ข้อความแจ้งเตือนไวรัสเกี่ยวกับหนอนไวรัส Win32/Conficker

สนับสนุนสำหรับ Windows Vista Service Pack 1 (SP1) สิ้นสุดในวันที่ 12 กรกฎาคม 2011 หากต้องการรับการปรับปรุงความปลอดภัยสำหรับ Windows ต่อไป จะต้องแน่ใจว่าคุณกำลังเรียกใช้ Windows Vista ที่มี Service Pack 2 (SP2) สำหรับข้อมูลเพิ่มเติม การอ้างอิงถึงเว็บไซต์นี้ของ Microsoft:สนับสนุนจะสิ้นสุดลงสำหรับ Windows บางรุ่น

สรุป

ข้อมูลในบทความฐานข้อมูลองค์ความรู้นี้มีจุดมุ่งหมายสำหรับสภาพแวดล้อมทางธุรกิจที่มีผู้ดูแลระบบที่สามารถนำรายละเอียดในบทความนี้ ไม่มีเหตุผลไม่มีการใช้บทความนี้ หากโปรแกรมป้องกันไวรัสจะทำความสะอาดไวรัสอย่างถูกต้อง และมีการปรับปรุงระบบของคุณทั้งหมด เมื่อต้องการยืนยันว่า ระบบใหม่ทั้งหมดของไวรัส Conficker ดำเนินการสแกนแบบเร็วจากเว็บเพจที่ต่อไปนี้: http://www.microsoft.com/security/scanner/



สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไวรัส Conficker แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

อาการต่าง ๆ ของการติดไวรัส

ถ้าคอมพิวเตอร์ของคุณติดหนอนไวรัสนี้ คุณอาจไม่พบอาการใด ๆ หรือคุณอาจประสบกับอาการต่อไปนี้:
  • นโยบายการปิดบัญชีจะมีการ tripped
  • อัตโนมัติปรับปรุง Background Intelligent Transfer Service (BITS), Windows Defender และ บริการการรายงานข้อผิดพลาดถูกปิดใช้งาน
  • ตัวควบคุมโดเมนตอบสนองช้าลงเมื่อต้องการร้องขอของไคลเอ็นต์
  • เครือข่ายเป็น congested
  • ไม่สามารถเข้าถึงความปลอดภัยที่เกี่ยวข้องกับเว็บไซต์
  • เครื่องมือต่าง ๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยจะไม่ทำงาน สำหรับรายการของเครื่องมือรู้จัก แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้ และจากนั้น คลิกแท็บวิเคราะห์สำหรับข้อมูลเกี่ยวกับ Win32/Conficker.D สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft:
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Win32/Conficker แวะไปที่หน้าเว็บศูนย์การป้องกันมัลแวร์ Microsoft ต่อไปนี้:

วิธีการเผยแพร่

Win32/Conficker ได้เผยแพร่หลายวิธี ซึ่งรวมถึงต่อไปนี้:
  • ปรับปรุงการเจาะของช่องโหว่ที่ถูกปรับปรุง โดยการรักษาความปลอดภัย 958644 (MS08-067)
  • การใช้เครือข่ายที่ใช้ร่วมกัน
  • การใช้ฟังก์ชัน'เล่นอัตโนมัติ'
ดังนั้น คุณต้องระมัดระวังเมื่อคุณทำความสะอาดเครือข่ายเพื่อให้การคุกคามเป็น reintroduced กับระบบต่าง ๆ ที่เคยถูกกำจัดไม่


หมายเหตุ ตัวแปร Win32/Conficker.D ไม่ได้แพร่กระจายไปยังไดรฟ์แบบถอดได้ หรือโฟลเดอร์ที่ใช้ร่วมผ่านเครือข่าย Win32/Conficker.D ถูกติดตั้ง โดยตัวแปรก่อนหน้าของ Win32/Conficker

การป้องกัน

  • ใช้รหัสผ่านที่คาดเดายากของผู้ดูแลระบบที่ไม่ซ้ำกันสำหรับคอมพิวเตอร์ทุกเครื่อง
  • ไม่เข้าสู่ระบบคอมพิวเตอร์ โดยใช้ข้อมูลประจำตัวของผู้ดูแลโดเมนหรือข้อมูลประจำตัวที่มีสิทธิเข้าถึงคอมพิวเตอร์ทั้งหมด
  • ตรวจสอบให้แน่ใจว่า ระบบทั้งหมดมีการปรับปรุงความปลอดภัยล่าสุดที่ใช้
  • ปิดใช้งานคุณลักษณะ'เล่นอัตโนมัติ' สำหรับข้อมูลเพิ่มเติม ให้ดูขั้นตอนที่ 3 ของ "สร้างแบบ Group Policy object" ส่วน
  • เอาสิทธิ์มากเกินไปในการใช้ร่วมกัน ซึ่งรวมถึงการเอาสิทธิ์ในการเขียนไปยังรากของใด ๆ ที่ใช้ร่วมกัน

ขั้นตอนการลด

หยุด Win32/Conficker แพร่กระจายโดยใช้การตั้งค่า'นโยบายกลุ่ม'

หมายเหตุ
  • สิ่งสำคัญ ตรวจสอบให้แน่ใจว่า คุณได้เอกสารใด ๆ การตั้งค่าปัจจุบันก่อนที่คุณทำการเปลี่ยนแปลงที่จะแนะนำในบทความนี้
  • กระบวนการนี้เอามัล Conficker จากระบบ ขั้นตอนนี้หยุดการแพร่กระจายของมัลแวร์เท่านั้น คุณควรใช้ผลิตภัณฑ์ป้องกันไวรัสเพื่อเอามัล Conficker จากระบบ หรือ ให้ทำตามขั้นตอนในส่วน "ขั้นตอนการเอาออกไวรัส Win32/Conficker" ของบทความฐานความรู้นี้การลบมัลแวร์จากระบบ






