Alerte concernant le ver Win32/Conficker

Empêcher Win32/Conficker de se répandre en utilisant les paramètres de la stratégie de groupe

Remarques

• Important Veillez à documenter les paramètres actuels avant de procéder aux modifications suggérées dans cet article.

• Cette procédure ne supprime pas le programme malveillant Conficker du système. Elle l'empêche seulement de se répandre. Vous devez utiliser un produit antivirus pour supprimer le programme malveillant Conficker du système. Ou, suivez la procédure présentée dans la section « Étapes manuelles pour la suppression du virus Win32/Conficker » de cet article de la Base de connaissances pour supprimer manuellement ce programme malveillant du système.
  
  
  
  
  
  
  

• Il se peut que vous ne puissiez pas installer correctement des applications, des Service Packs ou d'autres mises à jour si les modifications d'autorisation recommandées par la procédure suivante sont appliquées. Il s'agit notamment de l'application de mises à jour à l'aide de Windows Update, du serveur Microsoft Windows Server Update Services (WSUS) et de System Center Configuration Manager (Configuration Manager 2007), car ces produits se basent sur des composants des mises à jour automatiques. Assurez-vous de modifier les autorisations pour revenir aux paramètres par défaut après le nettoyage du système.

• Pour plus d'informations sur les autorisations par défaut pour la clé de Registre SVCHOST et le dossier Tâches mentionnées dans la section « Création d'un objet Stratégie de groupe », consultez le tableau des autorisations par défaut à la fin de cet article.
  

Création d'un objet Stratégie de groupe

Créez un objet Stratégie de groupe qui s'applique à tous les ordinateurs d'un domaine, d'un site ou d'une unité d'organisation spécifique, si cela est nécessaire dans votre environnement.

Pour cela, procédez comme suit :

1. Définissez la stratégie visant à déplacer les autorisations en écriture vers la sous-clé de Registre suivante :

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Cette action empêche le service du programme malveillant nommé de manière aléatoire d'être créé dans la valeur de Registre netsvcs.
   
   Pour cela, procédez comme suit :
   

   1. Ouvrez la console de gestion des stratégies de groupe (GPMC).

   2. Créez un objet Stratégie de groupe. Donnez-lui le nom que vous désirez.

   3. Ouvrez le nouvel objet de stratégie de groupe, puis déplacez-le vers le dossier suivant :

      Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Registre

   4. Cliquez avec le bouton droit sur Registre, puis cliquez sur Ajouter une clé.

   5. Dans la boîte de dialogue Sélection de la clé de Registre, développez Ordinateur, puis accédez au dossier suivant :

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

   6. Cliquez sur OK.

   7. Dans la boîte de dialogue qui s'affiche, désactivez la case à cocher Contrôle total pour Administrateurs et Système.

   8. Cliquez sur OK.

   9. Dans la boîte de dialogue Ajouter un objet, cliquez sur Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées.

   10. Cliquez sur OK.

2. Définissez la stratégie visant à déplacer les autorisations en écriture vers le dossier %windir%\Tasks. Cette action empêche le programme malveillant Conficker de créer les tâches planifiées qui peuvent réinfecter le système.
   
   Pour cela, procédez comme suit :
   

   1. Dans le même objet de stratégie de groupe que vous avez créé précédemment, accédez au dossier suivant :

      Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Système de fichiers

   2. Cliquez avec le bouton droit sur Système de fichiers, puis cliquez sur Ajouter un fichier.

   3. Dans la boîte de dialogue Ajouter un fichier ou un dossier, accédez au dossier %windir%\Tâches. Assurez-vous que Tâches est activé et répertorié dans la boîte de dialogue Dossier.

   4. Cliquez sur OK.

   5. Dans la boîte de dialogue qui s'affiche, cliquez pour désactiver les cases à cocher Contrôle total, Modifier et Écrire pour les Administrateurs et le Système.

   6. Cliquez sur OK.

   7. Dans la boîte de dialogue Ajouter un objet, cliquez sur Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées.

   8. Cliquez sur OK.

3. Définissez les fonctions de Lecture automatique (Exécution automatique) à désactiver. Cette action empêche le programme malveillant Conficker de se répandre à l'aide des fonctions de Lecture automatique intégrées dans Windows.
   
