關於 Win32/Conficker 蠕蟲的病毒警訊

文章翻譯 文章翻譯
文章編號: 962007 - 檢視此文章適用的產品。
對於 Windows Vista Service Pack 1 (SP1) 的支援已於 2011 年 7 月 12 日停止。如果要繼續收到 Windows 的安全性更新,請確定您執行的是 Windows Vista (含 Service Pack 2 (SP2))。如需詳細資訊,請參閱此 Microsoft 網頁:已結束針對部分 Windows 版本的支援 (英文)
全部展開 | 全部摺疊

在此頁中

摘要

此「知識庫」文件中的資訊主要是提供給擁有能夠執行本文中詳細資料之系統管理員的企業環境。如果防毒程式能夠正確清除病毒,而且您的系統可完全更新,則無須使用本文。若要確認系統是否已清除 Conficker 病毒,請從下列網頁執行快速掃描: http://www.microsoft.com/security/scanner/zh-tw/default.aspx 如需有關 Conficker 病毒的詳細資訊,請造訪下列 Microsoft 網頁 (英文):
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

感染徵狀

如果電腦受到此蠕蟲感染,您可能不會遇到任何徵狀,或者可能會遇到下列其中一種徵狀:
  • 已達到帳戶鎖定原則。
  • 自動更新、背景智慧型傳送服務 (BITS)、Windows Defender 及錯誤報告服務均已停用。
  • 網域控制站回應用戶端要求的速度變慢。
  • 網路擁塞。
  • 無法存取各種與安全性相關的網站。
  • 各種與安全性相關的工具將不會執行。如需已知工具的清單,請造訪下列 Microsoft 網頁,然後按一下 [分析] 索引標籤,取得有關 Win32/Conficker.D 的資訊。如需詳細資訊,請造訪下列 Microsoft 網頁:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D (英文)
如需有關 Win32/Conficker 的詳細資訊,請造訪下列 Microsoft 惡意軟體防護中心網頁 (英文):
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

傳播方法

Win32/Conficker 具有多種傳播方法。這些方法包括:
  • 入侵透過安全性更新 958644 (MS08-067) 進行修補的弱點
  • 使用網路共用
  • 使用自動播放功能
因此,當您清除網路時必須非常小心,以免將威脅重新引入先前已經清除過的系統。

注意 Win32/Conficker.D 變種不會透過網路傳播至卸除式磁碟機或共用資料夾。Win32/Conficker.D 是由 Win32/Conficker 的先前變種所安裝。

預防措施

  • 請針對所有電腦使用唯一的強式系統管理員密碼。
  • 請勿使用網域管理員認證或可存取所有電腦的認證來登入電腦。
  • 請確定所有系統皆已套用最新的安全性更新。
  • 停用自動播放功能。如需詳細資訊,請參閱<建立群組原則物件>一節中的步驟 3。
  • 移除共用的過多權限,其中包括移除任何共用之根目錄的寫入權限。

防護步驟

藉由使用群組原則設定防止 Win32/Conficker 散佈

注意事項
  • 重要 在執行本文所建議之變更之前,請務必先記錄所有目前的設定。
  • 此程序無法將 Conficker 惡意軟體從系統移除,只能防止惡意軟體的散佈。您應該使用防毒產品將 Conficker 惡意軟體從系統移除。或者,依照此知識庫文件中<移除 Win32/Conficker 病毒的手動步驟>一節的步驟執行,以手動將惡意軟體從系統移除。
  • 當您已執行下列步驟中所建議的權限變更時,可能無法正確安裝應用程式、Service Pack 或其他更新。這包括但不限於使用 Windows Update、Microsoft Windows Server Update Services (WSUS) 伺服器及 System Center Configuration Manager (SCCM) 來套用更新,因為這些產品依賴自動更新的元件。請務必在清除系統後將權限變更回預設設定。
  • 如需有關 SVCHOST 登錄機碼及<建立群組原則物件>一節中所述工作資料夾之預設權限的詳細資訊,請參閱本文結尾的預設權限表

