Virusvarsel om Win32/Conficker-ormen

• Policyer for låsing av konto aktiveres.
• Tjenester som Automatiske oppdateringer, Background Intelligent Transfer Service (BITS), Windows Defender og Feilrapportering deaktiveres.
• Domenekontrollere bruker lang tid på å svare på kundeforespørsler.
• Nettverket er overbelastet.
• Ingen tilgang til enkelte sikkerhetsrelaterte webområder.
• Forskjellige sikkerhetsrelaterte verktøy kjøres ikke. Hvis du vil se en oversikt over kjente verktøy, kan du gå til følgende webområde fra Microsoft og klikke fanen Analysis for å få informasjon om Win32/Conficker.D. Hvis du vil ha mer informasjon, kan du se følgende webområde fra Microsoft:
  http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D

  (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)

Tilbake til toppen | Gi tilbakemelding

• Utnyttelse av sikkerhetsproblemet som løses av sikkerhetsoppdatering 958644 (MS08-067)
• Bruk av delte ressurser på nettverket
• Bruk av AutoKjør-funksjonalitet

Tilbake til toppen | Gi tilbakemelding

• Bruk sterke administratorpassord som er unike for alle datamaskiner.
• Ikke logg deg på datamaskiner ved hjelp av domeneadministrator-identifikasjon eller ved hjelp av kontoer som har tilgang til alle datamaskiner.
• Sørg for at systemet er oppdatert med de nyeste sikkerhetsoppdateringene.
• Deaktiver Autokjør-funksjonene. Hvis du vil ha mer informasjon, kan du se trinn 3 i avsnittet "Opprette et gruppepolicyobjekt".
• Fjern overflødige rettigheter til delte nettverksområder. Dette inkluderer skriverettigheter til roten av den delte nettverksressursen.

Tilbake til toppen | Gi tilbakemelding

Bruke innstillinger gruppepolicy til å hindre at Win32/Conficker sprer seg

• Viktig Sørg for at du noterer alle innstillinger før du utfører noen av endringene som blir anbefalt i denne artikkelen.
• Denne prosessen fjerner ikke den skadelige Conficker-programvaren fra systemet. Prosessen hindrer bare den skadelige programvaren i å spre seg. Du bør bruke et antivirusprodukt til å fjerne den skadelige Conficker-programvaren fra systemet. Eventuelt kan du følge fremgangsmåten i delen "Manuell fremgangsmåte for å fjerne Win32/Conficker-viruset" i denne Knowledge Base-artikkelen for å fjerne den skadelige programvaren fra systemet manuelt.
• Det kan hende du ikke kan installere programmer, servicepakker eller andre oppdateringer på riktig måte mens tilgangsrettighetene som er anbefalt i de følgende trinnene gjelder. Dette inkluderer, men er ikke begrenset til, installasjon av oppdateringer fra Windwos Update, Microsoft WSUS-server (Windows Server Update Services) og SCCM (System Center Configuration Manager), siden disse produktene trenger komponenter fra automatiske oppdateringer. Sørg for at du tilbakestiller rettighetene til standardinnstillingene etter at du har renset systemet.
• Hvis du vil ha informasjon om standardrettighetene for registernøkkelen SVCHOST og oppgavemappen som er nevnt i avsnittet "Opprett et gruppepolicyobjekt", kan du se Tabell med standardrettigheter mot slutten av denne artikkelen.

Opprette et gruppepolicyobjekt

1. Angi at policyen skal fjerne skrivetillatelsene for følgende registerundernøkkel:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
   Dette hindrer at en skadelig programvaretjeneste med tilfeldig navn opprettes i registerverdien netsvcs.
   
