Download.Ject Payload 检测和删除工具

此工具已不再可用。它已被 Microsoft Windows 恶意软件清除工具取代。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

890830Microsoft Windows 恶意软件清除工具可帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件

概要

Microsoft 已了解到基于 Microsoft Windows 的客户机在感染 Download.Ject 恶意软件后会下载名为 W32/Berbew(变种 A-H)的特洛伊木马程序。当用户访问运行 Microsoft Internet 信息服务 (IIS) 的服务器承载的网站时,如果该服务器感染了 JS.Scob,就会出现此问题。下载到用户计算机的网页包含一个额外的 JavaScript 程序,该程序将会下载 Backdoor:W32/Berbew 特洛伊木马。Backdoor:W32/Berbew 也称为 Backdoor-AXJ、Webber 或 Padodor。该特洛伊木马程序在用户计算机上运行时会执行多项操作,包括:

  • 它会监控 Internet 访问。当用户访问几个金融网站或 ISP 网站之一时,该特洛伊木马会捕获敏感信息,如登录名、密码和其他敏感信息。然后,特洛伊木马将该信息发送到某个 Web 服务器,以供此特洛伊木马的作者检索。它会安装一个代理服务器,该服务器对用户的计算机进行配置,将用户计算机作为执行某些操作(如发送垃圾邮件)的中继。

  • 它会打开假冒的对话框,提示用户输入机密信息,如 ATM 卡代码或信用卡号。然后,此信息将发送到某个 Web 服务器,供该特洛伊木马的作者检索。

Microsoft 发布了可帮助您从计算机上删除 Backdoor:W32/Berbew 特洛伊木马变种的工具。您可从 Microsoft 下载中心下载此工具,并在计算机上运行该工具以删除感染的 Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C 以及 Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G 和 Backdoor:W32/Berbew.H 病毒。技术更新

  • 2005 年 2 月 8 日:Microsoft 用 Microsoft Windows 恶意软件清除工具替换了此工具。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    890830Microsoft Windows 恶意软件清除工具可帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件

  • 2004 年 7 月 14 日:“概要”、“解决方案”和“用法信息”各节已更新。

  • 2004 年 7 月 13 日:Microsoft 在 Microsoft 下载中心发布了 Download.Ject Payload 检测和删除工具 1.0 版。1.0 版可检测并删除目前已知的所有 Backdoor:W32/Berbew 特洛伊木马变种(A 至 H)。

症状

您可能会遇到下列一个或多个症状:

  • 计算机性能下降或网络连接速度变慢。

  • 在访问某些联机金融网站和 ISP 网站时出现消息或对话框,要求您提供 ATM 安全号码和信用卡信息。

原因

出现这种情况是因为您的计算机感染了 Backdoor:W32/Berbew 特洛伊木马。Backdoor:W32/Berbew 是由 Download.ject 特洛伊木马传播的。有关如何确定计算机是否感染了 Backdoor:W32/Berbew 变种的更多信息,请访问下面的 Microsoft 网站:

http://www.microsoft.com/china/technet/security/incident/download_ject.mspx

解决方案

具有最新签名的防病毒软件有助于防止计算机感染 Backdoor:W32/Berbew 特洛伊木马。

重要说明:我们还建议您使用 Internet 防火墙和具有最新签名的防病毒软件,并保持 Windows 和程序都处于最新状态。

有关如何预防病毒以及如何从病毒感染中恢复的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

129972计算机病毒:说明、预防和恢复

下载和安装信息

先决条件

Download.Ject Payload 检测和删除工具要求具备以下先决条件:

  • 您的计算机必须运行 Microsoft Windows 2000 SP2 或更高版本,或者运行 32 位版本的 Microsoft Windows XP。

  • 必须以计算机管理员或管理员组成员的身份登录。

有关如何确定计算机运行的是 32 位版本 Windows XP 还是 64 位版本 Windows XP 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

827218如何确定计算机是在运行 Windows XP 的 32 位版本还是 64 位版本

如果不满足这些先决条件,则无法进行安装,并且会出现一条错误信息。有关该错误信息的更多信息,请查看下面的日志文件:

%Windir%\Debug\Berbcln.log另外,我们建议您在运行此删除工具之前,安装 Windows 更新以在 Internet Explorer 中禁用 ADOBE.stream 对象。尽管该删除工具可将特洛伊木马从受感染的计算机中删除,但如果计算机仍有漏洞,它无法防止再次感染。通过安装此关键更新,可以帮助防止从感染 Download.Ject 的服务器上再下载恶意软件。

有关安装 Windows 更新以禁用 ADOBE.stream 对象的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

870669如何在 Internet Explorer 中禁用 ADODB.Stream 对象

重新启动要求

安装此工具后,不需要重新启动计算机。

用法信息

重要说明:在按照下列步骤操作之前,请确保已备份所有重要数据。

在安装 Download.Ject Payload 检测和删除工具并接受最终用户许可协议 (EULA) 后,安装程序包将 Berbcln.exe 文件解压缩到一个临时文件夹,然后运行该删除工具。该删除工具将检查计算机是否满足“先决条件”一节中列出的先决条件。如果满足这些先决条件,该删除工具将执行下列操作:

  1. 该工具将检查以下注册表子键,寻找特洛伊木马添加的项:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. 该工具会在内存中搜索,查看是否有 Backdoor:Win32/Berbew 特洛伊木马主组件存在的迹象。如果该删除工具找到此组件,就会结束该进程。

  3. 该工具将搜索特洛伊木马创建的下列数据文件。这些文件可能包含敏感的个人数据。该工具将删除这些文件。

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. 该工具将删除与 Backdoor:W32/Berbew 特洛伊木马相关联的所有文件。这些文件是在步骤 1 和 2 中确定的。

  5. 该工具将删除在步骤 1 中确定的注册表项。如果 Berbew 注册表值不再指向硬盘上的某个文件,该删除工具不会删除孤立的注册表值,原因是当硬盘上没有关联的文件时,该注册表值不会造成任何损害。

  6. 作为其操作方法的一部分,特洛伊木马会在隐藏窗口中运行两个 Microsoft Internet Explorer 实例。这些窗口会试图连接到恶意网站。一个实例试图上载窃取的个人数据,而另一个实例查找此特洛伊木马的软件更新。如果此工具在计算机上检测到 Backdoor:W32/ Berbew 特洛伊木马,它会结束当前运行的所有 Internet Explorer 实例。

  7. 该工具将显示一条消息,描述检测和删除过程的结果。下面的列表中包含您可能看到的消息,并对其意义做了解释。

    消息

    意义

    未检测到感染

    在此计算机上未检测到 Backdoor:Win32/Berbew 特洛伊木马。

    成功删除了 Backdoor:Win32/Berbew.gen 特洛伊木马。为了防止恶意通信,终止了所有 Internet Explorer 实例。

    已删除 Backdoor:Win32/Berbew 特洛伊木马。不需要执行其他操作。

    必须由管理员来运行该工具。

    您必须注销并以管理员身份重新登录。

    致命错误,请查看日志文件。

    请参见 %Windir%\Debug\Berbcln.log 目录以了解更多信息。

    已检测到 Backdoor:/W32/Berbew.gen 特洛伊木马,但无法删除它。

    尝试重新运行该工具,并检查日志文件中记录的错误。

    该工具需要 Windows 2000 或 Windows XP。

    Windows 2000 和 Windows XP 之外的 Windows 版本不支持此工具。

    Windows 版本不正确 (Win32s)

    在带有 Win32 的 Windows 3.1 上不支持该工具。

    在关闭该消息框时,删除工具将退出,并将 Berbcln.exe 文件从临时文件夹中删除。现在,您可以手动删除 Windows-KB873018-CHS-V1.exe 文件了。

  8. 该删除工具会在 %Windir%\Debug 文件夹中创建一个名为 Berbcln.log 的日志文件。您可以查看此日志文件,确定是否检测到感染的 Backdoor:W32/Berbew.gen 以及是否删除了它们。

命令行开关

该删除工具安装程序支持以下命令行开关:

  • /Q - 在解压缩文件时,使用安静模式或不显示消息。

  • /Q:U - 使用用户安静模式。用户安静模式向用户显示某些对话框。

  • /Q:A - 使用管理员安静模式。管理员安静模式不向用户显示任何对话框。

  • /T:path - 指定 Download.Ject Payload 检测和删除工具安装程序所使用的临时文件夹的位置,或者指定用于解压缩文件(当此开关与 /C 开关一起使用时)的目标文件夹的位置。

  • /C - 解压缩文件但不安装它们。如果未指定 /T:path,系统将提示您指定目标文件夹。

  • /C:cmd - 指定另一个用于安装该工具的 Setup.inf 文件或 .exe 文件的路径和名称。

  • /R:N - 安装后从不重新启动计算机。

  • /R:I - 如果需要重新启动,则提示用户重启计算机,但此开关与 /Q:A 开关一起使用时除外。

  • /R:A - 在安装后总是重新启动计算机。

  • /R:S - 安装后在不提示用户的情况下重新启动计算机。

有关受支持的安装开关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

197147自行安装更新文件的常见命令行参数

该删除工具支持以下命令行开关:

  • /S - 对该工具启用安静模式。使用此开关时,在运行该工具后将不显示您收到的感染状态对话框。

删除信息

运行该删除工具后,会自动将 Berbcln.exe 文件从其临时位置删除。您可以在安装该删除工具后删除该工具的安装程序包。

注意:在安装 Download.Ject Payload 检测和删除工具后,它不会显示在控制面板的“添加/删除程序”中的“安装的程序”列表中。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?

哪些因素影响了你的体验?

是否还有其他反馈?(可选)

谢谢您的反馈意见!

×