Alert antywirusowy dotyczący robaka Win32/Conficker

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 962007 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Świadczenie pomocy technicznej dla systemu Windows Vista z dodatkiem Service Pack 1 (SP1) kończy się 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, należy korzystać z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, zapoznaj się z tą stroną firmy Microsoft w sieci Web: Wkrótce zostanie zakończone świadczenie pomocy technicznej dla niektórych wersji systemu Windows.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Podsumowanie

Informacje zawarte w tym artykule z bazy wiedzy Knowledge Base dotyczą środowisk biznesowych, obsługiwanych przez administratorów systemów mogących zaimplementować szczegóły omówione w tym artykule. Nie ma potrzeby korzystania z tego artykułu, jeśli używany program antywirusowy poprawnie usuwa wirusa, a używane systemy są w pełni zaktualizowane. Aby upewnić się, że system nie jest zainfekowany przez wirusa Conficker, należy wykonać szybkie skanowanie z poziomu następującej strony sieci Web: http://www.microsoft.com/security/scanner/pl-pl/ Aby uzyskać szczegółowe informacje na temat wirusa Conficker, odwiedź następującą stronę firmy Microsoft w sieci Web:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptomy infekcji

Jeśli komputer jest zainfekowany tym robakiem, mogą nie występować żadne symptomy lub mogą występować następujące symptomy:
  • Zasady blokady kont wyłączają się samoczynnie.
  • Usługi Aktualizacje automatyczne, BITS (Usługa inteligentnego transferu w tle), Windows Defender oraz Raportowanie błędów są wyłączone.
  • Kontrolery domeny wolno reagują na żądania klientów.
  • Sieć jest przeciążona.
  • Nie można uzyskać dostępu do różnych witryn sieci Web związanych z zabezpieczeniami.
  • Nie można uruchomić różnych narzędzi związanych z zabezpieczeniami. Listę znanych narzędzi można uzyskać, odwiedzając następującą stronę firmy Microsoft w sieci Web, a następnie klikając kartę Analysis (Analiza) w celu uzyskania informacji o robaku Win32/Conficker.D. Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Aby uzyskać więcej informacji na temat robaka Win32/Conficker, odwiedź następującą stronę w Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem w sieci Web:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Metody propagacji

Istnieje wiele metod propagacji robaka Win32/Conficker. Między innymi:
  • Wykorzystanie luki w zabezpieczeniach usuwanej przez aktualizację 958644 (MS08-067)
  • Użycie udziałów sieciowych
  • Użycie funkcji autoodtwarzania
Dlatego należy uważać, aby podczas oczyszczania sieci nie zainfekować ponownie systemów, które zostały już oczyszczone.

Uwaga Wariant robaka Win32/Conficker.D nie jest propagowany za pośrednictwem dysków wymiennych ani folderów udostępnionych w sieci. Robak Win32/Conficker.D jest instalowany przez wcześniejsze warianty robaka Win32/Conficker.

Zapobieganie

  • Należy używać silnych haseł administratorów, unikatowych na wszystkich komputerach.
  • Nie należy logować się do komputerów za pomocą poświadczeń administratorów domeny ani poświadczeń zapewniających dostęp do wszystkich komputerów.
  • Należy upewnić się, że we wszystkich systemach są zastosowane najnowsze aktualizacje zabezpieczeń.
  • Należy wyłączyć funkcje autoodtwarzania. Aby uzyskać więcej informacji, zobacz krok 3 w sekcji „Tworzenie obiektu zasad grupy”.
  • Należy usunąć nadmiarowe prawa do udziałów. Obejmuje to również uprawnienia do zapisu w katalogu głównym każdego udziału.

