Сообщение о вирусе-черве Win32/Conficker

Блокирование распространения вируса Win32/Conficker с помощью групповой политики

Примечания

• Важно! Перед внесением любых изменений, предлагаемых в этой статье, следует задокументировать все текущие настройки.

• Эта процедура не удаляет вредоносную программу Conficker из системы, а позволяет только остановить ее распространение. Чтобы удалить вирус-червь Conficker, необходимо воспользоваться антивирусной программой. Можно также удалить его вручную. Для этого следуйте указаниям, приведенным в разделе Удаление вируса Win32/Conficker вручную.
  
  
  
  
  
  
  

• После изменения разрешений согласно приведенным ниже рекомендациям может оказаться невозможной правильная установка приложений, пакетов обновления или других обновлений. В частности, к ним относятся обновления, устанавливаемые с использованием Центра обновлений Windows, сервера служб Windows Server Update Services (WSUS) и диспетчера System Center Configuration Manager (Configuration Manager 2007), так как работа этих продуктов зависит от компонентов автоматического обновления. После очистки системы необходимо восстановить настройки разрешений по умолчанию.

• Дополнительные сведения о настройках разрешений по умолчанию для раздела реестра SVCHOST и папки задач, упомянутых в разделе «Создание объекта групповой политики», см. в таблице разрешений по умолчанию в конце данной статьи.
  

Создание объекта групповой политики

Создайте объект групповой политики, который будет применяться ко всем компьютерам в определенном подразделении, сайте или домене, в зависимости от требований конкретной среды.

Для этого выполните указанные ниже действия.

1. Настройте политику на удаление разрешений на запись в следующий подраздел реестра:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Это позволит предотвратить создание в разделе реестра netsvcs вредоносной службы с произвольным именем.
   
   Для этого выполните указанные ниже действия.
   

   1. Откройте консоль управления групповыми политиками.

   2. Создайте объект групповой политики и присвойте ему произвольное имя.

   3. Откройте созданный объект групповой политики и перейдите в следующую папку:

      Конфигурация компьютера\Параметры Windows\Параметры безопасности\Реестр

   4. Щелкните правой кнопкой мыши элемент Реестр, а затем выберите команду Добавить раздел.

   5. В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

   6. Нажмите кнопку ОК.

   7. В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.

   8. Нажмите кнопку ОК.

   9. В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

   10. Нажмите кнопку ОК.

2. Настройте политику для удаления разрешений на запись в папку %windir%\Tasks. Это позволит предотвратить создание вредоносной программой Conficker назначенных задач, которые могут заразить систему повторно.
   
   Для этого выполните указанные ниже действия.
   

   1. В созданном ранее объекте групповой политики перейдите в следующую папку:

      Конфигурация компьютера\Параметры Windows\Параметры безопасности\Файловая система

   2. Щелкните правой кнопкой мыши элемент Файловая система, а затем выберите команду Добавить файл.

   3. В диалоговом окне Добавление файла или папки перейдите к папке %windir%\Tasks. Убедитесь, что пункт Задачи выделен и указан в диалоговом окне Папка.

   4. Нажмите кнопку ОК.

   5. В появившемся диалоговом окне снимите флажки Полный доступ, Изменение и Запись для групп Администраторы и Система.

   6. Нажмите кнопку ОК.

   7. В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

   8. Нажмите кнопку ОК.

3. Отключите функции автозапуска. Это позволит предотвратить распространение вредоносной программы Conficker через использование функций автозапуска, встроенных в систему Windows.
   
   
   Примечание. В зависимости от используемой версии Windows для правильного отключения функций автозапуска нужно установить различные обновления.
   
   

   • Чтобы отключить функции автозапуска в системе Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582, описанное в бюллетене по безопасности MS08-038.

   • Чтобы отключить функции автозапуска в системе Windows XP, Windows Server 2003 или Windows 2000, установите обновление для системы безопасности 950582, 967715 или 953252.

   
   
   Чтобы отключить функции автозапуска, выполните описанные ниже действия.
   

   1. В созданном ранее объекте групповой политики перейдите в одну из указанных ниже папок.
      

      • Для домена под управлением сервера Windows Server 2003:

        Конфигурация компьютера\Административные шаблоны\Система

      • Для домена под управлением сервера Windows Server 2008:

        Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска

   2. Откройте политику Отключить автозапуск.

