.gen foi removido com êxito. Para impedir a comunicação mal-intencionada, todas as instâncias do Internet Explorer foram encerradas.

    O cavalo de tróia Backdoor:Win32/Berbew foi removido. Nenhuma ação adicional é necessária.

    Esta ferramenta deve ser executada por um administrador.

    É necessário se desconectar e fazer o logon novamente como administrador.

    Erro fatal, revise o arquivo de log.

    Verifique o diretório %Windir%\Debug\Berbcln.log para obter informações adicionais.

    O cavalo de tróia Backdoor:/W32/Berbew.gen foi detectado, mas não pôde ser removido.

    Tente executar a ferramenta novamente e examine o arquivo de log em busca de erros.

    Esta ferramenta requer Windows 2000 ou Windows XP.

    Esta ferramenta é suportada apenas pelas versões 2000 e XP do Windows.

    Versão do Windows incorreta (Win32s)

    Esta ferramenta não é suportada pelo Windows 3.1 com Win32s.

    Ao fechar a caixa de mensagem, a ferramenta de remoção fecha e o arquivo Berbcln.exe é excluído da pasta temporária. Agora é possível excluir o arquivo Windows-KB873018-ENU-V1.exe manualmente.

  8. A ferramenta de remoção cria um arquivo de log chamado Berbcln.log na pasta %Windir%\Debug. É possível consultar esse arquivo de log para determinar se as infecções de Backdoor:W32/Berbew.gen foram detectadas e removidas.

Opções de linha de comando

A instalação da ferramenta de remoção oferece suporte para as seguinte opções de linha de comando:

  • /Q - Especifica o modo silencioso ou suprime as mensagens quando os arquivos estiverem sendo extraídos.

  • /Q:U - Usa o modo silencioso do usuário. O modo silencioso do usuário apresenta algumas caixas de diálogo ao usuário.

  • /Q:A - Usa o modo silencioso do administrador. O modo silencioso do administrador não apresenta caixas de diálogo ao usuário.

  • /T:
    caminho - Especifica o local da pasta temporária usado pelo programa de instalação da ferramenta de remoção e detecção da carga de Download.Ject ou a pasta de destino para extrair os arquivos (quando usado com a opção /C).

  • /C - Extrai os arquivos sem instalá-los. Se /T:
    caminho não for especificado, você será solicitado a especificar uma pasta de destino.

  • /C:
    cmd - Especifica o caminho e o nome de um outro arquivo Setup.inf ou um arquivo .exe a ser usado para a instalação da ferramenta.

  • /R:N - Nunca reinicia o computador após a instalação.

  • /R:I - Solicita que o usuário reinicie o computador caso isso seja necessário, exceto quando usada com a opção /Q:A.

  • /R:A - Sempre reinicia o computador após a instalação.

  • /R:S - Reinicia o computador após a instalação sem avisar o usuário.

Para obter informações adicionais sobre as opções de instalação suportadas, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

197147 Opções de linhas de comando para pacotes de atualização de software do IExpress

A ferramenta de remoção suporta as seguintes opções da linha de comando:

  • /S - Ativa o modo silencioso para a ferramenta. Essa opção suprime a caixa de diálogo de status da infecção recebida após a ferramenta ser executada.

Informações sobre a remoção

O arquivo Berbcln.exe é automaticamente excluído de seu local temporário após a execução da ferramenta de remoção. É possível excluir o pacote de instalação da ferramenta após instalar a ferramenta de remoção.

Observação Após instalar a ferramenta de remoção e detecção da carga de Download.Ject, ela não aparecerá na lista de Programas instalados na ferramenta Adicionar ou remover programas no Painel de controle.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×