În acest articol veți găsi un pas detaliat cu pas: Cum să eliminați manual Net-Worm.Win32.Kido vierme de calculator (de asemenea, cunoscut sub numele de W32.Downadup.B și Win32 / Conficker.B).
Deci, în scopul de a elimina Win32 / Conficker.B vierme din sistem manual, urmați pașii de mai jos:- Log on cu un cont local
Important! Dacă este posibil, nu vă conectați cu un cont de domeniu. În special, nu utilizați un cont de administrator de domeniu. Malware care prezintă ca utilizatorul conectat în rețeaua de acces de utilizator și resurse utilizând acreditările utilizatorului. Prin aceste programe rău intenționate pot fi distribuite.
Notă. Serviciul Server ar trebui să fie dezactivat doar temporar pentru a elimina programele malware din mediu. Acest lucru este deosebit de important pentru serverele de producție, deoarece această acțiune afectează disponibilitatea resurselor de rețea. Serviciul Server poate fi reactivată imediat ce mediul va fi complet eliminate.
Important! În această secțiune, metodă sau activitate conține pași pentru a modifica registry. Cu toate acestea, modificați registry incorect poate cauza probleme grave. Prin urmare, astfel de acțiuni trebuie să fie efectuate cu foarte mare atenție. Pentru o protecție sporită, o copie de rezervă registry. Acest lucru va restabili registry dacă apare o problemă.
Notă. Acest nod poate fi blocat din cauza infecției malware-ului. În acest caz, trebuie să descărcați actualizarea la un computer care nu este infectat, și pentru a muta fișierul de actualizare pe computerul infectat. Se recomandă notând actualizarea pe un CD, deoarece re-intrarea pe acest disc nu este posibil. Prin urmare, nu poate fi infectat.
În cazul în care CD-ROM-ul nu este disponibil înregistrarea, singura modalitate de a copia actualizarea la computerul infectat poate fi un dispozitiv portabil, memoria USB. Când utilizați suporturi amovibile, să fie conștient de faptul că malware-ul poate infecta cu fișierul autorun.inf. Dacă dispozitivul de memorie poate fi transformată într-un mod read-only, asigurați-vă că să o facă după înregistrările de actualizare pe ea. De obicei, acest comutator este utilizat pe dispozitiv.
După ce copiați fișierul de actualizare pe computer infectat ar trebui să fie verificate pentru prezența mass-media amovibil autorun.inf dosar. Dacă fișierul este găsit, acesta trebuie să fie redenumit, de exemplu, în Autorun.bad, astfel încât atunci când vă conectați mass-media la computer că fișierul nu a început.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ svchost
Notă. În lista de mai jos, toate intrările sunt valide. Ele nu ar trebui să fie eliminate. Înregistrarea care urmează să fie șters are un nume generat aleator si este situat la sfârșitul listei:
AppMgmt
AudioSrv
Browser
cryptsvc
DMServer
EventSystem
HidServ
Ias
Iprip
Irmon
LanmanServer
lanmanworkstation
mesager
Netman
NLA
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
rasman
Remoteaccess
Sacsvr
program
Seclogon
SENS
SharedAccess
tematică
TrkWks
TrkSvr
W32Time
WZCSVC
WMI
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
WmdmPmSN
xmlprov
AeLookupSvc
helpsvc
axyczbfsetg
Modificarea link-ul pentru a face să arate, după cum urmează:
autorun.inf dosar acceptabil are de obicei o dimensiune de 1 până la 2 kb.
reg.exe adăuga HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ avansat \ Folder \ Hidden \ SHOWALL / v CheckedValue / t REG_DWORD / d 0x1 / f
- 19.1. În timpul funcționării 13.2. a fost necesar să-și amintească calea către DLL pentru serviciul de programe malware. Să presupunem, de exemplu, calea este după cum urmează:
% Systemroot% \ System32 \ emzlqqd.dll [/ i]
În Windows Explorer, deschideți directorul% SystemRoot% \ System32 [/ i], sau directorul care conține malware. - 19.2. În meniul Instrumente, faceți clic pe Opțiuni folder.
- 19.3. Faceți clic pe fila Vizualizare.
- 19.4. Selectați Afișare ascunse fișiere și foldere.
- 19.5. Faceți clic pe OK.
- 21.1. Faceți clic pe fișierul DLL, faceți clic dreapta și selectați Properties.
- 21.2. Faceți clic pe fila Securitate.
- 21.3. Selectați Toate, apoi selectați Control total în coloana Allow.
- 21.4. Faceți clic pe OK.
% Systemroot% \ System32 \ emzlqqd.dll
Notă. Actualizarea 953252 și actualizarea de securitate 950582 nu sunt legate de această problemă cu malware. Acestea trebuie să fie instalat pentru a activa funcția de registru descrisă în etapa 24.2.
reg.exe adăuga HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v NoDriveTypeAutoRun / t REG_DWORD / d 0xff / f
reg.exe adăuga HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run / v "Windows Defender" / t REG_EXPAND_SZ / d "% ProgramFiles% \ Windows Defender \ MSASCui.exe -hide" / f
tcp netsh interface set autosinconizare la nivel mondial = normal
În cazul în care, după finalizarea acestui proces, există semne de infectarea computerului. acest lucru poate fi cauzată de motive așa cum este descris mai jos.
- Una dintre locațiile de pornire nu vor fi șterse. De exemplu, acesta nu va fi șters de locuri de muncă de pornire sau nu autorun.inf dosar a fost șters.
- instalate necorespunzãtor actualizarea pentru MS08-067 de securitate.
Malware poate modifica alte setări care nu sunt descrise în acest articol din Baza de cunoștințe. Alte informații despre viermele Conficker, consultați următoarea pagină web :. Net-vierme Kido.