  • คุณอาจไม่สามารถใช้ได้อย่างถูกต้องติดตั้งโปรแกรมประยุกต์ เซอร์วิสแพ็ค หรือโปรแกรมปรับปรุงอื่น ๆ ในขณะที่กำลังเปลี่ยนแปลงสิทธิ์ที่ที่แนะนำในขั้นตอนต่อไปนี้ในสถานที่ ซึ่งรวมถึง แต่ไม่จำกัดเฉพาะ โปรแกรมปรับปรุง โดยใช้ Windows Update เซิร์ฟเวอร์ Microsoft Windows Server Update Services (WSUS) และระบบ จัดการการตั้งค่าศูนย์ (ตัวจัดการการตั้งค่าคอนฟิก 2007), เป็นผลิตภัณฑ์เหล่านี้ขึ้นอยู่กับคอมโพเนนต์ของโปรแกรมปรับปรุงโดยอัตโนมัติ ตรวจสอบให้แน่ใจว่า คุณเปลี่ยนสิทธิกลับไปยังการตั้งค่าเริ่มต้นหลังจากที่คุณล้างระบบ
  • สำหรับข้อมูลเกี่ยวกับสิทธิ์เริ่มต้นสำหรับคีย์รีจิสทรี SVCHOST และโฟลเดอร์งานที่กล่าวถึงในส่วน "สร้างแบบวัตถุนโยบาย กลุ่ม" ดูตารางสิทธิ์เริ่มต้นที่ส่วนท้ายของบทความนี้

สร้างวัตถุ'นโยบายกลุ่ม'

สร้างใหม่ Group Policy object (GPO) ที่ใช้กับคอมพิวเตอร์ทุกเครื่องในการระบุชื่อหน่วยงาน (OU), ไซต์ หรือโด เมน ตามความจำเป็นในสภาพแวดล้อมของคุณ

เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
  1. ตั้งค่านโยบายการเอาสิทธิ์ในการเขียนไปที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    ซึ่งป้องกันการบริการมัลแวร์ที่มีชื่อแบบสุ่มจากการถูกสร้างขึ้นในค่ารีจิสทรี netsvcs

    เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. เปิดคอนโซลการจัดการนโยบายกลุ่ม (ของ gpmc ได้จาก)
    2. สร้าง GPO ใหม่ ตั้งชื่อใด ๆ ที่คุณต้องการ
    3. เปิด GPO ใหม่ และจากนั้น ย้ายไปยังโฟลเดอร์ต่อไปนี้:
      Settings\Registry Settings\Security Configuration\Windows คอมพิวเตอร์
    4. คลิกขวาที่รีจิสทรีและจากนั้น คลิกเพิ่มคีย์
    5. ในกล่องโต้ตอบตัวเลือกรีจิสทรีคีย์ขยายเครื่องจักรและจากนั้น ย้ายไปยังโฟลเดอร์ต่อไปนี้:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. คลิก ตกลง
    7. ในกล่องโต้ตอบที่เปิด คลิกเพื่อยกเลิกเลือกกล่องกาเครื่องหมายควบคุมทั้งหมดสำหรับทั้งผู้ดูแลและระบบ
    8. คลิก ตกลง
    9. ในกล่องโต้ตอบเพิ่มวัตถุคลิกแทนสิทธิ์ที่มีอยู่ในคีย์ย่อยทั้งหมดด้วยสิทธิ์ที่สามารถสืบทอดได้
    10. คลิก ตกลง
  2. ตั้งค่านโยบายการเอาสิทธิ์ในการเขียนไปยังโฟลเดอร์ %windir%\Tasks ซึ่งป้องกันไม่ให้มัลแวร์ Conficker สร้างงานจัดกำหนดการที่สามารถ reinfect ระบบ

    เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. ใน GPO เดียวกันกับที่คุณสร้างไว้ก่อนหน้านี้ คุณสามารถย้ายไปยังโฟลเดอร์ต่อไปนี้:
      Configuration\Windows Settings\Security Settings\File ระบบ
    2. คลิกขวาที่แฟ้มระบบและจากนั้น คลิกเพิ่มแฟ้ม
    3. ในกล่องโต้ตอบเพิ่มแฟ้มหรือโฟลเดอร์เรียกดูไปยังโฟลเดอร์ %windir%\Tasks ตรวจสอบให้แน่ใจว่า มีเน้น และแสดงในกล่องโต้ตอบโฟลเดอร์งาน
    4. คลิก ตกลง
    5. ในกล่องโต้ตอบที่เปิด คลิกเพื่อล้างกล่องกาเครื่องหมายสำหรับควบคุมทั้งหมดปรับเปลี่ยนและเขียนสำหรับทั้งผู้ดูแลและระบบ
    6. คลิก ตกลง
    7. ในกล่องโต้ตอบเพิ่มวัตถุคลิกแทนสิทธิ์ที่มีอยู่ในคีย์ย่อยทั้งหมดด้วยสิทธิ์ที่สามารถสืบทอดได้
    8. คลิก ตกลง
  3. ตั้งค่าคุณลักษณะ'เล่นอัตโนมัติ' (อัตโนมัติ) จะถูกปิดใช้งาน การนี้ช่วยรักษาการมัล Conficker แพร่กระจายโดยการใช้คุณลักษณะ'เล่นอัตโนมัติ'ที่ถูกสร้างไว้ใน Windows


    หมายเหตุ ขึ้นอยู่กับรุ่นของ Windows ที่คุณกำลังใช้ มีการปรับปรุงต่าง ๆ ที่คุณต้องติดตั้งอย่างถูกต้องปิดใช้งานฟังก์ชันการทำงานอัตโนมัติ:

    • เมื่อต้องการปิดใช้งานฟังก์ชันการทำงานอัตโนมัติ ใน Windows Vista หรือ Windows Server 2008 คุณต้องมีระบบความปลอดภัยปรับปรุง950582ติดตั้ง (อธิบายไว้ในบูเลทีนรักษาความปลอดภัย MS08-038)
    • เมื่อต้องการปิดใช้งานฟังก์ชันการทำงานอัตโนมัติ ใน Windows XP, Windows Server 2003 หรือ ใน Windows 2000 คุณต้องมีการปรับปรุงความปลอดภัย950582, 967715การปรับปรุง หรือ953252ติดตั้งการปรับปรุง


