HTML clipboard
Bulaşma belirtileri
Bilgisayarınıza bu solucan bulaşmışsa, hiçbir belirtiyle
karşılaşmayabileceğiniz...
Bilgisayarınıza bu solucan bulaşmışsa, hiçbir belirtiyle karşılaşmayabileceğiniz
gibi aşağıdaki belirtilerden biriyle de karşılaşabilirsiniz:
Hesap kilitleme ilkeleri takılıyor.
Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows
Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor.
Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor.
Ağda sıkışıklık yaşanıyor.
Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor.
Win32/Conficker.b hakkında daha fazla bilgi için aşağıdaki Microsoft Kötü Amaçlı
Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
Üste
Yayılma yöntemleri
Win32/Conficker.B solucanı birden çok yayılma yöntemi kullanmaktadır. Bu
yönteml...
Win32/Conficker.B solucanı birden çok yayılma yöntemi kullanmaktadır. Bu
yöntemler aşağıda açıklanmaktadır:
Güvenlik güncelleştirmesi 958644 (MS08-067) ile giderilen güvenlik açığından
yararlanma
Ağ paylaşımlarını kullanma
Otomatik Kullan işlevselliği kullanma
Bu nedenle, tehdidin daha önce temizlenen sistemlere yeniden bulaşmaması için
solucanı ağdan temizlerken dikkatli olmalısınız.
Üste
Kurtarma
Kötü Amaçlı Yazılımları Temizleme aracını çalıştırmaMicrosoft Kötü Amaçlı
Yazılı...
Kötü Amaçlı Yazılımları Temizleme aracını çalıştırma
Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi, Kötü Amaçlı Yazılımları
Temizleme aracını (MSRT) güncelleştirmiştir. Bu araç, yaygın olarak karşılaşılan
kötü amaçlı yazılımların temizlenmesinde kullanılan bağımsız bir ikili dosyadır
ve Win32/Conficker kötü amaçlı yazılım ailesinin temizlenmesine yardımcı
olabilir.
MSRT'yi aşağıdaki Microsoft Web sitelerinden yükleyebilirsiniz:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=tr-tr (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=tr-tr)
http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)
MSRT'ye özgü dağıtım ayrıntıları hakkında daha fazla bilgi için Microsoft
Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını
tıklatın:
891716 (http://support.microsoft.com/kb/891716/
) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'nın kuruluş
ortamında dağıtılması
Not Stand-Alone System Sweeper (Bağımsız Sistem Temizleme) aracı da bu solucanı
temizler. Bu araç, Microsoft Desktop Optimization Pack 6.0'ın bir bileşeni
olarak veya Müşteri Hizmetleri ve Destek aracılığıyla edinilebilir. Microsoft
Desktop Optimization Pack'i edinmek için aşağıdaki Microsoft Web sitesini
ziyaret edin:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx (http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)
Sistemde Windows Live OneCare veya Microsoft Forefront Client Security
çalışıyorsa, bu programlar da tehdidi yüklenmeden önce engeller.
Üste
Conficker.b türevini el ile kaldırma adımları
Aşağıdaki ayrıntılı adımlar Conficker.b solucanını bir sistemden el ile
kaldırmanıza yardımcı olabilir:
Bir yerel hesap kullanarak sistemde oturum açın.
Önemli Mümkünse, sistemde oturum açarken bir Etki Alanı hesabı kullanmayın.
Özellikle de, oturum açarken bir Etki Alanı Yöneticisi hesabı kullanmayın. Kötü
amaçlı yazılım, oturum açmış kullanıcının kimliğine bürünür ve oturum açmış
kullanıcının kimlik bilgilerini kullanarak ağ kaynaklarına erişir. Bu davranış,
kötü amaçlı yazılımın yayılmasına olanak verir.
Sunucu hizmetini durdurun. Bu işlem, Yönetici paylaşımlarını sistemden
kaldırarak kötü amaçlı yazılımın bu yöntemle yayılmamasını sağlar.
Not Sunucu hizmetinin yalnızca kötü amaçlı yazılım çalışma ortamınızdan
temizlenirken geçici olarak devre dışı bırakılması gerekir. Bu adım ağ
kaynaklarının kullanılabilirliğini etkileyeceğinden, özellikle üretim
sunucularında dikkatli olunması gerekir. Çalışma ortamı temizlendikten hemen
sonra Sunucu hizmeti yeniden etkinleştirilebilir.
