此工具已不再可用。它已被 Microsoft Windows 恶意软件清除工具取代。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890830Microsoft Windows 恶意软件清除工具可帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件
概要
Microsoft 已了解到基于 Microsoft Windows 的客户机在感染 Download.Ject 恶意软件后会下载名为 W32/Berbew(变种 A-H)的特洛伊木马程序。当用户访问运行 Microsoft Internet 信息服务 (IIS) 的服务器承载的网站时,如果该服务器感染了 JS.Scob,就会出现此问题。下载到用户计算机的网页包含一个额外的 JavaScript 程序,该程序将会下载 Backdoor:W32/Berbew 特洛伊木马。Backdoor:W32/Berbew 也称为 Backdoor-AXJ、Webber 或 Padodor。该特洛伊木马程序在用户计算机上运行时会执行多项操作,包括:
-
它会监控 Internet 访问。当用户访问几个金融网站或 ISP 网站之一时,该特洛伊木马会捕获敏感信息,如登录名、密码和其他敏感信息。然后,特洛伊木马将该信息发送到某个 Web 服务器,以供此特洛伊木马的作者检索。它会安装一个代理服务器,该服务器对用户的计算机进行配置,将用户计算机作为执行某些操作(如发送垃圾邮件)的中继。
-
它会打开假冒的对话框,提示用户输入机密信息,如 ATM 卡代码或信用卡号。然后,此信息将发送到某个 Web 服务器,供该特洛伊木马的作者检索。
Microsoft 发布了可帮助您从计算机上删除 Backdoor:W32/Berbew 特洛伊木马变种的工具。您可从 Microsoft 下载中心下载此工具,并在计算机上运行该工具以删除感染的 Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C 以及 Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G 和 Backdoor:W32/Berbew.H 病毒。技术更新
-
2005 年 2 月 8 日:Microsoft 用 Microsoft Windows 恶意软件清除工具替换了此工具。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890830Microsoft Windows 恶意软件清除工具可帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件
-
2004 年 7 月 14 日:“概要”、“解决方案”和“用法信息”各节已更新。
-
2004 年 7 月 13 日:Microsoft 在 Microsoft 下载中心发布了 Download.Ject Payload 检测和删除工具 1.0 版。1.0 版可检测并删除目前已知的所有 Backdoor:W32/Berbew 特洛伊木马变种(A 至 H)。
症状
您可能会遇到下列一个或多个症状:
-
计算机性能下降或网络连接速度变慢。
-
在访问某些联机金融网站和 ISP 网站时出现消息或对话框,要求您提供 ATM 安全号码和信用卡信息。
原因
出现这种情况是因为您的计算机感染了 Backdoor:W32/Berbew 特洛伊木马。Backdoor:W32/Berbew 是由 Download.ject 特洛伊木马传播的。有关如何确定计算机是否感染了 Backdoor:W32/Berbew 变种的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/technet/security/incident/download_ject.mspx
解决方案
具有最新签名的防病毒软件有助于防止计算机感染 Backdoor:W32/Berbew 特洛伊木马。
重要说明:我们还建议您使用 Internet 防火墙和具有最新签名的防病毒软件,并保持 Windows 和程序都处于最新状态。
有关如何预防病毒以及如何从病毒感染中恢复的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
129972计算机病毒:说明、预防和恢复
下载和安装信息
先决条件
Download.Ject Payload 检测和删除工具要求具备以下先决条件:
-
您的计算机必须运行 Microsoft Windows 2000 SP2 或更高版本,或者运行 32 位版本的 Microsoft Windows XP。
-
必须以计算机管理员或管理员组成员的身份登录。
有关如何确定计算机运行的是 32 位版本 Windows XP 还是 64 位版本 Windows XP 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827218如何确定计算机是在运行 Windows XP 的 32 位版本还是 64 位版本
如果不满足这些先决条件,则无法进行安装,并且会出现一条错误信息。有关该错误信息的更多信息,请查看下面的日志文件:
%Windir%\Debug\Berbcln.log另外,我们建议您在运行此删除工具之前,安装 Windows 更新以在 Internet Explorer 中禁用 ADOBE.stream 对象。尽管该删除工具可将特洛伊木马从受感染的计算机中删除,但如果计算机仍有漏洞,它无法防止再次感染。通过安装此关键更新,可以帮助防止从感染 Download.Ject 的服务器上再下载恶意软件。