    เมื่อต้องตั้งถูกปิดใช้งานคุณลักษณะ'เล่นอัตโนมัติ' (อัตโนมัติ) ให้ทำตามขั้นตอนเหล่านี้:
    1. ใน GPO เดียวกันกับที่คุณสร้างไว้ก่อนหน้านี้ ย้ายไปยังโฟลเดอร์ต่อไปนี้:
      • สำหรับโดเมน Windows Server 2003 ย้ายไปยังโฟลเดอร์ต่อไปนี้:
        Templates\System Configuration\Administrative คอมพิวเตอร์
      • สำหรับโดเมน Windows 2008 ย้ายไปยังโฟลเดอร์ต่อไปนี้:
        นโยบายการ Components\Autoplay Templates\Windows Configuration\Administrative คอมพิวเตอร์
    2. เปิดนโยบายการปิด'เล่นอัตโนมัติ'
    3. ในกล่องโต้ตอบ'เล่นอัตโนมัติ'ปิดการทำงานคลิกเปิดใช้งาน
    4. ในเมนูดรอปดาวน์ คลิกไดรฟ์ทั้งหมด
    5. คลิก ตกลง
  4. ปิดคอนโซลการจัดการนโยบายกลุ่ม
  5. การเชื่อมโยงวัตถุนโยบายกลุ่มสร้างขึ้นใหม่ไปยังตำแหน่งที่คุณต้องการใช้
  6. อนุญาตให้มีเวลาเพียงพอสำหรับการตั้งค่า'นโยบายกลุ่ม'เพื่อปรับปรุงคอมพิวเตอร์ทุกเครื่อง โดยทั่วไป การจำลองแบบ'นโยบายกลุ่ม'จะจำลองแบบไปยังตัวควบคุมโดเมนแต่ละห้านาที แล้ว 90 นาทีในการจำลองแบบไปยังส่วนเหลือของระบบการ Couple สักชั่วโมงควรจะเพียงพอ อย่างไรก็ตาม เวลาเพิ่มเติมอาจจำเป็น ขึ้นอยู่กับสภาพแวดล้อม
  7. หลังจากที่มีการเผยแพร่การตั้งค่า Group Policy ล้างระบบของมัลแวร์

    เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. เรียกใช้การสแกนไวรัสทั้งหมดบนคอมพิวเตอร์ทั้งหมด
    2. ถ้าซอฟต์แวร์ป้องกันไวรัสของคุณตรวจไม่พบ Conficker คุณสามารถใช้สแกนเนอร์ความปลอดภัย Microsoft จะล้างมัลแวร์ สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft: http://www.microsoft.com/security/scanner/หมายเหตุคุณอาจจำเป็นต้องทำตามขั้นตอนบางอย่างด้วยตนเองเพื่อล้างลักษณะพิเศษทั้งหมดของมัลแวร์ เราขอแนะนำให้ คุณตรวจทานขั้นตอนที่ระบุไว้ในส่วน "ขั้นตอนการเอาออกไวรัส Win32/Conficker" ของบทความนี้เพื่อล้างข้อมูลลักษณะพิเศษทั้งหมดของมัลแวร์

กู้คืน

เรียกใช้สแกนเนอร์ความปลอดภัยของ Microsoft

ศูนย์ป้องกันมัลแวร์ของ Microsoft ได้ปรับปรุงสแกนเนอร์ความปลอดภัยของ Microsoft นี่คือไบนารีแบบสแตนด์อโลนที่เป็นประโยชน์ในการเอาซอฟต์แวร์ที่เป็นอันตรายที่พบบ่อยและ และสามารถช่วยเอาตระกูลมัลแวร์ Win32/Conficker

หมายเหตุ สแกนเนอร์ความปลอดภัย Microsoft ไม่ป้องกัน reinfection เนื่องจากไม่มีโปรแกรมป้องกันไวรัสแบบในเวลาจริง

คุณสามารถดาวน์โหลดสแกนเนอร์ความปลอดภัยของ Microsoft จากเว็บไซต์ต่อไปนี้ของ Microsoft:
หมายเหตุ เครื่องมือ Sweeper ระบบ Stand-Alone จะเอาการติดไวรัสนี้ เครื่องมือนี้จะพร้อมใช้งานเป็นส่วนประกอบ ของชุด Microsoft เดสก์ท็อปประสิทธิภาพสูงสุด 6.0 หรือ ผ่านการบริการลูกค้าและฝ่ายสนับสนุน เมื่อต้องการขอรับการปรับให้เหมาะสมเดสก์ท็อป Microsoft Pack แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
ถ้าสิ่งจำเป็นสำหรับความปลอดภัยของ Microsoft หรือการรักษาความปลอดภัยของไคลเอ็นต์ Forefront Microsoft กำลังทำงานอยู่บนระบบ โปรแกรมเหล่านี้ยังบล็อกการคุกคามก่อนที่มีการติดตั้ง

ขั้นตอนการเอาออกไวรัส Win32/Conficker

หมายเหตุ
  • ขั้นตอนเหล่านี้ด้วยตนเองไม่จำเป็นอีกต่อไป และควรจะใช้ถ้าคุณไม่มีซอฟต์แวร์ป้องกันไวรัสเพื่อเอาไวรัส Conficker เท่านั้น
  • ขึ้นอยู่กับตัวแปร Win32/Conficker ที่ติดไวรัสกับคอมพิวเตอร์ บางส่วนของค่าเหล่านี้อ้างอิงถึงในส่วนนี้อาจไม่มีการเปลี่ยนแปลง โดยไวรัส



ขั้นตอนโดยละเอียดต่อไปนี้สามารถช่วยคุณในการเอา Conficker จากระบบด้วยตนเอง:
  1. เข้าสู่ระบบ โดยใช้บัญชีผู้ใช้ท้องถิ่น