Sunucu Zamanlayıcısı hizmetini durdurmak için, Hizmetler Microsoft Yönetim
Konsolu'nu (MMC) kullanın. Bunu yapmak için şu adımları izleyin:
Sisteminize bağlı olarak şunları yapın:
Windows Vista ve Windows Server 2008'de, Başlat'ı tıklatın, Aramaya Başla
kutusuna services.msc yazın ve sonra da Programlar listesinde services.msc
dosyasını tıklatın.
Windows 2000, Windows XP ve Windows Server 2003'te, Başlat'ı ve sonra Çalıştır'ı
tıklatın, services.msc yazın ve ardından Tamam'ı tıklatın.
Sunucu hizmetini çift tıklatın.
Durdur'u tıklatın.
Başlangıç türü kutusunda Devre Dışı seçeneğini belirleyin.
Uygula'yı tıklatın.
Görev Zamanlayıcısı hizmetini durdurun.
Windows 2000, Windows XP ve Windows Server 2003'te Görev Zamanlayıcısı hizmetini
durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) veya SC.exe
yardımcı programını kullanın.
Windows Vista veya Windows Server 2008'de Görev Zamanlayıcısı hizmetini
durdurmak için aşağıdaki adımları izleyin.
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin
anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak
değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice
uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce
yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri
yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla
bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki
makale numarasını tıklatın:
322756 (http://support.microsoft.com/kb/322756/
) Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir,
düzenlenir ve geri yüklenir
Başlat'ı tıklatın, Aramaya Başla kutusuna regedit yazın ve sonra da Programlar
listesinde regedit.exe dosyasını tıklatın.
Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
Ayrıntılar bölmesinde, Start DWORD girdisini sağ tıklatın ve ardından Değiştir'i
tıklatın.
Değer verisi kutusuna 4 yazın ve Tamam'ı tıklatın.
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
Güvenlik güncelleştirmesi 958644'ü (MS08-067) karşıdan yükleyin ve el ile kurun.
Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/turkiye/technet/security/bulletin/2008/ms08-067.mspx
(http://www.microsoft.com/turkiye/technet/security/bulletin/2008/ms08-067.mspx)
Not Bu site, kötü amaçlı yazılım tarafından engelleniyor olabilir. Bu senaryoda,
güncelleştirmeyi bulaşma olmayan bir bilgisayardan yüklemeniz ve güncelleştirme
dosyasını bulaşma olan sisteme aktarmanız gerekmektedir. Güncelleştirmeyi bir
CD'ye yazmanız önerilir, çünkü yazılan CD bir kez daha yazılamaz hale gelir. Bu
nedenle de solucan CD'ye bulaşamaz. Kaydedilebilir bir CD sürücüsü yoksa,
güncelleştirmeyi bulaşma olan sisteme kopyalamanın tek yolu bir taşınabilir USB
bellek sürücüsü kullanmak olacaktır. Taşınabilir sürücü kullanıyorsanız, kötü
amaçlı yazılımın bu sürücüye bir Autorun.inf dosyasıyla bulaşabileceğini
unutmayın. Güncelleştirmeyi taşınabilir sürücüye kopyaladıktan sonra,
aygıtınızda salt okunur modunu kullanabiliyorsanız sürücüyü salt okunur moduna
geçirdiğinizden emin olun. Salt okunur modu kullanılabiliyorsa, genellikle aygıt
üzerindeki bir fiziksel anahtar kullanılarak etkinleştirilir. Güncelleştirme
dosyasını bulaşma olan bilgisayara kopyaladıktan sonra, taşınabilir sürücüyü
denetleyerek Autorun.inf dosyasının sürücüye yazılıp yazılmadığına bakın.
Yazılmışsa, Autorun.inf dosyasını Autorun.bad gibi bir adla yeniden
adlandırarak, taşınabilir sürücü bir bilgisayara bağlandığında
çalıştırılamamasını sağlayın.
