Сообщение о вирусе-черве Win32/Conficker

Переводы статьи Переводы статьи
Код статьи: 962007 - Vizualiza?i produsele pentru care se aplic? acest articol.
Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратилась 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на веб-сайте корпорации Майкрософт по следующему адресу: Заканчивается поддержка некоторых версий Windows.
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья базы знаний предназначена для системных администраторов, способных выполнить описанные в ней действия в корпоративной среде. Выполнять эти действия не требуется, если антивирусная программа правильно удалила вирус, а системы полностью обновлены. Чтобы убедиться, что вируса Conficker нет в системе, запустите быструю проверку со следующей веб-страницы: http://www.microsoft.com/security/scanner/ru-ru/ Дополнительные сведения о вирусе Conficker см. на веб-сайте корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Признаки заражения

О заражении компьютера этим червем свидетельствует наличие любого из перечисленных ниже симптомов, однако в некоторых случаях признаки заражения полностью отсутствуют.
  • Нарушение политик блокировки учетных записей.
  • Отключение службы автоматического обновления, фоновой интеллектуальной службы передачи (BITS), Защитника Windows и службы регистрации ошибок.
  • Слишком медленные ответы контроллеров доменов на запросы клиентов.
  • Перегрузка сети.
  • Недоступность различных веб-сайтов, посвященных вопросам безопасности.
  • Неработоспособность различных средств обеспечения безопасности. Для получения списка известных средств посетите веб-сайт Майкрософт по приведенному ниже адресу и откройте вкладку Анализ, содержащую сведения о вирусе-черве Win32/Conficker.D. Дополнительные сведения см. на веб-сайте Майкрософт по следующему адресу:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Дополнительные сведения о вирусе-черве Win32/Conficker см. на веб-сайте Центра Майкрософт по защите от вредоносных программ:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Методы распространения

Вирус-червь Win32/Conficker распространяется различными способами. К ним относятся:
  • использование уязвимости, устраняемой обновлением для системы безопасности 958644 (MS08-067);
  • использование сетевых папок;
  • использование функциональных возможностей автозапуска.
Поэтому необходимо соблюдать особую осторожность при очистке сети: опасные файлы не должны повторно заражать уже очищенные системы.

Примечание. Вариант вируса-червя Win32/Conficker.D не заражает съемные носители или общие папки по сети. Червь Win32/Conficker.D устанавливается предыдущими вариантами Win32/Conficker.

Защита

  • Используйте надежные пароли администратора, уникальные для каждого компьютера.
  • Не входите на компьютеры с использованием учетных данных администратора домена или учетных данных, предоставляющих доступ ко всем компьютерам.
  • Убедитесь, что на всех системах установлены последние обновления для системы безопасности.
  • Отключите функцию автозапуска. Дополнительные сведения см. в описании действия 3 в разделе «Создание объекта групповой политики».
  • Удалите чрезмерные права доступа к общим папкам. К ним относятся права на запись в корень общей папки.

Действия по устранению последствий

Блокирование распространения вируса Win32/Conficker с помощью групповой политики

Примечания
  • Важно! Перед внесением любых изменений, предлагаемых в этой статье, следует задокументировать все текущие настройки.
  • Эта процедура не удаляет вредоносную программу Conficker из системы, а позволяет только остановить ее распространение. Чтобы удалить вирус-червь Conficker, необходимо воспользоваться антивирусной программой. Можно также удалить его вручную. Для этого следуйте указаниям, приведенным в разделе Удаление вируса Win32/Conficker вручную.
  • После изменения разрешений согласно приведенным ниже рекомендациям может оказаться невозможной правильная установка приложений, пакетов обновления или других обновлений. В частности, к ним относятся обновления, устанавливаемые с использованием Центра обновлений Windows, сервера служб Windows Server Update Services (WSUS) и диспетчера System Center Configuration Manager (Configuration Manager 2007), так как работа этих продуктов зависит от компонентов автоматического обновления. После очистки системы необходимо восстановить настройки разрешений по умолчанию.
  • Дополнительные сведения о настройках разрешений по умолчанию для раздела реестра SVCHOST и папки задач, упомянутых в разделе «Создание объекта групповой политики», см. в таблице разрешений по умолчанию в конце данной статьи.