    สิ่งสำคัญ ไม่เข้าสู่ระบบ โดยใช้บัญชีโดเมน ถ้าเป็นไปได้ โดยเฉพาะอย่างยิ่ง ไม่เข้าสู่ระบบ โดยใช้บัญชีผู้ดูแลโดเมนใหม่ การป้องกันมัล impersonates ผู้ใช้ที่เข้าสู่ระบบ และเข้าถึงทรัพยากรของเครือข่าย โดยใช้การบันทึกล็อกข้อมูลประจำตัวของผู้ใช้ ลักษณะการทำงานนี้ช่วยให้สามารถมีมัลแวร์จะแพร่กระจาย
  2. หยุดบริการเซิร์ฟเวอร์ นี่เอาการใช้ร่วมกัน Admin จากระบบเพื่อให้มัลแวร์ไม่สามารถแพร่กระจายได้ ด้วยการใช้วิธีการนี้


    หมายเหตุ บริการเซิร์ฟเวอร์ควรเท่านั้นสามารถปิดใช้งานชั่วคราวในขณะที่คุณล้างมัลแวร์ในสภาพแวดล้อมของคุณ นี่คือความจริงโดยเฉพาะอย่างยิ่งในเซิร์ฟเวอร์การผลิตได้เนื่องจากขั้นตอนนี้จะมีผลต่อความพร้อมใช้งานทรัพยากรเครือข่าย รวมสภาพแวดล้อมการล้าง การบริการเซิร์ฟเวอร์สามารถเปิดใช้งานอีกครั้ง


    เมื่อต้องการหยุดบริการเซิร์ฟเวอร์ ใช้ในบริการ Microsoft Management Console (MMC) เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. ขึ้นอยู่กับระบบของคุณ ทำสิ่งต่อไปนี้:
      • ใน Windows Vista และ Windows Server 2008 คลิกเริ่มพิมพ์services.mscในกล่องเริ่มการค้นหาและจากนั้น คลิกservices.mscในรายการโปรแกรม
      • ใน Windows 2000, Windows XP และ Windows Server 2003 คลิกเริ่มคลิกเรียกใช้พิมพ์services.mscแล้ว คลิ กตกลง
    2. คลิกสองครั้งที่เซิร์ฟเวอร์
    3. คลิก'หยุด'
    4. เลือกถูกปิดใช้งานในกล่องชนิดการเริ่มต้น
    5. คลิกนำไปใช้
  3. เอาออกทั้งหมด AT-สร้างงานที่กำหนดเวลาไว้ เมื่อต้องการทำเช่นนี้ พิมพ์AT /Delete /Yesที่พร้อมท์คำสั่ง
  4. หยุดบริการตัวกำหนดเวลางาน
    • เมื่อต้องการหยุดบริการตัวกำหนดเวลางานใน Windows 2000, Windows XP และ Windows Server 2003 ใช้ในบริการ Microsoft Management Console (MMC) หรือโปรแกรมอรรถประโยชน์ SC.exe นี้
    • เมื่อต้องการหยุดบริการตัวกำหนดเวลางาน ใน Windows Vista หรือ Windows Server 2008 ให้ทำตามขั้นตอนเหล่านี้

      สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
      322756 วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
      1. คลิกเริ่มพิมพ์regeditในกล่องเริ่มการค้นหาและจากนั้น คลิกregedit.exeในรายการโปรแกรม
      2. ค้นหา และคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. ในบานหน้าต่างรายละเอียด คลิกขวารายการ DWORDเริ่มและจากนั้น คลิกปรับเปลี่ยน
      4. ในกล่องValue dataพิมพ์4และจากนั้น คลิกตกลง
      5. ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์



        หมายเหตุ บริการ Task Scheduler ควรเท่านั้นสามารถปิดใช้งานชั่วคราวในขณะที่คุณล้างมัลแวร์ในสภาพแวดล้อมของคุณ นี่คือความจริงโดยเฉพาะอย่างยิ่งบน Windows Vista และ Windows Server 2008 เนื่องจากขั้นตอนนี้จะมีผลต่อต่าง ๆ ในตัวจัดกำหนดการงาน ทันทีที่สภาพแวดล้อมการล้าง จะเปิดใช้งานการบริการเซิร์ฟเวอร์
  5. ดาวน์โหลด และติดตั้งการปรับปรุงความปลอดภัย 958644 (MS08-067) ด้วยตนเอง สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft:
    หมายเหตุ ไซต์นี้อาจถูกบล็อกเนื่องจากการติดไวรัสมัลแวร์ ในสถานการณ์นี้ คุณต้องดาวน์โหลดการปรับปรุงจากคอมพิวเตอร์ที่มีการติดเชื้อ และการถ่ายโอนแฟ้มการปรับปรุงแล้ว ไปยังระบบที่ติดไวรัส เราขอแนะนำให้ คุณเขียนโปรแกรมปรับปรุงไปยังซีดีได้เนื่องจากไม่สามารถเขียนซีดีแบบเขียน ดังนั้น จะไม่สามารถติดไวรัส ถ้าไม่มีไดรฟ์ซีดีแบบบันทึกได้ ไดรฟ์หน่วยความจำ USB แบบถอดได้อาจเป็นวิธีเดียวที่จะคัดลอกการปรับปรุงไปยังระบบที่ติดไวรัส ถ้าคุณใช้ไดรฟ์แบบถอดได้ ระวังว่า มัลแวร์จะมีผลต่อไดรฟ์กับแฟ้ม Autorun.inf หลังจากที่คุณคัดลอกการปรับปรุงไปยังไดรฟ์แบบถอดได้ ตรวจสอบให้แน่ใจว่า คุณเปลี่ยนไดรฟ์ไปยังโหมดอ่านอย่างเดียว ถ้าตัวเลือกไม่พร้อมใช้งานสำหรับอุปกรณ์ของคุณ ถ้าโหมดอ่านอย่างเดียวจะพร้อมใช้งาน โดยทั่วไปจะเปิดใช้ โดยใช้สวิตช์มีอยู่จริงบนอุปกรณ์ แล้ว หลังจากที่คุณคัดลอกแฟ้มการปรับปรุงไปยังคอมพิวเตอร์ที่ติดไวรัส ตรวจสอบไดรฟ์แบบถอดได้เพื่อดูว่า มีแฟ้ม Autorun.inf ถูกเขียนลงในไดรฟ์ ถ้ามัน เปลี่ยนชื่อแฟ้ม Autorun.inf จะเหมือนกับ Autorun.bad เพื่อให้ไม่สามารถเรียกใช้เมื่อมีการเชื่อมต่อไดรฟ์แบบถอดได้เข้ากับคอมพิวเตอร์
  6. รีเซ็ตรหัสผ่านใด ๆ ภายใน Admin และผู้ดูแลโดเมนจะใช้รหัสผ่านรัดกุม สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft:
  7. ใน Registry Editor ค้นหา และคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้แล้ว:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. ในบานหน้าต่างรายละเอียด คลิกขวารายการnetsvcsและจากนั้น คลิกปรับเปลี่ยน
  9. ถ้าคอมพิวเตอร์ติดไวรัส Win32/Conficker จะแสดงชื่อของบริการที่สุ่มขึ้น


