Výstraha týkající se červa Win32/Conficker

Podpory pro systém Windows Vista Service Pack 1 (SP1) končí ve 12. července 2011. Chcete-li pokračovat v přijímání aktualizací zabezpečení pro systém Windows, zkontrolujte, zda že používáte systém Windows Vista s aktualizací Service Pack 2 (SP2). Další informace naleznete na této webové stránce společnosti Microsoft: končí podpora některých verzí systému Windows.

Souhrn

Informace v tomto článku znalostní báze Knowledge Base je určena pro podniková prostředí, které mají správci systému, kteří mohou implementovat podrobnosti uvedené v tomto článku. Není důvod k použití tohoto článku, pokud antivirový program je správně čištění virů a systémy jsou plně aktualizovány. Chcete-li potvrdit, že systém čisté viru Conficker, proveďte rychlou kontrolu z následující webové stránky: http://www.microsoft.com/security/scanner/



Podrobné informace o viru Conficker naleznete na následující webové stránce společnosti Microsoft:

Příznaky infekce

Pokud je váš počítač napaden tímto virem, nemusíte zaznamenat žádné příznaky napadení nebo se může projevit některý z následujících příznaků:
  • Jsou vyřazeny zásady uzamčení účtu.
  • Automatické aktualizace služby inteligentního přenosu na pozadí (BITS), program Windows Defender a chyba Reporting Services jsou zakázány.
  • Řadiče domény se pomalu reagovat na požadavky klientů.
  • Přetížení sítě.
  • Různé webové stránky týkající se zabezpečení nelze získat přístup.
  • Nelze spustit různé nástroje související se zabezpečením. Seznam známých nástrojů naleznete na následujícím webu společnosti Microsoft a potom klepněte na kartu analýzy informace o Win32/Conficker.D. Další informace naleznete na následující webové stránce společnosti Microsoft:
Další informace o červu Win32/Conficker naleznete na následující stránce WWW společnosti Microsoft Malware Protection:

Způsoby šíření

Win32/Conficker se několika způsoby. Mezi ně patří následující:
  • Aktualizace zneužití chyby zabezpečení, která je nainstalována oprava zabezpečení 958644 (MS08-067)
  • Použití sdílené síťové položky
  • Použití funkce Přehrát automaticky.
Proto musíte být opatrní při čištění sítě tak, aby ohrožení není zařazena do systémů, které již byly vyčištěny.


Poznámka: Varianty Win32/Conficker.D nešíří vyměnitelné jednotky nebo sdílené složky v síti. Červ Win32/Conficker.D je instalován předchozími variantami červa Win32/Conficker.

Prevence

  • Používejte silná hesla správce, které jsou jedinečné pro všechny počítače.
  • Není přihlášení k počítači pomocí pověření správce domény nebo pověření, která mají přístup ke všem počítačům.
  • Ujistěte se, že všechny systémy jsou použity nejnovější aktualizace zabezpečení.
  • Zakážete funkce automatického přehrávání. Další informace naleznete v kroku 3 "vytvořit Zásady skupiny objekt" části.
  • Odeberte nadbytečná práva ke sdíleným složkám. Jedná se o odebrání oprávnění k zápisu do kořenového adresáře všech sdílených složek.

Postup pro snížení rizika

Win32/Conficker zabránit v šíření pomocí nastavení Zásady skupiny

Poznámky
  • Důležité: Přesvědčte se, zda dokument všechna aktuální nastavení, před provedením jakékoli změny, které jsou navržené v tomto článku.
  • Tento postup odebrání malwaru Conficker ze systému. Pouze zastaví šíření malwaru. K odebrání malwaru Conficker ze systému měli použít antivirový produkt. Nebo postupujte podle kroků v části "Postup ručního odebrání viru Win32/Conficker" tohoto článku znalostní báze Knowledge Base malware ze systému odebrat ručně.