建立群組原則物件

依您環境所需,建立一個適用於特定組織單位 (OU)、網站或網域之所有電腦的新群組原則物件 (GPO)。

如果要執行這項操作,請依照下列步驟執行:
  1. 將原則設定為下列登錄子機碼,以移除寫入權限:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    這可防止隨機命名的惡意軟體服務從 netsvcs 登錄值中建立。

    如果要執行這項操作,請依照下列步驟執行:
    1. 開啟「群組原則管理主控台」(GPMC)。
    2. 建立一個新的 GPO,將其命名為您想要的任何名稱。
    3. 開啟這個新的 GPO,然後將它移至下列資料夾:
      [電腦組態\Windows 設定\安全性設定\登錄]
    4. 用滑鼠右鍵按一下 [登錄],然後按一下 [新增機碼]
    5. [選取登錄機碼] 對話方塊中,展開 [本機],然後將它移至下列資料夾:
      [軟體\Microsoft\Windows NT\CurrentVersion\Svchost]
    6. 按一下 [確定]
    7. 在開啟的對話方塊中,按一下 [系統管理員][系統][完全控制],以取消選取其核取方塊。
    8. 按一下 [確定]
    9. [新增物件] 對話方塊中,按一下 [用可繼承權限取代所有子機碼的既有使用權限]
    10. 按一下 [確定]
  2. 將原則設定至 %windir%\Tasks 資料夾以移除寫入權限。這可防止 Conficker 惡意軟體建立會重新感染系統的排定工作。

    如果要執行這項操作,請依照下列步驟執行:
    1. 將您先前建立的 GPO 移至下列資料夾:
      [電腦組態\Windows 設定\安全性設定\檔案系統]
    2. 用滑鼠右鍵按一下 [檔案系統],然後按一下 [新增檔案]
    3. [新增檔案或資料夾] 對話方塊中,瀏覽至 %windir%\Tasks 資料夾。請確定 [工作] 是以反白顯示,並列在 [資料夾] 對話方塊中。
    4. 按一下 [確定]
    5. 在開啟的對話方塊中,按一下 [系統管理員][系統][完全控制][修改][寫入],以取消選取這些核取方塊。
    6. 按一下 [確定]
    7. [新增物件] 對話方塊中,按一下 [用可繼承權限取代所有子機碼的既有使用權限]
    8. 按一下 [確定]
  3. 將自動播放 (自動執行) 功能設定為停用。藉由使用內建於 Windows 的自動播放功能來防止 Conficker 惡意軟體的散佈。

    注意 不同的 Windows 版本必須安裝不同的更新,才能正確停用自動執行功能:
    • 如果要停用 Windows Vista 或 Windows Server 2008 中的自動執行功能,您必須安裝安全性更新 950582 (如資訊安全佈告欄 MS08-038 所述)。
    • 如果要停用 Windows XP、Windows Server 2003 或 Windows 2000 中的自動執行功能,您必須安裝安全性更新 950582、更新 967715 或更新 953252
    若要將自動播放 (自動執行) 功能設定為停用,請依照下列步驟執行:
    1. 將您先前建立的 GPO,移至下列其中一個資料夾:
      • 若為 Windows Server 2003 網域,請移至下列資料夾:
        [電腦組態\系統管理範本\系統]
      • 若為 Windows 2008 網域,請移至下列資料夾:
        [電腦組態\系統管理範本\Windows 元件\自動播放原則]
    2. 開啟 [關閉自動播放] 原則。
    3. [關閉自動播放] 對話方塊中,按一下 [啟用]
    4. 在下拉式功能表中,按一下 [所有磁碟機]
    5. 按一下 [確定]
  4. 關閉「群組原則管理主控台」。
  5. 將新建立的 GPO 連結至您要將其套用的位置。
  6. 調配足夠的時間供群組原則設定更新所有的電腦。一般來說,群組原則的複寫需要 5 分鐘的時間才能複寫到每一個網域控制站;需要 90 分鐘的時間才能複寫到系統中其餘部分的網域控制站。幾個小時應該足夠。但是,視您的環境而定,有可能需要更多時間。
  7. 群組原則設定傳播完之後,請清除惡意軟體的系統。