Yerel Yönetici ve Etki Alanı Yöneticisi parolalarını yeni bir güçlü parola
kullanacak şekilde sıfırlayın. Daha fazla bilgi için aşağıdaki Microsoft Web
sitesini ziyaret edin:
http://technet.microsoft.com/tr-tr/library/cc875814.aspx (http://technet.microsoft.com/tr-tr/library/cc875814.aspx)
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve
tıklatın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
Ayrıntılar bölmesinde, netsvcs girdisini sağ tıklatın ve sonra Değiştir'i
tıklatın.
Listenin en altına gidin. Bilgisayara Conficker.b solucanı bulaşmışsa, rasgele
bir hizmet adı listelenir. Örneğin bu yordamda, kötü amaçlı yazılımın hizmet
adının "gzqmiijz" olduğunu varsayacağız. Kötü amaçlı yazılımın hizmet adını not
alın. Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız.
Kötü amaçlı yazılım hizmetine başvuran satırı silin. Listelenen son geçerli
girdinin altında boş bir yeni satır bıraktığınızdan emin olun ve ardından
Tamam'ı tıklatın.
Not Aşağıdaki listede yer alan tüm girdiler geçerlidir. Bu girdilerden
hiçbirini silmeyin. Silinmesi gereken girdi, listedeki son girdidir ve rasgele
oluşturulmuş bir ada sahiptir.
AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon
LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation
Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS
Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv
BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg
SVCHOST kayıt defteri anahtarının izinlerini kısıtlayarak anahtara yeniden
yazılamamasını sağlayın. Bunu yapmak için aşağıdaki adımları izleyin.
Notlar
Çalışma ortamı tümüyle temizlendikten sonra varsayılan izinleri geri
yüklemelisiniz.
Windows 2000'de, kayıt defteri izinlerini ayarlamak için Regedt32 aracını
kullanmalısınız.
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve
tıklatın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
Svchost alt anahtarını sağ tıklatın ve sonra ızinler'i tıklatın.
SvcHost için ızin Girdisi iletişim kutusunda Gelişmiş'i tıklatın.
Gelişmiş iletişim kutusunda Ekle'yi tıklatın.
Kullanıcı, Bilgisayar veya Grup Seç iletişim kutusunda, everyone yazın ve Adları
Denetle'yi tıklatın.
Tamam'ı tıklatın.
SvcHost için ızin Girdisi iletişim kutusundaki Uygula listesinde Yalnızca bu
anahtar'ı seçin ve sonra da Değer Ata izin girdisinde Reddet onay kutusunu
işaretleyin.
ıki kez Tamam'ı tıklatın.
Güvenlik uyarısı isteğini aldığınızda Evet'i tıklatın.
Tamam'ı tıklatın.
Önceki yordamda, kötü amaçlı yazılımın hizmet adını not almıştınız. Buradaki
örnekte, kötü amaçlı yazılım girdisi "gzqmiijz" olarak adlandırılmıştı. Bu
bilgiyi kullanarak şu adımları izleyin:
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve
tıklatın; burada KötüHizmetAdı, kötü amaçlı yazılımın hizmet adıdır:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
Örneğin, aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
Gezinti bölmesinde, kötü amaçlı yazılım hizmet adının alt anahtarını sağ
tıklatın ve sonra da ızinler'i tıklatın.
SvcHost için ızin Girdisi iletişim kutusunda Gelişmiş'i tıklatın.
Gelişmiş Güvenlik Ayarları iletişim kutusunda, aşağıdaki onay kutularının her
ikisini de tıklatıp seçin:
Bağımlı nesnelere uygulanan izin girdilerini ana öğeden devral. Bunları açıkça
burada tanımlananlara ekle.
Tüm bağımlı nesnelerdeki izin girdilerini burada gösterilen ve bağımlı
nesnelere uyanlarla değiştir
F5 tuşuna basarak Kayıt Defteri Düzenleyicisi'ni güncelleştirin. Ayrıntılar
bölmesinde, kötü amaçlı yazılımın "ServiceDll" adıyla yüklenen DLL dosyasını
artık görebilir ve düzenleyebilirsiniz. Bunu yapmak için şu adımları izleyin:
ServiceDll girdisini çift tıklatın.
Başvurulan DLL dosyasının yolunu not alın. Bu bilgiye bu yordamda daha sonra
gereksinim duyacaksınız. Örneğin, başvurulan DLL dosyasının yolu aşağıdakine
benzeyebilir:
%SystemRoot%\System32\emzlqqd.dll
Başvuruyu, aşağıdakine benzeyecek şekilde yeniden adlandırın:
%SystemRoot%\System32\emzlqqd.old
Tamam'ı tıklatın.
