Warnung vor dem Wurmvirus Win32/Conficker

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 962007 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Der Support für Windows Vista Service Pack 1 (SP1) wird am 12.07.2011 eingestellt. Um weiterhin Sicherheitsupdates für Windows zu erhalten, müssen Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie auf der folgenden Microsoft-Website: Auslaufender Support für einige Windows-Versionen.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Die Informationen in diesem Knowledge Base-Artikel sind für Unternehmensumgebungen bestimmt, deren Systemadministratoren in der Lage sind, die im Artikel beschriebenen Details zu implementieren. Wenn Ihr Antivirusprogramm den Virus korrekt entfernt und die Systeme vollständig aktualisiert werden, brauchen Sie diesen Artikel nicht anzuwenden. Um zu prüfen, ob der Virus Conficker vollständig vom System entfernt wurde, führen Sie über die folgende Webseite einen schnellen Scan durch: http://www.microsoft.com/security/scanner/de-de/ Detaillierte Informationen zum Virus Conficker finden Sie auf folgender Microsoft-Webseite:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptome einer Infektion

Falls Ihr Computer mit diesem Wurmvirus infiziert wurde, treten unter Umständen gar keine Symptome oder die folgenden Symptome auf:
  • Kontosperrungsrichtlinien werden ausgelöst.
  • Automatische Updates, der intelligente Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS), Windows Defender und die Fehlerberichterstattungsdienste werden deaktiviert.
  • Domänencontroller reagieren auf Clientanforderungen langsam.
  • Das Netzwerk ist überlastet.
  • Auf verschiedene sicherheitsbezogene Websites kann nicht zugegriffen werden.
  • Einige sicherheitsbezogene Tools werden nicht ausgeführt. Eine Liste betroffener Tools und weitere Informationen finden Sie auf der Registerkarte Analyse der folgenden Microsoft-Webseite mit Informationen zu Win32/Conficker.D:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Weitere Informationen zu Win32/Conficker finden Sie auf der folgenden Microsoft Malware Protection Center-Webseite:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Methoden der Verbreitung

Win32/Conficker verfügt über verschiedene Methoden zur Verbreitung der Infektion. Zu ihnen zählen:
  • Ausnutzung des Sicherheitsrisikos, das mit Sicherheitsupdate 958644 behoben wurde (MS08-067)
  • Verwendung von Netzwerkfreigaben
  • Verwendung der automatischen Wiedergabefunktion (AutoPlay)
Daher müssen Sie beim Bereinigen eines Netzwerks sorgfältig vorgehen, damit nicht bereits bereinigte Systeme erneut infiziert werden.

Hinweis Die Variante Win32/Conficker.D breitet sich nicht auf Wechseldatenträger oder freigegebene Ordner über ein Netzwerk aus. Win32/Conficker.D wird von vorherigen Win32/Conficker-Varianten installiert.

Vorbeugemaßnahmen

  • Verwenden Sie für alle Computer unterschiedliche sichere Administratorkennwörter.
  • Melden Sie sich bei Computern nicht mit einem Domänenadministratorkonto oder einem Konto an, das Zugriff auf alle Computer hat.
  • Stellen Sie sicher, dass auf allen Systemen die neuesten Sicherheitsupdates installiert sind.
  • Deaktivieren Sie die AutoPlay-Features. Weitere Informationen finden Sie im Abschnitt "Erstellen eines Gruppenrichtlinienobjekts" in Schritt 3.
  • Entfernen Sie übermäßige Rechte für Freigaben, beispielsweise Schreibberechtigungen für das Stammverzeichnis einer Freigabe.

Schritte zur Abwehr

Stoppen der Verbreitung von Win32/Conficker durch Gruppenrichtlinieneinstellungen