   
   Remarque En fonction de la version de Windows que vous utilisez, il existe différentes mises à jour qui doivent être installées pour désactiver correctement la fonction d'exécution automatique :
   
   

   • Pour désactiver la fonction d'exécution automatique dans Windows Vista ou dans Windows Server 2008, vous devez installer la mise à jour de sécurité 950582 (décrite dans le bulletin de sécurité MS08-038).

   • Pour désactiver la fonction d'exécution automatique dans Windows XP, Windows Server 2003 ou Windows 2000, vous devez installer les mises à jour de sécurité 950582, 967715 ou 953252.

   
   
   Pour définir les fonctionnalités de lecture automatique (exécution automatique) sur désactivé, procédez comme suit :
   

   1. Dans le même objet de stratégie de groupe que vous avez créé précédemment, accédez à l'un des dossiers suivants :
      

      • Pour un domaine Windows Server 2003, accédez au dossier suivant :

        Configuration ordinateur\Modèles d'administration\Système

      • Pour un domaine Windows 2008, accédez au dossier suivant :

        Configuration ordinateur\Modèles d'administration\Composants de Windows\Stratégies de lecture automatique

   2. Ouvrez la stratégie Désactiver le lecteur automatique.

   3. Dans la boîte de dialogue Désactiver le lecteur automatique, cliquez sur Activé.

   4. Dans le menu déroulant, cliquez sur Tous les lecteurs.

   5. Cliquez sur OK.

4. Fermez la console de gestion des stratégies de groupe.

5. Liez l'objet de stratégie de groupe récemment créé à l'emplacement auquel vous souhaitez qu'il s'applique.

6. Laissez suffisamment de temps aux paramètres de la stratégie de groupe pour se mettre à jour sur tous les ordinateurs. En général, la réplication de la stratégie de groupe a besoin de 5 minutes pour se répliquer sur chaque contrôleur de domaine, puis de 90 minutes pour se répliquer sur le reste du système. Quelques heures devraient être suffisantes. Cependant, il est possible que cette opération prenne plus de temps, en fonction de l'environnement.

7. Après la propagation des paramètres de la stratégie de groupe, nettoyez les systèmes de programme malveillant.
   
   Pour cela, procédez comme suit :
   

   1. Exécutez des analyses antivirus complètes sur tous les ordinateurs.

   2. Si votre logiciel antivirus ne détecte pas Conficker, vous pouvez utiliser le Scanner de sécurité Microsoft pour supprimer ce programme. Pour plus d'informations, reportez-vous à la page Web de Microsoft à l'adresse suivante : http://www.microsoft.com/security/scanner/fr-fr/Remarque Vous devrez peut-être effectuer quelques étapes manuellement pour supprimer tous les effets du programme malveillant. Nous vous conseillons de réviser la procédure détaillée dans la section « Étapes manuelles pour la suppression du virus Win32/Conficker » de cet article pour supprimer tous les effets du logiciel malveillant.

Exécuter le Scanner de sécurité Microsoft.

Le Centre de protection Microsoft contre les programmes malveillants a mis à jour le Scanner de sécurité Microsoft. Il s'agit d'un fichier binaire autonome pratique pour la suppression de logiciels malveillants répandus et peut faciliter la suppression des vers de la famille Win32/Conficker.

Remarque Le Scanner de sécurité Microsoft n'empêche pas toute réinfection, car il n'est pas un programme antivirus en temps réel.

Vous pouvez télécharger le Scanner de sécurité Microsoft depuis le site Web de Microsoft à l'adresse suivante :

http://www.microsoft.com/security/scanner/fr-fr/
Remarque Le Nettoyeur système autonome supprime également cette infection. Cet outil est disponible sous la forme d'un composant du Microsoft Desktop Optimization Pack 6.0 ou via les services de Support technique et clientèle. Pour obtenir Microsoft Desktop Optimization Pack, visitez le site Web de Microsoft suivant :

http://www.microsoft.com/fr-fr/windows/enterprise/products-and-technologies/mdop/default.aspx Si Microsoft Security Essentials ou Microsoft Forefront Client Security fonctionne sur le système, ces deux programmes bloquent également la menace avant son installation.