Создание объекта групповой политики

Создайте объект групповой политики, который будет применяться ко всем компьютерам в определенном подразделении, сайте или домене, в зависимости от требований конкретной среды.

Для этого выполните указанные ниже действия.
  1. Настройте политику на удаление разрешений на запись в следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Это позволит предотвратить создание в разделе реестра netsvcs вредоносной службы с произвольным именем.

    Для этого выполните указанные ниже действия.
    1. Откройте консоль управления групповыми политиками.
    2. Создайте объект групповой политики и присвойте ему произвольное имя.
    3. Откройте созданный объект групповой политики и перейдите в следующую папку:
      Конфигурация компьютера\Параметры Windows\Параметры безопасности\Реестр
    4. Щелкните правой кнопкой мыши элемент Реестр, а затем выберите команду Добавить раздел.
    5. В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Нажмите кнопку ОК.
    7. В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.
    8. Нажмите кнопку ОК.
    9. В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.
    10. Нажмите кнопку ОК.
  2. Настройте политику для удаления разрешений на запись в папку %windir%\Tasks. Это позволит предотвратить создание вредоносной программой Conficker назначенных задач, которые могут заразить систему повторно.

    Для этого выполните указанные ниже действия.
    1. В созданном ранее объекте групповой политики перейдите в следующую папку:
      Конфигурация компьютера\Параметры Windows\Параметры безопасности\Файловая система
    2. Щелкните правой кнопкой мыши элемент Файловая система, а затем выберите команду Добавить файл.
    3. В диалоговом окне Добавление файла или папки перейдите к папке %windir%\Tasks. Убедитесь, что пункт Задачи выделен и указан в диалоговом окне Папка.
    4. Нажмите кнопку ОК.
    5. В появившемся диалоговом окне снимите флажки Полный доступ, Изменение и Запись для групп Администраторы и Система.
    6. Нажмите кнопку ОК.
    7. В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.
    8. Нажмите кнопку ОК.
  3. Отключите функции автозапуска. Это позволит предотвратить распространение вредоносной программы Conficker через использование функций автозапуска, встроенных в систему Windows.

    Примечание. В зависимости от используемой версии Windows для правильного отключения функций автозапуска нужно установить различные обновления.
    • Чтобы отключить функции автозапуска в системе Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582, описанное в бюллетене по безопасности MS08-038.
    • Чтобы отключить функции автозапуска в системе Windows XP, Windows Server 2003 или Windows 2000, установите обновление для системы безопасности 950582, 967715 или 953252.
    Чтобы отключить функции автозапуска, выполните описанные ниже действия.
    1. В созданном ранее объекте групповой политики перейдите в одну из указанных ниже папок.
      • Для домена под управлением сервера Windows Server 2003:
        Конфигурация компьютера\Административные шаблоны\Система
      • Для домена под управлением сервера Windows Server 2008:
        Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска
    2. Откройте политику Отключить автозапуск.
    3. В диалоговом окне Отключить автозапуск установите переключатель Включено.
    4. В раскрывающемся меню выберите пункт Все диски.
    5. Нажмите кнопку ОК.
  4. Закройте консоль управления групповыми политиками.
  5. Свяжите созданный объект групповой политики с расположением, к которому его необходимо применить.
  6. Подождите, пока параметры групповой политики не будет обновлены на всех компьютерах. Обычно репликация групповой политики на каждый контроллер домена занимает пять минут. Последующая репликация на оставшиеся компьютеры занимает 90 минут. Продолжительность всего процесса не превышает двух часов. Однако в зависимости от среды может потребоваться больше времени.
  7. После распространения параметров групповой политики очистите компьютеры от вредоносной программы.