Czynności służące ograniczeniu ryzyka

Zapobieganie rozprzestrzenianiu się robaka Win32/Conficker za pomocą zasad grupy

Uwagi
  • Ważne Przed wprowadzeniem jakichkolwiek zmian sugerowanych w tym artykule należy udokumentować wszystkie bieżące ustawienia.
  • Ta procedura nie powoduje usunięcia złośliwego oprogramowania Conficker z systemu. Zapobiega tylko rozprzestrzenianiu go. Aby usunąć złośliwe oprogramowanie Conficker z systemu, należy użyć programu antywirusowego. Można także usunąć je ręcznie, korzystając z procedury w sekcji Ręczne usuwanie wirusa Win32/Conficker niniejszego artykułu z bazy wiedzy Knowledge Base.
  • Podczas obowiązywania zmian dotyczących uprawnień, które zalecono w poniższych krokach, może być niemożliwe poprawne zainstalowanie aplikacji, dodatków Service Pack lub innych aktualizacji. Dotyczy to między innymi stosowania aktualizacji za pomocą usługi Windows Update, serwera programu Microsoft Windows Server Update Services (WSUS) oraz narzędzia System Center Configuration Manager (SCCM), ponieważ te produkty bazują na składnikach Aktualizacji automatycznych. Należy pamiętać o konieczności przywrócenia domyślnych ustawień uprawnień po oczyszczeniu systemu.
  • Aby uzyskać informacje o uprawnieniach domyślnych dotyczących klucza rejestru SVCHOST oraz folderu Tasks, które są omawiane w sekcji „Tworzenie obiektu zasad grupy”, zobacz tabelę uprawnień domyślnych na końcu tego artykułu.

Tworzenie obiektu zasad grupy

Należy utworzyć nowy obiekt zasad grupy (GPO) dotyczący wszystkich komputerów w konkretnej jednostce organizacyjnej, lokacji lub domenie, zgodnie z wymaganiami danego środowiska.

W tym celu wykonaj następujące czynności:
  1. Ustaw zasadę usuwającą uprawnienia do zapisu w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Uniemożliwi to utworzenie w wartości rejestru netsvcs usługi złośliwego oprogramowania o przypadkowej nazwie.

    W tym celu wykonaj następujące czynności:
    1. Otwórz konsolę zarządzania zasadami grupy.
    2. Utwórz nowy obiekt zasad grupy. Nadaj mu dowolną nazwę.
    3. Otwórz nowo utworzony obiekt zasad grupy, a następnie przejdź do następującego folderu:
      Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Rejestr
    4. Kliknij prawym przyciskiem myszy pozycję Rejestr, a następnie kliknij polecenie Dodaj klucz.
    5. W oknie dialogowym Wybieranie klucza rejestru rozwiń węzeł Komputer, a następnie przejdź do następującego folderu:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Kliknij przycisk OK.
    7. W wyświetlonym oknie dialogowym wyczyść pole wyboru Pełna kontrola w kolumnach Administratorzy i System.
    8. Kliknij przycisk OK.
    9. W oknie dialogowym Dodawanie obiektu kliknij opcję Zamień istniejące uprawnienia do wszystkich podkluczy na uprawnienia dziedziczne.
    10. Kliknij przycisk OK.
  2. Ustaw zasadę usuwającą uprawnienia do zapisu w folderze %windir%\Tasks. Uniemożliwi to złośliwemu oprogramowaniu Conficker tworzenie zaplanowanych zadań, które mogą ponownie zainfekować system.

    W tym celu wykonaj następujące czynności:
    1. W utworzonym wcześniej obiekcie zasad grupy przejdź do następującego folderu:
      Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\System plików
    2. Kliknij prawym przyciskiem myszy pozycję System plików, a następnie kliknij polecenie Dodaj plik.
    3. W oknie dialogowym Dodawanie pliku lub folderu przejdź do folderu %windir%\Tasks. Upewnij się, że folder Tasks jest wyróżniony i wymieniony w oknie dialogowym Folder.
    4. Kliknij przycisk OK.
    5. W otwartym oknie dialogowym wyczyść pola wyboru Pełna kontrola, Modyfikacja i Zapis zarówno w obszarze Administratorzy, jak i w obszarze System.
    6. Kliknij przycisk OK.
    7. W oknie dialogowym Dodawanie obiektu kliknij opcję Zamień istniejące uprawnienia do wszystkich podkluczy na uprawnienia dziedziczne.
    8. Kliknij przycisk OK.
  3. Wyłącz funkcje autoodtwarzania (autouruchamiania). Uniemożliwi to złośliwemu oprogramowaniu Conficker rozprzestrzenianie się za pomocą funkcji autoodtwarzania wbudowanych w system Windows.

