清除Conficker蠕虫病毒详细步骤_MsRightHomePage pagewalkthrough 详细

发布时间:2024年11月06日 15:07:33分享人:戰無涯来源:互联网28
百度空间|百度首页| 登录



MsRightHomePage

病毒源代码-爱虫|梅利莎|欢乐时光|CHI-VBS病毒源代码一网打尽 - 个人日记

主页博客相册|个人档案 |好友

查看文章

清除Conficker蠕虫病毒详细步骤

2009-02-18 12:58
清除Conficker蠕虫病毒详细步骤_MsRightHomePage pagewalkthrough 详细

Conficker简介:

Worm:Win32/Conficker.B.9.831 ,利用0867漏洞的蠕虫。

conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。

被conficker蠕虫感染症状:

帐户锁定政策被自动复位。某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS ), WindowsDefender和错误报告服务。域控制器对客户机请求回应变得缓慢。系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。跟杀毒软件,windows系统更新有关的网站无法访问。另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

友情提示:

为了 能更完整 杀掉 win32.conficker病毒,

在打开 本文中的连接 时,请 先点右键,

再在 弹出的菜单 中选"在新窗口中打开"。

清除Conficker蠕虫1(此方法适用于普通网民)

1:下载最新Conficker免疫补丁

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03

支持的操作系统: Windows XP Service Pack 2; Windows XP Service Pack 3

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d

Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 2

2:打好补丁后,使用MSRT进行清除企业环境中MSRT的部署

Conficker蠕虫清除工具下载--conficker蠕虫专杀工具

http://support.microsoft.com/kb/890830 (Windows 2000/XP/2003/)

其他恶意软件删除工具下载http://support.microsoft.com/kb/891716

繁体中文(香港、澳门和台湾)用户,请参考微软官方网站提供的Conficker蠕蟲惡意軟體移除工具。

3:如果还是杀win32.conficker木马病毒的话,可到http://www.fm5566.com/bingdu.htm下载conficker木马专杀工具.

清除Conficker蠕虫2:(此方法适用于电脑管理人员,由赛门铁克诺顿提供)

3.1移除使用W32.Downadup(Conficker蠕虫)移除工具

赛门铁克安全响应中心已经开发出一种清除工具来清理感染的W32.Downadup(Conficker蠕虫) 。 使用此删除工具首先,因为它是最简单的方法以消除这一威胁。

3.2 手动移除Conficker蠕虫

以下说明涉及所有当前和最近的赛门铁克防病毒产品,包括利用Symantec AntiVirus和Norton AntiVirus的产品线。

 

禁用系统还原( Windows Me中/ XP中) 更新的病毒定义 执行完整的系统扫描 删除任何值添加到注册表中

对于具体的清除Conficker蠕虫细节上的每一个步骤,请阅读以下说明。

1. 1 要禁用系统还原( Windows Me中/ XP中)

如果您运行的是Windows Me或Windows XP中,我们建议您暂时关闭系统还原。 Windows Me中/ XP使用此功能,这是默认启用,恢复计算机上的文件的情况下已被损坏。 如果病毒,蠕虫或木马程序感染的计算机,系统还原可能会备份病毒,蠕虫或木马程序的计算机上。

阻止外部的Windows程序,包括防病毒程序,修改系统还原。 所以,防病毒程序或工具无法删除威胁的系统还原文件夹。因此,系统还原有可能受感染的文件恢复您的计算机上,即使您已经清除受感染的文件从所有其他地点。

此外,病毒扫描可能的威胁,在系统还原文件夹,即使您已删除了威胁。

有关如何关闭系统还原,请参阅您的Windows文件,或其中之一的以下条款:

如何禁用或启用Windows Me的系统还原 如何关闭或打开Windows XP的系统还原

注意:当您完全完成移除程序和感到满意的是,威胁已经被清除,重新启用系统还原按照以下说明,在上述文件。

如需详细资讯,并替代禁用Windows Me的系统还原,请参阅Microsoft知识库文章: 反病毒软件无法清除受感染的文件在_Restore文件夹 (文章编号: Q263455 ) 。

2. 2 要更新病毒定义

赛门铁克安全响应中心的全面测试所有的病毒定义,以保证质量,才张贴到我们的服务器上。 有两种方法,以获取最新的病毒定义:

运行的LiveUpdate ,这是最简单的方法获取的病毒定义。

如果您使用的Norton AntiVirus 2006年,赛门铁克防病毒企业版10.0 ,或新产品,的LiveUpdate定义是每日更新。 这些产品包括新技术。

如果您使用的Norton AntiVirus 2005年,赛门铁克防病毒企业版9.0或更早产品的LiveUpdate定义是每周更新一次。 唯一的例外是重大疫情时,定义的更新更加频繁。 .下载的定义,使用智能更新:智能更新病毒定义的报。你应该下载的定义,从赛门铁克安全响应中心网站,并手动安装它们。

最新的智能更新病毒定义,可浏览: 智能更新病毒定义 。有关详细说明,请阅读文档: 如何更新病毒定义文件使用智能更新 。

3. 3 运行一个完整的系统扫描

启动您的赛门铁克防病毒程序,并确保它被配置为扫描所有文件。

对于Norton AntiVirus的消费电子产品:读取文件: 如何配置的Norton AntiVirus扫描所有文件 。

赛门铁克杀毒软件企业的产品:读取文件: 如何验证赛门铁克公司防病毒产品被设置为扫描所有文件 。

执行完整的系统扫描。 如果发现有任何文件,按照指示显示您的防病毒程序。

重要提示:如果您无法启动赛门铁克防病毒产品或产品报告说,它不能删除检测文件,您可能需要停止运行的风险,以将其删除。 要做到这一点,运行在安全模式下扫描。 如需指示,阅读文件, 如何启动电脑在安全模式 。 当你重新启动在安全模式下运行扫描一次。

在文件被删除,重新启动计算机以正常模式和进行下一节。

警告消息:可能会显示计算机重新启动后,由于威胁可能无法完全删除了这一点。 您可以忽略这些信息,然后单击确定。 这些邮件也不会出现在计算机重新启动后删除说明已全部完成。 邮件可能会显示类似如下:

标题: [文件路径]

邮件正文: Windows无法找到[文件名] 。 请确保您键入的名称是否正确,然后再试一次。要搜索一个文件,单击开始按钮,然后单击搜索。

4. 4 。 删除该值从注册表

重要提示:赛门铁克强烈建议您备份注册表之前,任何变化。不正确修改注册表可能会导致永久性的数据丢失或损坏的文件。 修改指定的子项只。 有关说明请参阅文件: 如何备份Windows注册表 。

.单击开始> “运行 。 键入 regedit 单击确定。

注意:如果注册表编辑器无法打开的威胁可能已经修改了注册表,阻止访问注册表编辑器。 安全响应中心已经开发了一种工具来解决这一问题。 下载并运行此工具 ,然后继续拆除。 导入到并删除以下注册表项: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnetsvcsParameters"ServiceDll" = "[蠕虫路径]" 退出注册表编辑器。

注意:如果创建或修改了危险的注册表子项或项HKEY_CURRENT_USER下,很可能造成他们的每个用户的计算机。 为了确保所有的注册表子项或条目被删除或恢复,请使用每个用户帐户和检查任何HKEY_CURRENT_USER上面列出的项目。

Conficker蠕虫分析

autorun.inf执行安装后

进程路径:C:WINDOWSEXPLORER.EXE

文件路径:C:WINDOWSSystem32RUNDLL32.EXE

命令行:setupapi,InstallHinfSection DefaultInstall 132 C:autorun.inf

添加启动项:

"随机名称"

值: "rundll32.exe 系统文件夹*dll,参数>"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

此DLL自己还可能多个启动项:

1.svchost启动netsvcs 组时

2.HKLMSYSTEMCurrentControlSetServices下

这个DLL加了权限,要解除权限再删除

以下目录也可能有病毒文件,启动参数一致

%ProgramFiles%Internet Explorer

%ProgramFiles%Movie Maker

toolbar

HKCUSoftwareMicrosoftInternet ExplorerToolbarShell Browser*

HKCUSoftwareMicrosoftInternet ExplorerToolbarExplorer*

替换HKLMSYSTEMCurrentControlSetServices的存取权限,同时修改Access Control List,只能允许本地帐号存取

以下服务被禁用或启动失败:

Windows Update Service

Background Intelligent Transfer Service

Windows Defender

Windows Error Reporting Services

修改注册表项

HKLMSYSTEMCurrentControlSetServicesTcpipParameters

"TcpNumConnections" = "0x00FFFFFE"

感染移动存储设备

包括了 ?:RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d随机名.dll

(形如RECYCLERS-5-3-42-2819952270-8240756944-879315005-2883)

