Alert antywirusowy dotyczący robaka Win32/Conficker

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Vista z dodatkiem Service Pack 1 (SP1) kończy się 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, należy korzystać z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, zapoznaj się z tą stroną firmy Microsoft w sieci Web: Wkrótce zostanie zakończone świadczenie pomocy technicznej dla niektórych wersji systemu Windows.
Podsumowanie
Informacje zawarte w tym artykule z bazy wiedzy Knowledge Base dotyczą środowisk biznesowych, obsługiwanych przez administratorów systemów mogących zaimplementować szczegóły omówione w tym artykule. Nie ma potrzeby korzystania z tego artykułu, jeśli używany program antywirusowy poprawnie usuwa wirusa, a używane systemy są w pełni zaktualizowane. Aby upewnić się, że system nie jest zainfekowany przez wirusa Conficker, należy wykonać szybkie skanowanie z poziomu następującej strony sieci Web: http://www.microsoft.com/security/scanner/pl-pl/ Aby uzyskać szczegółowe informacje na temat wirusa Conficker, odwiedź następującą stronę firmy Microsoft w sieci Web:
Symptomy infekcji
Jeśli komputer jest zainfekowany tym robakiem, mogą nie występować żadne symptomy lub mogą występować następujące symptomy:
  • Zasady blokady kont wyłączają się samoczynnie.
  • Usługi Aktualizacje automatyczne, BITS (Usługa inteligentnego transferu w tle), Windows Defender oraz Raportowanie błędów są wyłączone.
  • Kontrolery domeny wolno reagują na żądania klientów.
  • Sieć jest przeciążona.
  • Nie można uzyskać dostępu do różnych witryn sieci Web związanych z zabezpieczeniami.
  • Nie można uruchomić różnych narzędzi związanych z zabezpieczeniami. Listę znanych narzędzi można uzyskać, odwiedzając następującą stronę firmy Microsoft w sieci Web, a następnie klikając kartę Analysis (Analiza) w celu uzyskania informacji o robaku Win32/Conficker.D. Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web:
Aby uzyskać więcej informacji na temat robaka Win32/Conficker, odwiedź następującą stronę w Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem w sieci Web:
Metody propagacji
Istnieje wiele metod propagacji robaka Win32/Conficker. Między innymi:
  • Wykorzystanie luki w zabezpieczeniach usuwanej przez aktualizację 958644 (MS08-067)
  • Użycie udziałów sieciowych
  • Użycie funkcji autoodtwarzania
Dlatego należy uważać, aby podczas oczyszczania sieci nie zainfekować ponownie systemów, które zostały już oczyszczone.

Uwaga Wariant robaka Win32/Conficker.D nie jest propagowany za pośrednictwem dysków wymiennych ani folderów udostępnionych w sieci. Robak Win32/Conficker.D jest instalowany przez wcześniejsze warianty robaka Win32/Conficker.
Zapobieganie
  • Należy używać silnych haseł administratorów, unikatowych na wszystkich komputerach.
  • Nie należy logować się do komputerów za pomocą poświadczeń administratorów domeny ani poświadczeń zapewniających dostęp do wszystkich komputerów.
  • Należy upewnić się, że we wszystkich systemach są zastosowane najnowsze aktualizacje zabezpieczeń.
  • Należy wyłączyć funkcje autoodtwarzania. Aby uzyskać więcej informacji, zobacz krok 3 w sekcji „Tworzenie obiektu zasad grupy”.
  • Należy usunąć nadmiarowe prawa do udziałów. Obejmuje to również uprawnienia do zapisu w katalogu głównym każdego udziału.
Czynności służące ograniczeniu ryzyka

Zapobieganie rozprzestrzenianiu się robaka Win32/Conficker za pomocą zasad grupy

Uwagi
  • Ważne Przed wprowadzeniem jakichkolwiek zmian sugerowanych w tym artykule należy udokumentować wszystkie bieżące ustawienia.
  • Ta procedura nie powoduje usunięcia złośliwego oprogramowania Conficker z systemu. Zapobiega tylko rozprzestrzenianiu go. Aby usunąć złośliwe oprogramowanie Conficker z systemu, należy użyć programu antywirusowego. Można także usunąć je ręcznie, korzystając z procedury w sekcji Ręczne usuwanie wirusa Win32/Conficker niniejszego artykułu z bazy wiedzy Knowledge Base.
  • Podczas obowiązywania zmian dotyczących uprawnień, które zalecono w poniższych krokach, może być niemożliwe poprawne zainstalowanie aplikacji, dodatków Service Pack lub innych aktualizacji. Dotyczy to między innymi stosowania aktualizacji za pomocą usługi Windows Update, serwera programu Microsoft Windows Server Update Services (WSUS) oraz narzędzia System Center Configuration Manager (SCCM), ponieważ te produkty bazują na składnikach Aktualizacji automatycznych. Należy pamiętać o konieczności przywrócenia domyślnych ustawień uprawnień po oczyszczeniu systemu.
  • Aby uzyskać informacje o uprawnieniach domyślnych dotyczących klucza rejestru SVCHOST oraz folderu Tasks, które są omawiane w sekcji „Tworzenie obiektu zasad grupy”, zobacz tabelę uprawnień domyślnych na końcu tego artykułu.

