Upozornění na červa Win32/Conficker

Překlady článku Překlady článku
ID článku: 962007 - Produkty, které se vztahují k tomuto článku.
Podpora systému Windows Vista Service Pack 1 (SP1) končí 12. července 2011. Chcete-li pokračovat v přijímání aktualizací zabezpečení pro systém Windows, ověřte, zda používáte systém Windows Vista s aktualizací Service Pack 2 (SP2). Další informace naleznete na této webové stránce společnosti Microsoft: Končí podpora pro některé verze systému Windows.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Shrnutí

Informace v tomto článku znalostní báze Knowledge Base jsou určena pro podniková prostředí se správci systému, kteří mohou implementovat podrobnosti uvedené v tomto článku. Tento článek není třeba použít, pokud váš antivirový program dokáže virus správně vyčistit a vaše systémy jsou plně aktualizovány. Chcete-li ověřit, zda se v systému nevyskytuje virus Conficker, proveďte rychlou kontrolu z následující webové stránky: http://www.microsoft.com/security/scanner/cs-cz/default.aspx Podrobné informace o viru Conficker naleznete na následující stránce společnosti Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Příznaky napadení

Pokud je počítač tímto červem napaden, nemusíte zaznamenat žádné příznaky napadení nebo se může projevit některý z následujících příznaků:
  • Jsou vyřazeny zásady uzamknutí účtů.
  • Jsou zakázány služby Automatické aktualizace, Služba inteligentního přenosu na pozadí (BITS), Zasílání zpráv o chybách a program Windows Defender.
  • Řadiče domény reagují na požadavky klientů pomalu.
  • Síť je zahlcena.
  • Nelze otevřít různé webové stránky týkající se zabezpečení.
  • Nelze spustit různé nástroje související se zabezpečením. Seznam známých nástrojů naleznete na následující stránce společnosti Microsoft, kde získáte informace o viru Win32/Conficker.D kliknutím na kartu Analysis (Analýza). Další informace najdete na následující stránce společnosti Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Další informace o červu Win32/Conficker naleznete na následující webové stránce Centra ochrany před malwarem společnosti Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Způsoby šíření

Červ Win32/Conficker se může šířit několika způsoby. Například se jedná o tyto způsoby:
  • využití chyby zabezpečení opravené aktualizací zabezpečení 958644 (MS08-067),
  • využití sdílených síťových složek,
  • využití funkce Přehrát automaticky.
Při čištění sítě proto musíte dbát na to, aby znovu nedošlo k ohrožení systémů, které již byly vyčištěny.

Poznámka: Varianta červa Win32/Conficker.D se nešíří do vyměnitelných jednotek nebo sdílených složek v síti. Červ Win32/Conficker.D je instalován předchozími variantami červa Win32/Conficker.

Ochrana

  • Používejte silná hesla správce, která jsou ve všech počítačích jedinečná.
  • Nepřihlašujte se k počítačům pomocí pověření správce domény nebo pověření s přístupem ke všem počítačům.
  • Zkontrolujte, zda jsou ve všech systémech použity nejnovější aktualizace zabezpečení.
  • Zakažte funkci automatického přehrávání. Další informace naleznete v kroku 3 v části Vytvoření objektu zásad skupiny.
  • Odeberte nadbytečná práva ke sdíleným složkám. To zahrnuje i odebrání oprávnění k zápisu do kořenového adresáře všech sdílených složek.