   3. В диалоговом окне Отключить автозапуск установите переключатель Включено.

   4. В раскрывающемся меню выберите пункт Все диски.

   5. Нажмите кнопку ОК.

4. Закройте консоль управления групповыми политиками.

5. Свяжите созданный объект групповой политики с расположением, к которому его необходимо применить.

6. Подождите, пока параметры групповой политики не будет обновлены на всех компьютерах. Обычно репликация групповой политики на каждый контроллер домена занимает пять минут. Последующая репликация на оставшиеся компьютеры занимает 90 минут. Продолжительность всего процесса не превышает двух часов. Однако в зависимости от среды может потребоваться больше времени.

7. После распространения параметров групповой политики очистите компьютеры от вредоносной программы.
   
   Для этого выполните указанные ниже действия.
   

   1. Запустите на всех компьютерах полную антивирусную проверку.

   2. Если с помощью установленной антивирусной программы не удается обнаружить вирус Conficker, воспользуйтесь средством проверки безопасности (Майкрософт). Дополнительные сведения см. на веб-сайте корпорации Майкрософт по следующему адресу: http://www.microsoft.com/security/scanner/ru-ru/Примечание Чтобы устранить последствия работы вредоносной программы, может потребоваться выполнить некоторые действия вручную. Для устранения всех последствий рекомендуется выполнить инструкции, приведенные в разделе Удаление вируса Win32/Conficker вручную.

Запустите средство проверки безопасности (Майкрософт).

В Центре Майкрософт по защите от вредоносных программ предлагается обновленное средство проверки безопасности (Майкрософт). Это автономный двоичный файл, который используется для удаления наиболее распространенных вредоносных программ, в том числе вредоносных программ семейства Win32/Conficker.

Примечание. Средство проверки безопасности (Майкрософт) не является антивирусной программой, работающей в режиме реального времени, и не предотвращает повторное заражение.

Загрузить средство проверки безопасности Майкрософт можно на следующем веб-сайте корпорации Майкрософт:

http://www.microsoft.com/security/scanner/ru-ru/
Примечание. Автономное средство проверки системы также устраняет данное заражение. Это средство входит в состав пакета Microsoft Desktop Optimization Pack 6.0, а также доступно через службу поддержки пользователей. Загрузить пакет Microsoft Desktop Optimization Pack можно с веб-сайта корпорации Майкрософт по следующему адресу:

http://www.microsoft.com/ru-ru/windows/enterprise/products-and-technologies/mdop/default.aspxЕсли на компьютере запущена служба Microsoft Security Essentials или решение Microsoft Forefront Client Security, угроза будет заблокирована до проникновения вредоносной программы в систему.

Удаление вируса Win32/Conficker вручную

Примечания

• Описанные действия, выполняемые вручную, следует выполнять только при отсутствии антивирусных программ, позволяющих удалить вирус Conficker.

• В зависимости от конкретного варианта червя Win32/Conficker, заразившего компьютер, некоторые значения, упомянутые в этом разделе, могут остаться неизменными.

Для удаления вируса Conficker выполните описанные ниже действия.

1. Войдите в систему с локальной учетной записью.
   
   
   Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Это позволяет вредоносным программам распространяться.

2. Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.
   
   
   Примечание. Службу сервера нужно отключить только временно, чтобы устранить вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.
   
   
   Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже.
   

   1. В зависимости от системы выполните одно из описанных ниже действий.
      

      • В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.

      • В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затем Выполнить, введите services.msc и нажмите кнопку ОК.

   2. Дважды щелкните элемент Сервер.

   3. Нажмите кнопку Остановить.

   4. В поле Тип запуска выберите значение Отключено.

   5. Нажмите кнопку Применить.

3. Удалите все созданные задания автозапуска. Для этого введите в командной строке команду AT /Delete /Yes.

4. Остановите службу планировщика заданий.
   

   • Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средство SC.exe.

   • Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия.
     
     Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

     322756Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003.

     1. Нажмите кнопку Пуск, введите значение regedit в поле Начать поиск и выберите пункт regedit.exe в списке Программы.

     2. Найдите и щелкните следующий подраздел реестра:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

     3. В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить.

     4. В поле Значение введите 4 и нажмите кнопку ОК.

     5. Закройте редактор реестра и перезагрузите компьютер.
        
