如果计算机感了此蠕虫.docVIP

/kb/962007/#Manualsteps 如果计算机感染了此蠕虫，您可能感觉不到任何症状，也可能会感觉到以下症状： 账户锁定策略失效。 自动更新、后台智能传送服务(BITS)、Windows Defender 和错误报告服务被禁用。 域控制器响应客户端请求的速度慢。 网络出现拥塞。 无法访问多个安全相关性网站。 很多与安全相关的工具将无法运行。有关已知工具的列表，请访问以下 Microsoft 网页，然后单击“分析”选项卡，了解有关 Win32/Conficker.D 的信息。有关详细信息，请访问以下 Microsoft 网页： HYPERLINK /security/portal/Entry.aspx?Name=Worm:Win32/Conficker.D/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D （英文网页） 有关 Win32/Conficker 的详细信息，请访问以下 Microsoft 恶意软件防护中心网页： HYPERLINK /security/portal/Entry.aspx?Name=Win32/Conficker/security/portal/Entry.aspx?Name=Win32/Conficker HYPERLINK \l top回到顶端 HYPERLINK javascript:void(0);传播方法 Win32/Conficker 有多种传播方法。这些方法包括： 攻击安全更新 958644 (MS08-067)修补的漏洞 使用网络共享 使用自动播放功能 因此，清理网络时必须小心，以便威胁不会再次引入到之前已清理的系统中。 注意：Win32/Conficker.D 变体不会通过网络传播到可移动驱动器或共享文件夹。Win32/Conficker.D 是由 Win32/Conficker 的以前变体安装的。 HYPERLINK \l top回到顶端 HYPERLINK javascript:void(0);防护措施 使用对所有计算机都唯一的强管理员密码。 不要使用域管理凭据或具有对所有计算机的访问权限的凭据登录到计算机。 确保所有系统都已应用最新的安全更新。 禁用自动播放功能。有关详细信息，请参阅“创建组策略对象”部分中的步骤 3。 删除过多的共享权限。包括删除对任何共享根目录的写入权限。 HYPERLINK \l top回到顶端 HYPERLINK javascript:void(0);缓解步骤 使用组策略设置阻止 Win32/Conficker 传播 注意 重要信息：请确保在进行本文中建议的任何更改之前记录所有当前设置。 此过程不会删除系统中的 Conficker 恶意软件，只能阻止恶意软件的传播。应使用防病毒产品删除系统中的 Conficker 恶意软件。也可以按照此知识库文章中的“HYPERLINK \l Manualsteps手动删除 Win32/Conficker 病毒的步骤”部分中的步骤操作，手动删除系统中的恶意软件。 完成以下步骤中建议的权限更改后，您可能无法正确安装应用程序、Service Pack 或其他更新。这包括（但不限于）使用 Windows Update、Microsoft Windows Server Update Services (WSUS) 服务器和系统中心配置管理器 (SCCM) 应用更新，因为这些产品依赖于自动更新的组件。请确保您在清理系统后将权限更改回默认设置。 有关“创建组策略对象”部分中提及的 SVCHOST 注册表项和任务文件夹的默认权限的信息，请参阅本文结尾处的HYPERLINK \l DPTable“默认权限表”。 HYPERLINK \l top回到顶端 创建组策略对象 根据环境要求，创建一个适用于特定组织单位 (OU)、站点或域中所有计算机的新组策略对象 (GPO)。 为此，请按照下列步骤操作： 设置用于删除对以下注册表子项的写入权限的策略： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 这将阻止在 netsvcs 注册表值中创建随机命名的恶意软件服务。 为此，请按照下列步骤操作： 打开组策略管理控制台 (GPMC)。 创建一个新的 GPO，并为其命名。 打开新的 GPO，然后转到以下文件夹： Computer Configuration\Windows Settings\Security Settings\Registry 右键单击“注册表”，然后单击“添加项”。 在“选择注册表项”对话框中，展开“计算机”，然后转到以下文件夹： Software\Mi