    หมายเหตุ ด้วย Win32/Conficker.B ชื่อบริการมีตัวอักษรแบบสุ่ม และถูกที่ด้านล่างของรายการ มีรุ่นที่ใหม่กว่าตัวแปร ชื่อบริการอาจจะอยู่ที่ใดก็ได้ในรายการ และอาจดูเหมือนจะ ถูกต้องตามกฎหมายมากขึ้น ถ้าชื่อบริการแบบสุ่มไม่ได้อยู่ที่ด้านล่าง เปรียบเทียบระบบของคุณ ด้วย "ตารางบริการ" ในขั้นตอนนี้เพื่อกำหนดชื่อบริการใดอาจถูกเพิ่ม โดย Win32/Conficker เมื่อต้องการตรวจสอบ เปรียบเทียบรายการใน "บริการตาราง" ด้วยระบบคล้ายกันที่เป็นที่ทราบว่าไม่มีการติดไวรัส


    โปรดสังเกตชื่อของบริการมัลแวร์ คุณจะได้ข้อมูลนี้ในภายหลังในขั้นตอนนี้
  10. ลบบรรทัดที่ประกอบด้วยการอ้างอิงไปยังบริการมัลแวร์ ตรวจสอบให้แน่ใจว่า คุณปล่อยตัวดึงข้อมูลภายใต้รายการถูกต้องตามกฎหมายล่าสุดที่อยู่ และจากนั้น คลิกตกลงบรรทัดว่าง



    หมายเหตุเกี่ยวกับตารางบริการ
    • รายการทั้งหมดในตารางการบริการจะถูกต้องรายการ ยกเว้นสินค้าที่ได้รับการเน้นในรูปแบบตัวหนา
    • สินค้าที่ได้รับการเน้นในรูปแบบตัวหนาเป็นตัวอย่างของไวรัส Win32/Conficker อาจเพิ่มกับค่าในคีย์รีจิสทรี SVCHOST netsvcs อะไร
    • ซึ่งอาจไม่ใช่รายชื่อทั้งหมดของบริการ ขึ้นอยู่กับสิ่งที่ติดตั้งบนระบบ
    • ตารางการบริการจากการติดตั้งเริ่มต้นของ Windows ได้
    • รายการที่ไวรัส Win32/Conficker ที่เพิ่มลงในรายการ เป็นเทคนิคการ obfuscation รายการเน้น ที่เป็นอันตรายที่ควรจะคล้ายกับอักษรตัวแรกเป็นตัวพิมพ์เล็ก "ประเภททั่วไป" อย่างไรก็ตาม ความจริงแล้วเป็นตัวพิมพ์ใหญ่ "ฉัน" เนื่องจาก มีแบบอักษรที่ใช้ โดยระบบปฏิบัติการ ตัวพิมพ์ใหญ่ "I" ดูเหมือนจะ เป็นตัวพิมพ์เล็ก "ประเภททั่วไป"

    ตารางบริการ

    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ชุดรูปแบบชุดรูปแบบเบราว์เซอร์AudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcเบราว์เซอร์Irmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemงาน Rasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServเซอร์
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    งาน Rasmanงาน RasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    เซอร์เซอร์งาน RasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvกำหนดการRasauto
    WmiWmiSeclogonงาน Rasman
    WmdmPmSpWmdmPmSpเซอร์Remoteaccess
    TermServiceTermServiceSharedaccessกำหนดการ
    wuauservwuauservชุดรูปแบบSeclogon
    บิตบิตTrkWksเซอร์
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiชุดรูปแบบ
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoบิตWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    เบราว์เซอร์ProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcบิต
    ProfSvcกำหนดการhelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcเบราว์เซอร์xmlprov
    กำหนดการhkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. ในขั้นตอนก่อนหน้านี้ คุณจดบันทึกไว้ชื่อของบริการมัลแวร์ ในตัวอย่างของเรา ชื่อของรายการมัลแวร์ถูก "Iaslogon" ใช้ข้อมูลนี้ ให้ทำตามขั้นตอนเหล่านี้:
    1. ใน Registry Editor ค้นหา และจากนั้น คลิกต่อไปนี้รีจิสทรีคีย์ย่อย ที่BadServiceNameคือชื่อของบริการมัลแวร์:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      ตัวอย่างเช่น ค้นหา และคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้แล้ว:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. คลิกขวาที่คีย์ย่อยในบานหน้าต่างการนำทางสำหรับชื่อบริการมัลแวร์ และจากนั้น คลิกสิทธิ์
    3. ในกล่องโต้ตอบรายการการอนุญาตสำหรับ SvcHostคลิกขั้นสูง
    4. ในกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูงคลิกเพื่อเลือกทั้งสองกล่องกาเครื่องหมายต่อไปนี้:
      ให้สืบทอดจากแม่แบบรายการสิทธิ์ที่ใช้กับวัตถุลูก รวมเหล่านี้ ด้วยรายการที่กำหนดอย่างชัดเจนที่นี่

