Virusadvarsel om ormen Win32/Conficker

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 962007 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Oversigt

Oplysningerne i denne artikel i Knowledge Base er rettet mod virksomhedsmiljøer, der har systemadministratorer, som kan implementere ændringer i henhold til oplysningerne i artiklen. Der er ingen grund til at bruge denne artikel, hvis dit antivirusprogram renser korrekt for virussen, og hvis dine systemer er fuldt opdaterede. Du kan få bekræftet, at systemet er renset for Conficker-virussen, ved at udføre en hurtig scanning fra følgende websted:
http://safety.live.com/site/da-dk/default.htm
Du kan finde flere oplysninger om Conficker-virussen på følgende Microsoft-websted:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptomer på infektion

Hvis computeren er inficeret med ormen, oplever du muligvis ingen symptomer, men du kan også opleve følgende symptomer:
  • Politikker til låsning af konti slås fra.
  • Automatiske opdateringer, BITS (Background Intelligent Transfer Service), Windows Defender og fejlrapporteringstjenester deaktiveres.
  • Domænecontrollere svarer langsomt på klientforespørgsler.
  • Netværket er overbelastet.
  • Der er ikke adgang til forskellige sikkerhedsrelaterede websteder.
  • Flere sikkerhedsrelaterede værktøjer kan ikke køres. Du kan se en liste over kendte værktøjer på følgende Microsoft-websted, hvor du skal klikke på fanen Analysis for at få oplysninger om Win32/Conficker.D. Du kan finde flere oplysninger på følgende Microsoft-websted. Siden er evt. på engelsk:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Du kan få flere oplysninger om Win32/Conficker på følgende Microsoft Malware Protection Center-webside:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Overførselsmetoder

Win32/Conficker har flere overførselsmetoder. De omfatter følgende:
  • Udnyttelse af den sikkerhedsrisiko, der er rettet med sikkerhedsopdateringen 958644 (MS08-067)
  • Brugen af netværkshares
  • Brugen af funktionen Automatisk afspilning
Derfor skal du være omhyggelig, når du renser et netværk, så truslen ikke opstår igen i systemer, der tidligere er blevet renset.

Bemærk! Varianten Win32/Conficker.D spredes ikke til flytbare drev eller delte mapper via et netværk. Win32/Conficker.D installeres af tidligere varianter af Win32/Conficker.

Forebyggelse

  • Brug stærke administratoradgangskoder, der er entydige for alle computere.
  • Log ikke på computere ved hjælp af legitimationsoplysninger for domæneadministratorer eller legitimationsoplysninger, der giver adgang til alle computere.
  • Kontrollér, at de seneste sikkerhedsopdateringer er insalleret på alle systemer.
  • Deaktiver funktionerne for Automatisk afspilning. Du kan finde flere oplysninger under trin 3 i afsnittet "Opret et gruppepolitikobjekt".
  • Fjern udvidede rettigheder til shares. Dette inkluderer skriverettigheder til roden af alle shares.

Afhjælpningsvejledning

Stop spredningen af Win32/Conficker ved hjælp af gruppepolitik

Bemærk!
  • Vigtigt! Kontrollér, at de aktuelle indstillinger dokumenteres, inden du foretager de ændringer, der foreslås i denne artikel.
  • Denne fremgangsmåde fjerner ikke den skadelige Conficker-software fra systemet. Fremgangsmåden standser kun spredningen af den skadelige software. Du skal bruge et antivirusprogram til at fjerne den skadelige Conficker-software fra systemet. Eller du skal følge trinnene i afsnittet "Manuelle trin til fjernelse af Win32/Conficker-virussen" i denne artikel i Knowledge Base for manuelt at fjerne den skadelige software fra systemet.
  • Du kan evt. ikke installere programmer, servicepakker eller andre opdateringer korrekt, mens de tilladelsesændringer, der anbefales i nedenstående trin, er installeret. Disse ændringer omfatter, men er ikke begrænset til, anvendelse af opdateringer ved hjælp af Windows Update, WSUS-server (Microsoft Windows Server Update Services) og SCCM (System Center Configuration Manager), da disse produkter er afhængige af komponenter i Automatiske opdateringer. Sørg for at ændre tilladelserne tilbage til standardindstillingerne, når du har renset systemet.
  • Du kan finde oplysninger om de standardtilladelser for registreringsdatabasenøglen SVCHOST og den opgavemappe, der nævnes i afsnittet "Opret et gruppepolitikobjekt", i Tabel over standardtilladelser nederst i denne artikel.

