Удаление вредоноса Conficker, он же Downup, он же Downadup, он же Kido...

Об этой вредятине я совсем недавно писал. Самый заметный симтом заражения — резидентный антивирус находит угрозы на любой вставляемой флешке. Это потому, что Conficker успевает мгновенно заразить ее. Ну, и увеличение трафика, то есть тормоза Инета.


Избавление от этой заразы — дело не совсем обычное. Она, кроме всего прочего, является еще и руткитом. Некоторые ее «штаммы» обычному антивирусу недоступны. Если в системе не хватает некоторых обновлений, вирус будет клонировать одни свои копии как раз во время удаления других. Спецсредства для уничтожения Conficker есть. Причем давно.

Понадобится выход в Сеть с незараженного компьютера. Conficker часто блокирует сайты, необходимые для его искоренения.

Сначала надо скачать вот эти три обновления Windows. www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx, www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx, www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx. Надо выбрать версию и язык Винды. Еще нужен файл KK.zip с этой страницы support.kaspersky.ru/faq/?qid=208638929. Там есть и инструкции, но они расширенные, по неопытности можно запутаться. А еще в них нет одного нюанса.

Загружаемся под администратором и ставим три обновления. Распаковываем KK.zip в корень какого-нибудь диска, например прямо на диск D, чтобы на нем появился файл KK.exe. Каспер предлагает запустить этот файл, отключив резидентный антивирь. Этого не всегда достаточно. Лучше загрузиться в режиме командной строки. Как это сделать, писал здесь.  Если файл на диске D, в строке пишем D:\kk.exe и жмем Enter. Когда утилька закончит работу, можно перегружаться в привычном режиме. Все, Conficker мертв! Установленные системные обновления и нормально работающая резидентная защита не дадут его братцам-уродцам пролезть в компьютер. Но расслабляться рано! Он-то мертв, а другая зараза могла остаться.

За время своего хозяйничания зараза могла повредить системные файлы. Стоит поизвести их восстановление. Причем, вредоносина настолько подлая, что восстановление может понадобиться и после следующей проверки на оставшиеся непорядки.

Так как Conficker блокировал обновления антивируса, за время его присутствия в системе могло накопиться всяких мутантов. Поэтому советую сразу же качнуть Cureit (доступ к сайтам антивирей-то прорезался) и прогнать им систему. На время проверки Инет лучше отключить, так как долгожданный доступ к обновлениям появился и у Винды, и в самый интересный момент она может сильно загрузить этим делом комп. Кстати, если по каким-то причинам принято обновлять Винду локально (например, провайдер раздает обновки от себя, чтобы разгрузить внешний канал), лучше сразу же подстроиться соответственно. После первой проверки лучше сразу обновить Винду. А потом — и базы резидентного антивируса.


Возможно, стоит вообще обновить антивирус. Как удалять старый — писал здесь. Затрудняющимся с выбором нового могу посоветовать avast! Free Antivirus 6.  Обновлениями он снабжается теми же, что и его платные братишки, в пользовании проще, устанавливается с оптимальными параметрами.
Обсудить у себя 1
Комментарии (22)
Да, сложновато самоучке.
Само удаление Conficker сводится к скачиванию четырех фалов. Три из них запускаются обычно, один в режиме командной строки. Потом — обычная чистка. Ее стоит делать регулярно. Не считая установки резидента. Его вообще-то на новую систему первым делом ставят. Самоучка… А кто моего возраста не самоучка?
Боязно как-то лезть в эти потроха, но, чувствую придётся.Что-то тупит последнее время, зависать стал не по теме…
Тут проблема коплексная. Если Винда дорога настройками — то и чистить комплексно. Если ничего особенного — то проще переустановить и беречь снову и смолоду.
А с инета винду не скачаешь?
Сложный вопрос. Скачать-то можно, а вот лицензировать… Многие пользуются сборками Chip, SamLab, Philka… Но это типа использование чужой вещи в ознакомительных целях. Да и сборки — не совсем Винда от Мелкософт. И качать с торрентов. А вот если есть лицензия (наклейка на корпус, типа) — можно взять такую же Винду и пользовать со своей лицензией.
Ясно, а вот принёс малой винду на диске, хотел на свой комп установить, а она, зараза требует коды доступа, где взять? Наклейки нет.
Диск оригинальный? Золотого цвета? Тогда серийник можно взять там же, где диск взяли. Если диск с толкучки, типа Винда и много софта, то такая Винда вообще не нужна.
По-моему, копия, понятно--нахер её, больше проблем потом.
Ну, копия копии рознь. Полная копия оригинального диска — ничем не хуже оригинального диска.
Винда--8-я, до этого малый ставил 5-ю--без проблем встала, а эта требует пароль.
Винда 8 — это восьмерка, которая только бета вышла? Оно для работы негодное. Яшка ваш письма со ссылками вроде не пропускает. В личку ссылки нормально пришли?
Да пока не вижу сообщений ни в мыле ни в личке.
Комментарий был удален
Можно убирать, спасибо.
Пока не за что, пока оно еще не установилось. Удачи в нелегком деле
Пока не за что, пока не установилось. Удачи!
Всё, встала, просканировала, нашла и убила 2 трояна, хотя до этого был сканер нод32--ничего не нашёл, докладывал, что система в порядке.
Гы… Значит такой NOD был. Нода бесплатного не бывает. А использовать для защиты от вирусов то, что украдено юными кулхацкерами и неизвестно как распространяется, не стоит. Особенно, когда есть официальные бесплатные средства от уважаемых производителей.
Теперь, вроде, порядок.А нод пробник был.
Порядок — это хорошо! Пробничек Нодовский где-то через меняц в режим ИБД переходит.
А! Всё-равно не справился! А этот молодец!
Чтобы комментировать надо зарегистрироваться или если вы уже регистрировались войти в свой аккаунт.