Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Как удалить червя Conficker (aka Downadup и Kido) вручную?
Статьи

Как удалить червя Conficker (aka Downadup и Kido) вручную?

автор: Administrator | 16 июня 2009, 05:12 | Просмотров: 32394
теги: Статьи, удалить, червь, Conficker, Downadup, Kido, реестр, доступ, система, Windows, Сервер



В данной статье Вы найдёте подробная пошаговая инструкция: как удалить вручную компьютерный червь Net-Worm.Win32.Kido (также известный как W32.Downadup.B и Win32/Conficker.B).

Итак, для того чтобы удалить червя Win32/Conficker.B из системы вручную, выполните действия, указанные ниже:
  1. Войдите в систему с локальной учетной записью
    Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Благодаря этому Вредоносные программы могут распространяться.


  2. Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.
    Примечание. Службу сервера нужно отключить только временно, чтобы устранить Вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.

    Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже:
    • 2.1. В зависимости от системы выполните одно из описанных ниже действий:
      — В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.

      — В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затем Выполнить, введите services.msc и нажмите кнопку ОК.

    • 2.2. Дважды щелкните элемент Сервер.

    • 2.3. Нажмите кнопку Остановить.

    • 2.4. В поле Тип запуска выберите значение Отключено.

    • 2.5. Нажмите кнопку Применить.


  3. Удалите все созданные задания автозапуска. Для этого введите в командной строке команду:
    AT /Delete /Yes


  4. Остановите службу планировщика заданий.
    — Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средство SC.exe.

    — Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия:

    Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок.

    • 4.1. Нажмите кнопку Пуск, введите значение regedit в поле Начать поиск и выберите пункт regedit.exe в списке Программы.

    • 4.2. Найдите и щелкните следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

    • 4.3. В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить

    • 4.4. В поле Значение введите 4 и нажмите кнопку ОК.

    • 4.5. Закройте редактор реестра и перезагрузите компьютер.


  5. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт:
    http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx

    Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен.

    Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства.

    После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf. Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.


  6. Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями. Дополнительные сведения см. в статье: Как создать безопасный пароль?


  7. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost


  8. В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.


  9. Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "gzqmiijz". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.


  10. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

    Примечание. В приведенном ниже списке все записи являются допустимыми. Их не следует удалять. Запись, которую необходимо удалить, имеет случайным образом созданное имя и находится в конце списка:


  11. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать. Для этого выполните действия, описанные ниже:
    Примечания.
    — После полной очистки среды необходимо восстановить разрешения по умолчанию.
    — В Windows 2000 для установки разрешений реестра необходимо использовать программу Regedt32.
    • 11.1. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

    • 11.2. Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.

    • 11.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.

    • 11.4. В диалоговом окне Дополнительно нажмите кнопку Добавить.

    • 11.5. В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение все и выберите команду Проверить имена.

    • 11.6. Нажмите кнопку ОК.

    • 11.7. В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.

    • 11.8. Дважды нажмите кнопку ОК.

    • 11.9. На запрос системы безопасности ответьте Да.

    • 11.10. Нажмите кнопку ОК.


  12. При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "gzqmiijz". С учетом этого выполните указанные ниже действия:
    • 12.1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Например, найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz

    • 12.2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.

    • 12.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.

    • 12.4. В диалоговом окне Дополнительные параметры безопасности установите флажки:

      1. Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

      2. Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам


  13. Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже:
    • 13.1. Дважды щелкните параметр ServiceDll.

    • 13.2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
      %SystemRoot%\System32\emzlqqd.dll

      Измените ссылку, чтобы она выглядела следующим образом:
      %SystemRoot%\System32\emzlqqd.old

    • 13.3. Нажмите кнопку ОК


  14. Удалите запись вредоносной службы из подраздела реестра Run:
    • 14.1. В редакторе реестра найдите и выберите следующие подразделы:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • 14.2. В обоих подразделах найдите параметр, имя которого начинается с rundll32.exe, обращающийся к вредоносной библиотеке DLL, которая загружается как ServiceDll, обнаруженной в действии 13.2. Удалите параметр.

    • 14.3. Закройте редактор реестра и перезагрузите компьютер.


