清除Conficker蠕虫病毒详细步骤 开网店的详细步骤

Conficker简介:

Worm:Win32/Conficker.B.9.831 ,利用0867漏洞(http://hi.baidu.com/msrighthomepage/blog/item/0da0612b8eeefa3f5243c1c8.html)的蠕虫。

conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。

被conficker蠕虫感染症状:

帐户锁定政策被自动复位。某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS),WindowsDefender和错误报告服务。域控制器对客户机请求回应变得缓慢。系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。跟杀毒软件,windows系统更新有关的网站无法访问。另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

友情提示:

为了能更完整杀掉win32.conficker病毒,

在打开本文中的连接时,请先点右键,

再在弹出的菜单中选"在新窗口中打开"。

清除Conficker蠕虫1(此方法适用于普通网民)

1:下载最新Conficker免疫补丁

http://www.microsoft.com/downloads/details.aspx?display&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03

支持的操作系统:WindowsXP Service Pack 2;Windows XP Service Pack 3

http://www.microsoft.com/downloads/details.aspx?display&FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d

支持的操作系统: Windows Server 2003Service Pack 1; Windows Server 2003 Service Pack 2

2:打好补丁后,使用MSRT(http://www.microsoft.com/downloads/details.aspx?display&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356)进行清除企业环境中MSRT(http://sup

port.microsoft.com/?kbid=891716)的部署

Conficker蠕虫清除工具下载--conficker蠕虫专杀工具

http://support.microsoft.com/kb/890830(Windows2000/XP/2003/)

其他恶意软件删除工具下载http://support.microsoft.com/kb/891716

繁体中文(香港、澳门和台湾)用户,请参考微软官方网站提供的Conficker蠕蟲惡意軟體移除工具。

3:如果还是杀win32.conficker木马病毒的话,可到http://www.84840.com/sd/index.html下载conficker木马专杀工具.

清除Conficker蠕虫2:(此方法适用于电脑管理人员,由赛门铁克诺顿提供)

3.1移除使用W32.Downadup(Conficker蠕虫)移除工具(http://www.microsoft.com/taiwan/security/articles/msrt0114.mspx)

赛门铁克安全响应中心已经开发出一种清除工具(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://www.symantec.com/business/security_response/writeup.jsp%3

Fdocid=2009-011316-0247-99&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh-CN

&newwindow=1&sa=G&usg=ALkJrhjTHXuK4whe6PJIlZERFSiV7lKBJw)来清理感染的W32.Downadup(Conficker蠕虫)。使用此删除工具首先,因为它是最简单的方法以消除这一威胁。

3.2 手动移除Conficker蠕虫

以下说明涉及所有当前和最近的赛门铁克防病毒产品,包括利用Symantec AntiVirus和NortonAntiVirus的产品线。

禁用系统还原(Windows Me中/ XP中)

更新的病毒定义

执行完整的系统扫描

删除任何值添加到注册表中

对于具体的清除Conficker蠕虫细节上的每一个步骤,请阅读以下说明。

1. 1 要禁用系统还原(Windows Me中/ XP中)

如果您运行的是WindowsMe或Windows XP中,我们建议您暂时关闭系统还原。Windows Me中/XP使用此功能,这是默认启用,恢复计算机上的文件的情况下已被损坏。如果病毒,蠕虫或木马程序感染的计算机,系统还原可能会备份病毒,蠕虫或木马程序的计算机上。

阻止外部的Windows程序,包括防病毒程序,修改系统还原。所以,防病毒程序或工具无法删除威胁的系统还原文件夹。因此,系统还原有可能受感染的文件恢复您的计算机上,即使您已经清除受感染的文件从所有其他地点。

此外,病毒扫描可能的威胁,在系统还原文件夹,即使您已删除了威胁。

有关如何关闭系统还原,请参阅您的Windows文件,或其中之一的以下条款:

如何禁用或启用WindowsMe的系统还原(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?

OpenDocument&src=sec_doc_nam&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh

-CN&newwindow=1&sa=G&usg=ALkJrhjbDMz5wVucF6XWmeipDxse0cLt2A)

如何关闭或打开WindowsXP的系统还原(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?

