Описание средства поиска и удаления вируса Download.Ject

Корпорация Майкрософт больше не предоставляет данное средство. Вместо него следует использовать программу «Средство удаления вредоносных программ». Дополнительные сведения о средстве удаления вредоносных программ см. в следующей статье базы знаний Майкрософт:

890830 Средство удаления вредоносных программ с компьютеров под управлением Windows Server 2003, Windows XP и Windows 2000

Аннотация

Корпорация Майкрософт получила сведения о программе типа «троянский конь» W32/Berbew (разновидности A-H), которая загружается на клиентские компьютеры под управлением операционных систем Windows, зараженные вирусом Download.Ject. Когда пользователь обращается к веб-узлу, который расположен на зараженном вирусом JS.Scob сервере IIS (Internet Information Services), в составе запрошенных веб-страниц на компьютер пользователя попадает сценарий на языке JavaScript, загружающий троянскую программу Backdoor:W32/Berbew. Кроме Backdoor:W32/Berbew, эта программа известна под названиями Backdoor-AXJ, Webber и Padodor. Данная программа запускается на компьютере пользователя и выполняет определенные действия. Некоторые из этих действий перечислены ниже.

  • Осуществляется наблюдение за работой в Интернете. Когда пользователь обращается на веб-узлы некоторых финансовых учреждений или поставщиков услуг Интернета, вирус перехватывает имена пользователей, пароли и другие секретные данные, а затем отправляет их на веб-сервер злоумышленника, создавшего данный вирус. На компьютере пользователя устанавливается прокси-сервер, который настраивает компьютер пользователя для выполнения функций ретранслятора (например для рассылки нежелательных коммерческих сообщений).

  • Вирус открывает на компьютере пользователя фальшивые диалоговые окна, предлагая пользователю указать в них секретные данные (например код или номер кредитной карточки), а затем отправляет их на веб-сервер злоумышленника, создавшего данный вирус.

Корпорация Майкрософт выпустила средство для удаления разновидностей вируса Backdoor:W32/Berbew. Это средство можно загрузить с веб-узла центра загрузки Майкрософт. Средство предназначено для удаления вирусов Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G и Backdoor:W32/Berbew.H.Обновление технических сведений

  • 8 февраля 2005 года. Корпорация Майкрософт заменила данное средство программой «Средство удаления вредоносных программ». Дополнительные сведения о средстве удаления вредоносных программ см. в следующей статье базы знаний Майкрософт:

    890830 Средство удаления вредоносных программ с компьютеров под управлением Windows Server 2003, Windows XP и Windows 2000

  • 14 июля 2004 года. Обновлены сведения в разделах «Аннотация», «Решение» и «Использование».

  • 13 июля 2004 года. Корпорация Майкрософт разместила на веб-узле центра загрузки средство поиска и удаления вируса Download.Ject версии 1.0. Эта версия средства позволяет удалить все известные на данный момент разновидности (A-H) вируса Backdoor:W32/Berbew.

Проблема

При работе компьютера наблюдаются следующие признаки.

  • Снижается быстродействие компьютера или скорость подключения к сети.

  • В процессе посещения веб-узлов финансовых учреждений или поставщиков услуг Интернета появляются сообщения и диалоговые окна, предлагающие указать код карты АТМ или номер кредитной карточки.

Причина

Такое поведение наблюдается, когда компьютер заражен вирусом Backdoor:W32/Berbew, который загружается программой Download.ject. Дополнительные сведения о способах обнаружения вируса Backdoor:W32/Berbew см. на веб-узле Майкрософт по адресу:

http://www.microsoft.com/security/incident/Download_Ject.mspx

Решение

Использование последних версий антивирусного программного обеспечения позволяет защитить компьютер от проникновения вируса Backdoor:W32/Berbew.

Внимание! Корпорация Майкрософт рекомендует применять брандмауэр подключения к Интернету, а также своевременно устанавливать обновления для Windows и прикладных программ и обновлять базы данных с информацией о вирусах, используемые антивирусными программами.

Дополнительные сведения о защите от вирусов и их обезвреживании см. в следующей статье базы знаний Майкрософт:

129972 Компьютерные вирусы — описание, меры безопасности и удаление

Получение и установка

Необходимые условия

Для использования средства поиска и удаления вируса Download.Ject необходимо следующее:

  • Windows 2000 с пакетом обновления версии 2 (SP2) или более поздней, либо 32-разрядная версия Windows XP;

  • вход в систему с помощью учетной записи администратора или члена группы «Администраторы».

Дополнительные сведения об определении разрядности установленной на компьютере версии операционной системы Windows XP см. в следующей статье базы знаний Майкрософт:

827218 Определение разрядности используемой версии Windows XP

В случае несоблюдения этих условий установить средство не удастся и появится сообщение об ошибке. Дополнительные сведения об ошибке см. в следующем файле:

%Windir%\Debug\Berbcln.logКроме того, перед запуском средства рекомендуется установить обновление Windows, отключающее объект ADODB.stream в обозревателе Internet Explorer, поскольку данное средство удаляет вирус с зараженных компьютеров, но не устраняет уязвимость, которая допускает заражение. Установка обновления, отключающего объект ADODB.stream, позволяет предотвратить загрузку троянской программы с зараженных вирусом Download.Ject веб-серверов в будущем.

Дополнительные сведения об обновлении Windows, предназначенном для отключения объекта ADODB.stream, см. в следующей статье базы знаний Майкрософт:

870669 Как отключить объект ADODB.Stream в Internet Explorer

Необходимость перезагрузки

После установки средства нет необходимости перезагружать компьютер.

