Viruswaarschuwing met betrekking tot het wormvirus Win32/Conficker

Artikel ID: 962007 - Bekijk de producten waarop dit artikel van toepassing is.
De ondersteuning voor Windows Vista Service Pack 1 (SP1) wordt 12 juli 2011 beëindigd. Zorg ervoor dat Windows Vista wordt uitgevoerd met Service Pack 2 (SP2) als u beveiligingsupdates voor Windows wilt blijven ontvangen. Raadpleeg de volgende Microsoft-webpagina voor meer informatie: Voor sommige versies van Windows wordt de ondersteuning beëindigd
(http://windows.microsoft.com/nl-nl/windows/help/end-support?os=xp)
.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Overzicht

De informatie in dit Knowledge Base-artikel is bedoeld voor zakelijke omgevingen waarin er systeembeheerders aanwezig zijn die de gedetailleerde informatie in dit artikel kunnen implementeren. Er is geen reden om dit artikel te gebruiken als uw antivirusprogramma het virus op de juiste wijze verwijdert en als uw systemen volledig zijn bijgewerkt. Als u wilt controleren of het Conficker-virus is verwijderd, kunt u via de volgende webpagina uw systeem hiertoe snel laten scannen: http://www.microsoft.com/security/scanner/nl-nl/
(http://www.microsoft.com/security/scanner/nl-nl/)
Ga voor meer informatie over het Conficker-virus naar de volgende Microsoft-website:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker
(http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker)
Naar boven | Geef ons feedback

Symptomen van besmetting

Als uw computer met dit wormvirus is geïnfecteerd, hoeft u hier niet noodzakelijkerwijs iets van te merken. U kunt echter ook met een of meer van de volgende symptomen worden geconfronteerd:
  • Het beleid voor accountvergrendeling wordt omzeild.
  • Automatische updates, BITS (Background Intelligent Transfer Service), Windows Defender en foutrapportageservices zijn uitgeschakeld.
  • Domeincontrollers reageren traag op clientverzoeken.
  • Het netwerk is overbelast.
  • Verschillende websites over beveiliging kunnen niet worden geopend.
  • Verschillende hulpprogramma's die betrekking hebben op veiligheid, kunnen niet worden uitgevoerd. Bezoek voor een lijst met hulpprogramma's waarvan dit bekend is de volgende Microsoft-webpagina en ga vervolgens naar het gedeelte Analysis (Analyse) voor informatie over Win32/Conficker.D. Ga voor meer informatie naar de volgende Microsoft-webpagina:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
    (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)
Ga voor meer informatie over Win32/Conficker naar de volgende webpagina van Microsoft Malware Protection Center:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
Naar boven | Geef ons feedback

Verspreidingsmethoden

Win32/Conficker kent meerdere verspreidingsmethoden. Dit zijn onder andere:
  • Misbruik van het beveiligingsprobleem dat wordt hersteld door beveiligingsupdate 958644 (MS08-067)
  • Het gebruik van netwerkshares
  • Het gebruik van de functie Automatisch afspelen
U moet daarom voorzichtig zijn wanneer u een netwerk opschoont, zodat de bedreiging niet terugkomt op systemen die eerder zijn opgeschoond.

Opmerking De variant Win32/Conficker.D verspreidt zich niet naar verwisselbare schijven of via op het netwerk gedeelde mappen. Win32/Conficker.D wordt geïnstalleerd via eerdere varianten van Win32/Conficker.
Naar boven | Geef ons feedback

Preventie

  • Maak gebruik van krachtige beheerderswachtwoorden die voor alle computers uniek zijn.
  • Zorg ervoor dat u zich niet op computers aanmeldt met gebruik van referenties voor domeinbeheerders die toegang bieden tot alle computers.
  • Zorg ervoor dat alle systemen zijn voorzien van de recentste veiligheidsupdates.
  • Schakel de functies van Automatisch afspelen uit. Zie stap 3 van de sectie Een groepsbeleidobject maken voor meer informatie.
  • Verwijder overbodige rechten met betrekking tot shares. Dit omvat het verwijderen van schrijfmachtingen voor hoofdmappen van shares.
Naar boven | Geef ons feedback

