Προειδοποίηση για τον ιό τύπου worm Win32/Conficker

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 962007 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Η υποστήριξη του Windows Vista Service Pack 1 (SP1) λήγει στις 12 Ιουλίου 2011. Για να συνεχίσετε να λαμβάνετε ενημερώσεις ασφάλειας για τα Windows, βεβαιωθείτε ότι εκτελείτε το Windows Vista Service Pack 2 (SP2). Για περισσότερες πληροφορίες, ανατρέξτε σε αυτή την ιστοσελίδα της Microsoft: Η υποστήριξη λήγει για κάποιες εκδόσεις των Windows.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Οι πληροφορίες σε αυτό το άρθρο της Γνωσιακής Βάσης (Knowledge Base) αφορούν επιχειρηματικά περιβάλλοντα τα οποία έχουν διαχειριστές συστήματος που μπορούν να εφαρμόσουν τις λεπτομέρειες αυτού του άρθρου. Δεν υπάρχει λόγος να χρησιμοποιήσετε αυτό το άρθρο εάν το πρόγραμμα προστασίας από ιούς πραγματοποιεί σωστά εκκαθάριση του ιού και εάν τα συστήματά σας είναι πλήρως ενημερωμένα. Για να επιβεβαιώσετε ότι το σύστημα είναι καθαρό από τον ιό Conficker, εκτελέστε μια γρήγορη σάρωση από την παρακάτω ιστοσελίδα: http://www.microsoft.com/security/scanner/el-gr/default.aspx Για λεπτομερείς πληροφορίες σχετικά με τον ιό Conficker, επισκεφθείτε την ακόλουθη ιστοσελίδα της Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Συμπτώματα προσβολής

Εάν ο υπολογιστής σας έχει προσβληθεί από αυτόν τον ιό τύπου worm, ενδέχεται να μην παρατηρήσετε κανένα σύμπτωμα ή μπορεί να παρατηρήσετε κάποιο από τα παρακάτω συμπτώματα:
  • Ενεργοποιούνται οι πολιτικές αποκλεισμού λογαριασμού.
  • Απενεργοποιούνται οι Αυτόματες ενημερώσεις (Automatic Updates), η υπηρεσία Background Intelligent Transfer Service (BITS), το Windows Defender και οι υπηρεσίες αναφοράς σφαλμάτων (Error Reporting Services).
  • Οι ελεγκτές τομέα ανταποκρίνονται αργά στις αιτήσεις του υπολογιστή-πελάτη.
  • Το δίκτυο είναι υπερφορτωμένο.
  • Δεν είναι δυνατή η πρόσβαση σε πολλές τοποθεσίες Web που σχετίζονται με την ασφάλεια.
  • Δεν θα εκτελούνται διάφορα εργαλεία που σχετίζονται με την ασφάλεια. Για μια λίστα με γνωστά εργαλεία, επισκεφθείτε την ακόλουθη ιστοσελίδα της Microsoft και κάντε κλικ στην καρτέλα Ανάλυση για πληροφορίες σχετικά με τον ιό Win32/Conficker.D. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη ιστοσελίδα της Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Για περισσότερες πληροφορίες σχετικά με τον ιό Win32/Conficker, επισκεφθείτε την ακόλουθη ιστοσελίδα του Microsoft Malware Protection Center:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Μέθοδοι μετάδοσης

Ο ιός Win32/Conficker χαρακτηρίζεται από πολλαπλές μεθόδους μετάδοσης. Αυτές οι μέθοδοι συμπεριλαμβάνουν τις εξής:
  • Εκμετάλλευση της ευπάθειας που επιδιορθώνεται με την ενημερωμένη έκδοση ασφαλείας 958644 (MS08-067)
  • Χρήση κοινόχρηστων στοιχείων δικτύου
  • Χρήση των λειτουργιών αυτόματης αναπαραγωγής (AutoPlay)
Επομένως, πρέπει να είστε προσεκτικοί όταν κάνετε εκκαθάριση ενός δικτύου, έτσι ώστε να μην επανέλθει η απειλή σε συστήματα που έχουν εκκαθαριστεί προηγουμένως.

Σημείωση Η παραλλαγή Win32/Conficker.D δεν εξαπλώνεται σε αφαιρούμενους δίσκους ή σε κοινόχρηστους φακέλους μέσω δικτύου. Ο ιός Win32/Conficker.D εγκαθίσταται από προηγούμενες παραλλαγές του ιού Win32/Conficker.

Αποτροπή

  • Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή, οι οποίοι είναι μοναδικοί για όλους τους υπολογιστές.
  • Μην συνδέεστε σε υπολογιστές χρησιμοποιώντας διαπιστευτήρια διαχειριστή τομέα ή διαπιστευτήρια που έχουν πρόσβαση σε όλους τους υπολογιστές.
  • Βεβαιωθείτε ότι όλα τα συστήματα διαθέτουν τις πιο πρόσφατες ενημερωμένες εκδόσεις ασφαλείας.
  • Απενεργοποιήστε τις δυνατότητες Αυτόματης εκτέλεσης. Για περισσότερες πληροφορίες, δείτε το βήμα 3 της ενότητας "Δημιουργία αντικειμένου πολιτικής ομάδας".
  • Καταργήστε τα υπερβολικά δικαιώματα στα κοινόχρηστα στοιχεία. Αυτό περιλαμβάνει την κατάργηση των δικαιωμάτων εγγραφής στη ρίζα κάθε κοινόχρηστου στοιχείου.