      แทนรายการการอนุญาตบนวัตถุลูกทั้งหมด ด้วยรายการที่แสดงที่นี่ซึ่งนำไปใช้กับวัตถุลูก
  12. กด F5 เพื่อปรับปรุงตัวแก้ไขรีจิสทรี ในบานหน้าต่างรายละเอียด คุณสามารถเดี๋ยวนี้ดู และแก้ไขมัลแวร์ DLL ที่โหลดเป็น "ServiceDll" เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. คลิกสองครั้งที่รายการ ServiceDll
    2. หมายเหตุเส้นทางของ DLL อ้างอิง คุณจะได้ข้อมูลนี้ในภายหลังในขั้นตอนนี้ ตัวอย่างเช่น เส้นทางของ DLL อ้างอิงอาจมีลักษณะต่อไปนี้:
       %SystemRoot%\System32\doieuln.dll 
      เปลี่ยนชื่อการอ้างอิงให้คล้ายกับต่อไปนี้:
       %SystemRoot%\System32\doieuln.old 
    3. คลิก ตกลง
  13. เอารายการบริการมัลแวร์จากรีรันซับคีย์ในรีจิสทรี
    1. ใน Registry Editor ค้นหา และคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้แล้ว:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. ในคีย์ย่อยของทั้งสอง ค้นหารายการใด ๆ ที่ขึ้นต้น ด้วย "rundll32.exe" และยัง อ้างอิงถึงมัลแวร์ DLL ที่โหลดเป็น "ServiceDll" ที่คุณระบุไว้ในขั้นตอนที่ 12b ลบรายการ
    3. ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์
  14. ตรวจสอบหาแฟ้ม Autorun.inf บนไดรฟ์ใด ๆ ในระบบหรือไม่ ใช้ Notepad เพื่อเปิดแฟ้มแต่ละแฟ้ม และตรวจสอบว่า เป็นแฟ้ม Autorun.inf ที่ถูกต้อง ต่อไปนี้คือ ตัวอย่างของแฟ้ม Autorun.inf ถูกต้องโดยทั่วไป
    [autorun]shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico

    โดยปกติแล้ว Autorun.inf ถูกต้องคือ 1 ถึง 2 กิโลไบต์ (KB)
  15. ลบแฟ้ม Autorun.inf ใด ๆ ที่ดูเหมือนไม่ถูกต้อง
  16. เริ่มระบบของคอมพิวเตอร์ใหม่
  17. แฟ้มที่ซ่อนไว้ให้มองเห็น เมื่อต้องการทำเช่นนี้ พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์คำสั่ง:
    reg.exe เพิ่ม /f /d 0x1 REG_DWORD การ /t CheckedValue ของ /v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  18. ตั้งค่าแสดงแฟ้มที่ซ่อนไว้และโฟลเดอร์เพื่อให้คุณสามารถดูแฟ้ม เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. ในขั้นตอนที่ 12b คุณระบุเส้นทางของแฟ้ม.dll ที่อ้างอิงสำหรับการป้องกันมัล ตัวอย่างเช่น คุณจดบันทึกไว้เป็นเส้นทางที่มีลักษณะต่อไปนี้:
      %systemroot%\System32\doieuln.dll
      ใน Windows Explorer เปิดไดเรกทอรี %systemroot%\System32 หรือไดเรกทอรีที่ประกอบด้วยมัลแวร์
    2. คลิกเครื่องมือแล้ว คลิ กตัวเลือกโฟลเดอร์
    3. คลิกที่แท็บมุมมอง
    4. เลือกกล่องกาเครื่องหมายแสดงแฟ้มที่ซ่อนไว้และโฟลเดอร์
    5. คลิก ตกลง
  19. เลือกไฟล์.dll
  20. แก้ไขสิทธิ์บนแฟ้มเมื่อต้องการเพิ่มการควบคุมโดยสมบูรณ์สำหรับทุกคน เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. คลิกขวาแฟ้ม.dll และจากนั้น คลิกคุณสมบัติ
    2. คลิกแท็บความปลอดภัย
    3. คลิกทุกคนและจากนั้น คลิกเพื่อเลือกกล่องกาเครื่องหมายควบคุมทั้งหมดในคอลัมน์อนุญาต
    4. คลิก ตกลง
  21. ลบแฟ้ม.dll ที่อ้างอิงสำหรับมัลแวร์ ตัวอย่างเช่น ลบแฟ้ม %systemroot%\System32\doieuln.dll อยู่
  22. เปิดใช้งานแบบบิต Automatic Updates รายงานข้อผิดพลาด และ Windows Defender บริการ โดยใช้การบริการ Microsoft Management Console (MMC)
  23. ปิดการทำงานอัตโนมัติเพื่อช่วยลดผลกระทบของ reinfection ใด ๆ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
    1. ขึ้นอยู่กับระบบของคุณ ติดตั้งโปรแกรมปรับปรุงต่อไปนี้:
      • ถ้าคุณกำลังเรียกใช้ Windows 2000, Windows XP หรือ Windows Server 2003 ติดตั้งการปรับปรุง 967715
        สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