Stappen voor het oplossen van het probleem

De verspreiding van Win32/Conficker voorkomen via groepsbeleidinstellingen

Opmerkingen
  • Belangrijk Zorg ervoor dat u de huidige instellingen noteert voordat u de wijzigingen aanbrengt die in dit artikel worden voorgesteld.
  • Deze procedure kan niet worden gebruikt om de schadelijke software met de naam Conficker van het systeem te verwijderen. Deze procedure kan alleen worden gebruikt om de verspreiding van de schadelijke software te stoppen. U dient gebruikt te maken van een antivirusproduct om de schadelijke software met de naam Conficker van het systeem te verwijderen. U kunt ook de stappen volgen die zijn beschreven in de sectie Handmatige stappen voor het verwijderen van het Win32/Conficker-virus van dit Knowledge Base-artikel om de schadelijke software van het systeem te verwijderen.
  • Het is mogelijk dat toepassingen, servicepacks of andere updates niet op de juiste wijze kunnen worden geïnstalleerd wanneer de machtigingswijzigingen zijn toegepast die in de volgende stappen worden aanbevolen. Dit omvat, maar is niet beperkt tot, het toepassen van updates via Windows Update, via een server van Microsoft Windows Server Update Services (WSUS) en via System Center Configuration Manager (Configuration Manager 2007), aangezien deze producten afhankelijk zijn van onderdelen van Automatische updates. Zorg ervoor dat u de machtigingen opnieuw instelt op de standaardinstellingen nadat u het systeem hebt opgeschoond.
  • Zie de tabel met standaardmachtigingen aan het einde van dit artikel voor informatie over de standaardmachtigingen voor de SVCHOST-registersleutel en de map Tasks die in de sectie Een groepsbeleidobject maken worden vermeld.

Een groepsbeleidobject maken

Maak een nieuw groepsbeleidobject dat van toepassing is op alle computers binnen een specifieke organisatie-eenheid, zoals een site of een domein, afhankelijk van hetgeen binnen uw omgeving is vereist.

Volg hiertoe de volgende stappen:
  1. Stel het beleid zo in dat de schrijfmachtigingen naar de volgende subsleutel in het register worden verwijderd:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Hierdoor voorkomt u dat de schadelijke softwareservice waaraan een willekeurige naam is toegewezen, kan worden gemaakt in de registerwaarde netsvcs.

    Volg hiertoe de volgende stappen:
    1. Open Console Groepsbeleidsbeheer.
    2. Maak een nieuw groepsbeleidobject. Geef het object de gewenste naam.
    3. Open het nieuwe groepsbeleidobject en verplaats dit naar de volgende map:
      Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Register
    4. Klik met de rechtermuisknop op Register en klik vervolgens op Sleutel toevoegen.
    5. Vouw in het dialoogvenster Registersleutel selecteren het onderdeel Machine uit en verwijder vervolgens de volgende map:
      Software\Microsoft\Windows NT\HuidigeVersie\Svchost
    6. Klik op OK.
    7. Schakel in het dialoogvenster dat wordt geopend het selectievakje Volledig beheer uit voor Administrators en Systeem.
    8. Klik op OK.
    9. Klik in het dialoogvenster Object toevoegen op Bestaande machtigingen vervangen voor alle subsleutels met overneembare machtigingen.
    10. Klik op OK.
  2. Stel het beleid zo in dat de schrijfmachtigingen voor de map %windir%\Tasks worden verwijderd. U voorkomt op deze wijze dat de malware met de naam Conficker geplande taken kan maken via welke het systeem opnieuw kan worden geïnfecteerd.

    Volg hiertoe de volgende stappen:
    1. Ga in hetzelfde groepsbeleidobject dat u eerder hebt gemaakt naar de volgende map:
      Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Bestandssysteem
    2. Klik met de rechtermuisknop op Bestandssysteem en klik vervolgens op Bestand toevoegen.
    3. Ga in het dialoogvenster Een bestand of map toevoegen naar de map %windir%\Tasks. Zorg ervoor dat Tasks is gemarkeerd en dat deze map wordt weergegeven in het dialoogvenster Map.
    4. Klik op OK.
    5. Schakel in het dialoogvenster dat vervolgens wordt weergegeven voor zowel Administrators als Systeem de volgende selectievakjes uit: Volledig beheer, Wijzigen en Schrijven.
    6. Klik op OK.
    7. Klik in het dialoogvenster Object toevoegen op Bestaande machtigingen vervangen voor alle subsleutels met overneembare machtigingen.
    8. Klik op OK.
  3. De functies van Automatisch afspelen uitschakelen. Hierdoor voorkomt u dat de schadelijk software zich kan verspreiden via het gebruik van de functies van Automatisch afspelen die deel uitmaken van Windows.