  • Nebude pravděpodobně možné správně nainstalovat aplikací, aktualizací service Pack nebo jiné aktualizace v místě průběhu změny oprávnění, které se doporučuje v následujících krocích. To zahrnuje, ale není omezen pouze na, instalaci aktualizací pomocí služby Windows Update, Microsoft Windows Server Update Services (WSUS) serveru a System Center Správce konfigurace (Správce konfigurace 2007), protože tyto produkty využívají komponenty služby Automatické aktualizace. Ujistěte se, změnit oprávnění zpět na výchozí nastavení po vyčištění systému.
  • Informace o výchozí oprávnění pro klíč registru SVCHOST a složku úkoly, které jsou uvedeny v části "Zásady skupiny vytvořit objekt" viz Tabulka výchozích oprávnění na konci tohoto článku.

Vytvoření objektu Zásady skupiny

Vytvořte nový objekt Zásady skupiny (GPO) vztahující se na všechny počítače v organizační jednotce (OU), webu nebo domény, podle potřeby ve vašem prostředí.

Chcete-li to provést, postupujte takto:
  1. Nastavte zásady pro odebrání oprávnění k zápisu na následující podklíč registru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    To zabrání vytvoření v hodnotě registru netsvcs služba malwaru s náhodným názvem.

    Chcete-li to provést, postupujte takto:
    1. Otevřete konzolu pro správu Zásady skupiny (GPMC).
    2. Vytvořte nový objekt zásad skupiny. Mu přiřaďte libovolný název, který chcete.
    3. Otevřete nový objekt zásad skupiny a potom přesunout do následující složky:
      Počítač Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Registr
    4. Klepněte pravým tlačítkem myši registrua potom klepněte na příkaz Přidat klíč.
    5. V dialogovém okně Vybrat klíč registru rozbalte položku počítača potom přesunout do následující složky:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Klepněte na tlačítko OK
    7. V dialogovém okně, které se otevře klepnutím zrušte zaškrtnutí políčka Úplné řízení Administrators a System.
    8. Klepněte na tlačítko OK
    9. V dialogovém okně Přidat objekt klepněte na tlačítko Nahradit existující oprávnění ke všem podklíčům dědičnými oprávněními.
    10. Klepněte na tlačítko OK
  2. Nastavte zásady pro odebrání oprávnění k zápisu do složky %windir%\Tasks. To zabrání vytvoření naplánované úlohy, které lze reinfect systému malwaru Conficker.

    Chcete-li to provést, postupujte takto:
    1. V objektu zásad skupiny, který jste vytvořili dříve přesunete do následující složky:
      Počítač Konfigurace počítače\Nastavení systému Windows\Nastavení Zabezpečení\systém
    2. Klepněte pravým tlačítkem myši Systém souborůa potom klepněte na tlačítko Přidat soubor.
    3. V dialogovém okně Přidat soubor nebo složku, přejděte do složky %windir%\Tasks. Ujistěte se, že je zvýrazněna a uvedena v dialogovém okně složky úkoly .
    4. Klepněte na tlačítko OK
    5. V dialogovém okně, které se otevře klepnutím zrušte zaškrtnutí políček pro Úplné řízení, změnita Zapisovat pro Administrators a System.
    6. Klepněte na tlačítko OK
    7. V dialogovém okně Přidat objekt klepněte na tlačítko Nahradit existující oprávnění ke všem podklíčům dědičnými oprávněními.
    8. Klepněte na tlačítko OK
  3. Funkce automatického přehrávání (Autorun) nastaven na hodnotu zakázáno. To malwaru Conficker v šíření pomocí funkcí automatického přehrávání, které jsou součástí systému Windows.


    Poznámka: V závislosti na verzi systému Windows, kterou používáte jsou různé aktualizace, které je třeba nainstalovat, aby funkce automatického spuštění správně zakázána:

    • Chcete-li zakázat funkci automatického spuštění v systému Windows Vista nebo Windows Server 2008, musíte mít zabezpečení aktualizace 950582 nainstalován (popsaná v bulletinu zabezpečení MS08-038).
    • Chcete-li zakázat funkci automatického spuštění v systému Windows XP, Windows Server 2003 nebo Windows 2000, musíte mít aktualizace zabezpečení 950582, aktualizace 967715nebo aktualizace 953252 nainstalován.