    如果要執行這項操作,請依照下列步驟執行:
    1. 在所有電腦上執行完整的防毒掃描。
    2. 若您的防毒軟體無法偵測到 Conficker,您可以利用 Microsoft 安全掃描來清理惡意程式碼。如需詳細資訊,請造訪下列 Microsoft 網站:http://www.microsoft.com/security/scanner/zh-tw/default.aspx注意 您必須依照部分手動步驟執行以完全清理惡意程式碼所造成的影響。我們建議您檢閱本文中列於<移除 Win32/Conficker 病毒的手動步驟>一節中的步驟,以完全清理惡意程式碼所造成的影響。

修復

執行 Microsoft 安全掃描。

Microsoft 惡意程式碼防護中心已經更新 Microsoft 安全掃描。這是一個獨立的二進位檔案,在移除常見的惡意軟體時非常有用,且可協助移除 Win32/Conficker 惡意軟體系列。

注意 由於 Microsoft 安全掃描不是即時防毒程式,因此它無法避免重新感染。

您可以從下列 Microsoft 網站下載 Microsoft 安全掃描:
http://www.microsoft.com/security/scanner/zh-tw/default.aspx

注意「獨立系統清理工具」也會移除此感染。此工具可以做為 Microsoft Desktop Optimization Pack 6.0 的元件使用,或者透過「客戶服務及支援」取得。若要取得 Microsoft Desktop Optimization Pack,請造訪下列 Microsoft 網站:
http://www.microsoft.com/zh-tw/windows/enterprise/products-and-technologies/mdop/default.aspx (英文)
如果系統上正在執行 Windows Live OneCare 或 Microsoft Forefront Client Securit,這些程式也會在安裝威脅之前將威脅封鎖。

移除 Win32/Conficker 病毒的手動步驟

注意事項
  • 不再需要這些手動步驟,只有在您沒有可移除 Conficker 病毒的防毒軟體時,才需使用這些步驟。
  • 視電腦受感染的 Win32/Conficker 變種而定,本節所提及的一些值可能尚未遭到病毒的變更。
下列詳細步驟可以協助您從系統手動移除 Conficker:
  1. 使用本機帳戶登入系統。

    重要 如果可以的話,請勿使用「網域」帳戶登入系統。尤其是不要使用「網域管理員」帳戶進行登入。惡意軟體會模擬登入的使用者,並使用登入使用者的認證來存取網路資源。此行為會造成惡意軟體的散佈。
  2. 停止伺服器服務。這樣便可以從系統移除系統管理共用,讓惡意軟體無法使用此方法進行散佈。

    注意 只有當您在環境中清除惡意軟體時,才能暫時停用伺服器服務。這對實際執行伺服器來說更是如此,因為此步驟會影響網路資源的可用性。一旦清除環境之後,就可以重新啟用伺服器服務。

    若要停止伺服器服務,請使用服務 Microsoft Management Console (MMC)。如果要執行這項操作,請依照下列步驟執行:
    1. 根據您的系統,執行下列操作:
      • 在 Windows Vista 和 Windows Server 2008 中,按一下 [開始],在 [開始搜尋] 方塊中輸入 services.msc,然後按一下 [程式集] 清單中的 services.msc
      • 在 Windows 2000、Windows XP 及 Windows Server 2003 中,依序按一下 [開始][執行],輸入 services.msc,然後按一下 [確定]
    2. 按兩下 [伺服器]
    3. 按一下 [停止]
    4. [啟動類型] 方塊中,選取 [停用]
    5. 按一下 [套用]
  3. 移除所有 AT 建立的排定工作。如果要執行這項操作,請在命令提示字元中輸入 AT /Delete /Yes
  4. 停止工作排程器服務。
    • 若要在 Windows 2000、Windows XP 及 Windows Server 2003 中停止工作排程器服務,請使用服務 Microsoft Management Console (MMC) 或 SC.exe 公用程式。
    • 若要在 Windows Vista 或 Windows Server 2008 中停止工作排程器服務,請依照下列步驟執行。