        967715วิธีปิดใช้งานฟังก์ชันการทำงานอัตโนมัติใน Windows

      • ถ้าคุณกำลังเรียกใช้ Windows Vista หรือ Windows Server 2008 ติดตั้งการปรับปรุงความปลอดภัย 950582
        สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
        950582 MS08-038: ช่องโหว่ใน Windows Explorer อาจทำให้โค้ดจากระยะไกล
      หมายเหตุ การปรับปรุง 967715 และการปรับปรุงความปลอดภัย 950582 ไม่เกี่ยวข้องกับปัญหามัลแวร์นี้ โปรแกรมปรับปรุงเหล่านี้ต้องถูกติดตั้งเมื่อต้องการเปิดใช้งานฟังก์ชันรีจิสทรีในขั้นตอนที่ 23b
    2. พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์คำสั่ง:
      reg.exe เพิ่ม HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. ถ้าระบบกำลังเรียกใช้ Windows Defender จะเปิดใช้งานตำแหน่งที่ตั้งเริ่มต้นอัตโนมัติของ Windows Defender เมื่อต้องการทำเช่นนี้ พิมพ์คำสั่งต่อไปนี้ที่พรอมต์คำสั่ง:
    reg.exe เพิ่ม /d REG_EXPAND_SZ /t "Windows Defender" /v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " %ProgramFiles%\Windows Defender\MSASCui.exe – ซ่อน" /f
  25. สำหรับ Windows Vista และระบบปฏิบัติการรุ่นที่ใหม่กว่า มัลแวร์เปลี่ยนการตั้งค่าสากลสำหรับ TCP Autotuning หน้าต่างได้รับเป็นถูกปิดใช้งาน เมื่อต้องการเปลี่ยนการตั้งค่านี้กลับ พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์คำสั่ง:
    tcp อินเทอร์เฟซ netsh ตั้ง autotuning สากล =ปกติ
ถ้า หลังจากที่คุณทำตามขั้นตอนนี้ คอมพิวเตอร์ดูเหมือนว่าจะ reinfected เงื่อนไขใด ๆ ต่อไปนี้อาจเป็นจริง:
  • ตำแหน่งที่ตั้งเริ่มต้นอัตโนมัติอย่างใดอย่างหนึ่งไม่ได้ลบ ตัวอย่างเช่น อย่างใดอย่างหนึ่งงาน AT ไม่ถูกเอาออก หรือมีแฟ้ม Autorun.inf ไม่ถูกเอาออก
  • การปรับปรุงการรักษาความปลอดภัยสำหรับ MS08 067 ถูกติดตั้งอย่างไม่ถูกต้อง
มัลแวร์นี้อาจเปลี่ยนแปลงการตั้งค่าอื่น ๆ จะไม่ได้รับการจัดการในบทความนี้ โปรดเยี่ยมชมต่อไปนี้ Microsoft มัลแวร์ป้องกันเว็บเพจศูนย์กลางสำหรับรายละเอียดล่าสุดเกี่ยวกับ Win32/Conficker:

ตรวจสอบว่า ระบบใหม่ทั้งหมด

ตรวจสอบว่า มีการเริ่มต้นบริการต่อไปนี้:
  • การปรับปรุงอัตโนมัติ (wuauserv)
  • Background Intelligent Transfer Service (BITS)
  • Windows Defender (windefend) (ถ้ามี)
  • บริการการรายงานข้อผิดพลาดของ Windows
เมื่อต้องการทำเช่นนี้ พิมพ์คำสั่งต่อไปนี้ที่พรอมต์คำสั่ง กด ENTER หลังจากแต่ละคำสั่ง:

Wuauserv สอบถาม Sc.exe
Sc.exe บิตการสอบถาม
Windefend แบบสอบถาม Sc.exe
Ersvc แบบสอบถาม Sc.exe

หลังจากแต่ละคำสั่งเรียกใช้ คุณจะได้รับข้อความที่คล้ายกับต่อไปนี้:
SERVICE_NAME: wuauserv
ชนิด: WIN32_SHARE_PROCESS 20
สถานะ: 4 ที่ทำงานอยู่
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE: 0 (0X0)
SERVICE_EXIT_CODE: 0 (0X0)
จุดตรวจสอบ: 0X0
WAIT_HINT : 0x0
ในตัวอย่างนี้ "สถานะ: 4 RUNNING" บ่งชี้ว่า บริการกำลังรันอยู่

เมื่อต้องการตรวจสอบสถานะของคีย์ย่อยของรีจิสทรี SvcHost ให้ทำตามขั้นตอนเหล่านี้:
  1. ใน Registry Editor ค้นหา และคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้แล้ว:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. ในบานหน้าต่างรายละเอียด คลิกสองครั้งที่netsvcsและตรวจทานชื่อบริการที่ระบุอยู่แล้ว เลื่อนลงไปด้านล่างของรายการ ถ้าคอมพิวเตอร์ที่มี reinfected ด้วย Conficker ชื่อบริการแบบสุ่มจะแสดงขึ้น ตัวอย่างเช่น ในขั้นตอนนี้ ชื่อของบริการมัลแวร์คือ "Iaslogon"
ถ้าขั้นตอนเหล่านี้ไม่สามารถแก้ไขปัญหา ติดต่อผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสของคุณ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
49500 รายการของผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัส
ถ้าคุณไม่มีผู้ขายซอฟต์แวร์ป้องกันไวรัส หรือผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสของคุณไม่สามารถ ช่วย ติดต่อฝ่ายบริการสนับสนุนลูกค้าของ Microsoft สำหรับวิธีใช้เพิ่มเติม

หลังจากที่ครบถ้วนได้กำจัดสภาพแวดล้อม

หลังจากสภาพแวดล้อมที่ถูกกำจัด ทั้งหมดให้ทำตามขั้นตอนเหล่านี้:
  1. เปิดใช้งานการบริการเซิร์ฟเวอร์และบริการตัวกำหนดเวลางานใหม่
  2. คืนค่าสิทธิ์เริ่มต้นในคีย์รีจิสทรี SVCHOST และโฟลเดอร์งาน ซึ่งควรเปลี่ยนกลับเป็นค่าเริ่มต้น โดยใช้การตั้งค่า'นโยบายกลุ่ม' ถ้านโยบายจะถูกลบออก เฉพาะสิทธิ์เริ่มต้นไม่สามารถเปลี่ยนกลับ ดูตารางสิทธิ์เริ่มต้นในส่วน "ขั้นตอนการลด" สำหรับข้อมูลเพิ่มเติม

