Instrukcja usuwania wirusa "Conficker"

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Instrukcja usuwania wirusa "Conficker"

Post31 sty 2009, 18:51

Instrukcja usuwania wirusa "Conficker/Downadup" przy pomocy "BitDefender's Anti-Downadup":

Jeśli w logu ComboFixa pojawią się podobne do tych poniższych wpisy:
2004-08-03 22:44 170,193 --sha-r c:\windows\system32\mvbghzrt.dll ---- zamiast "mvbghzrt" będą przypadkowe literki
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5162:TCP"= 5162:TCP:ntohx --- zamiast "ntohx" będą przypadkowe literki
S2 vsacz;Shell Boot;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336] --- zamiast "vsacz" będą przypadkowe literki
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
vsacz --- zamiast "vsacz" będą przypadkowe literki
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsacz] --- zamiast "vsacz" będą przypadkowe literki
"ServiceDll"="c:\windows\system32\mvbghzrt.dll" -------- zamiast "mvbghzrt" będą przypadkowe literki
RECYCLER\S-x-x-x-xxx-xxx-xxx-x\<przypadkowe literki>.dll ( zamiast "x" są przypadkowe cyferki)

to masz Confickera!

Jeśli z jakiegoś powodu usuwanie przy pomocy tego narzędzia się nie powiedzie, to w ostateczności można wykonać usuwanie tradycyjne - opisałam je na samym dole tematu.


1) Wydrukuj tę instrukcję, bo będzie trzeba, aby zamknąć każde okno, które jest otwarte w trakcie usuwania.

2) Ze względu na fakt, że Conficker/Downadup nie pozwala połączyć się z firmą Microsoft i innymi witrynami zabezpieczeń, musisz najpierw pobrać łatkę systemu Windows oraz narzędzie do usuwania z innego komputera i przenieść te pliki do zainfekowanego komputera, ewentualnie pobrać z linku przesłane pliki przez kogoś innego. Na czystym komputerze, należy pobrać BitDefender's Anti-Downadup z następującej lokalizacji i zapisać plik na pulpicie. Obecna nazwa tego pliku jest "anty-Downadup-EN.zip".

BitDefender's Anti-Downadup Dostępne tylko dla zarejestrowanych użytkowników
(Uwaga: W dniu 31 stycznia - 3 luty można pobrać z tego linku:
Dostępne tylko dla zarejestrowanych użytkowników bezpośrednio na zainfekowany komputer, bez potrzeby przenoszenia z innego komputera na dyskietce.)

3) Następnie odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows:

MS08-067 łatka Pobierz (Dostępne tylko dla zarejestrowanych użytkowników)
(Uwaga: W dniu 31 stycznia - 28 luty można pobrać z tego linku łatkę dla WinXP:
Dostępne tylko dla zarejestrowanych użytkowników bezpośrednio na zainfekowany komputer, bez potrzeby przenoszenia z innego komputera na dyskietce.) (pobrać na pulpit i uruchomić dwuklikiem).


Przejrzyj listę i kliknij na link, który odpowiada wersji systemu Windows, który jest uruchomiony na zainfekowanym komputerze. Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie.

4) Teraz skopiuj anty-Downadup-EN.zip i łatkę na dyskietce, CD lub USB, dzięki czemu można skopiować je do zainfekowanego komputera.

5) Gdy pliki są przechowywane na odłączalnym urządzeniu, skopiuj go na swój zainfekowany komputer na pulpit .

6) Gdy łatka "MS08-067" i "anty-Downadup-EN.zip" są na Twoim pulpicie zainfekowanego komputera, należy najpierw zainstalować poprawkę dla systemu Windows. Wystarczy dwukrotnie kliknąć na plik, który został pobrany z witryny firmy Microsoft i postępuj zgodnie z instrukcjami, aby zainstalować łatkę. Pozwoli to uniknąć ponownego zakażenia po usunięciu "Confickera".

7) Teraz trzeba wyodrębnić pliki z "anty-Downadup-EN.zip". Można to zrobić klikając prawym przyciskiem na "anty-Downadup-EN.zip", a następnie wybierz "Wyodrębnij wszystkie" w opcji Menu, które się pokaże.

8) Na następnym ekranie, kliknij przycisk "Dalej", aż pojawi się ekran podobny do tego poniżej.
Dostępne tylko dla zarejestrowanych użytkowników

Teraz plik skończy wyodrębnianie, kliknij przycisk "Zakończ".

9. Otworzy się folder zawierający dwa pliki. Pliki te są nazwane: "anty-Downadup-Console.exe" i "anty-Downadup-graphics.exe". Kliknij dwukrotnie plik "Anti-Downadup-graphics.exe", aby uruchomić program. Po uruchomieniu tego programu, Windows może wyświetlić ostrzeżenie podobne do zdjęcia poniżej.
Dostępne tylko dla zarejestrowanych użytkowników

Jeżeli otrzymasz to ostrzeżenie, należy kliknąć na przycisk "Uruchom/Run", aby kontynuować uruchamianie "Anti-Downadup" na komputerze. Jeśli nie otrzymasz ostrzeżenia, nastąpi uruchamianie "Anti-Downadup".

10. Teraz zobaczysz ekran z monitem rozpoczęcia skanowania lub zamknięcia otwartego programu.
Dostępne tylko dla zarejestrowanych użytkowników

Proszę kliknąć na przycisk "Start", aby program rozpoczał skanowanie w celu wykrycia i usunięcia "Conficker/Downadup".