Βήματα μετριασμού

Ανακόψτε την εξάπλωση του Win32/Conficker χρησιμοποιώντας

Σημειώσεις των ρυθμίσεων της πολιτικής ομάδας
  • Σημαντικό Βεβαιωθείτε ότι έχετε καταγράψει όλες τις τρέχουσες ρυθμίσεις πριν προχωρήσετε στην πραγματοποίηση των αλλαγών που περιγράφονται σε αυτό το άρθρο.
  • Η διαδικασία αυτή δεν αφαιρεί το κακόβουλο λογισμικό Conficker από το σύστημα. Απλώς σταματά την εξάπλωσή του. Θα πρέπει να χρησιμοποιήσετε ένα προϊόν αντιμετώπισης ιών για να αφαιρέσετε το κακόβουλο λογισμικό Conficker από το σύστημα. Ή, ακολουθήστε τα βήματα στην ενότητα "Μη αυτόματα βήματα για την αφαίρεση του ιού Win32/Conficker" αυτού του άρθρου της Γνωσιακής Βάσης, για να αφαιρέσετε με μη αυτόματο τρόπο το κακόβουλο λογισμικό από το σύστημα.
  • Ενδέχεται να μην είστε σε θέση να εγκαταστήσετε σωστά εφαρμογές, service pack ή άλλες ενημερωμένες εκδόσεις κατά την εφαρμογή των αλλαγών δικαιωμάτων που προτείνονται στα επόμενα βήματα. Αυτό περιλαμβάνει, ενδεικτικά, την εφαρμογή ενημερωμένων εκδόσεων με χρήση του Windows Update, του διακομιστή Microsoft Windows Server Update Services (WSUS) και του System Center Configuration Manager (SCCM), καθώς αυτά τα προϊόντα βασίζονται σε στοιχεία των Αυτόματων ενημερώσεων. Μην ξεχάσετε να αλλάξετε τα δικαιώματα στις προεπιλεγμένες ρυθμίσεις μετά την εκκαθάριση του συστήματος.
  • Για πληροφορίες σχετικά με τα δικαιώματα για το κλειδί μητρώου SVCHOST και τον φάκελο εργασιών, που αναφέρονται στην ενότητα "Δημιουργία αντικειμένου πολιτικής ομάδας", ανατρέξτε στον πίνακα προεπιλεγμένων δικαιωμάτων στο τέλος αυτού του άρθρου.

Δημιουργία αντικειμένου πολιτικής ομάδας

Δημιουργήστε ένα αντικείμενο πολιτικής ομάδας (GPO) το οποίο εφαρμόζεται σε όλους τους υπολογιστές μιας συγκεκριμένης οργανικής μονάδας (OU), μιας τοποθεσίας ή ενός τομέα, σύμφωνα με τις απαιτήσεις του περιβάλλοντός σας.

Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Ορίστε την πολιτική για αφαίρεση των δικαιωμάτων εγγραφής στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Με τη διαδικασία αυτή εμποδίζετε τη δημιουργία υπηρεσίας κακόβουλου λογισμικού με τυχαίο όνομα στην τιμή μητρώου netsvcs.

    Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Ανοίξτε την Κονσόλα διαχείρισης πολιτικής ομάδας (GPMC).
    2. Δημιουργήστε ένα νέο GPO. Δώστε του ένα όνομα της προτίμησής σας.
    3. Ανοίξτε το νέο GPO και στη συνέχεια μεταβείτε στον ακόλουθο φάκελο:
      Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Μητρώο (Computer Configuration\Windows Settings\Security Settings\Registry)
    4. Κάντε δεξί κλικ στην επιλογή Μητρώο (Registry) και στη συνέχεια κάντε κλικ στην επιλογή Προσθήκη κλειδιού (Add Key).
    5. Στο πλαίσιο διαλόγου Επιλογή κλειδιού μητρώου (Select Registry Key), επεκτείνετε την επιλογή Υπολογιστής (Machine) και στη συνέχεια μεταβείτε στον ακόλουθο φάκελο:
      Λογισμικό\Microsoft\Windows NT\ΤρέχουσαΈκδοση\Svchost (Software\Microsoft\Windows NT\CurrentVersion\Svchost)
    6. Κάντε κλικ στο κουμπί ΟΚ.
    7. Στο πλαίσιο διαλόγου που ανοίγει, κάντε κλικ για να απενεργοποιήσετε το πλαίσιο διαλόγου Πλήρης έλεγχος (Full Control) και για τους Διαχειριστές (Administrators) και για το Σύστημα (System).
    8. Κάντε κλικ στο κουμπί ΟΚ.
    9. Στο πλαίσιο διαλόγου Προσθήκη αντικειμένου (Add Object), κάντε κλικ στην επιλογή Αντικατάσταση υπαρχόντων δικαιωμάτων σε όλα τα δευτερεύοντα κλειδιά με μεταβιβάσιμα δικαιώματα (Replace existing permissions on all subkeys with inheritable permissions).
    10. Κάντε κλικ στο κουμπί ΟΚ.
  2. Ορίστε την πολιτική για κατάργηση των δικαιωμάτων εγγραφής στον φάκελο %windir%\Tasks. Με αυτόν τον τρόπο το κακόβουλο λογισμικό Conficker δεν μπορεί να δημιουργήσει τις προγραμματισμένες εργασίες οι οποίες θα μπορούσαν να προσβάλουν ξανά το σύστημα.

    Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Στο ίδιο GPO που δημιουργήσατε νωρίτερα, μεταβείτε στον ακόλουθο φάκελο:
      Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Σύστημα αρχείου (Computer Configuration\Windows Settings\Security Settings\File System)
    2. Κάντε δεξιό κλικ στο στοιχείο Σύστημα αρχείων (File System) και, στη συνέχεια, κάντε κλικ στην εντολή Προσθήκη αρχείου (Add File).
    3. Στο πλαίσιο διαλόγου Προσθήκη αρχείου ή φακέλου (Add a file or folder), μετακινηθείτε στον φάκελο %windir%\Tasks. Βεβαιωθείτε ότι το στοιχείο Εργασίες (Tasks) έχει επισημανθεί και εμφανίζεται στο παράθυρο διαλόγου Φάκελος (Φάκελος).
    4. Κάντε κλικ στο κουμπί OK.
    5. Στο παράθυρο διαλόγου που ανοίγει, κάντε κλικ για να καταργήσετε την επιλογή από τα πλαίσια ελέγχου για τα στοιχεία Πλήρης έλεγχος (Full Control), Τροποποίηση (Modify) και Εγγραφή (Write) και για τους Διαχειριστές (Administrators) και για το Σύστημα (System).
    6. Κάντε κλικ στο κουμπί ΟΚ.
    7. Στο πλαίσιο διαλόγου Προσθήκη αντικειμένου (Add Object), κάντε κλικ στην επιλογή Αντικατάσταση υπαρχόντων δικαιωμάτων σε όλα τα δευτερεύοντα κλειδιά με μεταβιβάσιμα δικαιώματα (Replace existing permissions on all subkeys with inheritable permissions).
    8. Κάντε κλικ στο κουμπί ΟΚ.
  3. Απενεργοποιήστε τις δυνατότητες αυτόματης αναπαραγωγής (Autorun). Η διαδικασία αυτή εμποδίζει την εξάπλωση του κακόβουλου λογισμικού Conficker μέσω των δυνατοτήτων αυτόματης αναπαραγωγής που είναι ενσωματωμένες στα Windows.

