此工具已不再可用。它已被 Microsoft Windows 恶意软件清除工具取代。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890830Microsoft Windows 恶意软件清除工具可帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件
概要
Microsoft 已了解到基于 Microsoft Windows 的客户机在感染 Download.Ject 恶意软件后会下载名为 W32/Berbew(变种 A-H)的特洛伊木马程序。当用户访问运行 Microsoft Internet 信息服务 (IIS) 的服务器承载的网站时,如果该服务器感染了 JS.Scob,就会出现此问题。下载到用户计算机的网页包含一个额外的 JavaScript 程序,该程序将会下载 Backdoor:W32/Berbew 特洛伊木马。Backdoor:W32/Berbew 也称为 Backdoor-AXJ、Webber 或 Padodor。该特洛伊木马程序在用户计算机上运行时会执行多项操作,包括:
-
它会监控 Internet 访问。当用户访问几个金融网站或 ISP 网站之一时,该特洛伊木马会捕获敏感信息,如登录名、密码和其他敏感信息。然后,特洛伊木马将该信息发送到某个 Web 服务器,以供此特洛伊木马的作者检索。它会安装一个代理服务器,该服务器对用户的计算机进行配置,将用户计算机作为执行某些操作(如发送垃圾邮件)的中继。
-
它会打开假冒的对话框,提示用户输入机密信息,如 ATM 卡代码或信用卡号。然后,此信息将发送到某个 Web 服务器,供该特洛伊木马的作者检索。
Microsoft 发布了可帮助您从计算机上删除 Backdoor:W32/Berbew 特洛伊木马变种的工具。您可从 Microsoft 下载中心下载此工具,并在计算机上运行该工具以删除感染的 Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C 以及 Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G 和 Backdoor:W32/Berbew.H 病毒。技术更新
-
2005 年 2 月 8 日:Microsoft 用 Microsoft Windows 恶意软件清除工具替换了此工具。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890830Microsoft Windows 恶意软件清除工具可帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件
-
2004 年 7 月 14 日:“概要”、“解决方案”和“用法信息”各节已更新。
-
2004 年 7 月 13 日:Microsoft 在 Microsoft 下载中心发布了 Download.Ject Payload 检测和删除工具 1.0 版。1.0 版可检测并删除目前已知的所有 Backdoor:W32/Berbew 特洛伊木马变种(A 至 H)。
症状
您可能会遇到下列一个或多个症状:
-
计算机性能下降或网络连接速度变慢。
-
在访问某些联机金融网站和 ISP 网站时出现消息或对话框,要求您提供 ATM 安全号码和信用卡信息。
原因
出现这种情况是因为您的计算机感染了 Backdoor:W32/Berbew 特洛伊木马。Backdoor:W32/Berbew 是由 Download.ject 特洛伊木马传播的。有关如何确定计算机是否感染了 Backdoor:W32/Berbew 变种的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/technet/security/incident/download_ject.mspx
解决方案
具有最新签名的防病毒软件有助于防止计算机感染 Backdoor:W32/Berbew 特洛伊木马。重要说明:我们还建议您使用 Internet 防火墙和具有最新签名的防病毒软件,并保持 Windows 和程序都处于最新状态。 有关如何预防病毒以及如何从病毒感染中恢复的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
129972计算机病毒:说明、预防和恢复
下载和安装信息
先决条件
Download.Ject Payload 检测和删除工具要求具备以下先决条件:
-
您的计算机必须运行 Microsoft Windows 2000 SP2 或更高版本,或者运行 32 位版本的 Microsoft Windows XP。
-
必须以计算机管理员或管理员组成员的身份登录。
有关如何确定计算机运行的是 32 位版本 Windows XP 还是 64 位版本 Windows XP 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827218如何确定计算机是在运行 Windows XP 的 32 位版本还是 64 位版本 如果不满足这些先决条件,则无法进行安装,并且会出现一条错误信息。有关该错误信息的更多信息,请查看下面的日志文件:
%Windir%\Debug\Berbcln.log另外,我们建议您在运行此删除工具之前,安装 Windows 更新以在 Internet Explorer 中禁用 ADOBE.stream 对象。尽管该删除工具可将特洛伊木马从受感染的计算机中删除,但如果计算机仍有漏洞,它无法防止再次感染。通过安装此关键更新,可以帮助防止从感染 Download.Ject 的服务器上再下载恶意软件。 有关安装 Windows 更新以禁用 ADOBE.stream 对象的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