11) Anti-Downadup rozpocznie skanowanie komputera, by ustalić, czy jest zakażenie, jak pokazano poniżej.
Dostępne tylko dla zarejestrowanych użytkowników

Ten proces może potrwać 10 minut, więc proszę o cierpliwość.
Jeśli komputer okaże się czysty, to można zamknąć program.
W przeciwnym wypadku kontynuować.

12) "Anti-Downadup" po zakończeniu skanowania komputera będzie monitował o ponowne uruchomienie komputera, aby dokończyć proces czyszczenia.
Dostępne tylko dla zarejestrowanych użytkowników

Naciśnij "Tak", aby zezwolić na restart komputera. Jeśli nie uruchomisz ponownie komputer, pojawi się w lewo na niebieskim ekranie jako Explorer zostało zakończone w trakcie procesu oczyszczania.

13) Gdy komputer zrestartuje system, to nie będzie już "Conficker/Downadup" na komputerze.
Aby zobaczyć raport usunięcia, można otworzyć C: \ Win32.Worm.Downladup.Gen.log w Notatniku.

*****************************************************************************
Choć infekcja jest teraz usunięta z komputera, musimy upewnić się, że nie zostaniesz ponownie zainfekowany. Powinieneś już mieć zainstalowaną łatkę Systemu Windows "MS08-067" ;", dzięki temu infekcja nie będzie mogła wykorzystać braku tej łatki.
Ta infekcja, chociaż może zarazić poprzez sieć wspóldzieloną, to również poprzez pamięć przenośną. Więc proszę zbadać komputer każdą sieć współdzieloną i wyłączyć wszystkie, które nie są niezbędne.

Następnym krokiem jest wyłączenie "Autorun" na komputerze. Autouruchamianie to funkcja, która pozwala na automatyczne uruchomienie plików wykonywalnych po włożeniu nośników takich jak płyty CD / DVD, Flash Drive, lub innego urządzenia USB.
Jeśli "Autouruchamianie" jest aktywne, to ryzyko infekcji jest większe, ze względu na fakt, że wirus może rozprzestrzeniać się za pomocą nośników. Na przykład, jeśli był stosowany Twój dysk flash na komputerze zakażonym nośnikiem robaka,to Twój dysk flash zostanie zainfekowany. Jśli potem użyjesz tego zainfekowanego pena na komputerze, który ma aktywne Autouruchamianie, to infekcja natychmiast przejdzie z pena na komputer.
Jak widać, wyłączenie Autouruchamianie jest ważnym krokiem dla bezpieczeństwa komputera.
Pamiętaj, że jeśli wyłączysz tę funkcję, a następnie w jakiejś chwili wprowadzisz nośniki, w tym płyty CD lub DVD, nie będą się one automatycznie otwierać lub uruchomiać. Zamiast tego należy otworzyć "Mój komputer" i kliknąć prawym przyciskiem myszy na literkę odpowiedniego napędu i wybierz "Eksploruj" lub "Odtwórz" w celu uzyskania dostępu do zawartości mediów.

Jeśli wolisz bezpieczeństwo ponad wygody zrób to:
Do Notatnika wklej:

Kod: Zaznacz cały

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>
plik uruchom
(dwuklik i OK).
Zrestartuj komputer.
Teraz autouruchamianie jest wyłączone.

Gratulacje! Komputer powinien być teraz wolny od Conficker/Downadup i i nie będzie narażony na infekcję tego złośliwego oprogramowania.


*********************************************************************************************
Usuwanie tradycyjne:
1)
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion >
>zaznacz: Svchost >
>w okienku po prawej zaznacz: NetSvcs>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy wyszukaj i zaznacz: "vsacz"=>>prawoklik>>usuń >OK
>zwiń ten klucz, klikając na (-).

Uwaga: zamiast "vsacz" należy wpisać nazwę z konkretnego komputera, widzianą w logu ComboFixa w tych wpisach:
S2 vsacz;Shell Boot;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
vsacz


2) Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\mvbghzrt.dll
c:\RECYCLER\S-x-x-x-xxx-xxx-xxx-x\<przypadkowe literki>.dll

Folder::
c:\RECYCLER

Driver::
vsacz

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsacz]


Uwaga: Zamiast "mvbghzrt" i "vsacz"wpisać nazwy pliku i usługi widziane w logu w tym wpisie:
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsacz]
"ServiceDll"="c:\windows\system32\mvbghzrt.dll"

Zamiast "c:\RECYCLER\S-x-x-x-xxx-xxx-xxx-x\<przypadkowe literki>.dll" wpisać ścieżkę widzianą w logu w tym wpisie:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f771265e-5e70-11dd-a0ca-0015f25e5599}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Obrazek
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania na Forum.
Zamiast Scriptu można stosować Avengera.

Przypominam, że usuwanie tradycyjne stosować tylko w ostateczności, to znaczy tylko wtedy, gdy "BitDefender's Anti-Downadup" (lub inne narzędzia) nie dadzą rady usunąć infekcji.

F.

// Całe Forum hotfix dziękuje za tą wyczerpującą instrukcję usuwania wirusa "Confickera".
// Przyklejam
// djarta


  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 10 gości