OpenDocument&src=sec_doc_nam&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh

-CN&newwindow=1&sa=G&usg=ALkJrhgyv_AOTrULUhJwuQsCW5ZJwnhi2Q)

注意:当您完全完成移除程序和感到满意的是,威胁已经被清除,重新启用系统还原按照以下说明,在上述文件。

如需详细资讯,并替代禁用WindowsMe的系统还原,请参阅Microsoft知识库文章:反病毒软件无法清除受感染的文件在_Restore文件夹(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://support.microsoft.com/support/kb/articles/Q263/4/55.ASP&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D200

8-112203-2408-99%26tabid%3D3&hl=zh-CN&newwindow=1&sa=G&usg=ALkJrhhsS0U8644ta9pcdIPpZvNcGxJ46g,文章编号:Q263455)。

2. 2 要更新病毒定义

赛门铁克安全响应中心的全面测试所有的病毒定义,以保证质量,才张贴到我们的服务器上。有两种方法,以获取最新的病毒定义:

运行的LiveUpdate ,这是最简单的方法获取的病毒定义。

如果您使用的NortonAntiVirus2006年,赛门铁克防病毒企业版10.0,或新产品,的LiveUpdate定义是每日更新。这些产品包括新技术。

如果您使用的NortonAntiVirus2005年,赛门铁克防病毒企业版9.0或更早产品的LiveUpdate定义是每周更新一次。唯一的例外是重大疫情时,定义的更新更加频繁。

.下载的定义,使用智能更新:智能更新病毒定义的报。你应该下载的定义,从赛门铁克安全响应中心网站,并手动安装它们。

最新的智能更新病毒定义,可浏览:智能更新病毒定义。有关详细说明,请阅读文档:如何更新病毒定义文件使用智能更新。

3. 3 运行一个完整的系统扫描

启动您的赛门铁克防病毒程序,并确保它被配置为扫描所有文件。

对于NortonAntiVirus的消费电子产品:读取文件:如何配置的NortonAntiVirus扫描所有文件(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://service1.symantec

.com/SUPPORT/nav.nsf/docid/1999110513272906?OpenDocument&src=sec_doc_nam&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3

D2008-112203-2408-99%26tabid%3D3&hl=zh-CN&newwindow=1&sa=G&usg=ALkJrhgZn0GboPR0DwjkEZy-Vk6QmfYAuA)。

赛门铁克杀毒软件企业的产品:读取文件:如何验证赛门铁克公司防病毒产品被设置为扫描所有文件(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://service1.sym

antec.com/SUPPORT/ent-security.nsf/docid/2002052213125148?OpenDocument&src=sec_doc_nam&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp

%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh-CN&newwindow=1&sa=G&usg=ALkJrhj_3GWmszFoF2hPmiW0Fvs0OQE4YA)。

执行完整的系统扫描。

如果发现有任何文件,按照指示显示您的防病毒程序。

重要提示:如果您无法启动赛门铁克防病毒产品或产品报告说,它不能删除检测文件,您可能需要停止运行的风险,以将其删除。要做到这一点,运行在安全模式下扫描。如需指示,阅读文件,如何启动电脑在安全模式(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?Open

Document&src=sec_doc_nam&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh-CN

&newwindow=1&sa=G&usg=ALkJrhjCF-zFj9XZBEvuVJytjW52fD6J-g)。当你重新启动在安全模式下运行扫描一次。

在文件被删除,重新启动计算机以正常模式和进行下一节。

警告消息:可能会显示计算机重新启动后,由于威胁可能无法完全删除了这一点。您可以忽略这些信息,然后单击确定。这些邮件也不会出现在计算机重新启动后删除说明已全部完成。

邮件可能会显示类似如下:

标题:[文件路径]

邮件正文:Windows无法找到[文件名]。请确保您键入的名称是否正确,然后再试一次。要搜索一个文件,单击开始按钮,然后单击搜索。

4. 4 。删除该值从注册表

重要提示:赛门铁克强烈建议您备份注册表之前,任何变化。不正确修改注册表可能会导致永久性的数据丢失或损坏的文件。修改指定的子项只。有关说明请参阅文件:如何备份Windows注册表(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh-CN&newwindow=1&sa=G&usg=ALkJrhgZKAinhWHzunnngrYX7KqXSlC2ZA)。

. 单击开始> “运行。

键入regedit

单击确定。

注意:如果注册表编辑器无法打开的威胁可能已经修改了注册表,阻止访问注册表编辑器。安全响应中心已经开发了一种工具(http://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=htt

p://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-2408-99%26tabid%3D3&hl=zh-CN&newwindow=1&sa=G&usg=ALkJrhiI0gY8yumobkW4Ucefe28_Yw0XSw)来解决这一问题。下载并运行此工具(ht

tp://203.208.37.132/translate_c?hl=zh-CN&sl=en&u=http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html&prev=/search?q=http://www.symantec.com/security_response/writeup.jsp%3Fdocid%3D2008-112203-240899%26tabid%3D3&hl=zh-CN&newwindow=1&sa=G&usg=ALkJrhiI0gY8yumobkW4Ucefe28_Yw0XSw),然后继续拆除。

导入到并删除以下注册表项:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnetsvcsParameters"ServiceDll"="[蠕虫路径]"

