Hogyan lehet eltávolítani a féreg Conficker (más néven Downadup és Kido) kézi információbiztonság

előző ◈ a következő

Ebben a cikkben talál részletes útmutató lépésről lépésre: Hogyan kell manuálisan eltávolítani Net-Worm.Win32.Kido számítógépes féreg (más néven W32.Downadup.B és Win32 / Conficker.B).

Így annak érdekében, hogy távolítsa el Win32 / Conficker.B féreg a rendszer kézi, kövesse az alábbi lépéseket:

Jelentkezzen be egy helyi fiók
Fontos! Ha lehetséges, ne jelentkezzen be a domain fiókot. Különösen ne használjon tartományi rendszergazda fiókja. Malware pózol, mint a bejelentkezett felhasználó, és a hozzáférési hálózati erőforrások hitelesítő adatainak használatával a felhasználó. Ezzel kártékony programokat lehet osztani.

Állítsa le a Kiszolgáló szolgáltatást. Ennek eredményeképpen ez az intézkedés az általános adminisztrátori erőforrások törlődik a rendszerből, amely megakadályozza a terjedését malware ezen a módon.
Megjegyzés. Kiszolgáló szolgáltatást csak ideiglenesen kikapcsolható távolítsa el a rosszindulatú programokat a környezetet. Ez különösen fontos a termelési szerverek, ez a fellépés befolyásolja a rendelkezésre álló hálózati erőforrásokat. Server szolgáltatást lehet újra engedélyezni, amint a környezet is teljesen eltűnt.

Vegye ki az összes létrehozott feladatok indításakor. Ehhez írja be a következő parancsot a parancssorba:

Fontos! Ebben a részben a módszer magában foglaló lépéseket tartalmaz a rendszerleíró adatbázis módosításával. Azonban beállításjegyzék helytelen módosítása komoly problémákat okozhat. Ezért az ilyen intézkedések, nagyon gondosan kell végezni. További védelmet biztonsági másolat. Ez visszaállítja az adatbázist, ha probléma merülne fel.

Megjegyzés. Ez a csomópont is blokkolja, mert a malware fertőzés. Ebben az esetben le kell töltenie a frissítést egy olyan számítógépre, nem fertőzött, és mozgassa a frissítési fájlt a fertőzött számítógépen. Ajánlatos megjegyezni a frissítést egy CD, mert az ismételt belépési ezen a lemezen nem lehetséges. Ezért nem lehet fertőzött.

Ha a CD-ROM nem áll rendelkezésre a felvétel, az egyetlen módja annak, hogy másolja a frissítést a fertőzött számítógépen lehet egy hordozható eszköz, az USB memóriát. Ha a cserélhető adathordozókon, vegye figyelembe, hogy a kártevő képes megfertőzni azt az autorun.inf fájl. Ha a memória eszköz lehet alakítani egy csak olvasható módban, biztos, hogy csinálni a frissítést követően bejegyzések rajta. Jellemzően a kapcsolót a készüléken.

Miután átmásolta a frissítési fájlt a fertőzött számítógépen ellenőrizni kell a jelenlétét a cserélhető adathordozók autorun.inf fájlt. Ha a fájl, akkor át kell nevezni, például Autorun.bad úgy, hogy ha csatlakozunk a média a számítógéphez, hogy a fájl nem kezdődött meg.

Minden a helyi rendszergazda jelszavát, és tartományi rendszergazda helyébe új, erős jelszót. További információkért lásd :. Hogyan hozzon létre egy biztonságos jelszót?

Keresse meg és jelölje ki a következő rendszerleíró kulcsot:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost

A jobb oldali ablaktáblában kattintson jobb gombbal netsvcs majd kattintson a Módosítás.

Lapozzunk a lista aljára. Ha a számítógép fertőzött féreg Conficker.b, a lista alján lesz egy véletlen szolgáltatás nevét. Ebben az esetben is, ha például egy rosszindulatú szolgáltatás neve „gzqmiijz”. Megjegyzés: a neve a malware szolgáltatás. Ez az információ lesz szükség később, amikor a féreg eltávolítási eljárás.

Törölje a sort, amely tartalmazza a hivatkozást a malware szolgáltatás. Győződjön meg arról, hogy az utolsó érvényes a listában egy üres string, majd az OK gombra.