      重要 這個章節、方法或工作包含修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      322756 如何在 Windows 中備份及還原登錄
      1. 按一下 [開始],在 [開始搜尋] 方塊中輸入 regedit,然後按一下 [程式集] 清單中的 regedit.exe
      2. 找出並按一下下列登錄子機碼:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. 在詳細資料窗格中,用滑鼠右鍵按一下 [開始] DWORD 項目,然後按一下 [修改]
      4. [數值資料] 方塊中,輸入 4,然後按一下 [確定]
      5. 結束「登錄編輯程式」,然後重新啟動電腦。

        注意 只有當您清除環境中的惡意軟體時,才應暫時停用工作排程器服務。這對於 Windows Vista 與 Windows Server 2008 來說更是如此,因為此步驟將會影響各種內建的排定工作。一旦清除環境之後,請立即重新啟用伺服器服務。
  5. 下載並手動安裝安全性更新 958644 (MS08-067)。如需詳細資訊,請造訪下列 Microsoft 網站:
    http://technet.microsoft.com/zh-tw/security/bulletin/ms08-067 (英文)
    注意 此網站可能會因為惡意軟體感染而遭到封鎖。在此情況下,您必須從未受感染的電腦下載更新,然後將更新的檔案傳送到受感染的系統。我們建議您將更新燒錄成 CD,因為燒錄的 CD 是不可寫入的。因此,它不會受到感染。如果沒有可燒錄的 CD 光碟機,則唯一可行的方法可能是使用卸除式 USB 記憶體磁碟機,將更新複製到受感染的系統。如果您使用卸除式磁碟機,請注意,惡意軟體會利用 Autorun.inf 檔案來感染該磁碟機。當您將更新複製到卸除式磁碟機之後,如果您的裝置提供唯讀模式選項,請務必將該磁碟機變更為唯讀模式。如有提供唯讀模式,通常是使用裝置上的實體開關來啟用。然後,當您將更新的檔案複製到受感染的電腦之後,請檢查卸除式磁碟機,查看該磁碟機中是否已寫入 Autorun.inf 檔案。如果已寫入,請將 Autorun.inf 檔案重新命名為像 Autorun.bad 這樣的檔案名稱,如此一來,該檔案就不會在卸除式磁碟機連線至電腦時執行。
  6. 請重設所有的本機管理員和網域管理員密碼,才能使用新的強式密碼。如需詳細資訊,請造訪下列 Microsoft 網站 (英文):
    http://technet.microsoft.com/zh-tw/library/cc875814.aspx
  7. 在「登錄編輯程式」中,找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. 在詳細資料窗格中,用滑鼠右鍵按一下 netsvcs 項目,然後按一下 [修改]
  9. 如果電腦受到 Win32/Conficker 病毒感染,將會列出隨機的服務名稱。

    注意 若為 Win32/Conficker.B,服務名稱是隨機的字母並位於清單底部。若為 Win32/Conficker.B 之後的變體,服務名稱可能在清單的任何位置,而且可能看似更合法。如果隨機服務名稱不在底部,請將您的系統與此程序中的「服務表格」進行比較,以判斷哪個服務名稱已由 Win32/Conficker 新增。若要確認,請將「服務表格」中的清單與已知未受感染的類似系統進行比較。

    請記下此惡意軟體服務的名稱。您稍後將需要在此程序中用到此資訊。
  10. 請刪除含有惡意軟體服務參照的行。請確定您在列出的最後一個合法項目下方保留一個空白換行字元,然後按一下 [確定]