    Для этого выполните указанные ниже действия.
    1. Запустите на всех компьютерах полную антивирусную проверку.
    2. Если с помощью установленной антивирусной программы не удается обнаружить вирус Conficker, воспользуйтесь средством проверки безопасности (Майкрософт). Дополнительные сведения см. на веб-сайте корпорации Майкрософт по следующему адресу: http://www.microsoft.com/security/scanner/ru-ru/Примечание Чтобы устранить последствия работы вредоносной программы, может потребоваться выполнить некоторые действия вручную. Для устранения всех последствий рекомендуется выполнить инструкции, приведенные в разделе Удаление вируса Win32/Conficker вручную.

Восстановление

Запустите средство проверки безопасности (Майкрософт).

В Центре Майкрософт по защите от вредоносных программ предлагается обновленное средство проверки безопасности (Майкрософт). Это автономный двоичный файл, который используется для удаления наиболее распространенных вредоносных программ, в том числе вредоносных программ семейства Win32/Conficker.

Примечание. Средство проверки безопасности (Майкрософт) не является антивирусной программой, работающей в режиме реального времени, и не предотвращает повторное заражение.

Загрузить средство проверки безопасности Майкрософт можно на следующем веб-сайте корпорации Майкрософт:
http://www.microsoft.com/security/scanner/ru-ru/

Примечание. Автономное средство проверки системы также устраняет данное заражение. Это средство входит в состав пакета Microsoft Desktop Optimization Pack 6.0, а также доступно через службу поддержки пользователей. Загрузить пакет Microsoft Desktop Optimization Pack можно с веб-сайта корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/ru-ru/windows/enterprise/products-and-technologies/mdop/default.aspx
Если на компьютере запущена служба Microsoft Security Essentials или решение Microsoft Forefront Client Security, угроза будет заблокирована до проникновения вредоносной программы в систему.

Удаление вируса Win32/Conficker вручную

Примечания
  • Описанные действия, выполняемые вручную, следует выполнять только при отсутствии антивирусных программ, позволяющих удалить вирус Conficker.
  • В зависимости от конкретного варианта червя Win32/Conficker, заразившего компьютер, некоторые значения, упомянутые в этом разделе, могут остаться неизменными.
Для удаления вируса Conficker выполните описанные ниже действия.
  1. Войдите в систему с локальной учетной записью.

    Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Это позволяет вредоносным программам распространяться.
  2. Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.

    Примечание. Службу сервера нужно отключить только временно, чтобы устранить вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.

    Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже.
    1. В зависимости от системы выполните одно из описанных ниже действий.
      • В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.
      • В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затем Выполнить, введите services.msc и нажмите кнопку ОК.
    2. Дважды щелкните элемент Сервер.
    3. Нажмите кнопку Остановить.
    4. В поле Тип запуска выберите значение Отключено.
    5. Нажмите кнопку Применить.
  3. Удалите все созданные задания автозапуска. Для этого введите в командной строке команду AT /Delete /Yes.
  4. Остановите службу планировщика заданий.
    • Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средство SC.exe.
    • Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия.

      Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
      322756 Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003
      .
      1. Нажмите кнопку Пуск, введите значение regedit в поле Начать поиск и выберите пункт regedit.exe в списке Программы.
      2. Найдите и щелкните следующий подраздел реестра:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить.
      4. В поле Значение введите 4 и нажмите кнопку ОК.
      5. Закройте редактор реестра и перезагрузите компьютер.

