Virusvarning för masken Win32/Conficker

Artikelöversättning Artikelöversättning
Artikel-id: 962007 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Informationen i den här Knowledge Base-artikeln riktar sig till affärsmiljöer där det finns systemadministratörer som kan implementera informationen i artikeln. Om du har ett virusskyddsprogram som tar bort virus korrekt och dina datorer är uppdaterade behöver du inte använda den här artikeln. Ta reda på om din dator är fri från Conficker-viruset genom att göra en snabbgenomsökning på följande webbsida:
http://safety.live.com/site/sv-se/default.htm
Mer detaljerad information om Conficker-viruset finns på följande Microsoft-webbsida:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptom på angrepp

Om datorn har angripits av denna mask märker du kanske ingenting alls, eller så kan något av följande inträffa:
  • Utelåsningsprinciper för kontot utlöses.
  • Automatic Updates, BITS (Background Intelligent Transfer Service), Windows Defender och Error Reporting Services inaktiveras.
  • Domänkontrollanter svarar långsamt på klientbegäranden.
  • Nätverket överbelastas.
  • Det går inte att besöka olika säkerhetsrelaterade webbplatser.
  • Olika säkerhetsrelaterade verktyg körs inte. En lista över kända verktyg hittar du på följande Microsoft-webbsida om du klickar på fliken Analys som innehåller information om Win32/Conficker.D. Mer information finns på följande Microsoft-webbsida:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Mer information om Win32/Conficker finns på följande Microsoft Malware Protection Center-webbsida:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Spridningsmetoder

Spridningen av Win32/Conficker sker bland annat med hjälp av följande:
  • Det säkerhetsproblem som åtgärdas genom säkerhetsuppdatering 958644 (MS08-067)
  • Nätverksresurser
  • Funktionen Spela upp automatiskt
Därför måste du vara försiktig när du rensar ett nätverk, så att det skadliga programmet inte kommer tillbaka till datorer som redan har rensats.

Obs! Varianten Win32/Conficker.D sprids inte till flyttbara enheter eller delade mappar i ett nätverk. Win32/Conficker.D installeras av tidigare varianter av Win32/Conficker.

Förebyggande åtgärder

  • Använd starka administratörslösenord som är unika för alla datorer.
  • Logga inte in på datorer med autentiseringsuppgifter som domänadministratör eller autentiseringsuppgifter som har åtkomst till alla datorer.
  • Se till att de senaste säkerhetsuppdateringarna är installerade på alla datorer.
  • Inaktivera funktionerna för automatisk uppspelning. Mer information finns i steg 3 i avsnittet " Skapa ett grupprincipobjekt".
  • Ta bort omfattande rättigheter för resurser. Detta omfattar borttagning av skrivbehörigheter för roten i en resurs.

Säkerhetsåtgärder

Stoppa spridningen av Win32/Conficker med hjälp av grupprincipinställningar

Obs!
  • Viktigt Se till att dokumentera alla aktuella inställningar innan du gör någon av ändringarna som föreslås i den här artikeln.
  • Med den här proceduren tas Conficker inte bort från datorn, utan hindras endast från att spridas. För att ta bort Conficker från systemet måste du använda en antivirusprodukt. Du kan också följa anvisningarna i avsnittet Manuella åtgärder för borttagning av viruset Win32/Conficker i den här Knowledge Base-artikeln och manuellt ta bort det skadliga programmet från datorn.
  • Du kanske inte kan installera program, Service Packs eller andra uppdateringar korrekt medan de rekommenderade behörighetsändringarna i följande steg har införts. Detta omfattar bland annat installation av uppdateringar med hjälp av Windows Update, WSUS-server (Microsoft Windows Server Update Services) och SCCM (System Center Configuration Manager), eftersom dessa produkter är beroende av komponenter i Automatiska uppdateringar. Se till att du ändrar tillbaka behörigheterna till standardinställningarna när du har rensat datorn.
  • Information om standardbehörigheter för registernyckeln VCHOST och mappen Tasks som nämns i avsnittet "Skapa ett grupprincipobjekt" hittar du i tabellen Standardbehörigheter i slutet av artikeln.