    Nastavení funkce automatického přehrávání (Autorun) zakázáno, postupujte takto:
    1. V objektu zásad skupiny, který jste vytvořili dříve přesunete do jedné z následujících složek:
      • V doméně systému Windows Server 2003 se přesuňte do následující složky:
        Konfigurace počítače\Šablony pro správu\Systém
      • V doméně Windows 2008 se přesuňte do následující složky:
        Počítač Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\zásady
    2. Otevřete-li vypnout funkci automatického přehrávání zásady.
    3. V dialogovém okně vypnout funkci automatického přehrávání klepněte na přepínač povoleno.
    4. V rozevírací nabídce klepněte na všechny jednotky.
    5. Klepněte na tlačítko OK
  4. Zavřete konzolu pro správu Zásady skupiny.
  5. Odkaz na nově vytvořený objekt zásad skupiny do umístění, které chcete použít.
  6. Ponechte dostatek času pro nastavení Zásady skupiny k aktualizaci všech počítačů. Zásady skupiny replikace obvykle trvá pět minut replikovány na každý řadič domény a replikovány do ostatních systémů pak 90 minut. Několik hodin by mělo stačit. Více času však mohou být vyžadovány v závislosti na prostředí.
  7. Po rozšíření nastavení Zásady skupiny, vyčistěte systém od malwaru.

    Chcete-li to provést, postupujte takto:
    1. Spusťte plnou antivirovou kontrolu ve všech počítačích.
    2. Pokud antivirový software nerozpozná Conficker, můžete vyčistit malware bezpečnostní skener společnosti Microsoft. Další informace naleznete na následující webové stránce společnosti Microsoft: http://www.microsoft.com/security/scanner/Poznámka: je pravděpodobně nutné provést některé ruční kroky k odstranění všech následků malwaru. Doporučujeme, abyste prostudovali kroky, které jsou uvedeny v části "Postup ručního odebrání viru Win32/Conficker" tohoto článku k odstranění všech následků malwaru.

Pro obnovení

Spusťte Microsoft bezpečnostní skener.

Bezpečnostní skener Microsoft byl aktualizován Microsoft Malware Protection Center. Je to samostatný binární soubor, který je užitečné pro odstranění běžného škodlivého softwaru a může pomoci odstranit řady malware Win32/Conficker.

Poznámka: Bezpečnostní skener Microsoft nezabrání opětovnému, protože není v reálném čase antivirový program.

Bezpečnostní skener společnosti Microsoft lze stáhnout na následujícím webu společnosti Microsoft:
Poznámka: Nástroj Stand-Alone System Sweeper rovněž odstraní tuto infekci. Tento nástroj je k dispozici jako součást Microsoft Desktop Optimization Pack 6.0 nebo prostřednictvím služeb zákazníkům a podpory. Chcete-li získat sadu Microsoft Desktop Optimization Pack, naleznete na následujícím webu společnosti Microsoft:
Pokud v systému je spuštěn Microsoft Security Essentials nebo Microsoft Forefront Client Security, také zablokovat hrozbu dříve, než je nainstalována.

Postup ručního odebrání viru Win32/Conficker

Poznámky
  • Tyto ruční kroky již nejsou vyžadovány a lze používat pouze pokud máte žádný antivirový program pro odebrání viru Conficker.
  • V závislosti na Win32/Conficker varianta, že je počítač napaden některé z těchto hodnot uvedených v této části nemusí byl změněn virus.



Následující podrobný postup, můžete ručně odebrat Conficker ze systému:
  1. Přihlaste se k systému pomocí místního účtu.


    Důležité: Není přihlášení k systému pomocí účtu domény, pokud je to možné. Zvláště nepřihlašujte pomocí účtu správce domény. Malware zosobňuje přihlášený uživatel a má přístup k síťovým prostředkům pomocí přihlášenému na pověření uživatele. Toto chování umožňuje šíření malwaru.
  2. Zastavte službu Server. To odebere sdílené položky pro správu ze systému tak, že pomocí této metody nelze šířit malware.


    Poznámka: Služba Server by měla být zakázána pouze dočasně při vyčistit malware ve vašem prostředí. To platí zejména u provozních serverů vzhledem k tomu, že tento krok bude mít vliv na dostupnost síťových prostředků. Ihned po vyčištění prostředí lze znovu povolit službu Server.


