清除Conficker蠕虫病毒详细步骤

Conficker简介:

       Worm:Win32/Conficker.B.9.831 ,利用MS-0867漏洞的蠕虫。

       conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。

       被conficker蠕虫感染症状:

       帐户锁定政策被自动复位。某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS ), WindowsDefender和错误报告服务。域控制器对客户机请求回应变得缓慢。系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。跟杀毒软件,windows系统更新有关的网站无法访问。另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

       清除Conficker蠕虫1(此方法适用于普通网民)

       1:下载最新Conficker免疫补丁

       http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03
       支持的操作系统: Windows XP Service Pack 2; Windows XP Service Pack 3
       http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d
       支持的操作系统: Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 2

       2:打好补丁后,使用MSRT进行清除企业环境中MSRT的部署

       Conficker蠕虫清除工具下载--conficker蠕虫专杀工具

       http://support.microsoft.com/kb/890830 (Windows 2000/XP/2003/)

       其他恶意软件删除工具下载http://support.microsoft.com/kb/891716

       繁体中文(香港、澳门和台湾)用户,请参考微软官方网站提供的Conficker蠕蟲惡意軟體移除工具

      3:如果还是杀win32.conficker木马病毒的话,可到www.360.cn下载conficker木马专杀工具.

       清除Conficker蠕虫2:(此方法适用于电脑管理人员,由赛门铁克诺顿提供)

       3.1移除使用W32.Downadup(Conficker蠕虫)移除工具
       赛门铁克安全响应中心已经开发出一种清除工具来清理感染的W32.Downadup(Conficker蠕虫) 。 使用此删除工具首先,因为它是最简单的方法以消除这一威胁。


      3.2 手动移除Conficker蠕虫
      以下说明涉及所有当前和最近的赛门铁克防病毒产品,包括利用Symantec AntiVirus和Norton AntiVirus的产品线。

 

  1. 禁用系统还原( Windows Me中/ XP中)
  2. 更新的病毒定义
  3. 执行完整的系统扫描
  4. 删除任何值添加到注册表中


       对于具体的清除Conficker蠕虫细节上的每一个步骤,请阅读以下说明。

       1. 1 要禁用系统还原( Windows Me中/ XP中)
       如果您运行的是Windows Me或Windows XP中,我们建议您暂时关闭系统还原。 Windows Me中/ XP使用此功能,这是默认启用,恢复计算机上的文件的情况下已被损坏。 如果病毒,蠕虫或木马程序感染的计算机,系统还原可能会备份病毒,蠕虫或木马程序的计算机上。

       阻止外部的Windows程序,包括防病毒程序,修改系统还原。 所以,防病毒程序或工具无法删除威胁的系统还原文件夹。因此,系统还原有可能受感染的文件恢复您的计算机上,即使您已经清除受感染的文件从所有其他地点。

      此外,病毒扫描可能的威胁,在系统还原文件夹,即使您已删除了威胁。

     有关如何关闭系统还原,请参阅您的Windows文件,或其中之一的以下条款:


       注意:当您完全完成移除程序和感到满意的是,威胁已经被清除,重新启用系统还原按照以下说明,在上述文件。

       如需详细资讯,并替代禁用Windows Me的系统还原,请参阅Microsoft知识库文章: 反病毒软件无法清除受感染的文件在_Restore文件夹 (文章编号: Q263455 ) 。

       2. 2 要更新病毒定义
       赛门铁克安全响应中心的全面测试所有的病毒定义,以保证质量,才张贴到我们的服务器上。 有两种方法,以获取最新的病毒定义:

  • 运行的LiveUpdate ,这是最简单的方法获取的病毒定义。

    如果您使用的Norton AntiVirus 2006年,赛门铁克防病毒企业版10.0 ,或新产品,的LiveUpdate定义是每日更新。 这些产品包括新技术。

    如果您使用的Norton AntiVirus 2005年,赛门铁克防病毒企业版9.0或更早产品的LiveUpdate定义是每周更新一次。 唯一的例外是重大疫情时,定义的更新更加频繁。
  • .下载的定义,使用智能更新:智能更新病毒定义的报。你应该下载的定义,从赛门铁克安全响应中心网站,并手动安装它们。


