Laden Sie das Ject Payload Detection and Removal Tool herunter
Dieses Tool ist nicht mehr verfügbar. Es wurde durch das Microsoft Windows Malicious Software Removal Tool ersetzt. Weitere Informationen zum Tool zum Entfernen bösartiger Software erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
890830 Das Microsoft Windows-Tool zum Entfernen bösartiger Software hilft dabei, bestimmte, weit verbreitete Schadsoftware von Computern zu entfernen, auf denen Windows Server 2003, Windows XP oder Windows 2000 ausgeführt wird
Zusammenfassung
Microsoft hat von einem Trojaner-Programm namens W32/Berbew (Varianten AH) erfahren, das heruntergeladen wird, nachdem ein Microsoft Windows-basierter Client-Computer mit der Download.Ject-Malware infiziert wurde. Dieses Problem tritt auf, wenn ein Benutzer eine Website besucht, die auf einem Server gehostet wird, auf dem Microsoft Internet Information Services (IIS) ausgeführt wird und die mit JS.Scob infiziert wurde. Die Webseiten, die auf den Computer des Benutzers heruntergeladen werden, enthalten ein zusätzliches JavaScript-Programm, das den Trojaner Backdoor:W32/Berbew herunterlädt. Backdoor:W32/Berbew ist auch als Backdoor-AXJ, Webber oder Padodor bekannt. Wenn dieser Trojaner auf dem Computer des Benutzers ausgeführt wird, führt er mehrere Aktionen aus, darunter die folgenden:
Es überwacht den Internetzugang. Wenn der Benutzer eine von mehreren Finanz- oder ISP-Websites besucht, erfasst das Trojanische Pferd vertrauliche Informationen wie Anmeldenamen, Passwörter und andere vertrauliche Informationen. Das Trojanische Pferd sendet diese Informationen dann an einen Webserver, damit der Autor des Trojanischen Pferdes sie abrufen kann. Es installiert einen Proxyserver, der den Computer des Benutzers so konfiguriert, dass er als Relay für Aktionen wie das Versenden von Spam dient.
Es werden gefälschte Dialogfelder geöffnet, in denen der Benutzer zur Eingabe vertraulicher Informationen wie Geldautomatenkartencodes oder Kreditkartennummern aufgefordert wird. Diese Informationen werden dann an einen Webserver gesendet, damit der Autor des Trojanischen Pferdes sie abrufen kann.
Microsoft hat ein Tool veröffentlicht, mit dem Sie Backdoor:W32/Berbew-Trojanervarianten von Ihrem Computer entfernen können. Sie können dieses Tool aus dem Microsoft Download Center herunterladen und auf Ihrem Computer ausführen, um Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C und Backdoor:W32/Berbew.D zu entfernen , Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G und Backdoor:W32/Berbew.H Infektionen.Technische Updates
8. Februar 2005: Microsoft hat dieses Tool durch das Microsoft Windows Malicious Software Removal Tool ersetzt. Weitere Informationen zum Tool zum Entfernen bösartiger Software erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
890830 Das Microsoft Windows-Tool zum Entfernen bösartiger Software hilft dabei, bestimmte, weit verbreitete Schadsoftware von Computern zu entfernen, auf denen Windows Server 2003, Windows XP oder Windows 2000 ausgeführt wird
14. Juli 2004: Die Abschnitte „Zusammenfassung", „Lösung" und „Nutzungsinformationen" wurden aktualisiert.
13. Juli 2004: Microsoft hat Version 1.0 des Download.Ject Payload Detection and Removal Tool im Microsoft Download Center veröffentlicht. Version 1.0 erkennt und entfernt alle derzeit bekannten Varianten (A bis H) des Backdoor:W32/Berbew-Trojaners.
Symptome
Möglicherweise treten bei Ihnen eines oder mehrere der folgenden Symptome auf:
Die Computerleistung ist verringert oder die Netzwerkverbindung ist langsam.
Wenn Sie bestimmte Online-Finanz- und ISP-Websites besuchen, erhalten Sie Meldungen oder Dialogfelder, in denen Sie nach Geldautomaten-Sicherheitsnummern und Kreditkarteninformationen gefragt werden.
Ursache
Dieses Verhalten tritt auf, weil Ihr Computer mit dem Trojaner Backdoor:W32/Berbew infiziert ist. Backdoor:W32/Berbew wird vom Download.Ject-Trojaner verbreitet. Weitere Informationen dazu, wie Sie feststellen können, ob Ihr Computer mit einer Variante von Backdoor:W32/Berbew infiziert ist, finden Sie auf der folgenden Microsoft-Website:
Auflösung
Antivirensoftware mit aktuellen Signaturen hilft dabei, zu verhindern, dass der Trojaner Backdoor:W32/Berbew Ihren Computer infiziert. Wichtig: Wir empfehlen Ihnen außerdem, eine Internet-Firewall und ein Antivirenprogramm mit aktuellen Signaturen zu verwenden und sowohl Windows als auch Ihre Programme auf dem neuesten Stand zu halten. Weitere Informationen zum Schutz vor Viren und zur Wiederherstellung nach Virusinfektionen erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
129972 Computerviren: Beschreibung, Prävention und Wiederherstellung
Informationen zum Herunterladen und Einrichten
Voraussetzungen
Für das Download.Ject Payload Detection and Removal Tool gelten folgende Voraussetzungen:
Auf Ihrem Computer muss Microsoft Windows 2000 SP2 oder höher oder eine 32-Bit-Version von Microsoft Windows XP ausgeführt werden.