    Chcete-li zastavit službu Server, pomocí konzola Microsoft Management Console (MMC) služby. Chcete-li to provést, postupujte takto:
    1. V závislosti na vašem systému postupujte takto:
      • V systému Windows Vista a Windows Server 2008 klepněte na tlačítko Start, do pole Zahájit hledání zadejte text services.msc a poté klepněte na tlačítko services.msc v programy seznam.
      • V systému Windows 2000, Windows XP a Windows Server 2003 klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz services.msca klepněte na tlačítko OK.
    2. Poklepejte na serveru.
    3. Klepněte na tlačítko Zastavit.
    4. V rozevíracím seznamu Typ spouštění vyberte Zakázáno .
    5. Klepněte na tlačítko použít.
  3. Odstraňte všechny vytvořené AT naplánované úlohy. Chcete-li to provést, zadejte AT/Delete / Yes příkazového řádku.
  4. Zastavte službu Plánovač úloh.
    • Chcete-li zastavit službu Plánovač úloh v systému Windows 2000, Windows XP a Windows Server 2003, použijte služby konzola Microsoft Management Console (MMC) nebo nástroj SC.exe.
    • Chcete-li zastavit službu Plánovač úloh v systému Windows Vista nebo Windows Server 2008, postupujte takto.

      Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
      322756 Postup při zálohování a obnovení registru v systému Windows
      1. Klepněte na tlačítko Start, do pole Zahájit hledání zadejte regedit a potom klepněte na tlačítko regedit.exe v seznamu programy .
      2. Vyhledejte a vyberte následující podklíč registru:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. V podokně podrobností klepněte pravým tlačítkem na položku DWORD Start a potom klepněte na příkaz změnit.
      4. V poli Údaj hodnoty zadejte 4a potom klepněte na tlačítko OK.
      5. Ukončete Editor registru a restartujte počítač.



        Poznámka: Služba Plánovač úloh musí být zakázána pouze dočasně při vyčistit malware ve vašem prostředí. To platí zejména v systému Windows Vista a Windows Server 2008 vzhledem k tomu, že tento krok bude mít vliv na různé integrované naplánované úlohy. Ihned po vyčištění prostředí znovu povolte službu Server.
  5. Stažení a ručně nainstalujte aktualizaci zabezpečení 958644 (MS08-067). Další informace naleznete na následujícím webu společnosti Microsoft:
    Poznámka: Tento web může v důsledku napadení malwarem zablokován. V tomto scénáři stažení aktualizace nenapadeného počítače a poté přeneste soubor aktualizace do napadeného systému. Doporučujeme aktualizaci na disk CD vypálit, protože není zapisovatelný disk CD. Proto jej nelze infikován. Pokud zapisovatelný disk CD není k dispozici, vyměnitelnou jednotku USB paměti může být jediným způsobem, jak aktualizaci zkopírovat do napadeného systému. Pokud používáte vyměnitelné jednotky, uvědomte si, že malware může infikovat prostřednictvím souboru Autorun.inf. Po zkopírování aktualizace na vyměnitelné zařízení, ujistěte se, změnit jednotky do režimu pouze pro čtení, pokud je k dispozici pro vaše zařízení. Pokud je k dispozici jen pro čtení, je obvykle povoleno pomocí fyzického přepínače na zařízení. Po zkopírování souboru aktualizace do napadeného počítače zkontrolujte vyměnitelné jednotky, chcete-li zjistit, zda byl zapsán soubor Autorun.inf. Pokud ano, přejmenujte soubor Autorun.inf na něco jako Autorun.bad, takže ji nelze spustit, pokud vyměnitelné jednotky je připojen k počítači.
  6. Obnovte všechna hesla místního správce a správce domény používat nové silné heslo. Další informace naleznete na následujícím webu společnosti Microsoft:
  7. V editoru registru vyhledejte a poté vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. V podokně podrobností klepněte pravým tlačítkem myši položku netsvcs a potom klepněte na příkaz změnit.
  9. Pokud počítač je infikován virem Win32/Conficker, bude uveden náhodný název služby.