Kayıt defterindeki Run alt anahtarından kötü amaçlı yazılımın hizmet girdisini
kaldırın.
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarlarını bulun
ve tıklatın:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Her iki alt anahtarda da, "rundll32.exe" ile başlayan ve kötü amaçlı yazılımın
adım 12b'de belirlediğiniz "ServiceDll" adıyla yüklenen DLL dosyasına başvuran
tüm girdileri bulun. Girdiyi silin.
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
Sistemdeki tüm sürücülerde bulunan Autorun.inf dosyalarını denetleyin. Not
Defteri'ni kullanarak dosyaları tek tek açıp, geçerli bir Autorun.inf dosyası
olduğunu doğrulayın. Aşağıda, geçerli olan tipik bir Autorun.inf dosyasına örnek
verilmektedir.
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
Geçerli bir Autorun.inf dosyası genellikle 1 - 2 kilobayt (KB) boyutundadır.
Geçersiz gibi görünen tüm Autorun.inf dosyalarını silin.
Bilgisayarı yeniden başlatın.
Gizli dosyaların görünür olmasını sağlayın. Bunu yapmak için, komut istemine
aşağıdaki komutu yazın:
reg.exe add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
/v CheckedValue /t REG_DWORD /d 0x1 /f
Dosyayı görebilmek için Gizli dosya ve klasörleri göster seçeneğini belirleyin.
Bunu yapmak için şu adımları izleyin:
Adım 12b'de, kötü amaçlı yazılımın başvurulan DLL dosyasının yolunu not
almıştınız. Örneğin, aşağıdakine benzer bir yolu not almış olabilirsiniz:
%systemroot%\System32\emzlqqd.dll
Windows Gezgini'nde, %systemroot%\System32 dizinini veya kötü amaçlı yazılımı
içeren dizini açın.
Araçlar'ı ve sonra Klasör Seçenekleri'ni tıklatın.
Görünüm sekmesini tıklatın.
Gizli dosya ve klasörleri göster onay kutusunu işaretleyin.
Tamam'ı tıklatın.
DLL dosyasını seçin.
Dosya izinlerini düzenleyerek Everyone (Herkes) grubu için Tam Denetim iznini
ekleyin. Bunu yapmak için şu adımları izleyin:
DLL dosyasını sağ tıklatın ve sonra Özellikler'i tıklatın.
Güvenlik sekmesini tıklatın.
Everyone (Herkes) öğesini tıklatın ve sonra da ızin Ver sütununda Tam Denetim
onay kutusunu tıklatıp seçin.
Tamam'ı tıklatın.
Kötü amaçlı yazılımın başvurduğu DLL dosyasını silin. Örneğin,
%systemroot%\System32\emzlqqd.dll dosyasını silin.
AT ile oluşturulan tüm zamanlanmış görevleri kaldırın. Bunu yapmak için, komut
istemine AT /Delete /Yes yazın.
Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanarak BITS, Otomatik
Güncelleştirmeler, Hata Bildirimi ve Windows Defender hizmetlerini
etkinleştirin.
Yeniden bulaşma olasılığını azaltmak için Otomatik Kullan özelliğini kapatın.
Bunu yapmak için şu adımları izleyin:
Sisteminize bağlı olarak, aşağıdaki güncelleştirmelerden birini yükleyin:
Windows 2000, Windows XP veya Windows Server 2003 çalıştırıyorsanız, 953252
numaralı güncelleştirmeyi yükleyin. Daha fazla bilgi için, Microsoft Bilgi
Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
953252 (http://support.microsoft.com/kb/953252/
) Windows'da "Otomatik Çalıştır kayıt defteri anahtarını devre dışı bırak"
zorlaması nasıl düzeltilir
Windows Vista veya Windows Server 2008 çalıştırıyorsanız, güvenlik
güncelleştirmesi 950582'yi yükleyin. Daha fazla bilgi için, Microsoft Bilgi
Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
950582 (http://support.microsoft.com/kb/950582/
) MS08-038: Windows Gezgini'ndeki güvenlik açığı uzaktan kod yürütülmesine izin
verebilir
Not 953252 numaralı güncelleştirme ve güvenlik güncelleştirmesi 950582, bu kötü
amaçlı yazılım sorunuyla ilişkili değildir. Adım 23b'deki kayıt defteri
işlevinin etkinleştirilmesi için bu güncelleştirmelerin yüklü olmaları
gerekmektedir.
