Arresto della diffusione di Conficker mediante l'impiego di criteri di gruppo Note * La procedura non consente di rimuovere il malware Conficker dal sistema, ma solo di arrestarne la diffusione. Per rimuovere il malware Conficker dal sistema, è necessario utilizzare un prodotto antivirus oppure seguire la procedura indicata nella sezione "Procedura manuale per la rimozione della variante Conficker.b " di questa Knowledge Base. * Leggere con attenzione la nota relativa al passaggio 4 della procedura. Creare un nuovo criterio da applicare a tutti i computer in una unità organizzativa specifica, in un sito o in un dominio in base alle esigenze dell'ambiente. A questo scopo, attenersi alla seguente procedura: 1. Impostare il criterio per rimuovere le autorizzazioni scritte dalla seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost In questo modo è possibile prevenire la creazione del servizio malware denominato in modo casuale nel valore del Registro di sistema netsvcs. A questo scopo, attenersi alla seguente procedura: 1. Aprire la Console di gestione per Criteri di gruppo (GPMC). 2. Creare un nuovo oggetto Criteri di gruppo (GPO). Fornire un nome. 3. Aprire il nuovo GPO, quindi spostarlo nella cartella seguente: Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Registro di sistema 4. Fare clic con il pulsante destro del mouse su Registro di sistema e scegliere Aggiungi chiave. 5. Nella finestra di dialogo Selezione chiave del Registro di sistema, espandere Automatico, quindi andare alla cartella seguente: Software\Microsoft\Windows NT\CurrentVersion\Svchost 6. Scegliere OK. 7. Nella finestra di dialogo che viene visualizzata, deselezionare la casella di controllo Controllo completo per Amministratori e Sistema. 8. Scegliere OK. 9. Nella finestra di dialogo Aggiungi oggetto, fare clic su Sostituisci le autorizzazioni per le sottochiavi esistenti. 10. Scegliere OK. 2. Impostare il criterio per rimuovere le autorizzazioni scritte dalla cartella %windir%\tasks. Questa operazione impedisce la creazione da parte del malware Conficker di attività pianificate che potrebbero infettare nuovamente il sistema. A questo scopo, attenersi alla seguente procedura: 1. Nello stesso GPO precedentemente creato, andare alla seguente cartella: Configurazione computer\Impostazioni di Windows\Impostazioni protezione\File System 2. Fare clic con il pulsante destro del mouse su File System, quindi su Aggiungi file. 3. Nella finestra di dialogo Aggiunge un file o una cartella, passare alla cartella %windir%\Attività. Accertarsi che Attività sia evidenziato ed elencato nella finestra di dialogo Cartella:. 4. Scegliere OK. 5. Nella finestra di dialogo che viene aperta, fare clic per deselezionare le caselle di controllo relative a Controllo completo, Modifica e Scrittura sia per gli Amministratori che per il Sistema. 6. Scegliere OK. 7. Nella finestra di dialogo Aggiungi oggetto, fare clic su Sostituisci le autorizzazioni per le sottochiavi esistenti. 8. Scegliere OK. 3. Disattivare le funzioni di riproduzione ed esecuzione automatica. In questo modo è possibile impedire la diffusione del malware Conficker utilizzando le funzioni di riproduzione automatica di Windows. A questo scopo, attenersi alla seguente procedura: 1. Nello stesso GPO precedentemente creato, andare a una delle seguenti cartelle: * per un dominio Windows Server 2003, andare alla cartella: Configurazione computer\Modelli amministrativi\Sistema * per un dominio Windows 2008, andare alla cartella: Configurazione computer\Modelli amministrativi\Componenti di Windows\Criteri di Autoplay 2. Aprire il criterio Disattiva Autoplay. 3. Nella finestra di dialogo Disattiva Autoplay, fare clic su Attiva. 4. Nel menu a discesa, fare clic su Tutte le unità. 