Tworzenie obiektu zasad grupy

Należy utworzyć nowy obiekt zasad grupy (GPO) dotyczący wszystkich komputerów w konkretnej jednostce organizacyjnej, lokacji lub domenie, zgodnie z wymaganiami danego środowiska.

W tym celu wykonaj następujące czynności:
  1. Ustaw zasadę usuwającą uprawnienia do zapisu w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Uniemożliwi to utworzenie w wartości rejestru netsvcs usługi złośliwego oprogramowania o przypadkowej nazwie.

    W tym celu wykonaj następujące czynności:
    1. Otwórz konsolę zarządzania zasadami grupy.
    2. Utwórz nowy obiekt zasad grupy. Nadaj mu dowolną nazwę.
    3. Otwórz nowo utworzony obiekt zasad grupy, a następnie przejdź do następującego folderu:
      Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Rejestr
    4. Kliknij prawym przyciskiem myszy pozycję Rejestr, a następnie kliknij polecenie Dodaj klucz.
    5. W oknie dialogowym Wybieranie klucza rejestru rozwiń węzeł Komputer, a następnie przejdź do następującego folderu:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Kliknij przycisk OK.
    7. W wyświetlonym oknie dialogowym wyczyść pole wyboru Pełna kontrola w kolumnach Administratorzy i System.
    8. Kliknij przycisk OK.
    9. W oknie dialogowym Dodawanie obiektu kliknij opcję Zamień istniejące uprawnienia do wszystkich podkluczy na uprawnienia dziedziczne.
    10. Kliknij przycisk OK.
  2. Ustaw zasadę usuwającą uprawnienia do zapisu w folderze %windir%\Tasks. Uniemożliwi to złośliwemu oprogramowaniu Conficker tworzenie zaplanowanych zadań, które mogą ponownie zainfekować system.

    W tym celu wykonaj następujące czynności:
    1. W utworzonym wcześniej obiekcie zasad grupy przejdź do następującego folderu:
      Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\System plików
    2. Kliknij prawym przyciskiem myszy pozycję System plików, a następnie kliknij polecenie Dodaj plik.
    3. W oknie dialogowym Dodawanie pliku lub folderu przejdź do folderu %windir%\Tasks. Upewnij się, że folder Tasks jest wyróżniony i wymieniony w oknie dialogowym Folder.
    4. Kliknij przycisk OK.
    5. W otwartym oknie dialogowym wyczyść pola wyboru Pełna kontrola, Modyfikacja i Zapis zarówno w obszarze Administratorzy, jak i w obszarze System.
    6. Kliknij przycisk OK.
    7. W oknie dialogowym Dodawanie obiektu kliknij opcję Zamień istniejące uprawnienia do wszystkich podkluczy na uprawnienia dziedziczne.
    8. Kliknij przycisk OK.
  3. Wyłącz funkcje autoodtwarzania (autouruchamiania). Uniemożliwi to złośliwemu oprogramowaniu Conficker rozprzestrzenianie się za pomocą funkcji autoodtwarzania wbudowanych w system Windows.