    Σημείωση Ανάλογα με την έκδοση των Windows που χρησιμοποιείτε, υπάρχουν διαφορετικές ενημερωμένες εκδόσεις που πρέπει να έχετε εγκαταστήσει για να απενεργοποιηθεί σωστά η λειτουργικότητα Αυτόματης εκτέλεσης:
    • Για να απενεργοποιήσετε τη λειτουργικότητα Αυτόματης εκτέλεσης στα Windows Vista ή στον Windows Server 2008, πρέπει να έχετε εγκαταστήσει την ενημερωμένη έκδοση ασφαλείας 950582 (που περιγράφεται στην ανακοίνωση ασφαλείας MS08-038).
    • Για να απενεργοποιήσετε τη λειτουργικότητα Αυτόματης εκτέλεσης στα Windows XP, στον Windows Server 2003 ή στα Windows 2000, πρέπει να έχετε εγκαταστήσει την ενημερωμένη έκδοση ασφαλείας 950582, την ενημερωμένη έκδοση 967715 ή την ενημερωμένη έκδοση 953252.
    Για να απενεργοποιήσετε τις δυνατότητες Αυτόματης εκτέλεσης, ακολουθήστε αυτά τα βήματα:
    1. Στο ίδιο GPO που δημιουργήσατε νωρίτερα, μεταβείτε στους ακόλουθους φακέλους:
      • Για έναν τομέα Windows Server 2003, μεταβείτε στον ακόλουθο φάκελο:
        Ρυθμίσεις υπολογιστή\Πρότυπα διαχείρισης\Σύστημα (Computer Configuration\Administrative Templates\System):
      • Για έναν τομέα Windows 2008, μεταβείτε στον ακόλουθο φάκελο:
        Ρυθμίσεις υπολογιστή\Πρότυπα διαχείρισης\Στοιχεία Windows\Πολιτικές αυτόματης αναπαραγωγής (Computer Configuration\Administrative Templates\Windows Components\Autoplay Policies)
    2. Ανοίξτε την πολιτική Απενεργοποίηση Αυτόματης Αναπαραγωγής (Turn off Autoplay).
    3. Στο πλαίσιο διαλόγου Απενεργοποίηση Αυτόματης Αναπαραγωγής (Turn off Autoplay), κάντε κλικ στην επιλογή Ενεργοποιημένο (Enabled).
    4. Στο αναπτυσσόμενο μενού, κάντε κλικ στην επιλογή Όλες οι μονάδες δίσκου (All drives).
    5. Κάντε κλικ στο κουμπί ΟΚ.
  4. Κλείστε την Κονσόλα διαχείρισης πολιτικής ομάδας.
  5. Συνδέστε το νέο GPO που δημιουργήθηκε με την θέση στην οποία θέλετε να εφαρμοστεί.
  6. Διαθέστε αρκετό χρόνο έτσι ώστε να ενημερωθούν οι ρυθμίσεις της πολιτικής ομάδας σε όλους τους υπολογιστές. Γενικά, η αναπαραγωγή της πολιτικής ομάδας διαρκεί πέντε λεπτά για κάθε ελεγκτή τομέα και στη συνέχεια 90 λεπτά για την αναπαραγωγή στα υπόλοιπα συστήματα. Δύο ώρες αρκούν. Ωστόσο, ενδέχεται να χρειαστεί περισσότερος χρόνος, ανάλογα με το περιβάλλον.
  7. Μετά τη διάδοση των ρυθμίσεων της πολιτικής ομάδας, πραγματοποιήστε εκκαθάριση των συστημάτων από το κακόβουλο λογισμικό.

    Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Εκτελέστε πλήρη σάρωση προγραμμάτων αντιμετώπισης ιών σε όλους τους υπολογιστές.
    2. Αν το λογισμικό αντιμετώπισης ιών που διαθέτετε δεν εντοπίζει το λογισμικό Conficker, μπορείτε να χρησιμοποιήσετε το Εργαλείο αφαίρεσης κακόβουλου λογισμικού (MSRT) για να απομακρύνετε το κακόβουλο λογισμικό. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη ιστοσελίδα της Microsoft: http://www.microsoft.com/security/scanner/el-gr/default.aspxΣημείωση Ίσως χρειαστεί να κάνετε ορισμένα μη αυτόματα βήματα για να αφαιρέσετε πλήρως το κακόβουλο λογισμικό. Προτείνουμε να διαβάσετε όλα τα βήματα που αναφέρονται στην ενότητα "Μη αυτόματα βήματα για την αφαίρεση του ιού Win32/Conficker" αυτού του άρθρου, για να αφαιρέσετε πλήρως το κακόβουλο λογισμικό.

Αποκατάσταση

Εκτελέστε το πρόγραμμα σάρωσης ασφαλείας της Microsoft.

Το Κέντρο προστασίας από λογισμικό κακόβουλης λειτουργίας της Microsoft έχει ενημερώσει το πρόγραμμα σάρωσης ασφαλείας της Microsoft. Πρόκειται για ένα αυτόνομο δυαδικό αρχείο που είναι χρήσιμο κατά την αφαίρεση διαδεδομένου κακόβουλου λογισμικού και μπορεί να συμβάλλει στην αφαίρεση της οικογένειας κακόβουλου λογισμικού Win32/Conficker.

Σημείωση Το πρόγραμμα σάρωσης ασφαλείας της Microsoft δεν εμποδίζει την εκ νέου προσβολή, επειδή δεν είναι πρόγραμμα προστασίας από ιούς σε πραγματικό χρόνο.

Μπορείτε να κάνετε λήψη του προγράμματος σάρωσης της Microsoft από την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/security/scanner/el-gr/default.aspx

Σημείωση Το αυτόνομο εργαλείο καθαρισμού συστήματος (Stand-Alone System Sweeper) θα αφαιρέσει επίσης αυτόν τον ιό. Το εργαλείο αυτό είναι διαθέσιμο ως στοιχείο του Microsoft Desktop Optimization Pack 6.0 ή μέσω της Εξυπηρέτησης και Υποστήριξης Πελατών. Για να αποκτήσετε το Microsoft Desktop Optimization Pack, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Εάν εκτελείται στο σύστημα το Microsoft Security Essentials ή το Microsoft Forefront Client Security, τα προγράμματα αυτά επίσης αποκλείουν την απειλή πριν αυτή εγκατασταθεί.

Μη αυτόματα βήματα για την αφαίρεση του ιού Win32/Conficker

Σημειώσεις
  • Αυτά τα μη αυτόματα βήματα δεν είναι απαραίτητα πλέον και πρέπει να χρησιμοποιούνται μόνο στην περίπτωση που δεν έχετε λογισμικό προστασίας από ιούς για την αφαίρεση του ιού Conficker.
  • Ανάλογα με την παραλλαγή του Win32/Conficker που έχει προσβάλλει το σύστημα,κάποιες από τις τιμές που αναφέρονται σε αυτήν την ενότητα, ενδέχεται να μην έχουν μεταβληθεί από τον ιό.
Τα παρακάτω λεπτομερή βήματα μπορούν να σας βοηθήσουν να αφαιρέσετε από το σύστημα με μη αυτόματο τρόπο τον ιό Conficker:
  1. Συνδεθείτε στο σύστημα χρησιμοποιώντας έναν τοπικό λογαριασμό.

