Oplossing
Met behulp van antivirussoftware met bijgewerkte virusdefinities kunt u voorkomen dat uw computer besmet raakt met het Trojaanse paard Backdoor:W32/Berbew.
Belangrijk Het is ook raadzaam gebruik te maken van een internetfirewall en een antivirusprogramma met bijgewerkte virusdefinities. Zorg er bovendien voor dat zowel Windows als uw programma's steeds zijn bijgewerkt.
Voor meer informatie over het voorkomen en verwijderen van virussen klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
129972 Computervirussen: beschrijving, preventie en herstel
Informatie over downloaden en installeren
Vereisten
Voor het detectie- en verwijderingshulpprogramma voor Download.Ject Payload gelden de volgende vereisten:
- Op uw computer moet Microsoft Windows 2000 SP2 of hoger of een 32-bits versie van Microsoft Windows XP worden uitgevoerd.
- U moet zijn aangemeld als computerbeheerder of als lid van de groep Administrators.
Klik op het volgende artikel in de Microsoft Knowledge Base voor meer informatie over de manier waarop u kunt controleren of op een computer een 32-bits of een 64-bits versie van Windows XP wordt uitgevoerd:
827218 Bepalen of op uw computer een 32-bits of 64-bits versie van Windows XP is geïnstalleerd
Als niet aan deze voorwaarden wordt voldaan, werkt de installatie niet en verschijnt er een foutbericht. Bekijk het volgende logboekbestand voor meer informatie over het foutbericht:
%Windir%\Debug\Berbcln.log
Het is bovendien raadzaam de Windows-update te installeren om het ADODB.stream-object in Internet Explorer uit te schakelen voordat u het hulpprogramma uitvoert. Hoewel met het hulpprogramma weliswaar het Trojaanse paard van geïnfecteerde computers kan worden verwijderd, wordt daarmee niet voorkomen dat uw computer opnieuw wordt geïnfecteerd wanneer deze nog steeds niet goed is beveiligd. Door de essentiële update te installeren kunt u voorkomen dat er opnieuw schadelijke software wordt gedownload van een server die is geïnfecteerd met Download.Ject.
Klik voor meer informatie over de Windows-update voor het uitschakelen van het ADODB.Stream-object op het volgende artikelnummer in de Microsoft Knowledge Base:
870669 Het ADODB.Stream-object uitschakelen vanuit Internet Explorer
Computer opnieuw opstarten
U hoeft de computer niet opnieuw op te starten nadat u dit hulpprogramma hebt geïnstalleerd.
Informatie over het gebruik
Belangrijk Maak een reservekopie van alle belangrijke gegevens voordat u deze stappen uitvoert.
Wanneer u het detectie- en verwijderingshulpprogramma voor Download.Ject Payload installeert en de gebruiksrechtovereenkomst accepteert, wordt het bestand Berbcln.exe uitgepakt in een tijdelijke map en wordt het hulpprogramma vervolgens uitgevoerd. Met het hulpprogramma wordt uw computer gecontroleerd op de vereisten die staan vermeld in de sectie '
Vereisten'. Als aan de vereisten wordt voldaan, worden de volgende acties uitgevoerd:
- Met het hulpprogramma worden de volgende registersubsleutels gecontroleerd op vermeldingen die door het Trojaanse paard zijn toegevoegd:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
- Het geheugen wordt doorzocht op sporen van het belangrijkste onderdeel van het Trojaanse paard Backdoor:Win32/Berbew. Als dit onderdeel wordt aangetroffen, wordt het proces beëindigd.
- Er wordt gezocht naar de volgende gegevensbestanden die door het Trojaanse paard zijn gemaakt. Deze bestanden kunnen vertrouwelijke gegevens bevatten. De bestanden worden door het hulpprogramma verwijderd.
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat
- Alle bestanden die verband houden met het Trojaanse paard Backdoor:W32/Berbew, worden verwijderd. Deze bestanden zijn met behulp van stap 1 en 2 opgespoord.
- De registervermeldingen die in stap 1 zijn opgespoord, worden verwijderd. Als een Berbew-registerwaarde niet meer verwijst naar een bestand op de vaste schijf, wordt de 'achtergebleven' registerwaarde niet verwijderd, omdat de registerwaarde geen schade kan aanrichten wanneer het bijbehorende bestand niet op de vaste schijf staat.