    Uwaga W zależności od używanej wersji systemu Windows prawidłowe wyłączenie funkcji autouruchamiania wymaga wcześniejszego zainstalowania różnych aktualizacji:
    • Aby wyłączyć funkcje autouruchamiania w systemie Windows Vista lub Windows Server 2008, należy wcześniej zainstalować aktualizację zabezpieczeń 950582 (biuletyn zabezpieczeń MS08-038).
    • Aby wyłączyć funkcje autouruchamiania w systemie Windows XP, Windows Server 2003 lub Windows 2000, należy wcześniej zainstalować aktualizację zabezpieczeń 950582, aktualizację 967715 lub aktualizację 953252.
    Aby wyłączyć funkcje autoodtwarzania (autouruchamiania), wykonaj następujące czynności:
    1. W utworzonym wcześniej obiekcie zasad grupy przejdź do jednego z następujących folderów:
      • W domenie systemu Windows Server 2003 przejdź do następującego folderu:
        Konfiguracja komputera\Szablony administracyjne\System
      • W domenie systemu Windows Server 2008 przejdź do następującego folderu:
        Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Zasady autoodtwarzania
    2. Otwórz zasadę Wyłącz funkcję Autoodtwarzanie.
    3. W oknie dialogowym Wyłącz funkcję Autoodtwarzanie kliknij pozycję Włączone.
    4. W menu rozwijanym kliknij pozycję Wszystkie dyski.
    5. Kliknij przycisk OK.
  4. Zamknij konsolę zarządzania zasadami grupy.
  5. Połącz nowo utworzony obiekt zasad grupy z lokalizacją, dla której ma obowiązywać.
  6. Poczekaj, aż ustawienia zasad grupy zostaną zaktualizowane na wszystkich komputerach. Zwykle replikacja zasad grupy trwa pięć minut dla kontrolerów domeny, a następnie 90 minut dla pozostałych systemów. Po kilku godzinach ustawienia powinny obowiązywać. Niektóre środowiska mogą jednak wymagać więcej czasu.
  7. Po wykonaniu propagacji ustawień zasad grupy oczyść systemy ze złośliwego oprogramowania.

    W tym celu wykonaj następujące czynności:
    1. Uruchom pełne skanowanie antywirusowe na wszystkich komputerach.
    2. Jeśli oprogramowanie antywirusowe nie wykrywa robaka Conficker, można oczyścić system za pomocą skanera Microsoft Safety Scanner. Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web: http://www.microsoft.com/security/scanner/pl-pl/Uwaga Całkowite usunięcie efektów działania złośliwego oprogramowania może wymagać ręcznego wykonania pewnych czynności. W celu całkowitego usunięcia efektów działania złośliwego oprogramowania zaleca się wykonanie czynności wymienionych w sekcji Ręczne usuwanie wirusa Win32/Conficker tego artykułu.
Usuwanie infekcji
  • Jeśli oprogramowanie antywirusowe nie wykrywa robaka Conficker, można oczyścić system za pomocą skanera Microsoft Safety Scanner. Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web: http://www.microsoft.com/security/scanner/pl-pl/Uwaga Całkowite usunięcie efektów działania złośliwego oprogramowania może wymagać ręcznego wykonania pewnych czynności. W celu całkowitego usunięcia efektów działania złośliwego oprogramowania zaleca się wykonanie czynności wymienionych w sekcji Ręczne usuwanie wirusa Win32/Conficker tego artykułu.
  • Uruchom skaner Microsoft Safety Scanner.

    Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem zaktualizowało skaner Microsoft Safety Scanner. Jest to autonomiczny plik binarny służący do usuwania powszechnie znanego złośliwego oprogramowania, który umożliwia także usunięcie robaków z rodziny Win32/Conficker.

    Uwaga Skaner Microsoft Safety Scanner nie zapobiega ponownemu zainfekowaniu systemu, ponieważ nie jest programem antywirusowym działającym w czasie rzeczywistym.

    Skaner Microsoft Safety Scanner można pobrać z następującej witryny firmy Microsoft w sieci Web:
    Uwaga Tę infekcję można także usunąć za pomocą narzędzia Stand-Alone System Sweeper. Jest ono dostępne jako składnik pakietu Microsoft Desktop Optimization Pack 6.0 lub w dziale pomocy technicznej. Aby uzyskać pakiet Microsoft Desktop Optimization Pack, odwiedź następującą witrynę firmy Microsoft w sieci Web: Jeśli w systemie działa program Windows Live OneCare lub Microsoft Forefront Client Security, instalacja robaka także zostanie zablokowana.

    Ręczne usuwanie wirusa Win32/Conficker

    Uwagi
    • Te ręczne czynności nie są już wymagane. Należy wykonać je tylko w przypadku, gdy nie jest używane żadne oprogramowanie antywirusowe, a konieczne jest usuniecie wirusa Conficker.
    • Zależnie od wariantu wirusa Win32/Conficker, którym jest zainfekowany komputer, niektóre z wymienionych w tej sekcji wartości mogą nie być zmienione przez tego wirusa.
    Poniższa szczegółowa procedura ułatwia ręczne usunięcie robaka Conficker z systemu:
    1. Zaloguj się do systemu przy użyciu konta lokalnego.

      Ważne Nie loguj się do systemu przy użyciu konta domeny, o ile to możliwe. W szczególności nie loguj się przy użyciu konta administratora domeny. Złośliwe oprogramowanie personifikuje zalogowanego użytkownika i uzyskuje dostęp do zasobów sieciowych za pomocą jego poświadczeń. Takie zachowanie umożliwia rozprzestrzenianie się złośliwego oprogramowania.
    2. Należy zatrzymać usługę Serwer. Spowoduje to usunięcie udziałów administratora z systemu, uniemożliwiając rozprzestrzenianie się złośliwego oprogramowania tą metodą.