Skapa ett grupprincipobjekt

Skapa ett nytt grupprincipobjekt som gäller alla datorer i en specifik organisationsenhet, webbplats eller domän, beroende på kraven i din miljö.

Gör så här:
  1. Ange att principen ska ta bort skrivbehörigheter för följande registerundernycklar:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Detta förhindrar att den slumpmässigt namngivna skadliga programvarans tjänst skapas i registervärdet netsvcs.

    Gör så här:
    1. Öppna konsolen Grupprinciphantering (GPMC).
    2. Skapa ett nytt grupprincipobjekt. Ge det vilket namn som helst.
    3. Öppna det nya grupprincipobjektet och flytta sedan till följande mapp:
      Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Register
    4. Högerklicka på Register och klicka sedan på Lägg till nyckel.
    5. I dialogrutan Välj registernyckel expanderar du Dator och flyttar sedan till följande mapp:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Klicka på OK.
    7. I dialogrutan som öppnas avmarkerar du kryssrutan Fullständig behörighet för både Administratörer och System.
    8. Klicka på OK.
    9. I dialogrutan Lägg till objekt klickar du på Ersätt befintliga behörigheter för alla undernycklar med ärftliga behörigheter.
    10. Klicka på OK.
  2. Ange att principen ska ta bort skrivbehörighet för mappen %windir%\Tasks. På så vis hindras Conficker från att skapa schemalagda aktiviteter som kan angripa systemet igen.

    Gör så här:
    1. I samma grupprincipobjekt som du skapade tidigare flyttar du till följande mapp:
      Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Filsystem
    2. Högerklicka på Filsystem och klicka sedan på Lägg till fil.
    3. I dialogrutan Lägg till en fil eller mapp går du till mappen %windir%\Tasks. Se till att Tasks och står i listan i dialogrutan Mapp.
    4. Klicka på OK.
    5. I dialogrutan som öppnas avmarkerar du kryssrutorna för Fullständig behörighet, Ändra och Skriva för både Administratörer och System.
    6. Klicka på OK.
    7. I dialogrutan Lägg till objekt klickar du på Ersätt befintliga behörigheter för alla undernycklar med ärftliga behörigheter.
    8. Klicka på OK.
  3. Inaktivera funktionerna för automatisk uppspelning (autorun). På så vis förhindrar du att Conficker sprids genom de inbyggda funktionerna för automatisk uppspelning i Windows.

    Obs! Beroende på vilken Windows-version du använder måste du ha installerat olika uppdateringar för att kunna inaktivera autorun-funktionen:
    • För att inaktivera autorun-funktionen i Windows Vista eller Windows Server 2008 måste du ha installerat säkerhetsuppdatering 950582 (beskrivs i säkerhetsbulletin MS08-038).
    • För att inaktivera autorun-funktionen i Windows XP, Windows Server 2003 eller Windows 2000 måste du ha installerat säkerhetsuppdatering 950582, 967715 eller 953252.
    Så här inaktiverar du funktionerna för automatisk uppspelning (autorun):
    1. I samma grupprincipobjekt som du skapade tidigare flyttar du till någon av följande mappar:
      • Flytta till följande mapp i en Windows Server 2003-domän:
        Datorkonfiguration\Administrativa mallar\System
      • Flytta till följande mapp i en Windows 2008-domän:
        Datorkonfiguration\Administrativa mallar\Windows-komponenter\Principer för Spela upp automatiskt
    2. Öppna principen Inaktivera Spela upp automatiskt.
    3. I dialogrutan Inaktivera Spela upp automatiskt klickar du på Aktiverad.
    4. I den nedrullningsbara menyn klickar du på Alla enheter.
    5. Klicka på OK.
  4. Stäng konsolen Grupprinciphantering.
  5. Länka det nya grupprincipobjektet till den plats där du vill använda det.
  6. Ge grupprincipinställningarna tid att uppdateras på alla datorer. Det tar vanligtvis fem minuter för en grupprincip att replikeras till varje domänkontrollant och därefter 90 minuter att replikeras till resten av datorerna. Ett par timmar borde räcka. Mer tid kan dock behövas, beroende på miljön.
  7. När grupprincipinställningarna har spridits rensar du bort skadliga program från systemen.

