此工具不再提供使用, 因為此工具已經由 Microsoft Windows 惡意軟體移除工具所取代。
如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
890830Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體
結論
對於在 Microsoft Windows 用戶端電腦感染 Download.Ject 惡意程式之後下載而來的 W32/Berbew (變種 A-H) 特洛伊木馬程式,著實讓 Microsoft 學了一課。當使用者造訪執行 Microsoft Internet Information Services (IIS) 且已經感染 JS.Scob 的伺服器上所裝載的網站時,發生了這個問題。下載至使用者電腦的網頁包含其他 JavaScript 程式,而該程式會下載 Backdoor:W32/Berbew 特洛伊木馬程式。Backdoor:W32/Berbew 也稱為 Backdoor-AXJ、Webber 或 Padodor。這個特洛伊木馬程式在使用者電腦上執行時,會執行數個動作,其中包括:
-
監視網際網路的存取。當使用者造訪金融網站或 ISP 網站時,這個特洛伊木馬程式會擷取機密資訊,例如登入名稱、密碼和其他機密資訊。接著,特洛伊木馬程式會將這些資訊傳送到網頁伺服器,讓特洛伊木馬程式的撰寫者得以擷取。安裝 Proxy 伺服器,將使用者電腦設定用來做為某些動作的轉接點,例如傳送垃圾郵件的這類動作。
-
這個特洛伊木馬程式會開啟假造的對話方塊,提示使用者輸入機密資訊,例如金融卡卡號或信用卡卡號。接著將這些資訊傳送到網頁伺服器,讓特洛伊木馬程式的撰寫者得以擷取。
Microsoft 已經發行工具,可以協助您移除電腦上的 Backdoor:W32/Berbew 特洛伊木馬程式變種。您可以從「Microsoft 下載中心」下載這個工具並在電腦上執行,以移除 Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C 和 Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G 和 Backdoor:W32/Berbew.H 的感染。技術更新
-
2005 年 2 月 8 日:Microsoft 已經使用「Microsoft Windows 惡意軟體移除工具」來取代這個工具。
如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:890830Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體
-
2004 年 7 月 14 日:<結論>、<解決方案>和<使用資訊>三個章節已經更新過了。
-
2004 年 7 月 13 日:Microsoft 已經在「Microsoft 下載中心」發佈「Download.Ject 內容偵測與移除工具」的 1.0 版本。1.0 版會偵測並移除所有目前已知的 Backdoor:W32/Berbew 特洛伊木馬程式變種 (A 到 H)。
徵狀
您可能會遇到下列一或多個徵狀:
-
電腦效能降低或網路連線速度變慢。
-
在造訪某些線上金融網站或 ISP 網站時,您會收到要求輸入金融卡卡號和信用卡資訊的訊息或對話方塊。
發生的原因
之所以發生這個問題,是因為電腦已感染 Backdoor:W32/Berbew 特洛伊木馬程式所造成的,而 Backdoor:W32/Berbew 是經由 Download.Ject 特洛伊木馬程式所傳遞的。如需有關如何判斷電腦是否感染 Backdoor:W32/Berbew 變種的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/security/incident/Download_Ject.mspx
解決方案
防火牆和最新的防毒軟體有助於防止電腦感染 Backdoor:W32/Berbew 特洛伊木馬程式。
重要 我們建議您使用網際網路防火牆,以及具有最新簽章的防毒程式,並且使您的 Windows 和程式保持在最新狀態。
如需有關如何預防感染病毒,以及從病毒感染復原的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
129972電腦病毒:說明、預防和修復
下載與安裝資訊
先決條件
使用「Download.Ject 內容偵測與移除工具」需要具有下列先決條件:
-
您的電腦必須執行 Microsoft Windows 2000 SP2 或更新的版本,或 32 位元版本的 Microsoft Windows XP。
-
您必須以電腦系統管理員或系統管理員群組成員的身分登入。
如需有關如何判斷電腦是否正在執行 32 位元或 64 位元版本 Windows XP 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827218HOW TO:Determine Whether Your Computer Is Running a 32-Bit Version or 64-Bit Version of Windows XP
如果未符合這些先決條件,就無法完成安裝,並且您會收到錯誤訊息。如需有關錯誤訊息的詳細資訊,請檢視下列記錄檔:
%Windir%\Debug\Berbcln.log此外,建議您在執行此移除工具之前,先安裝 Windows Update 以停用 Internet Explorer 中的 ADODB.stream 物件。雖然移除工具可以移除受感染電腦上的特洛伊木馬程式,但是如果您的電腦仍有弱點存在,並不會防止電腦再次受到感染。藉由安裝這個重大更新,將有助於防止從感染 Download.Ject 的伺服器下載其他的惡意程式。
如需有關以 Windows Update 停用 ADODB.stream 物件的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
870669如何從 Internet Explorer 停用 ADODB.Stream 物件
重新啟動需求