Использование

Внимание! Перед выполнением перечисленных ниже действий необходимо создать резервные копии всех важных данных.

После установки средства поиска и удаления вируса Download.Ject пользователь должен принять условия лицензионного соглашения, после чего из установочного пакета извлекается файл Berbcln.exe. Данный файл копируется во временную папку, запускается и производит проверку требований, описанных в разделе Необходимые условия данной статьи. Если требования соблюдены, программа выполняет следующие действия.

  1. Проверяет наличие в следующих разделах реестра параметров, созданных троянской программой.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. Проверяет наличие основного компонента троянской программы Backdoor:Win32/Berbew в памяти компьютера. Обнаружив данный компонент, программа завершает соответствующий процесс.

  3. Производит поиск указанных ниже файлов данных, которые создаются троянской программой. Такие файлы могут содержать секретные личные данные. Обнаруженные файлы удаляются.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. Удаляет все найденные на шагах 1 и 2 файлы, связанные с троянской программой Backdoor:W32/Berbew.

  5. Удаляет параметры системного реестра, обнаруженные на шаге 1. Не удаляются добавленные вирусом Berbew параметры системного реестра, которые ссылаются на отсутствующие на жестком диске (и, следовательно, безвредные) файлы.

  6. Рассматриваемая троянская программа запускает в скрытых окнах два экземпляра обозревателя Microsoft Internet Explorer, которые пытаются подключиться к веб-узлам злоумышленника. При этом один экземпляр загружает на веб-узел украденные личные данные, а другой — проверяет наличие обновлений для вируса. Обнаружив на компьютере троянскую программу Backdoor:W32/ Berbew, средство поиска и удаления вируса Download.Ject прекращает работу всех запущенных экземпляров Internet Explorer.

  7. Отображает сообщение о результатах работы. Следующий список содержит сообщения, отображаемые средством поиска и удаления вируса Download.Ject, а также их значение и действия, которые необходимо предпринять при получении того или иного сообщения.

    Сообщение

    Описание

    No infection detected (Вирусы не обнаружены).

    Вирус Backdoor:Win32/Berbew на данном компьютере найден не был.

    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated (Вирус Backdoor:Win32/Berbew.gen успешно удален. Для предотвращения обмена данными с веб-узлом злоумышленника была прекращена работа всех экземпляров Internet Explorer).

    Вирус Backdoor:Win32/Berbew был удален. Выполнять какие-либо дополнительные действия не нужно.

    Тhis tool must be run by an administrator (Данное средство следует запускать с правами администратора).

    Выйдите из системы и воспользуйтесь для входа учетной записью администратора.

    Fatal error, please review log file (Неустранимая ошибка. Подробности см. в файле журнала).

    Дополнительные сведения см. в файле %Windir%\Debug\Berbcln.log.

    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed (Вирус Backdoor:/W32/Berbew.gen был обнаружен, но не удален).

    Запустите программу повторно и проверьте, есть ли в файле журнала сообщения об ошибках.

    This tool requires Windows 2000 or Windows XP (Данное средство предназначено для операционных систем Windows 2000 и Windows XP).

    Данное средство может работать только на компьютерах под управлением Windows 2000 или Windows XP.

    Incorrect Windows version (Win32s) (Неправильная версия Windows (Win32s))

    Программа не предназначена для использования на компьютере под управлением Windows 3.1 с Win32s.

    После закрытия окна сообщения средство завершает свою работу и файл Berbcln.exe удаляется из временной папки. После этого можно вручную удалить файл Windows-KB873018-ENU-V1.exe.

  8. В процессе работы средства в папке %WINDIR%\Debug создается файл журнала Berbcln.log, в который помещается информация об обнаруженных и удаленных экземплярах вируса Backdoor:W32/Berbew.gen.

Параметры командной строки

Программа установки данного средства поддерживает следующие параметры командной строки.

  • /Q Установка в автоматическом режиме или подавление сообщений об извлечении файлов.

  • /Q:U Автоматический режим пользователя. Отображаются некоторые диалоговые окна.

  • /Q:A Автоматический режим администратора. Диалоговые окна не отображаются.

  • /T:
    путь Указывает программе установки папку для хранения временных файлов или для извлечения файлов (если используется с параметром /C).

  • /C Извлечение файлов без выполнения установки. Если параметр /T:
    путь не задан, появится приглашение указать папку назначения.

  • /C:
    cmd Путь и имя альтернативного установочного файла INF или EXE.

  • /R:N Не перезапускать компьютер после установки.

  • /R:I В случае необходимости появляется запрос на перезагрузку (за исключением случаев, когда указан параметр /Q:A).

  • /R:A Перезагрузить компьютер после установки.

  • /R:S Перезапускать компьютер после установки без отображения соответствующего запроса.

Дополнительные сведения о параметрах командной строки, поддерживаемых программой установки данного средства, см. в следующей статье базы знаний Майкрософт:

197147 Параметры командной строки, которые поддерживаются обновлениями, разработанными с помощью технологии Iexpress

Средство поиска и удаления вируса Download.Ject поддерживает следующий параметр командной строки.

  • /S Скрытый режим (сообщение о результатах работы программы не отображается).

Сведения об удалении

Файл Berbcln.exe удаляется из временной папки автоматически после завершения работы средства. Установочный файл можно удалить сразу после установки данного средства.

Примечание. Средство поиска и удаления вируса Download.Ject не отображается в списке Установленные программы компонента «Установка и удаление программ» панели управления.

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×