    Opmerking Afhankelijk van de Windows-versie die u gebruikt, zijn er verschillende updates die moeten zijn geïnstalleerd om de Autorun-functionaliteit op de juiste wijze te kunnen uitschakelen:
    • Als u de Autorun-functionaliteit wilt uitschakelen in Windows Vista of in Windows Server 2008, moet beveiligingsupdate 950582
      (http://support.microsoft.com/kb/950582/nl)
      (die is beschreven in beveiligingsbulletin MS08-038) zijn geïnstalleerd.
    • Als u de Autorun-functionaliteit wilt uitschakelen in Windows XP, in Windows Server 2003 of in Windows 2000, moet de beveiligingsupdate 950582
      (http://support.microsoft.com/kb/950582/nl)
      , de update 967715
      (http://support.microsoft.com/kb/967715/nl)
      of de update 953252
      (http://support.microsoft.com/kb/953252/nl)
      zijn geïnstalleerd.
    Volg de volgende stappen als u de functies voor Automatisch afspelen (Autorun) wilt uitschakelen:
    1. Ga in hetzelfde groepsbeleidobject dat u eerder hebt gemaakt naar een van de volgende mappen:
      • Ga wanneer het een Windows Server 2003-domein betreft naar de volgende map:
        Computerconfiguratie\Beheersjablonen\Systeem
      • Ga wanneer het een Windows Server 2008-domein betreft naar de volgende map:
        Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Beleid voor Automatisch afspelen
    2. Open het beleid Automatisch afspelen uitschakelen.
    3. Klik in het dialoogvenster Automatisch afspelen uitschakelen op Ingeschakeld.
    4. Klik in het vervolgkeuzemenu op Alle stations.
    5. Klik op OK.
  4. Sluit de Console Groepsbeleidsbeheer.
  5. Koppel het nieuwe groepsbeleidobject aan de locatie waarop u dit wilt toepassen.
  6. Wacht voldoende lang, totdat de groepsbeleidinstellingen op alle computers zijn bijgewerkt. Het repliceren van het groepsbeleid naar de afzonderlijke domeincontrollers vergt over het algemeen vijf minuten en vervolgens duurt het 90 minuten voordat het groepsbeleid naar de rest van het systeem is gerepliceerd. Normaal gesproken volstaat het als u een paar uur wacht. Afhankelijk van uw omgeving kan het echter het geval zijn dat er meer tijd nodig is.
  7. Verwijder nadat de groepsbeleidinstellingen zijn doorgegeven de malware van de systemen.

    Volg hiertoe de volgende stappen:
    1. Scan alle computers volledig op virussen.
    2. Als Conficker niet door uw antivirussoftware wordt gedetecteerd, kunt u voor het verwijderen van de schadelijke software gebruikmaken van Microsoft Safety Scanner. Ga naar de volgende Microsoft-webpagina voor meer informatie: http://www.microsoft.com/security/scanner/nl-nl/
      (http://www.microsoft.com/security/scanner/nl-nl/)
      Opmerking Het is mogelijk dat u toch nog een aantal handmatige stappen zult moeten uitvoeren voor het wegnemen van alle effecten van de schadelijke software. Het is raadzaam om de stappen door te nemen die worden vermeld in de sectie Handmatige stappen voor het verwijderen van het Win32/Conficker-virus van dit artikel, zodat u alle effecten van de schadelijke software kunt wegnemen.
Naar boven | Geef ons feedback

Herstel

Voer Microsoft Safety Scanner uit.

Het Microsoft Malware Protection Center heeft Microsoft Safety Scanner bijgewerkt. Dit is een zelfstandig binair bestand dat handig is bij het verwijderen van bekende schadelijke software. Het kan helpen bij het verwijderen van schadelijke software van Win32/Conficker en verwante virussen.

Opmerking Microsoft Safety Scanner kan niet voorkomen dat het systeem opnieuw wordt geïnfecteerd, omdat dit geen realtime antivirusprogramma is.