    Σημαντικό Μην συνδεθείτε στο σύστημα χρησιμοποιώντας έναν λογαριασμό τομέα, εάν είναι δυνατό. Ιδιαίτερα, μην συνδεθείτε χρησιμοποιώντας έναν λογαριασμό Domain Admin. Το κακόβουλο υλικό μιμείται τον συνδεδεμένο χρήστη και αποκτά πρόσβαση σε πόρους δικτύου χρησιμοποιώντας τις πιστοποιήσεις αυτού. Η συμπεριφορά αυτή επιτρέπει την εξάπλωση του κακόβουλου λογισμικού.
  2. Διακόψτε την υπηρεσία διακομιστή. Αφαιρούνται έτσι τα κοινόχρηστα στοιχεία διαχείρισης από το σύστημα ώστε να μην μπορεί να εξαπλωθεί το κακόβουλο λογισμικό χρησιμοποιώντας τη συγκεκριμένη μέθοδο.

    Σημείωση Η υπηρεσία διακομιστή θα πρέπει να απενεργοποιείται μόνον προσωρινά, ενώ κάνετε εκκαθάριση του κακόβουλου λογισμικού στο περιβάλλον σας. Αυτό συμβαίνει κυρίως σε διακομιστές παραγωγής επειδή αυτό το βήμα επηρεάζει τη διαθεσιμότητα των πόρων του δικτύου. Μόλις γίνει εκκαθάριση του περιβάλλοντος, η υπηρεσία διακομιστή μπορεί να ενεργοποιηθεί εκ νέου.

    Για να διακόψετε την υπηρεσία διακομιστή, χρησιμοποιήστε την κονσόλα διαχείρισης της Microsoft (MMC). Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Ανάλογα με το σύστημά σας, κάντε τα εξής:
      • Στα Windows Vista και στον Windows Server 2008, κάντε κλικ στο κουμπί Έναρξη (Start), πληκτρολογήστε services.msc στο πλαίσιο Έναρξη αναζήτησης (Start Search) και, στη συνέχεια, κάντε κλικ στην επιλογή services.msc της λίστας Προγράμματα (Programs).
      • Στα Windows 2000, Windows XP και στον Windows Server 2003, κάντε κλικ στο κουμπί Έναρξη (Start) στη συνέχεια κάντε κλικ στην επιλογή Εκτέλεση (Run), πληκτρολογήστε services.msc και τέλος κάντε κλικ στο κουμπί OK.
    2. Κάντε διπλό κλικ στο εικονίδιο Διακομιστής (Server).
    3. Κάντε κλικ στην επιλογή Διακοπή (Stop).
    4. Επιλέξτε Ανενεργή (Disabled) στο πλαίσιο Τύπος εκκίνησης (Startup type).
    5. Κάντε κλικ στο κουμπί Εφαρμογή (Apply).
  3. Αφαίρεση όλων των προγραμματισμένων εργασιών που δημιουργήθηκαν με ΑΤ. Για να γίνει αυτό, πληκτρολογήστε ΑΤ/Διαγραφή/Ναι (AT /Delete /Yes) στη γραμμή εντολών.
  4. Διακοπή της υπηρεσίας "Χρονοδιάγραμμα εργασιών".
    • Προκειμένου να διακόψετε την υπηρεσία "Χρονοδιάγραμμα εργασιών" στα Windows 2000, Windows XP και στον Windows Server 2003, χρησιμοποιήστε την κονσόλα διαχείρισης της Microsoft (MMC) ή το βοηθητικό πρόγραμμα SC.exe.
    • Προκειμένου να διακόψετε την υπηρεσία "Χρονοδιάγραμμα εργασιών" στα Windows Vista ή στον Windows Server 2008, ακολουθήστε τα εξής βήματα.

      Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν στην τροποποίηση του μητρώου. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο, εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
      322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
      1. Κάντε κλικ στο κουμπί Έναρξη (Start), πληκτρολογήστε regedit στο πλαίσιο Έναρξη αναζήτησης (Start Search) και, στη συνέχεια, κάντε κλικ στην επιλογή regedit.exe της λίστας Προγράμματα (Programs).
      2. Εντοπίστε και κατόπιν κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Στο παράθυρο λεπτομερειών, κάντε δεξιό κλικ στην καταχώρηση Έναρξη (Start) DWORD και κατόπιν κάντε κλικ στην εντολή Τροποποίηση (Modify).
      4. Στο πλαίσιο Δεδομένα τιμής (Value data), πληκτρολογήστε 4 και κατόπιν κάντε κλικ στο κουμπί ΟΚ.
      5. Κλείστε τον "Επεξεργαστή Μητρώου" (Registry Editor) και, στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.