Hinweise:
  • Wichtig Notieren Sie sich unbedingt alle aktuellen Einstellungen, bevor Sie die in diesem Artikel beschriebenen Änderungen vornehmen.
  • Mit diesem Verfahren wird die Conficker-Schadsoftware nicht vom System entfernt. Es wird lediglich ihre Weiterverbreitung gestoppt. Zum Entfernen der Conficker-Schadsoftware sollten Sie ein Antivirenprogramm verwenden. Sie können die Schadsoftware auch manuell vom System entfernen. Führen Sie dazu die Schritte aus, die im Abschnitt "Manuelle Schritte zum Entfernen des Virus Win32/Conficker" weiter unten in diesem Knowledge Base-Artikels beschrieben werden.
  • Während die in den folgenden Schritten empfohlenen Berechtigungsänderungen gültig sind, lassen sich Anwendungen, Service Packs oder andere Updates möglicherweise nicht ordnungsgemäß installieren. Dies trifft unter anderem auch auf Updates zu, die von Windows Update, Microsoft-WSUS-Server (Windows Server Update Services) und System Center Configuration Manager (SCCM) angeboten werden, da diese Produkte auf Komponenten der Funktion "Automatische Updates" basieren. Stellen Sie sicher, dass Sie die Berechtigungen nach dem Bereinigen des Systems wieder auf die Standardeinstellungen zurücksetzen.
  • Informationen zu den im Abschnitt "Erstellen eines Gruppenrichtlinienobjekts" erwähnten Standardberechtigungen für den Registrierungsschlüssel SVCHOST und den Aufgabenordner finden Sie in der Tabelle der Standardberechtigungen am Ende dieses Artikels.

Erstellen eines Gruppenrichtlinienobjekts

Erstellen Sie ein neues Gruppenrichtlinienobjekt, das für alle Computer einer bestimmten Organisationseinheit, eines Standorts bzw. einer Domäne in Ihrer Umgebung gilt.

Gehen Sie hierzu folgendermaßen vor:
  1. Legen Sie mit der Richtlinie fest, dass Schreibberechtigungen für den folgenden Registrierungsunterschlüssel entfernt werden:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Dies verhindert das Erstellen des willkürlich benannten Schadsoftwarediensts im Registrierungsschlüssel netsvcs.

    Gehen Sie hierzu folgendermaßen vor:
    1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console).
    2. Erstellen Sie ein neues Gruppenrichtlinienobjekt. Geben Sie diesem einen beliebigen Namen.
    3. Öffnen Sie das Gruppenrichtlinienobjekt, und wechseln Sie in folgenden Ordner:
      Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung
    4. Klicken Sie mit der rechten Maustaste auf Registrierung, und klicken Sie dann auf Schlüssel hinzufügen.
    5. Erweitern Sie im Dialogfeld Registrierungsschlüssel auswählen die Option Computer, und wechseln Sie dann in den folgenden Ordner:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Klicken Sie auf OK.
    7. Deaktivieren Sie in dem Dialogfeld, das sich öffnet, das Kontrollkästchen Vollzugriff für Administratoren und System.
    8. Klicken Sie auf OK.
    9. Klicken Sie im Dialogfeld Objekt hinzufügen auf Vorhandene Berechtigungen für alle Unterschlüssel mit vererbbaren Berechtigungen ersetzen.
    10. Klicken Sie auf OK.
  2. Legen Sie mit der Richtlinie fest, dass Schreibberechtigungen für den Ordner "%windir%\Tasks" entfernt werden: Dies verhindert, dass die Conficker-Schadsoftware die geplanten Aufgaben erstellt, die das System erneut infizieren.

    Gehen Sie hierzu folgendermaßen vor:
    1. Wechseln Sie in dem zuvor erstellten Gruppenrichtlinienobjekt in den folgenden Ordner:
      Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem
    2. Klicken Sie mit der rechten Maustaste auf Dateisystem, und klicken Sie dann auf Datei hinzufügen.
    3. Blättern Sie im Dialogfeld Datei oder Ordner hinzufügen zum Ordner "%windir%\Tasks". Vergewissern Sie sich, dass Aufgaben markiert und im Dialogfeld Ordner aufgeführt ist.
    4. Klicken Sie auf OK.
    5. Deaktivieren Sie in dem Dialogfeld, das sich öffnet, die Kontrollkästchen Vollzugriff, Ändern und Schreiben für Administratoren und System.
    6. Klicken Sie auf OK.
    7. Klicken Sie im Dialogfeld Objekt hinzufügen auf Vorhandene Berechtigungen für alle Unterschlüssel mit vererbbaren Berechtigungen ersetzen.
    8. Klicken Sie auf OK.
  3. Deaktivieren Sie die automatische Wiedergabe (AutoPlay/Autorun). Auf diese Weise verhindern Sie, dass die Conficker-Schadsoftware sich über die in Windows integrierten AutoPlay-Features ausbreitet.