    Gör så här:
    1. Kör en fullständig virusgenomsökning på alla datorer.
    2. Om virusskyddsprogrammet inte upptäcker Conficker kan du ta bort det skadliga programmet med verktyget Borttagning av skadlig programvara. Mer information finns på följande Microsoft-webbsida:
      http://www.microsoft.com/security/malwareremove/default.mspx
      Obs! Det kan hända att du även måste utföra manuella åtgärder för att rensa bort alla effekter av den skadliga programvaran. Vi rekommenderar att du går igenom stegen i listan Manuella åtgärder för borttagning av viruset Win32/Conficker i den här artikeln för att rensa bort alla effekter av den skadliga programvaran.

Återställning

Kör verktyget Borttagning av skadlig programvara

Microsoft Malware Protection Center har uppdaterat verktyget Borttagning av skadlig programvara. Detta är en fristående binärfil som är användbar för att ta bort vanliga skadliga program, och den kan hjälpa dig att ta bort skadliga program av Win32/Conficker-typen.

Obs! Verktyget Borttagning av skadlig programvara förhindrar inte nya angrepp eftersom det inte är ett realtidsprogram mot virus.

Du kan hämta Borttagning av skadlig programvara från följande Microsoft-webbplatser:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=sv-se
http://support.microsoft.com/kb/890830

Om du vill veta mer om distribution av Borttagning av skadlig programvara, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
891716 Distribution av Microsoft Windows-verktyget Borttagning av skadlig programvara i företagsmiljö
Obs! Det fristående verktyget System Sweeper tar även bort detta angrepp. Verktyget är tillgängligt som en del av Microsoft Desktop Optimization Pack 6.0 eller genom Microsoft Support. Du hämtar Microsoft Desktop Optimization Pack på följande Microsoft-webbplats:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Om Windows Live OneCare eller Microsoft Forefront Client Security körs på datorn, kan dessa program även blockera det skadliga programmet innan det installeras.

Manuella åtgärder för borttagning av viruset Win32/Conficker

Obs!
  • De här manuella åtgärderna behövs inte längre och bör bara användas om du inte har något virusskyddsprogram som kan ta bort Conficker-viruset.
  • Beroende på vilken variant av Win32/Conficker som finns på datorn kan det hända att några de värden som nämns i det här avsnittet inte har ändrats av viruset.
Du kan ta bort Conficker från systemet manuellt med hjälp av följande anvisningar:
  1. Logga in på datorn med ett lokalt konto.

    Viktigt! Logga om möjligt inte in på datorn med ett domänkonto. Logga i synnerhet inte in med ett domänadministratörskonto. Det skadliga programmet utger sig för att vara den inloggade användaren och får tillgång till nätverksresurser med hjälp av den inloggade användarens autentiseringsuppgifter. På så vis kan det skadliga programmet spridas.
  2. Stoppa Server-tjänsten. Detta tar bort Admin-resurserna från datorn så att det skadliga programmet inte kan spridas med denna metod.

    Obs! Server-tjänsten ska endast inaktiveras tillfälligt medan du rensar bort det skadliga programmet i din miljö. Detta gäller särskilt för produktionsservrar, eftersom denna åtgärd kommer att påverka tillgången till nätverksresurser. Så snart miljön har rensats kan Server-tjänsten aktiveras igen.

    Stoppa Server-tjänsten med hjälp av MMC (Microsoft Management Console)-snapin-modulen Tjänster. så här:
    1. Gör följande:
      • Windows Vista och Windows Server 2008: klicka på Start, skriv services.msc i rutan Påbörja sökning och klicka på services.msc i listan Program.
      • Windows 2000, Windows XP och Windows Server 2003: klicka på Start, Kör, skriv services.msc och klicka på OK.
    2. Dubbelklicka på Server.
    3. Klicka på Stoppa.
    4. Välj Inaktiverad i rutan Startmetod.
    5. Klicka på Verkställ.
  3. Ta bort alla AT-skapade schemalagda aktiviteter genom att skriva AT /Delete /Yes vid en kommandotolk.
  4. Stoppa tjänsten Task Scheduler.
    • För att stoppa tjänsten Task Scheduler i Windows 2000, Windows XP eller Windows Server 2003 använder du MMC (Microsoft Management Console)-snapin-modulen Tjänster eller verktyget SC.exe.
    • Om du vill stoppa tjänsten Task Scheduler i Windows Vista eller Windows Server 2008 följer du instruktionerna nedan.

      Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
      322756 Säkerhetskopiera, redigera och återställa registret i Windows XP och Windows Server 2003
      1. Klicka på Start, skriv regedit i rutan Påbörja sökning och klicka sedan på regedit.exe i listan Program.
      2. Leta upp och klicka på följande registerundernyckel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Högerklicka på DWORD-posten Start i informationsfönstret, och klicka sedan på Ändra.
      4. Skriv 4 i rutan Data, och klicka sedan på OK.
      5. Avsluta Registereditorn och starta om datorn.

        Obs! Tjänsten Schemaläggaren ska endast inaktiveras tillfälligt medan du rensar bort det skadliga programmet i din miljö. Detta gäller särskilt i Windows Vista och Windows Server 2008 eftersom steget påverkar olika fördefinierade schemalagda aktiviteter. Återaktivera tjänsten Server så fort miljön har rensats.
  5. Hämta och installera manuellt säkerhetsuppdatering 958644 (MS08-067). Mer information finns på följande Microsoft-webbplats:
    http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
    Obs! Denna webbplats kan vara blockerad av den skadliga programvaran. I så fall måste du hämta uppdateringen från en dator som inte är angripen och sedan överföra uppdateringsfilen till den angripna datorn. Vi rekommenderar att du bränner uppdateringen på en CD-skiva, eftersom en bränd CD-skiva inte är skrivbar och därför inte kan angripas. Om du inte har tillgång till en enhet för skrivbara CD-skivor, kan ett USB-minne vara enda sättet att kopiera uppdateringen till den angripna datorn. I så fall måste du emellertid vara medveten om att det skadliga programmet kan smitta USB-minnet med en Autorun.inf-fil. När du har kopierat uppdateringen till USB-minnet måste du se till att ställa om det till skrivskyddat läge, om detta är möjligt. Skrivskyddat läge aktiveras normalt med en fysisk omkopplare på USB-minnet. När du har kopierat uppdateringsfilen till den angripna datorn, kontrollerar du sedan om en Autorun.inf-fil har skrivits till USB-minnet. Om så är fallet byter du namn på Autorun.inf till exempelvis Autorun.bad, så att filen inte kan köras när USB-minnet ansluts till en dator.
  6. Återställ alla lösenord för lokala administratörer och domänadministratörer till användning av ett nytt starkt lösenord. Mer information finns på följande Microsoft-webbplats:
    http://technet.microsoft.com/sv-se/library/cc875814.aspx
  7. Leta upp och klicka på följande registerundernyckel i Registereditorn:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Högerklicka på posten netsvcs i informationsfönstret, och klicka sedan på Ändra.
  9. Om datorn har angripits av viruset Win32/Conficker visas ett slumpmässigt tjänstnamn.

    Obs! Med Win32/Conficker.B bestod tjänstnamnet av slumpmässiga bokstäver och stod längst ned i listan. Med senare varianter kan tjänstnamnet stå var som helst i listan och kan se mer riktigt ut. Om det slumpmässiga tjänstnamnet inte står längst ned kan du jämföra din dator med tabellen Tjänster i den här proceduren för att ta reda på vilket tjänstnamn som kan ha lagts till av Win32/Conficker. Jämför listan i tabellen Tjänster med ett liknande system som du vet inte är angripet.

    Anteckna namnet på den skadliga programvarans tjänst. Du kommer att behöva denna information senare.
  10. Ta bort den rad som innehåller referensen till den skadliga programvarans tjänst. Se till att lämna en tom radmatning under den sista giltiga post som anges, och klicka sedan på OK.

