Microsofta Giremiyorum [ Çözüm ]

Microsofta Giremiyorum


Yaptığınız değişiklikler Internet Explorer'ı bir sonraki açışınızda uygulanacaktırBulaşma belirtileri
Bilgisayarınıza bu solucan bulaşmışsa, hiçbir belirtiyle karşılaşmayabileceğiniz
Bilgisayarınıza bu solucan bulaşmışsa, hiçbir belirtiyle karşılaşmayabileceğiniz gibi aşağıdaki belirtilerden biriyle de karşılaşabilirsiniz:
Hesap kilitleme ilkeleri takılıyor
Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor
Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor
Ağda sıkışıklık yaşanıyor
Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor
Win32/Confickerb hakkında daha fazla bilgi için aşağıdaki Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
Encyclopedia entry: Win32/Conficker - Learn more about malware - Microsoft Malware Protection Center (Encyclopedia entry: Win32/Conficker - Learn more about malware - Microsoft Malware Protection Center)
Üste
Yayılma yöntemleri
Win32/ConfickerB solucanı birden çok yayılma yöntemi kullanmaktadır Bu yönteml
Win32/ConfickerB solucanı birden çok yayılma yöntemi kullanmaktadır Bu yöntemler aşağıda açıklanmaktadır:
Güvenlik güncelleştirmesi 958644 (MS08-067) ile giderilen güvenlik açığından yararlanma
Ağ paylaşımlarını kullanma
Otomatik Kullan işlevselliği kullanma
Bu nedenle, tehdidin daha önce temizlenen sistemlere yeniden bulaşmaması için solucanı ağdan temizlerken dikkatli olmalısınız
Üste
Kurtarma
Kötü Amaçlı Yazılımları Temizleme aracını çalıştırmaMicrosoft Kötü Amaçlı Yazılı
Kötü Amaçlı Yazılımları Temizleme aracını çalıştırma
Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi, Kötü Amaçlı Yazılımları Temizleme aracını (MSRT) güncelleştirmiştir Bu araç, yaygın olarak karşılaşılan kötü amaçlı yazılımların temizlenmesinde kullanılan bağımsız bir ikili dosyadır ve Win32/Conficker kötü amaçlı yazılım ailesinin temizlenmesine yardımcı olabilir
MSRT'yi aşağıdaki Microsoft Web sitelerinden yükleyebilirsiniz:
Microsoft Update (Microsoft Update)
The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, or Windows XP (The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, or Windows XP)
MSRT'ye özgü dağıtım ayrıntıları hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
891716 (Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'nın kuruluş ortamında dağıtılması
Not Stand-Alone System Sweeper (Bağımsız Sistem Temizleme) aracı da bu solucanı temizler Bu araç, Microsoft Desktop Optimization Pack 60'ın bir bileşeni olarak veya Müşteri Hizmetleri ve Destek aracılığıyla edinilebilir Microsoft Desktop Optimization Pack'i edinmek için aşağıdaki Microsoft Web sitesini ziyaret edin:
Microsoft Windows Enterprise: Microsoft Desktop Optimization Pack (Microsoft Windows Enterprise: Microsoft Desktop Optimization Pack)
Sistemde Windows Live OneCare veya Microsoft Forefront Client Security çalışıyorsa, bu programlar da tehdidi yüklenmeden önce engeller
Üste
Confickerb türevini el ile kaldırma adımları
Aşağıdaki ayrıntılı adımlar Confickerb solucanını bir sistemden el ile kaldırmanıza yardımcı olabilir:
Bir yerel hesap kullanarak sistemde oturum açın
Önemli Mümkünse, sistemde oturum açarken bir Etki Alanı hesabı kullanmayın Özellikle de, oturum açarken bir Etki Alanı Yöneticisi hesabı kullanmayın Kötü amaçlı yazılım, oturum açmış kullanıcının kimliğine bürünür ve oturum açmış kullanıcının kimlik bilgilerini kullanarak ağ kaynaklarına erişir Bu davranış, kötü amaçlı yazılımın yayılmasına olanak verir