    Uwaga W zależności od używanej wersji systemu Windows prawidłowe wyłączenie funkcji autouruchamiania wymaga wcześniejszego zainstalowania różnych aktualizacji:
    • Aby wyłączyć funkcje autouruchamiania w systemie Windows Vista lub Windows Server 2008, należy wcześniej zainstalować aktualizację zabezpieczeń 950582 (biuletyn zabezpieczeń MS08-038).
    • Aby wyłączyć funkcje autouruchamiania w systemie Windows XP, Windows Server 2003 lub Windows 2000, należy wcześniej zainstalować aktualizację zabezpieczeń 950582, aktualizację 967715 lub aktualizację 953252.
    Aby wyłączyć funkcje autoodtwarzania (autouruchamiania), wykonaj następujące czynności:
    1. W utworzonym wcześniej obiekcie zasad grupy przejdź do jednego z następujących folderów:
      • W domenie systemu Windows Server 2003 przejdź do następującego folderu:
        Konfiguracja komputera\Szablony administracyjne\System
      • W domenie systemu Windows Server 2008 przejdź do następującego folderu:
        Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Zasady autoodtwarzania
    2. Otwórz zasadę Wyłącz funkcję Autoodtwarzanie.
    3. W oknie dialogowym Wyłącz funkcję Autoodtwarzanie kliknij pozycję Włączone.
    4. W menu rozwijanym kliknij pozycję Wszystkie dyski.
    5. Kliknij przycisk OK.
  4. Zamknij konsolę zarządzania zasadami grupy.
  5. Połącz nowo utworzony obiekt zasad grupy z lokalizacją, dla której ma obowiązywać.
  6. Poczekaj, aż ustawienia zasad grupy zostaną zaktualizowane na wszystkich komputerach. Zwykle replikacja zasad grupy trwa pięć minut dla kontrolerów domeny, a następnie 90 minut dla pozostałych systemów. Po kilku godzinach ustawienia powinny obowiązywać. Niektóre środowiska mogą jednak wymagać więcej czasu.
  7. Po wykonaniu propagacji ustawień zasad grupy oczyść systemy ze złośliwego oprogramowania.

    W tym celu wykonaj następujące czynności:
    1. Uruchom pełne skanowanie antywirusowe na wszystkich komputerach.
    2. Jeśli oprogramowanie antywirusowe nie wykrywa robaka Conficker, można oczyścić system za pomocą skanera Microsoft Safety Scanner. Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web: http://www.microsoft.com/security/scanner/pl-pl/Uwaga Całkowite usunięcie efektów działania złośliwego oprogramowania może wymagać ręcznego wykonania pewnych czynności. W celu całkowitego usunięcia efektów działania złośliwego oprogramowania zaleca się wykonanie czynności wymienionych w sekcji Ręczne usuwanie wirusa Win32/Conficker tego artykułu.

Usuwanie infekcji

Jeśli oprogramowanie antywirusowe nie wykrywa robaka Conficker, można oczyścić system za pomocą skanera Microsoft Safety Scanner. Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web: http://www.microsoft.com/security/scanner/pl-pl/Uwaga Całkowite usunięcie efektów działania złośliwego oprogramowania może wymagać ręcznego wykonania pewnych czynności. W celu całkowitego usunięcia efektów działania złośliwego oprogramowania zaleca się wykonanie czynności wymienionych w sekcji Ręczne usuwanie wirusa Win32/Conficker tego artykułu.

Uruchom skaner Microsoft Safety Scanner.

Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem zaktualizowało skaner Microsoft Safety Scanner. Jest to autonomiczny plik binarny służący do usuwania powszechnie znanego złośliwego oprogramowania, który umożliwia także usunięcie robaków z rodziny Win32/Conficker.

Uwaga Skaner Microsoft Safety Scanner nie zapobiega ponownemu zainfekowaniu systemu, ponieważ nie jest programem antywirusowym działającym w czasie rzeczywistym.

Skaner Microsoft Safety Scanner można pobrać z następującej witryny firmy Microsoft w sieci Web:
http://www.microsoft.com/security/scanner/pl-pl/

Uwaga Tę infekcję można także usunąć za pomocą narzędzia Stand-Alone System Sweeper. Jest ono dostępne jako składnik pakietu Microsoft Desktop Optimization Pack 6.0 lub w dziale pomocy technicznej. Aby uzyskać pakiet Microsoft Desktop Optimization Pack, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/pl-pl/windows/enterprise/products-and-technologies/mdop/default.aspx
Jeśli w systemie działa program Windows Live OneCare lub Microsoft Forefront Client Security, instalacja robaka także zostanie zablokowana.