      Uwaga Usługę Serwer należy wyłączyć tylko tymczasowo na czas oczyszczania środowiska komputerowego ze złośliwego oprogramowania. Jest to szczególnie ważne w przypadku serwerów produkcyjnych, ponieważ ten etap wpływa na dostępność zasobów sieciowych. Zaraz po oczyszczeniu środowiska komputerowego można ponownie włączyć usługę Serwer.

      W celu zatrzymania usługi Serwer należy użyć przystawki Usługi programu Microsoft Management Console (MMC). W tym celu wykonaj następujące czynności:
      1. W zależności od systemu operacyjnego:
        • W systemach Windows Vista i Windows Server 2008 kliknij przycisk Start, wpisz ciąg services.msc w polu Rozpocznij wyszukiwanie, a następnie kliknij pozycję services.msc na liście Programy.
        • W systemach Windows 2000, Windows XP i Windows Server 2003 kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg services.msc, a następnie kliknij przycisk OK.
      2. Kliknij dwukrotnie pozycję Serwer.
      3. Kliknij przycisk Zatrzymaj.
      4. W polu Typ uruchomienia wybierz pozycję Wyłączony.
      5. Kliknij przycisk Zastosuj.
    3. Usuń wszystkie zaplanowane zadania funkcji autodostrajania. W tym celu wpisz polecenie AT /Delete /Yes w wierszu polecenia.
    4. Należy zatrzymać usługę Harmonogram zadań.
      • W celu zatrzymania usługi Harmonogram zadań w systemach Windows 2000, Windows XP i Windows Server 2003 należy użyć przystawki Usługi programu Microsoft Management Console (MMC) lub narzędzia SC.exe.
      • W celu zatrzymania usługi Harmonogram zadań w systemach Windows Vista i Windows Server 2008 należy wykonać poniższą procedurę.

        Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        322756Jak wykonywać kopię zapasową rejestru i przywracać go w systemie Windows
        1. Kliknij przycisk Start, w polu Rozpocznij wyszukiwanie wpisz regedit, a następnie kliknij pozycję regedit.exe na liście Programy.
        2. Zlokalizuj i kliknij następujący podklucz rejestru:
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
        3. W okienku szczegółów kliknij prawym przyciskiem myszy wpis typu DWORD Start, a następnie kliknij polecenie Modyfikuj.
        4. W polu Dane wartości wpisz 4, a następnie kliknij przycisk OK.
        5. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.

          Uwaga Usługę Harmonogram zadań należy wyłączyć tylko tymczasowo na czas oczyszczania środowiska komputerowego ze złośliwego oprogramowania. Jest to szczególnie ważne w przypadku systemów Windows Vista i Windows Server 2008, ponieważ wykonanie tej czynności wpływa na różne wbudowane zaplanowane zadania. Zaraz po oczyszczeniu środowiska komputerowego należy ponownie włączyć usługę Serwer.
    5. Pobierz i zainstaluj ręcznie poprawkę zabezpieczeń 958644 (MS08-067). Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web: Uwaga Ta witryna może być zablokowana z powodu zainfekowania systemu złośliwym oprogramowaniem. W takim przypadku należy pobrać aktualizację z niezainfekowanego komputera, a następnie przenieść plik aktualizacji do zainfekowanego systemu. Zalecamy nagranie aktualizacji na dysku CD, ponieważ na nagranym dysku CD nie można zapisać dodatkowych danych. Dlatego nie można go zainfekować. W przypadku braku nagrywarki CD jedynym sposobem skopiowania aktualizacji do zainfekowanego systemu może być użycie wymiennego dysku USB. Podczas stosowania tej metody należy uważać, aby nie zainfekować dysku wymiennego (plik Autorun.inf). Po skopiowaniu aktualizacji na dysk wymienny należy przełączyć dysk do trybu tylko do odczytu, jeśli taka opcja jest dostępna dla danego urządzenia. Zwykle służy do tego fizyczny przełącznik na urządzeniu. Po skopiowaniu pliku aktualizacji na zainfekowany komputer należy sprawdzić, czy na dysku wymiennym został zapisany plik Autorun.inf. Jeśli tak, należy zmienić jego nazwę, na przykład na Autorun.bad, tak aby nie został uruchomiony po podłączeniu dysku wymiennego do komputera.
    6. Ustaw nowe silne hasła dla kont administratora lokalnego i administratora domeny. Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    7. W Edytorze rejestru zlokalizuj i kliknij następujący podklucz rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    8. W okienku szczegółów kliknij prawym przyciskiem myszy wpis netsvcs, a następnie kliknij polecenie Modyfikuj.
    9. Jeśli komputer jest zainfekowany wirusem Win32/Conficker, lista będzie zawierać przypadkową nazwę usługi.

