Удаление с зараженной машины worm DOWNAD (kido)

Оcтанавливаем  службу сервера "sc stop lanmanserver" или по методике в самой статье (через управление службами)

Останавливаем службу  планировщика заданий "sc stop schedule".
Отключаем запуск службы планировщика заданий regedit —> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start параметр Start=4,

clip_image001

закрываем редактор реестра и после этого обязательно перезагружаемся.
4. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт (на английском языке):  
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен. Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства. После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf.  
Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.  
Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями.  
5. Найдите и выберите следующий подраздел реестра:  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost  
В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.  
Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "wdlsct". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.  Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

Внимание стандартно последний параметр в этом ключе: WmdmPmSN

clip_image002
6. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать.  
Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.  
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.  
В диалоговом окне Дополнительно нажмите кнопку Добавить.  
В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение "Все" и выберите команду Проверить имена.  Нажмите кнопку ОК.  
В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.  
Дважды нажмите кнопку ОК.  
На запрос системы безопасности ответьте Да.  
Нажмите кнопку ОК.  
При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "wdlsct". С учетом этого выполните указанные ниже действия.  
В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wdlsct
В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.  
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.  
В диалоговом окне Дополнительные параметры безопасности установите флажки:
Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам
Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже.  
Дважды щелкните параметр ServiceDll.  
Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:  
%SystemRoot%\System32\emzlqqd.dll.  
Измените ссылку, чтобы она выглядела следующим образом:  
%SystemRoot%\System32\emzlqqd.old
Нажмите кнопку ОК.  
7. Удалите запись вредоносной службы из подраздела реестра Run. В редакторе реестра найдите и выберите следующие подразделы:  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В обоих подразделах найдите параметр, имя которого начинается с "rundll32.exe", обращающийся к вредоносной библиотеке DLL, которая загружается как "ServiceDll", обнаруженной в действии 6. Удалите параметр.  
Закройте редактор реестра и перезагрузите компьютер.  
Это самое главное, все остальное в приведенной статье….
После очистки включить назад  службу сервера "sc start lanmanserver"
Восстановите разрешения по умолчанию для раздела реестра SVCHOST.  
Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (SCCM) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или диспетчера SCCM необходимо сначала включить службу сервера. В противном случае, возможно, не удастся выполнить обновление системы с их помощью.  
Здесь уже только мои дополнения …
Кроме того находим и удаляем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_wdlsct
clip_image003
Повторяем шаги 5 и 7 для всех ControlSet001 (ControlSet002 и т.д.)
Приведенная методика не является догмой, возможны решения и получше
командная строка "dir %systemroot%system32 /A:H" -  dll которая имеет скрытое имя и выглядит странно  (обычно смесь букв) это он и есть (к примеру ghbvd.dll) 
Поскольку как показывает практика "на антивирусы надейся, а сам не плошай", а вирус кидо ещё тот случай.

Вы можете оставить комментарий, или Трекбэк с вашего сайта.

Оставить комментарий

Разработка NewWpThemes.com  |  WordPress шаблоны