        
        
        Примечание. Службу планировщика заданий нужно отключить только на время, необходимое для удаления вредоносных программ. Это особенно важно в системах Windows Vista и Windows Server 2008, поскольку данное действие затрагивает многие встроенные запланированные задания. Сразу же после очистки среды включите службу сервера.
        

5. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт :

   http://technet.microsoft.com/ru-ru/security/bulletin/ms08-067Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен. Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства. После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf. Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.

6. Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт :

   http://technet.microsoft.com/ru-ru/library/cc875814.aspx

7. Найдите и выберите следующий подраздел реестра:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.

9. Если компьютер заражен вирусом Win32/Conficker, будет указано случайное имя службы.
   
   
   Примечание. При заражении компьютера вариантом вируса Win32/Conficker.B имя службы будет состоять из случайного набора букв и находиться в нижней части списка. В случае более поздних вариантов вируса имя службы может находиться в любом месте списка и выглядеть менее подозрительно. Если в нижней части списка нет службы со случайным именем, сравните список системы с таблицей служб в этой статье, чтобы установить, какое имя могло быть добавлено вирусом Win32/Conficker. Для подтверждения сравните список в таблице служб со списком на похожей незараженной системе.
   
   
   Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.

10. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.
    
    
    
    Примечания к таблице служб

    • Все записи в таблице представляют действительные службы, за исключением элементов, выделенных полужирным шрифтом.

    • Элементы, выделенные полужирным шрифтом — это примеры записей, которые вирус Win32/Conficker может добавить в значение netsvcs в разделе реестра SVCHOST.

    • Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.

    • В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.

    • Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

    Таблица служб

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Темы	Темы	Браузер	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Браузер	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Расписание	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Расписание
    wuauserv	wuauserv	Темы	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Темы
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    браузер	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	расписание	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	браузер		xmlprov
    расписание	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

11. При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере это имя «Iaslogon». С учетом этого выполните указанные ниже действия.
    

    1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Имя_вредоносной_службы. Например, найдите и выделите следующий раздел реестра:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.

    3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.

    4. В диалоговом окне Дополнительные параметры безопасности установите указанные ниже флажки.

       Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
       
       Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам.

12. Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просмотреть и изменить вредоносную библиотеку DLL, загружаемую как ServiceDll. Для этого выполните действия, указанные ниже.
    

    1. Дважды щелкните параметр ServiceDll.

    2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим: %SystemRoot%\System32\doieuln.dll . Измените ссылку, чтобы она выглядела следующим образом: %SystemRoot%\System32\doieuln.old

    3. Нажмите кнопку ОК.

13. Удалите запись вредоносной службы из подраздела реестра Run.
    

    1. В редакторе реестра найдите и выберите следующие подразделы:

       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. В обоих подразделах найдите параметр, который имеет имя, начинающееся на «rundll32.exe», и обращается к обнаруженной на этапе 12b вредоносной библиотеке DLL, которая загружается как «ServiceDll». Удалите параметр.

    3. Закройте редактор реестра и перезагрузите компьютер.

14. Проверьте все диски в системе на наличие файлов Autorun.inf. Откройте каждый файл в программе «Блокнот», чтобы убедиться в том, что это допустимые файлы Autorun.inf. Ниже приведен пример типичного допустимого файла Autorun.inf.
    

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    

    Допустимый файл Autorun.inf обычно имеет размер от 1 до 2 КБ.

15. Все файлы Autorun.inf, допустимость которых вызывает сомнения, следует удалить.

16. Перезагрузите компьютер.

17. Сделайте видимыми скрытые файлы. Для этого введите в командной строке следующую команду:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

18. Установите флажок Показывать скрытые файлы и папки, чтобы увидеть нужный файл. Для этого выполните указанные ниже действия.
    

    1. На этапе 12b нужно было запомнить путь к библиотеке DLL вредоносной службы. Предположим, этот путь выглядит следующим образом:

       %systemroot%\System32\doieuln.dll В проводнике Windows откройте каталог %systemroot%\System32 или каталог, содержащий вредоносную программу.

    2. В меню Сервис выберите команду Свойства папки.

    3. Перейдите на вкладку Вид.

    4. Установите флажок Показывать скрытые файлы и папки.

    5. Нажмите кнопку ОК.

19. Выберите файл DLL.

20. Измените разрешения для этого файла, чтобы предоставить полный доступ для всех. Для этого выполните действия, указанные ниже.
    