Étapes manuelles pour la suppression du virus Win32/Conficker

Remarques

• Cette procédure manuelle n'est plus demandée et ne doit être exécutée que si vous ne disposez pas de logiciel antivirus pour supprimer le virus Conficker.

• En fonction de la variante de Win32/Conficker qui infecte l'ordinateur, certaines des valeurs présentées dans cette section peuvent ne pas avoir été modifiées par le virus.

La procédure détaillée suivante peut vous aider à supprimer manuellement Conficker à partir d'un système :

1. Ouvrez une session sur le système en utilisant un compte local.
   
   
   Important Dans la mesure du possible, n'ouvrez pas de session sur le système en utilisant un compte de domaine. Veillez tout particulièrement à ne pas utiliser un compte d'administrateur de domaine. Le logiciel malveillant usurpe l'identité de l'utilisateur connecté et accède aux ressources réseau en utilisant les informations d'identification de cet utilisateur. Cela permet au logiciel malveillant de se répandre.

2. Arrêtez le service Serveur. Cela supprime les partages Admin du système afin que le logiciel malveillant ne puisse pas se propager par cette méthode.
   
   
   Remarque Le service Serveur ne doit être désactivé que temporairement pendant la suppression du logiciel malveillant de votre environnement. Cela s'applique tout particulièrement aux serveurs de production dans la mesure où cette étape affectera la disponibilité des ressources réseau. Dès que l'environnement est nettoyé, le service Serveur peut être réactivé.
   
   
   Pour arrêter le service Server, utilisez le composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft. Pour cela, procédez comme suit :
   

   1. Selon votre système, faites ce qui suit :
      

      • Dans Windows Vista et Windows Server 2008, cliquez sur DémarrerBouton Démarrer, tapez services.msc dans la zone Rechercher, puis cliquez sur services.msc dans la liste Programmes.

      • Dans Windows 2000, Windows XP et Windows Server 2003, cliquez sur Démarrer, sur Exécuter, tapez services.msc, puis cliquez sur OK.

   2. Double-cliquez sur Serveur.

   3. Cliquez sur Arrêter.

   4. Sélectionnez Désactivé dans la zone Type de démarrage.

   5. Cliquez sur Appliquer.

3. Supprimez toutes les tâches planifiées créees par AT. Pour ce faire, tapez AT/Delete/Yes à une invite de commande.

4. Arrêtez le service du Planificateur de tâches.
   

   • Pour arrêter le service du Planificateur de tâches dans Windows 2000, Windows XP et Windows Server 2003, utilisez le composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft ou l'utilitaire SC.exe.

   • Pour arrêter le service du Planificateur de tâches dans Windows Vista ou dans Windows Server 2008, procédez comme suit.
     
     Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

     322756Comment faire pour sauvegarder et restaurer le Registre dans Windows

     1. Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis cliquez sur regedit.exe dans la liste Programmes.

     2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

     3. Dans le volet Détails, cliquez avec le bouton droit sur l'entrée DWORD Start, puis cliquez sur Modifier.

     4. Dans la zone Données de la valeur, tapez 4, puis cliquez sur OK.

     5. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.
        
        
        
        Remarque Le service Planificateur de tâches ne doit être désactivé que temporairement pendant la suppression du logiciel malveillant de votre environnement. C'est notamment le cas sur des ordinateurs Windows Vista et Windows Server 2008 car cette étape affectent de nombreuses tâches planifiées intégrées. Dès que l'environnement est nettoyé, réactivez le service Serveur.
        