Komut istemine aşağıdaki komutu yazın:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
Sistemde Windows Defender çalışıyorsa, Windows Defender otomatik başlatma
konumunu yeniden etkinleştirin. Bunu yapmak için, komut istemine aşağıdaki
komutu yazın:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows
Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe
�hide" /f
Windows Vista ve sonraki işletim sistemlerinde, kötü amaçlı yazılım, TCP Alma
Penceresi Otomatik Ayarı'nın genel ayarını devre dışı olarak değiştirir. Bu
ayarı önceki değerine döndürmek için, komut istemine aşağıdaki komutu yazın:
netsh interface tcp set global autotuning=normal
Bu yordamı tamamladıktan sonra bilgisayara solucan bulaşmış gibi görünüyorsa,
aşağıdaki koşullardan biri doğru olabilir:
Otomatik başlatma konumlarından biri kaldırılmamıştır. Örneğin, AT işi veya bir
Autorun.inf dosyası kaldırılmamıştır.
MS08-067 güvenlik güncelleştirmesi doğru yüklenmemiştir
Bu kötü amaçlı yazılım, bu Bilgi Bankası makalesinde açıklanmayan başka ayarları
değiştirebilir. Win32/Conficker.b ile ilgili en son bilgiler için aşağıdaki
Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
Üste
Sistemde bulaşma olmadığını doğrulayın
Aşağıdaki hizmetlerin başlatılmış olduğunu doğrulayın:
Otomatik Güncelleştirmeler (wuauserv)
Arka Plan Akıllı Aktarım Hizmeti (BITS)
Windows Defender (windefend) (yüklüyse)
Windows Hata Bildirimi Hizmeti
Bunu yapmak için, komut istemine aşağıdaki komutları yazın: Her komutun ardından
ENTER tuşuna basın:
Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc
Her komut çalıştırıldıktan sonra, aşağıdakine benzer bir ileti alırsınız:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Bu örnekte, "STATE : 4 RUNNING", hizmetin çalıştığını gösterir.
SvcHost kayıt defteri alt anahtarının durumunu doğrulamak için, aşağıdaki
adımları izleyin:
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve
tıklatın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
Ayrıntılar bölmesinde, netsvcs öğesini çift tıklatın ve listelenen hizmet
adlarını gözden geçirin. Listenin en altına gidin. Bilgisayara Conficker.b
solucanı yeniden bulaşmışsa, rasgele bir hizmet adı listelenir. Örneğin bu
yordamda, kötü amaçlı yazılım hizmeti "gzqmiijz" olarak adlandırılmıştır.
Bu adımlar sorunu gideremezse, virüsten koruma yazılımı satıcınıza başvurun. Bu
sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi
görüntülemek üzere aşağıdaki makale numarasını tıklatın:
49500 (http://support.microsoft.com/kb/49500/
) Virüsten koruma yazılımı satıcılarının listesi
Virüsten koruma yazılımınız yoksa veya virüsten koruma yazılımı satıcınız size
yardımcı olamazsa, daha fazla yardım için Microsoft Müşteri Destek Hizmetleri'ne
başvurun.
Üste
Çalışma ortamı tümüyle temizlendikten sonra
Çalışma ortamı tümüyle temizlendikten sonra şunları yapın:
Sunucu hizmetini yeniden etkinleştirin.
SVCHOST kayıt defteri anahtarının varsayılan izinlerini geri yükleyin.
Eksik güvenlik güncelleştirmelerini yükleyerek bilgisayarı güncelleştirin. Bunu
yapmak için Windows Update hizmetini, Microsoft Windows Server Update Services (WSUS)
sunucusunu, Systems Management Server (SMS) hizmetini, System Center
Configuration Manager (SCCM) hizmetini veya üçüncü taraflara ait güncelleştirme
yönetim ürününüzü kullanın. SMS veya SCCM kullanırsanız, ilk önce Sunucu
hizmetini yeniden etkinleştirmelisiniz. Aksi durumda, SMS veya SCCM sistemi
güncelleştiremeyebilir.