Ręczne usuwanie wirusa Win32/Conficker

Uwagi
  • Te ręczne czynności nie są już wymagane. Należy wykonać je tylko w przypadku, gdy nie jest używane żadne oprogramowanie antywirusowe, a konieczne jest usuniecie wirusa Conficker.
  • Zależnie od wariantu wirusa Win32/Conficker, którym jest zainfekowany komputer, niektóre z wymienionych w tej sekcji wartości mogą nie być zmienione przez tego wirusa.
Poniższa szczegółowa procedura ułatwia ręczne usunięcie robaka Conficker z systemu:
  1. Zaloguj się do systemu przy użyciu konta lokalnego.

    Ważne Nie loguj się do systemu przy użyciu konta domeny, o ile to możliwe. W szczególności nie loguj się przy użyciu konta administratora domeny. Złośliwe oprogramowanie personifikuje zalogowanego użytkownika i uzyskuje dostęp do zasobów sieciowych za pomocą jego poświadczeń. Takie zachowanie umożliwia rozprzestrzenianie się złośliwego oprogramowania.
  2. Należy zatrzymać usługę Serwer. Spowoduje to usunięcie udziałów administratora z systemu, uniemożliwiając rozprzestrzenianie się złośliwego oprogramowania tą metodą.

    Uwaga Usługę Serwer należy wyłączyć tylko tymczasowo na czas oczyszczania środowiska komputerowego ze złośliwego oprogramowania. Jest to szczególnie ważne w przypadku serwerów produkcyjnych, ponieważ ten etap wpływa na dostępność zasobów sieciowych. Zaraz po oczyszczeniu środowiska komputerowego można ponownie włączyć usługę Serwer.

    W celu zatrzymania usługi Serwer należy użyć przystawki Usługi programu Microsoft Management Console (MMC). W tym celu wykonaj następujące czynności:
    1. W zależności od systemu operacyjnego:
      • W systemach Windows Vista i Windows Server 2008 kliknij przycisk Start, wpisz ciąg services.msc w polu Rozpocznij wyszukiwanie, a następnie kliknij pozycję services.msc na liście Programy.
      • W systemach Windows 2000, Windows XP i Windows Server 2003 kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg services.msc, a następnie kliknij przycisk OK.
    2. Kliknij dwukrotnie pozycję Serwer.
    3. Kliknij przycisk Zatrzymaj.
    4. W polu Typ uruchomienia wybierz pozycję Wyłączony.
    5. Kliknij przycisk Zastosuj.
  3. Usuń wszystkie zaplanowane zadania funkcji autodostrajania. W tym celu wpisz polecenie AT /Delete /Yes w wierszu polecenia.
  4. Należy zatrzymać usługę Harmonogram zadań.
    • W celu zatrzymania usługi Harmonogram zadań w systemach Windows 2000, Windows XP i Windows Server 2003 należy użyć przystawki Usługi programu Microsoft Management Console (MMC) lub narzędzia SC.exe.
    • W celu zatrzymania usługi Harmonogram zadań w systemach Windows Vista i Windows Server 2008 należy wykonać poniższą procedurę.

      Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      322756 Jak wykonywać kopię zapasową rejestru i przywracać go w systemie Windows
      1. Kliknij przycisk Start, w polu Rozpocznij wyszukiwanie wpisz regedit, a następnie kliknij pozycję regedit.exe na liście Programy.
      2. Zlokalizuj i kliknij następujący podklucz rejestru:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. W okienku szczegółów kliknij prawym przyciskiem myszy wpis typu DWORD Start, a następnie kliknij polecenie Modyfikuj.
      4. W polu Dane wartości wpisz 4, a następnie kliknij przycisk OK.
      5. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.

