SpayniX Web Portal

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Как удалить червя Conficker (aka Downadup и Kido) вручную?

E-mail Печать PDF
(0 Голосов)

В данной статье Вы найдёте подробную пошаговаю инструкцию: как удалить вручную компьютерный червь Net-Worm.Win32.Kido (также известный как W32.Downadup.B и Win32/Conficker.B).

Итак, для того чтобы удалить червя Win32/Conficker.B из системы вручную, выполните действия, указанные ниже:

1. Войдите в систему с локальной учетной записью

Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Благодаря этому Вредоносные программы могут распространяться.

2. Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.

Примечание. Службу сервера нужно отключить только временно, чтобы устранить Вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.

Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже:
2.1. В зависимости от системы выполните одно из описанных ниже действий:
- В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.

- В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затемВыполнить, введите services.msc и нажмите кнопку ОК.
2.2. Дважды щелкните элемент Сервер.

2.3. Нажмите кнопку Остановить.

2.4. В поле Тип запуска выберите значение Отключено.

2.5. Нажмите кнопку Применить.

3. Удалите все созданные задания автозапуска. Для этого введите в командной строке команду:

AT /Delete /Yes


4. Остановите службу планировщика заданий.

- Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средствоSC.exe.

- Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия:
Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок.

rong>4.1. Нажмите кнопку Пуск, введите значение regedit в поле Начать поиск и выберите пунктregedit.exe в списке Программы.

4.2. Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

4.3. В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить

4.4. В поле Значение введите 4 и нажмите кнопку ОК.

4.5. Закройте редактор реестра и перезагрузите компьютер.

5. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт:
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx

Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараж енный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен.

Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства.

После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf. Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.

6. Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями.

7. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите командуИзменить.

9. Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "gzqmiijz". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.

10. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

Примечание. В приведенном ниже списке все записи являются допустимыми. Их не следует удалять. Запись, которую необходимо удалить, имеет случайным образом созданное имя и находится в конце списка:
Скрытый текст
AppMgmt
AudioSrv 
Browser 
CryptSvc 
DMServer 
EventSystem 
HidServ
Ias
Iprip 
Irmon 
LanmanServer
LanmanWorkstation
Messenger
Netman 
Nla 
Ntmssvc 
NWCWorkstation 
Nwsapagent 
Rasauto 
Rasman 
Remoteaccess 
Sacsvr
Schedule
Seclogon
SENS
Sharedaccess
Themes
TrkWks 
TrkSvr 
W32Time 
WZCSVC 
Wmi 
WmdmPmSp 
winmgmt 
wuauserv 
BITS 
ShellHWDetection 
uploadmgr 
WmdmPmSN 
xmlprov 
AeLookupSvc 
helpsvc 
axyczbfsetg

11. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать. Для этого выполните действия, описанные ниже:

Примечания.
- После полной очистки среды необходимо восстановить разрешения по умолчанию.
- В Windows 2000 для установки разрешений реестра необходимо использовать программу Regedt32.

11.1. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

11.2. Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения

11.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.

11.4. В диалоговом окне Дополнительно нажмите кнопку Добавить

11.5. В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение все и выберите команду Проверить имена.

11.6. Нажмите кнопку ОК

11.7. В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение. 

11.8. Дважды нажмите кнопку ОК

11.9. На запрос системы безопасности ответьте Да

11.10. Нажмите кнопку ОК.

12. При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "gzqmiijz". С учетом этого выполните указанные ниже действия:

12.1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName

Например, найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz

12.2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пунктРазрешения.

12.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно

12.4. В диалоговом окне Дополнительные параметры безопасности установите флажки:
a) Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

b) Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам

13. Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже:

13.1. Дважды щелкните параметр ServiceDll.

13.2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
%SystemRoot%\System32\emzlqqd.dll

Измените ссылку, чтобы она выглядела следующим образом:
%SystemRoot%\System32\emzlqqd.old

13.3. Нажмите кнопку ОК

14. Удалите запись вредоносной службы из подраздела реестра Run:

14.1. В редакторе реестра найдите и выберите следующие подразделы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


14.2. В обоих подразделах найдите параметр, имя которого начинается с rundll32.exe, обращающийся к вредоносной библиотеке DLL, которая загружается как ServiceDll, обнаруженной в действии 13.2. Удалите параметр.

14.3. Закройте редактор реестра и перезагрузите компьютер.

