Prima di iniziare la pulizia, accertarsi che il Conficker sia già stato riconosciuto come tale da Avira, ossia che, durante la procedura di controllo, sia stato rilevato con il nome "Conficker". In caso contrario, contattare Avira: se il worm non è indicato come "Conficker", infatti, non può essere rimosso.

Attenersi alla seguente procedura:

1. Eseguire le fasi descritte in "Misure di prevenzione" sul sito Web (è possibile tralasciare la fase 3, in quanto l'operazione sarà effettuata in seguito mediante uno script; lo stesso vale per la fase 7, che viene eseguita mediante i passi successivi):
2. Sui server:
   1. Scaricare i seguenti file:
      • Avira AntiVir Professional 10
      • Aggiornamenti manuali
      • Avira AntiVir Server 10
      • Pacchetto rimozione Conficker
   2. Patch Microsoft:
      • http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
      • http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
      • http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
   3. Scollegare i server dalla rete (fisicamente, scollegando il cavo oppure disattivando l'interruttore)
   4. Installare ora i patch di Microsoft (qualora l'operazione non sia ancora stata eseguita)
   5. A questo punto, disinstallare AV Server
   6. Installare AV 9 Professional e attivare manualmente gli aggiornamenti tramite il percorso "Aggiornamento" - "Aggiornamento manuale"
   7. Avviare ora il server in modalità provvisoria ed eseguire una scansione dei rootkit con AntiVir 9 Professional (Protezione locale - Verifica - Scansione di rootkit)
   8. Collegare nuovamente il server con la rete
   9. Qualora sia presente una nuova infezione, eseguire nuovamente un controllo (con AV 9 Server), quindi inviare ad Avira i seguenti file di registro:
      • Windows Server 2000/2003: C:\Documents and Settings\All Users\Dati applicazioni\Avira\AntiVir Server\logfiles
      • Windows Server 2008: C:\ProgramData\Avira\AntiVir Server\logfiles
3. Sui client:
   1. Installare i tre patch su tutti i client. Qualora gli aggiornamenti non vengano installati su tutti i computer, è possibile che si verifichi una nuova infezione. In alternativa, è possibile installare gli aggiornamenti mediante un Microsoft WSUS
   2. Disattivare il ripristino del sistema di Windows su tutti i client
   3. Eseguire un aggiornamento dell'IUM (se utilizzato), nonché di tutte le versioni AntiVir nella rete
   4. Aprire ora l'SMC e fare clic con il tasto destro del mouse sull'ambiente di sicurezza. Selezionare Installazione - Prodotto (AV 9 oppure Server) - Copia file. Aggiungere i due file seguenti:
      • Conficker_registry_fix.reg
      • conficker_reg.bat
      Importante: aggiungere per primo il file Conficker_registry_fix.reg, quindi il file conficker_reg.bat. Per il file conficker_reg.bat impostare l'opzione "Eseguire file selezionato dopo il processo di copiatura".
      In tal modo, verrà disattivato l'avvio automatico per CD e penne USB. L'operazione è consigliata in quanto il Conficker si diffonde attraverso questa funzione.
   5. Riavviare il computer
   6. Eseguire un'attività di configurazione (facendo clic con il tasto destro del mouse su Ambiente di sicurezza - Configurazione - Avira AntiVir Professional 9 - Configura) sui client: tale operazione imposta automaticamente in corrispondenza di Azione in caso di rilevamento le opzioni Azione primaria= Ripara e Azione secondaria=Rinomina per il sistema di scansione.
   7. In tal modo, sarà possibile assicurarsi che nessun utente annulli la rimozione.
   8. Utilizzare nuovamente la funzione Copia file (nella voce di menu Avira AntiVir Professional 9) e copiare i due file seguenti:
      • rootkit.avp
      • rootkit_scan.bat
      Copiare per primo il file rootkit.avp, quindi il file rootkit_scan.bat. Eseguire nuovamente il file rootkit_scan.bat.
      Tale operazione avvierà la scansione rootkit, che eliminerà gli eventuali Conficker già installati.
   9. Riavviare il computer.
   10. A questo punto, eseguire ancora un controllo "normale" su tutti i drive locali
   11. Qualora in seguito si verifichino altri comportamenti virulenti, oppure, durante una scansione, avvengano nuovi rilevamenti, eseguire (Avira AntiVir Supportcollector) sul computer e inviare il file di registro creato ad Avira tramite email.

A questo punto, è possibile che si ricevano ripetutamente avvisi di virus sui client. Ciò può verificarsi finché non verranno eliminati tutti i Conficker attivi su tutti i computer nella rete.