        Uwaga Usługę Harmonogram zadań należy wyłączyć tylko tymczasowo na czas oczyszczania środowiska komputerowego ze złośliwego oprogramowania. Jest to szczególnie ważne w przypadku systemów Windows Vista i Windows Server 2008, ponieważ wykonanie tej czynności wpływa na różne wbudowane zaplanowane zadania. Zaraz po oczyszczeniu środowiska komputerowego należy ponownie włączyć usługę Serwer.
  5. Pobierz i zainstaluj ręcznie poprawkę zabezpieczeń 958644 (MS08-067). Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://technet.microsoft.com/en-us/security/bulletin/ms08-067
    Uwaga Ta witryna może być zablokowana z powodu zainfekowania systemu złośliwym oprogramowaniem. W takim przypadku należy pobrać aktualizację z niezainfekowanego komputera, a następnie przenieść plik aktualizacji do zainfekowanego systemu. Zalecamy nagranie aktualizacji na dysku CD, ponieważ na nagranym dysku CD nie można zapisać dodatkowych danych. Dlatego nie można go zainfekować. W przypadku braku nagrywarki CD jedynym sposobem skopiowania aktualizacji do zainfekowanego systemu może być użycie wymiennego dysku USB. Podczas stosowania tej metody należy uważać, aby nie zainfekować dysku wymiennego (plik Autorun.inf). Po skopiowaniu aktualizacji na dysk wymienny należy przełączyć dysk do trybu tylko do odczytu, jeśli taka opcja jest dostępna dla danego urządzenia. Zwykle służy do tego fizyczny przełącznik na urządzeniu. Po skopiowaniu pliku aktualizacji na zainfekowany komputer należy sprawdzić, czy na dysku wymiennym został zapisany plik Autorun.inf. Jeśli tak, należy zmienić jego nazwę, na przykład na Autorun.bad, tak aby nie został uruchomiony po podłączeniu dysku wymiennego do komputera.
  6. Ustaw nowe silne hasła dla kont administratora lokalnego i administratora domeny. Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://technet.microsoft.com/pl-pl/library/cc875814.aspx
  7. W Edytorze rejestru zlokalizuj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. W okienku szczegółów kliknij prawym przyciskiem myszy wpis netsvcs, a następnie kliknij polecenie Modyfikuj.
  9. Jeśli komputer jest zainfekowany wirusem Win32/Conficker, lista będzie zawierać przypadkową nazwę usługi.

    Uwaga W przypadku robaka Win32/Conficker.B nazwa usługi miała postać przypadkowych liter i znajdowała się u dołu listy. W przypadku nowszych wariantów nazwa usługi może znajdować się w dowolnym miejscu na liście i bardziej przypominać normalną nazwę. Jeśli u dołu listy nie ma przypadkowej nazwy usługi, można porównać listę w używanym systemie z tabelą usług podaną w tej procedurze w celu ustalenia, która z nazw usług mogła zostać dodana przez wirusa Win32/Conficker. Listę z tabeli usług warto też porównać z listą wyświetlaną w podobnym systemie, o którym wiadomo, że nie jest zainfekowany.

    Zanotuj nazwę usługi złośliwego oprogramowania. Będzie ona potrzebna w dalszej części tej procedury.
  10. Usuń wiersz zawierający odwołanie do tej usługi. Zostaw pusty wiersz pod ostatnim prawidłowym wpisem na liście, a następnie kliknij przycisk OK.

    Uwagi dotyczące tabeli usług
    • Wszystkie wpisy w tabeli usług są wpisami prawidłowymi. Wyjątkiem są pozycje wyróżnione pogrubieniem.
    • Pozycje wyróżnione pogrubieniem to przykłady wpisów dodanych przez wirusa Win32/Conficker do wartości netsvcs w kluczu rejestru SVCHOST.
    • Lista usług może nie być kompletna, ponieważ jest zależna od oprogramowania zainstalowanego w systemie.
    • Zawartość tabeli usług bazuje na domyślnej instalacji systemu Windows.
    • Wpis dodawany do listy przez wirusa Win32/Conficker jest tworzony metodą „zaciemniania”. Wyróżniony wpis złośliwego oprogramowania sprawia wrażenie rozpoczynającego się od małej litery „L”. Jednak ta litera to w rzeczywistości wielka litera „I”. Czcionka używana w systemie operacyjnym sprawia, że wielka litera „I” przypomina małą literę „L”.

