Vírusriasztás: a Win32/Conficker féreg

A cikk fordítása A cikk fordítása
Cikk azonosítója: 962007 - A cikkben érintett termékek listájának megtekintése.
A Windows Vista Service Pack 1 (SP1) rendszerek támogatása 2011. július 12-én véget ér. Ha továbbra is hozzá szeretne jutni a Windows biztonsági frissítéseihez, a Service Pack 2 (SP2) szervizcsomaggal bővített Windows Vista rendszert használja. További információért keresse fel a Microsoft alábbi weblapját: Megszűnik egyes Windows-verziók támogatása.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglalás

A jelen Tudásbázis-cikk olyan vállalati környezeteknek íródott, amelyekben elérhető egy tapasztalt rendszergazda az utasítások végrehajtásához. Ha víruskereső programja megfelelően eltávolítja ezt a férget, illetve ha számítógépén megtalálhatók a legújabb frissítések, akkor nem szükséges a cikkben írottakat követnie. Annak ellenőrzéséhez, hogy számítógépe mentes-e a Conficker féregtől, végezzen gyors ellenőrzést az alábbi webhelyről: http://www.microsoft.com/security/scanner/hu-hu/ A Conficker vírusról a Microsoft következő webhelye nyújt részletes információt:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

A fertőzés tünetei

Ha számítógépe megfertőződött ezzel a féreggel, akkor vagy nem tapasztal semmi erre utaló tünetet, vagy a következő jelenségeket tapasztalhatja:
  • Aktivizálódnak a fiókzárolási házirendek.
  • Az Automatikus frissítések, a Háttérben futó intelligens átviteli szolgáltatás (BITS), a Windows Defender és a hibajelentő szolgáltatás le van tiltva.
  • A tartományvezérlő lassan válaszol az ügyfélkérelmekre.
  • A hálózat túlterhelt.
  • A biztonsággal kapcsolatos egyes webhelyek nem érhetők el.
  • Egyes, biztonsággal kapcsolatos eszközök nem futnak. Az érintett eszközök listájának megtekintéséhez látogasson el a Microsoft webhelyének Win32/Conficker.D vírusról szóló lapjára, majd kattintson a Technical Information (Technikai információ) hivatkozásra:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
A Win32/Conficker féreggel kapcsolatos további információért látogasson el a Microsoft kártevők elleni védelmi központjának webhelyére:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Terjedési módok

A Win32/Conficker féregnek több terjedési módja van, például az alábbiak:
  • A 958644. számú (MS08-067 jelű) biztonsági frissítés által javított biztonsági rés kihasználása
  • Hálózati megosztások használata
  • Az automatikus lejátszási funkció használata
A hálózat megtisztításakor óvatosan járjon el, nehogy a féreg ismét megfertőzze a már megtisztított rendszereket.

Megjegyzés: A Win32/Conficker.D variáns nem terjed cserélhető meghajtókra és hálózati megosztott mappákra. A Win32/Conficker.D variánst a Win32/Conficker korábbi variánsai telepítik.

Megelőzés

  • Használjon erős, egyedi rendszergazdai jelszót minden számítógépen.
  • Ne jelentkezzen be a számítógépekre tartományi rendszergazdaként vagy más, minden számítógéphez hozzáféréssel rendelkező felhasználóként.
  • Ellenőrizze, hogy minden rendszerre telepítve vannak-e a legújabb biztonsági frissítések.
  • Tiltsa le az Automatikus lejátszás szolgáltatást. További tudnivalókért tekintse át a „Csoportházirend-objektum létrehozása” című szakasz harmadik lépését.
  • Távolítsa el a felesleges megosztási jogokat, ideértve a megosztások gyökérmappájának írási jogait is.

A probléma enyhítésének lépései

A Win32\Conficker terjedésének megelőzése csoportházirend-beállításokkal

Megjegyzések:
  • Fontos: Jegyezze fel a jelenlegi beállításokat, mielőtt azokat a cikk javaslatainak megfelelően módosítaná.
  • Ez az eljárás nem távolítja el a Conficker kártevőt a rendszerből, csak megakadályozza annak terjedését. Az eltávolításhoz használjon egy víruskereső programot vagy hajtsa végre a jelen Tudásbázis-cikk „A Win32/Conficker vírus manuális eltávolításának lépései” című szakaszában részletezett lépéseket a kártevőnek a rendszerből való manuális eltávolításához.
  • Előfordulhat, hogy nem fog tudni alkalmazásokat, szervizcsomagokat és más frissítéseket telepíteni, amíg az alább javasolt jogosultságmódosítások aktívak. Ez érinti többek között a Windows Update szolgáltatással, a Microsoft Windows Server Update Services- (WSUS) kiszolgálókkal és a System Center Configuration Manager (SCCM) szoftverrel végzett frissítést, mivel ezek a termékek az automatikus frissítési szolgáltatás összetevőire épülnek. A vírus eltávolítása után ne felejtse el visszaállítani a jogosultságokat.
  • A „Csoportházirend-objektum létrehozása” című szakaszban említett SVCHOST beállításkulcs és Tasks mappa alapértelmezett jogosultságait a cikk végén, az alapértelmezett jogosultságok táblázatában találhatja meg.

Csoportházirend-objektum létrehozása

Hozzon létre egy új csoportházirend-objektumot, amely az adott szervezeti egység, hely vagy tartomány összes számítógépére érvényes.

Ehhez hajtsa végre az alábbi lépéseket:
  1. Állítsa be a házirendet úgy, hogy távolítsa el a beállításjegyzék következő alkulcsára vonatkozó írási engedélyeket:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Ezzel megakadályozhatja a kártevő véletlenszerűen elnevezett szolgáltatásának bejegyzését a netsvcs beállításazonosítóban.

    Ehhez hajtsa végre az alábbi lépéseket:
    1. Nyissa meg a Csoportházirend kezelése konzolt (GPMC).
    2. Hozzon létre egy új csoportházirend-objektumot, és adjon neki tetszőleges nevet.
    3. Nyissa meg az új csoportházirend-objektumot, majd lépjen a következő mappába:
      Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Beállításjegyzék
    4. Kattintson a jobb gombbal a Beállításjegyzék elemre, majd válassza a Kulcs hozzáadása parancsot.
    5. A Beállításkulcs kiválasztása párbeszédpanelen bontsa ki a Számítógép csomópontot, majd lépjen a következő mappába:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Kattintson az OK gombra.
    7. A megjelenő párbeszédpanelen törölje a Rendszergazdák és a Rendszer elemhez tartozó Teljes hozzáférés jelölőnégyzetek jelölését.
    8. Kattintson az OK gombra.
    9. Az Objektum hozzáadása párbeszédpanelen jelölje be Az összes alkulcs meglévő engedélyeinek cseréje örökölhető engedélyekkel jelölőnégyzetet.
    10. Kattintson az OK gombra.
  2. Állítsa be a házirendet úgy, hogy távolítsa el a %windir%\Tasks mappára vonatkozó írási engedélyeket. Ez megakadályozza a Conficker kártevőt abban, hogy olyan ütemezett feladatokat hozzon létre, amelyekkel újból megfertőzheti a rendszert.

    Ehhez hajtsa végre az alábbi lépéseket:
    1. Az előző lépésekben létrehozott csoportházirend-objektumban lépjen a következő mappába:
      Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Fájlrendszer
    2. Kattintson a jobb gombbal a Fájlrendszer elemre, majd válassza a Fájl hozzáadása parancsot.
    3. A Fájl vagy mappa felvétele párbeszédpanelen keresse meg a %windir%\Tasks mappát. Győződjön meg arról, hogy a Mappa párbeszédpanelen szerepel a Tasks mappa, és ki van jelölve.
    4. Kattintson az OK gombra.
    5. A megjelenő párbeszédpanelen törölje a Rendszergazdák és a Rendszer elemhez tartozó Teljes hozzáférés, Módosítás és Írás jelölőnégyzet jelölését.
    6. Kattintson az OK gombra.
    7. Az Objektum hozzáadása párbeszédpanelen jelölje be Az összes alkulcs meglévő engedélyeinek cseréje örökölhető engedélyekkel jelölőnégyzetet.
    8. Kattintson az OK gombra.
  3. Tiltsa le az automatikus lejátszási (automatikus futtatási) funkciókat annak érdekében, hogy a Conficker féreg ne tudja kihasználni a Windows ezen beépített szolgáltatásait a terjedéshez.

    Megjegyzés: A Windows használt verziójától függően vannak olyan frissítések, amelyeket előzőleg telepíteni kell az automatikus futtatási szolgáltatás megfelelő letiltásához:
    • Az automatikus futtatási szolgáltatás Windows Vista és Windows Server 2008 rendszerben való letiltásához telepíteni kell a 950582. számú biztonsági frissítést (MS08-038 jelű biztonsági közleményt).
    • Az automatikus futtatási szolgáltatás Windows XP, Windows Server 2003 és Windows 2000 rendszerben való letiltásához telepíteni kell a 950582., a 967715. vagy a 953252. számú biztonsági frissítést.
    Az automatikus lejátszási (automatikus futtatási) funkciók letiltásához kövesse az alábbi lépéseket:
    1. Az előző lépésekben létrehozott csoportházirend-objektumban lépjen a következő mappák valamelyikébe:
      • Windows Server 2003-tartomány esetén:
        Számítógép konfigurációja\Felügyeleti sablonok\Rendszer
      • Windows 2008-tartomány esetén:
        Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Az Automatikus lejátszás funkcióval kapcsolatos házirendek
    2. Nyissa meg az Automatikus lejátszás kikapcsolása házirendet.
    3. Az Automatikus lejátszás kikapcsolása párbeszédpanelen jelölje be az Engedélyezve választógombot.
    4. A legördülő listában jelölje ki a Minden meghajtó elemet.
    5. Kattintson az OK gombra.
  4. Zárja be a Csoportházirend kezelése konzolt.
  5. Kapcsolja az újonnan létrehozott csoportházirend-objektumot ahhoz a helyhez, amelyre alkalmazni kívánja.
  6. Várjon, amíg az összes számítógépen frissülnek a csoportházirend-beállítások. A csoportházirend replikálása a tartományvezérlőkön általában öt percet vesz igénybe, majd további 90 percet a fennmaradó számítógépeken. A replikáció rendszerint két órán belül befejeződik, bizonyos környezetekben azonban előfordulhat, hogy több időbe telik.
  7. A csoportházirend-beállítások továbbítását követően tisztítsa meg a rendszereket a kártevőtől.

    Ehhez hajtsa végre az alábbi lépéseket:
    1. Végezzen teljes víruskeresést az összes számítógépen.
    2. Ha a víruskeresője nem ismerné fel a Conficker kártevőt, akkor az a Microsoft Safety Scanner használatával is eltávolítható. További információt a Microsoft következő weblapján talál: http://www.microsoft.com/security/scanner/hu-hu/Megjegyzés: Elképzelhető, hogy saját kezűleg kell elvégeznie néhány lépést a kártevő utáni helyreállításhoz. Ehhez ajánlott áttekinteni a jelen cikk „A Win32/Conficker vírus manuális eltávolításának lépései” című szakaszában foglalt lépéseket.

Helyreállítás

Futtassa a Microsoft Safety Scanner eszközt.

A Microsoft kártevőkezelési központ frissítette a Microsoft Safety Scanner eszközt. Ez egy különálló bináris fájl, amely hasznos a gyakran előforduló kártevők eltávolításához, és amelynek segítségével a Win32/Conficker kártevőcsalád is eltávolítható.

Megjegyzés: A Microsoft Safety Scanner nem képes megelőzni a kártevő újbóli fertőzését, mert ez nem egy háttérben futó víruskereső program.

A Microsoft Safety Scanner a Microsoft következő webhelyéről tölthető le:
http://www.microsoft.com/security/scanner/hu-hu/

Megjegyzés: A fertőzés a Stand-Alone System Sweeper eszközzel is eltávolítható. Ez az eszköz a Microsoft Desktop Optimization Pack 6.0 csomag részeként és az ügyfél- és támogatási szolgálattól is beszerezhető. A Microsoft Desktop Optimization Pack csomag beszerzéséhez látogassa meg a Microsoft alábbi webhelyét:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Ha a rendszeren a Windows Live OneCare vagy a Microsoft Forefront Client Security fut, az a vírusfertőzést a telepítés előtt blokkolja.

A Win32/Conficker vírus manuális eltávolításának lépései

Megjegyzések:
  • Az alábbi manuális lépések jelenleg már nem szükségesek, és kizárólag akkor ajánlott a végrehajtásuk, ha nem áll rendelkezésére víruskereső szoftver a Conficker vírus eltávolításához.
  • A számítógépet megfertőző Win32/Conficker vírus variánsától függően előfordulhat, hogy az alább hivatkozott értékek némelyikét nem változtatta meg a vírus.
A Conficker vírus manuális eltávolításához kövesse az alábbi lépéseket:
  1. Jelentkezzen be a rendszerbe helyi fiók használatával.

    Fontos! Ha lehetséges, ne tartományi fiókkal jelentkezzen be a rendszerbe. A tiltás a tartományi rendszergazdai fiókra különösen érvényes. A kártevő megszemélyesíti a bejelentkezett felhasználót, és annak hitelesítő adatait felhasználva hozzáfér a hálózati erőforrásokhoz. Ez a kártevő terjedési módja.
  2. Állítsa le a Kiszolgáló szolgáltatást. Ezzel a rendszergazdai megosztásokat eltávolítja a rendszerből annak érdekében, hogy a kártevő ne terjedhessen ezzel a módszerrel.

    Megjegyzés: A Kiszolgáló szolgáltatást csak átmenetileg, a kártevő rendszerből való eltávolításának idejére távolítsa el. Ez különösen a munkakiszolgálók esetében fontos, mert ez a lépés a hálózati erőforrások elérhetőségét is érinti. A rendszer megtisztítását követően a Kiszolgáló szolgáltatás ismét engedélyezhető.

    A Kiszolgáló szolgáltatás leállításához használja a Szolgáltatások Microsoft Management Console (MMC) beépülő modult. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az alábbi lépések közül hajtsa végre a rendszernek megfelelőeket:
      • Windows Vista és Windows Server 2008 rendszerben kattintson a Start gombra, írja be a services.msc szöveget a Keresés megkezdése mezőbe, majd a Programok listában kattintson a services elemre.
      • Windows 2000, Windows XP és Windows Server 2003 rendszerben kattintson a Start menü Futtatás parancsára, írja be a services.msc szöveget a mezőbe, majd kattintson az OK gombra.
    2. Kattintson duplán a Kiszolgáló bejegyzésre.
    3. Kattintson a Leállítás gombra.
    4. Az Indítás típusa listában válassza a Letiltva elemet.
    5. Kattintson az Alkalmaz gombra.
  3. Távolítsa el az AT paranccsal létrehozott összes ütemezett feladatot. Ehhez írja be az AT /Delete /Yes parancsot a parancssorba.
  4. Állítsa le a Feladatütemező szolgáltatást.
    • A Feladatütemező szolgáltatás leállításához Windows 2000, Windows XP és Windows Server 2003 rendszerben használja a Szolgáltatások Microsoft Management Console (MMC) beépülő modult vagy az SC.exe segédprogramot.
    • Windows Vista és Windows Server 2008 rendszerben a Feladatütemező szolgáltatás leállításához hajtsa végre az alábbi lépéseket.

      Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben
      1. Kattintson a Start gombra, írja be a regedit szót a Keresés megkezdése mezőbe, majd a Programok listában kattintson a regedit.exe elemre.
      2. Keresse meg és jelölje ki a beállításjegyzék alábbi alkulcsát:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. A jobb oldali ablaktáblában kattintson a jobb gombbal a Start duplaszóbejegyzésre, majd kattintson a Módosítás parancsra.
      4. Az Érték mezőbe írja be a 4 értéket, majd kattintson az OK gombra.
      5. Lépjen ki a beállításszerkesztőből, és indítsa újra a számítógépet.

        Megjegyzés: A Feladatütemező szolgáltatást csak átmenetileg, a kártevő rendszerből való eltávolításának idejére tiltsa le. Ez kiemelten vonatkozik a Windows Vista és a Windows Server 2008 rendszerre, mivel a szolgáltatás letiltása különféle beépített ütemezett feladatok működését is gátolja. A környezet megtisztítása után nyomban engedélyezze ismét a Kiszolgáló szolgáltatást.
  5. Töltse le, és manuálisan telepítse a 958644. számú (MS08-067 jelű) biztonsági frissítést. További információért látogassa meg a Microsoft alábbi webhelyét:
    http://technet.microsoft.com/en-us/security/bulletin/ms08-067
    Megjegyzés: Előfordulhat, hogy ez a webhely a kártevő fertőzése miatt blokkolva van. Ebben az esetben a frissítést egy nem fertőzött számítógépen kell letöltenie, majd át kell helyeznie azt a fertőzött rendszerre. A frissítést javasolt CD-re írni, mivel az nem felülírható, így a fertőzés nem terjedhet át rá. Ha nem áll rendelkezésre írható CD, a frissítés USB-meghajtón másolható a fertőzött rendszerre. Ha ilyen meghajtót használ, ne feledje, hogy a kártevő Autorun.inf fájllal fertőzheti meg a meghajtót. Miután a frissítést a meghajtóra másolta, váltsa a meghajtót csak olvasható módba, ha az eszköz ezt lehetővé teszi. Ha van csak olvasható mód, azt általában az eszközön található fizikai kapcsolóval kell aktiválni. A frissítésfájl fertőzött számítógépre való másolása után ellenőrizze, hogy a kártevő írt-e Autorun.inf fájlt a meghajtóra. Ha igen, nevezze át az Autorun.inf fájlt például Autorun.bad névre annak érdekében, hogy az ne futhasson a meghajtó számítógéphez való csatlakoztatásakor.
  6. A helyi rendszergazdai és a tartományi rendszergazdai jelszót módosítsa erős jelszóra. További információt a Microsoft alábbi webhelyén talál:
    http://technet.microsoft.com/hu-hu/library/cc875814.aspx
  7. A beállításszerkesztőben keresse meg és kattintson a következő beállításkulcsra:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. A jobb oldali ablaktáblában kattintson a jobb gombbal a netsvcs elemre, majd kattintson a Módosítás parancsra.
  9. Ha a számítógép Win32/Conficker vírussal fertőzött, a listában egy véletlenszerű szolgáltatásnév szerepel.

    Megjegyzés: A Win32/Conficker.B variáns esetében a szolgáltatásnév véletlenszerű karakterekből állt, és a lista alján volt látható. A későbbi variánsokban a szolgáltatásnév a lista bármely pontján lehet, elnevezése pedig hitelesebb. Ha nem lát véletlenszerű szolgáltatásnevet a lista alján, a Win32/Conficker vírushoz tartozó szolgáltatás azonosításához hasonlítsa össze rendszere szolgáltatásait az alábbi szolgáltatáslistával. További ellenőrzésként hasonlítsa össze a szolgáltatáslistát egy hasonló, de nem fertőzött rendszer szolgáltatásaival is.

    Jegyezze fel ezt a nevet, mert később szükség lesz rá.
  10. Törölje a kártevő szolgáltatására mutató hivatkozást tartalmazó sort. A lista utolsó érvényes bejegyzése után hagyjon egy üres sort, majd kattintson az OK gombra.

    Megjegyzések a szolgáltatáslistával kapcsolatban:
    • A listában szereplő szolgáltatások hitelesek, a félkövéren kiemelt nevek kivételével.
    • A félkövéren kiemelt nevek példaként szolgálnak arra, hogy a Win32/Conficker vírus milyen netsvcs-értékeket adhat az SVCHOST beállításkulcshoz.
    • A rendszeren telepített szoftverektől függően előfordulhat, hogy a hiteles szolgáltatások listája nem teljes.
    • A szolgáltatáslista a Windows alapértelmezett telepítéseit mintázza.
    • A Win32/Conficker vírus álcázó technikával hozza létre a szolgáltatásneveket. A listában kiemelt, vírust jelző szolgáltatásnév látszólag egy kis „L” betűvel kezdődik, de a kezdőbetű valójában egy nagy „i” betű. Az operációs rendszer által használt betűtípus miatt a kis „L” betű ugyanúgy néz ki, mint a nagy „i” betű.

    Szolgáltatások listája

    A táblázat összecsukásaA táblázat kibontása
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Az előző eljárás során feljegyezte a kártevő szolgáltatásnevét. Példánkban ez a név „Iaslogon” volt. Erre a névre vonatkozóan hajtsa végre az alábbi lépéseket:
    1. A beállításszerkesztőben kattintson a következő beállításkulcsra, ahol a HamisNév a kártevő szolgáltatásneve:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HamisNév
      Keresse meg például az alábbi beállításkulcsot, és kattintson rá:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. A kártevő szolgáltatásnevéhez tartozó navigációs ablakban kattintson jobb gombbal az alkulcsra, majd kattintson az Engedélyek parancsra.
    3. Az SvcHost engedélyei párbeszédpanelen kattintson a Speciális gombra.
    4. A Speciális biztonsági beállítások párbeszédpanelen jelölje be az alábbi jelölőnégyzeteket:
      Az örökölt engedélyek alkalmazása. Az ezen a párbeszédpanelen megadott engedélyek mellett az örökölt engedélyek is érvényesek lesznek.

      A gyermekobjektumokra érvényes (örökölhető) engedélyek lecserélése az itt megadott, gyermekobjektumokra érvényes engedélyekre.
  12. A beállításszerkesztő frissítéséhez nyomja meg az F5 billentyűt. A jobb oldali ablaktáblában megtekintheti és szerkesztheti a kártevő DLL-fájlját, amelyet a rendszer „ServiceDll” névvel tölt be. Ehhez hajtsa végre az alábbi lépéseket:
    1. Kattintson duplán a ServiceDll bejegyzésre.
    2. Jegyezze fel a hivatkozott DLL-fájl elérési útját, mert később szükség lesz rá. A hivatkozott DLL-fájl elérési útja például az alábbihoz hasonló lehet:
       %SystemRoot%\System32\doieuln.dll
      Nevezze át úgy a hivatkozást, hogy az alábbihoz hasonló legyen:
      %SystemRoot%\System32\doieuln.old
    3. Kattintson az OK gombra.
  13. A beállításjegyzék Run alkulcsából távolítsa el a kártevő szolgáltatásbejegyzését.
    1. A beállításszerkesztőben keresse meg és kattintson az alábbi beállításkulcsokra:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Mindkét alkulcsban keresse meg azokat a bejegyzéseket, amelyek a „rundll32.exe” szöveggel kezdődnek, és amelyek a kártevő „ServiceDll” néven betöltött (a 12b lépésben azonosított) DLL-fájljára hivatkoznak. Törölje a bejegyzést.
    3. Lépjen ki a beállításszerkesztőből, és indítsa újra a számítógépet.
  14. Keresse meg az Autorun.inf fájlt a rendszer minden meghajtóján. Minden fájlt nyisson meg a Jegyzettömb programmal, és ellenőrizze, hogy az érvényes Autorun.inf fájl-e. Az alábbi például tipikusan érvényes Autorun.inf fájl.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Az érvényes Autorun.inf fájl általában 1-2 kilobájt (KB).
  15. Törölje azokat az Autorun.inf fájlokat, amelyek nem tűnnek érvényesnek.
  16. Indítsa újra a számítógépet.
  17. Jelenítse meg a rejtett fájlokat. Ehhez írja be az alábbi parancsot a parancssorba:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. A fájl megjelenítéséhez jelölje be a Rejtett fájlok és mappák beállítás „megjelenítése” választógombját. Ehhez hajtsa végre az alábbi lépéseket:
    1. A 12b lépésben feljegyezte a kártevő hivatkozott DLL-fájljának elérési útját. A feljegyzett elérési út például az alábbihoz hasonló lehet:
      %systemroot%\System32\doieuln.dll
      A Windows Intézőben nyissa meg a %systemroot%\System32 könyvtárat vagy a kártevőt tartalmazó mappát.
    2. Kattintson az Eszközök menü Mappa beállításai parancsára.
    3. Kattintson a Nézet fülre.
    4. Jelölje be a Rejtett fájlok és mappák beállítás „megjelenítése” választógombját.
    5. Kattintson az OK gombra.
  19. Jelölje ki a DLL-fájlt.
  20. A fájl engedélyeinek szerkesztésével adjon teljes hozzáférést mindenki számára. Ehhez hajtsa végre az alábbi lépéseket:
    1. Kattintson a jobb gombbal a DLL-fájlra, majd válassza a Tulajdonságok parancsot.
    2. Kattintson a Biztonság fülre.
    3. Kattintson a Mindenki elemre, és jelölje be a Teljes hozzáférés jelölőnégyzetet az Engedélyezés oszlopban.
    4. Kattintson az OK gombra.
  21. Törölje a kártevő hivatkozott DLL-fájlját (törölje például a %systemroot%\System32\doieuln.dll fájlt).
  22. A Szolgáltatások Microsoft Management Console (MMC) beépülő modullal engedélyezze a BITS, az Automatikus frissítések, a Windows Defender és a hibajelentő szolgáltatást.
  23. Az ismételt fertőzés elkerülése érdekében kapcsolja ki az automatikus futtatást. Ehhez hajtsa végre az alábbi lépéseket:
    1. A rendszertől függően telepítse az alábbi frissítések egyikét:
      • Ha Windows 2000, Windows XP vagy Windows Server 2003 rendszert használ, telepítse a 967715. számú frissítést. A Microsoft Tudásbázis kapcsolódó cikke:
        967715 Az automatikus futtatási szolgáltatás letiltása Windows rendszerben
      • Windows Vista és Windows Server 2008 rendszerben telepítse a 950582. számú biztonsági frissítést. A Microsoft Tudásbázis kapcsolódó cikke:
        950582 MS08-038: A Windows Intéző biztonsági rése távolról végzett kódfuttatást tesz lehetővé
      Megjegyzés: A 967715. számú frissítés és a 950582. számú biztonsági frissítés nem kapcsolódik ehhez a kártevőhöz. Ezeket a frissítéseket a beállításjegyzék 23b lépésben ismertetett funkciójának engedélyezéséhez kell telepíteni.
    2. Írja be az alábbi parancsot a parancssorba:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Ha a rendszerben fut a Windows Defender program, engedélyezze ismét annak automatikus indítási helyét. Ehhez írja be az alábbi parancsot a parancssorba:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. Windows Vista és későbbi operációs rendszerekben a kártevő a TCP-fogadóablak automatikus globális beállítását letiltottra állítja. A beállítás visszaállításához írja be az alábbi parancsot a parancssorba:
    netsh interface tcp set global autotuning=normal
Ha az eljárás befejeztével a számítógép ismét fertőzöttnek tűnik, valószínűleg teljesül az alábbi feltételek valamelyike:
  • Az automatikus indítási helyek egyikét nem távolította el (például nem távolította el az AT-paranccsal indított feladatot vagy az Autorun.inf fájlt).
  • Az MS08-067 jelű közlemény biztonsági frissítését nem megfelelően telepítette.
A kártevő más beállításokat is módosíthat, amelyekre ez a cikk nem tér ki. A Win32/Conficker féreggel kapcsolatos legfrissebb információért látogasson el a Microsoft kártevő elleni védelmi központjának webhelyére:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

A rendszer tisztaságának ellenőrzése

Ellenőrizze, hogy az alábbi szolgáltatások elindultak-e:
  • Automatikus frissítések (wuauserv)
  • Háttérben futó intelligens átviteli szolgáltatás (BITS)
  • Windows Defender (windefend) (ha lehetséges)
  • Windows hibajelentési szolgáltatás
Ehhez írja be egy parancssorba a következő parancsokat, és mindegyik után nyomja le az ENTER billentyűt:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Az egyes parancsok futása után az alábbihoz hasonló üzenet jelenik meg:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Ebben a példában a „STATE : 4 RUNNING” azt jelzi, hogy a szolgáltatás fut.

Az SvcHost beállításkulcs állapotának ellenőrzéséhez kövesse az alábbi lépéseket:
  1. A beállításszerkesztőben keresse meg és kattintson a következő beállításkulcsra:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. A jobb oldali ablaktáblában kattintson duplán a netsvcs elemre, és tekintse át a megjelenő szolgáltatásneveket. Görgessen le a lista aljára. Ha a számítógép ismét Conficker féreggel fertőzött, a listában véletlenszerű szolgáltatásnév szerepel. Ebben az eljárásban a kártevő szolgáltatásneve például „Iaslogon”.
Ha ezekkel a lépésekkel nem sikerült megoldani a problémát, lépjen kapcsolatba víruskereső szoftver forgalmazójával. A problémáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
49500 A víruskereső szoftverek forgalmazóinak listája
Ha a víruskereső szoftver forgalmazójával nem tud kapcsolatba lépni, vagy az nem tud segítséget nyújtani, lépjen kapcsolatba a Microsoft terméktámogatási szolgálatától.

A rendszer teljes megtisztítását követően

A rendszer teljes megtisztítását követően tegye az alábbiakat:
  1. Engedélyezze ismét a Kiszolgáló és a Feladatütemező szolgáltatást.
  2. Állítsa helyre az SVCHOST beállításkulcs és a Tasks mappa alapértelmezett jogosultságait. Az alapbeállításokat csoportházirend-beállításokkal állíthatja vissza. Ha a házirendet egyszerűen eltávolítja, előfordulhat, hogy a beállítások nem állnak vissza a korábbi állapotba. További tájékoztatást „A probléma enyhítésének lépései” című szakasz alapértelmezett jogosultságokat tartalmazó táblázatában talál.
  3. A hiányzó biztonsági frissítések telepítésével frissítse a számítógépet. Ehhez használja a Windows Update, a Systems Management Server (SMS) vagy a System Center Configuration Manager (SCCM) szolgáltatást, illetve a Microsoft Windows Server Update Services (WSUS) szolgáltatást futtató kiszolgálót. Ha az SMS vagy az SCCM szolgáltatást használja, először ismét engedélyeznie kell a Kiszolgáló szolgáltatást. Egyébként az SMS és az SCCM nem használható a rendszer frissítéséhez.

Fertőzött rendszerek azonosítása

Ha nem tudja teljes biztonsággal azonosítani a Conficker vírussal fertőzött rendszereket, az alábbi TechNet-blog részletei segítségére lehetnek:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Alapértelmezett jogosultságok táblázata

Az alábbi táblázat az egyes operációs rendszerek alapértelmezett jogosultságait foglalja össze. Alapértelmezés szerint konfigurált rendszerek esetén a jelen cikkben ajánlott módosítások végrehajtása előtt ezek a jogosultságok vannak beállítva. Előfordulhat azonban, hogy az adott környezetben az alapértelmezettől eltérő beállítások vannak megadva, ezért lényeges, hogy jegyezze fel a beállításokat, mielőtt módosítaná őket. Ha így tesz, a rendszer megtisztítása után könnyűszerrel visszaállíthatja a korábbi állapotot.
A táblázat összecsukásaA táblázat kibontása
Operációs rendszer Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
BeállításSvchost beállításkulcsTasks mappaSvchost beállításkulcsTasks mappaSvchost beállításkulcsTasks mappaSvchost beállításkulcsTasks mappaSvchost beállításkulcsTasks mappa
Fiók
Rendszergazdák (Helyi csoport)Teljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférés
SystemTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférésTeljes hozzáférés
Kiemelt felhasználók (Helyi csoport)----Olvasás-Olvasás-Olvasás-
Felhasználók (Helyi csoport)Speciális -Speciális-Olvasás-Olvasás-Olvasás-
Érvényes: Ez a kulcs és az alkulcsokÉrvényes: Ez a kulcs és az alkulcsok
Lekérdezési értékLekérdezési érték
Alkulcsok felsorolásaAlkulcsok felsorolása
ÉrtesítésÉrtesítés
Vezérlőadatok olvasásaVezérlőadatok olvasása
Hitelesített felhasználók-Speciális-Speciális------
Érvényes: Csak ez a mappaÉrvényes: Csak ez a mappa
Mappa bejárásaMappa bejárása
Mappa listázásaMappa listázása
Attribútumok olvasásaAttribútumok olvasása
Kiterjesztett attribútumok olvasásaKiterjesztett attribútumok olvasása
Fájlok létrehozásaFájlok létrehozása
Engedélyek olvasásaEngedélyek olvasása
Biztonságimásolat-felelősök (Helyi csoport)-----Speciális-Speciális
Érvényes: Csak ez a mappaÉrvényes: Csak ez a mappa
Mappa bejárásaMappa bejárása
Mappa listázásaMappa listázása
Attribútumok olvasásaAttribútumok olvasása
Kiterjesztett attribútumok olvasásaKiterjesztett attribútumok olvasása
Fájlok létrehozásaFájlok létrehozása
Engedélyek olvasásaEngedélyek olvasása
Mindenki---------Speciális
Érvényes: Ez a mappa, almappák és fájlok
Mappa bejárása
Mappa listázása
Attribútumok olvasása
Kiterjesztett attribútumok olvasása
Fájlok létrehozása
Mappák létrehozása
Attribútumok írása
Kiterjesztett attribútumok írása
Engedélyek olvasása

További segítség

  Ha további segítségre lenne szüksége a problémával kapcsolatban, és az Egyesült Államok területén tartózkodik, akkor élő csevegésben vehet részt az Answer Desk munkatársával:
Answer Desk
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 962007 - Utolsó ellenőrzés: 2013. január 15. - Verziószám: 1.0
A cikkben található információ a következő(k)re vonatkozik:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 1 szervizcsomag a Windows Vista rendszerhez a következő platformokon
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 a következő platformokon
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 a következő platformokon
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 a következő platformokon
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Kulcsszavak: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com