U kunt Microsoft Safety Scanner downloaden vanaf de volgende Microsoft-website:
http://www.microsoft.com/security/scanner/nl-nl/
(http://www.microsoft.com/security/scanner/nl-nl/)

Opmerking Deze infectie wordt ook verwijderd door het hulpprogramma Standalone System Sweeper. Dit hulpprogramma is beschikbaar als een onderdeel van het Microsoft Desktop Optimization Pack 6.0 of via de klantondersteuning. Ga naar de volgende Microsoft-website om Microsoft Desktop Optimization Pack te downloaden:
http://www.microsoft.com/nl-nl/windows/enterprise/products-and-technologies/mdop/default.aspx
(http://www.microsoft.com/nl-nl/windows/enterprise/products-and-technologies/mdop/default.aspx)
Als Microsoft Security Essentials of Microsoft Forefront Client Security op het systeem wordt uitgevoerd, blokkeren deze programma's de bedreiging ook voordat deze wordt geïnstalleerd.

Handmatige stappen voor het verwijderen van het Win32/Conficker-virus

Opmerkingen
  • Deze handmatige stappen zijn niet meer nodig en dienen uitsluitend te worden uitgevoerd als u niet over antivirussoftware beschikt waarmee het Conficker-virus kan worden verwijderd.
  • Sommige van de waarden waarnaar in deze sectie wordt verwezen, zijn mogelijk niet gewijzigd door het virus, afhankelijk van de variant van Win32/Conficker waarmee de computer is geïnfecteerd.
De volgende gedetailleerde stappen kunnen u behulpzaam zijn bij het handmatig van een systeem verwijderen van het Conficker-virus:
  1. Meld u aan bij het systeem met behulp van een lokale account.

    Belangrijk Meld u, indien mogelijk, niet aan bij het systeem met een domeinaccount. Meld u vooral niet aan met behulp van een domeinbeheerdersaccount. De schadelijke software doet zich voor als de aangemelde gebruiker en verschaft zich toegang tot netwerkbronnen met behulp van gebruikersreferenties. Door dit gedrag kan de schadelijke software zich verspreiden.
  2. Stop de Server-service. Hierdoor worden de beheerdersshares van het systeem verwijderd, zodat de schadelijke software zich niet met behulp van deze methode kan verspreiden.

    Opmerking U moet de Server-service slechts tijdelijk uitschakelen, gedurende het opschonen van de schadelijke software in uw omgeving. Dit geldt met name voor productieservers, omdat deze stap gevolgen heeft voor de beschikbaarheid van netwerkbronnen. De Server-service kan opnieuw worden ingeschakeld zodra de omgeving is opgeschoond.

    Gebruik de MMC (Services Microsoft Management Console) om de Server-service te stoppen. Volg hiertoe de volgende stappen:
    1. Afhankelijk van uw systeem doet u het volgende:
      • Voor Windows Vista en Windows Server 2008: klik op Start, typ services.msc in het vak Zoekopdracht starten en klik op services.msc in de lijst van Programma's.
      • Voor Windows XP en Windows Server 2003: klik op Start, klik op Uitvoeren, typ services.msc en klik op OK.
    2. Dubbelklik op Server.
    3. Klik op Stoppen.
    4. Selecteer Uitgeschakeld in het vak Opstarttype.
    5. Klik op Toepassen.
  3. Verwijder alle geplande taken die door AT zijn gemaakt. Typ hiervoor AT /Delete /Yes bij een opdrachtprompt.
  4. De Taakplanner-service stoppen
    • Gebruik de MMC (Services Microsoft Management Console) of het hulpprogramma SC.exe om de Taakplanner-service te stoppen in Windows 2000, Windows XP, en Windows Server 2003.
    • Ga voor het stoppen van de Taakplanner-service in Windows Vista of Windows Server 2008 als volgt te werk.

      Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
      322756
      (http://support.microsoft.com/kb/322756/nl/ )
      Back-ups van het register maken en het register terugzetten in Windows
      1. Klik op Start, typ regedit in het vak Zoekopdracht starten en klik op regedit.exe in de lijst Programma's.
      2. Klik op de volgende registersubsleutel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Klik in het detailvenster met de rechtermuisknop op de vermelding Start DWORD en klik op Wijzigen.
      4. Typ 4 in het vak Waardegegevens en klik op OK.
      5. Sluit de Register-editor af en start de computer opnieuw op.