    有關服務表格的注意事項
    • 除了以粗體反白的項目以外,「服務表格」中的所有項目皆是有效項目。
    • 以粗體反白的項目是 Win32/Conficker 病毒可能新增至 SVCHOST 登錄機碼中 netsvcs 值的項目範例。
    • 視系統上安裝的項目而定,這可能不是完整的服務清單。
    • 「服務表格」來自 Windows 的預設安裝。
    • Win32/Conficker 病毒新增至清單的項目是一種迷惑技術。反白的惡意項目看起來像是第一個字母的小寫「L」,但是,它實際上是大寫「I」,這是因為作業系統使用的字型讓大寫「I」看起來像小寫「L」。

    服務表格

    摺疊此表格展開此表格
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. 在上一個程序中,您已記下惡意軟體服務的名稱。在我們的範例中,惡意軟體項目的名稱為「Iaslogon」。若要使用這項資訊,請依照下列步驟執行:
    1. 在「登錄編輯程式」中,找出並按一下下列登錄子機碼,BadServiceName 即為惡意軟體服務的名稱:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      例如,找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. 在惡意軟體服務名稱的瀏覽窗格中,用滑鼠右鍵按一下子機碼,然後按一下 [權限]
    3. [SvcHost 的權限項目] 對話方塊中,按一下 [進階]
    4. [進階安全性設定] 對話方塊中,按一下以同時選取下列核取方塊:
      [從父項繼承套用至子物件的權限項目]、[包括含有此處明確定義之項目的這些項目]、

      [以顯示於此套用到子物件的項目,取代所有子項物件上的權限項目]。
  12. 按下 F5 以更新「登錄編輯程式」。您現在可以在詳細資料窗格中,看見並編輯載入為「ServiceDll」的惡意軟體 DLL。如果要執行這項操作,請依照下列步驟執行:
    1. 按兩下 ServiceDll 項目。
    2. 記下參照的 DLL 路徑。您稍後將需要在此程序中用到此資訊。例如,參照的 DLL 路徑可能如下所示:
       %SystemRoot%\System32\doieuln.dll
      將參照重新命名為類似下列項目:
       %SystemRoot%\System32\doieuln.old
    3. 按一下 [確定]
  13. 從登錄中的 [執行] 子機碼移除惡意軟體服務項目。
    1. 在「登錄編輯程式」中,找出並按一下下列登錄子機碼:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. 在這兩個子機碼中,找出任何「rundll32.exe」開頭的項目,同時參照您在步驟 12b 中所指出載入為「ServiceDll」的惡意軟體 DLL。刪除項目。
    3. 結束「登錄編輯程式」,然後重新啟動電腦。
  14. 在系統的每一磁碟機上檢查是否有 Autorun.inf 檔案。使用「記事本」開啟每個檔案,然後確認該檔案為有效的 Autorun.inf 檔案。以下是有效的 Autorun.inf 檔案的典型範例。
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    有效的 Autorun.inf 通常為 1 至 2 KB。
  15. 刪除任何看似無效的 Autorun.inf 檔案。
  16. 重新啟動電腦。
  17. 顯示隱藏的檔案。如果要執行這項操作,請在命令提示字元中輸入下列命令:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. 設定 [顯示隱藏的檔案及資料夾],這樣您就可以看見檔案。如果要執行這項操作,請依照下列步驟執行:
    1. 在步驟 12b 中,您已記下惡意軟體的參照 .dll 檔案路徑。例如,您已記下類似下列的路徑:
      %systemroot%\System32\doieuln.dll
      在 Windows 檔案總管中,開啟 %systemroot%\System32 目錄,或含有惡意軟體的目錄。
    2. 按一下 [工具],然後按一下 [資料夾選項]
    3. 按一下 [檢視] 索引標籤。
    4. 選取 [顯示隱藏的檔案及資料夾] 核取方塊。
    5. 按一下 [確定]
  19. 選取 .dll 檔案。
  20. 編輯檔案上的權限,以新增 [所有人] 的 [完全控制]。如果要執行這項操作,請依照下列步驟執行:
    1. 用滑鼠右鍵按一下 .dll 檔案,然後按一下 [內容]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [所有人],然後按一下以選取 [允許] 欄中的 [完全控制] 核取方塊。
    4. 按一下 [確定]
  21. 刪除惡意軟體的參照 .dll 檔案。例如,刪除 %systemroot%\System32\doieuln.dll 檔案。
  22. 使用服務 Microsoft Management Console (MMC) 以啟用 BITS、自動更新、錯誤報告及 Windows Defender 服務。
  23. 關閉「自動執行」,協助將再次感染的影響降低。如果要執行這項操作,請依照下列步驟執行:
    1. 依據您的系統,安裝下列其中一個更新:
      • 如果您執行的是 Windows 2000、Windows XP 或 Windows Server 2003,請安裝更新 967715。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        967715 如何在 Windows 中更正「停用自動執行登錄機碼」增強功能
      • 如果您執行的是 Windows Vista 或 Windows Server 2008,請安裝安全性更新 950582。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        950582 MS08-038:Windows 檔案總管的弱點可能會允許遠端程式碼執行
      注意 更新 967715 和安全性更新 950582 與此惡意軟體問題無關。必須安裝這些更新,才能在步驟 23b 中啟用登錄功能。
    2. 在命令提示字元中輸入下列命令:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. 如果系統正在執行 Windows Defender,請重新啟用 Windows Defender 自動啟動位置。如果要執行這項操作,請在命令提示中輸入下列命令:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. 若為 Windows Vista 和較新版的作業系統,惡意軟體會將「TCP 接收視窗自動調整」的通用設定變更為停用。若要變更回此設定,請在命令提示字元中輸入下列命令:
    netsh interface tcp set global autotuning=normal
當您完成此程序之後,如果電腦似乎再次受到感染,可能會出現下列任一種情況:
  • 有一個自動啟動位置並未移除。例如,未移除 AT 工作,或者未移除 Autorun.inf 檔案。
  • MS08-067 的安全性更新並未正確安裝。
此惡意軟體可能會變更本文未解決的其他設定。請造訪下列 Microsoft 惡意軟體防護中心網頁,以取得有關 Win32/Conficker 的最新詳細資訊:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (英文)

