Verktyg för identifiering och borttagning av trojan som överförs av Download.Ject


Detta verktyg är inte längre tillgängligt. Det har ersatts av Windows-verktyget för borttagning av skadliga program. Om du vill veta mer om Windows-verktyget för borttagning av skadliga program klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

890830 Microsoft Windows-verktyget för borttagning av skadliga program hjälper till att ta bort vissa vanliga skadliga program från datorer med Windows 2000, Windows XP eller Windows Server 2003

Sammanfattning


Microsoft har informerats om att W32/Berbew (varianter A-H) hämtas till klientdatorer med Microsoft Window som är angripna av Download.Ject. Det här problemet uppstår när en användare besöker en webbplats på en Microsoft IIS-server (Internet Information Services) som har angripits av JS.Scob. Webbsidorna som hämtas till användarens dator innehåller ytterligare ett JavaScript-program som används för att hämta Backdoor:W32/Berbew. Backdoor:W32/Berbew kallas också Backdoor-AXJ, Webber och Padodor. När W32/Berbew körs på användarens dator sker bland annat följande:
  • Internet-åtkomst övervakas. När användaren besöker vissa finansiella webbplatser och webbplatser för Internet-leverantörer samlas känslig information som inloggningsnamn, lösenord och annat in. Informationen skickas sedan till en webbserver, där den kan hämtas av den trojanska hästens skapare. En proxyserver installeras och konfigurerar användarens dator som mellanstation för exempelvis skräppost.
  • Falska dialogrutor öppnas, och användaren uppmanas uppge konfidentiell information som bankomatkoder och kreditkortsnummer. Informationen skickas sedan till en webbserver, där den kan hämtas av den trojanska hästens skapare.
Microsoft har släppt ett verktyg för borttagning av varianter av Backdoor:W32/Berbew. Du kan hämta verktyget från Microsoft Download Center och ta bort Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C samt Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G och Backdoor:W32/Berbew.H från datorn.
Tekniska uppdateringar
  • 8 februari 2005: Microsoft har ersatt detta verktyg med Windows-verktyget för borttagning av skadliga program. Om du vill veta mer om Windows-verktyget för borttagning av skadliga program klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

    890830 Microsoft Windows-verktyget för borttagning av skadliga program hjälper till att ta bort vissa vanliga skadliga program från datorer med Windows 2000, Windows XP eller Windows Server 2003

  • 14 juli 2004: Avsnitten "Sammanfattning", "Lösning" och "Information om användning" uppdaterades.
  • 13 juli 2004: Microsoft släppte version 1.0 av Download.Ject Payload Detection and Removal Tool på Microsoft Download Center. Med version 1.0 identifieras och avlägsnas alla kända varianter (A till H) av Backdoor:W32/Berbew.

Symptom


Ett eller flera av följande problem uppstår:
  • Datorns prestanda försämras eller nätverksanslutningen blir långsam.
  • Meddelanden eller dialogrutor med uppmaningar att ange bankomatkoder och kreditkortsinformation visas när du besöker vissa finansiella webbplatser och webbplatser för Internet-leverantörer.

Orsak


Dessa problem beror på att datorn har angripits av den trojanska hästen Backdoor:W32/Berbew, som installeras av den trojanska hästen Download.Ject. Mer information om hur du tar reda på om datorn har angripits av en variant av Backdoor:W32/Berbew finns på följande Microsoft-webbplats:

Lösning


Ett uppdaterat antivirusprogram bidrar till att skydda datorn mot Backdoor:W32/Berbew.

Viktigt! Vi rekommenderar också att du använder en Internet-brandvägg samt håller både Windows och program uppdaterade.

Om du vill veta mer om skydd mot virus och återställning efter virusangrepp klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
129972 Datavirus: beskrivning, förebyggande åtgärder och återställning

Information om hämtning och installation

Förutsättningar

Download.Ject Payload Detection and Removal Tool kräver följande:
  • Microsoft Windows 2000 SP2 eller senare eller en 32-bitarsversion av Microsoft Windows XP.
  • Inloggning som administratör eller medlem av gruppen administratörer.
Om du vill veta mer om hur du tar reda på om du har en 32- eller 64-bitarsversion av Windows XP, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827218 Så tar du reda på om du har en 32- eller 64-bitarsversion av Windows XP

Om någon av dessa förutsättningar inte uppfylls fungerar inte installationen, och ett felmeddelande visas. Mer information om felmeddelandet finns i följande loggfil:
%Windir%\Debug\Berbcln.log
Dessutom rekommenderar vi att du installerar Windows-uppdateringen för inaktivering av ADODB.stream-objektet i Internet Explorer innan du kör borttagningsverktyget. Även om den trojanska hästen tas bort från angripna datorer med borttagningsverktyget, hindrar det inte datorn från att angripas på nytt om den fortfarande är sårbar. Genom att installera den viktiga uppdateringen kan du förhindra ytterligare överföring av skadlig kod från en server som har angripits av Download.Ject.

Om du vill veta mer om Windows-uppdateringen för inaktivering av ADODB.stream-objektet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
870669 Inaktivera ADODB.Stream-objektet i Internet Explorer

Krav på omstart

Du behöver inte starta om datorn när du har installerat det här verktyget.