5. Scegliere OK. 4. Disattivare l'account dell'amministratore locale. In questo modo è possibile impedire al malware Conficker di utilizzare un attacco massiccio con password contro l'account dell'amministratore nel sistema. Nota Non eseguire questo passaggio se il GPO viene collegato all'unità operativa del controller poiché l'account dell'amministratore di dominio potrebbe essere disattivato. Se è necessario eseguire tale operazione nei controller di dominio, creare un GPO distinto, non collegato all'unità operativa del controller di dominio, quindi collegare il GPO distinto all'unità operativa del controller di dominio. A questo scopo, attenersi alla seguente procedura: 1. Nello stesso GPO precedentemente creato, andare alla seguente cartella: Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione 2. Aprire Account: stato account Administrator. 3. Nella finestra di dialogo Account: stato account Administrator, fare clic per selezionare la casella di controllo Definisci il criterio. 4. Scegliere Disabilitato. 5. Scegliere OK. 5. Chiudere la console Gestione criteri di gruppo. 6. Collegare il nuovo GPO alla posizione a cui si desidera applicarlo. 7. Concedere il tempo necessario per l'aggiornamento del criterio di gruppo a tutti i computer. In genere, sono necessari 5 minuti affinché la replica del criterio di gruppo esegua una replica a ogni controller di dominio e 90 minuti per la replica ai sistemi restanti. Due ore potrebbero essere sufficienti. Tuttavia, potrebbe essere necessario più tempo in base all'ambiente. 8. Dopo la propagazione del criterio di gruppo, eliminare il malware dal sistema. A questo scopo, attenersi alla seguente procedura: 1. Eseguire un'analisi antivirus completa su tutti i computer. 2. Se il software antivirus non rileva Conficker, è possibile utilizzare lo strumento di rimozione malware per eliminare il malware. Per ulteriori informazioni, visitare la seguente pagina Web Microsoft: http://www.microsoft.com/italy/security/malwareremove/default.mspx (http://www.microsoft.com/italy/security/malwareremove/default.mspx) Nota Potrebbe essere necessario eseguire procedure manuali per eliminare tutti gli effetti del malware. Per eliminare tutti gli effetti del malware, seguire i passaggi indicati nella sezione "Procedura manuale per la rimozione della variante Conficker.b" di questa Knowledge Base. Torna all'inizio Ripristino Esecuzione dello Strumento di rimozione malware Microsoft Malware Protection Ce... Esecuzione dello Strumento di rimozione malware Microsoft Malware Protection Center ha aggiornato lo Strumento di rimozione malware. Si tratta di un file binario autonomo utile nella rimozione di software dannoso prevalente e che è in grado di rimuovere la famiglia di malware Win32/Conficker. È possibile scaricare lo Strumento di rimozione malware dai seguenti siti Web Microsoft: http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=it-it (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=it-it) http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830) Per ulteriori informazioni sui dettagli per la distribuzione dello Strumento di rimozione malware, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: 891716 (http://support.microsoft.com/kb/891716/ ) Distribuzione dello strumento di rimozione malware per Microsoft Windows in ambiente aziendale Nota Anche lo Strumento autonomo pulizia sistema è in grado di rimuovere questa infezione. Questo strumento è disponibile come componente del Microsoft Desktop Optimization Pack 6.0 o tramite il Servizio Supporto Tecnico Clienti Microsoft. Per ottenere il Microsoft Desktop Optimization Pack, visitare il seguente sito Web Microsoft: http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx (http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx) Se nel sistema sono in esecuzione Windows Live OneCare o Microsoft Forefront Client Security, anche tali programmi sono in grado di bloccare la minaccia prima che venga installata. Torna all'inizio Procedura manuale per la rimozione della variante Conficker.b Con la seguente procedura dettagliata è possibile rimuovere manualmente Conficker.b da un sistema: 1. Accedere al sistema utilizzando un account locale. Importante Non accedere al sistema utilizzando un account di dominio, se possibile. In particolare, non accedere utilizzando un account di amministratore di dominio. Il malware impersona l'utente che ha eseguito l'accesso e accede alle risorse di rete utilizzando le credenziali dell'utente che ha eseguito l'accesso. Questo comportamento consente al malware di diffondersi. 