   Fremgangsmåte:
   1. Åpne Konsoll for gruppepolicybehandling.
   2. Opprett en ny GPO. Gi det et fritt valgt navn.
   3. Åpne det nye gruppepolicyobjektet, og gå deretter til følgende mappe:
      Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Register
   4. Høyreklikk Register, og klikk deretter Legg til nøkkel.
   5. I dialogboksen Velg registernøkkel utvider du Maskin og går deretter til følgende mappe:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
   6. Klikk OK.
   7. I dialogboksen som åpnes, fjerner du merket for Alle tillatelser ved å klikke i denne avmerkingsboksen, både for Administratorer og for System.
   8. Klikk OK.
   9. I dialogboksen Legg til objekt klikker du Erstatt eksisterende tillatelser for alle undernøkler med arvbare tillatelser.
   10. Klikk OK.
2. Angi at policyen skal fjerne skrivetillatelser for %windir%\Oppgaver-mappen. Dette hindrer at den skadelige Conficker-programvaren oppretter planlagte oppgaver som kan infiserere systemet på nytt.
   
   Fremgangsmåte:
   1. I gruppepolicyobjektet du nettopp opprettet, går du til følgende mappe:
      Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Filsystem
   2. Høyreklikk Filsystem og klikk deretter Legg til fil.
   3. I dialogboksen Legg til fil eller mappe blar du til mappen %windir%\Oppgaver. Kontroller at Oppgaver er merket og vises i dialogboksen Mappe
   4. Klikk OK.
   5. I dialogboksen som åpnes, fjerner du avmerkingen for Alle tillatelser, Endre og Skrive ved å klikke i de aktuelle avmerkingsboksene, både for Administratorer og for System.
   6. Klikk OK.
   7. I dialogboksen Legg til objekt klikker du Erstatt eksisterende tillatelser for alle undernøkler med arvbare tillatelser.
   8. Klikk OK.
3. Deaktiver Autokjør-funksjonene. Dette forhindrer at den skadelige Conficker-programvaren sprer seg via de innebygde Autokjør-funksjonene i Windows.
   
   Nb! Avhengig av Windows-versjonen du bruker, finnes det forskjellige oppdateringer som du må ha installert for å kunne deaktivere Autokjør-funksjonen på riktig måte:
   • Hvis du vil deaktivere Autokjør-funksjonen i Windows Vista eller i Windows Server 2008, må sikkerhetsoppdatering 950582
     (http://support.microsoft.com/kb/950582)
     være installert (som beskrevet i sikkerhetsbulletin MS08-038).
   • Hvis du vil deaktivere Autokjør-funksjonen i Windows XP, Windows Server 2003 eller Windows 2000, må sikkerhetsoppdatering 950582
     (http://support.microsoft.com/kb/950582)
     , oppdatering 967715
     (http://support.microsoft.com/kb/967715)
     eller oppdatering 953252
     (http://support.microsoft.com/kb/953252)
     være installert.
   Gjør følgende for å angi Autokjørfunksjonene som skal deaktiveres:
   1. I gruppepolicyobjektet du nettopp opprettet, går du til en av følgende mapper:
      • For Windows Server 2003-domener, går du til følgende mappe:
        Datamaskinkonfigurasjon\Administrative maler\System
      • For Windows 2008-domener, går du til følgende mappe:
        Datamaskinkonfigurasjon\Administrative maler\Windows-komponenter\Policyer for Autokjør
   2. Åpne policyen Deaktiver Autokjør.
   3. I dialogboksen Deaktiver Autokjør klikker du Aktivert.
   4. I rullegardinmenyen klikker du Alle stasjoner.
   5. Klikk OK.
4. Lukk Konsoll for gruppepolicybehandling.
5. Koble gruppepolicyobjektet du nettopp opprettet, til plasseringen du vil at det skal gjelde for.
6. Sett av nok tid til at gruppepolicyen kan oppdateres på alle datamaskinene. Det tar ca. fem minutter å replikere gruppepolicyen til hver enkelt av domenekontrollerne, og deretter 90 minutter å replikere den til resten av systemene. Et par timer er vanligvis nok. Avhengig av miljøet kan det imidlertid ta noe mer tid.
7. Når gruppepolicyen er spredt, må systemene renses for skadelig programvare.
   