    Poznámka: S Win32/Conficker.B název služby náhodných písmen a v dolní části seznamu. U pozdějších variant názvu služby může být kdekoli v seznamu a mohou zdát více legitimní. Pokud není náhodný název služby v dolní části, porovnejte svůj systém s tabulce"služba" v tomto postupu chcete-li zjistit, který název služby může přidat Win32/Conficker. Chcete-li ověřit, porovnejte v "tabulce Služba" s podobným systémem, který je známo, že infekce.


    Poznamenejte si název služby malwaru. Je třeba tyto informace později v tomto postupu.
  10. Odstraníte řádek, který obsahuje odkaz na službu malwaru. Ujistěte se, že ponecháte prázdný řádek pod poslední oprávněnou položkou, která je uvedena a potom klepněte na tlačítko OK.



    Poznámky k tabulce služeb
    • Všechny položky v tabulce služeb jsou platné položky s výjimkou položek, které jsou zvýrazněny tučně.
    • Položky zvýrazněné tučným písmem jsou příklady co může virus Win32/Conficker přidat k hodnotě netsvcs v klíči registru SVCHOST.
    • Nemusí to být úplný seznam služeb, podle toho, co je v systému nainstalován.
    • Tabulka služeb je z výchozí instalace systému Windows.
    • Položce virus Win32/Conficker přidá do seznamu je příkladem strategie zmatení. Je zvýrazněné, škodlivé položky, která by měla vypadat podobně jako první písmeno malé "L." Je však ve skutečnosti velká písmena "I." Protože písma používaný operační systém velká písmena "I" se jeví jako malé "L."

    Tabulka služeb

    Windows Server 2008Systém Windows VistaWindows Server 2003Systém Windows XPSystém Windows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtSlužba IAS
    MotivyMotivyProhlížečAudioSrvProtokol IPRIP
    CertPropSvcCertPropSvcCryptSvcProhlížečIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNETMAN
    LanmanServerLanmanServerEventSystemDMServerNWSAPAGENT
    gpsvcgpsvcHidServSLUŽBY DHCPRasauto
    IKEEXTIKEEXTSlužba IASERSvcIaslogon
    AudioSrvAudioSrvProtokol IPRIPEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityVzdálený přístup
    Služba IASSlužba IASLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationSlužba IASSharedAccess
    NLANLAMessengerProtokol IPRIPNtmssvc
    NtmssvcNtmssvcNETMANIrmonWZCSVC
    NWCWorkstationNWCWorkstationNLALanmanServer
    NWSAPAGENTNWSAPAGENTNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNWSAPAGENTNETMAN
    IaslogonIaslogonIaslogonIaslogon
    Vzdálený přístupVzdálený přístupRasautoNLA
    SENSSENSRasmanNtmssvc
    SharedAccessSharedAccessVzdálený přístupNWCWorkstation
    SRServiceSRServiceSacsvrNWSAPAGENT
    TAPISRVTAPISRVPlánRasauto
    Služby WMISlužby WMISeclogonRasman
    WmdmPmSpWmdmPmSpSENSVzdálený přístup
    TermServiceTermServiceSharedAccessPlán
    wuauservwuauservMotivySeclogon
    SLUŽBA BITSSLUŽBA BITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedAccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTAPISRV
    HelpsvcHelpsvcSlužby WMIMotivy
    uploadmgruploadmgrWmdmPmSpTrkWks
    IphlpsvcIphlpsvcProgram WinMgmtW32Time
    SeclogonSeclogonwuauservWZCSVC
    AppInfoAppInfoSLUŽBA BITSSlužby WMI
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrProgram WinMgmt
    ProhlížečProfSvcWmdmPmSNTermService
    Program WinMgmtEapHostxmlprovwuauserv
    SessionEnvProgram WinMgmtAeLookupSvcSLUŽBA BITS
    ProfSvcplánHelpsvcShellHWDetection
    EapHostSessionEnvHelpsvc
    hkmsvcProhlížečxmlprov
    plánhkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    Sacsvrhkmsvc
  11. V předchozím postupu jste si poznamenali název služby malwaru. V našem příkladu byla položka malwaru název "Iaslogon." Pomocí těchto informací, postupujte takto:
    1. V editoru registru vyhledejte a klepněte na následující podklíč registru, kde BadServiceName je název služby malwaru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Například vyhledejte a vyberte následující podklíč registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Klepněte pravým tlačítkem myši na podklíč pro název služby malwaru v navigačním podokně a potom klepněte na tlačítko oprávnění.
    3. V dialogovém okně Položka oprávnění pro SvcHost klepněte na tlačítko Upřesnit.
    4. V dialogovém okně Upřesnit nastavení zabezpečení klepnutím vyberte obě následující zaškrtávací políčka:
      Zdědit po nadřazeném objektu položky oprávnění platné pro podřízený objekt. Tyto položky sloučit s položkami zde explicitně definovány.