Postup pro snížení rizika

Zabránění šíření červa Win32/Conficker pomocí nastavení zásad skupiny

Poznámky:
  • Důležité Než provedete jakékoli změny navržené v tomto článku, nezapomeňte si poznamenat veškeré aktuální nastavení.
  • Tento postup nezpůsobí odstranění malwaru Conficker ze systému. Pouze zastaví jeho šíření. K odebrání malwaru Conficker ze systému byste měli použít antivirový produkt. Další možností je použít postup popsaný v části Postup ručního odebrání viru Win32/Conficker tohoto článku znalostní báze Knowledge Base a odebrat tento malware ze systému ručně.
  • Po provedení změn oprávnění doporučených v následujících krocích může být znemožněna správná instalace aplikací, aktualizací Service Pack nebo jiných aktualizací. To platí mimo jiné i pro instalaci aktualizací pomocí služby Windows Update, serveru služby Microsoft Windows Server Update Services (WSUS) a produktu System Center Configuration Manager (Configuration Manager 2007), tyto produkty totiž používají komponenty služby Automatické aktualizace. Nezapomeňte po vyčištění systému vrátit oprávnění zpět do výchozího nastavení.
  • Informace o výchozích oprávněních pro klíč registru SVCHOST a složku úkolů, která jsou zmíněna v části Vytvoření objektu zásad skupiny, najdete v Tabulce výchozích oprávnění na konci tohoto článku.

Vytvoření objektu zásad skupiny

Vytvořte nový objekt zásad skupiny, který bude platit pro všechny počítače v určité organizační jednotce, webu nebo doméně, dle požadavků vašeho prostředí.

Postupujte následujícím způsobem:
  1. Nastavte zásady pro odebrání oprávnění k zápisu u následujícího podklíče registru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Tato operace zabrání tomu, aby byla v hodnotě registru netsvcs vytvořena náhodně pojmenovaná služba malwaru.

    Postupujte následujícím způsobem:
    1. Spusťte Konzolu pro správu zásad skupiny (GPMC).
    2. Vytvořte nový objekt zásad skupiny. Libovolně jej pojmenujte.
    3. Otevřete tento nový objekt zásad skupiny a pak jej přesuňte do následující složky:
      Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Registr
    4. Klikněte pravým tlačítkem myši na položku Registr a pak klikněte na příkaz Přidat klíč.
    5. V dialogovém okně Vybrat klíč registru rozbalte položku Počítač a pak přejděte do následující složky:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Klikněte na tlačítko OK.
    7. V dialogovém okně, které se otevře, kliknutím zrušte zaškrtnutí políčka Úplné řízení u položek Administrators a System.
    8. Klikněte na tlačítko OK.
    9. V dialogovém okně Přidat objekt klikněte na položku Nahradit existující oprávnění ke všem podklíčům dědičnými oprávněními.
    10. Klikněte na tlačítko OK.
  2. Úpravou zásad odeberte oprávnění k zápisu u složky %windir%\Tasks. Tato operace zabrání malwaru Conficker ve vytvoření naplánovaných úloh, které by mohly znovu nakazit systém.

    Postupujte následujícím způsobem:
    1. V objektu zásad skupiny, který jste dříve vytvořili, přejděte do následující složky:
      Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Systém souborů
    2. Pravým tlačítkem myši klikněte na položku Systém souborů a potom klikněte na tlačítko Přidat soubor.
    3. V dialogovém okně Přidat soubor nebo složku přejděte do složky %windir%\Tasks. Ověřte, zda je položka Úlohy zvýrazněna a uvedena v dialogovém okně Složka.
    4. Klikněte na tlačítko OK.
    5. V dialogovém okně, které se otevře, kliknutím zrušte zaškrtnutí políčekÚplné řízení, Změnit a Zapisovat u položek Administrators a System.
    6. Klikněte na tlačítko OK.
    7. V dialogovém okně Přidat objekt klikněte na položku Nahradit existující oprávnění ke všem podklíčům dědičnými oprávněními.
    8. Klikněte na tlačítko OK.
  3. Deaktivujte funkce Automatické přehrání(Automatické spuštění). Zabráníte tak malwaru Conficker v šíření pomocí funkcí automatického přehrávání, které jsou integrovány do systému Windows.