    Hinweis Je nach verwendeter Windows-Version müssen unterschiedliche Updates installiert werden, um die Autorun-Funktionalität korrekt zu deaktivieren:
    • Um die Autorun-Funktionalität in Windows Vista oder Windows Server 2008 zu deaktivieren, müssen Sie Sicherheitsupdate 950582 installiert haben (beschrieben in Sicherheitsbulletin MS08-038).
    • Um die Autorun-Funktionalität in Windows XP, Windows Server 2003 oder Windows 2000 zu deaktivieren, müssen Sie Sicherheitsupdate 950582, Update 967715 oder Update 953252 installiert haben.
    Um die automatische Wiedergabe (AutoPlay/Autorun) zu deaktivieren, gehen Sie folgendermaßen vor:
    1. Wechseln Sie in dem zuvor erstellten Gruppenrichtlinienobjekt in einen der folgenden Ordner:
      • In einer Windows Server 2003-Domäne:
        Computerkonfiguration\Administrative Vorlagen\System
      • In einer Windows 2008-Domäne:
        Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Richtlinien für die automatische Wiedergabe
    2. Öffnen Sie die Richtlinie Autoplay deaktivieren.
    3. Klicken Sie im Dialogfeld Autoplay deaktivieren auf Aktiviert.
    4. Klicken Sie im Dropdownmenü auf Alle Laufwerke.
    5. Klicken Sie auf OK.
  4. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.
  5. Verknüpfen Sie das neu erstellte Gruppenrichtlinienobjekt mit dem Verzeichnis, auf das es angewendet werden soll.
  6. Geben Sie den Gruppenrichtlinieneinstellungen genügend Zeit, alle Computer zu aktualisieren. In der Regel dauert die Replikation der Gruppenrichtlinie etwa fünf Minuten für jeden Domänencontroller und anschließend 90 Minuten für die übrigen Systeme. Einige Stunden sollten daher ausreichen, aber es kann, je nach Umgebung, auch mehr Zeit erforderlich sein.
  7. Bereinigen Sie die Systeme nach der Übertragung der Gruppenrichtlinieneinstellungen von Schadsoftware.

    Gehen Sie hierzu folgendermaßen vor:
    1. Führen Sie vollständige Virenscans auf allen Computern aus.
    2. Wenn die Antivirensoftware Conficker nicht erkennt, verwenden Sie Microsoft Safety Scanner, um die Schadsoftware zu beseitigen. Weitere Informationen finden Sie auf der folgenden Microsoft-Website: http://www.microsoft.com/security/scanner/de-de/Hinweis Sie müssen möglicherweise einige manuelle Schritte ausführen, um alle Auswirkungen der Schadsoftware zu beseitigen. Sie sollten die im Abschnitt "Manuelle Schritte zum Entfernen des Virus Win32/Conficker" dieses Artikels aufgeführten Schritte zum Beseitigen aller Auswirkungen der Schadsoftware lesen.

Wiederherstellung

Führen Sie Microsoft Safety Scanner aus.

Microsoft Safety Scanner wurde durch das Microsoft Malware Protection Center aktualisiert. Hierbei handelt es sich um eine eigenständige Binärdatei zum Entfernen weit verbreiteter bösartiger Software, mit der Sie die Familie der Win32/Conficker-Schadsoftware entfernen können.

Hinweis Microsoft Safety Scanner verhindert keine Neuinfektion, weil es sich nicht um ein Echtzeit-Antivirenprogramm handelt.

Sie können Microsoft Safety Scanner von der folgenden Microsoft-Website herunterladen:
http://www.microsoft.com/security/scanner/de-de/

Hinweis Auch mit dem autonomen System Sweeper können Sie die Infektion beseitigen. Dieses Tool ist als Komponente von Microsoft Desktop Optimization Pack 6.0 oder über Customer Service and Support (CSS) verfügbar. Microsoft Desktop Optimization Pack steht auf der folgenden Webseite von Microsoft zum Download zur Verfügung:
http://www.microsoft.com/de-de/windows/enterprise/products-and-technologies/mdop/default.aspx
Auch wenn Windows Live OneCare oder Microsoft Forefront Client Security auf dem System ausgeführt wird, wird die Bedrohung geblockt, bevor sie installiert wird.

Manuelle Schritte zum Entfernen des Virus Win32/Conficker

Hinweise:
  • Diese manuellen Schritte sind nicht mehr erforderlich und sollten nur ausgeführt werden, wenn Sie nicht über Antivirussoftware verfügen, um Conficker zu entfernen.
  • Je nach der Variante von Win32/Conficker, mit der der Computer infiziert ist, wurden manche der in diesem Abschnitt aufgeführten Werte vom Virus möglicherweise nicht geändert.
Die folgenden detaillierten Schritte können Ihnen helfen, Conficker manuell von Ihrem System zu entfernen:
  1. Melden Sie sich mit einem lokalen Konto beim System an.