      Nahraďte položky oprávnění ve všech podřízených objektech, které se vztahují na podřízené objekty zde zobrazenými položkami.
  12. Stisknutím klávesy F5 aktualizujte Editor registru. V podokně podrobností můžete nyní zobrazit a upravit malware knihovny DLL, která se načítá jako "ServiceDll". Chcete-li to provést, postupujte takto:
    1. Poklepejte na položku ServiceDll.
    2. Poznamenejte si cestu k odkazované knihovně DLL. Je třeba tyto informace později v tomto postupu. Cestu k odkazované knihovně DLL může vypadat například takto:
       %SystemRoot%\System32\doieuln.dll 
      Přejmenujte následující odkaz:
       %SystemRoot%\System32\doieuln.old 
    3. Klepněte na tlačítko OK
  13. Odstraňte položku služby malwaru z podklíče registru Spustit .
    1. V editoru registru vyhledejte a klepněte na následující podklíče registru:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. U obou podklíčů vyhledejte všechny položky začínající "rundll32.exe" a také odkazuje na knihovnu DLL, která se načítá jako "ServiceDll", kterou jste identifikovali v kroku 12b malwaru. Odstraňte položku.
    3. Ukončete Editor registru a restartujte počítač.
  14. Vyhledejte soubory Autorun.inf na všechny jednotky v systému. Pomocí programu Poznámkový blok otevřete každý soubor a potom ověřte, že se jedná o platný soubor Autorun.inf. Následuje příklad typické platný soubor Autorun.inf.
    [autorun]shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico

    Platný soubor Autorun.inf je obvykle 1 až 2 kilobajtů (KB).
  15. Odstraňte všechny soubory Autorun.inf, které nejsou schopné platit.
  16. Restartujte počítač.
  17. Povolte zobrazení skrytých souborů. Chcete-li to provést, zadejte následující příkaz na příkazovém řádku:
    REG.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Nastavení Zobrazit skryté soubory a složky tak, aby se zobrazí v souboru. Chcete-li to provést, postupujte takto:
    1. V kroku 12b jste si poznamenali cestu souboru odkazované knihovny DLL pro malware. Například jste si poznamenali cestu, která se podobá následující:
      %systemroot%\System32\doieuln.dll
      V Průzkumníkovi Windows otevřete adresář %systemroot%\System32 nebo adresář, který obsahuje malware.
    2. Klepněte na tlačítko Nástrojea potom klepněte na příkaz Možnosti složky.
    3. Klepněte na kartu zobrazení .
    4. Zaškrtněte políčko Zobrazit skryté soubory a složky .
    5. Klepněte na tlačítko OK
  19. Vyberte soubor DLL.
  20. Upravte oprávnění u souboru přidat Everyone úplné řízení. Chcete-li to provést, postupujte takto:
    1. Klepněte pravým tlačítkem myši na soubor DLL a potom klepněte na příkaz Vlastnosti.
    2. Klepněte na kartu zabezpečení .
    3. Klepněte na položku Everyonea potom klepnutím zaškrtněte políčko Úplné řízení ve sloupci Povolit .
    4. Klepněte na tlačítko OK
  21. Odstraňte soubor odkazované knihovny DLL pro malware. Například odstraňte soubor %systemroot%\System32\doieuln.dll.
  22. Povolte BITŮ, automatické aktualizace, chybách a program Windows Defender služeb pomocí konzola Microsoft Management Console (MMC) služby.
  23. Vypněte funkci Automatické spuštění, chcete-li snížit dopad případného dalšího napadení. Chcete-li to provést, postupujte takto:
    1. V závislosti na vašem systému nainstalujte jednu z následujících aktualizací:
      • Pokud používáte systém Windows 2000, Windows XP nebo Windows Server 2003, nainstalujte aktualizaci 967715.
        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        Jak 967715 zakázání funkce automatického spuštění v systému Windows