請確認系統是乾淨的

請確認已啟動下列服務:
  • 自動更新 (wuauserv)
  • 背景智慧型傳送服務 (BITS)
  • Windows Defender (windefend) (如果有)
  • Windows 錯誤報告服務
如果要執行這項操作,請在命令提示中輸入下列命令。輸入每個命令之後,請按下 ENTER:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

在執行每個命令之後,您會收到類似下列的訊息:
SERVICE_NAME:wuauserv
TYPE :20 WIN32_SHARE_PROCESS
STATE :4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE :0 (0x0)
SERVICE_EXIT_CODE :0 (0x0)
CHECKPOINT :0x0
WAIT_HINT :0x0
在此範例中,「STATE :4 RUNNING」表示服務正在執行。

若要確認 SvcHost 登錄子機碼的狀態,請依照下列步驟執行:
  1. 在「登錄編輯程式」中,找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. 在詳細資料窗格中,按兩下 netsvcs,然後檢閱列出的服務名稱。向下捲動至清單的底部。如果電腦再次受到 Conficker 感染,將會列出隨機的服務名稱。例如,在此程序中,惡意軟體服務的名稱為「Iaslogon」。
如果這些步驟無法解決問題,請連絡您的防毒軟體廠商。 如需有關這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
49500 防毒軟體廠商的清單
如果您沒有防毒軟體廠商,或者您的防毒軟體廠商無法提供協助,請連絡 Microsoft 客戶支援服務部門,以取得更多協助。

完全清除環境之後

完全清除環境之後,請依照下列步驟執行:
  1. 重新啟用伺服器服務與工作排程器服務。
  2. 還原 SVCHOST 登錄機碼與 [工作] 資料夾上的預設權限。使用「群組原則」設定應可將此內容還原成預設設定。只移除原則不會變更回預設權限。請參閱<防護步驟>一節以取得詳細資訊。
  3. 安裝任何遺失的安全性更新來更新電腦。如果要執行這項操作,請使用 Windows Update、Microsoft Windows Server Update Services (WSUS) 伺服器、Systems Management Server (SMS)、System Center Configuration Manager (SCCM) 或協力廠商的更新管理產品。如果您使用的是 SMS 或 SCCM,則必須先重新啟用伺服器服務。否則,SMS 或 SCCM 可能無法更新系統。