有关安装 Windows 更新以禁用 ADOBE.stream 对象的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
870669如何在 Internet Explorer 中禁用 ADODB.Stream 对象
重新启动要求
安装此工具后,不需要重新启动计算机。
用法信息
重要说明:在按照下列步骤操作之前,请确保已备份所有重要数据。
在安装 Download.Ject Payload 检测和删除工具并接受最终用户许可协议 (EULA) 后,安装程序包将 Berbcln.exe 文件解压缩到一个临时文件夹,然后运行该删除工具。该删除工具将检查计算机是否满足“先决条件”一节中列出的先决条件。如果满足这些先决条件,该删除工具将执行下列操作:
-
该工具将检查以下注册表子键,寻找特洛伊木马添加的项:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
-
-
该工具会在内存中搜索,查看是否有 Backdoor:Win32/Berbew 特洛伊木马主组件存在的迹象。如果该删除工具找到此组件,就会结束该进程。
-
该工具将搜索特洛伊木马创建的下列数据文件。这些文件可能包含敏感的个人数据。该工具将删除这些文件。
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat -
该工具将删除与 Backdoor:W32/Berbew 特洛伊木马相关联的所有文件。这些文件是在步骤 1 和 2 中确定的。
-
该工具将删除在步骤 1 中确定的注册表项。如果 Berbew 注册表值不再指向硬盘上的某个文件,该删除工具不会删除孤立的注册表值,原因是当硬盘上没有关联的文件时,该注册表值不会造成任何损害。
-
作为其操作方法的一部分,特洛伊木马会在隐藏窗口中运行两个 Microsoft Internet Explorer 实例。这些窗口会试图连接到恶意网站。一个实例试图上载窃取的个人数据,而另一个实例查找此特洛伊木马的软件更新。如果此工具在计算机上检测到 Backdoor:W32/ Berbew 特洛伊木马,它会结束当前运行的所有 Internet Explorer 实例。
-
该工具将显示一条消息,描述检测和删除过程的结果。下面的列表中包含您可能看到的消息,并对其意义做了解释。
消息
意义
未检测到感染
在此计算机上未检测到 Backdoor:Win32/Berbew 特洛伊木马。
成功删除了 Backdoor:Win32/Berbew.gen 特洛伊木马。为了防止恶意通信,终止了所有 Internet Explorer 实例。
已删除 Backdoor:Win32/Berbew 特洛伊木马。不需要执行其他操作。
必须由管理员来运行该工具。
您必须注销并以管理员身份重新登录。
致命错误,请查看日志文件。
请参见 %Windir%\Debug\Berbcln.log 目录以了解更多信息。
已检测到 Backdoor:/W32/Berbew.gen 特洛伊木马,但无法删除它。
尝试重新运行该工具,并检查日志文件中记录的错误。
该工具需要 Windows 2000 或 Windows XP。
Windows 2000 和 Windows XP 之外的 Windows 版本不支持此工具。
Windows 版本不正确 (Win32s)
在带有 Win32 的 Windows 3.1 上不支持该工具。
在关闭该消息框时,删除工具将退出,并将 Berbcln.exe 文件从临时文件夹中删除。现在,您可以手动删除 Windows-KB873018-CHS-V1.exe 文件了。
-
该删除工具会在 %Windir%\Debug 文件夹中创建一个名为 Berbcln.log 的日志文件。您可以查看此日志文件,确定是否检测到感染的 Backdoor:W32/Berbew.gen 以及是否删除了它们。
命令行开关
该删除工具安装程序支持以下命令行开关:
-
/Q - 在解压缩文件时,使用安静模式或不显示消息。
-
/Q:U - 使用用户安静模式。用户安静模式向用户显示某些对话框。
-
/Q:A - 使用管理员安静模式。管理员安静模式不向用户显示任何对话框。
-
/T:path - 指定 Download.Ject Payload 检测和删除工具安装程序所使用的临时文件夹的位置,或者指定用于解压缩文件(当此开关与 /C 开关一起使用时)的目标文件夹的位置。
-
/C - 解压缩文件但不安装它们。如果未指定 /T:path,系统将提示您指定目标文件夹。
-
/C:cmd - 指定另一个用于安装该工具的 Setup.inf 文件或 .exe 文件的路径和名称。
-
/R:N - 安装后从不重新启动计算机。
-
/R:I - 如果需要重新启动,则提示用户重启计算机,但此开关与 /Q:A 开关一起使用时除外。
-
/R:A - 在安装后总是重新启动计算机。
-
/R:S - 安装后在不提示用户的情况下重新启动计算机。
有关受支持的安装开关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197147自行安装更新文件的常见命令行参数
该删除工具支持以下命令行开关:
-
/S - 对该工具启用安静模式。使用此开关时,在运行该工具后将不显示您收到的感染状态对话框。
删除信息
运行该删除工具后,会自动将 Berbcln.exe 文件从其临时位置删除。您可以在安装该删除工具后删除该工具的安装程序包。
注意:在安装 Download.Ject Payload 检测和删除工具后,它不会显示在控制面板的“添加/删除程序”中的“安装的程序”列表中。