      • Pokud používáte systém Windows Vista nebo Windows Server 2008, nainstalujte aktualizaci zabezpečení 950582.
        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
        950582 MS08-038: Chyba zabezpečení v programu Průzkumník Windows by mohla umožnit vzdálené spuštění kódu
      Poznámka: Aktualizace 967715 a aktualizace zabezpečení 950582 nesouvisejí s tímto problémem s malwarem. Tyto aktualizace musí být nainstalována Chcete-li povolit funkce registru v kroku 23b.
    2. Na příkazovém řádku zadejte následující příkaz:
      REG.exe přidejte HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff/f
  24. Pokud je systém Windows Defender, znovu povolte umístění pro automatické spuštění programu Windows Defender. Chcete-li to provést, zadejte následující příkaz na příkazovém řádku:
    REG.exe přidejte HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe – skrýt" /f
  25. Windows Vista a novějších operačních systémech provede malware změnu globálního nastavení automatického ladění okna příjmu protokolu TCP na hodnotu zakázáno. Chcete-li změnit toto nastavení zpět, zadejte na příkazovém řádku následující příkaz:
    netsh interface tcp nastavit globální automatického ladění = normal
Pokud po dokončení tohoto postupu v počítači se zdá být znovu napaden, musí být splněna některá z následujících podmínek:
  • Umístění pro automatické spuštění nebyl odebrán. Buď úlohy AT nebyl odebrán nebo nebyl odebrán soubor Autorun.inf.
  • Aktualizace zabezpečení MS08-067 byl nesprávně nainstalován.
Tento malware může změnit další nastavení, které nejsou uvedeny v tomto článku. Naleznete na následující stránce webu Malware Protection Center pro nejnovější informace o červu Win32/Conficker:

Ověřte, zda je systém čištění

Ověřte, zda jsou spuštěny následující služby:
  • Funkce Automatické aktualizace (wuauserv)
  • Služba inteligentního přenosu na pozadí (BITS)
  • Program Windows Defender (windefend) (popřípadě)
  • Služba hlášení chyb systému Windows
Chcete-li to provést, zadejte na příkazovém řádku následující příkazy. Stisknutím klávesy ENTER po každém příkazu:

Sc.exe dotaz wuauserv
Sc.exe dotaz bitů
Sc.exe dotaz windefend
Sc.exe dotaz ersvc

Poté, co každý příkaz spustí, zobrazí se zpráva podobná následující:
Název_služby: wuauserv
TYP: 20 WIN32_SHARE_PROCESS
STAV: 4 SYSTÉMEM
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE: 0 (0X0)
SERVICE_EXIT_CODE: 0 (0X0)
KONTROLNÍ BOD: 0X0
WAIT_HINT : 0x0
V tomto příkladu "Stav: 4 systémem" označuje, že je služba spuštěna.

Chcete-li ověřit stav podklíče registru SvcHost, postupujte takto:
  1. V editoru registru vyhledejte a poté vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. V podokně podrobností poklepejte na položku netsvcsa zkontrolujte uvedené názvy služeb. Přejděte do dolní části seznamu. Pokud počítač červem Conficker, bude uveden náhodný název služby. Příklad v tomto postupu je název služby malwaru "Iaslogon."
Pokud tyto kroky problém nevyřeší, obraťte se na dodavatele antivirového softwaru.
Další informace o tomto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
49500 Seznam výrobců antivirového softwaru
Pokud máte s dodavatelem antivirového softwaru, nebo vám dodavatel antivirového softwaru, obraťte se na službu podpory zákazníků společnosti Microsoft další nápovědu.

Po úplném vyčištění prostředí

Po úplném vyčištění prostředí postupujte takto:
  1. Znovu povolte službu Server a službu Plánovač úloh.
  2. Obnovte výchozí oprávnění pro klíč registru SVCHOST a složku úkoly. To by měla být vrácena na výchozí nastavení pomocí nastavení Zásady skupiny. Pokud zásady je pouze odebrána, výchozí oprávnění, nemusí být možné obnovit. Naleznete v tabulce výchozích oprávnění v části "postup pro snížení rizika" Další informace.