Sunucu hizmetini durdurun Bu işlem, Yönetici paylaşımlarını sistemden kaldırarak kötü amaçlı yazılımın bu yöntemle yayılmamasını sağlar
Not Sunucu hizmetinin yalnızca kötü amaçlı yazılım çalışma ortamınızdan temizlenirken geçici olarak devre dışı bırakılması gerekir Bu adım ağ kaynaklarının kullanılabilirliğini etkileyeceğinden, özellikle üretim sunucularında dikkatli olunması gerekir Çalışma ortamı temizlendikten hemen sonra Sunucu hizmeti yeniden etkinleştirilebilir
Sunucu Zamanlayıcısı hizmetini durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanın Bunu yapmak için şu adımları izleyin:
Sisteminize bağlı olarak şunları yapın:
Windows Vista ve Windows Server 2008'de, Başlat'ı tıklatın, Aramaya Başla kutusuna servicesmsc yazın ve sonra da Programlar listesinde servicesmsc dosyasını tıklatın
Windows 2000, Windows XP ve Windows Server 2003'te, Başlat'ı ve sonra Çalıştır'ı tıklatın, servicesmsc yazın ve ardından Tamam'ı tıklatın
Sunucu hizmetini çift tıklatın
Durdur'u tıklatın
Başlangıç türü kutusunda Devre Dışı seçeneğini belirleyin
Uygula'yı tıklatın
Görev Zamanlayıcısı hizmetini durdurun
Windows 2000, Windows XP ve Windows Server 2003'te Görev Zamanlayıcısı hizmetini durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) veya SCexe yardımcı programını kullanın
Windows Vista veya Windows Server 2008'de Görev Zamanlayıcısı hizmetini durdurmak için aşağıdaki adımları izleyin
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 (How to back up and restore the registry in Windows XP ) Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenir
Başlat'ı tıklatın, Aramaya Başla kutusuna regedit yazın ve sonra da Programlar listesinde regeditexe dosyasını tıklatın
Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
HKEY_LOCAL_MACHINESYSTEMCurr entControlSetServicesSchedul e
Ayrıntılar bölmesinde, Start DWORD girdisini sağ tıklatın ve ardından Değiştir'i tıklatın
Değer verisi kutusuna 4 yazın ve Tamam'ı tıklatın
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın
Güvenlik güncelleştirmesi 958644'ü (MS08-067) karşıdan yükleyin ve el ile kurun Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Microsoft Güvenlik Bülteni MS08-067 ? Kritik: Sunucu Hizmeti'ndeki Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Verebilir (958644) (Microsoft Güvenlik Bülteni MS08-067 ? Kritik: Sunucu Hizmeti'ndeki Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Verebilir (958644))
Not Bu site, kötü amaçlı yazılım tarafından engelleniyor olabilir Bu senaryoda, güncelleştirmeyi bulaşma olmayan bir bilgisayardan yüklemeniz ve güncelleştirme dosyasını bulaşma olan sisteme aktarmanız gerekmektedir Güncelleştirmeyi bir CD'ye yazmanız önerilir, çünkü yazılan CD bir kez daha yazılamaz hale gelir Bu nedenle de solucan CD'ye bulaşamaz Kaydedilebilir bir CD sürücüsü yoksa, güncelleştirmeyi bulaşma olan sisteme kopyalamanın tek yolu bir taşınabilir USB bellek sürücüsü kullanmak olacaktır Taşınabilir sürücü kullanıyorsanız, kötü amaçlı yazılımın bu sürücüye bir Autoruninf dosyasıyla bulaşabileceğini unutmayın Güncelleştirmeyi taşınabilir sürücüye kopyaladıktan sonra, aygıtınızda salt okunur modunu kullanabiliyorsanız sürücüyü salt okunur moduna geçirdiğinizden emin olun Salt okunur modu kullanılabiliyorsa, genellikle aygıt üzerindeki bir fiziksel anahtar kullanılarak etkinleştirilir Güncelleştirme dosyasını bulaşma olan bilgisayara kopyaladıktan sonra, taşınabilir sürücüyü denetleyerek Autoruninf dosyasının sürücüye yazılıp yazılmadığına bakın Yazılmışsa, Autoruninf dosyasını Autorunbad gibi bir adla yeniden adlandırarak, taşınabilir sürücü bir bilgisayara bağlandığında çalıştırılamamasını sağlayın