退出注册表编辑器。

清除Conficker蠕虫病毒详细步骤 开网店的详细步骤

注意:如果创建或修改了危险的注册表子项或项HKEY_CURRENT_USER下,很可能造成他们的每个用户的计算机。为了确保所有的注册表子项或条目被删除或恢复,请使用每个用户帐户和检查

任何HKEY_CURRENT_USER上面列出的项目。

Conficker蠕虫分析:

autorun.inf执行安装后

进程路径:C:WINDOWSEXPLORER.EXE

文件路径:C:WINDOWSSystem32RUNDLL32.EXE

命令行:setupapi,InstallHinfSectionDefaultInstall 132C:autorun.inf

添加启动项:

"随机名称"

值:"rundll32.exe 系统文件夹*dll,参数>"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

此DLL自己还可能多个启动项:

1.svchost启动netsvcs 组时

2.HKLMSYSTEMCurrentControlSetServices下

这个DLL加了权限,要解除权限再删除

以下目录也可能有病毒文件,启动参数一致

%ProgramFiles%Internet Explorer

%ProgramFiles%Movie Maker

toolbar

HKCUSoftwareMicrosoftInternetExplorerToolbarShellBrowser*

HKCUSoftwareMicrosoftInternetExplorerToolbarExplorer*

替换HKLMSYSTEMCurrentControlSetServices的存取权限,同时修改Access ControlList,只能允许本地帐号存取

以下服务被禁用或启动失败:

Windows Update Service

Background Intelligent Transfer Service

Windows Defender

Windows Error Reporting Services

修改注册表项

HKLMSYSTEMCurrentControlSetServicesTcpipParameters

"TcpNumConnections" ="0x00FFFFFE"

感染移动存储设备

包括了?:RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d随机名.dll,(形如RECYCLERS-5-3-42-2819952270-8240756944-879315005-2883)

重置系统还原点,可能具有的执行名称(两两组合,或者和随机字符串组合):

Boot

Center

Config

Driver

Helper

Image

Installer

Manager

Microsoft

Monitor

Network

Security

Server

Shell

Support

System

Task

Time

Universal

Update

Windows

包含下列文字的网站或者更新服务都会失效,删除启动项:

virus

spyware

malware

rootkit

defender

microsoft

symantec

norton

mcafee

trendmicro

sophos

panda

etrust

networkassociates

computerassociates

f-secure

kaspersky

jotti

f-prot

nod32

eset

grisoft

drweb

centralcommand

ahnlab

esafe

avast

avira

quickheal

comodo

clamav

ewido

fortinet

gdata

hacksoft

hauri

ikarus

k7computing

norman

pctools

prevx

rising

securecomputing

sunbelt

emsisoft

arcabit

cpsecure

spamhaus

castlecops

threatexpert

wilderssecurity

windowsupdate

检测弱口令,远程创建计划任务: rundll32.exe *.dll 参数

自此,Conficker蠕虫清除基本查杀完毕

  

爱华网本文地址 » http://www.413yy.cn/a/25101015/280092.html

更多阅读

开网店的明星 江一燕义卖店网址

  网购走进我们的生活也方便了我们生活,虽然网购时,我们很少去打听店主是什么人,毕竟我们冲的是他的货,只要货好,店主是啥人根本不重要。然而,你可能不知道,你有时在网购里却跟一些娱乐圈明星已经有过亲密的接触。今天我们来盘点一下那些

开网店的个人经验。 开网店成功经验

大家好,我叫孟宗竹林0。我做淘宝网店有一年了,到现在才两钻还是全职了。大家一定觉得效率太低了是吧。一开始就是做实物交易,一路走来多少辛苦就不废话了,每一个信誉都是努力的结果。淘宝给了我希望,刚开始做网店为了挣信誉,包邮挣不到钱

淘宝怎么开网店步骤 你所不知道的开网店的步骤

开网店在现在这社会已经是一种不可阻挡的趋势。是时代的产物,你会想开网店,首先我觉得你是一个有思想有理想,并且还是一个很有眼光的人,我们一定要抓住这有利的时机,网上它为我们提供了最好的平台,它对每个人都是公平的,就看你有没有抓住

开网店的具体流程 我想开一家网店,具体要怎么操作

第一步,开始并不网上,而是你脑里编辑本段  你需要想好自己要开一家什么样的店。在这点上,开网店与传统的店铺没有区别,寻找好的市尝自己的商品有竞争力才是成功的基石。第二步,选择开店平台或者网站编辑本段  你需要选择一个提供个

声明:《清除Conficker蠕虫病毒详细步骤 开网店的详细步骤》为网友我独恋你一人分享!如侵犯到您的合法权益请联系我们删除