- Het Trojaanse paard opent Microsoft Internet Explorer in twee verborgen vensters. In deze vensters wordt geprobeerd verbinding te maken met schadelijke websites. In het ene venster wordt geprobeerd onderschepte persoonlijke gegevens te uploaden terwijl in het andere venster wordt gezocht naar software-updates voor het Trojaanse paard. Als het Trojaanse paard Backdoor:W32/ Berbew op de computer wordt aangetroffen, worden alle actieve vensters van Internet Explorer afgesloten.
- Er wordt een bericht weergeven met een beschrijving van het resultaat van de opsporing en verwijdering. In de volgende lijst ziet u de berichten die kunnen worden weergegeven met hun betekenis:
Bericht | Betekenis |
No infection detected | Het Trojaanse paard Backdoor:Win32/Berbew is niet aangetroffen op deze computer. |
Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated. | Het Trojaanse paard Backdoor:Win32/Berbew is verwijderd. Er zijn geen extra handelingen vereist. |
This tool must be run by an administrator. | Meld u af bij de computer en meld u weer aan als beheerder. |
Fatal error, please review log file. | Zie de map %Windir%\Debug\Berbcln.log voor meer informatie. |
Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed. | Probeer het hulpprogramma opnieuw uit te voeren en controleer het logboekbestand op fouten. |
This tool requires Windows 2000 or Windows XP. | Dit hulpprogramma wordt alleen ondersteund in Windows 2000 en Windows XP. |
Incorrect Windows version (Win32s) | Dit hulpprogramma wordt niet ondersteund in Windows 3.1 met Win32s. |
Wanneer u het berichtvenster sluit, wordt het hulpprogramma afgesloten en wordt het bestand Berbcln.exe verwijderd uit de tijdelijke map. U kunt nu het bestand Windows-KB873018-ENU-V1.exe handmatig verwijderen. - Het hulpprogramma maakt een logboekbestand met de naam Berbcln.log in de map %Windir%\Debug. U kunt dit logboekbestand raadplegen om na te gaan of er infecties van Backdoor:W32/Berbew.gen zijn aangetroffen en verwijderd.
Schakelopties voor de opdrachtregel
Bij het installatieprogramma van dit verwijderingshulpprogramma kunt u de volgende schakelopties gebruiken:
- /Q - Uitvoeren in stille modus of berichten onderdrukken wanneer de bestanden worden uitgepakt.
- /Q:U - Uitvoeren in stille modus voor gebruikers. In de stille modus voor gebruikers worden enkele dialoogvensters weergegeven.
- /Q:A - Uitvoeren in stille modus voor beheerders. In de stille modus voor beheerders worden geen dialoogvensters voor de gebruiker geopend.
- /T: pad - De locatie opgeven van de tijdelijke map die door het Setup-programma voor het detectie- en verwijderingshulpprogramma voor Download.Ject Payload wordt gebruikt, of de doelmap opgeven voor het uitpakken van bestanden (wanneer deze schakeloptie samen met /C wordt gebruikt).
- /C - De bestanden uitpakken zonder ze te installeren. Als /T: pad niet is opgegeven, wordt u gevraagd een doelmap op te geven.
- /C: opdr - Het pad en de naam opgeven van een ander INF-bestand voor Setup of van een EXE-bestand voor het installeren van het hulpprogramma.
- /R:N - De computer na de installatie nooit opnieuw opstarten.
- /R:I - De gebruiker vragen of de computer opnieuw moet worden opgestart wanneer dat nodig is, behalve wanneer naast deze schakeloptie ook de optie /Q:A wordt gebruikt.
- /R:A - De computer na de installatie altijd opnieuw opstarten.
- /R:S - De computer na de installatie opnieuw opstarten zonder de gebruiker hierom te vragen.
Voor meer informatie over de ondersteunde schakelopties voor de installatie klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
197147 Opdrachtregelparameters voor update-pakketten van IExpress-software
Bij dit verwijderingshulpprogramma kunt u de volgende schakeloptie gebruiken:
- /S - Het hulpprogramma uitvoeren in de stille modus. Het berichtvenster met een beschrijving van het resultaat van de opsporing of verwijdering wordt niet weergegeven bij het gebruik van deze schakeloptie.
Hulpprogramma verwijderen
Het bestand Berbcln.exe wordt automatisch verwijderd van de tijdelijke locatie nadat het hulpprogramma is uitgevoerd. U kunt het installatiepakket van het hulpprogramma verwijderen nadat u het verwijderingshulpprogramma hebt geïnstalleerd.
Opmerking Wanneer u het detectie- en verwijderingshulpprogramma voor Download.Ject Payload hebt geïnstalleerd, wordt dit niet weergegeven in de lijst
Geïnstalleerde programma's in het onderdeel Software van het Configuratiescherm.