Avant de commencer le nettoyage, assurez-vous qu’Avira a d’ores et déjà détecté le Conficker en tant que tel, c’est-à-dire qu’il a été reconnu avec le nom "Conficker" lors du contrôle. Dans le cas contraire, veuillez nous en informer, car il n’est pas possible de supprimer le ver sans sa déclaration comme "Conficker".

Exécutez les étapes suivantes :

1. Effectuez les étapes décrites à la section "Mesures préventives" du site Internet (vous pouvez ignorer ici l’étape 3 car elle est réalisée plus tard via un script, ainsi que l’étape 7 qui a lieu lors des autres étapes) :
2. Sur les serveurs :
   Téléchargez les fichiers suivants :
   • AV 10 Professional
   • Mises à jour manuelles
   • AV 10 Server
   • Pack de suppression du Conficker

   Patchs Microsoft :

   • http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
   • http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
   • http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
   
   2.1. Déconnectez les serveurs du réseau (physiquement, c’est-à-dire en débranchant le câble ou en désactivant le commutateur)
   
   2.2. Installez ensuite les patchs de Microsoft (si cela n’a pas déjà été fait)
   
   2.3. Désinstallez maintenant AV Server
   
   2.4. Installez AV 10 Professional et chargez manuellement les mises à jour via "Mise à jour" → "Mise à jour manuelle"
   
   2.5. Démarrez maintenant le serveur en mode sans échec et exécutez-y une analyse rootkits avec AntiVir 9 Professional. (Protection locale → Contrôle → Recherche de rootkits)
   
   2.6. Reconnectez le serveur au réseau
   
   2.7. En cas de nouvelle contamination, exécutez de nouveau le contrôle (avec AV 10 Server) et envoyez-nous ensuite les fichiers journaux :
   
   
   • Windows Server 2000/2003 : C:\Documents et paramètres\Tous les utilisateurs\Données d'application\Avira\AntiVir Server\logfiles
   • Windows 2008 Server : C:\Données programme\Avira\AntiVir Desktop\logfiles
     
     
3. Sur les clients :
   3.1. Installez les trois patchs sur tous les clients. Si vous n’installez pas les mises à jour sur tous les ordinateurs, il y a risque de réinfection. Sinon, vous pouvez charger les mises à jour via le Microsoft WSUS
   
   3.2. Désactivez la restauration du système Windows sur tous les clients
   
   3.3. Exécutez une mise à jour de l’IUM (le cas échéant) et de toutes les versions AntiVir présentes dans le réseau
   
   3.4. Ouvrez ensuite le SMC et cliquez sur l’environnement de sécurité par un clic droit. Sélectionnez "Installation" → "Produit" (AV 10 ou Server) → "Copier fichiers". Ajoutez les deux fichiers suivants :
   • Conficker_registry_fix.reg
   • conficker_reg.bat
   
   Il est important que vous ajoutiez tout d’abord le fichier Conficker_registry_fix.reg, et ensuite le fichier conficker_reg.bat. Activez l'option "Exécuter le fichier sélectionné une fois le processus de copie terminé" pour le fichier conficker_reg.bat.
   
   L’autodémarrage pour CD et clés USB est ainsi désactivé. Cette action est recommandée car le Conficker se propage par le biais de cette fonction.
   
   3.5. Redémarrez les ordinateurs
   
   3.6. Exécutez une tâche de configuration (clic droit de souris sur Environnement de sécurité → Configuration → Avira AntiVir Professional 9 → Configurer) sur les clients, qui règle automatiquement l’option "Action primaire = Réparer" et "Action secondaire= Renommer" pour le paramètre "Action en cas de résultat positif" du scanner.
   
   Vous garantissez ainsi qu’aucun utilisateur n’annule la suppression.
   
   3.7. Utilisez à nouveau la fonction "Copier fichier" (dans l’option "Avira AntiVir Professional 9") et copiez les deux fichiers suivants :
   
   
   • rootkit.avp
   • rootkit_scan.bat
   
   Copiez ici premièrement le fichier rootkit.avp, puis le fichier rootkit_scan.bat.. Exécutez à nouveau le fichier rootkit_scan.bat.
   
   L’analyse rootkits démarre ainsi et supprime les Conficker éventuellement déjà installés.
   
   3.8. Redémarrez les ordinateurs.
   
   3.9. Exécutez ensuite un contrôle "normal" sur tous les lecteurs locaux.
   
   3.10. Si vous constatez par la suite d’autres comportements virulents ou que l’analyse donne à nouveau un résultat positif, veuillez exécuter Avira AntiVir Supportcollector sur l’ordinateur et nous envoyer par email le fichier journal créé.
    

Il se peut par la suite que vous continuiez à recevoir des messages signalant des virus sur les clients. Ce phénomène peut durer jusqu’à ce que tous les Conficker actifs aient été supprimés sur l’ensemble des ordinateurs.