15. Проверьте все диски в системе на наличие файлов Autorun.inf. Откройте каждый файл в программе "Блокнот", чтобы убедиться в том, что это допустимые файлы Autorun.inf. Ниже приведен пример типичного допустимого файла Autorun.inf:

[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico

Допустимый файл Autorun.inf обычно имеет размер от 1 до 2 КБ.

16. Все файлы Autorun.inf, допустимость которых вызывает сомнения, следует удалить. 

17. Перезагрузите компьютер. 

18. Сделайте видимыми скрытые файлы. Для этого введите в командной строке следующую команду:

reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f


19. Установите флажок Показывать скрытые файлы и папки, чтобы увидеть нужный файл. Для этого выполните действия, указанные ниже.

19.1. В действии 13.2. нужно было запомнить путь к библиотеке DLL для вредоносной службы. Пусть, например, этот путь выглядит следующим образом:
%systemroot%\System32\emzlqqd.dll

В проводнике Windows откройте каталог %systemroot%\System32 или каталог, содержащий вредоносную программу.

19.2. В меню Сервис выберите команду Свойства папки.
19.3. Перейдите на вкладку Вид.
19.4. Установите флажок Показывать скрытые файлы и папки.
19.5. Нажмите кнопку ОК.

20. Выберите файл библиотеки DLL.

21. змените разрешения для этого файла, чтобы предоставить полный доступ для всех. Для этого выполните действия, указанные ниже:

21.1. Щелкните файл библиотеки DLL правой кнопкой мыши и выберите команду Свойства.
21.2. Перейдите на вкладку Безопасность.
21.3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.
21.4. Нажмите кнопку ОК.

22. Удалите библиотеку DLL, к которой обращается вредоносная служба. В данном примере следует удалить файл:
%systemroot%\System32\emzlqqd.dll

23. Включите фоновую интеллектуальную службу передачи (BITS), службы автоматического обновления, Защитник Windows и службу регистрации ошибок с помощью оснастки консоли управления (MMC) "Службы".

24. Отключите автозапуск, чтобы уменьшить вероятность повторного заражения. Для этого выполните действия, указанные ниже:

24.1. В зависимости от системы установите одно из обновлений, перечисленных ниже. 
- Если на компьютере установлена операционная система Windows 2000, Windows XP или Windows Server 2003, установите обновление 967715. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
http://support.microsoft.com/kb/967715/

- Если на компьютере установлена операционная система Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
http://support.microsoft.com/kb/950582/

Примечание. Обновление 953252 и обновление для системы безопасности 950582 не относятся к данной проблеме с вредоносными программами. Их необходимо установить, чтобы разрешить функцию реестра, описанную в действии 24.2.

24.2. В командной строке введите следующую команду:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /

25. Если в системе запущен Защитник Windows, нужно вновь включить обнаружение расположения автозапуска. Для этого введите в командной строке следующую команду:

reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

 

26. В операционных системах Windows Vista и более поздних Вредоносные программы изменяют глобальный параметр автонастройки принимающего окна TCP на значение отключено. Чтобы отменить это изменение, введите в командной строке следующую команду:

netsh interface tcp set global autotuning=normal

 

Если после завершения описанной процедуры имеются признаки повторного заражения компьютера, это может быть вызвано описанными ниже причинами.

a) Одно из расположений автозапуска не было удалено. Например, не было удалено задание автозапуска или не был удален файл Autorun.inf.

b) Неправильно установлено обновление для системы безопасности MS08-067.

Вредоносные программы могут изменять другие настройки, не описанные в данной статье базы знаний.

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.

 

Источник: www.securrity.ru

Обсудить на форуме

Обновлено 20.08.2010 16:30  
network monitoring tool

Погода

Яндекс.Погода

Статистика

Пользователи : 705
Статьи : 246
Просмотры материалов : 1480789
mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterСегодня101
mod_vvisit_counterВчера135
mod_vvisit_counterЗа неделю645
mod_vvisit_counterЗа месяц2371
mod_vvisit_counterВсего840096

Кто на сайте

Сейчас 85 гостей онлайн

Поиск

Информация о профиле

Application afterLoad: 0.003 seconds, 0.52 MB
Application afterInitialise: 0.109 seconds, 3.13 MB
Application afterRoute: 0.126 seconds, 3.68 MB
Application afterDispatch: 0.313 seconds, 8.09 MB
Application afterRender: 0.585 seconds, 9.13 MB