Conficker Virüsü Temizleme
Conficker virüsü ile ilgili açılan çağrıları ve çözüm yöntemlerini bir arkadaş detaylı bir şekilde incelemiş.
En detaylı çözümüde sağolsun Türkçe’ye çevirmiş.
En detaylı çözümüde sağolsun Türkçe’ye çevirmiş.
Birilerinin işine yarar işallah.
Conficker virüsünden etkilenen bilgisayarların Event’lerinde 529, 539, 644, 675, 676, 681, 1202 veya 12294 Event ID'leri görülebilir.
Bu event’lerin görünmesi mutlaka bu virüsten etkilendiği anlamına gelmese de bu virüsten şüphelenmek gerekir.
Bir bilgisayarın Conficker virüsünden etkilendiğinden şüpheneliyorsanız:
c:windowssystem32 klasörü altında komut satırından "dir *.dll /ah" komutunu çalıştırın
Eğer bazı dosyalar bulunuyorsa bu virüsten kesin etkilenmişsinizdir.
ÇÖZÜM
============
Virüsün çok farklı yayılma mekanizmaları vardır, yayılmayı kontrol altında tutabilmek için tüm DC'lerde bazı işlemlerin yapılması gerekmektedir.
1. MS08-067 güncellemesini tüm domain controller'lara kurun
MS08-067: Sunucu hizmetindeki güvenlik açığı uzaktan kod yürütülmesine izin verebilir
http://support.microsoft.com/kb/958644/tr
Security Update for Windows Server 2003 (KB958644)
http://www.microsoft.com/downloads/details.aspx?FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d&displaylang=en
Security Update for Windows 2000 (KB958644)
http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3&displaylang=en
2. Tüm DC'lerde Task Scheduler ve Server hizmetlerini durdurun.
net stop schedule
net stop server
Virüs temizleme işlemleri bitine kadar bu hizmetleri DISABLED edebilirsiniz. Daha sonra tekrar AUTOMATIC durumunda getirip hizmetleri çalıştırın.
3. Microsoft MSRT (Malicious Software Removal Tool) aracını indirip kurun
Microsoft Windows Malicious Software Removal Tool (KB890830)
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
Bu toolu elle veya bir VBS script ile çalıştırabilirsiniz
\SUNUCUPAYLASIMwindows-kb890830-v2.6.exe /q
Bu toolu script ile çalıştırmak istediğinizde bir güvenlik uyarısı alırsanız aşağıdaki makaleye bakın
The Open File - Security Warning dialog box is displayed when you try to silently install a hotfix or an update by using a Visual Basic script in Windows XP Service Pack 2
http://support.microsoft.com/kb/889815/en-us
VBS scriptiniz aşağıdaki gibi olmalıdır.
set oShell= CreateObject("Wscript.Shell")
set oEnv = oShell.Environment("PROCESS")
oEnv("SEE_MASK_NOZONECHECKS") = 1
oShell.Run "\SUNUCUnetlogonMalicious_Software_Removal_Toolwindows-kb890830-v2.6.exe /q",0,True
oEnv.Remove("SEE_MASK_NOZONECHECKS")
Bu tool Admin hesabı veya System hesabı ile çalışıtırılmalıdır.
Eğer yerel kullanıcıların o bilgisayarda Admin hakları yoksa o zaman script startup script olarak çalıştırılmalıdır.
Startup ve Login script çalıştırmakla ilgili detayları burada bulabilirsiniz:
http://technet.microsoft.com/en-us/library/cc179134.aspx
4. Ayrıca Microsoft bu virüsü manuel yöntemle temizleme yöntemlerini de açıklamıştır:
Virus alert about the Win32/Conficker.B worm
http://support.microsoft.com/kb/962007
Win32/Conficker.B solucanı ile ilgili virüs uyarısı
http://support.microsoft.com/kb/962007/tr
KONU İLE İLGİLİ MAKALELER
=================================
http://support.microsoft.com/kb/958644
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
http://support.microsoft.com/kb/889815/en-us
http://technet.microsoft.com/en-us/library/cc179134.aspx
http://support.microsoft.com/kb/962007
Conficker virüsünden etkilenen bilgisayarların Event’lerinde 529, 539, 644, 675, 676, 681, 1202 veya 12294 Event ID'leri görülebilir.