Yerel Yönetici ve Etki Alanı Yöneticisi parolalarını yeni bir güçlü parola kullanacak şekilde sıfırlayın Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Enforcing Strong Password Usage Throughout Your Organization (Enforcing Strong Password Usage Throughout Your Organization)
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
HKEY_LOCAL_MACHINESOFTWAREMi crosoftWindows NTCurrentVersionSvcHost
Ayrıntılar bölmesinde, netsvcs girdisini sağ tıklatın ve sonra Değiştir'i tıklatın
Listenin en altına gidin Bilgisayara Confickerb solucanı bulaşmışsa, rasgele bir hizmet adı listelenir Örneğin bu yordamda, kötü amaçlı yazılımın hizmet adının "gzqmiijz" olduğunu varsayacağız Kötü amaçlı yazılımın hizmet adını not alın Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız
Kötü amaçlı yazılım hizmetine başvuran satırı silin Listelenen son geçerli girdinin altında boş bir yeni satır bıraktığınızdan emin olun ve ardından Tamam'ı tıklatın
Not Aşağıdaki listede yer alan tüm girdiler geçerlidir Bu girdilerden hiçbirini silmeyin Silinmesi gereken girdi, listedeki son girdidir ve rasgele oluşturulmuş bir ada sahiptir
AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg
SVCHOST kayıt defteri anahtarının izinlerini kısıtlayarak anahtara yeniden yazılamamasını sağlayın Bunu yapmak için aşağıdaki adımları izleyin
Notlar
Çalışma ortamı tümüyle temizlendikten sonra varsayılan izinleri geri yüklemelisiniz
Windows 2000'de, kayıt defteri izinlerini ayarlamak için Regedt32 aracını kullanmalısınız
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
HKEY_LOCAL_MACHINESOFTWAREMi crosoftWindows NTCurrentVersionSvchost
Svchost alt anahtarını sağ tıklatın ve sonra ızinler'i tıklatın
SvcHost için ızin Girdisi iletişim kutusunda Gelişmiş'i tıklatın
Gelişmiş iletişim kutusunda Ekle'yi tıklatın
Kullanıcı, Bilgisayar veya Grup Seç iletişim kutusunda, everyone yazın ve Adları Denetle'yi tıklatın
Tamam'ı tıklatın
SvcHost için ızin Girdisi iletişim kutusundaki Uygula listesinde Yalnızca bu anahtar'ı seçin ve sonra da Değer Ata izin girdisinde Reddet onay kutusunu işaretleyin
ıki kez Tamam'ı tıklatın
Güvenlik uyarısı isteğini aldığınızda Evet'i tıklatın
Tamam'ı tıklatın
Önceki yordamda, kötü amaçlı yazılımın hizmet adını not almıştınız Buradaki örnekte, kötü amaçlı yazılım girdisi "gzqmiijz" olarak adlandırılmıştı Bu bilgiyi kullanarak şu adımları izleyin:
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın; burada KötüHizmetAdı, kötü amaçlı yazılımın hizmet adıdır:
HKEY_LOCAL_MACHINESYSTEMCurr entControlSetServicesBadServ iceName
Örneğin, aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
HKEY_LOCAL_MACHINESYSTEMCurr entControlSetServicesgzqmiij z
Gezinti bölmesinde, kötü amaçlı yazılım hizmet adının alt anahtarını sağ tıklatın ve sonra da ızinler'i tıklatın
SvcHost için ızin Girdisi iletişim kutusunda Gelişmiş'i tıklatın