Opret et gruppepolitikobjekt

Opret et nyt gruppepolitikobjekt (GPO), der gælder for alle computere i en specifik organisationsenhed (OU), et specifikt websted eller domæne, som det er krævet i dit miljø.

Det kan du gøre ved at benytte følgende fremgangsmåde:
  1. Angiv politikken til at fjerne skrivetilladelserne til følgende undernøgle i registreringsdatabasen:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Det forhindrer, at den skadelige softwaretjeneste med et tilfældigt navn oprettes i registreringsdatabaseværdien netsvcs.

    Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. Åbn Group Policy Management Console (GPMC).
    2. Opret et nyt GPO. Giv det et navn efter dit eget valg.
    3. Åbn det nye GPO, og gå derefter til følgende mappe:
      Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Registreringsdatabase
    4. Højreklik på Registreringsdatabase, og klik derefter på Tilføj nøgle.
    5. I dialogboksen Vælg registreringsdatabasenøgle skal du udvide Computer og derefter gå til følgende mappe:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Klik på OK.
    7. Klik for at fjerne markeringen i afkrydsningsfeltet Fuld kontrol ud for både Administratorer og System i den dialogboks, der åbnes.
    8. Klik på OK.
    9. Klik på Erstat eksisterende tilladelser på alle undernøgler med tilladelser, der kan arves i dialogboksen Tilføj objekt.
    10. Klik på OK.
  2. Angiv politikken til at fjerne skrivetilladelserne til mappen %windir%\Opgaver. Det forhindrer, at den skadelige Conficker-software opretter de planlagte opgaver, der kan inficere systemet igen.

    Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. I det samme GPO, som du tidligere har oprettet, skal du gå til følgende mappe:
      Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Filsystem
    2. Højreklik på Filsystem, og klik derefter på Tilføj fil.
    3. I dialogboksen Tilføj en fil eller mappe skal du gå til mappen %windir%\Opgaver. Kontrollér, at Opgaver er fremhævet og angivet i dialogboksen Mappe:.
    4. Klik på OK.
    5. I den dialogboks, der åbnes, skal du fjerne markeringen i afkrydsningsfelterne for Fuld kontrol, Rediger og Skriv for både Administratorer og System.
    6. Klik på OK.
    7. Klik på Erstat eksisterende tilladelser på alle undernøgler med tilladelser, der kan arves i dialogboksen Tilføj objekt.
    8. Klik på OK.
  3. Indstil funktionerne AutoPlay (Autorun) til deaktiveret. Det forhindrer, at den skadelige Conficker-software spredes ved hjælp af AutoPlay-funktionerne, der er indbygget i Windows.

    Bemærk! Afhængigt af den version af Windows du bruger, findes der forskellige opdateringer, du skal have installeret for at deaktivere Autorun-funktionaliteten korrekt:
    • Hvis du vil deaktivere Autorun-funktionaliteten i Windows Vista eller Windows Server 2008, skal sikkerhedsopdatering 950582 være installeret (beskrevet i sikkerhedsbulletin MS08-038).
    • Hvis du vil deaktivere Autorun-funktionaliteten i Windows XP, Windows Server 2003 eller Windows 2000, skal sikkerhedsopdatering 950582, opdatering 967715 eller opdatering 953252 være installeret.
    Hvis du vil deaktivere funktionerne for Automatisk afspilning (Autorun), skal du benytte følgende fremgangsmåde:
    1. I det samme GPO, som du tidligere har oprettet, skal du gå til en af følgende mapper:
      • I et Windows Server 2003-domæne skal du gå til følgende mappe:
        Computerkonfiguration\Administrative skabeloner\System
      • I et Windows 2008-domæne skal du gå til følgende mappe:
        Computerkonfiguration\Administrative skabeloner\Windows-komponenter\Politikker for automatisk afspilning
    2. Åbn politikken Slå Automatisk afspilning fra.
    3. Klik på Aktiveret i dialogboksen Slå automatisk afspilning fra.
    4. Klik på Alle drev i rullemenuen.
    5. Klik på OK.
  4. Åbn Group Policy Management Console.
  5. Sammenkæd det GPO, der lige er oprettet, med den placering, du ønsker, at det skal gælde for.
  6. Afvent, at indstillingerne for gruppepolitikken opdateres på alle computere. Generelt tager det fem minutter at replikere en gruppepolitik til hver domænecontroller, og derefter 90 minutter at replikere til resten af systemerne. Nogle få timer skulle være tilstrækkeligt. Men der kræves muligvis længere tid afhængigt af miljøet.
  7. Når indstillingerne for gruppepolitikken er overført, skal systemerne renses for den skadelige software.

    Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. Kør en fuldstændig antivirusscanning på alle computere.
    2. Hvis antivirussoftwaren ikke registrerer Conficker, kan du bruge Værktøj til fjernelse af skadelig software (MSRT) til at fjerne den skadelige software. Du kan finde flere oplysninger på følgende Microsoft-websted:
      http://www.microsoft.com/danmark/athome/security/malwareremove/default.mspx
      Bemærk! Du skal muligvis foretage nogle trin manuelt for at fjerne alle virkningerne af den skadelige software. Vi anbefaler, at du gennemgår de trin, der er angivet i afsnittet "Manuelle trin til fjernelse af Win32/Conficker-virussen" i denne artikel, for at fjerne alle virkningerne af den skadelige software.

Gendannelse

Kør Værktøj til fjernelse af skadelig software

Microsoft Malware Protection Center har opdateret Værktøj til fjernelse af skadelig software (MSRT). Det er en separat binær fil, der er nyttig til fjernelse af almindeligt kendt skadelig software, og den kan være en hjælp til fjernelse af skadelig software af Win32/Conficker-familien.

Bemærk! MSRT forhindrer ikke, at computeren inficeres i fremtiden, da der ikke er tale om et antivirusprogram i realtid.

Du kan hente MSRT på følgende Microsoft-websteder:
http://www.update.microsoft.com
http://support.microsoft.com/kb/890830

Du kan finde flere specifikke oplysninger om installationen af MSRT ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
891716 Implementering af Microsoft Windows Værktøj til fjernelse af skadelig software i et virksomhedsmiljø
Bemærk! Det separate System Sweeper-værktøj kan også fjerne denne infektion. Dette værktøj er tilgængeligt som en komponent i Microsoft Desktop Optimization Pack 6.0, eller det kan leveres gennem Microsoft-kundesupport. Du kan hente Microsoft Desktop Optimization Pack fra Microsoft-webstedet:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Hvis Windows Live OneCare eller Microsoft Forefront Client Security kører på systemet, kan disse programmer også blokere for truslen, før den bliver installeret.

Manuelle trin til fjernelse af Win32/Conficker-virussen

Bemærk!
  • Disse manuelle trin kræves ikke længere og skal kun bruges, hvis du ikke har et antivirusprogram, der kan fjerne Conficker-virussen.
  • Afhængigt af, hvilken Win32/Conficker-variant computeren er inficeret af, er nogle af de værdier, der henvises til i dette afsnit, muligvis ikke ændret af virussen.
Ved hjælp af de følgende detaljerede trin kan du manuelt fjerne Conficker fra et system:
  1. Log på systemet ved hjælp af en lokal konto.

    Vigtigt! Log ikke på systemet ved hjælp af en domænekonto, hvis det er muligt. Du må især ikke logge på med en domæneadministratorkonto. Den skadelige software foretager en efterligning af den bruger, der er logget på, og får adgang til netværksressourcer ved at bruge legitimationsoplysningerne for den pågældende bruger. På denne måde kan den skadelige software sprede sig.
  2. Stands tjenesten Server. Dette fjerner de administrative shares fra systemet, så den skadelige software ikke kan spredes ved hjælp af denne metode.

    Bemærk! Tjenesten Server skal kun deaktiveres midlertidigt, mens du renser miljøet for den skadelige software. Det gælder især for produktionsservere, fordi dette trin vil påvirke tilgængeligheden af netværksressourcer. Så snart miljøet er renset, kan tjenesten Server aktiveres igen.