2. Arrestare il servizio Server. Ciò consente di rimuovere le condivisioni ADMIN dal sistema affinché il malware non possa diffondersi in questo modo. Nota Il servizio Server deve essere disattivato solo temporaneamente mentre si rimuove il malware dall'ambiente. Ciò vale soprattutto per i server di produzione in quanto tale operazione incide sulla disponibilità delle risorse di rete. Non appena l'ambiente è stato ripulito, il servizio Server può essere riattivato. Per arrestare il servizio Server, utilizzare lo snap-in Servizi di Microsoft Management Console (MMC). A questo scopo, attenersi alla seguente procedura: 1. A seconda del sistema in uso, effettuare quanto segue: * In Windows Vista e Windows Server 2008 fare clic sul pulsante Start, digitare services.msc nella casella Inizia ricerca, quindi fare clic su services.msc nell'elenco Programmi. * In Windows 2000, Windows XP e Windows Server 2003 fare clic sul pulsante Start, scegliere Esegui, digitare services.msc, quindi scegliere OK. 2. Fare doppio clic su Server. 3. Scegliere Arresta. 4. Nella casella Tipo di avvio selezionare Disabilitato. 5. Scegliere Applica. 3. Rimuovere tutte le attività pianificate create da AT. A tal fine, digitare AT/Delete/Yes al prompt dei comandi. 4. Arrestare il servizio Utilità di pianificazione. * Per arrestare il servizio Utilità di pianificazione in Windows 2000, Windows XP e Windows Server 2003, utilizzare lo snap-in Servizi di Microsoft Management Console (MMC) o l'utilità SC.exe. * Per arrestare il servizio Utilità di pianificazione in Windows Vista o in Windows Server 2008, attenersi alla procedura riportata di seguito. Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: 322756 (http://support.microsoft.com/kb/322756/ ) HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XP 1. Fare clic sul pulsante Start, digitare regedit nella casella Inizia ricerca, quindi fare clic su regedit.exe nell'elenco Programmi. 2. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule 3. Nel riquadro destro fare clic con il pulsante destro del mouse sulla voce DWORD Start, quindi scegliere Modifica. 4. Nella casella Dati valore digitare 4, quindi scegliere OK. 5. Chiudere l'editor del Registro di sistema e riavviare il computer. 5. Scaricare e installare manualmente l'aggiornamento della protezione 958644 (MS08-067). Per ulteriori informazioni, visitare il seguente sito Web Microsoft: http://www.microsoft.com/italy/technet/security/bulletin/ms08-067.mspx (http://www.microsoft.com/italy/technet/security/bulletin/ms08-067.mspx) Nota Questo sito potrebbe essere bloccato a causa dell'infezione dovuta al malware. In tal caso è necessario scaricare l'aggiornamento da un computer non infetto e quindi trasferire il file dell'aggiornamento sul sistema infetto. È consigliabile masterizzare l'aggiornamento su un CD in quanto i CD masterizzati non sono scrivibili e pertanto non possono essere infettati. Se non è disponibile un'unità per la masterizzazione di CD, il solo modo per copiare l'aggiornamento sul sistema infetto può essere l'utilizzo di un'unità di memoria USB rimovibile. Se si utilizza un'unità rimovibile, considerare la possibilità che il malware la infetti con un file Autorun.inf. Dopo avere copiato l'aggiornamento sull'unità rimovibile, mettere quest'ultima in modalità di sola lettura qualora tale opzione sia disponibile. In genere, se disponibile, la modalità di sola lettura viene attivata utilizzando un interruttore fisico presente sul dispositivo. Quindi, dopo avere copiato il file dell'aggiornamento sul computer infetto, controllare l'unità rimovibile per vedere se vi è stato scritto un file Autorun.inf. In caso affermativo, rinominare il file Autorun.inf con un nome diverso, ad esempio Autorun.bad, in modo che non possa essere eseguito quando l'unità rimovibile verrà connessa a un computer. 