Як видалити черв’яка conficker (aka downadup і kido) вручну інформаційна безпека

У даній статті Ви знайдете докладну покрокова інструкція: як видалити вручну комп'ютерний черв'як Net-Worm.Win32.Kido (також відомий як W32.Downadup.B і Win32 / Conficker.B).

Отже, для того щоб видалити черв'яка Win32 / Conficker.B з системи вручну, виконайте дії, зазначені нижче:

Увійдіть в систему з локальної обліковим записом
Важливо! По можливості не входите в систему з обліковим записом домену. Зокрема, не використовуйте для цього облікового запису адміністратора домену. Шкідливі програми видають себе за увійшов в систему користувача і отримують доступ до мережевих ресурсів, використовуючи облікові дані такого користувача. Завдяки цьому Шкідливі програми можуть поширюватися.

Зупиніть службу сервера. В результаті цієї дії загальні ресурси адміністратора будуть видалені з системи, що запобіжить поширення шкідливих програм зазначеним способом.
Примітка. Службу сервера потрібно відключити тільки тимчасово, щоб усунути Шкідливі програми з середовища. Це особливо важливо для робочих серверів, так як дана дія впливає на доступність мережевих ресурсів. Службу сервера можна включити знову, як тільки середовище буде повністю очищена.

Видаліть всі створені завдання автозапуску. Для цього введіть у командному рядку команду:

Важливо! В даний розділ, метод або завдання містять кроки, внесення змін до реєстру. Неправильне внесення змін до реєстру може призвести до виникнення серйозних проблем. Тому такі дії будьте уважні, виконуючи. Для зміни, обов'язково створіть резервну копію реєстру. Це дозволить відновити реєстр у разі виникнення неполадок.

Примітка. Цей вузол може бути заблокований через зараження шкідливими програмами. В цьому випадку необхідно завантажити оновлення на комп'ютер, який не заражена, і перемістити файл оновлення на заражений комп'ютер. Рекомендується записати оновлення на компакт-диск, тому що повторна запис на такий диск. Отже, він не може бути заражений.

Якщо пристрій запису компакт-дисків недоступно, єдиним способом скопіювати оновлення на заражений комп'ютер може виявитися переносне USB-пристрій пам'яті. При використанні змінного носія слід пам'ятати, що шкідлива програма може заразити його за допомогою файлу Autorun.inf. Якщо пристрій пам'яті можна перевести в режим тільки для читання, обов'язково зробіть це після запису поновлення на нього. Зазвичай для цього використовується перемикач на корпусі пристрою.

Після копіювання файлу оновлення на заражений комп'ютер слід перевірити знімний носій на наявність файлу Autorun.inf. Якщо такий файл виявлено, його необхідно перейменувати, наприклад, в Autorun.bad, щоб при підключенні носія до комп'ютера цей файл не був запущений.

Всі паролі локального адміністратора і адміністратора домену необхідно замінити новими надійними паролями. Додаткові відомості див. У статті: Як створити безпечний пароль?

Знайдіть і виберіть такий підрозділ реєстру:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost

В області відомостей клацніть правою кнопкою миші параметр netsvcs і виберіть команду Змінити.

Перейдіть до нижньої частини списку. Якщо комп'ютер заражений черв'яком Conficker.b, в нижній частині списку з'явиться випадкове ім'я служби. В даному випадку нехай, наприклад, шкідлива служба має ім'я "gzqmiijz". Зверніть увагу на ім'я шкідливої служби. Ця інформація буде потрібно згодом при виконанні процедури усунення хробака.

Видаліть рядок, яка містить посилання на шкідливу службу. Переконайтеся в тому, що під останньою допустимої записом в списку залишається порожній рядок, потім натисніть кнопку ОК.

