Cum de a elimina Conficker (alias Downadup și Kido) securitatea informațiilor de mână

În acest articol veți găsi un pas detaliat cu pas: Cum să eliminați manual Net-Worm.Win32.Kido vierme de calculator (de asemenea, cunoscut sub numele de W32.Downadup.B și Win32 / Conficker.B).

Deci, în scopul de a elimina Win32 / Conficker.B vierme din sistem manual, urmați pașii de mai jos:
  1. Log on cu un cont local
    Important! Dacă este posibil, nu vă conectați cu un cont de domeniu. În special, nu utilizați un cont de administrator de domeniu. Malware care prezintă ca utilizatorul conectat în rețeaua de acces de utilizator și resurse utilizând acreditările utilizatorului. Prin aceste programe rău intenționate pot fi distribuite.
  • Opriți serviciul Server. Ca urmare a acestei acțiuni este resursele generale de administrator vor fi șterse din sistem, care va preveni răspândirea malware-ului în acest mod.
    Notă. Serviciul Server ar trebui să fie dezactivat doar temporar pentru a elimina programele malware din mediu. Acest lucru este deosebit de important pentru serverele de producție, deoarece această acțiune afectează disponibilitatea resurselor de rețea. Serviciul Server poate fi reactivată imediat ce mediul va fi complet eliminate.

  • Eliminați toate sarcinile create de pornire. Pentru a face acest lucru, introduceți următoarea comandă la un prompt de comandă:

    Important! În această secțiune, metodă sau activitate conține pași pentru a modifica registry. Cu toate acestea, modificați registry incorect poate cauza probleme grave. Prin urmare, astfel de acțiuni trebuie să fie efectuate cu foarte mare atenție. Pentru o protecție sporită, o copie de rezervă registry. Acest lucru va restabili registry dacă apare o problemă.

    Notă. Acest nod poate fi blocat din cauza infecției malware-ului. În acest caz, trebuie să descărcați actualizarea la un computer care nu este infectat, și pentru a muta fișierul de actualizare pe computerul infectat. Se recomandă notând actualizarea pe un CD, deoarece re-intrarea pe acest disc nu este posibil. Prin urmare, nu poate fi infectat.

    În cazul în care CD-ROM-ul nu este disponibil înregistrarea, singura modalitate de a copia actualizarea la computerul infectat poate fi un dispozitiv portabil, memoria USB. Când utilizați suporturi amovibile, să fie conștient de faptul că malware-ul poate infecta cu fișierul autorun.inf. Dacă dispozitivul de memorie poate fi transformată într-un mod read-only, asigurați-vă că să o facă după înregistrările de actualizare pe ea. De obicei, acest comutator este utilizat pe dispozitiv.

    După ce copiați fișierul de actualizare pe computer infectat ar trebui să fie verificate pentru prezența mass-media amovibil autorun.inf dosar. Dacă fișierul este găsit, acesta trebuie să fie redenumit, de exemplu, în Autorun.bad, astfel încât atunci când vă conectați mass-media la computer că fișierul nu a început.

  • Toate parola de administrator local, iar administratorul domeniului trebuie să fie înlocuită cu o nouă parolă puternică. Pentru mai multe informații, consultați :. Cum pot crea o parolă sigură?
  • Localizați și selectați următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ svchost
  • În panoul de detalii, faceți clic dreapta pe netsvcs și apoi faceți clic pe Modifica.
  • Derulați până în partea de jos a listei. În cazul în care computerul este infectat cu un vierme Conficker.b, în ​​partea de jos a listei va fi un nume de serviciu aleatoriu. În acest caz, chiar dacă, de exemplu, un serviciu de rău intenționat este numit „gzqmiijz“. Notați numele serviciului malware-ului. Această informație va fi necesară mai târziu, când procedura de eliminare vierme.
  • Ștergeți linia care conține referire la serviciul de programe malware. Asigurați-vă că, în ultima intrare validă din listă este un șir gol, apoi faceți clic pe OK.

    Notă. În lista de mai jos, toate intrările sunt valide. Ele nu ar trebui să fie eliminate. Înregistrarea care urmează să fie șters are un nume generat aleator si este situat la sfârșitul listei:

    AppMgmt
    AudioSrv
    Browser
    cryptsvc
    DMServer
    EventSystem
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    lanmanworkstation
    mesager
    Netman
    NLA
    Ntmssvc
    NWCWorkstation
    Nwsapagent
    Rasauto
    rasman
    Remoteaccess
    Sacsvr
    program
    Seclogon
    SENS
    SharedAccess
    tematică
    TrkWks
    TrkSvr
    W32Time
    WZCSVC
    WMI
    WmdmPmSp
    winmgmt
    wuauserv
    BITS
    ShellHWDetection
    uploadmgr
    WmdmPmSN
    xmlprov
    AeLookupSvc
    helpsvc
    axyczbfsetg


    Modificarea link-ul pentru a face să arate, după cum urmează:

  • Check out toate discurile din sistem pentru prezența autorun.inf. Deschideți fiecare fișier în „Notepad“ pentru a vă asigura că acesta este autorun.inf dosar valid. Mai jos este un exemplu al unui fișier tipic admisibil Autorun.inf:

    autorun.inf dosar acceptabil are de obicei o dimensiune de 1 până la 2 kb.