    Information om tabellen Tjänster
    • Alla poster i tabellen Tjänster är giltiga poster förutom de objekt som är markerade med fetstil.
    • Objekt som är markerade med fetstil är exempel på vad viruset Win32/Conficker kan lägga till i värdet netsvcs i registernyckeln SVCHOST.
    • Det här är kanske ingen fullständig lista över tjänster beroende på vad som är installerat på systemet.
    • Tabellen Tjänster kommer från en standardinstallation av Windows.
    • Posten som läggs till av viruset Win32/Conficker har ett förvillande syfte. Den markerade skadliga posten som ska likna den första bokstaven är ett gement "L". Men det är i själva verket en versal. På grund av teckensnittet som används i operativsystemet verkar den versala bokstaven vara gemen.

    Tabellen Tjänster

    Dölj tabellenVisa tabellen
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Ovan antecknade du namnet på den skadliga programvarans tjänst. I vårt exempel var namnet på den skadliga programvarans post "laslogon". Gör nu följande med hjälp av denna information:
    1. Leta i Registereditorn upp och klicka på följande registerundernyckel, där BadServiceName är namnet på den skadliga programvarans tjänst:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Leta exempelvis upp och klicka på följande registerundernyckel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Högerklicka på undernyckeln i navigeringsfönstret för namnet på den skadliga programvarans tjänst, och klicka sedan på Behörigheter.
    3. Klicka på Avancerat i dialogrutan Behörigheter för SvcHost.
    4. I dialogrutan Avancerade säkerhetsinställningar markerar du följande två kryssrutor:
      Ärv behörighetsposter som är tillämpliga för underordnade objekt från det överordnade objektet. Inkludera de behörighetsposter som är uttryckligen definierade här.