5. Téléchargez et installez manuellement la mise à jour de sécurité 958644 (MS08-067). Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante :

   http://www.microsoft.com/france/technet/security/bulletin/MS08-067.mspxRemarque Ce site est susceptible d'être bloqué par l'infection du logiciel malveillant. Dans ce cas, vous devez télécharger la mise à jour à partir d'un ordinateur non infecté, puis transférer le fichier de la mise à jour sur le système infecté. Nous vous conseillons de graver la mise à jour sur CD dans la mesure où CD gravé ne sera pas inscriptible. Il ne pourra donc pas être infecté. Si aucun graveur de CD n'est disponible, une clé USB amovible peut être le seul moyen de copier la mise à jour sur le système infecté. Si vous utilisez un lecteur amovible, vous devez être conscient que le logiciel malveillant peut infecter le lecteur avec un fichier Autorun.inf. Après avoir copié la mise à jour sur le lecteur amovible, prenez soin de placer le lecteur en mode lecture seule s'il en offre la possibilité. Si le mode lecture seule est disponible, il s'active généralement à l'aide d'un petit commutateur physique sur le périphérique. Ensuite, après avoir copié le fichier de la mise à jour sur l'ordinateur infecté, vérifiez le lecteur amovible pour déterminer si un fichier Autorun.inf y a été écrit. Si c'est le cas, renommez le fichier Autorun.inf. Changez son nom en Autorun.KO, par exemple, de manière à ce qu'il ne s'exécute pas lorsque le lecteur amovible est connecté à un ordinateur.

6. Réinitialisez les mots de passe d'administration local et du domaine et remplacez-les par un nouveau mot de passe fort. Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante :

   http://technet.microsoft.com/fr-fr/library/cc875814.aspx

7. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante et cliquez dessus :

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. Dans le volet Détails, cliquez avec le bouton droit sur l'entrée netsvcs, puis cliquez sur Modifier.

9. Si l'ordinateur est infecté par le virus Win32/Conficker, un nom de service aléatoire sera affiché.
   
   
   Remarque Avec Win32/Conficker.B, le nom de service a été des lettres aléatoires et en bas de la liste. Avec des variantes plus récentes, le nom du service peut se trouver n'importe où dans la liste et sembler plus légitime. So le nom aléatoire du service ne se trouve pas en bas de la liste, comparez votre système avec le tableau Services de cette procédure pour déterminer le nom du service qui peut être ajouté par Win32/Conficker. Pour vérifier ceci, comparez la liste dans le tableau Services avec celle d'un système similaire qui n'est pas infecté.
   
   
   Notez le nom du service malveillant. Vous aurez besoin de cette information plus loin dans cette procédure.

10. Supprimez la ligne qui contient la référence au service malveillant. Veillez à laisser un saut de ligne en dessous de la dernière entrée légitime de la liste, puis cliquez sur OK.
    
    
    
    Remarques relatives au tableau Services

    • Toutes les entrées du tableau Services sont valides, sauf pour les éléments en gras.

    • Les éléments en gras sont des exemples de ce que le virus Win32/Conficker peut ajouter à la valeur netsvcs dans la clé de Registre SVCHOST.

    • Cela peut ne pas être une liste exhaustive des services, en fonction de ce qui est installé sur le système.

    • Le tableau Services provient d'une installation par défaut de Windows.

    • L'entrée que le virus Win32/Conficker ajoute à la liste est une technique d'obscurcissement. La première lettre de l'entrée malveillante mise en avant qui doit ressembler est un « L » minuscule. Toutefois, il s'agit en réalité d'un « I » majuscule. Selon la police utilisée par le système d'exploitation, le I majuscule ressemble à un L minuscule.

    Tableau Services

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Themes	Themes	Browser	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Browser	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Schedule	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Schedule
    wuauserv	wuauserv	Themes	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Themes
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    browser	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	schedule	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	browser		xmlprov
    schedule	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

11. Dans une procédure antérieure, vous avez pris note du nom du service malveillant. Dans notre exemple, le nom de l'entrée malveillante était « Iaslogon ». En utilisant cette information, procédez comme suit :
    

    1. Dans l'Éditeur de Registre, recherchez la sous-clé de Registre suivante et cliquez dessus (NomServiceIncorrect est le nom du service malveillant :

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName par exemple, recherchez et cliquez sur la sous-clé de Registre suivante :

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. Cliquez avec le bouton droit dans le volet de navigation correspondant au nom du service malveillant, puis cliquez sur Autorisations.