   Fremgangsmåte:
   1. Kjør et fullstendig antivirussøk på alle datamaskinene.
   2. Hvis antivirusprogramvaren ikke finner Conficker, kan du bruke Verktøy for fjerning av skadelig programvare til å fjerne den skadelige programvaren. Hvis du vil ha mer informasjon, kan du gå til følgende Microsoft-webområde:
      http://www.microsoft.com/norge/security/malwareremove/default.mspx

      (http://www.microsoft.com/norge/security/malwareremove/default.mspx)
      Obs!  Det kan uansett hende at du må iverksette noen manuelle tiltak for å rense systemet for alle konsekvenser av den skadelige programvaren. Vi anbefaler at du leser gjennom trinnene som er beskrevet i "Manuelle trinn for å fjerne Win32/Conficker-viruset" i denne artikkelen for å fjerne alle påvirkninger av den skadelige programvaren.

Tilbake til toppen | Gi tilbakemelding

Kjør Verktøy for fjerning av skadelig programvare

Manuell fremgangsmåte for å fjerne Win32/Conficker-viruset

• Disse trinnene i manualen trengs ikke lenger, og de bør kun brukes hvis du ikke har installert antivirusprogrammer for å fjerne Conficker-viruset.
• Noen av verdiene det henvises til i dette avsnittet er muligens uendrede av viruset, avhengig av varianten av Win32/Conficker som datamaskinen er infisert med.

1. Logg på systemet via en lokal konto.
   
   Viktig!  Unngå så langt som mulig å logge på systemet via en domenekonto. Vær spesielt påpasselig med å ikke logge på via en domeneadministratorkonto. Den skadelige programvaren imiterer den påloggede brukeren og skaffer seg tilgang til nettverksressurser ved å anvende brukerens legitimasjon. Dette gjør det mulig for den skadelige programvaren å spre seg.
2. Stans servertjenesten. Nå fjernes delte administratorressurser fra systemet, slik at den skadelige programvaren ikke kan spre seg på denne måten.
   
   Obs!  Servertjenesten må bare deaktiveres midlertidig mens du fjerner den skadelige programvaren fra miljøet ditt. Dette er spesielt viktig på produksjonsservere, ettersom dette trinnet vil virke inn på tilgjengeligheten av nettverksressursene. Så snart den skadelige programvaren er fjernet fra miljøet, kan servertjenesten aktiveres på nytt.
   
   Hvis du vil stanse tjenesten Server, bruker du Services Microsoft Management Console (MMC). Gjør dette ved å bruke følgende fremgangsmåte:
   1. Avhengig av hvilket system du har, gjør du som følger:
      • I Windows Vista og Windows Server 2008 klikker du Start, skriver inn services.msc i Start søk-boksen, og deretter klikker du services.msc i Programmer-listen.
      • I Windows 2000, Windows XP og Windows Server 2003 klikker du Start, klikker Kjør, skriver inn services.msc og klikker deretter OK.
   2. Dobbeltklikk Server.
   3. Klikk Stopp.
   4. Velg Deaktivert for Oppstartstype.
   5. Klikk Bruk.
3. Fjern alle AT-planlagte oppgaver. Dette gjøres ved å skrive inn AT /Delete /Yes ved en ledetekst.
4. Stans Oppgaveplanlegging.
   • Hvis du vil stanse tjenesten Oppgaveplanlegging i Windows 2000, Windows XP og Windows Server 2003, bruker du Services Microsoft Management Console (MMC) eller verktøyet SC.exe.
   • Hvis du vil stanse Oppgaveplanlegging i Windows Vista eller Windows Server 2008, gjør du som følger:
     
     Viktig!  Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
     322756

     (http://support.microsoft.com/kb/322756/ )

     Slik sikkerhetskopierer, redigerer og gjenoppretter du registret i Windows XP og Windows Server 2003
     1. Klikk Start, skriv inn regedit i Start søk-boksen, og klikk deretter regedit.exe i Programmer-lister.
     2. Finn følgende registerundernøkkel, og klikk denne:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
     3. I detaljruten høyreklikker du Start på DWORD-oppføringen, og deretter klikker du Endre.
     4. Skriv inn 4 i Verdidata-boksen, og klikk OK.
     5. Avslutt Registerredigering, og start datamaskinen på nytt.
        
