病毒Conficker(kido)的手动查杀方法

Peace

///////////////////////////////////////////////////////////////////////////////////////////////
文章名称：病毒Conficker(kido)的手动查杀方法
文章类型：手动查杀
编写作者：Coderui
编写日期：2009年04月01日
作者博客：http://hi.baidu.com/coderui
///////////////////////////////////////////////////////////////////////////////////////////////

手动查杀方法：

注意：操作前请先备份，以免误操作，给您带来不必要的损失。

一、杀死运行着的病毒活体：
1、使用进程查看器“Sysinternals Process Explorer”(如无法启动，则需要修改其文件名称，病毒可能会自动关闭该工具)，找到带“-k netsvcs”参数的进程“svchost.exe”的PID，并记录下。
2、使用“Wsyscheck”工具找到带“-k netsvcs”参数的进程“svchost.exe”，这里需要根据第一步的PID来确认对应的正确进程。然后右键选择[查看线程信息]功能，把两个(如果病毒运行过多次，可能会存在两个以上)模块名称为“?”的线程都结束掉。这样，病毒运行着的活体就被完全杀死了。

二、删除病毒在磁盘中的组件文件：
1、使用进程查看器“Sysinternals Process Explorer”，找到带“-k netsvcs”参数的进程“svchost.exe”，然后在这个进程中关闭掉病毒DLL组件文件(特征：“%SystemRoot%\system32\*.dll”，DLL文件名随机。进程“svchost.exe”一般不会打开系统盘下的DLL文件，如打开，一般都是可疑的。)的句柄。在关闭前先记录下病毒组件组件的名称，关闭后，需要去系统“%SystemRoot%\system32\”目录下将其手动删除。

三、删除病毒在系统中的启动项：
1、查看注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs”键的内容，找到“数值数据”列表中的最后一个值(是一个字符串形式的名称，如该值出现过多次，全部删除)，将其删除。同时，记录下这个值。
2、在注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”项下，找到上面记录的键值，将其连同子项全部删除。删除前需要先手动修改该项的操作权限，因为病毒将当前用户的操作权限给删除了，用户无法直接去编辑(读、写)改项。

四、在不重新启动计算机的情况下，病毒完全清除完毕。

Hmily

http://www.kaspersky.com.cn/Kido/index.htm

这是卡巴关于conficker的介绍~

smallyou93

微软：http://www.microsoft.com/securit ... Win32%2fConficker.E