  3. ปรับปรุงคอมพิวเตอร์ ด้วยการติดตั้งการปรับปรุงความปลอดภัยที่ขาดหายไป เมื่อต้องการทำเช่นนี้ ใช้ Windows Update, Microsoft Windows Server Update Services (WSUS) เซิร์ฟเวอร์ ระบบ Management Server (SMS), ระบบ จัดการการตั้งค่าศูนย์ (ตัวจัดการการตั้งค่าคอนฟิก 2007), หรือผลิตภัณฑ์ของคุณจัดการการปรับปรุงอื่น ๆ ถ้าคุณใช้ SMS หรือตัวจัดการการตั้งค่าคอนฟิก 2007 คุณต้องก่อนเปิดใช้งานการบริการเซิร์ฟเวอร์ มิฉะนั้น SMS หรือตัวจัดการการตั้งค่าคอนฟิก 2007 อาจไม่สามารถปรับปรุงระบบ

ระบุระบบที่ติดไวรัส

ถ้าคุณมีปัญหาในการระบุระบบที่ติดกับ Conficker รายละเอียดในบล็อก TechNet ต่อไปนี้อาจช่วย:


ตารางสิทธิ์เริ่มต้น


ตารางต่อไปนี้แสดงสิทธิ์เริ่มต้นสำหรับแต่ละระบบปฏิบัติการ สิทธิ์เหล่านี้อยู่ในตำแหน่งก่อนที่คุณใช้การเปลี่ยนแปลงที่แนะนำในบทความนี้ สิทธิ์เหล่านี้อาจแตกต่างจากสิทธิ์ที่ถูกตั้งค่าในสภาพแวดล้อมของคุณ ดังนั้น คุณต้องจดบันทึกการตั้งค่าของคุณก่อนที่คุณทำการเปลี่ยนแปลง คุณต้องทำเช่นนี้เพื่อให้คุณสามารถคืนค่าการตั้งค่าของคุณหลังจากที่คุณล้างระบบ
ระบบปฏิบัติการWindows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
การตั้งค่ารีจิสทรี Svchostโฟลเดอร์งานรีจิสทรี Svchostโฟลเดอร์งานรีจิสทรี Svchostโฟลเดอร์งานรีจิสทรี Svchostโฟลเดอร์งานรีจิสทรี Svchostโฟลเดอร์งาน
บัญชี
ผู้ดูแล (กลุ่มภายในเครื่อง)ควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมด
ระบบควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมดควบคุมทั้งหมด
ผู้ใช้ขั้นสูง (กลุ่มภายในเครื่อง)ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้อ่านไม่สามารถใช้ได้อ่านไม่สามารถใช้ได้อ่านไม่สามารถใช้ได้
ผู้ใช้ (กลุ่มภายในเครื่อง)พิเศษไม่สามารถใช้ได้พิเศษไม่สามารถใช้ได้อ่านไม่สามารถใช้ได้อ่านไม่สามารถใช้ได้อ่านไม่สามารถใช้ได้
นำไปใช้กับ: คีย์และคีย์ย่อยนี้นำไปใช้กับ: คีย์และคีย์ย่อยนี้
ค่าแบบสอบถามค่าแบบสอบถาม
ระบุคีย์ย่อยระบุคีย์ย่อย
แจ้งให้ทราบแจ้งให้ทราบ
ตัวควบคุมการอ่านตัวควบคุมการอ่าน
ผู้ใช้ที่รับรองความถูกต้องไม่สามารถใช้ได้พิเศษไม่สามารถใช้ได้พิเศษไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้
นำไปใช้กับ: โฟลเดอร์นี้เท่านั้นนำไปใช้กับ: โฟลเดอร์นี้เท่านั้น
ท่องไปตามโฟลเดอร์ท่องไปตามโฟลเดอร์
โฟลเดอร์รายการโฟลเดอร์รายการ
อ่านแอตทริบิวต์อ่านแอตทริบิวต์
อ่านคุณลักษณะเพิ่มเติมอ่านคุณลักษณะเพิ่มเติม
สร้างแฟ้มสร้างแฟ้ม
สิทธิ์ในการอ่านสิทธิ์ในการอ่าน
ตัวดำเนินการสำรองข้อมูล (กลุ่มภายในเครื่อง)ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้พิเศษไม่สามารถใช้ได้พิเศษ
นำไปใช้กับ: โฟลเดอร์นี้เท่านั้นนำไปใช้กับ: โฟลเดอร์นี้เท่านั้น
ท่องไปตามโฟลเดอร์ท่องไปตามโฟลเดอร์
โฟลเดอร์รายการโฟลเดอร์รายการ
อ่านแอตทริบิวต์อ่านแอตทริบิวต์
อ่านคุณลักษณะเพิ่มเติมอ่านคุณลักษณะเพิ่มเติม
สร้างแฟ้มสร้างแฟ้ม
สิทธิ์ในการอ่านสิทธิ์ในการอ่าน
ทุกคนไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้ไม่สามารถใช้ได้พิเศษ
นำไปใช้กับ: โฟลเดอร์ โฟลเดอร์ย่อย และแฟ้มนี้
ท่องไปตามโฟลเดอร์
โฟลเดอร์รายการ
อ่านแอตทริบิวต์
อ่านคุณลักษณะเพิ่มเติม
สร้างแฟ้ม
สร้างโฟลเดอร์
เขียนแอตทริบิวต์
เขียนลักษณะประจำแบบขยาย
สิทธิ์ในการอ่าน

วิธีใช้เพิ่มเติม

สำหรับความช่วยเหลือเพิ่มเติมเกี่ยวกับปัญหานี้ ถ้าคุณอยู่ในประเทศสหรัฐอเมริกา คุณสามารถสนทนากับบุคคลถ่ายทอดสดที่โต๊ะทำงานของคำตอบที่:
คุณสมบัติ

รหัสบทความ: 962007 - การตรวจสอบครั้งสุดท้าย: 24 ก.พ. 2017 - ฉบับแก้ไข: 1

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 1, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Service Pack 4, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server

คำติชม