清除Conficker蠕虫病毒详细步骤

执行完整的系统扫描。

如果发现有任何文件，按照指示显示您的防病毒程序。

       重要提示：如果您无法启动赛门铁克防病毒产品或产品报告说，它不能删除检测文件，您可能需要停止运行的风险，以将其删除。 要做到这一点，运行在安全模式下扫描。 如需指示，阅读文件， 如何启动电脑在安全模式 。 当你重新启动在安全模式下运行扫描一次。


        在文件被删除，重新启动计算机以正常模式和进行下一节。

       警告消息:可能会显示计算机重新启动后，由于威胁可能无法完全删除了这一点。 您可以忽略这些信息，然后单击确定。 这些邮件也不会出现在计算机重新启动后删除说明已全部完成。 邮件可能会显示类似如下：

       标题： [文件路径]
       邮件正文： Windows无法找到[文件名] 。 请确保您键入的名称是否正确，然后再试一次。要搜索一个文件，单击开始按钮，然后单击搜索。

       4. 4 。 删除该值从注册表
        重要提示：赛门铁克强烈建议您备份注册表之前，任何变化。不正确修改注册表可能会导致永久性的数据丢失或损坏的文件。 修改指定的子项只。 有关说明请参阅文件： 如何备份Windows注册表 。

1. .单击开始> “运行 。
2. 键入 regedit
3. 单击确定。
   
   注意：如果注册表编辑器无法打开的威胁可能已经修改了注册表，阻止访问注册表编辑器。 安全响应中心已经开发了一种工具来解决这一问题。 下载并运行此工具 ，然后继续拆除。
4. 导入到并删除以下注册表项：
5. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[蠕虫路径]"
6. 退出注册表编辑器。
   
   注意：如果创建或修改了危险的注册表子项或项HKEY_CURRENT_USER下，很可能造成他们的每个用户的计算机。 为了确保所有的注册表子项或条目被删除或恢复，请使用每个用户帐户和检查任何HKEY_CURRENT_USER上面列出的项目。

Conficker蠕虫分析

autorun.inf执行安装后
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:C:\WINDOWS\System32\RUNDLL32.EXE
命令行:setupapi,InstallHinfSection DefaultInstall 132 C:\autorun.inf

添加启动项:
"随机名称"
值: "rundll32.exe 系统文件夹\*dll,参数>"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

此DLL自己还可能多个启动项:
1.svchost启动netsvcs 组时
2.HKLM\SYSTEM\CurrentControlSet\Services下
这个DLL加了权限,要解除权限再删除

以下目录也可能有病毒文件,启动参数一致
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker
toolbar
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Shell Browser\*
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer\*

替换HKLM\SYSTEM\CurrentControlSet\Services的存取权限，同时修改Access Control List,只能允许本地帐号存取

以下服务被禁用或启动失败:
Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services
修改注册表项
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"

感染移动存储设备
包括了 ?:\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\随机名.dll

(形如RECYCLER\S-5-3-42-2819952270-8240756944-879315005-2883)

重置系统还原点，可能具有的执行名称(两两组合,或者和随机字符串组合):
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

包含下列文字的网站或者更新服务都会失效,删除启动项:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

检测弱口令,远程创建计划任务: rundll32.exe *.dll 参数

自此，Conficker蠕虫清除基本查杀完毕