        Σημείωση Η υπηρεσία "Χρονοδιάγραμμα εργασιών" θα πρέπει να απενεργοποιείται μόνον προσωρινά, ενώ κάνετε εκκαθάριση του κακόβουλου λογισμικού στο περιβάλλον σας. Αυτό ισχύει κυρίως στα Windows Vista και στον Windows Server 2008, επειδή αυτό το βήμα επηρεάζει διάφορες ενσωματωμένες προγραμματισμένες εργασίες. Μόλις ολοκληρωθεί η εκκαθάριση του περιβάλλοντος, ενεργοποιήστε ξανά την υπηρεσία διακομιστή.
  5. Λήψη και μη αυτόματη εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας 958644 (MS08-067). Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
    Σημείωση Αυτή η τοποθεσία ενδέχεται να έχει αποκλειστεί εξαιτίας της προσβολής κακόβουλου λογισμικού. Σύμφωνα με αυτό το σενάριο, πρέπει να κάνετε λήψη της ενημερωμένης έκδοσης από έναν υπολογιστή που δεν έχει προσβληθεί και στη συνέχεια να μεταφέρετε το αρχείο ενημερωμένης έκδοσης στο σύστημα που έχει προσβληθεί. Συνιστούμε να εγγράψετε την ενημερωμένη έκδοση σε ένα CD επειδή το CD που δημιουργήθηκε με εγγραφή δεν είναι εγγράψιμο. Επομένως, δεν μπορεί να προσβληθεί. Εάν δεν διατίθεται μια μονάδα εγγράψιμου CD, μια αφαιρούμενη μονάδα μνήμης USB ενδέχεται να είναι ο μόνος τρόπος για να αντιγράψετε την ενημερωμένη έκδοση στο σύστημα που έχει προσβληθεί. Εάν χρησιμοποιείτε μια αφαιρούμενη μονάδα, έχετε υπόψη σας ότι το κακόβουλο λογισμικό μπορεί να προσβάλει τη μονάδα με ένα αρχείο Autorun.inf. Αφού αντιγράψετε την ενημερωμένη έκδοση στην αφαιρούμενη μονάδα, βεβαιωθείτε ότι αλλάξατε τη μονάδα σε λειτουργία μόνο για ανάγνωση, εάν η επιλογή είναι διαθέσιμη για τη συσκευή σας. Εάν είναι διαθέσιμη η λειτουργία μόνο για ανάγνωση, έχει ενεργοποιηθεί τυπικά χρησιμοποιώντας έναν φυσικό διακόπτη στη συσκευή. Στη συνέχεια, αφού αντιγράψετε το αρχείο ενημερωμένης έκδοσης στον υπολογιστή που έχει προσβληθεί, ελέγξτε την αφαιρούμενη μονάδα για να δείτε εάν έχει εγγραφεί ένα αρχείο Autorun.inf. Εάν έχει εγγραφεί, μετονομάστε το αρχείο Autorun.inf σε Autorun.bad για παράδειγμα έτσι ώστε να μην εκτελείται όταν συνδέετε την αφαιρούμενη μονάδα σε έναν υπολογιστή.
  6. Επαναφέρετε οποιουσδήποτε κωδικούς πρόσβασης Local Admin και Domain Admin για να χρησιμοποιήσετε έναν νέο ισχυρό κωδικό πρόσβασης. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://technet.microsoft.com/el-gr/library/cc875814.aspx
  7. Στον "Επεξεργαστή μητρώου" (Registry Editor), εντοπίστε και κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Στο παράθυρο λεπτομερειών, κάντε δεξιό κλικ στην καταχώρηση netsvcs και κατόπιν κάντε κλικ στην εντολή Τροποποίηση (Modify).
  9. Εάν ο υπολογιστής έχει προσβληθεί με τον ιό Win32/Conficker, θα καταχωρηθεί ένα τυχαίο όνομα υπηρεσίας.

    Σημείωση Με τον ιό Win32/Conficker.B, το όνομα της υπηρεσίας αποτελείτο από τυχαία γράμματα και βρισκόταν στο κάτω μέρος της λίστας. Στις νεότερες παραλλαγές, το όνομα της υπηρεσίας μπορεί να βρίσκεται σε οποιοδήποτε σημείο της λίστας και να δείχνει πιο έγκυρο. Εάν το τυχαίο όνομα υπηρεσίας δεν βρίσκεται στο κάτω μέρος, συγκρίνετε το σύστημά σας με τον "Πίνακα υπηρεσιών" που υπάρχει σε αυτήν τη διαδικασία, για να εξακριβώσετε ποια υπηρεσία ενδέχεται να έχει προστεθεί από τον ιό Win32/Conficker. Για επιβεβαίωση, συγκρίνετε τη λίστα στον "Πίνακα υπηρεσιών" με ένα παρόμοιο σύστημα που γνωρίζετε ότι δεν έχει προσβληθεί.

    Σημειώστε το όνομα της υπηρεσίας κακόβουλου λογισμικού. Θα χρειαστείτε αυτή την πληροφορία αργότερα σε αυτήν τη διαδικασία.
  10. Διαγράψτε τη γραμμή που περιέχει την αναφορά στην υπηρεσία κακόβουλου λογισμικού. Βεβαιωθείτε ότι έχετε αφήσει μια κενή γραμμή κάτω από την τελευταία νόμιμη καταχώρηση που παρατίθεται και στη συνέχεια κάντε κλικ στο κουμπί OK.

    Σημειώσεις σχετικά με τον πίνακα υπηρεσιών
    • Όλες οι καταχωρήσεις στον πίνακα υπηρεσιών είναι έγκυρες, εκτός από τα στοιχεία που έχουν επισημανθεί με έντονη γραφή.
    • Τα στοιχεία που έχουν επισημανθεί με έντονη γραφή, είναι παραδείγματα του τι μπορεί να προσθέσει ο ιός Win32/Conficker στην τιμή netsvcs στο κλειδί μητρώου SVCHOST.
    • Ενδέχεται η λίστα των υπηρεσιών να μην είναι πλήρης, αφού εξαρτάται από το τι υπάρχει εγκατεστημένο στο σύστημα.
    • Ο πίνακας υπηρεσιών προέρχεται από μια προεπιλεγμένη εγκατάσταση των Windows.
    • Η καταχώρηση που προσθέτει στη λίστα ο ιός Win32/Conficker αποτελεί μια τεχνική ασάφειας. Η κακόβουλη καταχώρηση που έχει επισημανθεί και που υποτίθεται ότι μοιάζει με το πρώτο γράμμα, είναι το "L" γραμμένο με πεζό χαρακτήρα. Ωστόσο, στην πραγματικότητα είναι κεφαλαίο "Ι". Λόγω της γραμματοσειράς που χρησιμοποιείται από το λειτουργικό σύστημα, το κεφαλαίο "Ι" μοιάζει με το πεζό "L".

    Πίνακας υπηρεσιών

    Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ΘέματαΘέματαΠρόγραμμα περιήγησηςAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcΠρόγραμμα περιήγησηςIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservΘέματαSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiΘέματα
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    πρόγραμμα περιήγησηςProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcχρονοδιάγραμμαhelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcπρόγραμμα περιήγησηςxmlprov
    χρονοδιάγραμμαhkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Σε μια προηγούμενη διαδικασία, σημειώσατε το όνομα της υπηρεσίας κακόβουλου λογισμικού. Στο παράδειγμά μας, το όνομα της καταχώρησης κακόβουλου λογισμικού ήταν "laslogon". Χρησιμοποιώντας αυτές τις πληροφορίες, ακολουθήστε τα εξής βήματα:
    1. Στον Επεξεργαστή Μητρώου (Registry Editor), εντοπίστε και στη συνέχεια κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου, όπου το BadServiceName είναι το όνομα της υπηρεσίας κακόβουλου λογισμικού:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Για παράδειγμα, εντοπίστε και κάντε κλικ στο παρακάτω δευτερεύον κλειδί μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Κάντε δεξιό κλικ στο δευτερεύον κλειδί στο παράθυρο πλοήγησης για το όνομα της υπηρεσίας κακόβουλου λογισμικού και στη συνέχεια κάντε κλικ στην επιλογή Δικαιώματα (Permissions).
    3. Στο παράθυρο διαλόγου Καταχώρηση δικαιωμάτων για το SvcHost (Permissions Entry for SvcHost), κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).
    4. Στο πλαίσιο διαλόγου Πρόσθετες ρυθμίσεις ασφαλείας (Advanced Security Settings), επιλέξτε τα παρακάτω δύο πλαίσια ελέγχου:
      Μεταβίβαση των καταχωρήσεων δικαιωμάτων από το γονικό στα εξαρτώμενα αντικείμενα. Συμπερίληψη αυτών με καταχωρήσεις ρητά καθοριζόμενες εδώ. (Inherit from parents the permission entries that apply to child objects. Include these with entries explicitly defined here)