      Uwaga W przypadku robaka Win32/Conficker.B nazwa usługi miała postać przypadkowych liter i znajdowała się u dołu listy. W przypadku nowszych wariantów nazwa usługi może znajdować się w dowolnym miejscu na liście i bardziej przypominać normalną nazwę. Jeśli u dołu listy nie ma przypadkowej nazwy usługi, można porównać listę w używanym systemie z tabelą usług podaną w tej procedurze w celu ustalenia, która z nazw usług mogła zostać dodana przez wirusa Win32/Conficker. Listę z tabeli usług warto też porównać z listą wyświetlaną w podobnym systemie, o którym wiadomo, że nie jest zainfekowany.

      Zanotuj nazwę usługi złośliwego oprogramowania. Będzie ona potrzebna w dalszej części tej procedury.
    10. Usuń wiersz zawierający odwołanie do tej usługi. Zostaw pusty wiersz pod ostatnim prawidłowym wpisem na liście, a następnie kliknij przycisk OK.

      Uwagi dotyczące tabeli usług
      • Wszystkie wpisy w tabeli usług są wpisami prawidłowymi. Wyjątkiem są pozycje wyróżnione pogrubieniem.
      • Pozycje wyróżnione pogrubieniem to przykłady wpisów dodanych przez wirusa Win32/Conficker do wartości netsvcs w kluczu rejestru SVCHOST.
      • Lista usług może nie być kompletna, ponieważ jest zależna od oprogramowania zainstalowanego w systemie.
      • Zawartość tabeli usług bazuje na domyślnej instalacji systemu Windows.
      • Wpis dodawany do listy przez wirusa Win32/Conficker jest tworzony metodą „zaciemniania”. Wyróżniony wpis złośliwego oprogramowania sprawia wrażenie rozpoczynającego się od małej litery „L”. Jednak ta litera to w rzeczywistości wielka litera „I”. Czcionka używana w systemie operacyjnym sprawia, że wielka litera „I” przypomina małą literę „L”.

      Tabela usług

      Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
      AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
      wercplsupportwercplsupportAudioSrvAppMgmtIas
      ThemesThemesBrowserAudioSrvIprip
      CertPropSvcCertPropSvcCryptSvcBrowserIrmon
      SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
      lanmanserverlanmanserverEventSystemDMServerNwsapagent
      gpsvcgpsvcHidServDHCPRasauto
      IKEEXTIKEEXTIasERSvcIaslogon
      AudioSrvAudioSrvIpripEventSystemRasman
      FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
      IasIasLanmanServerHidServSENS
      IrmonIrmonLanmanWorkstationIasSharedaccess
      NlaNlaMessengerIpripNtmssvc
      NtmssvcNtmssvcNetmanIrmonwzcsvc
      NWCWorkstationNWCWorkstationNlaLanmanServer
      NwsapagentNwsapagentNtmssvcLanmanWorkstation
      RasautoRasautoNWCWorkstationMessenger
      RasmanRasmanNwsapagentNetman
      IaslogonIaslogonIaslogonIaslogon
      RemoteaccessRemoteaccessRasautoNla
      SENSSENSRasmanNtmssvc
      SharedaccessSharedaccessRemoteaccessNWCWorkstation
      SRServiceSRServiceSacsvrNwsapagent
      TapisrvTapisrvScheduleRasauto
      WmiWmiSeclogonRasman
      WmdmPmSpWmdmPmSpSENSRemoteaccess
      TermServiceTermServiceSharedaccessSchedule
      wuauservwuauservThemesSeclogon
      BITSBITSTrkWksSENS
      ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
      LogonHoursLogonHoursW32TimeSRService
      PCAuditPCAuditWZCSVCTapisrv
      helpsvchelpsvcWmiThemes
      uploadmgruploadmgrWmdmPmSpTrkWks
      iphlpsvciphlpsvcwinmgmtW32Time
      seclogonseclogonwuauservWZCSVC
      AppInfoAppInfoBITSWmi
      msiscsimsiscsiShellHWDetectionWmdmPmSp
      MMCSSMMCSSuploadmgrwinmgmt
      browserProfSvcWmdmPmSNTermService
      winmgmtEapHostxmlprovwuauserv
      SessionEnvwinmgmtAeLookupSvcBITS
      ProfSvcschedulehelpsvcShellHWDetection
      EapHostSessionEnvhelpsvc
      hkmsvcbrowserxmlprov
      schedulehkmsvcwscsvc
      AppMgmtAppMgmtWmdmPmSN
      sacsvrhkmsvc
    11. W poprzedniej procedurze została zanotowana nazwa usługi złośliwego oprogramowania. Przykładowa usługa nosiła nazwę „Iaslogon”. Wykonaj następujące kroki:
      1. W Edytorze rejestru zlokalizuj i kliknij następujący podklucz rejestru (BadServiceName jest nazwą usługi złośliwego oprogramowania).
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
        Na przykład zlokalizuj i kliknij następujący podklucz rejestru:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
      2. W okienku nawigacyjnym kliknij prawym przyciskiem myszy podklucz usługi złośliwego oprogramowania, a następnie kliknij polecenie Uprawnienia.
      3. W oknie dialogowym Uprawnienia dla SvcHost kliknij przycisk Zaawansowane.
      4. W oknie dialogowym Zaawansowane ustawienia zabezpieczeń kliknij w celu zaznaczenia obu następujących pól wyboru:
        Dziedzicz po obiekcie nadrzędnym wpisy uprawnienia stosowane do obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.