    Poznámka: V závislosti na použité verzi systému Windows jsou k dispozici různé aktualizace, které je třeba nainstalovat, aby byla funkce automatického spuštění správně zakázána:
    • Chcete-li funkci automatického spuštění zakázat v systému Windows Vista nebo Windows Server 2008, je nutné, aby byla nainstalována aktualizace zabezpečení 950582 (popsaná v bulletinu zabezpečení MS08-038).
    • Chcete-li funkci automatického spuštění zakázat v systému Windows XP, Windows Server 2003 nebo Windows 2000, je nutné, aby byla nainstalována aktualizace zabezpečení 950582, aktualizace 967715 nebo aktualizace 953252.
    Chcete-li zakázat funkce automatického přehrávání (automatického spuštění), postupujte takto:
    1. V objektu zásad skupiny, který jste dříve vytvořili, přejděte do jedné z následujících složek:
      • V případě domény Windows Server 2003 přejděte do následující složky:
        Konfigurace počítače\Šablony pro správu\Systém
      • V případě domény Windows 2008 přejděte do následující složky:
        Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání
    2. Otevřete zásadu Vypnout automatické přehrávání.
    3. V dialogovém okně Vypnout automatické přehrávání klikněte na položku Povoleno.
    4. V rozevírací nabídce klikněte na položku Všechny jednotky.
    5. Klikněte na tlačítko OK.
  4. Ukončete Konzolu pro správu zásad skupiny.
  5. Propojte nový objekt zásad skupiny s umístěním, pro něž jej chcete použít.
  6. Ponechte dostatek času na nastavení aktualizaci zásad skupiny ve všech počítačích. Obecně se dá říci, že replikace zásad skupiny na každý řadič domény trvá 5 minut a dalších 90 minut trvá replikace do zbytku systému. Několik hodin by mělo stačit. V závislosti na prostředí se však může stát, že bude potřeba více času.
  7. Po rozšíření nastavení zásad skupiny vyčistěte systém od malwaru.

    Postupujte následujícím způsobem:
    1. Spusťte plnou antivirovou kontrolu ve všech počítačích.
    2. Pokud antivirový software nerozpozná malware Conficker, můžete k jeho odstranění použít bezpečnostní skener společnosti Microsoft. Další informace naleznete na následující webové stránce společnosti Microsoft: http://www.microsoft.com/security/scanner/cs-cz/default.aspxPoznámka: K odstranění všech následků malwaru je v některých případech nutné ještě provést několik dalších kroků ručně. V zájmu odstranění všech následků malwaru doporučujeme věnovat pozornost krokům uvedeným v části Postup ručního odebrání viru Win32/Conficker v tomto článku.

Zotavení

Spusťte bezpečnostní skener společnosti Microsoft.

Centrum ochrany před malwarem společnosti Microsoft aktualizovalo bezpečnostní skener společnosti Microsoft. Jedná se o samostatně spustitelný soubor sloužící k odstranění běžného škodlivého softwaru, který může pomoci při odstranění malwaru typu Win32/Conficker.

Poznámka: Bezpečnostní skener společnosti Microsoft nezabrání opětovnému napadení, protože se nejedná o antivirový program pracující v reálném čase.

Bezpečnostní skener společnosti Microsoft můžete stáhnout z následujícího webu společnosti Microsoft:
http://www.microsoft.com/security/scanner/cs-cz/default.aspx

Poznámka: K odstranění této infekce lze také použít nástroj Stand-Alone System Sweeper. Tento nástroj je k dispozici jako součást sady Microsoft Desktop Optimization Pack 6.0 nebo prostřednictvím Služeb a podpory zákazníků. Chcete-li získat sadu Microsoft Desktop Optimization Pack, navštivte následující web společnosti Microsoft:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Jsou-li v systému spuštěny programy Microsoft Security Essentials nebo Microsoft Forefront Client Security, mohou také zablokovat hrozbu dříve, než je nainstalována.