    3. Dans la boîte de dialogue Autorisations pour SvcHost, cliquez sur Paramètres avancés.

    4. Dans la boîte de dialogue Paramètres de sécurité avancés, cliquez pour activer les deux cases à cocher suivantes :

       Hérite de l'objet parent les entrées d'autorisation qui s'appliquent aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici.
       
       Remplacer les entrées d'autorisations de tous les objets enfants par les entrées affichées ici et qui s'appliquent aux objets enfants.

12. Appuyez sur F5 pour mettre à jour l'Éditeur de Registre. Dans le volet d'informations, vous pouvez maintenant voir et modifier la DLL malveillante qui se charge comme « ServiceDll ». Pour ce faire, procédez comme suit :
    

    1. Double-cliquez sur l'entrée ServiceDll.

    2. Prenez note du chemin d'accès de la DLL référencée. Vous aurez besoin de cette information plus loin dans cette procédure. Par exemple, le chemin d'accès de la DLL référencée peut ressembler à ceci : %SystemRoot%\System32\doieuln.dll Renommez la référence pour qu'elle ressemble à ce qui suit : %SystemRoot%\System32\doieuln.old

    3. Cliquez sur OK.

13. Supprimez l'entrée du service malveillant de la sous-clé Run du Registre.
    

    1. Dans l'Éditeur du Registre, recherchez les sous-clés de Registre suivantes et cliquez dessus :

       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. Dans les deux sous-clés, recherchez une entrée qui commence par « rundll32.exe » et fait également référence à la DLL malveillante qui se charge en tant que « ServiceDll » (identifiée à l'étape 12b). Supprimez l'entrée.

    3. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.

14. Recherchez les fichiers Autorun.inf sur tous les lecteurs du système. Utilisez le Bloc-notes pour ouvrir chaque fichier et vous assurer qu'il s'agit d'un fichier Autorun.inf valide. L'exemple suivant illustre un fichier Autorun.inf classique valide :
    

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    

    Un fichier Autorun.inf valide fait généralement 1 à 2 kilooctets (Ko).

15. Supprimez tous les fichiers Autorun.inf qui ne semblent pas valides.

16. Redémarrez votre ordinateur.

17. Rendez visibles les fichiers masqués. Pour cela, tapez la commande suivante à l'invite de commandes :

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

18. Activez Afficher les fichiers et dossiers cachés afin de pouvoir voir le fichier. Pour ce faire, procédez comme suit :
    

    1. À l'étape 12b, vous avez pris note du chemin d'accès du fichier .dll référencé pour le logiciel malveillant. Par exemple, vous avez noté un chemin d'accès semblable au suivant :

       %systemroot%\System32\doieuln.dll Dans l'Explorateur Windows, ouvrez le répertoire %systemroot%\System32 ou au répertoire qui contient le logiciel malveillant.

    2. Cliquez sur Outils, puis sur Options des dossiers.

    3. Cliquez sur l'onglet Affichage.

    4. Activez la case à cocher Afficher les fichiers et dossiers cachés.

    5. Cliquez sur OK.

19. Sélectionnez le fichier .dll.

20. Modifiez les autorisations du fichier pour ajouter le Contrôle total pour Tout le monde. Pour cela, procédez comme suit :
    

    1. Cliquez avec le bouton droit sur le fichier .dll, puis cliquez sur Propriétés.

    2. Cliquez sur l'onglet Sécurité.

    3. Cliquez sur Tout le monde, puis activez la case à cocher Contrôle total dans la colonne Autoriser.

    4. Cliquez sur OK.

21. Supprimez le fichier .dll référencé correspondant au logiciel malveillant. Par exemple, supprimez le fichier %systemroot%\System32\doieuln.dll.

22. Activez le service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service), les mises à jour automatiques, les services de rapport d'erreurs et Windows Defender à l'aide du composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft.