    Wichtig Melden Sie sich, wenn möglich, nicht unter Verwendung eines Domänenkontos beim System an. Melden Sie sich insbesondere nicht mit einem Domänenadministratorkonto an. Die Schadsoftware imitiert den angemeldeten Benutzer und greift unter Verwendung seiner Anmeldeinformationen auf Netzwerkressourcen zu. Durch dieses Verhalten kann sich die Schadsoftware verbreiten.
  2. Halten Sie den Serverdienst an. Dadurch werden die administrativen Freigaben vom System entfernt, sodass die Schadsoftware sich nicht mit dieser Methode ausbreiten kann.

    Hinweis Der Serverdienst sollte nur kurzfristig deaktiviert werden, während Sie die Schadsoftware aus Ihrer Umgebung entfernen. Das trifft insbesondere auf Produktionsserver zu, weil dieser Schritt die Verfügbarkeit von Netzwerkressourcen beeinträchtigt. Sobald die Umgebung bereinigt ist, kann der Serverdienst wieder aktiviert werden.

    Um den Serverdienst anzuhalten, verwenden Sie das Snap-In Dienste in der Microsoft Management Console (MMC). Gehen Sie hierzu folgendermaßen vor:
    1. Gehen Sie je nach System folgendermaßen vor:
      • Klicken Sie in Windows Vista und Windows Server 2008 auf Start, und geben Sie services.msc in das Feld Suche starten ein. Klicken Sie dann in der Liste Programme auf services.msc.
      • Klicken Sie in Windows 2000, Windows XP und Windows Server 2003 auf Start und auf Ausführen, geben Sie services.msc ein, und klicken Sie dann auf OK.
    2. Doppelklicken Sie auf Server.
    3. Klicken Sie auf Beenden.
    4. Wählen Sie Deaktiviert im Feld Starttyp aus.
    5. Klicken Sie auf Übernehmen.
  3. Entfernen Sie alle AT-erstellten geplanten Tasks. Geben Sie hierzu an einer Eingabeaufforderung AT/Delete/Yes ein.
  4. Halten Sie den Aufgabenplanungsdienst bzw. Taskplanerdienst an.
    • Um den Taskplanerdienst in Windows 2000, Windows XP und Windows Server 2003 anzuhalten, verwenden Sie das Snap-In Dienste in der Microsoft Management Console (MMC) oder das Dienstprogramm "SC.exe".
    • Um den Aufgabenplanungsdienst in Windows Vista oder Windows Server 2008 anzuhalten, führen Sie diese Schritte aus.

      Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      322756 Sichern und Wiederherstellen der Registrierung in Windows
      1. Klicken Sie auf Start, geben Sie regedit in das Feld Suche starten ein, und klicken Sie dann in der Liste Programme auf regedit.exe.
      2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Start DWORD-Eintrag, und klicken Sie danach auf Ändern.
      4. Geben Sie in das Feld Wert den Wert 4 ein, und klicken Sie anschließend auf OK.
      5. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