Postup ručního odebrání viru Win32/Conficker

Poznámky:
  • Tyto ruční kroky již nejsou nezbytné a je třeba je provést pouze v případě, že nemáte k dispozici antivirový program pro odebrání viru Conficker.
  • V závislosti na variantě viru Win32/Conficker, kterou je počítač napaden, nemusí být některé hodnoty uvedené v této části virem změněny.
Následující podrobné kroky vám mohou pomoci ručně odebrat virus Conficker ze systému:
  1. Přihlaste se do systému pomocí místního účtu.

    Důležité: Je-li to možné, nepřihlašujte se do systému pomocí účtu domény. Obzvláště se nepřihlašujte pomocí účtu správce domény. Malware se vydává za přihlášeného uživatele a přistupuje k síťovým prostředkům prostřednictvím pověření přihlášeného uživatele. Toto chování umožňuje šíření malwaru.
  2. Ukončete službu Server. Tím dojde k odstranění sdílených položek pro správu ze systému, takže se malware nebude moci tímto způsobem šířit.

    Poznámka: Služba Server by měla být zakázána pouze dočasně, tedy po dobu, kdy ze svého prostředí malware odstraňujete. To platí zejména pro provozní servery, protože tento krok ovlivňuje dostupnost síťových prostředků. Po vyčištění prostředí lze službu Server opět povolit.

    K ukončení služby Server použijte konzolu MMC (Microsoft Management Console) služby. Postupujte následujícím způsobem:
    1. V závislosti na vašem systému proveďte tyto kroky:
      • V systémech Windows Vista a Windows Server 2008 klikněte na položku Start, do pole Zahájit hledání zadejte text services.msc a klikněte na položku services.msc v seznamu Programy.
      • V systémech Windows 2000, Windows XP a Windows Server 2003 klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte text services.msc a klikněte na tlačítko OK.
    2. Dvakrát klikněte na položku Server.
    3. Klikněte na příkaz Zastavit.
    4. V poli Typ spouštění vyberte položku Zakázáno.
    5. Klikněte na tlačítko Použít.
  3. Odstraňte všechny naplánované úlohy vytvořené službou AT. To provedete zadáním příkazu AT /Delete /Yes na příkazovém řádku.
  4. Ukončete službu Plánovač úloh.
    • K ukončení služby Plánovač úloh v systému Windows 2000, Windows XP a Windows Server 2003 použijte konzolu MMC (Microsoft Management Console) Služby nebo nástroj SC.exe.
    • Chcete-li ukončit službu Plánovač úloh v systému Windows Vista nebo Windows Server 2008, postupujte podle následujících kroků.

      Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
      322756 Postup zálohování a obnovení registru v systému Windows
      1. Klikněte na tlačítko Start, do pole Zahájit hledání zadejte regedit a poté klikněte na položku regedit.exe v seznamu Programy.
      2. Vyhledejte následující podklíč registru a klikněte na něj:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. V podokně podrobností klikněte pravým tlačítkem myši na položku DWORD Start a potom klikněte na příkaz Změnit.
      4. Do pole Údaj hodnoty zadejte hodnotu 4 a klikněte na tlačítko OK.
      5. Ukončete program Editor registru a restartujte počítač.