  • Toate fișierele autorun.inf, dintre care admisibilitatea este în dubiu, trebuie să fie eliminate.
  • Asigurați-vă fișierele ascunse vizibile. Pentru a face acest lucru, tastați următoarea comandă la un prompt de comandă:

    reg.exe adăuga HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ avansat \ Folder \ Hidden \ SHOWALL / v CheckedValue / t REG_DWORD / d 0x1 / f

  • Selectați Afișare fișiere și foldere ascunse, pentru a vedea fișierul. Pentru a face acest lucru, urmați pașii de mai jos.

    • 19.1. În timpul funcționării 13.2. a fost necesar să-și amintească calea către DLL pentru serviciul de programe malware. Să presupunem, de exemplu, calea este după cum urmează:
      % Systemroot% \ System32 \ emzlqqd.dll [/ i]
      În Windows Explorer, deschideți directorul% SystemRoot% \ System32 [/ i], sau directorul care conține malware.
    • 19.2. În meniul Instrumente, faceți clic pe Opțiuni folder.
    • 19.3. Faceți clic pe fila Vizualizare.
    • 19.4. Selectați Afișare ascunse fișiere și foldere.
    • 19.5. Faceți clic pe OK.
  • Selectați fișierul DLL.
  • Schimbarea permisiunile fișierului pentru a oferi acces deplin pentru toți. Pentru a face acest lucru, urmați pașii de mai jos:
    • 21.1. Faceți clic pe fișierul DLL, faceți clic dreapta și selectați Properties.
    • 21.2. Faceți clic pe fila Securitate.
    • 21.3. Selectați Toate, apoi selectați Control total în coloana Allow.
    • 21.4. Faceți clic pe OK.
  • Scoateți DLL accesat de serviciu rău intenționat. În acest exemplu, pentru a șterge fișierul:
    % Systemroot% \ System32 \ emzlqqd.dll
  • 23. Porniți fundal Serviciul de transfer inteligent (BITS), Automatic Updates, Windows Defender, și eroarea de înregistrare de serviciu utilizând Microsoft Management Console (MMC) "Servicii".
  • Dezactivați Autorun, pentru a reduce probabilitatea de re-infecție. Pentru a face acest lucru, urmați pașii de mai jos:

    Notă. Actualizarea 953252 și actualizarea de securitate 950582 nu sunt legate de această problemă cu malware. Acestea trebuie să fie instalat pentru a activa funcția de registru descrisă în etapa 24.2.

  • 24.2. În linia de comandă, tastați următoarea comandă:

    reg.exe adăuga HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v NoDriveTypeAutoRun / t REG_DWORD / d 0xff / f

  • În cazul în care sistemul se execută Windows Defender, aveți nevoie să re-activați detectarea locației de pornire. Pentru a face acest lucru, tastați următoarea comandă la un prompt de comandă:

    reg.exe adăuga HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run / v "Windows Defender" / t REG_EXPAND_SZ / d "% ProgramFiles% \ Windows Defender \ MSASCui.exe -hide" / f

  • Sistemele de operare Windows Vista și programe rău intenționate mai târziu modifica tuning parametru global al ferestrei de primire TCP la dezactivat. Pentru a anula această modificare, tastați următoarea comandă la un prompt de comandă:

    tcp netsh interface set autosinconizare la nivel mondial = normal


    • În cazul în care, după finalizarea acestui proces, există semne de infectarea computerului. acest lucru poate fi cauzată de motive așa cum este descris mai jos.
    1. Una dintre locațiile de pornire nu vor fi șterse. De exemplu, acesta nu va fi șters de locuri de muncă de pornire sau nu autorun.inf dosar a fost șters.
    2. instalate necorespunzãtor actualizarea pentru MS08-067 de securitate.

    Malware poate modifica alte setări care nu sunt descrise în acest articol din Baza de cunoștințe. Alte informații despre viermele Conficker, consultați următoarea pagină web :. Net-vierme Kido.

    Pagina anterioară

    Pagina următoare