Download.Ject 內容偵測與移除工具


此工具不再提供使用, 因為此工具已經由 Microsoft Windows 惡意軟體移除工具所取代。
如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
890830 Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體

結論


對於在 Microsoft Windows 用戶端電腦感染 Download.Ject 惡意程式之後下載而來的 W32/Berbew (變種 A-H) 特洛伊木馬程式,著實讓 Microsoft 學了一課。當使用者造訪執行 Microsoft Internet Information Services (IIS) 且已經感染 JS.Scob 的伺服器上所裝載的網站時,發生了這個問題。下載至使用者電腦的網頁包含其他 JavaScript 程式,而該程式會下載 Backdoor:W32/Berbew 特洛伊木馬程式。Backdoor:W32/Berbew 也稱為 Backdoor-AXJ、Webber 或 Padodor。這個特洛伊木馬程式在使用者電腦上執行時,會執行數個動作,其中包括:
  • 監視網際網路的存取。當使用者造訪金融網站或 ISP 網站時,這個特洛伊木馬程式會擷取機密資訊,例如登入名稱、密碼和其他機密資訊。接著,特洛伊木馬程式會將這些資訊傳送到網頁伺服器,讓特洛伊木馬程式的撰寫者得以擷取。安裝 Proxy 伺服器,將使用者電腦設定用來做為某些動作的轉接點,例如傳送垃圾郵件的這類動作。
  • 這個特洛伊木馬程式會開啟假造的對話方塊,提示使用者輸入機密資訊,例如金融卡卡號或信用卡卡號。接著將這些資訊傳送到網頁伺服器,讓特洛伊木馬程式的撰寫者得以擷取。
Microsoft 已經發行工具,可以協助您移除電腦上的 Backdoor:W32/Berbew 特洛伊木馬程式變種。您可以從「Microsoft 下載中心」下載這個工具並在電腦上執行,以移除 Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C 和 Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G 和 Backdoor:W32/Berbew.H 的感染。
技術更新
  • 2005 年 2 月 8 日:Microsoft 已經使用「Microsoft Windows 惡意軟體移除工具」來取代這個工具。
    如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    890830 Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體

  • 2004 年 7 月 14 日:<結論>、<解決方案>和<使用資訊>三個章節已經更新過了。
  • 2004 年 7 月 13 日:Microsoft 已經在「Microsoft 下載中心」發佈「Download.Ject 內容偵測與移除工具」的 1.0 版本。1.0 版會偵測並移除所有目前已知的 Backdoor:W32/Berbew 特洛伊木馬程式變種 (A 到 H)。

徵狀


您可能會遇到下列一或多個徵狀:
  • 電腦效能降低或網路連線速度變慢。
  • 在造訪某些線上金融網站或 ISP 網站時,您會收到要求輸入金融卡卡號和信用卡資訊的訊息或對話方塊。

發生的原因


之所以發生這個問題,是因為電腦已感染 Backdoor:W32/Berbew 特洛伊木馬程式所造成的,而 Backdoor:W32/Berbew 是經由 Download.Ject 特洛伊木馬程式所傳遞的。如需有關如何判斷電腦是否感染 Backdoor:W32/Berbew 變種的詳細資訊,請造訪下列 Microsoft 網站:

解決方案


防火牆和最新的防毒軟體有助於防止電腦感染 Backdoor:W32/Berbew 特洛伊木馬程式。

重要 我們建議您使用網際網路防火牆,以及具有最新簽章的防毒程式,並且使您的 Windows 和程式保持在最新狀態。

如需有關如何預防感染病毒,以及從病毒感染復原的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
129972 電腦病毒:說明、預防和修復

下載與安裝資訊

先決條件

使用「Download.Ject 內容偵測與移除工具」需要具有下列先決條件:
  • 您的電腦必須執行 Microsoft Windows 2000 SP2 或更新的版本,或 32 位元版本的 Microsoft Windows XP。
  • 您必須以電腦系統管理員或系統管理員群組成員的身分登入。
如需有關如何判斷電腦是否正在執行 32 位元或 64 位元版本 Windows XP 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827218 HOW TO:Determine Whether Your Computer Is Running a 32-Bit Version or 64-Bit Version of Windows XP

如果未符合這些先決條件,就無法完成安裝,並且您會收到錯誤訊息。如需有關錯誤訊息的詳細資訊,請檢視下列記錄檔:
%Windir%\Debug\Berbcln.log
此外,建議您在執行此移除工具之前,先安裝 Windows Update 以停用 Internet Explorer 中的 ADODB.stream 物件。雖然移除工具可以移除受感染電腦上的特洛伊木馬程式,但是如果您的電腦仍有弱點存在,並不會防止電腦再次受到感染。藉由安裝這個重大更新,將有助於防止從感染 Download.Ject 的伺服器下載其他的惡意程式。

如需有關以 Windows Update 停用 ADODB.stream 物件的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
870669 如何從 Internet Explorer 停用 ADODB.Stream 物件