        Poznámka: Služba Plánovač úloh by měla být zakázána pouze dočasně, tedy po dobu, kdy ze svého prostředí malware odstraňujete. To platí zejména v systémech Windows Vista a Windows Server 2008, tento krok má totiž vliv na různé integrované naplánované úlohy. Ihned po vyčištění prostředí znovu povolte službu Server.
  5. Stáhněte a ručně nainstalujte aktualizaci zabezpečení 958644 (MS08-067). Další informace naleznete na následujícím webu společnosti Microsoft:
    http://www.microsoft.com/cze/technet/security/bulletin/MS08-067.mspx
    Poznámka: Tento web může být v důsledku napadení malwarem zablokován. V takovém případě je třeba aktualizaci stáhnout do nenapadeného počítače a poté soubor aktualizace přenést do napadeného systému. Doporučujeme aktualizaci vypálit na disk CD, protože na vypálený disk CD nelze provést zápis. Nemůže být tedy infikován. Není-li k dispozici zapisovatelný disk CD, může být jediným způsobem, jak aktualizaci zkopírovat do napadeného systému, vyměnitelné paměťové zařízení USB. Použijete-li vyměnitelné zařízení, mějte na paměti, že malware může toto zařízení infikovat prostřednictvím souboru Autorun.inf. Po zkopírování aktualizace na vyměnitelné zařízení nezapomeňte toto zařízení přepnout do režimu jen pro čtení, pokud vaše zařízení tuto možnost podporuje. Je-li k dispozici režim jen pro čtení, většinou se aktivuje pomocí fyzického přepínače na zařízení. Po zkopírování souboru aktualizace do napadeného počítače zkontrolujte, zda byl na vyměnitelné zařízení zapsán soubor Autorun.inf. Pokud ano, přejmenujte soubor Autorun.inf například na Autorun.bad, aby se nemohl po připojení vyměnitelného zařízení k počítači spustit.
  6. Nastavte všechna hesla místního správce a správce domény na nová silná hesla. Další informace naleznete na následujícím webu společnosti Microsoft:
    http://technet.microsoft.com/cs-cz/library/cc875814.aspx
  7. V Editoru registru vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. V podokně podrobností klikněte pravým tlačítkem myši na položku netsvcs a pak klikněte na příkaz Změnit.
  9. Je-li počítač napaden virem Win32/Conficker, bude mezi službami uvedena jedna s náhodným názvem.

    Poznámka: U viru Win32/Conficker.B obsahoval název služby náhodná písmena a byl uveden v dolní části seznamu. U pozdějších variant se název služby může v seznamu nacházet kdekoli a může se více podobat legitimnímu názvu. Pokud se náhodný název služby nenachází v dolní části seznamu, porovnejte svůj systém s Tabulkou služeb v tomto postupu a zjistěte, který název služby mohl být přidán virem Win32/Conficker. Chcete-li systém zkontrolovat, porovnejte seznam v Tabulce služeb s podobným systémem, o kterém víte, že není napaden.

    Poznamenejte si tento název služby malwaru. Tuto informaci budete potřebovat později.
  10. Odstraňte řádek obsahující odkaz na službu malwaru. Zkontrolujte, že jste pod poslední oprávněnou položkou v seznamu ponechali prázdný řádek, a klikněte na tlačítko OK.

    Poznámky k Tabulce služeb
    • Všechny položky v Tabulce služeb jsou platnými položkami, kromě položek zvýrazněných tučným písmem.
    • Položky zvýrazněné tučným písmem jsou příklady toho, co může virus Win32/Conficker přidat k hodnotě netsvcs v klíči registru SVCHOST.
    • Nemusí jít o úplný seznam služeb, záleží na konfiguraci systému.
    • Tabulka služeb odráží výchozí instalaci systému Windows.
    • Položka, kterou virus Win32/Conficker přidá do seznamu, je příkladem strategie zmatení. První písmeno zvýrazněné nebezpečné položky se má podobat malému písmenu L, ve skutečnosti se ale jedná o velké písmeno I. V důsledku písma používaného operačním systémem se velké písmeno I podobá malému písmenu L.

    Tabulka služeb

    Zmenšit tuto tabulkuRozšířit tuto tabulku
    Windows Server 2008 Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    MotivyMotivyProhlížečAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcProhlížečIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServNástroje pro server DHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservMotivySeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiMotivy
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    prohlížečProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcprohlížečxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. V jednom z předchozích kroků jste si poznamenali název služby malwaru. V našem případě měla položka malwaru název Iaslogon. S použitím této informace postupujte takto:
    1. V Editoru registru najděte následující podklíč registru, kde BadServiceName je název služby malwaru, a klikněte na něj:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Například vyhledejte následující podklíč registru a klikněte na něj:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Kliknutím na podklíč pravým tlačítkem v navigačním podokně zjistíte název služby malwaru. Pak klikněte na položku Oprávnění.
    3. V dialogovém okně Položka oprávnění pro SvcHost klikněte na tlačítko Upřesnit.
    4. V dialogovém okně Upřesnit nastavení zabezpečení kliknutím zaškrtněte obě následující políčka:
      Dědit položky oprávnění platné pro podřízené objekty z nadřazeného objektu. a sloučit je s položkami, které jsou zde explicitně definovány.