        Opmerking U moet de Taakplanner-service slechts tijdelijk uitschakelen, gedurende het opschonen van de schadelijke software in uw omgeving. Dit is vooral belangrijk onder Windows Vista en Windows Server 2008 omdat deze stappen van invloed zijn op verscheidene ingebouwde geplande taken. De service kan opnieuw worden ingeschakeld zodra de omgeving is opgeschoond.
  5. Download beveiligingsupdate 958644 (MS08-067) en installeer deze handmatig. Ga voor meer informatie naar de volgende Microsoft-website:
    http://www.microsoft.com/netherlands/technet/security/bulletin/ms08-067.mspx
    (http://www.microsoft.com/netherlands/technet/security/bulletin/ms08-067.mspx)
    Opmerking Deze site kan geblokkeerd zijn vanwege de virusinfectie. In dat geval moet u de beveiligingsupdate dowloaden op een niet-geïnfecteerde computer en het updatebestand vervolgens overzetten naar het geïnfecteerde systeem. We raden u aan om de update op een cd te branden, omdat er niet kan worden weggeschreven naar een gebrande cd. Daardoor kan deze niet worden geïnfecteerd. Als er geen cd-brander beschibaar is, is een verwisselbaar USB-geheugenstation mogelijk de enige manier om de update naar het geïnfecteerde systeem te kopiëren. Als u gebruik maakt van een verwisselbaar station, moet u er zich realiseren dat de malware het station kan infecteren met een Autorun.inf-bestand. Nadat u de update naar het verwisselbare station hebt gekopieerd, moet u, als deze optie beschikbaar is, het station omschakelen naar de modus alleen-lezen. Als de modus alleen-lezen beschikbaar is, schakelt u deze in het algemeen in met een fysieke schakelaar op het station. Na het kopiëren van het updatebestand naar de geïnfecteerde computer controleert u of er een Autorun.inf-bestand naar het verwisselbare station is geschreven. Als dit het geval is, hernoemt u het Autorun.inf-bestand naar een naam als Autorun.bad, zodat het niet kan worden uitgevoerd wanneer het verwisselbare station wordt verbonden met een computer.
  6. Stel eventuele lokale beheerders- en domeinbeheerderswachtwoorden opnieuw in met een sterk wachtwoord. Ga voor meer informatie naar de volgende Microsoft-website:
    http://technet.microsoft.com/nl-nl/library/cc875814.aspx
    (http://technet.microsoft.com/nl-nl/library/cc875814.aspx)
  7. Zoek in de Register-editor de volgende subsleutel van het register en klik erop:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Klik in het detailvenster met de rechtermuisknop op netsvcs en klik op wijzigen.
  9. Als de computer is geïnfecteerd met het Win32/Conficker-virus, wordt er een willekeurige servicenaam weergegeven.

    Opmerking Bij Win32/Conficker.B betreft de servicenaam willekeurige letters onder aan de lijst. Bij latere varianten kan de servicenaam zich overal in de lijst bevinden en komt deze legitiemer over. Als de willekeurige servicenaam zich niet onder aan de lijst bevindt, moet u uw systeem vergelijken met de tabel Services in deze procedure, zodat u kun nagaan welke servicenaam mogelijk is toegevoegd door Win32/Conficker. U kunt uw bevindingen controleren door de lijst in de tabel Services te vergelijken met een systeem waarvan u zeker weet dat dit niet is geïnfecteerd.

    Noteer of onthoud de naam van de malware-service. U hebt deze informatie later in deze procedure nodig.
  10. Verwijder de regel met de verwijzing naar de malware-service. Zorg ervoor dat u een regel leeg laat onder de laatste legitieme vermelding en klik op OK.

    Opmerkingen over de tabel Services
    • Alle vermeldingen in de tabel Services zijn geldige vermeldingen, behalve de items die vet gemarkeerd worden weergegeven.
    • De vet gemarkeerde items zijn voorbeelden van wat het Win32/Conficker-virus kan toevoegen aan de waarde netsvcs van de SVCHOST-registersleutel.
    • Dit is mogelijk geen volledige lijst van services, afhankelijk van wat er op het systeem is geïnstalleerd.
    • De tabel Services is ontleend aan de standaardinstallatie van Windows.
    • De vermelding die door het Win32/Conficker-virus aan de lijst wordt toegevoegd, is gericht op het zaaien van verwarring. De gemarkeerde, schadelijke vermelding die op de eerste letter moet lijken, is een kleine letter 'L'. Het betreft in werkelijkheid echter een hoofdletter 'I.' Het lettertype dat door het besturingssysteem wordt gebruikt, zorgt ervoor dat de hoofdletter 'I' lijkt op de kleine letter 'L'.