    Brug Microsoft Management Console (MMC) til at stoppe tjenesten Server. Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. Du skal gøre følgende, afhængigt af hvilket system du har:
      • Klik på Start, skriv services.msc i boksen Start søgning, og klik derefter på services.msc på listen Programmer i Windows Vista og Windows Server 2008.
      • Klik på Start, klik på Kør, skriv services.msc, og klik derefter på OK i Windows 2000, Windows XP og Windows Server 2003.
    2. Dobbeltklik på Server.
    3. Klik på Stop.
    4. Vælg Deaktiveret i boksen Starttype.
    5. Klik på Anvend.
  3. Fjern alle planlagte AT-opgaver. Det kan du gøre ved at skrive AT /Delete /Yes ved en kommandoprompt.
  4. Stop tjenesten Opgavestyring.
    • Brug Microsoft Management Console (MMC) eller hjælpeprogrammet SC.exe til at stoppe tjenesten Opgavestyring i Windows 2000, Windows XP og Windows Server 2003.
    • Du kan stoppe tjenesten Opgavestyring i Windows Vista eller Windows Server 2008 ved at følge disse trin.

      Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
      322756 Sådan sikkerhedskopieres, redigeres og gendannes registreringsdatabasen i Windows XP og Windows Server 2003
      1. Klik på Start, skriv regedit i boksen Start søgning, og klik derefter på regedit.exe på listen Programmer.
      2. Find og klik på følgende undernøgle i registreringsdatabasen:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Højreklik på DWORD-posten Start i detaljeruden, og klik derefter på Rediger.
      4. Skriv 4 i feltet Værdidata, og klik derefter på OK.
      5. Luk Registreringseditor, og genstart computeren.

        Bemærk! Tjenesten Opgavestyring skal kun deaktiveres midlertidigt, mens du renser miljøet for den skadelige software. Det gælder især for Windows Vista og Windows Server 2008, da dette trin vil påvirke forskellige integrerede planlagte opgaver. Du skal genaktivere servertjenesten, så snart systemet er renset.
  5. Hent og installer sikkerhedsopdatering 958644 (MS08-067) manuelt. Du kan finde flere oplysninger på følgende Microsoft-websted:
    http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
    Bemærk! Dette websted er muligvis blokeret på grund af infektionen med den skadelige software. Hvis det er tilfældet, skal du hente opdateringen fra en computer, der ikke er inficeret, og derefter overføre opdateringsfilen til det inficerede system. Vi anbefaler, at du brænder opdateringen på en cd, fordi der ikke kan skrives på en cd, der er brændt. Derfor kan den ikke inficeres. Hvis der ikke er adgang til et skrivbart cd-drev, kan den eneste mulighed være at bruge et flytbart USB-hukommelsesdrev til at kopiere opdateringen til det inficerede system. Hvis du bruger et flytbart drev, skal du være opmærksom på, at den skadelige software kan inficere drevet med en Autorun.inf-fil. Når du har kopieret opdateringen til det flytbare drev, skal du sørge for at ændre drevet til skrivebeskyttet tilstand, hvis denne indstilling er tilgængelig på enheden. Hvis den skrivebeskyttede tilstand er tilgængelig, aktiveres den typisk ved brug af en fysisk kontakt på enheden. Når du har kopieret opdateringsfilen til den inficerede computer, skal du kontrollere det flytbare drev for at se, om der er skrevet en Autorun.inf-fil til drevet. Hvis der er det, skal du omdøbe filen Autorun.inf til f.eks. Autorun.bad, så den ikke kan køre, når det flytbare drev tilsluttes en computer.
  6. Nulstil alle adgangskoder for lokale administratorer og domæneadministratorer, så der anvendes nye stærke adgangskoder. Du kan finde flere oplysninger på følgende Microsoft-websted:
    http://technet.microsoft.com/da-dk/library/cc875814.aspx
  7. Find og klik på følgende undernøgle i registreringsdatabasen i registreringseditoren:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Højreklik på posten netsvcs i detaljeruden, og klik derefter på Rediger.
  9. Hvis computeren er inficeret med Win32/Conficker, vises der et vilkårligt tjenestenavn.

    Bemærk! Med Win32/Conficker.B var tjenestenavnet vilkårlige bogstaver, og det var placeret nederst på listen. I senere varianter kunne tjenestenavnet figurere hvor som helst på listen, og navnet kunne virke mindre påfaldende. Hvis det vilkårlige tjenestenavn ikke findes nederst på listen, kan du sammenligne dit system med "tabellen over tjenester" i denne vejledning for at finde ud af, hvilket tjenestenavn der kan være tilføjet af Win32/Conficker. Hvis du vil have det bekræftet, kan du sammenligne listen i "tabellen over tjenester" med et lignende system, der helt sikkert ikke er inficeret.