      Αντικατάσταση των καταχωρήσεων δικαιωμάτων σε όλα τα εξαρτώμενα αντικείμενα με καταχωρήσεις που εμφανίζονται εδώ και οι οποίες ισχύουν για τα εξαρτώμενα αντικείμενα.
  12. Πατήστε το πλήκτρο F5 για να ενημερώσετε τον Επεξεργαστή Μητρώου (Registry Editor). Στο παράθυρο λεπτομερειών, μπορείτε πλέον να δείτε και να επεξεργαστείτε το κακόβουλο DLL που φορτώνεται ως "ServiceDll". Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Κάντε διπλό κλικ στην καταχώρηση ServiceDll.
    2. Σημειώστε τη διαδρομή της DLL που αναφέρεται. Θα χρειαστείτε αυτή την πληροφορία αργότερα σε αυτήν τη διαδικασία. Για παράδειγμα, η διαδρομή της DLL που αναφέρεται ενδέχεται να μοιάζει με την εξής:
       %SystemRoot%\System32\doieuln.dll
      Μετονομασία της αναφοράς ώστε να μοιάζει με την εξής:
       %SystemRoot%\System32\doieuln.old
    3. Κάντε κλικ στο κουμπί ΟΚ.
  13. Αφαίρεση της καταχώρησης της υπηρεσίας κακόβουλου λογισμικού από το δευτερεύον κλειδί Εκτέλεση (Run) στο μητρώο.
    1. Στον "Επεξεργαστή μητρώου" (Registry Editor), εντοπίστε και κάντε κλικ στα ακόλουθα δευτερεύοντα κλειδιά μητρώου:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Και στα δύο δευτερεύοντα κλειδιά, εντοπίστε οποιαδήποτε καταχώρηση ξεκινά με το "rundll32.exe" και αναφέρεται επίσης στο κακόβουλο λογισμικό DLL που φορτώνεται ως "ServiceDll" και το οποίο αναγνωρίσατε στο βήμα 12β. Διαγράψτε την καταχώρηση.
    3. Κλείστε τον "Επεξεργαστή Μητρώου" (Registry Editor) και, στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.
  14. Ελέγξτε για αρχεία Autorun.inf σε οποιεσδήποτε μονάδες στο σύστημα. Χρησιμοποιήστε το Σημειωματάριο για να ανοίξετε κάθε αρχείο και στη συνέχεια επαληθεύστε ότι πρόκειται για ένα έγκυρο αρχείο Autorun.inf. Το ακόλουθο αποτελεί παράδειγμα ενός τυπικού έγκυρου αρχείου Autorun.inf.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Συνήθως, το μέγεθος ενός έγκυρου Autorun.inf είναι από 1 έως 2 kilobyte (KB).
  15. Διαγράψτε τυχόν αρχεία Autorun.inf που δεν φαίνονται να είναι έγκυρα.
  16. Κάνετε επανεκκίνηση του υπολογιστή.
  17. Εμφανίστε όλα τα κρυφά αρχεία. Για να γίνει αυτό, πληκτρολογήστε την ακόλουθη εντολή σε μια γραμμή εντολών:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Ορίστε την επιλογή Εμφάνιση κρυφών αρχείων και φακέλων (Show hidden files and folders) ώστε να μπορείτε να βλέπετε το αρχείο. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Στο βήμα 12β, σημειώσατε τη διαδρομή του αρχείου .dll που αναφέρεται για το κακόβουλο λογισμικό. Για παράδειγμα, σημειώσατε μια διαδρομή που θυμίζει την ακόλουθη:
      %systemroot%\System32\doieuln.dll
      Στην Εξερεύνηση των Windows, ανοίξτε τον κατάλογο %systemroot%\System32 ή τον κατάλογο που περιέχει το κακόβουλο λογισμικό.
    2. Κάντε κλικ στο μενού Εργαλεία (Tools) και κατόπιν κάντε κλικ στην εντολή Επιλογές φακέλων (Folder Options)
    3. Κάντε κλικ στην καρτέλα Προβολή (View).
    4. Επιλέξτε το πλαίσιο ελέγχου Εμφάνιση κρυφών αρχείων και φακέλων (Show hidden files and folders).
    5. Κάντε κλικ στο κουμπί ΟΚ.
  19. Επιλέξτε το αρχείο .dll.
  20. Επεξεργασία των δικαιωμάτων του αρχείου για προσθήκη πλήρους ελέγχου για όλους. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Κάντε δεξιό κλικ στο αρχείο .dll και κατόπιν κάντε κλικ στην εντολή Ιδιότητες (Properties).
    2. Κάντε κλικ στην καρτέλα Ασφάλεια (Security).
    3. Κάντε κλικ στην επιλογή Όλοι (Everyone) και στη συνέχεια κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Πλήρης έλεγχος (Full Control) στη στήλη Αποδοχή (Allow).
    4. Κάντε κλικ στο κουμπί ΟΚ.
  21. Διαγράψτε το αρχείο .dll που αναφέρεται για το κακόβουλο λογισμικό. Για παράδειγμα, διαγράψτε το αρχείο %systemroot%\System32\doieuln.dll.
  22. Ενεργοποίηση των υπηρεσιών BITS, Αυτόματες ενημερώσεις (Automatic Updates), Αναφορά σφαλμάτων (Error Reporting) και Windows Defender χρησιμοποιώντας την κονσόλα διαχείρισης της Microsoft (MMC).
  23. Απενεργοποίηση του στοιχείου "Αυτόματης Εκτέλεσης" (Autorun) ώστε να μειωθεί η επίδραση από οποιαδήποτε εκ νέου προσβολή. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Ανάλογα με το σύστημά σας, εγκαταστήστε μία από τις ακόλουθες ενημερωμένες εκδόσεις:
      • Εάν εκτελείτε τα Windows 2000, Windows XP ή τον Windows Server 2003, εγκαταστήστε την ενημερωμένη έκδοση 967715. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        967715 Τρόπος απενεργοποίησης της λειτουργίας αυτόματης εκτέλεσης στα Windows
      • Εάν εκτελείται τα Windows Vista ή τον Windows Server 2008, εγκαταστήστε την ενημερωμένη έκδοση 950582. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
        950582 MS08-038: Ένα θέμα ευπάθειας στην Εξερεύνηση των Windows (Windows Explorer) θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα
      Σημείωση Η ενημερωμένη έκδοση 967715 και η ενημερωμένη έκδοση ασφαλείας 950582 δεν σχετίζονται με αυτό το ζήτημα κακόβουλου λογισμικού. Αυτές οι ενημερωμένες εκδόσεις πρέπει να εγκατασταθούν ώστε να ενεργοποιηθεί η λειτουργία μητρώου στο βήμα 23β.
    2. Πληκτρολογήστε την ακόλουθη εντολή σε μια γραμμή εντολών:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Εάν το σύστημα εκτελεί το Windows Defender, ενεργοποιήστε εκ νέου την θέση αυτόματης έναρξης του Windows Defender. Για να γίνει αυτό, πληκτρολογήστε την ακόλουθη εντολή στη γραμμή εντολών:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. Για τα Windows Vista και νεότερες εκδόσεις λειτουργικών συστημάτων, το κακόβουλο λογισμικό αλλάζει την τιμή της καθολικής ρύθμισης για την αυτόματη ρύθμιση του παραθύρου λήψης TCP σε "Απενεργοποιημένη". Για να επαναφέρετε την αρχική ρύθμιση, πληκτρολογήστε την ακόλουθη εντολή σε μια γραμμή εντολών:
    netsh interface tcp set global autotuning=normal
Εάν, μετά την ολοκλήρωση αυτής της διαδικασίας, ο υπολογιστής φαίνεται να έχει προσβληθεί εκ νέου, μπορεί να ισχύει μία από τις παρακάτω συνθήκες:
  • Μία από τις θέσεις αυτόματης έναρξης δεν έχει αφαιρεθεί. Για παράδειγμα, είτε δεν έχει αφαιρεθεί η εργασία ΑΤ είτε δεν έχει αφαιρεθεί ένα αρχείο Autorun.inf.
  • Η ενημερωμένη έκδοση ασφαλείας για το MS08-067 δεν έχει εγκατασταθεί σωστά.
Αυτό το κακόβουλο λογισμικό ενδέχεται να αλλάξει και άλλες ρυθμίσεις που δεν αναφέρονται στο παρόν άρθρο. Επισκεφθείτε την ακόλουθη ιστοσελίδα του Microsoft Malware Protection Center για τις τελευταίες λεπτομέρειες σχετικά με τον ιό Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Επαληθεύστε ότι το σύστημα είναι καθαρό