6. Reimpostare le password di amministratore locale e amministratore di dominio sostituendole con una nuova password complessa. Per ulteriori informazioni, visitare il seguente sito Web Microsoft: http://technet.microsoft.com/it-it/library/cc875814.aspx (http://technet.microsoft.com/it-it/library/cc875814.aspx) 7. Nell'editor del Registro di sistema individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 8. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sulla voce netsvcs, quindi scegliere Modifica. 9. Scorrere l'elenco fino alla fine. Se il computer è infettato da Conficker.b, è presente un nome di servizio casuale. In questa procedura, ad esempio, si presuppone che il nome del servizio malware sia "gzqmiijz". Prendere nota del nome del servizio malware. Tale informazione sarà necessaria nel prosieguo della procedura. 10. Eliminare la riga contenente il riferimento al servizio malware. Assicurarsi di lasciare un avanzamento riga vuoto dopo l'ultima voce valida, quindi fare clic su OK. Nota Tutte le voci incluse nell'elenco seguente sono valide. Non eliminare alcuna di tali voci. La voce da eliminare è costituita da un nome generato casualmente che si trova in fondo all'elenco. AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg 11. Limitare le autorizzazione per la chiave SVCHOST del Registro di sistema in modo che non possa essere nuovamente scritta. Per effettuare questa operazione, attenersi alla procedura descritta di seguito. Note * Occorre ripristinare le autorizzazioni predefinite dopo che l'ambiente è stato interamente ripulito. * In Windows 2000 è necessario utilizzare Regedt32 per impostare le autorizzazioni del Registro di sistema. 1. Nell'editor del Registro di sistema individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 2. Fare clic con il pulsante destro del mouse sulla sottochiave Svchost, quindi scegliere Autorizzazioni. 3. Nella finestra di dialogo Autorizzazioni per SvcHost fare clic su Avanzate. 4. Nella finestra di dialogo Avanzate scegliere Aggiungi. 5. Nella finestra di dialogo Seleziona utenti, computer o gruppi digitare everyone, quindi scegliere Controlla nomi. 6. Scegliere OK. 7. Nella finestra di dialogo Autorizzazioni per SvcHost selezionare Solo questa chiave nell'elenco Applica a, quindi selezionare la casella di controllo Nega relativa all'autorizzazione Impostazione valore. 8. Scegliere OK due volte. 9. Scegliere Sì quando viene visualizzato l'avviso di protezione. 10. Scegliere OK. 12. In una procedura precedente si era presa nota del nome del servizio malware. Ricorrendo all'esempio precedente, il nome del malware era "gzqmiijz". Utilizzando questa informazione attenersi alla procedura seguente: 1. Nell'editor del Registro di sistema Individuare e fare clic sulla seguente sottochiave del Registro di sistema, dove NomeServizioMalware sta per il nome del servizio malware: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Ad esempio, individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz 2. Fare clic con il pulsante destro del mouse sulla sottochiave nel riquadro di spostamento relativo al nome del servizio malware, quindi scegliere Autorizzazioni. 3. Nella finestra di dialogo Autorizzazioni per SvcHost fare clic su Avanzate. 4. Nella finestra di dialogo Impostazioni di protezione avanzate selezionare entrambe le seguenti caselle di controllo: Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto e a tutti gli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate. Sostituisci le autorizzazioni su tutti gli oggetti figlio con le autorizzazioni appropriate qui specificate 13. Premere F5 per aggiornare l'editor del Registro di sistema. Nel riquadro dei dettagli è possibile visualizzare e modificare la DLL del malware che viene caricata come "ServiceDll". A tale scopo, attenersi alla procedura seguente: 1. Fare doppio clic sulla voce ServiceDll. 