    Bemærk navnet på tjenesten med den skadelige software. Du skal bruge disse oplysninger senere i denne procedure.
  10. Slet den linje, der indeholder referencen til tjenesten med den skadelige software. Kontroller, at du efterlader en tom linje under den sidste gyldige post på listen, og tryk derefter på OK.

    Bemærkninger om tabellen over tjenester
    • Alle poster i tabellen over tjenester er gyldige poster med undtagelse af de poster, der er fremhævet med fed skrift.
    • De elementer, der er fremhævet med fed skrift, er eksempler på, hvad Win32/Conficker-virussen kan føje til netsvcs-værdien i registreringsdatabasenøglen SVCHOST.
    • Afhængigt af, hvad der er installeret på systemet, er dette muligvis ikke en fuldstændig liste over tjenester.
    • Tabellen over tjenester stammer fra en Windows-standardinstallation.
    • Den post, som Win32/Conficker-virussen føjer til listen, er en misvisende teknik. Det er meningen, at den fremhævede skadelige post, der er det første bogstav, skal ligne et lille "L". Men faktisk er det et stort "I". Det store "I" fremstår som et lille "L" på grund af den skrifttype, der bruges af operativsystemet.

    Tabel over tjenester

    Skjul tabellenUdvid tabellen
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. I en tidligere procedure har du noteret navnet på tjenesten fra den skadelige software. I eksemplet var navnet på posten fra den skadelige software "laslogon". Brug denne oplysning i følgende trin:
    1. Find og klik på følgende undernøgle i registreringsdatabasen, hvor BadServiceName er navnet på tjenesten fra den skadelige software:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Find og klik f.eks. på følgende undernøgle i registreringsdatabasen:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Højreklik på undernøglen i navigationsruden for tjenestenavnet for den skadelige software, og klik derefter på Tilladelser.
    3. Klik på Avanceret i dialogboksen Tilladelsesindstilling for Svchost.
    4. I dialogboksen Avancerede sikkerhedsindstillinger skal du klikke for at markere begge de følgende afkrydsningsfelter:
      Arv de tilladelsesposter, der gælder for underordnede objekter, fra det overordnede objekt. Medtag disse sammen med de poster, der udtrykkeligt er defineret her.