識別受感染的系統

如果您有識別受 Conficker 感染之系統方面的問題,下列 TechNet 部落格 (英文) 提供的詳細資訊可能會有幫助:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

預設權限表

下表顯示每個作業系統的預設權限,這些權限在您套用我們在本文中建議的變更之前就已存在,且可能與在您環境中設定的權限不同。因此,您必須在進行任何變更之前,先記下設定,這樣才可以在清除系統之後還原設定。
摺疊此表格展開此表格
作業系統Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
設定Svchost 登錄工作資料夾Svchost 登錄工作資料夾Svchost 登錄工作資料夾Svchost 登錄工作資料夾Svchost 登錄工作資料夾
帳戶
系統管理員 (本機群組)完全控制完全控制完全控制完全控制完全控制完全控制完全控制完全控制完全控制完全控制
系統完全控制完全控制完全控制完全控制完全控制完全控制完全控制完全控制完全控制完全控制
Power Users (本機群組)不適用不適用不適用不適用讀取不適用讀取不適用讀取不適用
使用者 (本機群組)特殊不適用特殊不適用讀取不適用讀取不適用讀取不適用
適用於:此機碼及子機碼適用於:此機碼及子機碼
查詢數值查詢數值
列舉子機碼列舉子機碼
通知通知
讀取控制讀取控制
已驗證的使用者不適用特殊不適用特殊不適用不適用不適用不適用不適用不適用
適用於:僅限此資料夾適用於:僅限此資料夾
周遊資料夾周遊資料夾
清單資料夾清單資料夾
讀取屬性讀取屬性
讀取擴充屬性讀取擴充屬性
建立檔案建立檔案
讀取權限讀取權限
備份操作員 (本機群組)不適用不適用不適用不適用不適用特殊不適用特殊
適用於:僅限此資料夾適用於:僅限此資料夾
周遊資料夾周遊資料夾
清單資料夾清單資料夾
讀取屬性讀取屬性
讀取擴充屬性讀取擴充屬性
建立檔案建立檔案
讀取權限讀取權限
所有人不適用不適用不適用不適用不適用不適用不適用不適用不適用特殊
適用於:此資料夾、子資料夾與檔案
周遊資料夾
清單資料夾
讀取屬性
讀取擴充屬性
建立檔案
建立資料夾
寫入屬性
寫入擴充屬性
讀取權限

其他說明

如需關於此問題的其他協助,位於美國的使用者,可與應答服務平台的真人技術人員交談:
應答服務平台 (英文)
注意 :本文屬於「快速發佈」文章,係由 Microsoft 技術支援或組織內部直接建立。 本文所包含的資訊是為了回應新問題而依現況提供。 因此為了迅速對外發佈,文章內容可能含有印刷錯誤,而且可能會在不另行通知的情況下進行修改。 如需其他考量事項,請參閱使用規定

屬性

文章編號: 962007 - 上次校閱: 2013年1月15日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1?應用於:
    • Windows Vista 商用入門版
    • Windows Vista 商用進階版
    • Windows Vista 家用入門版
    • Windows Vista 家用進階版
    • Windows Vista Starter
    • Windows Vista 旗艦版
    • Windows Vista 商用進階 64 位元版
    • Windows Vista 家用入門 64 位元版
    • Windows Vista 家用進階 64 位元版
    • Windows Vista 旗艦 64 位元版
    • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista Starter
  • Windows Vista 旗艦版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦 64 位元版
  • Windows Vista 商用入門 64 位元版
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2?應用於:
    • Microsoft Windows XP Home Edition (家用版)
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3?應用於:
    • Microsoft Windows XP Home Edition (家用版)
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4?應用於:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
關鍵字:?
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com