    De tabel Services

    Deze tabel samenvouwenDeze tabel uitklappen
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. U hebt in een eerdere procedure de naam van de malware-service genoteerd. In het voorbeeld was de naam van de malware-vermelding Iaslogon. Voer met deze informatie de volgende stappen uit:
    1. Zoek in de Registereditor de volgende registersubsleutel op en klik daarop, waarbij naam van schadelijke service staat voor de naam van de malware-service:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\naam van schadelijke service
      Ga bijvoorbeeld naar de volgende registersubsleutel en klik op deze subsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Klik met de rechtermuisknop op de subsleutel in het navigatievenster en klik vervolgens op Machtigingen.
    3. Klik in het dialoogvenster Machtigingen voor SvcHost op Geavanceerd.
    4. Schakel in het dialoogvenster Geavanceerde beveiligingsinstellingen de volgende selectievakjes uit:
      Overneembare machtigingen van bovenliggend object aan dit object doorgeven. Deze opnemen bij vermeldingen die hier expliciet zijn opgegeven.

      Machtigingen voor alle onderliggende objecten opnieuw instellen en doorgeven van overneembare machtigingen.
  12. Druk op F5 om de Register-editor bij te werken. In de detailvenster wordt vervolgens de vermelding voor de malware-DLL weergegeven die wordt geladen als ServiceDll. U kunt deze vermelding bewerken. Volg hiertoe de volgende stappen:
    1. Dubbelklik op de vermelding ServiceDll.
    2. Noteer het pad van de DLL waarnaar wordt verwezen. U hebt deze informatie later in deze procedure nodig. Het pad en de bestandsnaam van de DLL waarnaar verwezen wordt, kunnen er bijvoorbeeld als volgt uitzien: 
       %SystemRoot%\System32\doieuln.dll
      Wijzig de naam van de verwijzing, zodat deze als volgt wordt weergegeven: 
       %SystemRoot%\System32\doieuln.old
    3. Klik op OK.
  13. Verwijder de vermelding van de malware-service uit de subsleutel Run in het register.
    1. Zoek in de Register-editor de volgende subsleutels van het register en klik erop:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Zoek in beide subsleutels naar een vermelding die begint met rundll32.exe en die tevens verwijst naar de malware-DLL die wordt geladen als ServiceDll. U hebt dit item in stap 12b geïdentificeerd. Verwijder de vermelding.
    3. Sluit de Register-editor af en start de computer opnieuw op.
  14. Controleer op alle stations van het systeem of er Autorun.inf-bestanden op voorkomen. Open elk bestand met Kladblok en controleer of het een geldig Autorun.inf-bestand betreft. Een voorbeeld van een typisch Autorun.inf-bestand is: 
    [autorun]
    