重新啟動需求

安裝此工具之後,您不必重新啟動電腦。

使用資訊

重要 執行下列步驟之前,請確定您已經備份所有的重要資料。

當您安裝「Download.Ject 內容偵測與移除工具」,並接受使用者授權合約 (EULA) 時,安裝套件會將 Berbcln.exe 檔案解壓縮至暫存資料夾,然後執行移除工具。移除工具會檢查您的電腦是否符合<先決條件>一節所列的需求。如果符合先決條件,移除工具就會執行下列動作:
  1. 工具會檢查下列特洛伊木馬程式所新增項目的登錄子機碼。
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. 工具會在記憶體中搜尋是否有 Backdoor:Win32/Berbew 特洛伊木馬程式元件存在的跡象。如果移除工具有所發現,就會結束處理程序。
  3. 工具會搜尋下列特洛伊木馬程式所建立的資料檔案。這些檔案中可能含有個人機密資料。工具會刪除這些檔案。
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. 工具會刪除所有與 Backdoor:W32/Berbew 特洛伊木馬程式相關的檔案。這些檔案是執行步驟 1 和 2 而找到的。
  5. 工具會移除步驟 1 所識別的登錄項目。如果 Berbew 登錄值不再指向硬碟上的檔案,移除工具就不會移除遺棄的登錄值,因為當硬碟上沒有相關檔案時,登錄值也就不具有任何危險性。
  6. 以隱藏的視窗執行兩個 Microsoft Internet Explorer 執行個體,是特洛伊木馬程式運作方法的一部分。這些視窗會嘗試連線到惡意網站,一個執行個體會嘗試上載竊取到的個人資料,而另一個執行個體會查看特洛伊木馬程式是否有軟體更新。如果工具在電腦上偵測到 Backdoor:W32/ Berbew 特洛伊木馬程式,就會結束所有正在執行的 Internet Explorer 執行個體。
  7. 工具會顯示訊息說明偵測及移除處理的結果。下列清單列出您可能會收到的訊息,以及這些訊息所代表的意思。
    訊息意思
    No infection detected (未偵測到任何感染)這部電腦上沒有偵測到 Backdoor:Win32/Berbew 特洛伊木馬程式。
    Successfully removed Backdoor:Win32/Berbew.gen Trojan.To prevent malicious communication, all instances of Internet Explorer were terminated. (成功移除 Backdoor:Win32/Berbew.gen 特洛伊木馬程式。為了防止惡意的通訊,已經終止所有 Internet Explorer 執行個體)已經移除 Backdoor:Win32/Berbew 特洛伊木馬程式。不需執行其他操作。
    This tool must be run by an administrator. (系統管理員才能執行此工具)您必須先登出再以系統管理員身分登入。
    Fatal error, please review log file. (嚴重錯誤,請檢閱記錄檔)如需詳細資訊,請參閱 %Windir%\Debug\Berbcln.log 目錄。
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (偵測到 Backdoor:/W32/Berbew.gen 特洛伊木馬程式,但無法移除)嘗試再執行一次工具,並檢查錯誤的記錄檔。
    This tool requires Windows 2000 or Windows XP. (此工具需要 Windows 2000 或 Windows XP)此工具不支援 Windows 2000 和 Windows XP 以外的 Windows 版本。
    Incorrect Windows version (Win32s) (不正確的 Windows 版本 (Win32))具有 Win32 的 Windows 3.1 不支援此工具。
    關閉訊息方塊之後,移除工具就會結束並從暫時資料夾中刪除 Berbcln.exe 檔案。現在,您可以手動刪除 Windows-KB873018-ENU-V1.exe 檔案。
  8. 移除工具會在 %Windir%\Debug 資料夾中建立名為 Berbcln.log 的記錄檔。您可以檢視此記錄檔,看看是否已經偵測到或移除 Backdoor:W32/Berbew.gen 的感染。

命令列參數

移除工具安裝程式支援下列命令列參數:
  • /Q - 解壓縮檔案時,指定無訊息模式或隱藏訊息。
  • /Q:U - 指定使用者無訊息模式。使用者無訊息模式會對使用者顯示一些對話方塊。
  • /Q:A - 指定系統管理員無訊息模式。系統管理員無訊息模式不會對使用者顯示任何對話方塊。
  • /T:
    path
    - 指定「Download.Ject 內容偵測與移除工具」安裝程式所使用暫存資料夾的位置,或指定檔案解壓縮的目標資料夾 (如果與 /C 參數搭配使用)。
  • /C - 解壓縮檔案,但不進行安裝。如果未指定 /T:
    path
    ,系統會提示您指定目標資料夾。
  • /C:
    cmd
    - 指定另一個 Setup.inf 檔或 .exe 檔的路徑和名稱,用來安裝工具。
  • /R:N - 安裝之後一律不重新啟動電腦。
  • /R:I - 如果需要重新啟動,就提示使用者重新啟動電腦,但是搭配 /Q:A 參數使用時,則不重新啟動。
  • /R:A - 安裝之後,一律重新啟動電腦。
  • /R:S - 安裝之後重新啟動電腦,不提示使用者。
如需有關受支援安裝參數的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197147 IExpress 軟體更新套件的命令列參數

此移除工具支援下列命令列參數:
  • /S - 啟用工具的無訊息模式。此參數會隱藏執行工具之後您收到的感染狀態對話方塊。

移除資訊

移除工具執行完成之後,就會自動從暫時位置刪除 Berbcln.exe 檔。安裝移除工具之後,您就可以刪除工具的安裝程式套件。

注意 安裝「Download.Ject 內容偵測與移除工具」之後,此工具並不會出現在 [控制台] 中 [新增/移除程式] 工具的
[目前安裝的程式] 清單中。