        Hinweis Der Aufgabenplanungsdienst bzw. Taskplanerdienst sollte nur kurzfristig deaktiviert werden, während Sie die Schadsoftware aus Ihrer Umgebung entfernen. Das gilt insbesondere für Windows Vista und Windows Server 2008, weil dieser Schritt sich auf verschiedene integrierte geplante Aufgaben auswirkt. Sobald die Umgebung bereinigt ist, aktivieren Sie den Dienst wieder.
  5. Laden Sie das Sicherheitsupdate 958644 (MS08-067) herunter, und installieren Sie es manuell. Weitere Informationen hierzu finden Sie auf folgender Website von Microsoft:
    http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS08-067.mspx
    Hinweis Diese Website wird möglicherweise aufgrund der Infektion mit der Schadsoftware blockiert. In diesem Fall müssen Sie das Update über einen nicht infizierten Computer herunterladen und die Updatedatei anschließend auf das infizierte System übertragen. Es empfiehlt sich, das Update auf eine CD zu brennen, weil die gebrannte CD schreibgeschützt ist, und somit nicht infiziert werden kann. Ist keine beschreibbare CD verfügbar, ist ein auswechselbares USB-Speicherlaufwerk ggf. die einzige Möglichkeit, um das Update auf das infizierte System zu kopieren. Wenn Sie ein Wechsellaufwerk verwenden, beachten Sie, dass die Schadsoftware das Laufwerk über eine "Autorun.inf"-Datei infizieren kann. Nachdem Sie das Update auf das Wechsellaufwerk kopiert haben, sollten Sie das Laufwerk daher unbedingt in den schreibgeschützten Modus wechseln, wenn diese Option für das Gerät verfügbar ist. Ist ein Schreibschutz verfügbar, wird er üblicherweise über einen physischen Schalter am Gerät aktiviert. Nachdem Sie anschließend die Updatedatei auf den infizierten Computer kopiert haben, überprüfen Sie, ob eine "Autorun.inf"-Datei auf das Wechsellaufwerk geschrieben wurde. Wenn ja, benennen Sie diese "Autorun.inf"-Datei beispielsweise in "Autorun.bad" um, sodass sie beim Anschließen des Wechsellaufwerks an einen Computer nicht ausgeführt werden kann.
  6. Legen Sie für alle Kennwörter von lokalen Administratoren und Domänenadministratoren neue, sichere Kennwörter fest. Weitere Informationen hierzu finden Sie auf folgender Website von Microsoft:
    http://technet.microsoft.com/de-de/library/cc875814.aspx
  7. Klicken Sie im Registrierungs-Editor auf folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Eintrag netsvcs, und klicken Sie anschließend auf Ändern.
  9. Wenn der Computer mit dem Virus Win32/Conficker infiziert ist, ist dort ein zufällig erzeugter Dienstname aufgelistet.

    Hinweis Bei Win32/Conficker.B bestand der Dienstname aus willkürlichen Buchstaben und befand sich am Ende der Liste. Bei späteren Varianten kann der Dienstname an beliebiger Stelle in der Liste stehen und legitim erscheinen. Wenn der zufällig erzeugte Dienstname sich nicht am Ende befindet, vergleichen Sie Ihr System mit der "Tabelle der Dienste" in dieser Prozedur, um zu bestimmen, welcher Dienstname möglicherweise durch Win32/Conficker hinzugefügt wurde. Vergleichen und überprüfen Sie die Liste in der "Tabelle der Dienste" anhand eines ähnlichen Systems, von dem Sie wissen, dass es nicht infiziert ist.

    Notieren Sie sich den Namen des Schadsoftwarediensts. Diese Informationen benötigen Sie weiter unten in dieser Prozedur.
  10. Löschen Sie die Zeile mit dem Verweis auf den Schadsoftwaredienst. Vergewissern Sie sich, dass unter dem letzten gültigen Eintrag der Liste eine leere Zeilenschaltung eingefügt ist, und klicken Sie dann auf OK.

    Hinweise zur Tabelle der Dienste
    • Alle mit Ausnahme der hervorgehoben dargestellten Elemente in der Tabelle der Dienste sind gültige Einträge.
    • Die hervorgehoben dargestellten Elemente sind Beispiele für Einträge, die durch den Virus Win32/Conficker zum netsvcs-Wert im Registrierungsschlüssel SVCHOST hinzugefügt werden können.
    • Die Liste der Dienste ist möglicherweise nicht vollständig, je nachdem, welche Komponenten auf Ihrem System installiert sind.
    • Die Tabelle der Dienste stammt aus der Standardinstallation von Windows.
    • Bei dem zur Liste hinzugefügten Eintrag wendet der Win32/Conficker-Virus eine Verschleierungstechnik an. Bei dem hervorgehoben dargestellten bösartigen Eintrag soll der erste Buchstabe wie ein kleinen "L" aussehen. Tatsächlich handelt es sich aber um ein großes "I". Aufgrund der vom Betriebssystem verwendeten Schriftart sieht das große "I" wie ein kleines "L" aus.

    Tabelle der Dienste

    Tabelle minimierenTabelle vergrößern
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Weiter oben haben Sie sich den Namen des Schadsoftwarediensts notiert. In unserem Beispiel lautete der Name des Schadsoftwareeintrags "Iaslogon". Führen Sie unter Verwendung dieser Informationen die folgenden Schritte aus:
    1. Klicken Sie im Registrierungs-Editor auf folgenden Unterschlüssel, wobei BadServiceName der Name des Schadsoftwarediensts ist:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Klicken Sie auf den folgenden Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Unterschlüssel für den Namen des Schadsoftwarediensts, und klicken Sie dann auf Berechtigungen.
    3. Klicken Sie im Dialogfeld Berechtigungseintrag für SvcHost auf Erweitert.
    4. Aktivieren Sie im Dialogfeld Erweiterte Sicherheitseinstellungen die beiden folgenden Kontrollkästchen:
      Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben. Diese mit den hier definierten Einträgen mit einbeziehen.

      Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen.
  12. Drücken Sie die Taste F5, um den Registrierungs-Editor zu aktualisieren. Im Detailbereich können Sie jetzt die Schadsoftware-DLL sehen und bearbeiten, die als "ServiceDll" geladen wird. Gehen Sie hierzu folgendermaßen vor:
    1. Doppelklicken Sie auf den ServiceDll-Eintrag.
    2. Notieren Sie sich den Pfad der referenzierten DLL. Diese Informationen benötigen Sie weiter unten in dieser Prozedur. Der Pfad der referenzierten DLL kann beispielsweise wie folgt aussehen:
       %SystemRoot%\System32\doieuln.dll
      Benennen Sie den Verweis um, sodass er etwa so wie in dem folgenden Beispiel aussieht:
       %SystemRoot%\System32\doieuln.old
    3. Klicken Sie auf OK.
  13. Entfernen Sie den Eintrag des Schadsoftwarediensts aus dem Run-Registrierungsunterschlüssel.
    1. Klicken Sie im Registrierungs-Editor auf die folgenden Registrierungsunterschlüssel:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Suchen Sie in beiden Unterschlüsseln alle Einträge, die mit "rundll32.exe" beginnen und die auf die als "ServiceDll" geladene Schadsoftware-DLL verweisen, die Sie in Schritt 12b ermittelt haben. Löschen Sie den Eintrag.
    3. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.
  14. Suchen Sie auf allen Laufwerken des Systems nach "Autorun.inf"-Dateien. Öffnen Sie jede dieser Dateien mit dem Editor, und vergewissern Sie sich, dass es sich um gültige "Autorun.inf"-Dateien handelt. Beispiel für eine typische gültige "Autorun.inf"-Datei.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Eine gültige "Autorun.inf"-Datei verfügt über eine Größe von 1 bis 2 KB.
  15. Löschen Sie alle "Autorun.inf"-Dateien, die Ihnen verdächtig erscheinen.
  16. Starten Sie den Computer neu.
  17. Blenden Sie versteckte Dateien ein. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Aktivieren Sie Alle Dateien und Ordner anzeigen, damit Sie die Datei sehen können. Gehen Sie hierzu folgendermaßen vor:
    1. in Schritt 12b haben Sie sich den Pfad der referenzierten DLL-Datei für die Schadsoftware notiert. Der notierte Pfad könnte beispielsweise wie folgt aussehen:
      %systemroot%\System32\doieuln.dll
      Wechseln Sie in Windows Explorer ins Verzeichnis "%systemroot%\System32" bzw. in das Verzeichnis, das die Schadsoftware enthält.
    2. Klicken Sie auf Extras und danach auf Ordneroptionen.
    3. Klicken Sie auf die Registerkarte Ansicht.
    4. Aktivieren Sie das Kontrollkästchen Alle Dateien und Ordner anzeigen.
    5. Klicken Sie auf OK.
  19. Wählen Sie die DLL-Datei aus.
  20. Setzen Sie die Berechtigungen für die Datei auf Vollzugriff für Jeder. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie mit der rechten Maustaste auf die DLL-Datei, und klicken Sie danach auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Sicherheit.
    3. Klicken Sie auf Jeder, und aktivieren Sie dann in der Spalte Zulassen das Kontrollkästchen Vollzugriff.
    4. Klicken Sie auf OK.
  21. Löschen Sie die referenzierte DLL-Datei für die Schadsoftware. Löschen Sie beispielsweise die Datei "%systemroot%\System32\doieuln.dll".
  22. Aktivieren Sie die Dienste BITS, Automatische Updates, Fehlerberichterstattung und Windows Defender mithilfe des Snap-Ins Dienste in der Microsoft Management Console (MMC).
  23. Deaktivieren Sie AutoAusführen (Autorun), um die Gefahr einer Neuinfektion zu verringern. Gehen Sie hierzu folgendermaßen vor:
    1. Installieren Sie in Abhängigkeit von Ihrem jeweiligen System eines der folgenden Updates:
      • Wenn Sie Windows 2000, Windows XP oder Windows Server 2003 ausführen, installieren Sie Update 967715. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
        967715 Deaktivieren der Autorun-Funktionalität in Windows
      • Wenn Sie Windows Vista oder Windows Server 2008 ausführen, installieren Sie Sicherheitsupdate 950582. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
        950582 MS08-038: Sicherheitsrisiko in Windows Explorer kann Remotecodeausführung ermöglichen.
      Hinweis Update 967715 und Sicherheitsupdate 950582 stehen nicht in Verbindung mit diesem Schadsoftwareproblem. Die Updates müssen installiert sein, um die Registrierungsfunktion in Schritt 23b zu ermöglichen.
    2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Wenn auf dem System Windows Defender ausgeführt wird, aktivieren Sie das Windows Defender-Autostart-Verzeichnis wieder. Geben Sie hierzu an der Eingabeaufforderung den folgenden Befehl ein:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide"/f
  25. Bei Windows Vista und neueren Betriebssystemen deaktiviert die Schadsoftware die globalen Einstellungen von Autom. Abstimmungsgrad Empfangsfenster für TCP. Um diese Einstellung wieder zu aktivieren, geben Sie an der Eingabeaufforderung folgenden Befehl ein:
    netsh interface tcp set global autotuning=normal
Wenn der Computer nach Abschluss dieser Prozedur erneut infiziert zu sein scheint, können folgende Bedingungen vorliegen:
  • Eines der Autostart-Verzeichnisse wurde nicht gelöscht. Entweder wurde der AT-Auftrag nicht entfernt, oder eine "Autorun.inf"-Datei wurde nicht gelöscht.
  • Das Sicherheitsupdate für MS08-067 wurde nicht ordnungsgemäß installiert.
Die Schadsoftware kann weitere Einstellungen ändern, die in diesem Artikel nicht behandelt werden. Auf der folgenden Microsoft Malware Protection Center-Webseite finden Sie die neuesten Details zu Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Überprüfen Sie, ob das System bereinigt wurde.