    Tabela usług

    Zwiń tę tabelęRozwiń tę tabelę
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. W poprzedniej procedurze została zanotowana nazwa usługi złośliwego oprogramowania. Przykładowa usługa nosiła nazwę „Iaslogon”. Wykonaj następujące kroki:
    1. W Edytorze rejestru zlokalizuj i kliknij następujący podklucz rejestru (BadServiceName jest nazwą usługi złośliwego oprogramowania).
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Na przykład zlokalizuj i kliknij następujący podklucz rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. W okienku nawigacyjnym kliknij prawym przyciskiem myszy podklucz usługi złośliwego oprogramowania, a następnie kliknij polecenie Uprawnienia.
    3. W oknie dialogowym Uprawnienia dla SvcHost kliknij przycisk Zaawansowane.
    4. W oknie dialogowym Zaawansowane ustawienia zabezpieczeń kliknij w celu zaznaczenia obu następujących pól wyboru:
      Dziedzicz po obiekcie nadrzędnym wpisy uprawnienia stosowane do obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.

      Zamień wpisy uprawnienia na wszystkich obiektach podrzędnych na wpisy tutaj pokazane, stosowane do obiektów podrzędnych.
  12. Naciśnij klawisz F5, aby zaktualizować dane Edytora rejestru. W okienku szczegółów można teraz przejrzeć i edytować plik DLL złośliwego oprogramowania załadowany jako „ServiceDll”. W tym celu wykonaj następujące czynności:
    1. Kliknij dwukrotnie wpis ServiceDll.
    2. Zanotuj ścieżkę do wspomnianego pliku DLL. Będzie ona potrzebna w dalszej części tej procedury. Na przykład ścieżka do pliku może mieć następującą postać:
       %SystemRoot%\System32\doieuln.dll
      Zmień nazwę w ścieżce na następującą:
       %SystemRoot%\System32\doieuln.old
    3. Kliknij przycisk OK.
  13. Usuń wpis usługi złośliwego oprogramowania z podklucza Run w rejestrze.
    1. W Edytorze rejestru zlokalizuj i kliknij następujące podklucze:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. W obu podkluczach znajdź wpis rozpoczynający się ciągiem „rundll32.exe” i odwołujący się do pliku DLL złośliwego oprogramowania ładowanego jako „ServiceDll” (wskazanego w punkcie 12b). Usuń ten wpis.
    3. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.
  14. Wyszukaj pliki Autorun.inf na wszystkich dyskach w systemie. Otwórz każdy znaleziony plik za pomocą Notatnika, a następnie sprawdź, czy jest to prawidłowy plik Autorun.inf. Poniżej przedstawiono przykład prawidłowego pliku Autorun.inf.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Prawidłowy plik Autorun.inf ma zwykle od 1 do 2 kilobajtów (KB).
  15. Usuń wszystkie pliki Autorun.inf, które wyglądają na nieprawidłowe.
  16. Ponownie uruchom komputer.
  17. Włącz wyświetlanie plików ukrytych. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Ustaw opcję Pokaż ukryte pliki i foldery, aby plik stał się widoczny. W tym celu wykonaj następujące czynności:
    1. W punkcie 12b została zanotowana ścieżka do pliku dll złośliwego oprogramowania. Na przykład została zanotowana ścieżka podobna do następującej:
      %systemroot%\System32\doieuln.dll
      W Eksploratorze Windows otwórz katalog %systemroot%\System32 lub katalog zawierający złośliwe oprogramowanie.
    2. Kliknij pozycję Narzędzia, a następnie kliknij polecenie Opcje folderów.
    3. Kliknij kartę Widok.
    4. Zaznacz pole wyboru Pokaż ukryte pliki i foldery.
    5. Kliknij przycisk OK.
  19. Zaznacz plik dll.
  20. Nadaj uprawnienie Pełna kontrola grupie Wszyscy, edytując uprawnienia do pliku. W tym celu wykonaj następujące czynności:
    1. Kliknij prawym przyciskiem myszy plik dll, a następnie kliknij polecenie Właściwości.
    2. Kliknij kartę Zabezpieczenia.
    3. Kliknij pozycję Wszyscy, a następnie zaznacz pole wyboru Pełna kontrola w kolumnie Zezwalaj.
    4. Kliknij przycisk OK.
  21. Usuń plik dll złośliwego oprogramowania. W tym przykładzie usuń plik %systemroot%\System32\doieuln.dll.
  22. Włącz usługi Aktualizacje automatyczne, BITS (Usługa inteligentnego transferu w tle), Windows Defender oraz Raportowanie błędów za pomocą przystawki Usługi programu Microsoft Management Console (MMC).
  23. Wyłącz funkcję autouruchamiania, aby zmniejszyć skutki ewentualnej ponownej infekcji. W tym celu wykonaj następujące czynności:
    1. W zależności od systemu operacyjnego zainstaluj jedną z następujących aktualizacji:
      • W systemie Windows 2000, Windows XP lub Windows Server 2003 zainstaluj aktualizację 967715. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        967715 Jak wyłączyć funkcje autouruchamiania w systemie Windows
      • W systemie Windows Vista lub Windows Server 2008 zainstaluj aktualizację 950582. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        950582 MS08-038: Luka w zabezpieczeniach Eksploratora Windows umożliwia zdalne wykonanie kodu
      Uwaga Aktualizacje 967715 i 950582 nie są związane z tym problemem. Ich zainstalowanie jest wymagane do włączenia funkcji rejestru w punkcie 23b.
    2. W wierszu polecenia wpisz następujące polecenie:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Jeśli w systemie działa usługa Windows Defender, ponownie aktywuj lokalizację autouruchamiania tej usługi. W tym celu wpisz następujące polecenie w wierszu polecenia:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. W systemie Windows Vista i nowszych systemach operacyjnych złośliwe oprogramowanie wyłącza ustawienie globalne autodostrajania okna odbioru TCP. Aby anulować tę zmianę, wpisz następujące polecenie w wierszu polecenia:
    netsh interface tcp set global autotuning=normal
Jeśli po wykonaniu tej procedury będą występować symptomy ponownego zainfekowania komputera, oznacza to, że mogła wystąpić jedna z następujących sytuacji:
  • Jedna z lokalizacji autouruchamiania nie została usunięta. Na przykład mogło nie zostać usunięte zadanie autodostrajania albo plik Autorun.inf.
  • Aktualizacja zabezpieczeń MS08-067 została niepoprawnie zainstalowana.
To złośliwe oprogramowanie może zmieniać także inne ustawienia, które nie zostały opisane w tym artykule. Aby uzyskać najnowsze informacje na temat robaka Win32/Conficker, odwiedź następującą stronę w Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem w sieci Web:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Sprawdzanie, czy system jest czysty