        Obs!  Oppgaveplanleggingstjenesten må bare deaktiveres midlertidig mens du fjerner den skadelige programvaren fra miljøet ditt. Dette gjelder spesielt for Windows Vista og Windows Server 2008, siden dette trinnet vil påvirke ulike innebygde planlagte oppgaver. Så snart den skadelige programvaren er fjernet fra miljøet, kan servertjenesten aktiveres på nytt.
5. Last ned og installer sikkerhetsoppdatering 958644 (MS08-067) manuelt. Hvis du vil ha mer informasjon om dette, kan du gå til følgende Microsoft-webområde:
   http://www.microsoft.com/norge/technet/security/bulletin/2008/ms08-067.mspx

   (http://www.microsoft.com/norge/technet/security/bulletin/2008/ms08-067.mspx)
   Obs!  Dette området kan være blokkert som følge av infeksjon av skadelig programvare. I dette tilfellet må du laste ned oppdateringen fra en datamaskin som ikke er infisert av den skadelige programvaren. Deretter må du overføre oppdateringsfilen til det infiserte systemet. Vi anbefaler at du brenner oppdateringen på en CD, fordi den brente CDen ikke kan overskrives. Den kan derfor ikke infiseres av den skadelige programvaren. Hvis du ikke har en skrivbar CD-stasjon tilgjengelig, kan du bli nødt til å overføre oppdateringen til det infiserte systemet via en flyttbar USB-minnestasjon. Hvis du bruker en flyttbar stasjon, må du være klar over at den skadelige programvaren kan infisere stasjonen med en Autorun.inf-fil. Når du har kopiert oppdateringen til den flyttbare stasjonen, må du sette stasjonen i skrivebeskyttet modus, hvis mulig. På de USB-enhetene dette gjelder for, kan du velge skrivebeskyttet modus ved hjelp av en fysisk bryter på enheten. Når du har kopiert den oppdaterte filen til den infiserte datamaskinen, kontrollerer du den flyttbare stasjonen for å se om det ble skrevet en Autorun.inf-fil til den. Hvis dette er tilfelle, kan du endre navnet på Autorun.inf-filen til for eksempel Autorun.bad, slik at den ikke kan kjøres når den flyttbare stasjonen kobles til datamaskinen.
6. Gi lokale administratorer og domeneadministratorer nye, sterke passord. Hvis du vil ha mer informasjon om dette, kan du gå til følgende Microsoft-webområde:
   http://technet.microsoft.com/nb-no/library/cc875814.aspx

   (http://technet.microsoft.com/nb-no/library/cc875814.aspx)
7. Finn følgende registerundernøkkel i Registerredigering, og klikk den:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
8. I detaljruten høyreklikker du netsvcs-oppføringen, og deretter klikker du Endre.
9. Hvis datamaskinen er infisert med Win32/Conficker-viruset, vil et vilkårlig tjenestenavn vises.
   
   Nb For Win32/Conflicker.B var tjenestenavnet vilkårlige bokstaver, og navnet stod nederst på listen. For senere varianter kan tjenestenavnet være hvor som helst i listen. Navnet virker også mer troverdig. Hvis det vilkårlige tjenestenavnet ikke er nederst i listen, kan du sammenligne systemet ditt med "Tjenestetabellen" i denne prosedyren for å finne ut hvilke tjenestenavn som kan ha blitt lagt til av Win32/Conflicker. For å bekrefte dette må du sammenligne listen i "Tjenestetabellen" med et liknende system som du vet ikke er infisert.
   
   Legg merke til navnet på den skadelige tjenesten. Du vil få bruk for det senere i denne prosedyren.
10. Slett linjen som inneholder en referanse til den skadelige tjenesten. Pass på at det står en tom linje under den siste legitime oppføringen på listen, og klikk deretter OK.
    
    Notater om Tjenestetabellen.
    • Alle oppføringene i Tjenestetabellen, unntatt de oppføringene som er merket med fet skrift, er gyldige oppføringer
    • Oppføringene som er merket med fet skrift er eksempler på hva Win32/Conflicker-viruset kan legge til i netsvcs-verdien i registernøkkelen SVCHOST.
    • Det kan hende at dette ikke er en fullstendig tjenesteliste. Det avhenger av hva som er installert på systemet.
    • Tjenestetabellen er fra en standardinstallasjon av Windows.
    • Oppføringen som Win32/Conflicker-viruset legger til i listen er en forvirringsteknikk. Den merkede, ondsinnede oppføringen ser ut til å begynne med en liten "L". Men den begynner faktisk med en stor "I". På grunn av skriften som brukes av operativsystemet vil den store "I"-en se ut som en liten "L".