      最新的智能更新病毒定义,可浏览: 智能更新病毒定义 。有关详细说明,请阅读文档: 如何更新病毒定义文件使用智能更新

       3. 3 运行一个完整的系统扫描

       启动您的赛门铁克防病毒程序,并确保它被配置为扫描所有文件。

       对于Norton AntiVirus的消费电子产品:读取文件: 如何配置的Norton AntiVirus扫描所有文件

       赛门铁克杀毒软件企业的产品:读取文件: 如何验证赛门铁克公司防病毒产品被设置为扫描所有文件

  1. 执行完整的系统扫描。
  2. 如果发现有任何文件,按照指示显示您的防病毒程序。

       重要提示:如果您无法启动赛门铁克防病毒产品或产品报告说,它不能删除检测文件,您可能需要停止运行的风险,以将其删除。 要做到这一点,运行在安全模式下扫描。 如需指示,阅读文件, 如何启动电脑在安全模式 当你重新启动在安全模式下运行扫描一次。


        在文件被删除,重新启动计算机以正常模式和进行下一节。

       警告消息:可能会显示计算机重新启动后,由于威胁可能无法完全删除了这一点。 您可以忽略这些信息,然后单击确定。 这些邮件也不会出现在计算机重新启动后删除说明已全部完成。邮件可能会显示类似如下:

       标题: [文件路径]
       邮件正文: Windows无法找到[文件名] 。 请确保您键入的名称是否正确,然后再试一次。要搜索一个文件,单击开始按钮,然后单击搜索。

       4. 4 。 删除该值从注册表
        重要提示:赛门铁克强烈建议您备份注册表之前,任何变化。不正确修改注册表可能会导致永久性的数据丢失或损坏的文件。 修改指定的子项只。 有关说明请参阅文件: 如何备份Windows注册表

  1. .单击开始> “运行 。
  2. 键入 regedit
  3. 单击确定。

    注意:如果注册表编辑器无法打开的威胁可能已经修改了注册表,阻止访问注册表编辑器。 安全响应中心已经开发了一种工具来解决这一问题。 下载并运行此工具 ,然后继续拆除。
  4. 导入到并删除以下注册表项:
  5. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[蠕虫路径]"
  6. 退出注册表编辑器。

    注意:如果创建或修改了危险的注册表子项或项HKEY_CURRENT_USER下,很可能造成他们的每个用户的计算机。 为了确保所有的注册表子项或条目被删除或恢复,请使用每个用户帐户和检查任何HKEY_CURRENT_USER上面列出的项目。

Conficker蠕虫分析

autorun.inf执行安装后
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:C:\WINDOWS\System32\RUNDLL32.EXE
命令行:setupapi,InstallHinfSection DefaultInstall 132 C:\autorun.inf

添加启动项:
"随机名称"
值: "rundll32.exe 系统文件夹\*dll,参数>"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


此DLL自己还可能多个启动项:
1.svchost启动netsvcs 组时
2.HKLM\SYSTEM\CurrentControlSet\Services下
这个DLL加了权限,要解除权限再删除


以下目录也可能有病毒文件,启动参数一致
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker
toolbar
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Shell Browser\*
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer\*


替换HKLM\SYSTEM\CurrentControlSet\Services的存取权限,同时修改Access Control List,只能允许本地帐号存取


以下服务被禁用或启动失败:
Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services
修改注册表项
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"


感染移动存储设备
包括了 ?:\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\随机名.dll

(形如RECYCLER\S-5-3-42-2819952270-8240756944-879315005-2883)


重置系统还原点,可能具有的执行名称(两两组合,或者和随机字符串组合):
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

包含下列文字的网站或者更新服务都会失效,删除启动项:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

检测弱口令,远程创建计划任务: rundll32.exe *.dll 参数

自此,Conficker蠕虫清除基本查杀完毕

posted @ 2010-08-10 20:01  cm186man  阅读(2699)  评论(0编辑  收藏  举报