安裝此工具之後,您不必重新啟動電腦。
使用資訊
重要 執行下列步驟之前,請確定您已經備份所有的重要資料。
當您安裝「Download.Ject 內容偵測與移除工具」,並接受使用者授權合約 (EULA) 時,安裝套件會將 Berbcln.exe 檔案解壓縮至暫存資料夾,然後執行移除工具。移除工具會檢查您的電腦是否符合<先決條件>一節所列的需求。如果符合先決條件,移除工具就會執行下列動作:
-
工具會檢查下列特洛伊木馬程式所新增項目的登錄子機碼。
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
-
-
工具會在記憶體中搜尋是否有 Backdoor:Win32/Berbew 特洛伊木馬程式元件存在的跡象。如果移除工具有所發現,就會結束處理程序。
-
工具會搜尋下列特洛伊木馬程式所建立的資料檔案。這些檔案中可能含有個人機密資料。工具會刪除這些檔案。
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat -
工具會刪除所有與 Backdoor:W32/Berbew 特洛伊木馬程式相關的檔案。這些檔案是執行步驟 1 和 2 而找到的。
-
工具會移除步驟 1 所識別的登錄項目。如果 Berbew 登錄值不再指向硬碟上的檔案,移除工具就不會移除遺棄的登錄值,因為當硬碟上沒有相關檔案時,登錄值也就不具有任何危險性。
-
以隱藏的視窗執行兩個 Microsoft Internet Explorer 執行個體,是特洛伊木馬程式運作方法的一部分。這些視窗會嘗試連線到惡意網站,一個執行個體會嘗試上載竊取到的個人資料,而另一個執行個體會查看特洛伊木馬程式是否有軟體更新。如果工具在電腦上偵測到 Backdoor:W32/ Berbew 特洛伊木馬程式,就會結束所有正在執行的 Internet Explorer 執行個體。
-
工具會顯示訊息說明偵測及移除處理的結果。下列清單列出您可能會收到的訊息,以及這些訊息所代表的意思。
訊息
意思
No infection detected (未偵測到任何感染)
這部電腦上沒有偵測到 Backdoor:Win32/Berbew 特洛伊木馬程式。
Successfully removed Backdoor:Win32/Berbew.gen Trojan.To prevent malicious communication, all instances of Internet Explorer were terminated. (成功移除 Backdoor:Win32/Berbew.gen 特洛伊木馬程式。為了防止惡意的通訊,已經終止所有 Internet Explorer 執行個體)
已經移除 Backdoor:Win32/Berbew 特洛伊木馬程式。不需執行其他操作。
This tool must be run by an administrator. (系統管理員才能執行此工具)
您必須先登出再以系統管理員身分登入。
Fatal error, please review log file. (嚴重錯誤,請檢閱記錄檔)
如需詳細資訊,請參閱 %Windir%\Debug\Berbcln.log 目錄。
Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. (偵測到 Backdoor:/W32/Berbew.gen 特洛伊木馬程式,但無法移除)
嘗試再執行一次工具,並檢查錯誤的記錄檔。
This tool requires Windows 2000 or Windows XP. (此工具需要 Windows 2000 或 Windows XP)
此工具不支援 Windows 2000 和 Windows XP 以外的 Windows 版本。
Incorrect Windows version (Win32s) (不正確的 Windows 版本 (Win32))
具有 Win32 的 Windows 3.1 不支援此工具。
關閉訊息方塊之後,移除工具就會結束並從暫時資料夾中刪除 Berbcln.exe 檔案。現在,您可以手動刪除 Windows-KB873018-ENU-V1.exe 檔案。
-
移除工具會在 %Windir%\Debug 資料夾中建立名為 Berbcln.log 的記錄檔。您可以檢視此記錄檔,看看是否已經偵測到或移除 Backdoor:W32/Berbew.gen 的感染。
命令列參數
移除工具安裝程式支援下列命令列參數:
-
/Q - 解壓縮檔案時,指定無訊息模式或隱藏訊息。
-
/Q:U - 指定使用者無訊息模式。使用者無訊息模式會對使用者顯示一些對話方塊。
-
/Q:A - 指定系統管理員無訊息模式。系統管理員無訊息模式不會對使用者顯示任何對話方塊。
-
/T:
path - 指定「Download.Ject 內容偵測與移除工具」安裝程式所使用暫存資料夾的位置,或指定檔案解壓縮的目標資料夾 (如果與 /C 參數搭配使用)。 -
/C - 解壓縮檔案,但不進行安裝。如果未指定 /T:
path,系統會提示您指定目標資料夾。 -
/C:
cmd - 指定另一個 Setup.inf 檔或 .exe 檔的路徑和名稱,用來安裝工具。 -
/R:N - 安裝之後一律不重新啟動電腦。
-
/R:I - 如果需要重新啟動,就提示使用者重新啟動電腦,但是搭配 /Q:A 參數使用時,則不重新啟動。
-
/R:A - 安裝之後,一律重新啟動電腦。
-
/R:S - 安裝之後重新啟動電腦,不提示使用者。
如需有關受支援安裝參數的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197147IExpress 軟體更新套件的命令列參數
此移除工具支援下列命令列參數:
-
/S - 啟用工具的無訊息模式。此參數會隱藏執行工具之後您收到的感染狀態對話方塊。
移除資訊
移除工具執行完成之後,就會自動從暫時位置刪除 Berbcln.exe 檔。安裝移除工具之後,您就可以刪除工具的安裝程式套件。
注意 安裝「Download.Ject 內容偵測與移除工具」之後,此工具並不會出現在 [控制台] 中 [新增/移除程式] 工具的
[目前安裝的程式] 清單中。