870669如何在 Internet Explorer 中禁用 ADODB.Stream 对象
重新启动要求
安装此工具后,不需要重新启动计算机。
用法信息
重要说明:在按照下列步骤操作之前,请确保已备份所有重要数据。 在安装 Download.Ject Payload 检测和删除工具并接受最终用户许可协议 (EULA) 后,安装程序包将 Berbcln.exe 文件解压缩到一个临时文件夹,然后运行该删除工具。该删除工具将检查计算机是否满足“先决条件”一节中列出的先决条件。如果满足这些先决条件,该删除工具将执行下列操作:
-
该工具将检查以下注册表子键,寻找特洛伊木马添加的项:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
-
-
该工具会在内存中搜索,查看是否有 Backdoor:Win32/Berbew 特洛伊木马主组件存在的迹象。如果该删除工具找到此组件,就会结束该进程。
-
该工具将搜索特洛伊木马创建的下列数据文件。这些文件可能包含敏感的个人数据。该工具将删除这些文件。
Neh2x32.vxdNeh2x32.datGlumx32.vxdGlumx32.datTt32.vxdTt32.datGart32.vxdGart32.datJcole32.vxdJcole32.datKk32.dllKk32.dllDnkk.dllSurf.datKkq32.dllKkq32.vxdDnkkq.dllKar32.dllKar32.vxdDkk32.dllZurfs.dat
-
该工具将删除与 Backdoor:W32/Berbew 特洛伊木马相关联的所有文件。这些文件是在步骤 1 和 2 中确定的。
-
该工具将删除在步骤 1 中确定的注册表项。如果 Berbew 注册表值不再指向硬盘上的某个文件,该删除工具不会删除孤立的注册表值,原因是当硬盘上没有关联的文件时,该注册表值不会造成任何损害。
-
作为其操作方法的一部分,特洛伊木马会在隐藏窗口中运行两个 Microsoft Internet Explorer 实例。这些窗口会试图连接到恶意网站。一个实例试图上载窃取的个人数据,而另一个实例查找此特洛伊木马的软件更新。如果此工具在计算机上检测到 Backdoor:W32/ Berbew 特洛伊木马,它会结束当前运行的所有 Internet Explorer 实例。
-
该工具将显示一条消息,描述检测和删除过程的结果。下面的列表中包含您可能看到的消息,并对其意义做了解释。
消息
意义
未检测到感染
在此计算机上未检测到 Backdoor:Win32/Berbew 特洛伊木马。
成功删除了 Backdoor:Win32/Berbew.gen 特洛伊木马。为了防止恶意通信,终止了所有 Internet Explorer 实例。
已删除 Backdoor:Win32/Berbew 特洛伊木马。不需要执行其他操作。
必须由管理员来运行该工具。
您必须注销并以管理员身份重新登录。
致命错误,请查看日志文件。
请参见 %Windir%\Debug\Berbcln.log 目录以了解更多信息。
已检测到 Backdoor:/W32/Berbew.gen 特洛伊木马,但无法删除它。
尝试重新运行该工具,并检查日志文件中记录的错误。
该工具需要 Windows 2000 或 Windows XP。
Windows 2000 和 Windows XP 之外的 Windows 版本不支持此工具。
Windows 版本不正确 (Win32s)
在带有 Win32 的 Windows 3.1 上不支持该工具。
在关闭该消息框时,删除工具将退出,并将 Berbcln.exe 文件从临时文件夹中删除。现在,您可以手动删除 Windows-KB873018-CHS-V1.exe 文件了。
-
该删除工具会在 %Windir%\Debug 文件夹中创建一个名为 Berbcln.log 的日志文件。您可以查看此日志文件,确定是否检测到感染的 Backdoor:W32/Berbew.gen 以及是否删除了它们。
命令行开关
该删除工具安装程序支持以下命令行开关:
-
/Q - 在解压缩文件时,使用安静模式或不显示消息。
-
/Q:U - 使用用户安静模式。用户安静模式向用户显示某些对话框。
-
/Q:A - 使用管理员安静模式。管理员安静模式不向用户显示任何对话框。
-
/T:path - 指定 Download.Ject Payload 检测和删除工具安装程序所使用的临时文件夹的位置,或者指定用于解压缩文件(当此开关与 /C 开关一起使用时)的目标文件夹的位置。
-
/C - 解压缩文件但不安装它们。如果未指定 /T:path,系统将提示您指定目标文件夹。
-
/C:cmd - 指定另一个用于安装该工具的 Setup.inf 文件或 .exe 文件的路径和名称。
-
/R:N - 安装后从不重新启动计算机。
-
/R:I - 如果需要重新启动,则提示用户重启计算机,但此开关与 /Q:A 开关一起使用时除外。
-
/R:A - 在安装后总是重新启动计算机。
-
/R:S - 安装后在不提示用户的情况下重新启动计算机。
有关受支持的安装开关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197147自行安装更新文件的常见命令行参数该删除工具支持以下命令行开关:
-
/S - 对该工具启用安静模式。使用此开关时,在运行该工具后将不显示您收到的感染状态对话框。
删除信息
运行该删除工具后,会自动将 Berbcln.exe 文件从其临时位置删除。您可以在安装该删除工具后删除该工具的安装程序包。注意:在安装 Download.Ject Payload 检测和删除工具后,它不会显示在控制面板的“添加/删除程序”中的“安装的程序”列表中。