shellexecute=Servers\splash.hta *DVD*
    
icon=Servers\autorun.ico
    Een geldige Autorun.inf is meestal 1 tot 2 kilobytes (KB) groot.
  15. Verwijder alle Autorun.inf-bestanden die niet geldig lijken.
  16. Start de computer opnieuw op.
  17. Maak alle verborgen bestanden zichtbaar. Typ hiertoe de volgende opdracht achter een opdrachtprompt:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Stel Verborgen bestanden en mappen weergeven in, zodat u het bestand kunt zien. Volg hiertoe de volgende stappen:
    1. In stap 12b hebt u het pad genoteerd van het DLL-bestand voor de schadelijke software waarnaar verwezen wordt. Het pad dat u hebt genoteerd, lijkt op het volgende pad:
      %systemroot%\System32\doieuln.dll
      Open in Windows Verkenner de map %systemroot%\System32 of de map die de schadelijke software bevat.
    2. Klik op Extra en vervolgens op Mapopties.
    3. Klik op het tabblad Weergave.
    4. Selecteer het selectievakje Verborgen bestanden en mappen weergeven.
    5. Klik op OK.
  19. Selecteer het DLL-bestand.
  20. Bewerk de machtingen op het bestand en voeg Volledig beheer voor iedereen toe. Volg hiertoe de volgende stappen:
    1. Klik met de rechtermuisknop op het DLL-bestand en klik op Eigenschappen.
    2. Open het tabblad Beveiliging.
    3. Klik op Iedereen en schakel in de kolom Toestaan het selectievakje Volledig beheer in.
    4. Klik op OK.
  21. Verwijder het DLL-bestand voor de malware waarnaar verwezen wordt. Verwijder bijvoorbeeld het bestand %systemroot%\System32\doieuln.dll.
  22. Schakel BITS, automatische updates, foutrapportage en Windows Defender-services in met behulp van de MMC (Services Microsoft Management Console).
  23. Schakel Autorun uit om de gevolgen van een eventuele nieuwe infectie te beperken. Volg hiertoe de volgende stappen:
    1. Afhankelijk van uw systeem installeert u een van de volgende updates:
      • Als u Windows 2000, Windows XP of Windows Server 2003 gebruikt, installeert u update 967715. Klik voor meer informatie op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
        967715
        (http://support.microsoft.com/kb/967715/nl/ )
        De Autorun-functionaliteit in Windows uitschakelen
      • Als u Windows Vista of Windows Server 2008 gebruikt, installeert u beveiligingsupdate 950582. Klik voor meer informatie op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
        950582
        (http://support.microsoft.com/kb/950582/nl/ )
        MS08-038: Beveiligingsprobleem in Windows Verkenner kan leiden tot uitvoering van externe code
      Opmerking Update 967715 en beveiligingsupdate 950582 hebben geen betrekking op dit malware-probleem. Deze updates moeten worden geïnstalleerd voor het inschakelen van de registerfunctie in stap 23b.
    2. Typ de volgende opdracht bij de opdrachtprompt:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Als Windows Defender actief is op het systeem, moet u de locatie voor automatisch starten van Windows Defender opnieuw inschakelen. Typ hiervoor de volgende opdracht bij de opdrachtprompt:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. Bij Windows Vista en latere besturingssystemen wijzigt de malware de algemene instelling voor automatische afstemming van het TCP-ontvangstvenster en schakelt deze uit. Als u deze instelling terug wilt zetten, typt u de volgende opdracht bij een opdrachtprompt:
    netsh interface tcp set global autotuning=normal
Als de computer na het voltooien van deze procedure opnieuw geïnfecteerd lijkt te zijn, is er mogelijk sprake van een van de volgende situaties:
  • Een van de locaties voor automatisch starten is niet verwijderd. De AT-taak is bijvoorbeeld niet verwijderd of een Autorun.inf-bestand is niet verwijderd.
  • De beveiligingsupdate voor MS08-067 is niet correct geïnstalleerd.
Mogelijk wijzigt de malware andere instellingen die niet worden behandeld in dit Knowledge Base-artikel. Ga naar de volgende webpagina van Microsoft Malware Protection Center voor de laatste gegevens over Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Controleren of het systeem schoon is

Controleer of de volgende services zijn opgestart:
  • Automatische updates (wuauserv)
  • BITS (Background Intelligent Transfer Service)
  • Windows Defender (windefend) (indien van toepassing)
  • Windows Foutrapportage-service
Typ hiervoor de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op ENTER:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Na het uitvoeren van elke opdracht ontvangt u een bericht dat er zo uitziet:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
In dit voorbeeld geeft "STATE : 4 RUNNING" aan dat de service actief is.

U kunt de status van de registersubsleutel SvcHost als volgt controleren:
  1. Zoek in de Register-editor de volgende subsleutel van het register en klik erop:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Dubbelklik in het detailvenster op netsvcs en bekijk de vermelde servicenamen. Ga omlaag naar het einde van de lijst. Als de computer opnieuw is geïnfecteerd met Conficker, wordt er een willekeurige servicenaam weergegeven. In deze procedure is de naam van de malware-service bijvoorbeeld Iaslogon.
Als het probleem met deze stappen niet wordt opgelost, neemt u contact op met uw leverancier van antivirussoftware Klik voor meer informatie over dit probleem op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
49500
(http://support.microsoft.com/kb/49500/nl/ )
Lijst met leveranciers van antivirussoftware
Als u geen leverancier voor antivirussoftware heeft of deze kan u niet helpen, neemt u contact op met de klantenondersteuning van Microsoft voor verdere hulp.