        Zamień wpisy uprawnienia na wszystkich obiektach podrzędnych na wpisy tutaj pokazane, stosowane do obiektów podrzędnych.
    12. Naciśnij klawisz F5, aby zaktualizować dane Edytora rejestru. W okienku szczegółów można teraz przejrzeć i edytować plik DLL złośliwego oprogramowania załadowany jako „ServiceDll”. W tym celu wykonaj następujące czynności:
      1. Kliknij dwukrotnie wpis ServiceDll.
      2. Zanotuj ścieżkę do wspomnianego pliku DLL. Będzie ona potrzebna w dalszej części tej procedury. Na przykład ścieżka do pliku może mieć następującą postać:
         %SystemRoot%\System32\doieuln.dll
        Zmień nazwę w ścieżce na następującą:
         %SystemRoot%\System32\doieuln.old
      3. Kliknij przycisk OK.
    13. Usuń wpis usługi złośliwego oprogramowania z podklucza Run w rejestrze.
      1. W Edytorze rejestru zlokalizuj i kliknij następujące podklucze:
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      2. W obu podkluczach znajdź wpis rozpoczynający się ciągiem „rundll32.exe” i odwołujący się do pliku DLL złośliwego oprogramowania ładowanego jako „ServiceDll” (wskazanego w punkcie 12b). Usuń ten wpis.
      3. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.
    14. Wyszukaj pliki Autorun.inf na wszystkich dyskach w systemie. Otwórz każdy znaleziony plik za pomocą Notatnika, a następnie sprawdź, czy jest to prawidłowy plik Autorun.inf. Poniżej przedstawiono przykład prawidłowego pliku Autorun.inf.
      [autorun]shellexecute=Servers\splash.hta *DVD*icon=Servers\autorun.ico
      Prawidłowy plik Autorun.inf ma zwykle od 1 do 2 kilobajtów (KB).
    15. Usuń wszystkie pliki Autorun.inf, które wyglądają na nieprawidłowe.
    16. Ponownie uruchom komputer.
    17. Włącz wyświetlanie plików ukrytych. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
    18. Ustaw opcję Pokaż ukryte pliki i foldery, aby plik stał się widoczny. W tym celu wykonaj następujące czynności:
      1. W punkcie 12b została zanotowana ścieżka do pliku dll złośliwego oprogramowania. Na przykład została zanotowana ścieżka podobna do następującej:
        %systemroot%\System32\doieuln.dll
        W Eksploratorze Windows otwórz katalog %systemroot%\System32 lub katalog zawierający złośliwe oprogramowanie.
      2. Kliknij pozycję Narzędzia, a następnie kliknij polecenie Opcje folderów.
      3. Kliknij kartę Widok.
      4. Zaznacz pole wyboru Pokaż ukryte pliki i foldery.
      5. Kliknij przycisk OK.
    19. Zaznacz plik dll.
    20. Nadaj uprawnienie Pełna kontrola grupie Wszyscy, edytując uprawnienia do pliku. W tym celu wykonaj następujące czynności:
      1. Kliknij prawym przyciskiem myszy plik dll, a następnie kliknij polecenie Właściwości.
      2. Kliknij kartę Zabezpieczenia.
      3. Kliknij pozycję Wszyscy, a następnie zaznacz pole wyboru Pełna kontrola w kolumnie Zezwalaj.
      4. Kliknij przycisk OK.
    21. Usuń plik dll złośliwego oprogramowania. W tym przykładzie usuń plik %systemroot%\System32\doieuln.dll.
    22. Włącz usługi Aktualizacje automatyczne, BITS (Usługa inteligentnego transferu w tle), Windows Defender oraz Raportowanie błędów za pomocą przystawki Usługi programu Microsoft Management Console (MMC).
    23. Wyłącz funkcję autouruchamiania, aby zmniejszyć skutki ewentualnej ponownej infekcji. W tym celu wykonaj następujące czynności:
      1. W zależności od systemu operacyjnego zainstaluj jedną z następujących aktualizacji:
        • W systemie Windows 2000, Windows XP lub Windows Server 2003 zainstaluj aktualizację 967715.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
          967715 Jak wyłączyć funkcje autouruchamiania w systemie Windows
        • W systemie Windows Vista lub Windows Server 2008 zainstaluj aktualizację 950582.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
          950582MS08-038: Luka w zabezpieczeniach Eksploratora Windows umożliwia zdalne wykonanie kodu
        Uwaga Aktualizacje 967715 i 950582 nie są związane z tym problemem. Ich zainstalowanie jest wymagane do włączenia funkcji rejestru w punkcie 23b.
      2. W wierszu polecenia wpisz następujące polecenie:
        reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
    24. Jeśli w systemie działa usługa Windows Defender, ponownie aktywuj lokalizację autouruchamiania tej usługi. W tym celu wpisz następujące polecenie w wierszu polecenia:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
    25. W systemie Windows Vista i nowszych systemach operacyjnych złośliwe oprogramowanie wyłącza ustawienie globalne autodostrajania okna odbioru TCP. Aby anulować tę zmianę, wpisz następujące polecenie w wierszu polecenia:
      netsh interface tcp set global autotuning=normal
    Jeśli po wykonaniu tej procedury będą występować symptomy ponownego zainfekowania komputera, oznacza to, że mogła wystąpić jedna z następujących sytuacji:
    • Jedna z lokalizacji autouruchamiania nie została usunięta. Na przykład mogło nie zostać usunięte zadanie autodostrajania albo plik Autorun.inf.
    • Aktualizacja zabezpieczeń MS08-067 została niepoprawnie zainstalowana.
    To złośliwe oprogramowanie może zmieniać także inne ustawienia, które nie zostały opisane w tym artykule. Aby uzyskać najnowsze informacje na temat robaka Win32/Conficker, odwiedź następującą stronę w Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem w sieci Web:

    Sprawdzanie, czy system jest czysty

    Sprawdź, czy następujące usługi zostały uruchomione:
    • Aktualizacje automatyczne (wuauserv)
    • Usługa inteligentnego transferu w tle (BITS)
    • Windows Defender (windefend) (jeśli jest zainstalowana)
    • Usługa raportowania błędów systemu Windows
    W tym celu wpisz następujące polecenia w wierszu polecenia. Naciskaj klawisz ENTER po wpisaniu każdego polecenia:

    Sc.exe query wuauserv
    Sc.exe query bits
    Sc.exe query windefend
    Sc.exe query ersvc

    Po uruchomieniu kolejnych poleceń będzie wyświetlany komunikat podobny do następującego:
    SERVICE_NAME: wuauserv
    TYPE : 20 WIN32_SHARE_PROCESS
    STATE : 4 RUNNING
    (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE : 0 (0x0)
    SERVICE_EXIT_CODE : 0 (0x0)
    CHECKPOINT : 0x0
    WAIT_HINT : 0x0
    W tym przykładzie zapis „STATE : 4 RUNNING” oznacza, że usługa jest uruchomiona.

    Aby sprawdzić stan podklucza rejestru SvcHost, wykonaj następujące kroki:
    1. W Edytorze rejestru zlokalizuj i kliknij następujący podklucz rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    2. W okienku szczegółów kliknij dwukrotnie pozycję netsvcs, a następnie przejrzyj wymienione nazwy usług. Przewiń listę w dół. Jeśli komputer został ponownie zainfekowany robakiem Conficker, lista będzie zawierać przypadkową nazwę usługi. Na przykład na potrzeby tej procedury przyjęto, że nazwa usługi złośliwego oprogramowania to „Iaslogon”.
    Jeśli wykonanie tej procedury nie rozwiązało problemu, skontaktuj się z producentem oprogramowania antywirusowego.Aby uzyskać więcej informacji dotyczących tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    49500Lista producentów oprogramowania antywirusowego
    Jeśli nie możesz skontaktować się z producentem oprogramowania antywirusowego lub uzyskać od niego pomocy, skontaktuj się z Pomocą techniczną firmy Microsoft.