Sprawdź, czy następujące usługi zostały uruchomione:
  • Aktualizacje automatyczne (wuauserv)
  • Usługa inteligentnego transferu w tle (BITS)
  • Windows Defender (windefend) (jeśli jest zainstalowana)
  • Usługa raportowania błędów systemu Windows
W tym celu wpisz następujące polecenia w wierszu polecenia. Naciskaj klawisz ENTER po wpisaniu każdego polecenia:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Po uruchomieniu kolejnych poleceń będzie wyświetlany komunikat podobny do następującego:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
W tym przykładzie zapis „STATE : 4 RUNNING” oznacza, że usługa jest uruchomiona.

Aby sprawdzić stan podklucza rejestru SvcHost, wykonaj następujące kroki:
  1. W Edytorze rejestru zlokalizuj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. W okienku szczegółów kliknij dwukrotnie pozycję netsvcs, a następnie przejrzyj wymienione nazwy usług. Przewiń listę w dół. Jeśli komputer został ponownie zainfekowany robakiem Conficker, lista będzie zawierać przypadkową nazwę usługi. Na przykład na potrzeby tej procedury przyjęto, że nazwa usługi złośliwego oprogramowania to „Iaslogon”.
Jeśli wykonanie tej procedury nie rozwiązało problemu, skontaktuj się z producentem oprogramowania antywirusowego. Aby uzyskać więcej informacji dotyczących tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
49500 Lista producentów oprogramowania antywirusowego
Jeśli nie możesz skontaktować się z producentem oprogramowania antywirusowego lub uzyskać od niego pomocy, skontaktuj się z Pomocą techniczną firmy Microsoft.

Po pełnym oczyszczeniu środowiska komputerowego

Po pełnym oczyszczeniu środowiska komputerowego wykonaj następujące czynności:
  1. Ponownie włącz usługi Serwer oraz Harmonogram zadań.
  2. Przywróć uprawnienia domyślne dla klucza rejestru SVCHOST i folderu Tasks. Ustawienia domyślne powinny zostać przywrócone za pomocą ustawień zasad grupy. W przypadku tylko usunięcia zasady uprawnienia domyślne mogą nie zostać ponownie zmienione. Aby uzyskać więcej informacji, zobacz tabelę uprawnień domyślnych w sekcji Czynności służące ograniczeniu ryzyka.
  3. Zaktualizuj komputer, instalując brakujące aktualizacje zabezpieczeń. W tym celu skorzystaj z produktu Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) lub produktu do zarządzania aktualizacjami innej firmy. W przypadku programów SMS lub SCCM należy najpierw włączyć ponownie usługę Serwer. W przeciwnym razie te programy nie będą mogły zaktualizować systemu.