Gelişmiş Güvenlik Ayarları iletişim kutusunda, aşağıdaki onay kutularının her ikisini de tıklatıp seçin:
Bağımlı nesnelere uygulanan izin girdilerini ana öğeden devral Bunları açıkça burada tanıml******ra ekle
Tüm bağımlı nesnelerdeki izin girdilerini burada gösterilen ve bağımlı nesnelere uyanlarla değiştir
F5 tuşuna basarak Kayıt Defteri Düzenleyicisi'ni güncelleştirin Ayrıntılar bölmesinde, kötü amaçlı yazılımın "ServiceDll" adıyla yüklenen DLL dosyasını artık görebilir ve düzenleyebilirsiniz Bunu yapmak için şu adımları izleyin:
ServiceDll girdisini çift tıklatın
Başvurulan DLL dosyasının yolunu not alın Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız Örneğin, başvurulan DLL dosyasının yolu aşağıdakine benzeyebilir:
%SystemRoot%System32emzlqqd dll
Başvuruyu, aşağıdakine benzeyecek şekilde yeniden adlandırın:
%SystemRoot%System32emzlqqd old
Tamam'ı tıklatın
Kayıt defterindeki Run alt anahtarından kötü amaçlı yazılımın hizmet girdisini kaldırın
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarlarını bulun ve tıklatın:
HKEY_CURRENT_USERSoftwareMic rosoftWindowsCurrentVersion Run
HKEY_LOCAL_MACHINESOFTWAREMi crosoftWindowsCurrentVersion Run
Her iki alt anahtarda da, "rundll32exe" ile başlayan ve kötü amaçlı yazılımın adım 12b'de belirlediğiniz "ServiceDll" adıyla yüklenen DLL dosyasına başvuran tüm girdileri bulun Girdiyi silin
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın
Sistemdeki tüm sürücülerde bulunan Autoruninf dosyalarını denetleyin Not Defteri'ni kullanarak dosyaları tek tek açıp, geçerli bir Autoruninf dosyası olduğunu doğrulayın Aşağıda, geçerli olan tipik bir Autoruninf dosyasına örnek verilmektedir
[autorun]
shellexecute=Serverssplashht a *DVD*
icon=Serversautorunico
Geçerli bir Autoruninf dosyası genellikle 1 - 2 kilobayt (KB) boyutundadır
Geçersiz gibi görünen tüm Autoruninf dosyalarını silin
Bilgisayarı yeniden başlatın
Gizli dosyaların görünür olmasını sağlayın Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
regexe add HKLMSOFTWAREMicrosoftWindow sCurrentVersionExplorerAdva ncedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Dosyayı görebilmek için Gizli dosya ve klasörleri göster seçeneğini belirleyin Bunu yapmak için şu adımları izleyin:
Adım 12b'de, kötü amaçlı yazılımın başvurulan DLL dosyasının yolunu not almıştınız Örneğin, aşağıdakine benzer bir yolu not almış olabilirsiniz:
%systemroot%System32emzlqqd dll
Windows Gezgini'nde, %systemroot%System32 dizinini veya kötü amaçlı yazılımı içeren dizini açın
Araçlar'ı ve sonra Klasör Seçenekleri'ni tıklatın
Görünüm sekmesini tıklatın
Gizli dosya ve klasörleri göster onay kutusunu işaretleyin
Tamam'ı tıklatın
DLL dosyasını seçin
Dosya izinlerini düzenleyerek Everyone (Herkes) grubu için Tam Denetim iznini ekleyin Bunu yapmak için şu adımları izleyin:
DLL dosyasını sağ tıklatın ve sonra Özellikler'i tıklatın
Güvenlik sekmesini tıklatın
Everyone (Herkes) öğesini tıklatın ve sonra da ızin Ver sütununda Tam Denetim onay kutusunu tıklatıp seçin
Tamam'ı tıklatın
Kötü amaçlı yazılımın başvurduğu DLL dosyasını silin Örneğin, %systemroot%System32emzlqqd dll dosyasını silin
AT ile oluşturulan tüm zamanlanmış görevleri kaldırın Bunu yapmak için, komut istemine AT /Delete /Yes yazın
Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanarak BITS, Otomatik Güncelleştirmeler, Hata Bildirimi ve Windows Defender hizmetlerini etkinleştirin
Yeniden bulaşma olasılığını azaltmak için Otomatik Kullan özelliğini kapatın Bunu yapmak için şu adımları izleyin:
Sisteminize bağlı olarak, aşağıdaki güncelleştirmelerden birini yükleyin:
Windows 2000, Windows XP veya Windows Server 2003 çalıştırıyorsanız, 953252 numaralı güncelleştirmeyi yükleyin Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
953252 (How to correct "disable Autorun registry key" enforcement in Windows ) Windows'da "Otomatik Çalıştır kayıt defteri anahtarını devre dışı bırak" zorlaması nasıl düzeltilir
Windows Vista veya Windows Server 2008 çalıştırıyorsanız, güvenlik güncelleştirmesi 950582'yi yükleyin Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
950582 (MS08-038: Vulnerability in Windows Explorer could allow remote code execution ) MS08-038: Windows Gezgini'ndeki güvenlik açığı uzaktan kod yürütülmesine izin verebilir
Not 953252 numaralı güncelleştirme ve güvenlik güncelleştirmesi 950582, bu kötü amaçlı yazılım sorunuyla ilişkili değildir Adım 23b'deki kayıt defteri işlevinin etkinleştirilmesi için bu güncelleştirmelerin yüklü olmaları gerekmektedir
Komut istemine aşağıdaki komutu yazın:
regexe add HKLMSOFTWAREMicrosoftWindow sCurrentVersionPoliciesExpl orer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
Sistemde Windows Defender çalışıyorsa, Windows Defender otomatik başlatma konumunu yeniden etkinleştirin Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
regexe add HKLMSOFTWAREMicrosoftWindow sCurrentVersionRun /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%Windows DefenderMSASCuiexe �hide" /f
Windows Vista ve sonraki işletim sistemlerinde, kötü amaçlı yazılım, TCP Alma Penceresi Otomatik Ayarı'nın genel ayarını devre dışı olarak değiştirir Bu ayarı önceki değerine döndürmek için, komut istemine aşağıdaki komutu yazın:
netsh interface tcp set global autotuning=normal
Bu yordamı tamamladıktan sonra bilgisayara solucan bulaşmış gibi görünüyorsa, aşağıdaki koşullardan biri doğru olabilir:
Otomatik başlatma konumlarından biri kaldırılmamıştır Örneğin, AT işi veya bir Autoruninf dosyası kaldırılmamıştır
MS08-067 güvenlik güncelleştirmesi doğru yüklenmemiştir
Bu kötü amaçlı yazılım, bu Bilgi Bankası makalesinde açıklanmayan başka ayarları değiştirebilir Win32/Confickerb ile ilgili en son bilgiler için aşağıdaki Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
Encyclopedia entry: Win32/Conficker - Learn more about malware - Microsoft Malware Protection Center (Encyclopedia entry: Win32/Conficker - Learn more about malware - Microsoft Malware Protection Center)
Üste
Sistemde bulaşma olmadığını doğrulayın
Aşağıdaki hizmetlerin başlatılmış olduğunu doğrulayın:
Otomatik Güncelleştirmeler (wuauserv)
Arka Plan Akıllı Aktarım Hizmeti (BITS)
Windows Defender (windefend) (yüklüyse)
Windows Hata Bildirimi Hizmeti
Bunu yapmak için, komut istemine aşağıdaki komutları yazın: Her komutun ardından ENTER tuşuna basın:
Scexe query wuauserv
Scexe query bits
Scexe query windefend
Scexe query ersvc
Her komut çalıştırıldıktan sonra, aşağıdakine benzer bir ileti alırsınız:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPT S_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Bu örnekte, "STATE : 4 RUNNING", hizmetin çalıştığını gösterir