Megjegyzés. Az alábbi listában az összes bejegyzés érvényes. Ezeket nem lehet eltávolítani. Vedd el kell hagyni egy véletlenszerűen generált nevet, és a végén található a lista:

AppMgmt
AudioSrv
böngésző
cryptsvc
DMServer
EventSystem
HidServ
műszer szerinti sebesség
Iprip
Irmon
LanmanServer
LanmanWorkstation
hírnök
Netman
NLA
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
RemoteAccess
Sacsvr
ütemterv
Seclogon
SENS
SharedAccess
Témák
TrkWks
TrkSvr
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
WmdmPmSN
xmlprov
AeLookupSvc
helpsvc
axyczbfsetg

Változás a kapcsolatot annak érdekében, hogy a következőképpen néznek ki:

Nézze meg az összes lemez esetén jelenlétére Autorun.inf fájlokat. Nyissa meg a fájlt a „Jegyzettömb”, hogy megbizonyosodjon arról, hogy érvényes autorun.inf fájlt. Az alábbiakban egy példa egy tipikus megengedhető autorun.inf fájl:

Elfogadható Autorun.inf fájl általában a mérete 1 és 2 kb.

Minden Autorun.inf fájlokat, amelynek elfogadhatóságát kétséges, el kell távolítani.

A rejtett fájlokat láthatóvá. Ehhez írja be a következő parancsot a parancssorba:

Reg.exe add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ rejtett \ SHOWALL / v CheckedValue / t REG_DWORD / d 0x1 / f

Jelölje be a rejtett fájlok és mappák, hogy a fájl. Ehhez kövesse az alábbi lépéseket.

19.1. Működés 13.2. szükséges volt, hogy emlékezzen az utat, hogy a DLL a malware szolgáltatás. Tegyük fel például, az elérési út a következő:
% Systemroot% \ System32 \ emzlqqd.dll [/ i]
A Windows Intézőben nyissa meg a könyvtárat% systemroot% \ System32 [/ i], vagy a könyvtárat, ahol a kártevő.
19.2. Az Eszközök menüben kattintson a Mappa beállításai.
19.3. Kattintson a Nézet fülre.
19.4. Jelölje be a rejtett fájlok és mappák.
19.5. Kattintson az OK gombra.

Válassza ki a DLL fájl.

Módosítsa az engedélyeket a fájl teljes hozzáférést mindenki számára. Ehhez kövesse az alábbi lépéseket:

21.1. Kattintson a DLL fájl, kattintson jobb egérgombbal, és válassza a Tulajdonságok parancsot.
21.2. Kattintson a Biztonság fülre.
21.3. Az összes kijelölése, majd válassza a Teljes hozzáférés az Engedélyezés oszlopban.
21.4. Kattintson az OK gombra.

Távolítsuk el a DLL megközelíthető rosszindulatú szolgáltatás. Ebben a példában a fájl törlése:
% Systemroot% \ System32 \ emzlqqd.dll

23. Kapcsolja be a háttérben futó intelligens átviteli szolgáltatás (BITS), automatikus frissítési Windows Defender, és a szolgáltatás regisztrációs hiba a Microsoft Management Console (MMC) „szolgáltatások”.

Disable autorun, hogy csökkenti annak valószínűségét, újrafertőződés. Ehhez kövesse az alábbi lépéseket:

Megjegyzés. Frissítés 953.252 és 950.582 biztonsági frissítés nem a kérdéssel kapcsolatban malware. Úgy kell telepíteni ahhoz, hogy a regisztrációs funkció lépésben leírt 24.2.

24.2. A parancssorba írja be a következő parancsot:

Reg.exe add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v NoDriveTypeAutoRun / t REG_DWORD / d 0xff / f

Ha a rendszer fut a Windows Defender, akkor újra kell engedélyezni az indítási helymeghatározást. Ehhez írja be a következő parancsot a parancssorba:

Reg.exe add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run / v "Windows Defender" / t REG_EXPAND_SZ / d "% ProgramFiles% \ Windows Defender \ MSASCui.exe -hide" / f

A Windows Vista operációs rendszer és újabb kártékony programok módosítására vonatkozó globális paraméter tuning a fogadó TCP ablak le van tiltva. Hogy visszavonja ezt a változást, írja be a következő parancsot a parancssorba:

netsh interface tcp meghatározott globális autotuning = normális

Ha befejezése után ez a folyamat, vannak jelei megfertőzni a számítógépet. ezt okozhatja okokból az alábbiakban leírtak szerint.

Az egyik az indítási hely nem kerül törlésre. Például nem törlődik indításkor munkát, vagy nem autorun.inf fájl törölve lett.
A nem megfelelően beszerelt az MS08-067 frissítést biztonságot.

A rosszindulatú programok további beállításokat, amelyek nincsenek leírva ebben a Tudásbázis. Egyéb információk a Conficker féreg, lásd a következő weboldalt :. Net-féreg Kido.

előző ◈ a következő