Примітка. У наведеному нижче списку все записи є допустимими. Їх не слід видаляти. Запис, яку необхідно видалити, має випадковим чином створене ім'я і знаходиться в кінці списку:

AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
EventSystem
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Sacsvr
Schedule
Seclogon
SENS
Sharedaccess
Themes
TrkWks
TrkSvr
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
WmdmPmSN
xmlprov
AeLookupSvc
helpsvc
axyczbfsetg

Змініть посилання, щоб вона виглядала наступним чином:

Перевірте всі диски в системі на наявність файлів Autorun.inf. Відкрийте кожен файл в програмі "Блокнот", щоб переконатися в тому, що це допустимі файли Autorun.inf. Нижче наведено приклад типового допустимого файлу Autorun.inf:

Допустимий файл Autorun.inf зазвичай має розмір від 1 до 2 КБ.

Всі файли Autorun.inf, допустимість яких викликає сумніви, слід видалити.

Зробіть видимими приховані файли. Для цього введіть у командному рядку наступну команду:

reg.exe add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL / v CheckedValue / t REG_DWORD / d 0x1 / f

Встановіть прапорець Показувати приховані файли і папки, щоб побачити потрібний файл. Для цього виконайте дії, зазначені нижче.

19.1. У дії 13.2. потрібно було запам'ятати шлях до бібліотеки DLL для шкідливої служби. Нехай, наприклад, цей шлях виглядає наступним чином:
% Systemroot% \ System32 \ emzlqqd.dll [/ i]
У провіднику Windows відкрийте каталог% systemroot% \ System32 [/ i] або каталог, що містить шкідливу програму.
19.2. У меню Сервіс виберіть команду Властивості папки.
19.3. Перейдіть на вкладку Вид.
19.4. Встановіть прапорець Показувати приховані файли і папки.
19.5. Натисніть кнопку ОК.

Виберіть файл бібліотеки DLL.

Змініть дозволи для цього файлу, щоб надати повний доступ для всіх. Для цього виконайте дії, зазначені нижче:

21.1. Клацніть файл бібліотеки DLL правою кнопкою миші і виберіть команду Властивості.
21.2. Перейдіть на вкладку Безпека.
21.3. Виберіть пункт Усі, потім встановіть прапорець Повний доступ в стовпці Дозволити.
21.4. Натисніть кнопку ОК.

Видаліть бібліотеку DLL, до якої звертається шкідлива служба. В даному прикладі слід видалити файл:
% Systemroot% \ System32 \ emzlqqd.dll

23. Увімкніть фонову інтелектуальну службу передачі (BITS), служби автоматичного оновлення, Захисник Windows і службу реєстрації помилок за допомогою оснастки консолі управління (MMC) "Служби".

Вимкніть автозапуск, щоб зменшити ймовірність повторного зараження. Для цього виконайте дії, зазначені нижче:

Примітка. Оновлення 953252 і оновлення для системи безпеки 950582 не належать до даної проблеми з шкідливими програмами. Їх необхідно встановити, щоб дозволити функцію реєстру, описану в дії 24.2.

24.2. У командному рядку введіть таку команду:

reg.exe add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v NoDriveTypeAutoRun / t REG_DWORD / d 0xff / f

Якщо в системі запущено Захисник Windows, потрібно знову включити виявлення розташування автозапуску. Для цього введіть у командному рядку наступну команду:

reg.exe add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run / v "Windows Defender" / t REG_EXPAND_SZ / d "% ProgramFiles% \ Windows Defender \ MSASCui.exe -hide" / f

В операційних системах Windows Vista і більш пізніх Шкідливі програми змінюють глобальний параметр автонастройки приймає вікна TCP на значення відключено. Щоб скасувати цю зміну, введіть у командному рядку наступну команду:

netsh interface tcp set global autotuning = normal

Якщо після завершення описаної процедури є ознаки зараження комп'ютера. це може бути викликано описаними нижче причинами.

Одне з розташувань автозапуску не було видалено. Наприклад, не було видалено завдання автозапуску або ні видалений файл Autorun.inf.
Неправильно встановлено оновлення для системи безпеки MS08-067.

Шкідливі програми можуть змінювати інші настройки, не описані в даній статті бази знань. Інші відомості про хробака Conficker см. На наступній веб-сторінці: Net-Worm Kido.