Stellen Sie sicher, dass die folgenden Dienste gestartet wurden:
  • Automatische Updates (wuauserv)
  • Intelligenter Hintergrundübertragungsdienst (BITS)
  • Windows Defender (windefend) (wenn zutreffend)
  • Windows-Fehlerberichterstattungsdienst
Geben Sie hierzu an der Eingabeaufforderung die folgenden Befehle ein: Drücken Sie nach jedem Befehl die EINGABETASTE:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Nach Ausführen jedes einzelnen Befehls wird möglicherweise eine Meldung etwa folgenden Inhalts angezeigt:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
In diesem Beispiel gibt "STATE : 4 RUNNING" an, dass der Dienst ausgeführt wird.

Gehen Sie folgendermaßen vor, um den Status des Registrierungsunterschlüssels Svchost zu überprüfen:
  1. Klicken Sie im Registrierungs-Editor auf folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Doppelklicken Sie im Detailbereich auf netsvcs, und überprüfen Sie die aufgelisteten Dienstnamen. Blättern Sie zum Ende der Liste. Wenn der Computer erneut mit Conficker infiziert ist, wird dort ein zufällig erzeugter Dienstname aufgeführt. In diesem Beispiel lautet der Name des Schadsoftwarediensts "Iaslogon".
Falls das Problem durch die in diesem Artikel beschriebenen Schritte nicht behoben werden konnte, wenden Sie sich an den Hersteller Ihrer Antivirensoftware. Weitere Informationen zu diesem Problem finden Sie im folgenden Artikel der Microsoft Knowledge Base:
49500 Liste von Antivirensoftwareherstellern
Wenn Sie keinen Antivirensoftwarehersteller ansprechen können oder wenn Ihr Antivirensoftwarehändler nicht helfen kann, wenden Sie sich an Microsoft Consumer Support Services, um Unterstützung zu erhalten.

Nach der vollständigen Bereinigung der Umgebung

Führen Sie nach der vollständigen Bereinigung der Umgebung folgende Schritte aus:
  1. Aktivieren Sie den Serverdienst und den Aufgabenplanungs- bzw. Taskplanerdienst wieder.
  2. Stellen Sie die Standardberechtigungen für den SVCHOST-Registrierungsschlüssel und den Aufgabenordner wieder her. Verwenden Sie zum Wiederherstellen der Standardeinstellungen die Gruppenrichtlinieneinstellungen. Wird eine Richtlinie lediglich entfernt, werden die Standardberechtigungen unter Umständen nicht wiederhergestellt. Weitere Informationen hierzu finden Sie in der Tabelle der Standardberechtigungen im Abschnitt "Schritte zur Abwehr".
  3. Aktualisieren Sie den Computer, indem Sie alle fehlenden Sicherheitsupdates installieren. Verwenden Sie dazu Windows Update, den Microsoft-WSUS-Server (Windows Server Update Services), Systems Management Server (SMS), System Center Configuration Manager (SCCM) oder Ihr Updatemanagementprodukt eines Fremdanbieters. Wenn Sie SMS oder SCCM verwenden, müssen Sie zuerst den Serverdienst reaktivieren. Andernfalls kann SMS oder SCCM das System möglicherweise nicht aktualisieren.