      Ersätt behörighetsposter för alla underordnade objekt med de poster som visas här och som är tillämpliga för underordnade objekt.
  12. Uppdatera Registereditorn genom att trycka på F5. I informationsfönstret kan du nu se och redigera det skadliga programmets DLL-fil som läses in som "ServiceDll". Gör så här:
    1. Dubbelklicka på posten ServiceDll.
    2. Anteckna sökvägen till den refererade DLL-filen. Du kommer att behöva denna information senare. Sökvägen kan till exempel se ut så här:
       %SystemRoot%\System32\doieuln.dll
      Byt namn på referensen så att den liknar följande:
       %SystemRoot%\System32\doieuln.old
    3. Klicka på OK.
  13. Ta bort posten för det skadliga programmets tjänst från undernyckeln Run i registret.
    1. Leta upp och klicka på följande registerundernycklar i Registereditorn:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. I båda undernycklarna letar du upp poster som börjar med "rundll32.exe" och även refererar till det skadliga programmets DLL-fil. Det är denna som läses in som "ServiceDll" och som du identifierade i steg 12b. Ta bort posten.
    3. Avsluta Registereditorn och starta om datorn.
  14. Kontrollera om det finns några Autorun.inf-filer på några enheter på datorn. Öppna varje fil med Anteckningar och kontrollera att det är en giltig Autorun.inf-fil. Följande är ett exempel på en typisk giltig Autorun.inf-fil:
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    En giltig Autorun.inf-fil är normalt 1 till 2 kilobyte (kB) stor.
  15. Ta bort alla Autorun.inf-filer som inte verkar giltiga.
  16. Starta om datorn.
  17. Gör dolda filer synliga Skriv i så fall följande kommando vid en kommandotolk:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Välj Visa dolda filer och mappar så att du kan se filen. Gör så här:
    1. I steg 12b antecknade du sökvägen till den refererade DLL-filen för det skadliga programmet. Du antecknade exempelvis en sådan här typ av sökväg:
      %systemroot%\System32\doieuln.dll
      I Utforskaren i Windows öppnar du katalogen %systemroot%\System32 eller katalogen där det skadliga programmet finns.
    2. Klicka på Verktyg och sedan på Mappalternativ.
    3. Klicka på fliken Visning.
    4. Markera kryssrutan Visa dolda filer och mappar.
    5. Klicka på OK.
  19. Markera DLL-filen.
  20. Redigera behörigheterna för filen genom att lägga till Fullständig behörighet för Alla så här:
    1. Högerklicka på DLL-filen, och klicka sedan på Egenskaper.
    2. Klicka på fliken Säkerhet.
    3. Klicka på Alla, och markera sedan kryssrutan Fullständig behörighet i kolumnen Tillåt.
    4. Klicka på OK.
  21. Ta bort den refererade DLL-filen för det skadliga programmet, till exempel %systemroot%\System32\doieuln.dll.
  22. Aktivera tjänsterna BITS, Automatic Updates, Error Reporting och Windows Defender med hjälp av MMC (Microsoft Management Console)-snapin-modulen Tjänster.
  23. Stäng av Spela upp automatiskt för att minska effekten av ett nytt angrepp. Gör så här:
    1. Installera någon av följande uppdateringar:
      • Om du använder Windows 2000, Windows XP eller Windows Server 2003 installerar du uppdatering 967715. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
        967715 Korrigera användning av "inaktivera Autorun-registernyckeln" i Windows
      • Om du använder Windows Vista eller Windows Server 2008 installerar du uppdatering 950582. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
        950582 MS08-038: Säkerhetsproblem i Utforskaren möjliggör fjärrkörning av kod
      Obs! Uppdatering 967715 och säkerhetsuppdatering 950582 har inget att göra med detta problem. Dessa uppdateringar måste installeras för att aktivera registerfunktionen i steg 23b.
    2. Skriv in följande kommando vid en kommandotolk:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Om Windows Defender körs på datorn aktiverar du autostartplatsen för Windows Defender igen genom att skriva följande kommando vid kommandotolken:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. För Windows Vista och senare operativsystem ändrar det skadliga programmet den globala inställningen för den automatiska justeringen för TCP-mottagningsfönstret till inaktiverad. Ändra tillbaka inställningen genom att skriva följande kommando vid en kommandotolk:
    netsh interface tcp set global autotuning=normal
Om datorn verkar ha angripits igen när du har utförts ovanstående åtgärder, kan det bero på något av följande:
  • En av autostartplatserna har inte tagits bort. Det kan till exempel vara AT-jobbet eller en Autorun.inf-fil som inte har tagits bort.
  • Säkerhetsuppdateringen för MS08-067 har installerats felaktigt.
Detta skadliga program kan ändra andra inställningar som inte nämns i denna artikel. På följande Microsoft Malware Protection Center-webbsida hittar du den senaste informationen om Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Kontrollera att datorn är rensad

Kontrollera att följande tjänster har startats:
  • Automatic Updates (wuauserv)
  • Background Intelligent Transfer Service (BITS)
  • Windows Defender (windefend) (i tillämpliga fall)
  • Windows Error Reporting Service
Gör detta genom att skriva följande kommandon vid kommandotolken, och tryck på RETUR efter vart och ett:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Varje gång ett kommando har körts visas ett meddelande av följande slag:
TJÄNSTNAMN: wuauserv
TYP : 20 WIN32_SHARE_PROCESS
TILLSTÅND : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32-SLUTKOD : 0 (0x0)
TJÄNSTSLUTKOD : 0 (0x0)
KONTROLLPUNKT : 0x0
VÄNTETIPS : 0x0
I detta exempel anger "TILLSTÅND : 4 RUNNING" att tjänsten körs.

Så här kontrollerar du status för registerundernyckeln SvcHost:
  1. Leta upp och klicka på följande registerundernyckel i Registereditorn:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Dubbelklicka på netsvcs i informationsfönstret, och granska sedan tjänstnamnen i listan. Rulla längst ned i listan. Om datorn angrips av Conficker på nytt visas ett slumpmässigt namn i listan. I vårt fall heter det skadliga programmets tjänst till exempel "laslogon".
Om dessa åtgärder inte löser problemet kontaktar du leverantören av ditt antivirusprogram. Om du vill veta mer om det här problemet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
49500 Lista över leverantörer av antivirusprogram
Om du inte har någon leverantör av antivirusprogram att vända dig till, eller om leverantören inte kan hjälpa dig, kontaktar du Microsoft Support för ytterligare hjälp.

