Win32/Conficker-matoviruksen virusvaroitus

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 962007 - Näytä tuotteet, joita tämä artikkeli koskee.
Windows Vista Service Pack 1:n (SP1) tuki päättyy 12.7.2011. Jos haluat saada Windowsin suojauspäivityksiä edelleen, varmista, että käyttöjärjestelmä on Windows Vista Service Pack 2 (SP2). Lisätietoja on seuraavalla Microsoftin verkkosivulla: Joidenkin Windows-versioiden tuki päättyy.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Tämän Knowledge Base -tietokannan artikkelin tiedot on tarkoitettu yritysympäristöille, joiden järjestelmänvalvojat pystyvät tekemään tässä artikkelissa kuvatut toimet. Tämän artikkelin käyttämiselle ei ole mitään syytä, jos virustentorjuntaohjelma poistaa viruksen oikein ja järjestelmät on päivitetty täysin. Jos haluat varmistaa, että järjestelmässä ei ole Conficker-virusta, tee pikatarkistus seuraavalta verkkosivulta: http://www.microsoft.com/security/scanner/fi-fi/default.aspx Yksityiskohtaisia tietoja Conficker-viruksesta on seuraavalla Microsoftin verkkosivulla:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Tartunnan oireet

Jos tietokoneessasi on tämä virus, et välttämättä huomaa mitään oireita tai saatat huomata jonkin seuraavista oireista:
  • Tilienlukitsemiskäytäntöjä laukaistaan.
  • Automaattiset päivitykset-, BITS-tausta-ajo (Background Intelligent Transfer Service)-, Windows Defender- ja Virheiden raportointi -palvelut on poistettu käytöstä.
  • Toimialueen ohjauskoneet vastaavat hitaasti asiakkaiden pyyntöihin.
  • Verkko on ruuhkainen.
  • Useita tietoturvaan liittyviä WWW-sivustoja ei voi käyttää.
  • Useiden tietoturvaan liittyvien työkalujen suorittaminen ei onnistu. Jos haluat tarkastella tunnettujen työkalujen luetteloa, käy seuraavalla Microsoftin verkkosivulla ja napsauta sitten Analysis-välilehteä, niin saat tietoja Win32/Conficker.D-viruksesta. Lisätietoja on seuraavalla Microsoftin verkkosivulla:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Lisätietoja Win32/Conficker-matoviruksesta on seuraavalla Microsoft Malware Protection Centerin verkkosivulla:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Leviämistavat

Win32/Conficker-matoviruksella on useita leviämistapoja. Seuraavassa on esimerkkejä niistä:
  • tietoturvapäivityksen 958644 (MS08-067) korjaaman heikkouden hyödyntäminen
  • jaettujen verkkoresurssien käyttäminen
  • automaattisen toistamisen käyttäminen.
Tämän vuoksi sinun täytyy olla huolellinen verkkoa puhdistaessasi, jotta uhka ei tartu uudelleen järjestelmiin, jotka on puhdistettu aiemmin.

Huomautus Win32/Conficker.D-muunnos ei leviä siirrettäviin asemiin tai jaettuihin kansioihin verkon välityksellä. Aiemmat Win32/Conficker-muunnokset asentavat Win32/Conficker.D-viruksen.

Viruksen toiminnan estäminen

  • Käytä vahvoja järjestelmänvalvojan salasanoja, jotka ovat erilaiset jokaisessa tietokoneessa.
  • Älä kirjaudu tietokoneisiin käyttäen toimialueen järjestelmänvalvojan tunnistetietoja tai tunnistetietoja, joiden avulla voi käyttää kaikkia tietokoneita.
  • Varmista, että kaikissa järjestelmissä on asennettuna uusimmat tietoturvapäivitykset.
  • Poista automaattisen toistamisen ominaisuudet käytöstä. Lisätietoja on Ryhmäkäytäntöobjektin luonti -osan vaiheessa 3.
  • Poista ylimääräiset oikeudet jaettuihin resursseihin, kuten kirjoitusoikeudet minkä tahansa jaetun resurssin pääkansioon.

Ongelmaa lieventävät toimet

Win32/Conficker-matoviruksen leviämisen estäminen ryhmäkäytäntöasetusten avulla

Huomautuksia
  • Tärkeää Varmista, että kirjoitat nykyiset asetukset muistiin, ennen kuin teet mitään tässä artikkelissa ehdotetuista muutoksista.
  • Näiden toimien tekeminen ei poista Conficker-haittaohjelmaa järjestelmästä, vaan ainoastaan lopettaa haittaohjelman leviämisen. Poista Conficker-haittaohjelma järjestelmästä virustentorjuntatuotteen avulla. Voit poistaa haittaohjelman järjestelmästä myös manuaalisesti noudattamalla tämän Knowledge Base -tietokannan artikkelin Win32/Conficker-viruksen manuaalisen poistamisen vaiheet -osan ohjeita.
  • Et välttämättä pysty asentamaan oikein sovelluksia, Service Pack -paketteja tai muita päivityksiä, kun seuraavissa vaiheissa suositellut käyttöoikeuksien muutokset on tehty. Tähän sisältyy muun muassa päivitystne asentaminen Windows Updaten, Microsoft Windows Server Update Services (WSUS) -palvelimen ja System Center Configuration Managerin (SCCM) avulla, sillä kyseiset tuotteet ovat riippuvaisia Automaattiset päivitykset -toiminnon osista. Varmista, että palautat käyttöoikeudet takaisin niiden oletusasetuksiksi sen jälkeen, kun olet puhdistanut järjestelmän.
  • Tietoja Ryhmäkäytäntöobjektin luonti -osassa mainituista SVCHOST-rekisteriavaimen ja Tasks-kansion oletuskäyttöoikeuksista on tämän artikkelin lopussa olevassa Oletuskäyttöoikeuksien taulukko.

Ryhmäkäytäntöobjektin luonti

Luo ympäristön mukaan uusi ryhmäkäytäntöobjekti, joka koskee kaikkia tietokoneita tietyssä organisaatioyksikössä, sijainnissa tai toimialueessa.

Voit tehdä tämän seuraavasti:
  1. Määritä käytäntö poistamaan kirjoitusoikeudet seuraavaan rekisterin aliavaimeen:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Tämä estää satunnaisesti nimetyn haittaohjelmapalvelun luomisen netsvcs-rekisteriarvoon.

    Voit tehdä tämän seuraavasti:
    1. Avaa ryhmäkäytäntöjen hallintakonsoli (GPMC).
    2. Luo uusi ryhmäkäytäntöobjekti. Anna sille haluamasi nimi.
    3. Avaa uusi ryhmäkäytäntöobjekti ja siirry sitten seuraavaan kansioon:
      Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Rekisteri
    4. Napsauta hiiren kakkospainikkeella Rekisteri-kohtaa ja valitse sitten Lisää avain.
    5. Laajenna Valitse rekisteriavain -valintaikkunassa Tietokone-kohde ja siirry sitten seuraavaan kansioon:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Valitse OK.
    7. Poista näyttöön tulevassa valintaikkunassa Täydet oikeudet -valintaruudun valinta sekä Järjestelmänvalvojat- että Järjestelmä-kohdissa.
    8. Valitse OK.
    9. Valitse Lisää objekti -valintaikkunassa Korvaa kaikkien aliavainten käyttöoikeudet periytyvillä käyttöoikeuksilla.
    10. Valitse OK.
  2. Määritä käytäntö poistamaan kirjoitusoikeudet %windir%\Tasks-kansioon: Tämä estää Conficker-haittaohjelmaa luomasta ajoitettuja tehtäviä, jotka voivat tartuttaa järjestelmän uudelleen.

    Voit tehdä tämän seuraavasti:
    1. Siirry seuraavaan kansioon samassa, aiemmin luomassasi ryhmäkäytäntöobjektissa:
      Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Tiedostojärjestelmä
    2. Napsauta hiiren kakkospainikkeella Tiedostojärjestelmä-kohtaa ja valitse sitten Lisää tiedosto.
    3. Selaa Lisää tiedosto tai kansio -valintaikkunassa %windir%\Tasks-kansioon. Varmista, että Tasks-kansio on korostettuna ja näkyy Kansio-valintaikkunassa.
    4. Valitse OK.
    5. Poista näyttöön tulevassa valintaikkunassa Täydet oikeudet-, Muokkaus- ja Kirjoitus-valintaruutujen valinnat sekä Järjestelmänvalvojat- että Järjestelmä-kohdissa.
    6. Valitse OK.
    7. Valitse Lisää objekti -valintaikkunassa Korvaa kaikkien aliavainten käyttöoikeudet periytyvillä käyttöoikeuksilla.
    8. Valitse OK.
  3. Poista automaattisen toistamisen (automaattisen suorittamisen) ominaisuudet käytöstä. Tämä estää Conficker-haittaohjelmaa leviämästä Windowsin sisäisten automaattisen toistamisen ominaisuuksien avulla.

    Huomautus Käytössä olevan Windows-version mukaan on asennettava eri päivityksiä, jotta automaattinen käynnistys poistetaan käytöstä oikein:
    • Jos haluat poistaa automaattisen käynnistyksen käytöstä Windows Vistassa tai Windows Server 2008:ssa, tietoturvapäivityksen 950582 on oltava asennettuna (kuvattu tietoturvatiedotteessa MS08-038).
    • Jos haluat poistaa automaattisen käynnistyksen käytöstä Windows XP:ssä, Windows Server 2003:ssa tai Windows 2000:ssa, tietoturvapäivityksen 950582, päivityksen 967715 tai päivityksen 953252 on oltava asennettuna.
    Jos haluat määrittää automaattisen toistamisen (automaattisen suorittamisen) ominaisuudet poistettaviksi käytöstä, toimi seuraavasti:
    1. Siirry johonkin seuraavista kansioista samassa, aiemmin luomassasi ryhmäkäytäntöobjektissa:
      • Jos kyseessä on Windows Server 2003 -toimialue, siirry seuraavaan kansioon:
        Tietokoneasetukset\Hallintamalli\Järjestelmä
      • Jos kyseessä on Windows Server 2008 -toimialue, siirry seuraavaan kansioon:
        Tietokoneasetukset\Hallintamallit\Windowsin osat\Automaattiset käynnistyskäytännöt
    2. Avaa Poista automaattinen käynnistys käytöstä -käytäntö.
    3. Valitse Poista automaattinen käynnistys käytöstä -valintaikkunassa Käytössä.
    4. Valitse avattavasta luettelosta Kaikki asemat.
    5. Valitse OK.
  4. Sulje ryhmäkäytäntöjen hallintakonsoli.
  5. Linkitä äskettäin luotu ryhmäkäytäntöobjekti sijaintiin, johon haluat käyttää sitä.
  6. Odota tarpeeksi kauan, että ryhmäkäytäntöasetukset päivittävät kaikki tietokoneet. Yleensä ryhmäkäytännön replikoinnilta kestää viisi minuuttia replikoida kuhunkin toimialueen ohjauskoneeseen ja sen jälkeen 90 minuuttia replikoida muihin järjestelmiin. Muutaman tunnin odottamisen pitäisi riittää. Ympäristön mukaan aikaa saattaa kuitenkin kulua enemmän.
  7. Kun ryhmäkäytäntöasetukset on levitetty, poista haittaohjelmat järjestelmistä.

    Voit tehdä tämän seuraavasti:
    1. Suorita täydelliset virustentarkistukset kaikkiin tietokoneisiin.
    2. Jos virustentorjuntaohjelmisto ei tunnista Conficker-matovirusta, voit poistaa haittaohjelmat Microsoft Safety Scanner -ohjelmalla. Lisätietoja on seuraavalla Microsoftin verkkosivulla: http://www.microsoft.com/security/scanner/fi-fi/default.aspxHuomautus Saatat silti joutua tekemään joitakin manuaalisia toimia, jotta pystyt poistamaan kaikki haittaohjelman vaikutukset. Microsoft suosittelee, että käyt läpi tämän artikkelin Win32/Conficker-viruksen manuaalisen poistamisen vaiheet -osan vaiheet, jotta voit poistaa kaikki haittaohjelman vaikutukset.

Toiminnan palauttaminen

Suorita Microsoft Safety Scanner.

Microsoft Malware Protection Center on päivittänyt Microsoft Safety Scanner -ohjelman. Tämä on erillinen binaari, jolla voidaan poistaa järjestelmässä olevia haittaohjelmia, ja sen avulla voidaan poistaa Win32/Conficker-perheen haittaohjelmat.

Huomautus Microsoft Safety Scanner ei estä uutta tartuntaa, koska se ei ole reaaliaikainen virustentorjuntaohjelma.

Voit ladata Microsoft Safety Scannerin seuraavasta Microsoftin verkkosivustosta:
http://www.microsoft.com/security/scanner/fi-fi/default.aspx

Huomautus Myös Stand-Alone System Sweeper -työkalu poistaa tämän tartunnan. Tämä työkalu on saatavana Microsoft Desktop Optimization Pack 6.0:n osana tai asiakaspalvelusta ja tuesta. Voit hankkia Microsoft Desktop Optimization Packin käymällä seuraavassa Microsoftin WWW-sivustossa:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Jos Windows Live OneCare tai Microsoft Forefront Client Security on käynnissä järjestelmässä, myös se estää matoviruksen, ennen kuin se asennetaan.

Win32/Conficker-viruksen manuaalisen poistamisen vaiheet

Huomautuksia
  • Näitä manuaalisia vaiheita ei enää tarvita, ja niitä tulee käyttää vain, jos mitään virustentorjuntaohjelmistoa ei ole käytettävissä Conficker-viruksen poistamista varten.
  • Sen mukaan, minkä Win32/Conficker-muunnoksen tartunta tietokoneessa on, virus ei välttämättä ole muuttanut kaikkia tässä osassa viitatuista arvoista.
Seuraavien yksityiskohtaisten toimien tekeminen voi auttaa poistamaan Conficker-viruksen järjestelmästä manuaalisesti:
  1. Kirjaudu järjestelmään käyttäen paikallista tiliä.

    Tärkeää Älä kirjaudu järjestelmään toimialuetilillä, jos se on mahdollista. Älä etenkään kirjaudu toimialueen järjestelmän valvojan tilillä. Haittaohjelma tekeytyy kirjautuneeksi käyttäjäksi ja käyttää verkkoresursseja kirjautuneen käyttäjän tunnistetietojen avulla. Tämä antaa haittaohjelman levitä.
  2. Pysäytä Palvelin-palvelu. Tämä poistaa järjestelmänvalvojan resurssit järjestelmästä, joten haittaohjelma ei voi levitä tällä tavalla.

    Huomautus Palvelin-palvelu tulee poistaa käytöstä vain tilapäisesti haittaohjelmien ympäristöstä poistamisen ajaksi. Tämä koskee erityisesti tuotantokäytössä olevia palvelimia, sillä tämä vaihe vaikuttaa verkkoresurssien käytettävyyteen. Kun ympäristö on puhdistettu, Palvelin-palvelu voidaan ottaa uudelleen käyttöön.

    Jos haluat pysäyttää Palvelin-palvelun, käytä MMC:n (Microsoft Management Console) Palvelut-laajennusta. Voit tehdä tämän seuraavasti:
    1. Tee seuraavat järjestelmän mukaiset toimet:
      • Jos käyttöjärjestelmä on Windows Vista tai Windows Server 2008, napsauta Käynnistä -painiketta, kirjoita Aloita haku -ruutuun services.msc ja valitse sitten Ohjelmat -luettelosta services.msc.
      • Jos käyttöjärjestelmä on Windows 2000, Windows XP tai Windows Server 2003, napsauta Käynnistä-painiketta, valitse Suorita, kirjoita services.msc ja valitse sitten OK.
    2. Kaksoisnapsauta Palvelin.
    3. Valitse Pysäytä.
    4. Valitse Käynnistystyyppi-ruudussa Ei käytössä.
    5. Valitse Käytä.
  3. Poista kaikki AT:n luomat ajoitetut tehtävät. Tee tämä kirjoittamalla komentokehotteeseen AT /Delete /Yes.
  4. Pysäytä Tehtävien ajoitus -palvelu.
    • Jos haluat pysäyttää Tehtävien ajoitus -palvelun Windows 2000:ssa, Windows XP:ssä tai Windows Server 2003:ssa, käytä MMC:n (Microsoft Management Console) Palvelut-laajennusta tai SC.exe-apuohjelmaa.
    • Jos haluat pysäyttää Tehtävien ajoitus -palvelun Windows Vistassa tai Windows Server 2008:ssa, toimi seuraavasti.

      Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
      322756 Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa
      1. Napsauta Käynnistä-painiketta, kirjoita Aloita haku -ruutuun regedit ja valitse sitten Ohjelmat-luettelosta regedit.exe.
      2. Etsi seuraava rekisterin aliavain ja valitse se:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Napsauta hiiren kakkospainikkeella tietoruudussa Start-DWORD-merkintää ja valitse sitten Muokkaa.
      4. Kirjoita Arvon data -ruutuun 4 ja valitse sitten OK.
      5. Sulje Rekisterieditori ja käynnistä tietokone uudelleen.

        Huomautus Tehtävien ajoitus -palvelu tulee poistaa käytöstä vain tilapäisesti haittaohjelmien ympäristöstä poistamisen ajaksi. Tämä koskee erityisesti Windows Vistaa ja Windows Server 2008:aa, koska tämä vaihe vaikuttaa useisiin sisäisiin ajoitettuihin tehtäviin. Kun ympäristö on puhdistettu, ota Palvelin-palvelu uudelleen käyttöön.
  5. Lataa tietoturvapäivitys 958644 (MS08-067) ja asenna se manuaalisesti. Lisätietoja on seuraavassa Microsoftin WWW-sivustossa:
    http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
    Huomautus Haittaohjelman tartunta on saattanut estää tämän sivuston käyttämisen. Tässä tilanteessa sinun on ladattava päivitys tietokoneessa, jossa ei ole tartuntaa, ja siirrettävä päivitystiedosto sitten tartunnan saaneeseen järjestelmään. Microsoft suosittelee, että tallennat päivityksen CD-levylle, koska tallennetulle CD-levylle ei voi kirjoittaa. Tämän vuoksi se ei voi saada tartuntaa. Jos tallentavaa CD-asemaa ei ole käytettävissä, siirrettävä USB-muistitikku (tai USB-asema) saattaa olla ainoa tapa kopioida päivitys tartunnan saaneeseen järjestelmään. Jos käytät siirrettävää asemaa, huomaa, että haittaohjelma voi kopioida asemaan Autorun.inf-tiedoston. Kun olet kopioinut päivityksen siirrettävään asemaan, vaihda asema vain luku -tilaan, jos se on mahdollista. Jos vain luku -tila on käytettävissä, sen voi yleensä ottaa käyttöön laitteessa olevan fyysisen kytkimen avulla. Kun olet kopioinut päivitetyn tiedoston tartunnan saaneeseen tietokoneeseen, tarkista, kirjoitettiinko siirrettävään asemaan Autorun.inf-tiedosto. Jos sellainen kopioitiin, nimeä Autorun.inf-tiedosto uudelleen esimerkiksi nimellä Autorun.bad, jotta kyseistä tiedostoa ei voi suorittaa, kun siirrettävä asema liitetään tietokoneeseen.
  6. Muuta paikallisen järjestelmänvalvojan ja toimialueen järjestelmänvalvojan salasanat käyttämään uutta, vahvaa salasanaa. Lisätietoja on seuraavassa Microsoftin WWW-sivustossa:
    http://technet.microsoft.com/fi-fi/library/cc875814.aspx
  7. Etsi ja valitse seuraava rekisterin aliavain Rekisterieditorissa:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Napsauta hiiren kakkospainikkeella tietoruudussa netsvcs-merkintää ja valitse sitten Muokkaa.
  9. Jos tietokoneessa on Win32/Conficker-viruksen tartunta, luettelossa on satunnainen palvelun nimi.

    Huomautus Win32/Conficker.B-viruksen ollessa kyseessä palvelun nimi on satunnaisia kirjaimia, ja se sijaitsee luettelon alaosassa. Uudempien muunnosten ollessa kyseessä palvelun nimi voi olla missä tahansa luettelon kohdassa, ja nimi saattaa muistuttaa enemmän todellisen palvelun nimeä. Jos luettelon alaosassa ei ole satunnaista palvelun nimeä, vertaa järjestelmää näiden toimien Palvelut-taulukkoon ja selvitä, minkä palvelun nimen Win32/Conficker on saattanut lisätä. Voit tarkistaa tämän vertaamalla Palvelut-taulukon luetteloa samanlaiseen järjestelmään, josta tiedetään, ettei siinä ole tartuntaa.

    Kirjoita haittaohjelmapalvelun nimi muistiin. Tarvitset sitä jäljempänä.
  10. Poista rivi, joka sisältää viittauksen haittaohjelmapalveluun. Varmista, että jätät tyhjän rivin viimeisen luettelossa olevan kelvollisen merkinnän jälkeen ja valitse sitten OK.

    Huomautuksia Palvelut-taulukosta
    • Kaikki Palvelut-taulukon merkinnät ovat kelvollisia merkintöjä lukuun ottamatta lihavoinnilla korostettuja kohteita.
    • Lihavoidut kohteet ovat esimerkkejä siitä, mitä Win32/Conficker-virus saattaa lisätä SVCHOST-rekisteriavaimen netsvcs-arvoon.
    • Tämä palveluiden luettelo ei välttämättä ole täydellinen sen mukaan, mitä järjestelmässä on asennettuna.
    • Palvelut-taulukko on Windowsin oletusasennuksen mukainen.
    • Win32/Conficker-viruksen luetteloon lisäämä merkintä on hämäämistekniikka. Korostetun, haittaohjelmaan liittyvän merkinnän, on tarkoitus näyttää alkavan pienellä L-kirjaimella, mutta se on todellisuudessa iso I-kirjain. Käyttöjärjestelmän käyttämän fontin vuoksi iso I-kirjain näyttää pieneltä L-kirjaimelta.

    Palvelut-taulukko

    Kutista tämä taulukkoLaajenna tämä taulukko
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Kirjoitit edellä olevassa vaiheessa haittaohjelmapalvelun nimen muistiin. Tämän artikkelin esimerkissä haittaohjelmamerkinnän nimi oli Iaslogon. Käytä tätä tietoa ja toimi seuraavasti:
    1. Etsi Rekisterieditorissa seuraava rekisterin aliavain ja valitse se (tässä VirheellisenPalvelunNimi on haittaohjelmapalvelun nimi):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VirheellisenPalvelunNimi
      Etsi ja valitse esimerkiksi seuraava rekisterin aliavain:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Napsauta haittaohjelmapalvelun nimen aliavainta siirtymisruudussa hiiren kakkospainikkeella ja valitse sitten Käyttöoikeudet.
    3. Valitse Käyttöoikeudet: Svchost -valintaikkunassa Lisäasetukset.
    4. Valitse Suojauksen lisäasetukset -valintaikkunassa molemmat seuraavista valintaruuduista::
      Peri ylemmän tason objekteilta ne käyttöoikeudet, jotka koskevat myös aliobjekteja. Sisällytä ne tässä erikseen määritettyihin merkintöihin.

      Korvaa kaikkien alemman tason objektien oikeudet näillä, jos ne koskevat alemman tason objekteja.
  12. Päivitä Rekisterieditori painamalla F5-näppäintä. Nyt voit nähdä tietoruudussa nimellä ServiceDll ladattavan haittaohjelman DLL-kirjaston ja muokata sitä. Voit tehdä tämän seuraavasti:
    1. Kaksoisnapsauta ServiceDll-merkintää.
    2. Kirjoita viitatun DLL-kirjaston polku muistiin. Tarvitset sitä jäljempänä. Viitatun DLL-kirjaston polku saattaa esimerkiksi näyttää seuraavanlaiselta:
       %SystemRoot%\System32\doieuln.dll
      Nimeä viittaus uudelleen näyttämään seuraavanlaiselta:
       %SystemRoot%\System32\doieuln.old
    3. Valitse OK.
  13. Nimeä haittaohjelmapalvelun merkintä uudelleen rekisterin Run-aliavaimessa.
    1. Etsi ja valitse seuraavat rekisterin aliavaimet Rekisterieditorissa:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Etsi molemmissa aliavaimissa merkintä, joka alkaa merkkijonolla rundll32.exe ja myös viittaa vaiheessa 12b tunnistamaasi ServiceDLL-kohteen lataavaan haittaohjelman DLL-kirjastoon. Poista kyseinen merkintä.
    3. Sulje Rekisterieditori ja käynnistä tietokone uudelleen.
  14. Etsi järjestelmän asemista Autorun.inf-tiedostoja. Avaa kukin tiedosto Muistiossa ja tarkista sitten, että Autorun.inf-tiedosto on kelvollinen. Seuraavassa on esimerkki tavallisesta kelvollisesta Autorun.inf-tiedostosta:
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Kelvollisen Autorun.inf-tiedoston koko on yleensä 1?2 kilotavua (kt).
  15. Poista kaikki Autorun.inf-tiedostot, jotka eivät vaikuta olevan kelvollisia.
  16. Käynnistä tietokone uudelleen.
  17. Tee piilotiedostoista näkyviä. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavan komennon:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Ota Näytä piilotetut tiedostot ja kansiot -asetus käyttöön, jotta pystyt näkemään tiedoston. Voit tehdä tämän seuraavasti:
    1. Kirjoitit haittaohjelman viittaaman .dll-kirjaston polun muistiin vaiheessa 12b. Kirjoitit muistiin esimerkiksi seuraavankaltaisen polun:
      %systemroot%\System32\doieuln.dll
      Avaa %systemroot%\System32-kansio tai haittaohjelman sisältävä kansio Resurssienhallinnassa.
    2. Valitse Työkalut ja valitse sitten Kansion asetukset.
    3. Valitse Näytä-välilehti.
    4. Valitse Näytä piilotetut tiedostot ja kansiot -valintaruutu.
    5. Valitse OK.
  19. Valitse .dll-tiedosto.
  20. Muokkaa tiedoston käyttöoikeuksia ja lisää kaikille täydet oikeudet. Voit tehdä tämän seuraavasti:
    1. Napsauta .dll-tiedostoa hiiren kakkospainikkeella ja valitse sitten Ominaisuudet.
    2. Valitse Suojaus-välilehti.
    3. Valitse Kaikki ja valitse sitten Salli-sarakkeessa Täydet oikeudet.
    4. Valitse OK.
  21. Poista haittaohjelman viittaama .dll-tiedosto. Poista esimerkiksi %systemroot%\System32\doieuln.dll-tiedosto.
  22. Ota käyttöön BITS-, Automaattiset päivitykset-, Virheiden raportointi- ja Windows Defender -palvelut MMC:n (Microsoft Management Console) Palvelut-laajennuksen avulla.
  23. Pienennä mahdollisen uuden tartunnan vaikutusta poistamalla automaattinen käynnistys käytöstä. Voit tehdä tämän seuraavasti:
    1. Asenna jokin seuraavista päivityksistä järjestelmän mukaan:
      • Jos käyttöjärjestelmä on Windows 2000, Windows XP tai Windows Server 2003, asenna päivitys 967715. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
        967715 Automaattisen käynnistyksen poistaminen käytöstä Windowsissa
      • Jos käyttöjärjestelmä on Windows Vista tai Windows Server 2008, asenna tietoturvapäivitys 950582. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
        950582 MS08-038: Resurssienhallinnan heikkous saattaa sallia koodin etäsuorittamisen
      Huomautus Päivitys 967715 ja tietoturvapäivitys 950582 eivät liity tähän haittaohjelmaongelmaan. Nämä päivitykset on asennettava, jotta vaiheen 23b rekisteritoiminto otetaan käyttöön.
    2. Kirjoita seuraava komento komentokehotteeseen:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Jos Windows Defender on käynnissä järjestelmässä, ota Windows Defenderin automaattisen käynnistyksen sijainti uudelleen käyttöön. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavan komennon:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. Jos käyttöjärjestelmä on Windows Vista tai uudempi käyttöjärjestelmä, haittaohjelma poistaa TCP-vastaanottoikkunan automaattisen säädön käytöstä yleisen asetuksen avulla. Jos haluat palauttaa tämän alkuperäiseksi asetukseksi, kirjoita seuraava komento komentokehotteeseen:
    netsh interface tcp set global autotuning=normal
Jos tietokoneessa vaikuttaa olevan matovirustartunta uudelleen näiden toimien tekemisen jälkeen, kyseessä saattaa olla jompikumpi seuraavista:
  • Jotakin automaattisen käynnistyksen sijainneista ei poistettu. Esimerkiksi AT-työtä ei poistettu tai jotakin Autorun.inf-tiedostoa ei poistettu.
  • Tietoturvapäivitys MS08-067 asennettiin virheellisesti.
Haittaohjelma saattaa muuttaa muita asetuksia, joita tässä artikkelissa ei käsitellä. Käy seuraavalla Microsoft Malware Protection Center -verkkosivulla ja lue uusimmat tiedot Win32/Conficker-matoviruksesta:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Tarkista, että järjestelmä on puhdistettu

Tarkista, että seuraavat palvelut on käynnistetty:
  • Automaattiset päivitykset (wuauserv)
  • BITS-tausta-ajo (Background Intelligent Transfer Service)
  • Windows Defender (windefend) (jos sellainen on)
  • Windowsin virheraportointi -palvelu.
Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavat komennot. Paina ENTER-näppäintä kunkin komennon jälkeen:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Kun kukin komento suoritetaan, näyttöön tulee seuraavankaltainen sanoma:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Tässä esimerkissä STATE : 4 RUNNING ilmaisee, että palvelu on käynnissä.

Jos haluat tarkistaa rekisterin SvcHost-aliavaimen tilan, toimi seuraavasti:
  1. Etsi ja valitse seuraava rekisterin aliavain Rekisterieditorissa:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Kaksoisnapsauta tietoruudussa netsvcs ja käy sitten läpi luettelossa olevat palveluiden nimet. Vieritä luettelon alaosaan. Jos tietokoneessa on jälleen Conficker-matovirus, luettelossa on satunnainen palvelun nimi. Esimerkiksi näissä toimissa haittaohjelmapalvelun nimi on Iaslogon.
Jos näiden toimien tekeminen ei ratkaise ongelmaa, ota yhteyttä virustentorjuntaohjelmiston toimittajaan. Saat lisätietoja tästä ongelmasta napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
49500 Luettelo virustentorjuntaohjelmistojen valmistajista
Jos virustentorjuntaohjelmiston valmistajaa ei ole tai tämä ei pysty auttamaan, pyydä lisäohjeita Microsoftin asiakastuesta.

Kun ympäristö on puhdistettu täysin

Kun ympäristö on puhdistettu täysin, toimi seuraavasti:
  1. Ota Palvelin-palvelu ja Tehtävien ajoitus -palvelu uudelleen käyttöön.
  2. Palauta SVCHOST-rekisteriavaimen ja Tasks-kansion oletuskäyttöoikeudet. Ne tulee palauttaa oletusasetuksiksi ryhmäkäytäntöasetusten avulla. Jos käytäntö vain poistetaan, oletuskäyttöoikeuksia ei välttämättä palauteta. Lue lisätietoja Ongelmaa lieventävät toimet -osan oletuskäyttöoikeuksien taulukosta.
  3. Päivitä tietokone asentamalla mahdollisesti puuttuvat tietoturvapäivitykset. Voit tehdä tämän käyttämällä Windows Updatea, Microsoft Windows Server Update Services (WSUS) -palvelinta, Systems Management Serveriä (SMS), System Center Configuration Manageria (SCCM) tai jotakin kolmannen osapuolen päivitystenhallintatuotetta. Jos käytät SMS:ää tai SCCM:ää, sinun on otettava ensin Palvelin-palvelu uudelleen käyttöön. Muussa tapauksessa SMS tai SCCM ei ehkä pysty päivittämään järjestelmää.

Tartunnan saaneiden järjestelmien tunnistaminen

Jos sinulla on ongelmia Conficker-tartunnan saaneiden järjestelmien tunnistamisessa, seuraavassa TechNet-blogissa olevista lisätiedoista voi olla apua:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Oletuskäyttöoikeuksien taulukko

Seuraavassa taulukossa on esitetty kunkin käyttöjärjestelmän oletuskäyttöoikeudet. Nämä käyttöoikeudet ovat käytössä, ennen kuin Microsoftin tässä artikkelissa suosittelemat muutokset tehdään. Nämä käyttöoikeudet saattavat olla erilaiset kuin ympäristössäsi asetettuina olevat käyttöoikeudet. Tämän vuoksi sinun on kirjoitettava käytössä olevat asetukset muistiin, ennen kuin teet mitään muutoksia. Sinun on tehtävä tämä, jotta voit palauttaa asetuksesi järjestelmän puhdistamisen jälkeen.
Kutista tämä taulukkoLaajenna tämä taulukko
Käyttöjärjestelmä Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
AsetusSvchost-rekisteriTasks-kansioSvchost-rekisteriTasks-kansioSvchost-rekisteriTasks-kansioSvchost-rekisteriTasks-kansioSvchost-rekisteriTasks-kansio
Tili
Järjestelmänvalvojat (paikallinen ryhmä)Täydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudet
JärjestelmäTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudetTäydet oikeudet
Tehokäyttäjät (paikallinen ryhmä)----Luku-Luku-Luku-
Käyttäjät (paikallinen ryhmä)Mukautettu -Mukautettu-Luku-Luku-Luku-
Käyttökohde: Tämä avain ja aliavaimetKäyttökohde: Tämä avain ja aliavaimet
Arvon kyselyArvon kysely
Aliavainten luetteleminenAliavainten luetteleminen
IlmoitusIlmoitus
Valvonnan lukuValvonnan luku
Vahvistetut käyttäjät-Mukautettu-Mukautettu------
Käyttökohde: Vain tämä kansioKäyttökohde: Vain tämä kansio
Poikittainen kansioPoikittainen kansio
Luetteloi kansiotLuetteloi kansiot
Lue määritteetLue määritteet
Lue lisämääritteetLue lisämääritteet
Luo tiedostojaLuo tiedostoja
Oikeuksien lukuOikeuksien luku
Varmuuskopiointioperaattorit (paikallinen ryhmä)-----Mukautettu-Mukautettu
Käyttökohde: Vain tämä kansioKäyttökohde: Vain tämä kansio
Poikittainen kansioPoikittainen kansio
Luetteloi kansiotLuetteloi kansiot
Lue määritteetLue määritteet
Lue lisämääritteetLue lisämääritteet
Luo tiedostojaLuo tiedostoja
Oikeuksien lukuOikeuksien luku
Kaikki---------Mukautettu
Käyttökohde: Tämä kansio, alikansio ja tiedostot
Poikittainen kansio
Luetteloi kansiot
Lue määritteet
Lue lisämääritteet
Luo tiedostoja
Luo kansioita
Kirjoita määritteet
Kirjoita lisämääritteet
Oikeuksien luku

Lisäohjeet

  Jos haluat lisäohjeita tähän ongelmaan liittyen ja olet Yhdysvalloissa, voit keskustella Answer Desk -asiantuntijan kanssa: 
Answer Desk

Ominaisuudet

Artikkelin tunnus: 962007 - Viimeisin tarkistus: 15. tammikuuta 2013 - Versio: 10.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Hakusanat: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com