      Nahradit položky oprávnění ve všech podřízených objektech zde zobrazenými položkami platnými pro podřízený objekt
  12. Stisknutím klávesy F5 aktualizujte Editor registru. V podokně podrobností můžete nyní zobrazit a upravit knihovnu DLL malwaru, která se načítá jako ServiceDll. Postupujte následujícím způsobem:
    1. Dvakrát klikněte na položku ServiceDll.
    2. Poznamenejte si cestu k odkazované knihovně DLL. Tuto informaci budete potřebovat později. Cesta k odkazované knihovně DLL může vypadat například takto:
       %SystemRoot%\System32\doieuln.dll
      Přejmenujte odkaz tímto způsobem:
       %SystemRoot%\System32\doieuln.old
    3. Klikněte na tlačítko OK.
  13. Odstraňte položku služby malwaru z podklíče Run v registru.
    1. V Editoru registru vyhledejte následující podklíče registru a klikněte na ně:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. U obou podklíčů vyhledejte všechny položky začínající „rundll32.exe“ a obsahující odkazy na knihovnu DLL malwaru, která se načítá jako „ServiceDll“ a kterou jste určili v kroku 12b. Odstraňte položku.
    3. Ukončete program Editor registru a restartujte počítač.
  14. Vyhledejte soubory Autorun.inf na všech diskových jednotkách systému. Každý soubor otevřete pomocí Poznámkového bloku a zkontrolujte, zda se jedná o platný soubor Autorun.inf. Příklad typického platného souboru Autorun.inf:
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Platný soubor Autorun.inf má většinou velikost od 1 do 2 kilobajtů (kB).
  15. Odstraňte všechny soubory Autorun.inf, které považujete za neplatné.
  16. Restartujte počítač.
  17. Povolte zobrazení skrytých souborů. Na příkazovém řádku zadejte následující příkaz:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Možnost Zobrazovat skryté soubory a složky nastavte tak, aby se soubor zobrazoval. Postupujte následujícím způsobem:
    1. V kroku 12b jste si poznamenali cestu k odkazovanému souboru knihovny DLL pro malware. Například jste si poznamenali cestu, která se podobá této:
      %systemroot%\System32\doieuln.dll
      V programu Průzkumník Windows otevřete adresář %systemroot%\System32 nebo adresář obsahující malware.
    2. Klikněte na položku Nástroje a poté na položku Možnosti složky.
    3. Klikněte na kartu Zobrazení.
    4. Zaškrtněte políčko Zobrazovat skryté soubory a složky.
    5. Klikněte na tlačítko OK.
  19. Vyberte soubor knihovny DLL.
  20. Upravte oprávnění k souboru tak, abyste všem uživatelům přidělili úplné řízení. Postupujte následujícím způsobem:
    1. Klikněte pravým tlačítkem myši na soubor knihovny DLL a vyberte položku Vlastnosti.
    2. Klikněte na kartu Zabezpečení.
    3. Klikněte na položku Všichni a zaškrtněte políčko Úplné řízení ve sloupci Povolit.
    4. Klikněte na tlačítko OK.
  21. Odstraňte odkazovaný soubor knihovny DLL pro malware. Například odstraňte soubor %systemroot%\System32\doieuln.dll.
  22. Povolte služby BITS, Automatické aktualizace, Zasílání zpráv o chybách a program Windows Defender pomocí konzoly MMC (Microsoft Management Console) Služby.
  23. Vypněte funkci Automatické spuštění, abyste pomohli snížit dopad případného dalšího napadení. Postupujte následujícím způsobem:
    1. V závislosti na používaném systému nainstalujte některou z následujících aktualizací:
      • Používáte-li systém Windows 2000, Windows XP nebo Windows Server 2003, nainstalujte aktualizaci 967715. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
        967715 Zakázání funkce automatického spuštění v systému Windows
      • Používáte-li systém Windows Vista nebo Windows Server 2008, nainstalujte aktualizaci zabezpečení 950582. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
        950582 MS08-038: Chyba zabezpečení v aplikaci Windows Explorer může umožnit vzdálené spuštění kódu
      Poznámka: Aktualizace 967715 a aktualizace zabezpečení 950582 nesouvisejí s tímto problémem s malwarem. Je třeba je nainstalovat za účelem povolení funkce registru v kroku 23b.
    2. Zadejte na příkazovém řádku následující příkaz:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Je-li v systému spuštěn program Windows Defender, znovu povolte umístění pro automatické spuštění programu Windows Defender. To provedete zadáním následujícího příkazu na příkazovém řádku:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. V systému Windows Vista a novějších operačních systémech provede malware změnu globálního nastavení automatického ladění okna příjmu protokolu TCP na hodnotu Zakázáno. Chcete-li obnovit původní nastavení, zadejte na příkazovém řádku následující příkaz:
    netsh interface tcp set global autotuning=normal
Pokud se po provedení těchto kroků zdá, že byl počítač znovu napaden, může tomu tak být z těchto důvodů:
  • Některé z umístění pro automatické spuštění nebylo odstraněno. Například nebyla odstraněna úloha služby AT nebo soubor Autorun.inf.
  • Aktualizace zabezpečení MS08-067 nebyla správně nainstalována.
Tento malware může změnit další nastavení, která nejsou v tomto článku uvedena. Nejnovější informace o červu Win32/Conficker naleznete na následující webové stránce Centra ochrany před malwarem společnosti Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Kontrola čistoty systému