Sie müssen sich als Computeradministrator oder als Mitglied der Administratorengruppe anmelden.
Für weitere Informationen dazu, wie Sie feststellen können, ob auf einem Computer eine 32-Bit-Version von Windows XP oder eine 64-Bit-Version von Windows XP ausgeführt wird, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
827218 So ermitteln Sie, ob auf Ihrem Computer eine 32-Bit-Version oder eine 64-Bit-Version des Windows-Betriebssystems ausgeführt wird Wenn diese Voraussetzungen nicht erfüllt sind, funktioniert die Installation nicht und Sie erhalten eine Fehlermeldung. Weitere Informationen zur Fehlermeldung finden Sie in der folgenden Protokolldatei:
%Windir%\Debug\Berbcln.logDarüber hinaus empfehlen wir, dass Sie das Windows-Update installieren, um das ADODB.stream-Objekt im Internet Explorer zu deaktivieren, bevor Sie das Entfernungstool ausführen. Obwohl das Entfernungsprogramm das Trojanische Pferd von infizierten Computern entfernt, kann es eine erneute Infektion nicht verhindern, wenn Ihr Computer immer noch anfällig ist. Durch die Installation des kritischen Updates können Sie dazu beitragen, zusätzliche Downloads von Malware von einem mit Download.Ject infizierten Server zu verhindern. Weitere Informationen zum Windows-Update zum Deaktivieren des ADODB.stream-Objekts erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
870669 So deaktivieren Sie das ADODB.Stream-Objekt im Internet Explorer
Neustartanforderung
Sie müssen Ihren Computer nach der Installation dieses Tools nicht neu starten.
Nutzungsinformationen
Wichtig Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass Sie alle wichtigen Daten gesichert haben. Wenn Sie das Download.Ject Payload Detection and Removal Tool installieren und die Endbenutzer-Lizenzvereinbarung (EULA) akzeptieren, extrahiert das Installationspaket die Datei Berbcln.exe in einen temporären Ordner und dann wird das Entfernungstool ausgeführt. Das Entfernungsprogramm überprüft, ob Ihr Computer die im Abschnitt „ Voraussetzungen " aufgeführten Voraussetzungen erfüllt. Wenn die Voraussetzungen erfüllt sind, führt das Entfernungstool die folgenden Aktionen aus:
Das Tool untersucht die folgenden Registrierungsunterschlüssel auf Einträge, die das Trojanische Pferd hinzugefügt hat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
Das Tool sucht im Speicher nach Hinweisen auf die Hauptkomponente des Backdoor:Win32/Berbew-Trojaners. Wenn das Entfernungstool dies findet, wird der Vorgang beendet.
Das Tool sucht nach den folgenden Datendateien, die das Trojanische Pferd erstellt hat. Diese Dateien können sensible personenbezogene Daten enthalten. Das Tool löscht diese Dateien.
Neh2x32.vxd Neh2x32.dat Glumx32.vxd Glumx32.dat Tt32.vxd Tt32.dat Gart32.vxd Gart32.dat Jcole32.vxd Jcole32.dat Kk32.dll Kk32.dll Dnkk.dll Surf.dat Kkq32.dll Kkq32.vxd Dnkkq.dll Kar32.dll Kar32.vxd Dkk32.dll Zurfs.dat
Das Tool löscht alle Dateien, die mit dem Trojaner Backdoor:W32/Berbew in Zusammenhang stehen. Diese Dateien wurden in den Schritten 1 und 2 identifiziert.
Das Tool entfernt die Registrierungseinträge, die es in Schritt 1 identifiziert hat. Wenn ein Berbew-Registrierungswert nicht mehr auf eine Datei auf der Festplatte verweist, entfernt das Entfernungstool den verwaisten Registrierungswert nicht, da der Registrierungswert keinen Schaden verursacht, wenn der Die zugehörige Datei ist nicht auf der Festplatte vorhanden.
Im Rahmen seiner Arbeitsweise führt der Trojaner zwei Instanzen von Microsoft Internet Explorer in versteckten Fenstern aus. Diese Fenster versuchen, eine Verbindung zu bösartigen Websites herzustellen. Eine Instanz versucht, gestohlene persönliche Daten hochzuladen, die andere sucht nach Software-Updates für den Trojaner. Wenn das Tool den Backdoor:W32/Berbew-Trojaner auf dem Computer erkennt, beendet das Tool alle derzeit ausgeführten Instanzen von Internet Explorer.
Das Tool zeigt eine Meldung an, die das Ergebnis des Erkennungs- und Entfernungsprozesses beschreibt. Die folgende Liste enthält die Nachrichten, die Sie möglicherweise erhalten, und erläutert deren Bedeutung.