Bu event’lerin görünmesi mutlaka bu virüsten etkilendiği anlamına gelmese de bu virüsten şüphelenmek gerekir.
Bir bilgisayarın Conficker virüsünden etkilendiğinden şüpheneliyorsanız:
c:windowssystem32 klasörü altında komut satırından "dir *.dll /ah" komutunu çalıştırın
Eğer bazı dosyalar bulunuyorsa bu virüsten kesin etkilenmişsinizdir.
ÇÖZÜM
============
Virüsün çok farklı yayılma mekanizmaları vardır, yayılmayı kontrol altında tutabilmek için tüm DC'lerde bazı işlemlerin yapılması gerekmektedir.
1. MS08-067 güncellemesini tüm domain controller'lara kurun
MS08-067: Sunucu hizmetindeki güvenlik açığı uzaktan kod yürütülmesine izin verebilir
http://support.microsoft.com/kb/958644/tr
Security Update for Windows Server 2003 (KB958644)
http://www.microsoft.com/downloads/details.aspx?FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d&displaylang=en
Security Update for Windows 2000 (KB958644)
http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3&displaylang=en
2. Tüm DC'lerde Task Scheduler ve Server hizmetlerini durdurun.
net stop schedule
net stop server
Virüs temizleme işlemleri bitine kadar bu hizmetleri DISABLED edebilirsiniz. Daha sonra tekrar AUTOMATIC durumunda getirip hizmetleri çalıştırın.
3. Microsoft MSRT (Malicious Software Removal Tool) aracını indirip kurun
Microsoft Windows Malicious Software Removal Tool (KB890830)
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
Bu toolu elle veya bir VBS script ile çalıştırabilirsiniz
\SUNUCUPAYLASIMwindows-kb890830-v2.6.exe /q
Bu toolu script ile çalıştırmak istediğinizde bir güvenlik uyarısı alırsanız aşağıdaki makaleye bakın
The Open File - Security Warning dialog box is displayed when you try to silently install a hotfix or an update by using a Visual Basic script in Windows XP Service Pack 2
http://support.microsoft.com/kb/889815/en-us
VBS scriptiniz aşağıdaki gibi olmalıdır.
set oShell= CreateObject("Wscript.Shell")
set oEnv = oShell.Environment("PROCESS")
oEnv("SEE_MASK_NOZONECHECKS") = 1
oShell.Run "\SUNUCUnetlogonMalicious_Software_Removal_Toolwindows-kb890830-v2.6.exe /q",0,True
oEnv.Remove("SEE_MASK_NOZONECHECKS")
Bu tool Admin hesabı veya System hesabı ile çalışıtırılmalıdır.
Eğer yerel kullanıcıların o bilgisayarda Admin hakları yoksa o zaman script startup script olarak çalıştırılmalıdır.
Startup ve Login script çalıştırmakla ilgili detayları burada bulabilirsiniz:
http://technet.microsoft.com/en-us/library/cc179134.aspx
4. Ayrıca Microsoft bu virüsü manuel yöntemle temizleme yöntemlerini de açıklamıştır:
Virus alert about the Win32/Conficker.B worm
http://support.microsoft.com/kb/962007
Win32/Conficker.B solucanı ile ilgili virüs uyarısı
http://support.microsoft.com/kb/962007/tr
KONU İLE İLGİLİ MAKALELER
=================================
http://support.microsoft.com/kb/958644
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
http://support.microsoft.com/kb/889815/en-us
http://technet.microsoft.com/en-us/library/cc179134.aspx
http://support.microsoft.com/kb/962007
Yorumlar