  15. Проверьте все диски в системе на наличие файлов Autorun.inf. Откройте каждый файл в программе "Блокнот", чтобы убедиться в том, что это допустимые файлы Autorun.inf. Ниже приведен пример типичного допустимого файла Autorun.inf:
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Допустимый файл Autorun.inf обычно имеет размер от 1 до 2 КБ.


  16. Все файлы Autorun.inf, допустимость которых вызывает сомнения, следует удалить.


  17. Перезагрузите компьютер.


  18. Сделайте видимыми скрытые файлы. Для этого введите в командной строке следующую команду:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f


  19. Установите флажок Показывать скрытые файлы и папки, чтобы увидеть нужный файл. Для этого выполните действия, указанные ниже.

    • 19.1. В действии 13.2. нужно было запомнить путь к библиотеке DLL для вредоносной службы. Пусть, например, этот путь выглядит следующим образом:
      %systemroot%\System32\emzlqqd.dll[/i]
      В проводнике Windows откройте каталог %systemroot%\System32[/i] или каталог, содержащий вредоносную программу.

    • 19.2. В меню Сервис выберите команду Свойства папки.

    • 19.3. Перейдите на вкладку Вид.

    • 19.4. Установите флажок Показывать скрытые файлы и папки.

    • 19.5. Нажмите кнопку ОК.


  20. Выберите файл библиотеки DLL.


  21. Измените разрешения для этого файла, чтобы предоставить полный доступ для всех. Для этого выполните действия, указанные ниже:
    • 21.1. Щелкните файл библиотеки DLL правой кнопкой мыши и выберите команду Свойства.

    • 21.2. Перейдите на вкладку Безопасность.

    • 21.3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.

    • 21.4. Нажмите кнопку ОК.


  22. Удалите библиотеку DLL, к которой обращается вредоносная служба. В данном примере следует удалить файл:
    %systemroot%\System32\emzlqqd.dll


  23. 23. Включите фоновую интеллектуальную службу передачи (BITS), службы автоматического обновления, Защитник Windows и службу регистрации ошибок с помощью оснастки консоли управления (MMC) "Службы".


  24. Отключите автозапуск, чтобы уменьшить вероятность повторного заражения. Для этого выполните действия, указанные ниже:

    • 24.1. В зависимости от системы установите одно из обновлений, перечисленных ниже.
      — Если на компьютере установлена операционная система Windows 2000, Windows XP или Windows Server 2003, установите обновление 967715. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
      http://support.microsoft.com/kb/967715/[/i]

      — Если на компьютере установлена операционная система Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
      http://support.microsoft.com/kb/950582/[/i]

      Примечание. Обновление 953252 и обновление для системы безопасности 950582 не относятся к данной проблеме с вредоносными программами. Их необходимо установить, чтобы разрешить функцию реестра, описанную в действии 24.2.


    • 24.2. В командной строке введите следующую команду:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f


  25. Если в системе запущен Защитник Windows, нужно вновь включить обнаружение расположения автозапуска. Для этого введите в командной строке следующую команду:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f


  26. В операционных системах Windows Vista и более поздних Вредоносные программы изменяют глобальный параметр автонастройки принимающего окна TCP на значение отключено. Чтобы отменить это изменение, введите в командной строке следующую команду:
    netsh interface tcp set global autotuning=normal

Если после завершения описанной процедуры имеются признаки заражения компьютера, это может быть вызвано описанными ниже причинами.

  1. Одно из расположений автозапуска не было удалено. Например, не было удалено задание автозапуска или не был удален файл Autorun.inf.

  2. Неправильно установлено обновление для системы безопасности MS08-067.


Вредоносные программы могут изменять другие настройки, не описанные в данной статье базы знаний. Другие сведения о черве Conficker см. на следующей веб-странице: Net-Worm Kido.

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.




источник:
microsoft.com
@ Volk1234
1 ноября 2009, 10:38 | |  
Аватар пользователя Volk1234
карма:
комментариев: 0
новостей: 0
группа: Гости
[ Комментарий был удален администрацией ]
@ Breard
2 марта 2010, 02:06 | |  
Аватар пользователя Breard
карма:
комментариев: 0
новостей: 0
группа: Гости
Д О М О А Р И Г А Т О !!!!!!

За пошаговую консультацию ....для "пионЭров".... ОТ ДУШИ - спасибо
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.