Nachricht
Bedeutung
Keine Infektion festgestellt
Der Trojaner Backdoor:Win32/Berbew wurde auf diesem Computer nicht erkannt.
Backdoor:Win32/Berbew.gen-Trojaner erfolgreich entfernt. Um böswillige Kommunikation zu verhindern, wurden alle Instanzen von Internet Explorer beendet.
Das Trojanische Pferd Backdoor:Win32/Berbew wurde entfernt. Es sind keine weiteren Maßnahmen erforderlich.
Dieses Tool muss von einem Administrator ausgeführt werden.
Sie müssen sich abmelden und als Administrator erneut anmelden.
Schwerwiegender Fehler. Bitte überprüfen Sie die Protokolldatei.
Weitere Informationen finden Sie im Verzeichnis %Windir%\Debug\Berbcln.log.
Der Trojaner Backdoor:/W32/Berbew.gen wurde erkannt, konnte aber nicht entfernt werden.
Versuchen Sie, das Tool erneut auszuführen und überprüfen Sie die Protokolldatei auf Fehler.
Dieses Tool erfordert Windows 2000 oder Windows XP.
Dieses Tool wird auf anderen Windows-Versionen als Windows 2000 und Windows XP nicht unterstützt.
Falsche Windows-Version (Win32s)
Dieses Tool wird unter Windows 3.1 mit Win32s nicht unterstützt.
Wenn Sie das Meldungsfeld schließen, wird das Entfernungsprogramm beendet und die Datei Berbcln.exe wird aus dem temporären Ordner gelöscht. Sie können die Datei Windows-KB873018-ENU-V1.exe jetzt manuell löschen.
Das Entfernungstool erstellt eine Protokolldatei mit dem Namen Berbcln.log im Ordner %Windir%\Debug. Sie können diese Protokolldatei anzeigen, um festzustellen, ob Backdoor:W32/Berbew.gen-Infektionen erkannt und entfernt wurden.
Befehlszeilenschalter
Das Installationsprogramm des Entfernungstools unterstützt die folgenden Befehlszeilenoptionen:
/Q – Stillen Modus verwenden oder Meldungen unterdrücken, wenn die Dateien extrahiert werden.
/Q:U – Benutzer-Ruhemodus verwenden. Im benutzerruhigen Modus werden dem Benutzer einige Dialogfelder angezeigt.
/Q:A – Administrator-Ruhemodus verwenden. Im Administrator-Ruhemodus werden dem Benutzer keine Dialogfelder angezeigt.
/T: Pfad – Geben Sie den Speicherort des temporären Ordners an, der vom Setup-Programm des Download.Ject Payload Detection and Removal Tool verwendet wird, oder geben Sie den Zielordner zum Extrahieren von Dateien an (wenn dieser Schalter zusammen mit dem Schalter /C verwendet wird).
/C – Extrahieren Sie die Dateien, ohne sie zu installieren. Wenn /T: Wenn kein Pfad angegeben ist, werden Sie aufgefordert, einen Zielordner anzugeben.
/C: cmd – Geben Sie den Pfad und den Namen einer anderen Setup.inf-Datei oder einer .exe-Datei an, die zur Installation des Tools verwendet werden soll.
/R:N – Starten Sie den Computer nach der Installation niemals neu.
/R:I – Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist, außer wenn dieser Schalter mit dem Schalter /Q:A verwendet wird.
/R:A – Starten Sie den Computer nach der Installation immer neu.
/R:S – Starten Sie den Computer nach der Installation neu, ohne den Benutzer dazu aufzufordern
Weitere Informationen zu den unterstützten Installationsschaltern erhalten Sie, wenn Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
197147 Befehlszeilenschalter für IExpress-Softwareupdatepakete Das Entfernungstool unterstützt den folgenden Befehlszeilenschalter:
/S – Aktiviert den stillen Modus für das Tool. Dieser Schalter unterdrückt das Dialogfeld zum Infektionsstatus, das Sie nach der Ausführung des Tools erhalten.
Informationen zum Entfernen
Die Datei Berbcln.exe wird nach der Ausführung des Entfernungstools automatisch von ihrem temporären Speicherort gelöscht. Sie können das Installationspaket des Tools löschen, nachdem Sie das Entfernungstool installiert haben. Hinweis Nachdem Sie das Download.Ject Payload Detection and Removal Tool installiert haben, wird es nicht in der Liste der installierten Programme im Tool zum Hinzufügen/Entfernen von Programmen in der Systemsteuerung angezeigt.
Weitere Informationen
In neueren Versionen von Robocopy, wie z. B. Version XP010, ist der Schalter /SECFIX veraltet. Um Sicherheitsinformationen für vorhandene Zieldateien und -ordner zu aktualisieren, ohne Dateidaten zu kopieren, verwenden Sie den Schalter /IS zusammen mit dem Schalter /COPY ohne das D-Flag. Beispielsweise aktualisiert /IS /COPY:SOU alle Sicherheitsinformationen für alle ausgewählten Dateien, ohne Dateidaten zu kopieren. Weitere Informationen finden Sie im Thema „Selektives Kopieren von Dateidaten" in der Datei Robocopy.doc.
No comments:
Post a Comment