Information om användning

Viktigt! Innan du följer nedanstående anvisningar bör du säkerhetskopiera alla viktiga data.

När du har installerat Download.Ject Payload Detection and Removal Tool och accepterat licensavtalet (EULA) extraheras filen Berbcln.exe till en tillfällig mapp, och sedan körs borttagningsverktyget. Förutsättningarna som anges i "Förutsättningar" kontrolleras. Om förutsättningarna är uppfyllda sker följande:
  1. I följande registerundernycklar kontrolleras om några poster har lagts till av den trojanska hästen:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. Huvudkomponenten i Backdoor:Win32/Berbew söks i minnet. Om den hittas avbryts processen.
  3. Följande datafiler som skapats av den trojanska hästen söks på datorn. Dessa filer kan innehålla känsliga personliga uppgifter och tas bort.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Alla filer som hör till Backdoor:W32/Berbew tas bort. Dessa filer identifierades i steg 1 och 2.
  5. Registerposterna som identifierades i steg 1 tas bort. Om ett Berbew-registervärde inte längre pekar på en fil på hårddisken tas inte det "övergivna" registervärdet bort, eftersom det inte ställer till någon skada.
  6. Backdoor:W32/Berbew kör två instanser av Microsoft Internet Explorer i dolda fönster. Via dessa fönster görs försök att anknyta till skadliga webbplatser. I den ena instansen överförs stulna persondata och i den andra sker en sökning efter programuppdateringar för den trojanska hästen. Om Backdoor:W32/ Berbew hittas på datorn avslutas alla instanser av Internet Explorer.
  7. Ett meddelande med resultatet av identifierings- och borttagningsprocessen visas. Följande meddelanden kan förekomma:
    MeddelandeBetydelse
    No infection detectedDen trojanska hästen Backdoor:Win32/Berbew hittades inte på datorn.
    Den trojanska hästen Backdoor:Win32/Berbew.gen har tagits bort. Alla instanser av Internet Explorer avslutades för att förhindra skadlig kommunikation.Den trojanska hästen Backdoor:Win32/Berbew har tagits bort. Inga ytterligare åtgärder krävs.
    This tool must be run by an administrator.Logga ut, och logga sedan in igen som administratör.
    Fatal error, please review log file.Mer information finns i katalogen %Windir%\Debug\Berbcln.log.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.Kör verktyget igen och kontrollera om det finns några felmeddelanden i loggfilen.
    This tool requires Windows 2000 or Windows XP.Det här verktyget kan inte användas i andra Windows-versioner än Windows 2000 och Windows XP.
    Incorrect Windows version (Win32s)Det här verktyget kan inte användas i Windows 3.1 med Win32s.
    När du stänger meddelanderutan avslutas verktyget, och filen Berbcln.exe tas bort från den tillfälliga mappen. Du kan nu ta bort filen Windows-KB873018-ENU-V1.exe manuellt.
  8. En loggfil med beteckningen Berbcln.log skapas i mappen %Windir%\Debug. Du kan se i loggfilen om Backdoor:W32/Berbew.gen har hittats och tagits bort.

Kommandoradsväxlar

Installationsprogrammet för borttagningsverktyget stöder följande kommandoradsväxlar:
  • /Q - Använd tyst läge eller förhindra att meddelanden visas när filerna extraheras.
  • /Q:U - Använd tyst läge för användare. Detta innebär att vissa dialogrutor visas för användaren.
  • /Q:A - Använd tyst läge för administratör. Detta innebär att inga dialogrutor visas för användaren.
  • /T:
    sökväg
    - Ange platsen för den tillfälliga mappen som används i installationsprocessen, eller ange målmappen för extrahering av filer (vid användning tillsammans med växeln /C).
  • /C - Extrahera filerna utan att installera dem. Om /T:
    sökväg
    inte är angiven ombeds du ange en målmapp.
  • /C:
    cmd
    - Ange sökväg och namn för en annan Setup.inf- eller EXE-fil som ska användas för installation av verktyget.
  • /R:N - Starta aldrig om datorn efter installationen.
  • /R:I - Uppmana användaren att starta om datorn när en omstart krävs, utom när den här växeln används tillsammans med växeln /Q:A.
  • /R:A - Starta alltid om datorn efter installationen.
  • /R:S - Starta om datorn efter installationen, utan att användaren tillfrågas.
Om du vill veta mer om kommandoradsväxlar som stöds klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
197147 Kommandoradsväxlar för uppdateringspaket för IExpress-program

Borttagningsverktyget stöder följande kommandoradsväxel:
  • /S - Aktiverar tyst läge för verktyget. Den här växeln förhindrar visning av dialogrutan efter körning av verktyget.

Information om borttagning

Filen Berbcln.exe tas automatiskt bort från dess tillfälliga plats efter körning av borttagningsverktyget. Du kan ta bort installationspaketet för verktyget när du har installerat borttagningsverktyget.

Obs! När du har installerat Download.Ject Payload Detection and Removal Tool visas det inte i listan över Installerade program i Lägg till/ta bort program på Kontrollpanelen.