      Erstat tilladelsesposter for alle underordnede objekter med de poster, der er vist her, som gælder for underordnede objekter.
  12. Tryk på F5 for at opdatere Registreringseditor. I detaljeruden kan du nu se og redigere den DLL-fil fra den skadelige software, der indlæses som "ServiceDll." Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. Dobbeltklik på posten ServiceDll.
    2. Noter stien til den DLL-fil, der henvises til. Du skal bruge disse oplysninger senere i denne procedure. Stien til den DLL-fil, der henvises til, kan f.eks. se ud på følgende måde:
       %SystemRoot%\System32\doieuln.dll
      Omdøb referencen, så den ligner følgende:
       %SystemRoot%\System32\doieuln.old
    3. Klik på OK.
  13. Fjern posten for tjenesten fra den skadelige software i undernøglen Kør i registreringsdatabasen.
    1. Find og klik på følgende undernøgler i registreringsdatabasen i registreringseditoren:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. I begge undernøgler, skal du finde alle poster, der begynder med "rundll32.exe" og også henviser til den DLL-fil fra den skadelige software, der indlæses som "ServiceDll", som du identificerede i trin 12b. Slet posten.
    3. Luk Registreringseditor, og genstart computeren.
  14. Kontroller, om der er Autorun.inf-filer på systemets drev. Brug Notepad til at åben hver fil, og kontrollér, at der er tale om en gyldig Autorun.inf-fil. Det følgende er et eksempel på en typisk gyldig Autorun.inf-fil.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    En gyldig Autorun.inf-fil er typisk på 1 til 2 kilobyte (KB).
  15. Slet alle Autorun.inf-filer, der ikke ser ud til at være gyldige.
  16. Genstart computeren.
  17. Gør skjulte filer synlige. Det kan du gøre ved at skrive følgende kommando i en kommandoprompt:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Angiv Vis skjulte filer og mapper, så du kan se filen. Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. I trin 12b noterede du stien til den .dll-fil for den skadelige software, der refereres til. Du noterede f.eks. en sti i stil med følgende:
      %systemroot%\System32\doieuln.dll
      Åbn mappen %systemroot%\System32 eller mappen, der indeholder den skadelige software, i Windows Stifinder.
    2. Klik på Funktioner, og klik derefter på Mappeindstillinger.
    3. Klik på fanen Vis.
    4. Marker afkrydsningsfeltet Vis skjulte filer og mapper.
    5. Klik på OK.
  19. Vælg .dll-filen.
  20. Rediger tilladelserne til filen for at tilføje Fuld kontrol for alle. Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. Højreklik på .dll-filen, og klik derefter på Egenskaber.
    2. Klik på fanen Sikkerhed.
    3. Klik på Alle, og klik derefter for at markere afkrydsningsfeltet Fuld kontrol i kolonnen Tillad.
    4. Klik på OK.
  21. Slet den .dll-fil, der refereres til, for den skadelige software. Slet f.eks filen %systemroot%\System32\doieuln.dll.
  22. Aktiver tjenesterne BITS, Automatiske opdateringer, Fejlrapportering og Windows Defender ved hjælp af Microsoft Management Console (MMC).
  23. Deaktiver Autorun for at hjælpe med at reducere effekten af en reinfektion. Det kan du gøre ved at benytte følgende fremgangsmåde:
    1. Afhængigt af dit system skal du installere en af følgende opdateringer:
      • Hvis du kører Windows 2000, Windows XP eller Windows Server 2003, skal du installere opdatering 967715. Du finder flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        967715 Sådan rettes gennemtvingelse af "deaktiver registreringsdatabasenøglen Autorun" i Windows
      • Hvis du kører Windows Vista eller Windows Server 2008, skal du installere opdatering 950582. Du finder flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        950582 MS08-038: En sikkerhedsrisiko i Windows Explorer kan tillade fjernkørsel af programkode
      Bemærk! Opdatering 967715 og sikkerhedsopdatering 950582 omhandler ikke dette problem med skadelig software. Disse opdateringer skal installeres for at aktivere registreringsdatabasefunktionen i trin 23b.
    2. Skriv følgende kommando ved en kommandoprompt:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Hvis systemet kører Windows Defender, skal du aktivere autostartplaceringen for Windows Defender igen. Det kan du gøre ved at skrive følgende kommando i kommandoprompten:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. I Windows Vista og nyere operativsystemer ændrer den skadelige software den globale indstilling for automatiske tilpasning af TCP-modtagevinduet til deaktiveret. Du kan sætte denne indstilling tilbage ved at skrive følgende kommando i en kommandoprompt:
    netsh interface tcp set global autotuning=normal
Hvis computeren ser ud til at være inficeret igen, når du afslutter denne procedure, er en af følgende betingelser muligvis opfyldt:
  • En af autostartplaceringerne blev ikke fjernet. Enten blev AT-jobbet f.eks. ikke fjernet, eller en Autorun.inf-fil blev ikke fjernet.
  • Sikkerhedsopdateringen til MS08-067 blev installeret forkert.
Den skadelige software ændrer muligvis andre indstillinger, der ikke er omtalt i denne artikel. Besøg følgende webside på Microsoft Malware Protection Center for at få de nyeste oplysninger om Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Kontrollér, at systemet er renset

Kontrollér, at følgende tjenester er startet:
  • Automatiske opdateringer (wuauserv)
  • BITS (Background Intelligent Transfer Service)
  • Windows Defender (windefend) (hvis relevant)
  • Tjenesten Windows-fejlrapportering
Det kan du gøre ved at skrive følgende kommandoer i kommandoprompten. Tryk på ENTER efter hver kommando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Når hver kommando kører, modtager du en meddelelse, der ligner følgende:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
I dette eksempel angiver "STATE: 4 RUNNING", at tjenesten kører.

Følg disse trin for at kontrollere status for SvcHost-undernøglen i registreringsdatabasen:
  1. Find og klik på følgende undernøgle i registreringsdatabasen i registreringseditoren:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Dobbeltklik på netsvcs i detaljeruden, og gennemse derefter de tjenestenavne, der vises. Rul ned til bunden af listen. Hvis computeren igen er inficeret med Conficker, vises der et vilkårligt tjenestenavn. I denne procedure er navnet på tjenesten fra den skadelige software f.eks. "laslogon".
Hvis problemet ikke løses med denne fremgangsmåde, skal du kontakte din leverandør af antivirusprogrammer. Du kan finde flere oplysninger om dette problem ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
49500 Liste over leverandører af antivirusprogrammer
Hvis du ikke har en leverandør af antivirusprogrammer, eller hvis leverandøren ikke kan hjælpe, kan du kontakte kundesupporten hos Microsoft for at få mere hjælp.