2. Prendere nota del percorso della DLL di riferimento. Tale informazione sarà necessaria nel prosieguo della procedura. Ad esempio, il percorso della DLL di riferimento potrebbe essere simile al seguente: %SystemRoot%\System32\emzlqqd.dll Rinominare il riferimento affinché sia simile al seguente: %SystemRoot%\System32\emzlqqd.old 3. Scegliere OK. 14. Rimuovere la voce del servizio malware dalla sottochiave Run del Registro di sistema. 1. Nell'editor del Registro di sistema individuare e selezionare le seguenti sottochiavi del Registro di sistema: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 2. In entrambe le sottochiavi individuare qualsiasi voce che inizi con "rundll32.exe" e faccia riferimento alla DDL malware che viene caricata come "ServiceDll" identificata nel passaggio 13b. Eliminare la voce. 3. Chiudere l'editor del Registro di sistema e riavviare il computer. 15. Verificare la presenza di file Autorun.inf nelle unità del sistema. Utilizzare Blocco note per aprire ciascun file, quindi verificare che si tratti di un file Autorun.inf valido. Di seguito è riportato un esempio di un tipico file Autorun.inf valido: [autorun] shellexecute=Servers\splash.hta *DVD* icon=Servers\autorun.ico Un file Autorun.inf valido in genere ha le dimensioni di 1 o 2 kilobyte (KB). 16. Eliminare eventuali file Autorun.inf che non sembrano validi. 17. Riavviare il computer. 18. Rendere visibili i file nascosti. A questo scopo digitare il seguente comando al prompt dei comandi: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL/v CheckedValue/t REG_DWORD/d 0x1/f 19. Impostare Visualizza cartelle e file nascosti così da poter vedere il file. A questo scopo, attenersi alla seguente procedura: 1. Nel passaggio 13b è stata presa nota del percorso del file DLL di riferimento del malware. Ad esempio, viene indicato un percorso analogo al seguente: %systemroot%\System32\emzlqqd.dll In Windows Explorer, aprire la directory %systemroot%\System32 o la directory contenente il malware. 2. Fare clic su Strumenti e scegliere Opzioni cartella. 3. Fare clic sulla scheda Visualizzazione. 4. Selezionare la casella di controllo Visualizza cartelle e file nascosti. 5. Scegliere OK. 20. Selezionare il file DLL. 21. Modificare le autorizzazioni per il file al fine di aggiungere Controllo completo per Everyone. A questo scopo, attenersi alla seguente procedura: 1. Fare clic con il pulsante destro del mouse sul file DLL e scegliere Proprietà. 2. Fare clic sulla scheda Protezione. 3. Fare clic su Everyone, quindi selezionare la casella di controllo Controllo completo nella colonna Consenti. 4. Scegliere OK. 22. Eliminare il file DLL di riferimento del malware. Eliminare ad esempio il file %systemroot%\System32\emzlqqd.dll. 23. Attivare i servizi BITS, Aggiornamenti automatici, Servizio di segnalazione errori e Windows Defender utilizzando lo snap-in Servizi di Microsoft Management Console (MMC). 24. Disattivare l'esecuzione automatica per consentire la riduzione degli effetti di qualsiasi ulteriore infezione. A questo scopo, attenersi alla seguente procedura: 1. A seconda del sistema in uso, installare uno dei seguenti aggiornamenti: * Se si utilizza Windows 2000, Windows XP o Windows Server 2003, installare l'aggiornamento 953252. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: 953252 (http://support.microsoft.com/kb/953252/ ) Correzione dell'imposizione della disattivazione della chiave Autorun del Registro di sistema in Windows * Se si utilizza Windows Vista o Windows Server 2008, installare l'aggiornamento 950582. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: 950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: Possibile esecuzione di codice in modalità remota a causa di vulnerabilità in Esplora risorse Nota L'aggiornamento 953252 e l'aggiornamento della protezione 950582 non sono correlati al problema di questo malware. Tali aggiornamenti devono essere installati per consentire la funzione del Registro di sistema indicata al passaggio 24b. 2. Al prompt dei comandi digitare il seguente comando: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f 25. Se nel sistema è in esecuzione Windows Defender, riattivare il percorso di avvio automatico di Windows Defender. A questo scopo digitare il comando riportato di seguito al prompt dei comandi: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f 26. Nel caso di Windows Vista e dei sistemi operativi successivi, il malware disabilita l'impostazione globale relativa alla regolazione automatica della finestra di ricezione TCP. Per ripristinare tale impostazione, al prompt dei comandi digitare il comando seguente: netsh interface tcp set global autotuning=normal Se dopo avere completato questa procedura il computer sembra essere di nuovo infetto, potrebbe essersi verificata una delle seguenti condizioni: * Non è stato rimosso uno dei percorsi di avvio automatico. Ad esempio, non è stato rimosso il processo AT o un file Autorun.inf. * L'aggiornamento della protezione MS08-067 non è stato installato correttamente. Questo malware è in grado di modificare altre impostazioni non trattate nel presente articolo della Knowledge Base. Visitare la seguente pagina Web Microsoft Malware Protection Center per informazioni aggiornate sul worm Win32/Conficker.b: http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker) Torna all'inizio Verifica della pulizia del sistema Verificare che i seguenti servizi siano avviati: * Aggiornamenti automatici (wuauserv) * Servizio trasferimento intelligente in background (BITS) * Windows Defender (windefend) (se pertinente) * Servizio di segnalazione errori di Windows A questo scopo digitare i comandi riportati di seguito al prompt dei comandi. Premere INVIO dopo ogni comando: Sc.exe query wuauserv Sc.exe query bits Sc.exe query windefend Sc.exe query ersvc Dopo l'esecuzione di ciascun comando, verrà visualizzato un messaggio analogo al seguente: SERVICE_NAME: wuauserv TYPE : 20 WIN32_SHARE_PROCESS STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 In questo esempio, "STATE: 4 RUNNING" indica che il servizio è in esecuzione. Per verificare lo stato della sottochiave SvcHost del Registro di sistema, attenersi alla procedura seguente: 1. Nell'editor del Registro di sistema individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 2. Nel riquadro dei dettagli fare doppio clic su netsvcs, quindi esaminare i nomi dei servizi elencati. Scorrere l'elenco fino alla fine. Se il computer è di nuovo infettato da Conficker.b, è presente un nome di servizio casuale. In questa procedura, ad esempio, il nome del servizio malware è "gzqmiijz". Se la procedura descritta non consente di risolvere il problema, contattare il fornitore del software antivirus in uso. Per ulteriori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: 49500 (http://support.microsoft.com/kb/49500/ ) Elenco di fornitori di software antivirus Se non si ha un fornitore di software antivirus o se questi non è di aiuto, contattare il Servizio Supporto Tecnico Clienti Microsoft per maggiori informazioni. Torna all'inizio Operazioni successive alla totale pulitura dell'ambiente Dopo avere ripulito del tutto l'ambiente, effettuare le operazioni seguenti: * Riavviare il servizio Server. * Ripristinare le autorizzazioni predefinite per la chiave SVCHOST del Registro di sistema. * Aggiornare il computer installando gli eventuali aggiornamenti della protezione mancanti. A questo scopo utilizzare Windows Update, il server Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) o un prodotto di gestione degli aggiornamenti di terze parti. Se si utilizza SMS o SCCM, è prima necessario riattivare il servizio Server. In caso contrario, SMS o SCCM potrebbe non essere in grado di aggiornare il sistema.