När miljön är fullständigt rensad

När miljön är fullständigt rensad gör du följande:
  1. Återaktivera tjänsten Server och tjänsten Schemaläggaren.
  2. Återställ standardbehörigheterna för registernyckeln SVCHOST och mappen Tasks. Standardinställningarna bör återställas med hjälp av grupprincipinställningar. Om en princip bara har tagits bort kan det hända att standardbehörigheterna inte återställs. Mer information finns i tabellen med standardbehörigheter i avsnittet Säkerhetsåtgärder.
  3. Uppdatera datorn genom att installera alla säkerhetsuppdateringar som saknas. Använd Windows Update, Microsoft WSUS (Windows Server Update Services), SMS (Systems Management Server), SCCM (System Center Configuration Manager) eller en produkt för uppdateringshantering från en annan tillverkare. Om du använder SMS eller SCCM måste du först aktivera Server-tjänsten igen, annars kan SMS eller SCCM kanske inte uppdatera datorn.

Identifiera angripna system

Om du har problem med att identifiera vilka system som angripits av Conficker kan du få hjälp av informationen i följande TechNet-blogg:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Standardbehörigheter

I följande tabell visas standardbehörigheterna för varje operativsystem. De här behörigheterna finns innan du inför de rekommenderade ändringarna i den här artikeln. Behörigheterna kan skilja sig från angivna behörigheter i din miljö. Därför måste du anteckna alla inställningar innan du gör några ändringar. På så vis kan du återställa inställningarna när du har rensat systemet.
Dölj tabellenVisa tabellen
Operativsystem Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
InställningSvchost-registerMappen TasksSvchost-registerMappen TasksSvchost-registerMappen TasksSvchost-registerMappen TasksSvchost-registerMappen Tasks
Konto
Administratörer (lokal grupp)Fullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighet
SystemFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighetFullständig behörighet
Privilegierade användares (lokal grupp)ej tillämpligtej tillämpligtej tillämpligtej tillämpligtLäsaej tillämpligtLäsaej tillämpligtLäsaej tillämpligt
Användare (lokal grupp)Special ej tillämpligtSpecialej tillämpligtLäsaej tillämpligtLäsaej tillämpligtLäsaej tillämpligt
Gäller: Den här nyckeln och undernycklarGäller: Den här nyckeln och undernycklar
Läsa värdeLäsa värde
Räkna upp undernycklarRäkna upp undernycklar
MeddelaMeddela
Läsa behörigheterLäsa behörigheter
Autentiserade användareej tillämpligtSpecialej tillämpligtSpecialej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligt
Gäller: Endast den här mappenGäller: Endast den här mappen
Bläddra mappBläddra mapp
Lista mappLista mapp
Läsa attributLäsa attribut
Läsa utökade attributLäsa utökade attribut
Skapa filerSkapa filer
Läsa behörigheterLäsa behörigheter
Ansvariga för säkerhetskopiering (lokal grupp)ej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtSpecialej tillämpligtSpecial
Gäller: Endast den här mappenGäller: Endast den här mappen
Bläddra mappBläddra mapp
Lista mappLista mapp
Läsa attributLäsa attribut
Läsa utökade attributLäsa utökade attribut
Skapa filerSkapa filer
Läsa behörigheterLäsa behörigheter
Allaej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtej tillämpligtSpecial
Gäller: Den här mappen, undermappar och filer
Bläddra mapp
Lista mapp
Läsa attribut
Läsa utökade attribut
Skapa filer
Skapa mappar
Skriva attribut
Skriva utökade attribut
Läsa behörigheter

Egenskaper

Artikel-id: 962007 - Senaste granskning: den 7 september 2009 - Revision: 7.1
Informationen i denna artikel gäller:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 på följande plattformar
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 på följande plattformar
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 på följande plattformar
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 på följande plattformar
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 3 på följande plattformar
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Service Pack 4 på följande plattformar
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Nyckelord: 
kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com