Удаление вируса-червя Win32/Conficker представляет из себя достаточно сложную операцию, выполнение которой потребует достаточного опыта обращения с системой компьютера. В то же время эта процедура может быть осуществлена стандартными средствами операционной системы Windows и без привлечения дополнительного программного обеспечения сторонних разработчиков.
Инструкция
1. Нажмите кнопку «Пуск» для вызова главного меню системы и введите значение services.msc в поле «Начать поиск» для временного отключения службы сервера.
2. Укажите пункт services.msc в списке «Программы» и раскройте ссылку «Сервер» двойным кликом мыши.
3. Нажмите кнопку «Остановить» и укажите значение «Отключено» в поле «Тип запуска».
4. Нажмите кнопку «Применить» для подтверждения выполнения остановки службы серевера и вернитесь в главное меню «Пуск».
5. Перейдите в пункт «Выполнить» и введите значение AT/Delete/Yes в поле «Открыть» для удаления всех созданных заданий автозапуска.
6. Нажмите клавишу Enter для подтверждения применения выбранных изменений и вернитесь в утилиту командной строки.
7. Введите значение regedit в поле «открыть» и нажмите кнопку OK для выполнения операции остановки службы планировщика заданий.
8. Раскройте ветку реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesShedule и вызовите контекстное меню параметра Start в области сведений окна редактора реестра кликом правой кнопки мыши.
9. Перейдите в пункт «Изменить» и введите значение 4.
10. Нажмите кнопку OK для подтверждения применения выбранных изменений и перезагрузите компьютер.
11. Нажмите кнопку «Пуск» для вызова главного меню системы и перейдите в пункт «Выполнить» для инициации процедуры удаления Win32/Conficker вручную.
12. Введите значение regedit в поле «Открыть» и нажмите кнопку OK.
13. Раскройте ветку реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvcHost и вызовите контекстное меню параметра netsvcs кликом правой кнопки мыши.
14. Перейдите в пункт «Изменить» и удалите строку, содержащую имя вредоносной службы.
15. Нажмите кнопку OK для подтверждения выполнения команды и вернитесь в «Редактор реестра».
16. Раскройте ветку реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServices и найдите имя вредоносной службы, удаленной в предыдущем шаге.
17. Выделите раздел, содержащий искомую службу и вызовите контекстное меню кликом правой кнопки мыши на его поле.
18. Перейдите в пункт «Разрешения» и нажмите кнопку «Дополнительно» в диалоговом окне «Элементы разрешений для SvcHost».
19. Примените флажки на полях «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» и «Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам» в диалоговом окне «Дополнительные параметры безопасности».
20. Нажмите клавишу F5 для обновления записей редактора реестра и вернитесь в утилиту.
21. Раскройте ветку реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersinRun и удалите все параметры, начинающиеся на rundll32.exe в обоих подразделах окна приложения.
22. Проверьте все диски в системе на наличие файлов Autorun.inf и удалите все, допустимость которых вызывает сомнения.
23. Перезагрузите компьютер и вернитесь в инструмент командной строки.
24. Введите следующее значение:reg.exe addHKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL/v CheckedValue/t REG_DWORD /d 0x1 /fДалее нажмите клавишу Enter.
25. Укажите команду «Свойства папки» в меню «Сервис» и перейдите на вкладку «Вид».
26. Примените флажок на поле «Показывать скрытые файлы и папки» и нажмите кнопку OK.
27. Вернитесь в редактор реестра и вызовите контекстное меню вредоносного файла DLL, загружаемого как ServiceDLL в области сведений окна редактора реестра.
28. Укажите пункт «Свойства» и перейдите на вкладку «Безопасность».
29. Выберите пункт «Все» и примените флажок наполе «Полный доступ» в столбце «Разрешить».
30. Нажмите кнопку OK и удалите файл DLL, к которому обращается вредоносная программа.
31. Выполните включение фоновой интеллектуальной службы передачи (BITS), службы автоматического обновления, Защитник Windows и службы регистрации ошибок.
32. Вернитесь в инструмент командной строки и введите следующее значение:reg.exe addHKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer/v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /аДалее нажмите клавишу Enter для отключения автозапуска.
33. Введите значение netsh interface tcp set global autotuning=normal. Нажмите клавишу Enter для применения выбранных изменений.
34. Перезагрузите компьютер.