Zkontrolujte, zda jsou spuštěny tyto služby:
  • Automatické aktualizace (wuauserv)
  • Služba inteligentního přenosu na pozadí (BITS)
  • Windows Defender (windefend) (je-li použit)
  • Zasílání zpráv o chybách systému Windows
To provedete zadáním následujících příkazů na příkazovém řádku. Každý příkaz potvrďte stisknutím klávesy ENTER:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Po spuštění každého příkazu se zobrazí zpráva podobná této:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
V tomto příkladu označuje text „STATE : 4 RUNNING“ skutečnost, že je daná služba spuštěna.

Chcete-li ověřit stav podklíče registru SvcHost, postupujte takto:
  1. V Editoru registru vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. V podokně podrobností dvakrát klikněte na položku netsvcs a zkontrolujte uvedené názvy služeb. Přejděte do dolní části seznamu. Došlo-li k opětovnému napadení počítače červem Conficker, bude zde uvedena služba s náhodným názvem. V tomto postupu nese například služba malwaru název Iaslogon.
Pokud se provedením těchto kroků problém nevyřeší, obraťte se na výrobce vašeho antivirového softwaru. Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
49500 Seznam výrobců antivirového softwaru
Pokud neznáte výrobce antivirového softwaru nebo vám výrobce antivirového softwaru nedokáže pomoci, obraťte se na službu podpory zákazníků společnosti Microsoft.

Po úplném vyčištění prostředí

Po úplném vyčištění prostředí postupujte takto:
  1. Znovu povolte službu Server a službu Plánovač úloh.
  2. Obnovte výchozí oprávnění pro klíč registru SVCHOST a složku úloh. Tato oprávnění by měla být vrácena na výchozí nastavení pomocí nastavení zásad skupiny. Pokud je zásada pouze odebrána, nemusí být možné obnovit výchozí oprávnění. Další informace naleznete v tabulce výchozích oprávnění v části Postup pro snížení rizika.
  3. Aktualizujte počítač nainstalováním všech chybějících aktualizací zabezpečení. K tomu použijte web Windows Update, server WSUS (Windows Server Update Services) společnosti Microsoft, server SMS (Systems Management Server), nástroj System Center Configuration Manager (Configuration Manager 2007) nebo produkt pro správu aktualizací od jiného výrobce. Chcete-li použít server SMS nebo nástroj Configuration Manager 2007, je třeba nejprve znovu povolit službu Server. V opačném případě nemusí být server SMS nebo nástroj Configuration Manager 2007 schopen systém aktualizovat.