    Tjenestetabell

    Skjul denne tabellenVis denne tabellen

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Themes	Themes	Browser	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Browser	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Schedule	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Schedule
    wuauserv	wuauserv	Themes	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Themes
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    browser	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	schedule	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	browser		xmlprov
    schedule	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

11. Du har tidligere notert deg navnet på den skadelige tjenesten. I vårt eksempel brukte vi navnet "Iaslogon" for den ondsinnede programvaren. Bruk denne informasjonen til følgende trinn:
    1. I Registerredigering klikker du følgende registerundernøkkel, der BadServiceName er navnet på den skadelige tjenesten.
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NavnPåOndsinnetTjeneste
       Du kan for eksempel fonne og klikke følgende registerundernøkkel:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Høyreklikk undernøkkelen i navigasjonsruten for navnet på den skadelige tjenesten, og klikk Tillatelser.
    3. I dialogboksen Tillatelser for SvcHost klikker du Avansert.
    4. I dialogboksen Avanserte sikkerhetsinnstillinger klikker du for å velge begge boksene:
       Inkluder arvbare tillatelser fra dette objektets overordnede. Inkluder disse med oppføringer som er definert eksplisitt her.
       
       Erstatt alle eksisterende, arvbare tillatelser til alle etterkommere med arvbare tillatelser fra dette objektet.
12. Trykk F5 for å oppdatere Registerregistrering. I fanen for detaljer kan du nå se og redigere den ondsinnede DLL-en som lastes som "ServiceDll." Gjør dette ved å bruke følgende fremgangsmåte:
    1. Dobbeltklikk ServiceDll-oppføringen.
    2. Merk deg banen til DLL-filen. Du vil få bruk for denne senere i prosedyren. Banen og filnavnet til DLL-filen kan for eksempel se slik ut:

        %SystemRoot%\System32\doieuln.dll

       Gi et nytt navn som ligner på følgende:

        %SystemRoot%\System32\doieuln.old

    3. Klikk OK.
13. Fjern den skadelige tjenesteoppføringen fra undernøkkelen Kjør i registeret.
    1. Finn følgende registerundernøkler i Registerredigering, og klikk dem:
       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

       
       

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Finn oppføringen som begynner med undll32.exe for begge undernøklene, og let også etter referanser til den skadelige DLL-filen som lastes under navnet ServiceDll (se trinn 12 b). Slett oppføringen.
    3. Avslutt Registerredigering, og start datamaskinen på nytt.
14. Kontroller de ulike stasjonene på systemet med tanke på Autorun.inf-filer. Åpne hver fil i Notepad, og kontroller at de alle er gyldige Autorun.inf-filer. Eksempelet under viser hvordan en gyldig Autorun.inf-fil ser ut.

    [autorun]
    
    shellexecute=Servers\splash.hta *DVD*
    
    icon=Servers\autorun.ico
    

    En gyldig Autorun.inf-fil er normalt på 1 til 2 kilobyte (KB).
15. Slett alle Autorun.inf-filer som ikke virker gyldige.
16. Start datamaskinen på nytt.
17. Vis skjulte filer. Dette gjør du ved å skrive inn følgende kommando ved ledeteksten:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
18. Velg Vis skjulte filer og mapper, slik at du kan se filen. Gjør dette ved å bruke følgende fremgangsmåte:
    1. I trinn 12 b noterte du deg banen til DLL-filen for den skadelige programvaren. Det kan hende at du for eksempel skrev ned en bane som likner denne:
       %systemroot%\System32\doieuln.dll
       I Windows Utforsker åpner du mappen %systemroot%\System32 eller den mappen som inneholder den ondsinnede programvaren.
    2. Klikk Verktøy, og klikk deretter Mappealternativer.
    3. Klikk kategorien Vis.
    4. Velg Vis skjulte filer og mapper.
    5. Klikk OK.
19. Velg DLL-filen.
20. Endre tillatelsene for filen for å legge til Alle tillatelser for alle. Gjør dette ved å bruke følgende fremgangsmåte:
    1. Høyreklikk DLL-filen, og klikk deretter Egenskaper.
    2. Klikk kategorien Sikkerhet.
    3. Under delen for tillatelser merker du av for Alle tillatelser i Tillat-kolonnen.
    4. Klikk OK.
21. Slett DLL-filen for den skadelige programvaren. Eksempel: Slett filen %systemroot%\System32\doieuln.dll.
22. Aktiver BITS, Automatic Updates, Feilrapportering og Windows Defender ved hjelp av Services Microsoft Management Console (MMC).
23. Deaktiver Autorun, slik at risikoen for ny smitte reduseres. Gjør dette ved å bruke følgende fremgangsmåte:
    1. Avhengig av hvilket system du har, installerer du en av følgende oppdateringer:
       • Hvis du kjører Windows 2000, Windows XP eller Windows Server 2003, må du installere oppdatering 967715. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
         967715