Επαληθεύστε ότι έχουν ξεκινήσει οι ακόλουθες υπηρεσίες:
  • Αυτόματες ενημερώσεις (Automatic Updates) (wuauserv)
  • Background Intelligent Transfer Service (BITS)
  • Windows Defender (windefend) (εάν υπάρχει)
  • Υπηρεσία αναφοράς σφαλμάτων των Windows (Windows Error Reporting Service)
Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές στη γραμμή εντολών. Πιέστε το πλήκτρο ENTER έπειτα από κάθε εντολή:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Μετά την εκτέλεση κάθε εντολής, θα λάβετε ένα μήνυμα που μοιάζει με το εξής:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Σε αυτό το παράδειγμα, το "STATE : 4 RUNNING" δηλώνει ότι εκτελείται η υπηρεσία.

Για να επαληθεύσετε την κατάσταση του δευτερεύοντος κλειδιού μητρώου του SvcHost , ακολουθήστε τα εξής βήματα:
  1. Στον "Επεξεργαστή μητρώου" (Registry Editor), εντοπίστε και κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Στο παράθυρο λεπτομερειών, κάντε διπλό κλικ στην επιλογή netsvcs και στη συνέχεια κάντε αναθεώρηση των ονομάτων των υπηρεσιών που παρατίθενται. Μετακινηθείτε στο κάτω μέρος της λίστας. Εάν ο υπολογιστής έχει προσβληθεί εκ νέου με τον ιό Conficker, θα καταχωρηθεί ένα τυχαίο όνομα υπηρεσίας. Για παράδειγμα, σε αυτήν τη διαδικασία, το όνομα της υπηρεσίας κακόβουλου λογισμικού είναι "Iaslogon".
Εάν αυτά τα βήματα δεν επιλύσουν το ζήτημα, επικοινωνήστε με τον προμηθευτή του λογισμικού εντοπισμού ιών που χρησιμοποιείτε. Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
49500 Λίστα προμηθευτών λογισμικού εντοπισμού ιών
Εάν δεν έχετε έναν προμηθευτή λογισμικού εντοπισμού ιών ή ο προμηθευτής του λογισμικού εντοπισμού ιών που χρησιμοποιείτε δεν μπορεί να βοηθήσει, επικοινωνήστε με τις Υπηρεσίες Τεχνικής Υποστήριξης της Microsoft για περαιτέρω βοήθεια.

Μετά την πλήρη εκκαθάριση του περιβάλλοντος

Μετά την πλήρη εκκαθάριση του περιβάλλοντος, ακολουθήστε τα παρακάτω βήματα:
  1. Ενεργοποιήστε ξανά την υπηρεσία διακομιστή και την υπηρεσία "Χρονοδιάγραμμα εργασιών".
  2. Επαναφέρετε τα προεπιλεγμένα δικαιώματα στο κλειδί μητρώου SVCHOST καθώς και στον φάκελο εργασιών. Η επαναφορά στις προεπιλεγμένες ρυθμίσεις θα πρέπει να γίνει με χρήση των ρυθμίσεων πολιτικής ομάδας. Εάν μια πολιτική απλά αφαιρεθεί, η επαναφορά των προεπιλεγμένων δικαιωμάτων ενδέχεται να μην γίνει. Ανατρέξτε στην ενότητα "Βήματα μετριασμού" στον πίνακα των προεπιλεγμένων δικαιωμάτων για περισσότερες πληροφορίες.
  3. Ενημέρωση του υπολογιστή με εγκατάσταση τυχόν ενημερωμένων εκδόσεων ασφαλείας που λείπουν. Για να γίνει αυτό, χρησιμοποιήστε εργαλεία όπως το Windows Update, το διακομιστή υπηρεσιών Microsoft Windows Server Update Services (WSUS), το Systems Management Server (SMS), το System Center Configuration Manager (Configuration Manager 2007) ή ένα προϊόν διαχείρισης ενημερώσεων άλλων κατασκευαστών. Εάν χρησιμοποιείτε SMS ή Configuration Manager 2007, πρέπει πρώτα να ενεργοποιήσετε εκ νέου την υπηρεσία διακομιστή. Διαφορετικά, το SMS ή το Configuration Manager 2007 ενδέχεται να μην μπορούν να ενημερώσουν το σύστημα.