Identifikace napadených systémů

Máte-li potíže s identifikací systémů napadených virem Conficker, mohou vám pomoci podrobné informace uvedené na následujícím blogu TechNet:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabulka výchozích oprávnění

V následující tabulce jsou uvedena výchozí oprávnění pro každý operační systém. Tato oprávnění jsou platná před použitím změn doporučených v tomto článku. Tato oprávnění se mohou lišit od oprávnění nastavených ve vašem prostředí. Proto si před provedením jakýchkoli změn poznamenejte konkrétní nastavení. To je nutné, aby bylo možné toto nastavení po vyčištění systému obnovit.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Operační systém Windows Server 2008Windows VistaWindows Server 2003 Windows XP Windows 2000
NastaveníRegistr SvchostSložka úlohRegistr SvchostSložka úlohRegistr SvchostSložka úlohRegistr SvchostSložka úlohRegistr SvchostSložka úloh
Účet
Administrators (místní skupina)Úplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízení
SystémÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízení
Power Users (místní skupina)nelze použítnelze použítnelze použítnelze použítČístnelze použítČístnelze použítČístnelze použít
Users (místní skupina)Speciální nelze použítSpeciálnínelze použítČístnelze použítČístnelze použítČístnelze použít
Platí pro: tento klíč a podklíčePlatí pro: tento klíč a podklíče
Hodnota dotazuHodnota dotazu
Vytvářet výčty podklíčůVytvářet výčty podklíčů
UpozornitUpozornit
Řízení čteníŘízení čtení
Authenticated Usersnelze použítSpeciálnínelze použítSpeciálnínelze použítnelze použítnelze použítnelze použítnelze použítnelze použít
Platí pro: jen tato složkaPlatí pro: jen tato složka
Procházet složkouProcházet složkou
Zobrazovat obsah složkyZobrazovat obsah složky
Číst atributyČíst atributy
Číst rozšířené atributyČíst rozšířené atributy
Vytvářet souboryVytvářet soubory
Číst oprávněníČíst oprávnění
Backup Operators (místní skupina)nelze použítnelze použítnelze použítnelze použítnelze použítSpeciálnínelze použítSpeciální
Platí pro: jen tato složkaPlatí pro: jen tato složka
Procházet složkouProcházet složkou
Zobrazovat obsah složkyZobrazovat obsah složky
Číst atributyČíst atributy
Číst rozšířené atributyČíst rozšířené atributy
Vytvářet souboryVytvářet soubory
Číst oprávněníČíst oprávnění
Všichninelze použítnelze použítnelze použítnelze použítnelze použítnelze použítnelze použítnelze použítnelze použítSpeciální
Platí pro: tato složka, podsložky a soubory
Procházet složkou
Zobrazovat obsah složky
Číst atributy
Číst rozšířené atributy
Vytvářet soubory
Vytvářet složky
Zapisovat atributy
Zapisovat rozšířené atributy
Číst oprávnění

Další pomoc

Chcete-li získat další pomoc s těmito potížemi a jste-li právě na území Spojených států, můžete chatovat osobně na webu Microsoft Answer Desk: 
Answer Desk

Vlastnosti

ID článku: 962007 - Poslední aktualizace: 15. ledna 2013 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Aktualizace SP1 pro Windows Vista na těchto platformách
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 na těchto platformách
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 na těchto platformách
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 na těchto platformách
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Klíčová slova: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com