Identyfikowanie zainfekowanych systemów

W przypadku problemów ze zidentyfikowaniem systemów zainfekowanych wirusem Conficker pomocne mogą okazać się szczegółowe informacje zawarte w następującym blogu w witrynie TechNet:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabela uprawnień domyślnych

W poniższej tabeli przedstawiono uprawnienia domyślne w poszczególnych systemach operacyjnych. Te uprawnienia obowiązują przed zastosowaniem zmian zalecanych w tym artykule. Te uprawnienia mogą różnić się od uprawnień ustawionych w używanym środowisku. Z tego powodu przed wprowadzeniem jakichkolwiek zmian należy zanotować informacje o używanych ustawieniach. Należy to zrobić w celu umożliwienia przywrócenia tych ustawień po oczyszczeniu systemu.
Zwiń tę tabelęRozwiń tę tabelę
System operacyjny Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
UstawienieSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder Tasks
Konto
Administratorzy (Grupa lokalna)Pełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrola
SystemPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrola
Użytkownicy zaawansowani (Grupa lokalna)Nie dotyczyNie dotyczyNie dotyczyNie dotyczyOdczytNie dotyczyOdczytNie dotyczyOdczytNie dotyczy
Użytkownicy (Grupa lokalna)Specjalne Nie dotyczySpecjalneNie dotyczyOdczytNie dotyczyOdczytNie dotyczyOdczytNie dotyczy
Dotyczy: tego klucza i podkluczyDotyczy: tego klucza i podkluczy
Badanie wartościBadanie wartości
Wyliczanie podkluczyWyliczanie podkluczy
PowiadamianiePowiadamianie
Kontrola odczytuKontrola odczytu
Użytkownicy uwierzytelnieniNie dotyczySpecjalneNie dotyczySpecjalneNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczy
Dotyczy: tylko tego folderuDotyczy: tylko tego folderu
Przechodzenie przez folderPrzechodzenie przez folder
Wyświetlanie folderuWyświetlanie folderu
Odczyt atrybutówOdczyt atrybutów
Odczyt atrybutów rozszerzonychOdczyt atrybutów rozszerzonych
Tworzenie plikówTworzenie plików
Odczyt uprawnieńOdczyt uprawnień
Operatorzy kopii zapasowych (Grupa lokalna)Nie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczySpecjalneNie dotyczySpecjalne
Dotyczy: tylko tego folderuDotyczy: tylko tego folderu
Przechodzenie przez folderPrzechodzenie przez folder
Wyświetlanie folderuWyświetlanie folderu
Odczyt atrybutówOdczyt atrybutów
Odczyt atrybutów rozszerzonychOdczyt atrybutów rozszerzonych
Tworzenie plikówTworzenie plików
Odczyt uprawnieńOdczyt uprawnień
WszyscyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczySpecjalne
Dotyczy: tego folderu, podfolderów i plików
Przechodzenie przez folder
Wyświetlanie folderu
Odczyt atrybutów
Odczyt atrybutów rozszerzonych
Tworzenie plików
Tworzenie folderów
Zapis atrybutów
Zapis atrybutów rozszerzonych
Odczyt uprawnień

Dodatkowa pomoc

Użytkownicy przebywający w Stanach Zjednoczonych, którzy potrzebują dodatkowej pomocy dotyczącej tego problemu, mogą rozpocząć rozmowę z przedstawicielem w witrynie Answer Desk:
Answer Desk
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.

Właściwości

Numer ID artykułu: 962007 - Ostatnia weryfikacja: 15 stycznia 2013 - Weryfikacja: 1.0
Informacje zawarte w tym artykule dotyczą:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Dodatek Service Pack 1 do systemu Windows Vista na następujących platformach
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 na następujących platformach
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 na następujących platformach
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 na następujących platformach
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Słowa kluczowe: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com