重置系统还原点,可能具有的执行名称(两两组合,或者和随机字符串组合):

Boot

Center

Config

Driver

Helper

Image

Installer

Manager

Microsoft

Monitor

Network

Security

Server

Shell

Support

System

Task

Time

Universal

Update

Windows

包含下列文字的网站或者更新服务都会失效,删除启动项:

virus

spyware

malware

rootkit

defender

microsoft

symantec

norton

mcafee

trendmicro

sophos

panda

etrust

networkassociates

computerassociates

f-secure

kaspersky

jotti

f-prot

nod32

eset

grisoft

drweb

centralcommand

ahnlab

esafe

avast

avira

quickheal

comodo

clamav

ewido

fortinet

gdata

hacksoft

hauri

ikarus

k7computing

norman

pctools

prevx

rising

securecomputing

sunbelt

emsisoft

arcabit

cpsecure

spamhaus

castlecops

threatexpert

wilderssecurity

windowsupdate

检测弱口令,远程创建计划任务: rundll32.exe *.dll 参数

自此,Conficker蠕虫清除基本查杀完毕

类别:病毒源代码 | 添加到搜藏 | 浏览(6381) | 评论(6)

上一篇:Conficker蠕虫或将产生更大的危...下一篇:微软悬赏25万美元捉拿Conficker...

最近读者:

  登录后,您就出现在这里。

asynzyn Hikehiking luxun2388658 hi_agu zhangliyanglov chunghwazhou 无下限啧 小哈哈是我

网友评论:

1 卖参不卖艺♂

2009-03-03 09:56 | 回复 不错,很全面,

有个问题就是该病毒是针对服务器系统攻击的,那么对普通用户普通操作系统会有危害没有?

2 msright_

2009-03-05 19:02 | 回复 会的,Conficker会针对windows系列发起攻击,最新变种亦可以感染Windows7,需及时打好补丁

3 网友:cfk

2009-03-09 23:35 | 回复 好,不错,我终于杀掉了conficker了,谢谢你

4 Roxiel

2009-03-11 09:14 | 回复 有些内容真眼熟

5 msright_

2009-03-11 20:16 | 回复 回复Roxiel:主要来源于symantec

6 Roxiel

2009-03-25 19:55 | 回复 回复msright_:我喜欢这个牌子 symantec

发表评论:

姓 名: 注册 | 登录 *姓名最长为50字节

网址或邮箱: (选填)

内 容: 插入表情

▼闪光字

验证码: 请点击后输入四位验证码,字母不区分大小写

  看不清?



");//-->

©2009 Baidu

  
conficker蠕虫 

爱华网本文地址 » http://www.413yy.cn/a/25101012/128132.html

更多阅读

怎样清除征途木马 怎样清除手机木马病毒

现在木马病毒的传播方式越来越来隐蔽,让不少用户防不胜防。特别是针对某款网游的盗号木马,如果不加以控制,将给这款网游带来毁灭性灾难。最近针对《征途》游戏出了一款木马,它的隐藏方式相当狡诈,非常难以发现。不过,对于这类劣迹斑斑的病

怎么杀安卓手机病毒 安卓手机病毒

怎么杀安卓手机病毒——简介 在众多令人眼花缭乱的应用中如何区分好与坏可不是仅我们肉眼和一点数据可以分辨的清的。这就需要我们借助一些软件把隐藏在手机里的寄生虫和吸血鬼找出来消灭掉。推荐使用《金山手机毒霸》,下面就为大家

手机病毒如何处理 怎么清除手机顽固病毒

手机病毒如何处理——简介移动互联网的高速发展情况下,智能手机已经成为一台移动式的电脑,方便我们日常生活中方方面面的使用。而手机病毒的种类是千变万化,不仅仅只是盗取个人信息那般简单,更有甚者是直接窃取我们支付银行卡,或者伪装成

如何清除arp病毒 手机如何清除arp攻击

如何清除arp病毒——简介arp的功能就是实现将IP地址解析为电脑物理网卡地址;全球接入互联网的电脑都有一个惟一的物理网卡地址(MAC),arp病毒主要是通过将网关地址解析成入侵的电脑MAC地址,并导致用户无法正常上网或者经常掉网。如何清除

声明:《清除Conficker蠕虫病毒详细步骤_MsRightHomePage pagewalkthrough 详细》为网友戰無涯分享!如侵犯到您的合法权益请联系我们删除