        Примечание. Службу планировщика заданий нужно отключить только на время, необходимое для удаления вредоносных программ. Это особенно важно в системах Windows Vista и Windows Server 2008, поскольку данное действие затрагивает многие встроенные запланированные задания. Сразу же после очистки среды включите службу сервера.
  5. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт :
    http://technet.microsoft.com/ru-ru/security/bulletin/ms08-067
    Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен. Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства. После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf. Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.
  6. Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт :
    http://technet.microsoft.com/ru-ru/library/cc875814.aspx
  7. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.
  9. Если компьютер заражен вирусом Win32/Conficker, будет указано случайное имя службы.

    Примечание. При заражении компьютера вариантом вируса Win32/Conficker.B имя службы будет состоять из случайного набора букв и находиться в нижней части списка. В случае более поздних вариантов вируса имя службы может находиться в любом месте списка и выглядеть менее подозрительно. Если в нижней части списка нет службы со случайным именем, сравните список системы с таблицей служб в этой статье, чтобы установить, какое имя могло быть добавлено вирусом Win32/Conficker. Для подтверждения сравните список в таблице служб со списком на похожей незараженной системе.

    Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.
  10. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

    Примечания к таблице служб
    • Все записи в таблице представляют действительные службы, за исключением элементов, выделенных полужирным шрифтом.
    • Элементы, выделенные полужирным шрифтом — это примеры записей, которые вирус Win32/Conficker может добавить в значение netsvcs в разделе реестра SVCHOST.
    • Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
    • В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
    • Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

    Таблица служб

    Свернуть эту таблицуРазвернуть эту таблицу
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ТемыТемыБраузерAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcБраузерIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvРасписаниеRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessРасписание
    wuauservwuauservТемыSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiТемы
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    браузерProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcрасписаниеhelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcбраузерxmlprov
    расписаниеhkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере это имя «Iaslogon». С учетом этого выполните указанные ниже действия.
    1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Имя_вредоносной_службы
      . Например, найдите и выделите следующий раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
    3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
    4. В диалоговом окне Дополнительные параметры безопасности установите указанные ниже флажки.
      Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

      Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам.
  12. Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просмотреть и изменить вредоносную библиотеку DLL, загружаемую как ServiceDll. Для этого выполните действия, указанные ниже.
    1. Дважды щелкните параметр ServiceDll.
    2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
       %SystemRoot%\System32\doieuln.dll
      . Измените ссылку, чтобы она выглядела следующим образом:
       %SystemRoot%\System32\doieuln.old
    3. Нажмите кнопку ОК.
  13. Удалите запись вредоносной службы из подраздела реестра Run.
    1. В редакторе реестра найдите и выберите следующие подразделы:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. В обоих подразделах найдите параметр, который имеет имя, начинающееся на «rundll32.exe», и обращается к обнаруженной на этапе 12b вредоносной библиотеке DLL, которая загружается как «ServiceDll». Удалите параметр.
    3. Закройте редактор реестра и перезагрузите компьютер.
  14. Проверьте все диски в системе на наличие файлов Autorun.inf. Откройте каждый файл в программе «Блокнот», чтобы убедиться в том, что это допустимые файлы Autorun.inf. Ниже приведен пример типичного допустимого файла Autorun.inf.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Допустимый файл Autorun.inf обычно имеет размер от 1 до 2 КБ.
  15. Все файлы Autorun.inf, допустимость которых вызывает сомнения, следует удалить.
  16. Перезагрузите компьютер.
  17. Сделайте видимыми скрытые файлы. Для этого введите в командной строке следующую команду:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Установите флажок Показывать скрытые файлы и папки, чтобы увидеть нужный файл. Для этого выполните указанные ниже действия.
    1. На этапе 12b нужно было запомнить путь к библиотеке DLL вредоносной службы. Предположим, этот путь выглядит следующим образом:
      %systemroot%\System32\doieuln.dll
      В проводнике Windows откройте каталог %systemroot%\System32 или каталог, содержащий вредоносную программу.
    2. В меню Сервис выберите команду Свойства папки.
    3. Перейдите на вкладку Вид.
    4. Установите флажок Показывать скрытые файлы и папки.
    5. Нажмите кнопку ОК.
  19. Выберите файл DLL.
  20. Измените разрешения для этого файла, чтобы предоставить полный доступ для всех. Для этого выполните действия, указанные ниже.
    1. Щелкните файл DLL правой кнопкой мыши и выберите пункт Свойства.
    2. Перейдите на вкладку Безопасность.
    3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.
    4. Нажмите кнопку ОК.
  21. Удалите файл DLL, к которому обращается вредоносная программа. В данном примере следует удалить файл %systemroot%\System32\doieuln.dll.
  22. Включите фоновую интеллектуальную службу передачи (BITS), службы автоматического обновления, Защитник Windows и службу регистрации ошибок с помощью оснастки консоли управления (MMC) "Службы".
  23. Отключите автозапуск, чтобы уменьшить вероятность повторного заражения. Для этого выполните действия, указанные ниже.
    1. В зависимости от системы установите одно из обновлений, перечисленных ниже.
      • Если на компьютере установлена операционная система Windows 2000, Windows XP или Windows Server 2003, установите обновление 967715. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
        967715 Отключение функций автозапуска в Windows
      • Если на компьютере установлена операционная система Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
        950582 MS08-038: уязвимость в проводнике Windows делает возможным удаленный запуск кода
        .
      Примечание. Обновление 967715 и обновление для системы безопасности 950582 не относятся к данной проблеме. Их необходимо установить, чтобы включить функцию реестра на этапе 23b.
    2. В командной строке введите следующую команду:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Если в системе запущен Защитник Windows, нужно вновь включить обнаружение расположения автозапуска. Для этого введите в командной строке следующую команду:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. В операционной системе Windows Vista и более поздних вредоносное программное обеспечение изменяет значение глобального параметра автонастройки окна получения TCP на «отключено». Чтобы отменить это изменение, введите в командной строке следующую команду:
    netsh interface tcp set global autotuning=normal
Если после завершения описанной процедуры имеются признаки повторного заражения компьютера, это может быть вызвано описанными ниже причинами.
  • Одно из расположений автозапуска не было удалено. Например, не было удалено задание AT или не был удален файл Autorun.inf.
  • Неправильно установлено обновление для системы безопасности MS08-067.
Вредоносные программы могут изменять другие настройки, не описанные в данной статье. Последние сведения о черве Win32/Conficker см. на веб-странице Центра Майкрософт по защите от вредоносных программ по следующему адресу:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Убедитесь в том, что система очищена

Убедитесь в том, что запущены следующие службы:
  • Автоматическое обновление (wuauserv)
  • Фоновая интеллектуальная служба передачи (BITS)
  • Защитник Windows (windefend) (если возможно)
  • Служба регистрации ошибок Windows
Для этого введите в командной строке следующие команды (после каждой команды нажмите клавишу ВВОД):

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

После выполнения каждой команды будет получено сообщение следующего типа:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
В этом примере "STATE : 4 RUNNING" указывает, что служба запущена.

Чтобы проверить состояние подраздела реестра SvcHost, выполните действия, указанные ниже.
  1. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. В области сведений дважды щелкните элемент netsvcs и просмотрите список служб. Перейдите к нижней части списка. Если компьютер повторно заражен червем Conficker, в нижней части списка будет выведено случайное имя службы. В данном примере вредоносная служба имеет имя «Iaslogon».
Если данные действия не устраняют проблему, обратитесь к производителю антивирусного программного обеспечения. Дополнительные сведения о проблеме см. в следующей статье базы знаний Майкрософт:
49500 Список производителей антивирусного программного обеспечения
Если производитель антивирусного программного обеспечения не может помочь или с ним невозможно связаться, для получения дополнительной помощи обратитесь в службу технической поддержки Майкрософт.