Nadat de omgeving volledig is opgeschoond

Als de omgeving volledig is opgeschoond, volgt u de volgende stappen:
  1. Schakel de Server-service en de Taakplanner-service opnieuw in.
  2. Herstel de standaardmachtigingen met betrekking tot de registersleutel SVCHOST en de map Tasks. Deze dienen via groepsbeleidinstellingen opnieuw op de standaardinstellingen te worden ingesteld. Als een beleid alleen is verwijderd, mogen de standaardmachtigingen niet worden gewijzigd. Zie de tabel met standaardinstellingen in de sectie Stappen voor het oplossen van het probleem voor meer informatie.
  3. Werk de computer bij door alle eventueel ontbrekende beveiligingsupdates te installeren. Gebruik hiervoor Windows Update, een server van Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) of uw updatebeheerproduct van derden. Als u SMS of Configuration Manager 2007 gebruikt, moet u eerst de Server-service opnieuw inschakelen. Anders kan het systeem mogelijk niet worden bijgewerkt door SMS of Configuration Manager 2007.
Naar boven | Geef ons feedback

Geïnfecteerde systemen identificeren

Als u problemen ondervindt met betrekking tot het identificeren van systemen die met Conficker zijn geïnfecteerd, kunt u gebruikmaken van de gedetailleerde gegevens op het volgende TechNet-blog:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx
(http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)
Naar boven | Geef ons feedback

Tabel met standaardmachtigingen

In de volgende tabel worden standaardmachtigingen voor afzonderlijke besturingssystemen weergegeven. Deze machtigingen zijn van kracht voordat u de wijzigingen toepast die in dit artikel worden aanbevolen. Deze machtigingen kunnen afwijken van de machtigingen die in uw omgeving zijn ingesteld. Het is daarom belangrijk dat u uw instellingen noteert voordat u eventuele wijzigingen aanbrengt. Op deze wijze kunt u uw oude instellingen herstellen nadat u het systeem hebt opgeschoond.
Deze tabel samenvouwenDeze tabel uitklappen
Besturingssysteem Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
InstellingSvchost in registerMap TasksSvchost in registerMap TasksSvchost in registerMap TasksSvchost in registerMap TasksSvchost in registerMap Tasks
Account
Administrators (lokale groep)Volledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheer
SysteemVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheerVolledig beheer
Hoofdgebruikers (lokale groep)Niet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingLezenNiet van toepassingLezenNiet van toepassingLezenNiet van toepassing
Gebruikers (lokale groep)Speciaal Niet van toepassingSpeciaalNiet van toepassingLezenNiet van toepassingLezenNiet van toepassingLezenNiet van toepassing
Toepassen op: Deze sleutel en subsleutelsToepassen op: Deze sleutel en subsleutels
Waarde opvragenWaarde opvragen
Subsleutels inventariserenSubsleutels inventariseren
WaarschuwenWaarschuwen
LeesverificatieLeesverificatie
Geverifieerde gebruikersNiet van toepassingSpeciaalNiet van toepassingSpeciaalNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassing
Toepassen op: Alleen deze mapToepassen op: Alleen deze map
Door map bladerenDoor map bladeren
MappenlijstMappenlijst
Kenmerken lezenKenmerken lezen
Uitgebreide kenmerken lezenUitgebreide kenmerken lezen
Bestanden makenBestanden maken
LeesmachtigingenLeesmachtigingen
Back-upoperators (lokale groep)Niet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingSpeciaalNiet van toepassingSpeciaal
Toepassen op: Alleen deze mapToepassen op: Alleen deze map
Door map bladerenDoor map bladeren
MappenlijstMappenlijst
Kenmerken lezenKenmerken lezen
Uitgebreide kenmerken lezenUitgebreide kenmerken lezen
Bestanden makenBestanden maken
LeesmachtigingenLeesmachtigingen
IedereenNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingNiet van toepassingSpeciaal
Toepassen op: Deze map, submappen en bestanden
Door map bladeren
Mappenlijst
Kenmerken lezen
Uitgebreide kenmerken lezen
Bestanden maken
Mappen maken
Kenmerken schrijven
Uitgebreide kenmerken schrijven
Leesmachtigingen
Naar boven | Geef ons feedback

Extra hulp

  Als u zich in de Verenigde Staten bevindt en meer hulp wilt bij de oplossing van dit probleem, kunt u chatten met een medewerker van Answer Desk: 
Answer Desk
(https://answerdesk.support.microsoft.com/default.aspx?mkt=en-us&skuid=4&partnerid=smc&rejoin=0&psrc=ms_smc&entryid=kb_962007_inline&prodcat=virus&productkey=awasaoffervirusremoval)
Naar boven | Geef ons feedback
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst
(http://go.microsoft.com/fwlink/?LinkId=151500)
voor overige aandachtspunten.
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 962007 - Laatste beoordeling: dinsdag 15 januari 2013 - Wijziging: 1.0
De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 op de volgende platformen
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows® 2000 Server
Trefwoorden: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven