Virusvarsel om Win32/Conficker-ormen

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 962007 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Informasjonen i denne artikkelen fra Knowledge Base er tiltenkt forretningsmiljøer som har en systemadministrator som kan implementere informasjonen i denne artikkelen. Det er ingen grunn til å bruke denne artikkelen hvis antivirusprogrammet ditt fjerner viruset på riktig måte, og hvis systemet ditt er oppdatert. Utfør en hurtigskanning fra følgende internettside for å bekrefte at systemet ditt ikke er infisert av Conficker-viruset:
http://safety.live.com/site/nb-no/default.htm
Hvis du vil ha mer informasjon om Conficker-viruset, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptomer på infisering

Hvis datamaskinen er infisert med denne ormen, er det ikke sikkert at du vil oppleve noen symptomer, men du kan også oppleve følgende:
  • Policyer for låsing av konto aktiveres.
  • Tjenester som Automatiske oppdateringer, Background Intelligent Transfer Service (BITS), Windows Defender og Feilrapportering deaktiveres.
  • Domenekontrollere bruker lang tid på å svare på kundeforespørsler.
  • Nettverket er overbelastet.
  • Ingen tilgang til enkelte sikkerhetsrelaterte webområder.
  • Forskjellige sikkerhetsrelaterte verktøy kjøres ikke. Hvis du vil se en oversikt over kjente verktøy, kan du gå til følgende webområde fra Microsoft og klikke fanen Analysis for å få informasjon om Win32/Conficker.D. Hvis du vil ha mer informasjon, kan du se følgende webområde fra Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Hvis du vil ha mer informasjon om Win32/Conficker, kan du gå til følgende Microsoft-område for beskyttelse mot skadelig programvare:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Overføringsmetoder

Win32/Conficker kan overføres på flere måter. Disse omfatter
  • Utnyttelse av sikkerhetsproblemet som løses av sikkerhetsoppdatering 958644 (MS08-067)
  • Bruk av delte ressurser på nettverket
  • Bruk av AutoKjør-funksjonalitet
Du må derfor være påpasselig når du renser et nettverk, slik at trusselen ikke gjeninnføres i systemer som tidligere har blitt renset.

Nb Win32/Conficker.D-varianten spres ikke til flyttbare enheter eller delte mapper på et nettverk. Win32/Conficker.D blir installert av tidligere variasjoner av Win32/Conficker.

Forebygging

  • Bruk sterke administratorpassord som er unike for alle datamaskiner.
  • Ikke logg deg på datamaskiner ved hjelp av domeneadministrator-identifikasjon eller ved hjelp av kontoer som har tilgang til alle datamaskiner.
  • Sørg for at systemet er oppdatert med de nyeste sikkerhetsoppdateringene.
  • Deaktiver Autokjør-funksjonene. Hvis du vil ha mer informasjon, kan du se trinn 3 i avsnittet "Opprette et gruppepolicyobjekt".
  • Fjern overflødige rettigheter til delte nettverksområder. Dette inkluderer skriverettigheter til roten av den delte nettverksressursen.

Migrasjonstrinn

Bruke innstillinger gruppepolicy til å hindre at Win32/Conficker sprer seg

Obs! 
  • Viktig Sørg for at du noterer alle innstillinger før du utfører noen av endringene som blir anbefalt i denne artikkelen.
  • Denne prosessen fjerner ikke den skadelige Conficker-programvaren fra systemet. Prosessen hindrer bare den skadelige programvaren i å spre seg. Du bør bruke et antivirusprodukt til å fjerne den skadelige Conficker-programvaren fra systemet. Eventuelt kan du følge fremgangsmåten i delen "Manuell fremgangsmåte for å fjerne Win32/Conficker-viruset" i denne Knowledge Base-artikkelen for å fjerne den skadelige programvaren fra systemet manuelt.
  • Det kan hende du ikke kan installere programmer, servicepakker eller andre oppdateringer på riktig måte mens tilgangsrettighetene som er anbefalt i de følgende trinnene gjelder. Dette inkluderer, men er ikke begrenset til, installasjon av oppdateringer fra Windwos Update, Microsoft WSUS-server (Windows Server Update Services) og SCCM (System Center Configuration Manager), siden disse produktene trenger komponenter fra automatiske oppdateringer. Sørg for at du tilbakestiller rettighetene til standardinnstillingene etter at du har renset systemet.
  • Hvis du vil ha informasjon om standardrettighetene for registernøkkelen SVCHOST og oppgavemappen som er nevnt i avsnittet "Opprett et gruppepolicyobjekt", kan du se Tabell med standardrettigheter mot slutten av denne artikkelen.

Opprette et gruppepolicyobjekt

Opprett et nytt gruppepolicyobjekt (GPO) som gjelder alle datamaskiner i en konkret organisasjonsenhet (OU), et bestemt område eller domene, avhengig av behov.

Fremgangsmåte:
  1. Angi at policyen skal fjerne skrivetillatelsene for følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Dette hindrer at en skadelig programvaretjeneste med tilfeldig navn opprettes i registerverdien netsvcs.

    Fremgangsmåte:
    1. Åpne Konsoll for gruppepolicybehandling.
    2. Opprett en ny GPO. Gi det et fritt valgt navn.
    3. Åpne det nye gruppepolicyobjektet, og gå deretter til følgende mappe:
      Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Register
    4. Høyreklikk Register, og klikk deretter Legg til nøkkel.
    5. I dialogboksen Velg registernøkkel utvider du Maskin og går deretter til følgende mappe:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Klikk OK.
    7. I dialogboksen som åpnes, fjerner du merket for Alle tillatelser ved å klikke i denne avmerkingsboksen, både for Administratorer og for System.
    8. Klikk OK.
    9. I dialogboksen Legg til objekt klikker du Erstatt eksisterende tillatelser for alle undernøkler med arvbare tillatelser.
    10. Klikk OK.
  2. Angi at policyen skal fjerne skrivetillatelser for %windir%\Oppgaver-mappen. Dette hindrer at den skadelige Conficker-programvaren oppretter planlagte oppgaver som kan infiserere systemet på nytt.

    Fremgangsmåte:
    1. I gruppepolicyobjektet du nettopp opprettet, går du til følgende mappe:
      Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Filsystem
    2. Høyreklikk Filsystem og klikk deretter Legg til fil.
    3. I dialogboksen Legg til fil eller mappe blar du til mappen %windir%\Oppgaver. Kontroller at Oppgaver er merket og vises i dialogboksen Mappe
    4. Klikk OK.
    5. I dialogboksen som åpnes, fjerner du avmerkingen for Alle tillatelser, Endre og Skrive ved å klikke i de aktuelle avmerkingsboksene, både for Administratorer og for System.
    6. Klikk OK.
    7. I dialogboksen Legg til objekt klikker du Erstatt eksisterende tillatelser for alle undernøkler med arvbare tillatelser.
    8. Klikk OK.
  3. Deaktiver Autokjør-funksjonene. Dette forhindrer at den skadelige Conficker-programvaren sprer seg via de innebygde Autokjør-funksjonene i Windows.

    Nb! Avhengig av Windows-versjonen du bruker, finnes det forskjellige oppdateringer som du må ha installert for å kunne deaktivere Autokjør-funksjonen på riktig måte:
    • Hvis du vil deaktivere Autokjør-funksjonen i Windows Vista eller i Windows Server 2008, må sikkerhetsoppdatering 950582 være installert (som beskrevet i sikkerhetsbulletin MS08-038).
    • Hvis du vil deaktivere Autokjør-funksjonen i Windows XP, Windows Server 2003 eller Windows 2000, må sikkerhetsoppdatering 950582, oppdatering 967715 eller oppdatering 953252 være installert.
    Gjør følgende for å angi Autokjørfunksjonene som skal deaktiveres:
    1. I gruppepolicyobjektet du nettopp opprettet, går du til en av følgende mapper:
      • For Windows Server 2003-domener, går du til følgende mappe:
        Datamaskinkonfigurasjon\Administrative maler\System
      • For Windows 2008-domener, går du til følgende mappe:
        Datamaskinkonfigurasjon\Administrative maler\Windows-komponenter\Policyer for Autokjør
    2. Åpne policyen Deaktiver Autokjør.
    3. I dialogboksen Deaktiver Autokjør klikker du Aktivert.
    4. I rullegardinmenyen klikker du Alle stasjoner.
    5. Klikk OK.
  4. Lukk Konsoll for gruppepolicybehandling.
  5. Koble gruppepolicyobjektet du nettopp opprettet, til plasseringen du vil at det skal gjelde for.
  6. Sett av nok tid til at gruppepolicyen kan oppdateres på alle datamaskinene. Det tar ca. fem minutter å replikere gruppepolicyen til hver enkelt av domenekontrollerne, og deretter 90 minutter å replikere den til resten av systemene. Et par timer er vanligvis nok. Avhengig av miljøet kan det imidlertid ta noe mer tid.
  7. Når gruppepolicyen er spredt, må systemene renses for skadelig programvare.

    Fremgangsmåte:
    1. Kjør et fullstendig antivirussøk på alle datamaskinene.
    2. Hvis antivirusprogramvaren ikke finner Conficker, kan du bruke Verktøy for fjerning av skadelig programvare til å fjerne den skadelige programvaren. Hvis du vil ha mer informasjon, kan du gå til følgende Microsoft-webområde:
      http://www.microsoft.com/norge/security/malwareremove/default.mspx
      Obs!  Det kan uansett hende at du må iverksette noen manuelle tiltak for å rense systemet for alle konsekvenser av den skadelige programvaren. Vi anbefaler at du leser gjennom trinnene som er beskrevet i "Manuelle trinn for å fjerne Win32/Conficker-viruset" i denne artikkelen for å fjerne alle påvirkninger av den skadelige programvaren.

Gjenoppretting

Kjør Verktøy for fjerning av skadelig programvare

Microsoft-området for beskyttelse mot skadelig programvare har oppdatert Verktøy for fjerning av skadelig programvare (MSRT). Dette er en frittstående binærfil som er nyttig i forbindelse med fjerning av utbredt og skadelig programvare, og den kan hjelpe til med å fjerne den skadelige Win32/Conficker-serien.

Nb MSRT forhindrer ikke nye infeksjoner, siden det ikke er et sanntids antivirusprogram.

Du kan laste ned MSRT fra et av følgende Microsoft-webområder:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=nb-no
http://support.microsoft.com/kb/890830

Hvis du vil ha mer distribusjonsinformasjon som gjelder spesielt for MSRT, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
891716 Distribusjon av Microsoft Windows-verktøyet for fjerning av skadelig programvare i et bedriftsmiljø
Obs!  Det frittstående verktøyet Standalone System Sweeper fjerner også denne infeksjonen. Dette verktøyet er tilgjengelig som en komponent av Microsoft Desktop Optimization Pack 6.0, eller via Microsofts kundeservice og kundestøtte. Du kan få tak i Microsoft Desktop Optimization Pack ved å gå til følgende Microsoft-webområde:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Hvis Windows Liev OneCare eller Microsoft Forefront Client Security kjører på systemet, vil disse programmene også blokkere trusselen før den installeres.

Manuell fremgangsmåte for å fjerne Win32/Conficker-viruset

Nb
  • Disse trinnene i manualen trengs ikke lenger, og de bør kun brukes hvis du ikke har installert antivirusprogrammer for å fjerne Conficker-viruset.
  • Noen av verdiene det henvises til i dette avsnittet er muligens uendrede av viruset, avhengig av varianten av Win32/Conficker som datamaskinen er infisert med.
De følgende detaljerte fremgangsmåtene kan hjelpe deg til å manuelt fjerne Conficker fra et system:
  1. Logg på systemet via en lokal konto.

    Viktig!  Unngå så langt som mulig å logge på systemet via en domenekonto. Vær spesielt påpasselig med å ikke logge på via en domeneadministratorkonto. Den skadelige programvaren imiterer den påloggede brukeren og skaffer seg tilgang til nettverksressurser ved å anvende brukerens legitimasjon. Dette gjør det mulig for den skadelige programvaren å spre seg.
  2. Stans servertjenesten. Nå fjernes delte administratorressurser fra systemet, slik at den skadelige programvaren ikke kan spre seg på denne måten.

    Obs!  Servertjenesten må bare deaktiveres midlertidig mens du fjerner den skadelige programvaren fra miljøet ditt. Dette er spesielt viktig på produksjonsservere, ettersom dette trinnet vil virke inn på tilgjengeligheten av nettverksressursene. Så snart den skadelige programvaren er fjernet fra miljøet, kan servertjenesten aktiveres på nytt.

    Hvis du vil stanse tjenesten Server, bruker du Services Microsoft Management Console (MMC). Gjør dette ved å bruke følgende fremgangsmåte:
    1. Avhengig av hvilket system du har, gjør du som følger:
      • I Windows Vista og Windows Server 2008 klikker du Start, skriver inn services.msc i Start søk-boksen, og deretter klikker du services.msc i Programmer-listen.
      • I Windows 2000, Windows XP og Windows Server 2003 klikker du Start, klikker Kjør, skriver inn services.msc og klikker deretter OK.
    2. Dobbeltklikk Server.
    3. Klikk Stopp.
    4. Velg Deaktivert for Oppstartstype.
    5. Klikk Bruk.
  3. Fjern alle AT-planlagte oppgaver. Dette gjøres ved å skrive inn AT /Delete /Yes ved en ledetekst.
  4. Stans Oppgaveplanlegging.
    • Hvis du vil stanse tjenesten Oppgaveplanlegging i Windows 2000, Windows XP og Windows Server 2003, bruker du Services Microsoft Management Console (MMC) eller verktøyet SC.exe.
    • Hvis du vil stanse Oppgaveplanlegging i Windows Vista eller Windows Server 2008, gjør du som følger:

      Viktig!  Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
      322756 Slik sikkerhetskopierer, redigerer og gjenoppretter du registret i Windows XP og Windows Server 2003
      1. Klikk Start, skriv inn regedit i Start søk-boksen, og klikk deretter regedit.exe i Programmer-lister.
      2. Finn følgende registerundernøkkel, og klikk denne:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. I detaljruten høyreklikker du Start på DWORD-oppføringen, og deretter klikker du Endre.
      4. Skriv inn 4 i Verdidata-boksen, og klikk OK.
      5. Avslutt Registerredigering, og start datamaskinen på nytt.

        Obs!  Oppgaveplanleggingstjenesten må bare deaktiveres midlertidig mens du fjerner den skadelige programvaren fra miljøet ditt. Dette gjelder spesielt for Windows Vista og Windows Server 2008, siden dette trinnet vil påvirke ulike innebygde planlagte oppgaver. Så snart den skadelige programvaren er fjernet fra miljøet, kan servertjenesten aktiveres på nytt.
  5. Last ned og installer sikkerhetsoppdatering 958644 (MS08-067) manuelt. Hvis du vil ha mer informasjon om dette, kan du gå til følgende Microsoft-webområde:
    http://www.microsoft.com/norge/technet/security/bulletin/2008/ms08-067.mspx
    Obs!  Dette området kan være blokkert som følge av infeksjon av skadelig programvare. I dette tilfellet må du laste ned oppdateringen fra en datamaskin som ikke er infisert av den skadelige programvaren. Deretter må du overføre oppdateringsfilen til det infiserte systemet. Vi anbefaler at du brenner oppdateringen på en CD, fordi den brente CDen ikke kan overskrives. Den kan derfor ikke infiseres av den skadelige programvaren. Hvis du ikke har en skrivbar CD-stasjon tilgjengelig, kan du bli nødt til å overføre oppdateringen til det infiserte systemet via en flyttbar USB-minnestasjon. Hvis du bruker en flyttbar stasjon, må du være klar over at den skadelige programvaren kan infisere stasjonen med en Autorun.inf-fil. Når du har kopiert oppdateringen til den flyttbare stasjonen, må du sette stasjonen i skrivebeskyttet modus, hvis mulig. På de USB-enhetene dette gjelder for, kan du velge skrivebeskyttet modus ved hjelp av en fysisk bryter på enheten. Når du har kopiert den oppdaterte filen til den infiserte datamaskinen, kontrollerer du den flyttbare stasjonen for å se om det ble skrevet en Autorun.inf-fil til den. Hvis dette er tilfelle, kan du endre navnet på Autorun.inf-filen til for eksempel Autorun.bad, slik at den ikke kan kjøres når den flyttbare stasjonen kobles til datamaskinen.
  6. Gi lokale administratorer og domeneadministratorer nye, sterke passord. Hvis du vil ha mer informasjon om dette, kan du gå til følgende Microsoft-webområde:
    http://technet.microsoft.com/nb-no/library/cc875814.aspx
  7. Finn følgende registerundernøkkel i Registerredigering, og klikk den:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. I detaljruten høyreklikker du netsvcs-oppføringen, og deretter klikker du Endre.
  9. Hvis datamaskinen er infisert med Win32/Conficker-viruset, vil et vilkårlig tjenestenavn vises.

    Nb For Win32/Conflicker.B var tjenestenavnet vilkårlige bokstaver, og navnet stod nederst på listen. For senere varianter kan tjenestenavnet være hvor som helst i listen. Navnet virker også mer troverdig. Hvis det vilkårlige tjenestenavnet ikke er nederst i listen, kan du sammenligne systemet ditt med "Tjenestetabellen" i denne prosedyren for å finne ut hvilke tjenestenavn som kan ha blitt lagt til av Win32/Conflicker. For å bekrefte dette må du sammenligne listen i "Tjenestetabellen" med et liknende system som du vet ikke er infisert.

    Legg merke til navnet på den skadelige tjenesten. Du vil få bruk for det senere i denne prosedyren.
  10. Slett linjen som inneholder en referanse til den skadelige tjenesten. Pass på at det står en tom linje under den siste legitime oppføringen på listen, og klikk deretter OK.

    Notater om Tjenestetabellen.
    • Alle oppføringene i Tjenestetabellen, unntatt de oppføringene som er merket med fet skrift, er gyldige oppføringer
    • Oppføringene som er merket med fet skrift er eksempler på hva Win32/Conflicker-viruset kan legge til i netsvcs-verdien i registernøkkelen SVCHOST.
    • Det kan hende at dette ikke er en fullstendig tjenesteliste. Det avhenger av hva som er installert på systemet.
    • Tjenestetabellen er fra en standardinstallasjon av Windows.
    • Oppføringen som Win32/Conflicker-viruset legger til i listen er en forvirringsteknikk. Den merkede, ondsinnede oppføringen ser ut til å begynne med en liten "L". Men den begynner faktisk med en stor "I". På grunn av skriften som brukes av operativsystemet vil den store "I"-en se ut som en liten "L".

    Tjenestetabell

    Skjul denne tabellenVis denne tabellen
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Du har tidligere notert deg navnet på den skadelige tjenesten. I vårt eksempel brukte vi navnet "Iaslogon" for den ondsinnede programvaren. Bruk denne informasjonen til følgende trinn:
    1. I Registerredigering klikker du følgende registerundernøkkel, der BadServiceName er navnet på den skadelige tjenesten.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NavnPåOndsinnetTjeneste
      Du kan for eksempel fonne og klikke følgende registerundernøkkel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Høyreklikk undernøkkelen i navigasjonsruten for navnet på den skadelige tjenesten, og klikk Tillatelser.
    3. I dialogboksen Tillatelser for SvcHost klikker du Avansert.
    4. I dialogboksen Avanserte sikkerhetsinnstillinger klikker du for å velge begge boksene:
      Inkluder arvbare tillatelser fra dette objektets overordnede. Inkluder disse med oppføringer som er definert eksplisitt her.

      Erstatt alle eksisterende, arvbare tillatelser til alle etterkommere med arvbare tillatelser fra dette objektet.
  12. Trykk F5 for å oppdatere Registerregistrering. I fanen for detaljer kan du nå se og redigere den ondsinnede DLL-en som lastes som "ServiceDll." Gjør dette ved å bruke følgende fremgangsmåte:
    1. Dobbeltklikk ServiceDll-oppføringen.
    2. Merk deg banen til DLL-filen. Du vil få bruk for denne senere i prosedyren. Banen og filnavnet til DLL-filen kan for eksempel se slik ut:
       %SystemRoot%\System32\doieuln.dll
      Gi et nytt navn som ligner på følgende:
       %SystemRoot%\System32\doieuln.old
    3. Klikk OK.
  13. Fjern den skadelige tjenesteoppføringen fra undernøkkelen Kjør i registeret.
    1. Finn følgende registerundernøkler i Registerredigering, og klikk dem:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Finn oppføringen som begynner med undll32.exe for begge undernøklene, og let også etter referanser til den skadelige DLL-filen som lastes under navnet ServiceDll (se trinn 12 b). Slett oppføringen.
    3. Avslutt Registerredigering, og start datamaskinen på nytt.
  14. Kontroller de ulike stasjonene på systemet med tanke på Autorun.inf-filer. Åpne hver fil i Notepad, og kontroller at de alle er gyldige Autorun.inf-filer. Eksempelet under viser hvordan en gyldig Autorun.inf-fil ser ut.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    En gyldig Autorun.inf-fil er normalt på 1 til 2 kilobyte (KB).
  15. Slett alle Autorun.inf-filer som ikke virker gyldige.
  16. Start datamaskinen på nytt.
  17. Vis skjulte filer. Dette gjør du ved å skrive inn følgende kommando ved ledeteksten:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Velg Vis skjulte filer og mapper, slik at du kan se filen. Gjør dette ved å bruke følgende fremgangsmåte:
    1. I trinn 12 b noterte du deg banen til DLL-filen for den skadelige programvaren. Det kan hende at du for eksempel skrev ned en bane som likner denne:
      %systemroot%\System32\doieuln.dll
      I Windows Utforsker åpner du mappen %systemroot%\System32 eller den mappen som inneholder den ondsinnede programvaren.
    2. Klikk Verktøy, og klikk deretter Mappealternativer.
    3. Klikk kategorien Vis.
    4. Velg Vis skjulte filer og mapper.
    5. Klikk OK.
  19. Velg DLL-filen.
  20. Endre tillatelsene for filen for å legge til Alle tillatelser for alle. Gjør dette ved å bruke følgende fremgangsmåte:
    1. Høyreklikk DLL-filen, og klikk deretter Egenskaper.
    2. Klikk kategorien Sikkerhet.
    3. Under delen for tillatelser merker du av for Alle tillatelser i Tillat-kolonnen.
    4. Klikk OK.
  21. Slett DLL-filen for den skadelige programvaren. Eksempel: Slett filen %systemroot%\System32\doieuln.dll.
  22. Aktiver BITS, Automatic Updates, Feilrapportering og Windows Defender ved hjelp av Services Microsoft Management Console (MMC).
  23. Deaktiver Autorun, slik at risikoen for ny smitte reduseres. Gjør dette ved å bruke følgende fremgangsmåte:
    1. Avhengig av hvilket system du har, installerer du en av følgende oppdateringer:
      • Hvis du kjører Windows 2000, Windows XP eller Windows Server 2003, må du installere oppdatering 967715. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        967715 Deaktivere Autokjør-funksjonen i Windows
      • Hvis du kjører Windows Vista eller Windows Server 2008, må du installere sikkerhetsoppdatering 950582. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        950582 MS08-038: Et sikkerhetsproblem i Windows Explorer kan tillate ekstern kjøring av kode
      Obs!  Oppdatering 967715 og sikkerhetsoppdatering 950582 er ikke knyttet til problemet med skadelig programvare. Disse oppdateringene må installeres for å aktivere registerfunksjonen i trinn 23 b.
    2. Skriv inn følgende kommando ved en ledetekst:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Hvis systemet kjører Windows Defender, må du aktivere autostartplasseringen for Windows Defender på nytt. Dette gjør du ved å skrive inn følgende kommando ved ledeteksten:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. For Windows Vista og nyere operativsystemer vil den skadelige programvaren deaktivere de globale innstillingene til Autoinnstillingsnivå for TCP Receive Window. Du kan tilbakestille denne innstillingen ved å skrive inn følgende kommando ved en ledetekst:
    netsh interface tcp set global autotuning=normal
Hvis det virker som at datamaskinen blir infisert på nytt igjen etter at du har fullført denne prosedyren, kan ett av følgende ha skjedd:
  • Én av autostartplasseringene ble ikke fjernet. For eksempel ble kanskje ikke AT-jobben fjernet, eller en Autorun.inf-fil ble ikke fjernet.
  • Sikkerhetsoppdateringen for MS08-067 ble ikke installert på riktig måte.
Den skadelige programvaren kan endre andre innstillinger som ikke nevnes i denne artikkelen. Gå til webområdet fra Microsoft for beskyttelse mot skadelig programvare for å laste ned den nyeste informasjonen om Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Kontroller at systemet er rent

Kontroller at følgende tjenester er startet:
  • Automatiske oppdateringer (wuauserv)
  • Background Intelligent Transfer Service (BITS)
  • Windows Defender (windefend) (hvis aktuelt)
  • Windows-feilrapportering
Dette gjør du ved å skrive inn kommandoene under ved ledeteksten. Trykk ENTER etter hver kommando.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Hver gang en kommando har blitt kjørt, vil du motta en melding som ligner på følgende:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
I dette eksempelet indikerer "STATE : 4 RUNNING" at tjenesten kjører.

Du kan kontroller status for SvcHost-registernøkkelen ved å gjøre som følger:
  1. Finn følgende registerundernøkkel i Registerredigering, og klikk den:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. I detaljruten dobbeltklikker du netsvcs, og deretter går du gjennom de ulike tjenestenavnene i listen. Rull ned til bunnen av listen. Hvis datamaskinen er infisert av Conficker på nytt, vil et tilfeldig tjenestenavn vises. Her vil for eksempel navnet på den skadelige tjenesten være "Iaslogon".
Hvis følgende trinn ikke løser problemet, må du kontakte leverandøren av antivirusprogrammet ditt. Hvis du vil ha mer informasjon om dette problemet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
49500 Liste over leverandører av antivirusprogrammer
Hvis du ikke har en leverandør av antivirusprogrammer, eller den aktuelle leverandøren ikke kan hjelpe, kan du kontakte Microsofts tjeneste for forbrukerstøtte for å få hjelp.

Når den skadelige programvaren er fjernet fullstendig

Når miljøet er fullstendig fritt for den skadelige programvaren, gjør du følgende:
  1. Reaktiver Servertjenesten og Oppgaveplanleggingstjenesten.
  2. Gjenopprett standardtillatelsene på SVCHOST-registernøkkelen og Oppgaver-mappen. Disse bør tilbakestilles til standardinnstillingene ved hjelp av innstillingene for gruppepolicy. Hvis en policy blir fjernet, kan det hende at standardtillatelsene ikke kan tilbakestilles. Se tabellen med standardttillatelser i avsnittet "Migrasjonstrinn" for mer informasjon.
  3. Oppdater datamaskinen ved å installere eventuelle sikkerhetsoppdateringer som mangler. Dette gjør du ved å gå til Windows Update, serveren for Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) eller et tredjepartsprodukt som administrerer oppdateringer. Hvis du bruker SMS eller SCCM, må du først aktivere servertjenesten på nytt. Hvis dette ikke gjøres, kan det bli vanskelig for SMS og SCCM å oppdatere systemet.

Slik identifiserer du infiserte systemer

Hvis du har problemer med å identifisere systemer som er smittet med Conflicker, kan detaljene i den følgende TechNet-bloggen være til hjelp:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabell med standardtillatelser

Den følgende tabellen viser standardtillatelser for hvert operativsystem. Disse tillatelsene er til stede før du utfører endringene vi anbefaler i denne artikkelen. Tillatelsene kan avvike fra tillatelsene som er satt i miljøet ditt. Du må derfor skrive ned innstillingene før du gjør endringer. Du må gjøre dette for å kunne gjenopprette innstillingene dine etter at du har renset systemet.
Skjul denne tabellenVis denne tabellen
Operativsystem Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
InnstillingRegisteroppføringen svchostOppgaver-mappenRegisteroppføringen svchostOppgaver-mappenRegisteroppføringen svchostOppgaver-mappenRegisteroppføringen svchostOppgaver-mappenRegisteroppføringen svchostOppgaver-mappen
Konto
Administratorer (Lokal gruppe)Full kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontroll
SystemFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontrollFull kontroll
Priviligerte brukere (lokal gruppe)ikke aktueltikke aktueltikke aktueltikke aktueltLeseikke aktueltLeseikke aktueltLeseikke aktuelt
Brukere (Lokal gruppe)Spesielt ikke aktueltSpesieltikke aktueltLeseikke aktueltLeseikke aktueltLeseikke aktuelt
Gjelder: Denne nøkkelen og undernøklerGjelder: Denne nøkkelen og undernøkler
Spørre etter verdiSpørre etter verdi
Liste opp undernøklerListe opp undernøkler
VarsleVarsle
LesekontrollLesekontroll
Godkjente brukereikke aktueltSpesieltikke aktueltSpesieltikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltikke aktuelt
Gjelder: Kun denne mappenGjelder: Kun denne mappen
TraverseringsmappeTraverseringsmappe
ListemappeListemappe
Les atributterLes atributter
Les utvidede atributterLes utvidede atributter
Opprett filerOpprett filer
LesetillatelserLesetillatelser
Sikkerhetskopioperatører (lokal gruppe)ikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltSpesieltikke aktueltSpesielt
Gjelder: Kun denne mappenGjelder: Kun denne mappen
TraverseringsmappeTraverseringsmappe
ListemappeListemappe
Les atributterLes atributter
Les utvidede atributterLes utvidede atributter
Opprett filerOpprett filer
LesetillatelserLesetillatelser
Alleikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltikke aktueltSpesielt
Gjelder: Denne mappen, undermapper og filer
Traverseringsmappe
Listemappe
Les atributter
Les utvidede atributter
Opprett filer
Opprett mapper
Skriv atributter
Skriv utvidede atributter
Lesetillatelser

Egenskaper

Artikkel-ID: 962007 - Forrige gjennomgang: 7. september 2009 - Gjennomgang: 7.1
Informasjonen i denne artikkelen gjelder:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 på følgende plattformer
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 på følgende plattformer
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 på følgende plattformer
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 på følgende plattformer
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 på følgende plattformer
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 på følgende plattformer
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Nøkkelord: 
kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com