Действия после полной очистки среды

После полной очистки среды выполните действия, описанные ниже.
  1. Включите службы сервера и планировщика заданий.
  2. Восстановите разрешения по умолчанию для раздела реестра SVCHOST и папки заданий. Значения по умолчанию следует вернуть с помощью настроек групповой политики. Если политика удалена, восстановление разрешений по умолчанию может оказаться невозможным. Дополнительные сведения см. в таблице разрешений по умолчанию в разделе Действия по устранению последствий.
  3. Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте Центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (Configuration Manager 2007) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или Configuration Manager 2007 необходимо сначала включить службу сервера. В противном случае, возможно, с их помощью не удастся выполнить обновление системы.

Определение зараженных систем

При возникновении затруднений с определением систем, зараженных вирусом Conficker, см. дополнительные сведения в блоге TechNet по следующему адресу:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Таблица разрешений по умолчанию

В приведенной ниже таблице указаны разрешения по умолчанию для каждой операционной системы. Эти разрешения действуют до внесения изменений, рекомендуемых в данной статье. Они могут отличаться от разрешений, заданных в конкретной среде. Действующие разрешения следует задокументировать перед их изменением. Это необходимо для того, чтобы можно было восстановить настройки после очистки системы.
Свернуть эту таблицуРазвернуть эту таблицу
Операционная система Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
ПараметрSvchost (реестр)Папка заданийSvchost (реестр)Папка заданийSvchost (реестр)Папка заданийSvchost (реестр)Папка заданийSvchost (реестр)Папка заданий
Учетная запись
Администраторы (локальная группа)Полный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступ
СистемаПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступПолный доступ
Опытные пользователи (локальная группа)НеприменимоНеприменимоНеприменимоНеприменимоЧтениеНеприменимоЧтениеНеприменимоЧтениеНеприменимо
Пользователи (локальная группа)Особые НеприменимоОсобыеНеприменимоЧтениеНеприменимоЧтениеНеприменимоЧтениеНеприменимо
Применяется этому разделу и подразделамПрименяется к этому разделу и подразделам
Запрос значенияЗапрос значения
Перечисление подразделовПеречисление подразделов
УведомлениеУведомить
Чтение разрешений Чтение разрешений
Прошедшие проверкуНеприменимоОсобыеНеприменимоОсобыеНеприменимоНеприменимоНеприменимоНеприменимоНеприменимоНеприменимо
Применяется к только к этой папкеПрименяется к только к этой папке
Обзор папокОбзор папок
Содержимое папкиСодержимое папки
Чтение атрибутовЧтение атрибутов
Чтение дополнительных атрибутовЧтение дополнительных атрибутов
Создание файловСоздание файлов
Чтение разрешенийЧтение разрешений
Операторы архива (локальная группа)НеприменимоНеприменимоНеприменимоНеприменимоНеприменимоОсобыеНеприменимоОсобые
Применяется к только к этой папкеПрименяется к только к этой папке
Обзор папокОбзор папок
Содержимое папкиСодержимое папки
Чтение атрибутовЧтение атрибутов
Чтение дополнительных атрибутовЧтение дополнительных атрибутов
Создание файловСоздание файлов
Чтение разрешенийЧтение разрешений
ВсеНеприменимоНеприменимоНеприменимоНеприменимоНеприменимоНеприменимоНеприменимоНеприменимоНеприменимоОсобые
Применяется к данной папке, вложенным папкам и файлам
Обзор папок
Содержимое папки
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов
Создание папок
Запись атрибутов
Запись дополнительных атрибутов
Чтение разрешений

Дополнительная справка

 Чтобы получить дополнительные сведения об этой проблеме, свяжитесь со специалистом службы вопросов и ответов (для пользователей в США): 
Служба вопросов и ответов
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 962007 - Последний отзыв: 15 января 2013 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 1 для Windows Vista на следующих платформах
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 на следующих платформах
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 на следующих платформах
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 на следующих платформах
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com