Når miljøet er renset fuldstændigt

Når miljøet er renset fuldstændigt, skal du følge nedenstående vejledning:
  1. Aktivér tjenesterne Server og Opgavestyring igen.
  2. Gendan standardtilladelserne i registreringsdatabasenøglen SVCHOST og i opgavemappen. De skal konverteres til standardindstillingerne ved hjælp af indstillingerne for gruppepolitikken. Hvis en politik kun er fjernet, kan standardtilladelserne eventuelt ikke ændres til de oprindelige indstillinger. Du kan finde flere oplysninger i tabellen over standardtilladelser i afsnittet "Afhjælpningsvejledning".
  3. Opdater computeren med eventuelt manglende sikkerhedsopdateringer. Det kan du gøre ved at bruge Windows Update, WSUS (Microsoft Windows Server Update Services), SMS (Systems Management Server), SCCM (System Center Configuration Manager) eller et tredjepartsprodukt til opdateringsstyring. Hvis du bruger SMS eller SCCM, skal du først aktivere tjenesten Server igen. Ellers kan SMS eller SCCM muligvis ikke opdatere systemet.

Identificering af inficerede systemer

Hvis du har problemer med at identificere systemer, der er inficeret med Conficker, kan oplysningerne i følgende TechNet-blog evt. hjælpe:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabel over standardtilladelser

I følgende tabel vises standardtilladelserne for hvert operativsystem. Disse tilladelser er installeret, inden du foretager de ændringer, vi anbefaler i denne artikel. Disse tilladelser kan variere fra de tilladelser,der er angivet i dit miljø. Derfor skal du notere dine indstillinger, inden du foretager ændringer. Det skal du gøre, så du kan gendanne dine indstillinger, når du har renset systemet.
Skjul tabellenUdvid tabellen
Operativsystem Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
IndstillingRegistreringsdatabasenøglen SvchostOpgavemappeRegistreringsdatabasenøglen SvchostOpgavemappeRegistreringsdatabasenøglen SvchostOpgavemappeRegistreringsdatabasenøglen SvchostOpgavemappeRegistreringsdatabasenøglen SvchostOpgavemappe
Konto
Administratorer (lokal gruppe)Fuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrol
SystemFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrolFuld kontrol
Superbrugere (lokal gruppe)Ikke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligLæsIkke tilgængeligLæsIkke tilgængeligLæsIkke tilgængelig
Brugere (lokal gruppe)Speciel Ikke tilgængeligSpecielIkke tilgængeligLæsIkke tilgængeligLæsIkke tilgængeligLæsIkke tilgængelig
Gælder for: Denne nøgle og undernøglerGælder for: Denne nøgle og undernøgler
ForespørgselsværdiForespørgselsværdi
Optælling af undernøglerOptælling af undernøgler
Angivelse af beskedAngivelse af besked
LæsekontrolLæsekontrol
Godkendte brugereIkke tilgængeligSpecielIkke tilgængeligSpecielIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængelig
Gælder for: Kun denne mappeGælder for: Kun denne mappe
Gennemgang af mappeGennemgang af mappe
Angiv mappeAngiv mappe
Læs attributterLæs attributter
Læs udvidede attributterLæs udvidede attributter
Opret filerOpret filer
Læs tilladelserLæs tilladelser
Backupoperatører (lokal gruppe)Ikke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligSpecielIkke tilgængeligSpeciel
Gælder for: Kun denne mappeGælder for: Kun denne mappe
Gennemgang af mappeGennemgang af mappe
Angiv mappeAngiv mappe
Læs attributterLæs attributter
Læs udvidede attributterLæs udvidede attributter
Opret filerOpret filer
Læs tilladelserLæs tilladelser
AlleIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligIkke tilgængeligSpeciel
Gælder for: Denne mappe, undermapper og filer
Gennemgang af mappe
Angiv mappe
Læs attributter
Læs udvidede attributter
Opret filer
Opret mapper
Skriv attributter
Skriv udvidede attributter
Læs tilladelser

Egenskaber

Artikel-id: 962007 - Seneste redigering: 4. september 2009 - Redigering: 7.1
Oplysningerne i denne artikel gælder:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 på følgende platforme
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 på følgende platforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 på følgende platforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 på følgende platforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 på følgende platforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 på følgende platforme
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Nøgleord: 
kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com