    Po pełnym oczyszczeniu środowiska komputerowego

    Po pełnym oczyszczeniu środowiska komputerowego wykonaj następujące czynności:
    1. Ponownie włącz usługi Serwer oraz Harmonogram zadań.
    2. Przywróć uprawnienia domyślne dla klucza rejestru SVCHOST i folderu Tasks. Ustawienia domyślne powinny zostać przywrócone za pomocą ustawień zasad grupy. W przypadku tylko usunięcia zasady uprawnienia domyślne mogą nie zostać ponownie zmienione. Aby uzyskać więcej informacji, zobacz tabelę uprawnień domyślnych w sekcji Czynności służące ograniczeniu ryzyka.
    3. Zaktualizuj komputer, instalując brakujące aktualizacje zabezpieczeń. W tym celu skorzystaj z produktu Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) lub produktu do zarządzania aktualizacjami innej firmy. W przypadku programów SMS lub SCCM należy najpierw włączyć ponownie usługę Serwer. W przeciwnym razie te programy nie będą mogły zaktualizować systemu.
    Identyfikowanie zainfekowanych systemów
    W przypadku problemów ze zidentyfikowaniem systemów zainfekowanych wirusem Conficker pomocne mogą okazać się szczegółowe informacje zawarte w następującym blogu w witrynie TechNet:
    Tabela uprawnień domyślnych
    W poniższej tabeli przedstawiono uprawnienia domyślne w poszczególnych systemach operacyjnych. Te uprawnienia obowiązują przed zastosowaniem zmian zalecanych w tym artykule. Te uprawnienia mogą różnić się od uprawnień ustawionych w używanym środowisku. Z tego powodu przed wprowadzeniem jakichkolwiek zmian należy zanotować informacje o używanych ustawieniach. Należy to zrobić w celu umożliwienia przywrócenia tych ustawień po oczyszczeniu systemu.
    System operacyjny Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    UstawienieSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder TasksSvchost (w rejestrze)Folder Tasks
    Konto
    Administratorzy (Grupa lokalna)Pełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrola
    SystemPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrolaPełna kontrola
    Użytkownicy zaawansowani (Grupa lokalna)Nie dotyczyNie dotyczyNie dotyczyNie dotyczyOdczytNie dotyczyOdczytNie dotyczyOdczytNie dotyczy
    Użytkownicy (Grupa lokalna)Specjalne Nie dotyczySpecjalneNie dotyczyOdczytNie dotyczyOdczytNie dotyczyOdczytNie dotyczy
    Dotyczy: tego klucza i podkluczyDotyczy: tego klucza i podkluczy
    Badanie wartościBadanie wartości
    Wyliczanie podkluczyWyliczanie podkluczy
    PowiadamianiePowiadamianie
    Kontrola odczytuKontrola odczytu
    Użytkownicy uwierzytelnieniNie dotyczySpecjalneNie dotyczySpecjalneNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczy
    Dotyczy: tylko tego folderuDotyczy: tylko tego folderu
    Przechodzenie przez folderPrzechodzenie przez folder
    Wyświetlanie folderuWyświetlanie folderu
    Odczyt atrybutówOdczyt atrybutów
    Odczyt atrybutów rozszerzonychOdczyt atrybutów rozszerzonych
    Tworzenie plikówTworzenie plików
    Odczyt uprawnieńOdczyt uprawnień
    Operatorzy kopii zapasowych (Grupa lokalna)Nie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczySpecjalneNie dotyczySpecjalne
    Dotyczy: tylko tego folderuDotyczy: tylko tego folderu
    Przechodzenie przez folderPrzechodzenie przez folder
    Wyświetlanie folderuWyświetlanie folderu
    Odczyt atrybutówOdczyt atrybutów
    Odczyt atrybutów rozszerzonychOdczyt atrybutów rozszerzonych
    Tworzenie plikówTworzenie plików
    Odczyt uprawnieńOdczyt uprawnień
    WszyscyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczyNie dotyczySpecjalne
    Dotyczy: tego folderu, podfolderów i plików
    Przechodzenie przez folder
    Wyświetlanie folderu
    Odczyt atrybutów
    Odczyt atrybutów rozszerzonych
    Tworzenie plików
    Tworzenie folderów
    Zapis atrybutów
    Zapis atrybutów rozszerzonych
    Odczyt uprawnień
    Dodatkowa pomoc
    Użytkownicy przebywający w Stanach Zjednoczonych, którzy potrzebują dodatkowej pomocy dotyczącej tego problemu, mogą rozpocząć rozmowę z przedstawicielem w witrynie Answer Desk:
    luka złośliwy atakujący wykorzystać rejestr nieuwierzytelnione
    Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.
    Właściwości

    Identyfikator artykułu: 962007 — ostatni przegląd: 01/15/2013 19:49:00 — zmiana: 1.0

    Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Dodatek Service Pack 1 do systemu Windows Vista, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Service Pack 4

    • kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
    Opinia