Erkennen infizierter Systeme

Wenn Sie Probleme haben, Systeme zu erkennen, die mit Conficker infiziert sind, können die Informationen im folgenden TechNet-Blog hilfreich sein:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabelle der Standardberechtigungen

In der folgenden Tabelle sind für die einzelnen Betriebssysteme die Standardberechtigungen aufgeführt, die vor dem Anwenden der in diesem Artikel empfohlenen Änderungen vorliegen. Diese Berechtigungen können von den in Ihrer Umgebung festgelegten Berechtigungen abweichen. Daher sollten Sie sich Ihre Einstellungen notieren, bevor Sie irgendwelche Änderungen vornehmen, um sie nach dem Bereinigen des Systems wiederherstellen zu können.
Tabelle minimierenTabelle vergrößern
Betriebssystem Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
EinstellungSvchost-RegistrierungsschlüsselAufgabenordner ("Tasks")Svchost-RegistrierungsschlüsselAufgabenordner ("Tasks")Svchost-RegistrierungsschlüsselAufgabenordner ("Tasks")Svchost-RegistrierungsschlüsselAufgabenordner ("Tasks")Svchost-RegistrierungsschlüsselAufgabenordner ("Tasks")
Konto
Administratoren (Lokale Gruppe)VollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriff
SystemVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriffVollzugriff
Hauptbenutzer (Lokale Gruppe)Nicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendLesenNicht zutreffendLesenNicht zutreffendLesenNicht zutreffend
Benutzer (Lokale Gruppe)Spezielle Berechtigungen Nicht zutreffendSpezielle BerechtigungenNicht zutreffendLesenNicht zutreffendLesenNicht zutreffendLesenNicht zutreffend
Übernehmen für: Diesen Schlüssel und UnterschlüsselÜbernehmen für: Diesen Schlüssel und Unterschlüssel
Wert abfragenWert abfragen
Unterschlüssel auflistenUnterschlüssel auflisten
BenachrichtigenBenachrichtigen
LesekontrolleLesekontrolle
Authentifizierte BenutzerNicht zutreffendSpezielle BerechtigungenNicht zutreffendSpezielle BerechtigungenNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffend
Übernehmen für: Nur diesen OrdnerÜbernehmen für: Nur diesen Ordner
Ordner durchsehenOrdner durchsehen
Ordner auflistenOrdner auflisten
Attribute lesenAttribute lesen
Erweiterte Attribute lesenErweiterte Attribute lesen
Dateien erstellenDateien erstellen
Berechtigungen lesenBerechtigungen lesen
Sicherungsoperator (Lokale Gruppe)Nicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendSpezielle BerechtigungenNicht zutreffendSpezielle Berechtigungen
Übernehmen für: Nur diesen OrdnerÜbernehmen für: Nur diesen Ordner
Ordner durchsehenOrdner durchsehen
Ordner auflistenOrdner auflisten
Attribute lesenAttribute lesen
Erweiterte Attribute lesenErweiterte Attribute lesen
Dateien erstellenDateien erstellen
Berechtigungen lesenBerechtigungen lesen
JederNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendNicht zutreffendSpezielle Berechtigungen
Übernehmen für: Diesen Ordner, Unterordner und Dateien
Ordner durchsehen
Ordner auflisten
Attribute lesen
Erweiterte Attribute lesen
Dateien erstellen
Ordner erstellen
Attribute schreiben
Erweiterte Attribute schreiben
Berechtigungen lesen

Weitere Hilfe

  Wenn Sie sich in den USA befinden, können Sie mit einem Experten vom Answer Desk sprechen, um weitere Hilfe zu diesem Problem zu erhalten: 
Answer Desk
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.

Eigenschaften

Artikel-ID: 962007 - Geändert am: Dienstag, 15. Januar 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1, wenn verwendet mit:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2, wenn verwendet mit:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3, wenn verwendet mit:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4, wenn verwendet mit:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Keywords: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com