23. Désactivez l'exécution automatique pour réduire l'effet de toute réinfection. Pour cela, procédez comme suit :
    

    1. Selon votre système, installez l'une des mises à jour suivantes :
       

       • Si vous utilisez Windows 2000, Windows XP ou Windows Server 2003, installez la mise à jour 967715.
         Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
         
         

         967715 Procédure de désactivation de la fonction d'exécution automatique dans Windows
         
         

       • Si vous utilisez Windows Vista ou Windows Server 2008, installez la mise à jour de sécurité 950582.
         Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

         950582MS08-038 : Une vulnérabilité dans l'Explorateur Windows risque de permettre l'exécution de code à distance

       Remarque La mise à jour 967715 et la mise à jour de sécurité 950582 ne concernent pas ce problème de logiciel malveillant. Ces mises à jour doivent être installées pour permettre la fonction de Registre de l'étape 23b.

    2. À l'invite de commandes, tapez la commande suivante :

       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f

24. Si le système utilise Windows Defender, réactivez l'emplacement de démarrage automatique de Windows Defender. Pour cela, tapez la commande suivante à l'invite de commandes :

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f

25. Dans le cas de Windows Vista et des systèmes d'exploitation plus récents, le logiciel malveillant désactive le paramètre global de réglage automatique de la fenêtre de réception TCP. Pour le réactiver, tapez la commande suivante à une invite de commande :

    netsh interface tcp set global autotuning=normal

Après cette procédure, si l'ordinateur semble réinfecté, une des conditions suivantes est peut-être vraie :

• Un des emplacements de démarrage automatique n'a pas été supprimé. Par exemple, la tâche AT n'a pas été supprimée ou un fichier Autorun.inf n'a pas été supprimé.

• La mise à jour de sécurité pour MS08-067 a été installée de manière incorrecte

Ce logiciel malveillant peut modifier d'autres paramètres non repris dans cet article. Visitez la page Web suivante du Centre de protection contre les programmes malveillants (Microsoft Malware Protection Center, en anglais) pour obtenir les détails les plus récents sur Win32/Conficker :

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Assurez-vous que le système n'est pas infecté

Assurez-vous que les services suivants ont démarré :

• Mises à jour automatiques (wuauserv)

• Service de transfert intelligent en arrière-plan (BITS)

• Windows Defender (windefend) (si applicable)

• Service de rapport d'erreurs de Windows

Pour ce faire, tapez les commandes suivantes à l'invite de commandes. Appuyez sur ENTRÉE après chaque commande :

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Après l'exécution de chaque commande, un message semblable à ce qui suit s'affiche :

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Dans cet exemple, « STATE : 4 RUNNING » indique que le service est actif.

Pour vérifier l'état de la sous-clé de Registre SvcHost, procédez comme suit :

1. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante et cliquez dessus :

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

2. Dans le volet des Détails, double-cliquez sur netsvcs, puis passez en revue les noms de service de la liste. Faites défiler la liste vers le bas. Si l'ordinateur est réinfecté avec Conficker, un nom de service aléatoire sera affiché. Par exemple, dans cette procédure, le nom de service du logiciel malveillant est « Iaslogon ».

Si cette procédure ne corrige pas le problème, contactez le fournisseur de votre logiciel antivirus.
Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

49500Liste des fournisseurs d'antivirusSi vous n'avez pas de fournisseur de logiciel antivirus ou si votre fournisseur ne peut pas vous aider, contactez les services de Support technique Microsoft pour obtenir une aide complémentaire.

Une fois l'environnement totalement nettoyé

Une fois l'environnement totalement nettoyé, procédez comme suit :

1. Réactivez le service Serveur et le service Planificateur de tâches.

2. Restaurez les autorisations par défaut sur la clé de Registre SVCHOST et le dossier Tâches. Les paramètres par défaut doivent être restaurés à l'aide des paramètres de Stratégie de groupe. Si une stratégie est supprimée uniquement, les autorisations par défaut ne peuvent pas être modifiées à nouveau. Consultez le tableau des autorisations par défaut dans la section « Atténuation » pour plus d'informations.
   
   

3. Mettez l'ordinateur à jour en installant toutes les mises à jour de sécurité disponibles. Pour ce faire, utilisez Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou votre produit tiers de gestion des mises à jour. Si vous utilisez SMS ou Configuration Manager 2007, vous devez commencer par réactiver le service Serveur. Sinon, SMS ou Configuration Manager 2007 risque de ne pas pouvoir mettre à jour le système.