Προσδιορισμός συστημάτων που έχουν προσβληθεί

Εάν έχετε πρόβλημα να αναγνωρίσετε συστήματα που έχουν προσβληθεί από τον ιό Conficker, οι λεπτομέρειες που παρέχονται στο παρακάτω ιστολόγιο TechNet, ενδέχεται να βοηθήσουν:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Πίνακας προεπιλεγμένων δικαιωμάτων

Ο παρακάτω πίνακας εμφανίζει τα προεπιλεγμένα δικαιώματα για κάθε λειτουργικό σύστημα. Αυτά τα δικαιώματα υπάρχουν πριν εφαρμόσετε τις αλλαγές που προτείνουμε σε αυτό το άρθρο. Αυτά τα δικαιώματα ενδέχεται να διαφέρουν από τα δικαιώματα που έχετε ορίσει στο δικό σας περιβάλλον. Για αυτόν τον λόγο, θα πρέπει να σημειώσετε τις ρυθμίσεις σας πριν κάνετε οποιαδήποτε αλλαγή. Πρέπει να το κάνετε ώστε να είστε σε θέση να επαναφέρετε τις ρυθμίσεις σας μετά την εκκαθάριση του συστήματος.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Λειτουργικό σύστημα Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
ΡύθμισηΜητρώο SvchostΦάκελος εργασιώνΜητρώο SvchostΦάκελος εργασιώνΜητρώο SvchostΦάκελος εργασιώνΜητρώο SvchostΦάκελος εργασιώνΜητρώο SvchostΦάκελος εργασιών
Λογαριασμός
Διαχειριστές (τοπική ομάδα)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)
ΣύστημαΠλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)Πλήρης έλεγχος (Full Control)
Έμπειροι χρήστες (τοπική ομάδα)Δεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΑνάγνωση (Read)Δεν εφαρμόζεταιΑνάγνωση (Read)Δεν εφαρμόζεταιΑνάγνωση (Read)Δεν εφαρμόζεται
Διαχειριστές (τοπική ομάδα)Ειδικό Δεν εφαρμόζεταιΕιδικόΔεν εφαρμόζεταιΑνάγνωση (Read)Δεν εφαρμόζεταιΑνάγνωση (Read)Δεν εφαρμόζεταιΑνάγνωση (Read)Δεν εφαρμόζεται
Ισχύει για: Αυτό το κλειδί και τα δευτερεύοντα κλειδιάΙσχύει για: Αυτό το κλειδί και τα δευτερεύοντα κλειδιά
Τιμή ερωτήματοςΤιμή ερωτήματος
Απαρίθμηση δευτερευόντων κλειδιώνΑπαρίθμηση δευτερευόντων κλειδιών
ΕιδοποίησηΕιδοποίηση
Έλεγχος ανάγνωσηςΈλεγχος ανάγνωσης
Authenticated UsersΔεν εφαρμόζεταιΕιδικόΔεν εφαρμόζεταιΕιδικόΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεται
Ισχύει για: Αυτόν τον φάκελο μόνοΙσχύει για: Αυτόν τον φάκελο μόνο
Αλλαγή φακέλουΑλλαγή φακέλου
Λίστα φακέλουΛίστα φακέλου
Ιδιότητες ανάγνωσης (Read Attributes)Χαρακτηριστικά ανάγνωσης (Read Attributes)
Πρόσθετες ιδιότητες ανάγνωσης (Read Extended Attributes)Πρόσθετες ιδιότητες ανάγνωσης (Read Extended Attributes)
Δημιουργία αρχείωνΔημιουργία αρχείων
Δικαιώματα ανάγνωσης (Read Permissions)Δικαιώματα ανάγνωσης (Read Permissions)
Αντίγραφα ασφαλείας (τοπική ομάδα)Δεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΕιδικόΔεν εφαρμόζεταιΕιδικό
Ισχύει για: Αυτόν τον φάκελο μόνοΙσχύει για: Αυτόν τον φάκελο μόνο
Αλλαγή φακέλουΑλλαγή φακέλου
Λίστα φακέλουΛίστα φακέλου
Χαρακτηριστικά ανάγνωσης (Read Attributes)Χαρακτηριστικά ανάγνωσης (Read Attributes)
Πρόσθετες ιδιότητες ανάγνωσης (Read Extended Attributes)Πρόσθετες ιδιότητες ανάγνωσης (Read Extended Attributes)
Δημιουργία αρχείωνΔημιουργία αρχείων
Δικαιώματα ανάγνωσης (Read Permissions)Δικαιώματα ανάγνωσης (Read Permissions)
EveryoneΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΔεν εφαρμόζεταιΕιδικό
Ισχύει για: Αυτόν τον φάκελο, τον υποφάκελο και τα αρχεία
Αλλαγή φακέλου
Λίστα φακέλου
Χαρακτηριστικά ανάγνωσης (Read Attributes)
Πρόσθετες ιδιότητες ανάγνωσης (Read Extended Attributes)
Δημιουργία αρχείων
Δημιουργία φακέλων
Ιδιότητες εγγραφής (Write Attributes)
Πρόσθετες ιδιότητες εγγραφής (Write Extended Attributes)
Δικαιώματα ανάγνωσης (Read Permissions)

Πρόσθετη βοήθεια

  Για περισσότερη βοήθεια με αυτό το θέμα, αν κατοικείτε στις Ηνωμένες Πολιτείες μπορείτε να συνομιλήσετε με έναν ειδικό του Answer Desk: 
Answer Desk
Σημείωση Αυτό είναι ένα άρθρο «ΤΑΧΕΙΑΣ ΔΗΜΟΣΙΕΥΣΗΣ» που δημιουργήθηκε απευθείας από τον οργανισμό υποστήριξης της Microsoft. Οι πληροφορίες που περιλαμβάνονται σε αυτό το άρθρο, παρέχονται ως απόκριση σε θέματα που προκύπτουν. Ως αποτέλεσμα της ταχύτητας διάθεσής του, το υλικό ενδέχεται να έχει τυπογραφικά λάθη και να αναθεωρηθεί ανά πάσα στιγμή χωρίς ειδοποίηση. Ανατρέξτε στους Όρους χρήσης για άλλα ζητήματα.

Ιδιότητες

Αναγν. άρθρου: 962007 - Τελευταία αναθεώρηση: Τρίτη, 15 Ιανουαρίου 2013 - Αναθεώρηση: 1.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 1 για Windows Vista στις ακόλουθες πλατφόρμες
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 στις ακόλουθες πλατφόρμες
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 στις ακόλουθες πλατφόρμες
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 στις ακόλουθες πλατφόρμες
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Λέξεις-κλειδιά: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com