         (http://support.microsoft.com/kb/967715/ )

         Deaktivere Autokjør-funksjonen i Windows
       • Hvis du kjører Windows Vista eller Windows Server 2008, må du installere sikkerhetsoppdatering 950582. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
         950582

         (http://support.microsoft.com/kb/950582/ )

         MS08-038: Et sikkerhetsproblem i Windows Explorer kan tillate ekstern kjøring av kode
       Obs!  Oppdatering 967715 og sikkerhetsoppdatering 950582 er ikke knyttet til problemet med skadelig programvare. Disse oppdateringene må installeres for å aktivere registerfunksjonen i trinn 23 b.
    2. Skriv inn følgende kommando ved en ledetekst:
       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
24. Hvis systemet kjører Windows Defender, må du aktivere autostartplasseringen for Windows Defender på nytt. Dette gjør du ved å skrive inn følgende kommando ved ledeteksten:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
25. For Windows Vista og nyere operativsystemer vil den skadelige programvaren deaktivere de globale innstillingene til Autoinnstillingsnivå for TCP Receive Window. Du kan tilbakestille denne innstillingen ved å skrive inn følgende kommando ved en ledetekst:
    netsh interface tcp set global autotuning=normal

• Én av autostartplasseringene ble ikke fjernet. For eksempel ble kanskje ikke AT-jobben fjernet, eller en Autorun.inf-fil ble ikke fjernet.
• Sikkerhetsoppdateringen for MS08-067 ble ikke installert på riktig måte.

Kontroller at systemet er rent

• Automatiske oppdateringer (wuauserv)
• Background Intelligent Transfer Service (BITS)
• Windows Defender (windefend) (hvis aktuelt)
• Windows-feilrapportering

1. Finn følgende registerundernøkkel i Registerredigering, og klikk den:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
2. I detaljruten dobbeltklikker du netsvcs, og deretter går du gjennom de ulike tjenestenavnene i listen. Rull ned til bunnen av listen. Hvis datamaskinen er infisert av Conficker på nytt, vil et tilfeldig tjenestenavn vises. Her vil for eksempel navnet på den skadelige tjenesten være "Iaslogon".

Når den skadelige programvaren er fjernet fullstendig

1. Reaktiver Servertjenesten og Oppgaveplanleggingstjenesten.
2. Gjenopprett standardtillatelsene på SVCHOST-registernøkkelen og Oppgaver-mappen. Disse bør tilbakestilles til standardinnstillingene ved hjelp av innstillingene for gruppepolicy. Hvis en policy blir fjernet, kan det hende at standardtillatelsene ikke kan tilbakestilles. Se tabellen med standardttillatelser i avsnittet "Migrasjonstrinn" for mer informasjon.
3. Oppdater datamaskinen ved å installere eventuelle sikkerhetsoppdateringer som mangler. Dette gjør du ved å gå til Windows Update, serveren for Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) eller et tredjepartsprodukt som administrerer oppdateringer. Hvis du bruker SMS eller SCCM, må du først aktivere servertjenesten på nytt. Hvis dette ikke gjøres, kan det bli vanskelig for SMS og SCCM å oppdatere systemet.

Tilbake til toppen | Gi tilbakemelding