  3. Aktualizujte počítač pomocí instalace všech chybějících aktualizací zabezpečení. To provedete pomocí služby Windows Update, server Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Správce konfigurace (Správce konfigurace 2007) nebo produkt správy jiných výrobců aktualizace. Pokud pomocí serveru SMS nebo nástroje Správce konfigurace 2007, je nutné nejprve znovu povolit službu Server. Jinak SMS nebo Správce konfigurace 2007 nelze aktualizovat systém.

Identifikace napadených systémů

Pokud máte potíže s identifikací systémů, které jsou napadeny virem Conficker, mohou pomoci informace uvedené v následujícím blogu TechNet:


Tabulka výchozích oprávnění


V následující tabulce jsou uvedena výchozí oprávnění pro každý operační systém. Tato oprávnění jsou platná před použitím změn doporučených v tomto článku. Tato oprávnění se mohou lišit od oprávnění nastavených ve vašem prostředí. Proto musíte zaznamenat nastavení před provedením jakýchkoli změn. Je nutné provést tak, že můžete obnovit nastavení po vyčištění systému.
Operační systémWindows Server 2008Systém Windows VistaWindows Server 2003Systém Windows XPSystém Windows 2000
NastaveníRegistru SVCHOSTSložku ÚkolyRegistru SVCHOSTSložku ÚkolyRegistru SVCHOSTSložku ÚkolyRegistru SVCHOSTSložku ÚkolyRegistru SVCHOSTSložku Úkoly
Účet
Administrators (místní skupina)Úplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízení
SystémÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízeníÚplné řízení
Power Users (místní skupina)není k dispozicinení k dispozicinení k dispozicinení k dispoziciPro čtenínení k dispoziciPro čtenínení k dispoziciPro čtenínení k dispozici
Users (místní skupina)Speciálnínení k dispoziciSpeciálnínení k dispoziciPro čtenínení k dispoziciPro čtenínení k dispoziciPro čtenínení k dispozici
Platí pro: Tento klíč a podklíčePlatí pro: Tento klíč a podklíče
Dotazovat se na hodnotuDotazovat se na hodnotu
Vytvořit výčet podklíčůVytvořit výčet podklíčů
UpozornitUpozornit
Číst informace o řízeníČíst informace o řízení
Ověření uživatelénení k dispoziciSpeciálnínení k dispoziciSpeciálnínení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispozici
Použít pro: jen tato složkaPoužít pro: jen tato složka
Oprávnění Procházet složkouOprávnění Procházet složkou
Zobrazovat obsah složkyZobrazovat obsah složky
Číst atributyČíst atributy
Číst rozšířené atributyČíst rozšířené atributy
Vytvořit souboryVytvořit soubory
Oprávnění ke čteníOprávnění ke čtení
Členové skupiny Backup Operators (místní skupina)není k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispoziciSpeciálnínení k dispoziciSpeciální
Použít pro: jen tato složkaPoužít pro: jen tato složka
Oprávnění Procházet složkouOprávnění Procházet složkou
Zobrazovat obsah složkyZobrazovat obsah složky
Číst atributyČíst atributy
Číst rozšířené atributyČíst rozšířené atributy
Vytvořit souboryVytvořit soubory
Oprávnění ke čteníOprávnění ke čtení
Všichni uživatelénení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispozicinení k dispoziciSpeciální
Použít pro: Tato složka, podsložky a soubory
Oprávnění Procházet složkou
Zobrazovat obsah složky
Číst atributy
Číst rozšířené atributy
Vytvořit soubory
Vytvoření složky
Zapisovat atributy
Zapisovat rozšířené atributy
Oprávnění ke čtení

Další nápovědu

Další pomoc s řešením problému Pokud se nacházíte ve Spojených státech, můžete konverzovat s živá osoba u stolu odpovědí:
Vlastnosti

ID článku: 962007 - Poslední kontrola: 13. 1. 2017 - Revize: 2

Váš názor