    1. Щелкните файл DLL правой кнопкой мыши и выберите пункт Свойства.

    2. Перейдите на вкладку Безопасность.

    3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.

    4. Нажмите кнопку ОК.

21. Удалите файл DLL, к которому обращается вредоносная программа. В данном примере следует удалить файл %systemroot%\System32\doieuln.dll.

22. Включите фоновую интеллектуальную службу передачи (BITS), службы автоматического обновления, Защитник Windows и службу регистрации ошибок с помощью оснастки консоли управления (MMC) "Службы".

23. Отключите автозапуск, чтобы уменьшить вероятность повторного заражения. Для этого выполните действия, указанные ниже.
    

    1. В зависимости от системы установите одно из обновлений, перечисленных ниже.
       

       • Если на компьютере установлена операционная система Windows 2000, Windows XP или Windows Server 2003, установите обновление 967715.
         Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
         
         

         967715 Отключение функций автозапуска в Windows
         
         

       • Если на компьютере установлена операционная система Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582.
         Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

         950582MS08-038: уязвимость в проводнике Windows делает возможным удаленный запуск кода.

       Примечание. Обновление 967715 и обновление для системы безопасности 950582 не относятся к данной проблеме. Их необходимо установить, чтобы включить функцию реестра на этапе 23b.

    2. В командной строке введите следующую команду:

       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

24. Если в системе запущен Защитник Windows, нужно вновь включить обнаружение расположения автозапуска. Для этого введите в командной строке следующую команду:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

25. В операционной системе Windows Vista и более поздних вредоносное программное обеспечение изменяет значение глобального параметра автонастройки окна получения TCP на «отключено». Чтобы отменить это изменение, введите в командной строке следующую команду:

    netsh interface tcp set global autotuning=normal

Если после завершения описанной процедуры имеются признаки повторного заражения компьютера, это может быть вызвано описанными ниже причинами.

• Одно из расположений автозапуска не было удалено. Например, не было удалено задание AT или не был удален файл Autorun.inf.

• Неправильно установлено обновление для системы безопасности MS08-067.

Вредоносные программы могут изменять другие настройки, не описанные в данной статье. Последние сведения о черве Win32/Conficker см. на веб-странице Центра Майкрософт по защите от вредоносных программ по следующему адресу:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Убедитесь в том, что система очищена

Убедитесь в том, что запущены следующие службы:

• Автоматическое обновление (wuauserv)

• Фоновая интеллектуальная служба передачи (BITS)

• Защитник Windows (windefend) (если возможно)

• Служба регистрации ошибок Windows

Для этого введите в командной строке следующие команды (после каждой команды нажмите клавишу ВВОД):

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

После выполнения каждой команды будет получено сообщение следующего типа:

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
В этом примере "STATE : 4 RUNNING" указывает, что служба запущена.

Чтобы проверить состояние подраздела реестра SvcHost, выполните действия, указанные ниже.

1. Найдите и выберите следующий подраздел реестра:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

2. В области сведений дважды щелкните элемент netsvcs и просмотрите список служб. Перейдите к нижней части списка. Если компьютер повторно заражен червем Conficker, в нижней части списка будет выведено случайное имя службы. В данном примере вредоносная служба имеет имя «Iaslogon».

Если данные действия не устраняют проблему, обратитесь к производителю антивирусного программного обеспечения.
Дополнительные сведения о проблеме см. в следующей статье базы знаний Майкрософт:

49500Список производителей антивирусного программного обеспеченияЕсли производитель антивирусного программного обеспечения не может помочь или с ним невозможно связаться, для получения дополнительной помощи обратитесь в службу технической поддержки Майкрософт.

Действия после полной очистки среды

После полной очистки среды выполните действия, описанные ниже.

1. Включите службы сервера и планировщика заданий.

2. Восстановите разрешения по умолчанию для раздела реестра SVCHOST и папки заданий. Значения по умолчанию следует вернуть с помощью настроек групповой политики. Если политика удалена, восстановление разрешений по умолчанию может оказаться невозможным. Дополнительные сведения см. в таблице разрешений по умолчанию в разделе Действия по устранению последствий.
   
   

3. Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте Центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (Configuration Manager 2007) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или Configuration Manager 2007 необходимо сначала включить службу сервера. В противном случае, возможно, с их помощью не удастся выполнить обновление системы.