Warnung vor dem Wurmvirus Win32/Conficker

Stoppen der Verbreitung von Win32/Conficker durch Gruppenrichtlinieneinstellungen

Hinweise:

• Wichtig Notieren Sie sich unbedingt alle aktuellen Einstellungen, bevor Sie die in diesem Artikel beschriebenen Änderungen vornehmen.

• Mit diesem Verfahren wird die Conficker-Schadsoftware nicht vom System entfernt. Es wird lediglich ihre Weiterverbreitung gestoppt. Zum Entfernen der Conficker-Schadsoftware sollten Sie ein Antivirenprogramm verwenden. Sie können die Schadsoftware auch manuell vom System entfernen. Führen Sie dazu die Schritte aus, die im Abschnitt "Manuelle Schritte zum Entfernen des Virus Win32/Conficker" weiter unten in diesem Knowledge Base-Artikels beschrieben werden.
  
  
  
  
  
  
  

• Während die in den folgenden Schritten empfohlenen Berechtigungsänderungen gültig sind, lassen sich Anwendungen, Service Packs oder andere Updates möglicherweise nicht ordnungsgemäß installieren. Dies trifft unter anderem auch auf Updates zu, die von Windows Update, Microsoft-WSUS-Server (Windows Server Update Services) und System Center Configuration Manager (SCCM) angeboten werden, da diese Produkte auf Komponenten der Funktion "Automatische Updates" basieren. Stellen Sie sicher, dass Sie die Berechtigungen nach dem Bereinigen des Systems wieder auf die Standardeinstellungen zurücksetzen.

• Informationen zu den im Abschnitt "Erstellen eines Gruppenrichtlinienobjekts" erwähnten Standardberechtigungen für den Registrierungsschlüssel SVCHOST und den Aufgabenordner finden Sie in der Tabelle der Standardberechtigungen am Ende dieses Artikels.
  

Erstellen eines Gruppenrichtlinienobjekts

Erstellen Sie ein neues Gruppenrichtlinienobjekt, das für alle Computer einer bestimmten Organisationseinheit, eines Standorts bzw. einer Domäne in Ihrer Umgebung gilt.

Gehen Sie hierzu folgendermaßen vor:

1. Legen Sie mit der Richtlinie fest, dass Schreibberechtigungen für den folgenden Registrierungsunterschlüssel entfernt werden:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Dies verhindert das Erstellen des willkürlich benannten Schadsoftwarediensts im Registrierungsschlüssel netsvcs.
   
   Gehen Sie hierzu folgendermaßen vor:
   

   1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console).

   2. Erstellen Sie ein neues Gruppenrichtlinienobjekt. Geben Sie diesem einen beliebigen Namen.

   3. Öffnen Sie das Gruppenrichtlinienobjekt, und wechseln Sie in folgenden Ordner:

      Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung

   4. Klicken Sie mit der rechten Maustaste auf Registrierung, und klicken Sie dann auf Schlüssel hinzufügen.

   5. Erweitern Sie im Dialogfeld Registrierungsschlüssel auswählen die Option Computer, und wechseln Sie dann in den folgenden Ordner:

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

   6. Klicken Sie auf OK.

   7. Deaktivieren Sie in dem Dialogfeld, das sich öffnet, das Kontrollkästchen Vollzugriff für Administratoren und System.

   8. Klicken Sie auf OK.

   9. Klicken Sie im Dialogfeld Objekt hinzufügen auf Vorhandene Berechtigungen für alle Unterschlüssel mit vererbbaren Berechtigungen ersetzen.

   10. Klicken Sie auf OK.

2. Legen Sie mit der Richtlinie fest, dass Schreibberechtigungen für den Ordner "%windir%\Tasks" entfernt werden: Dies verhindert, dass die Conficker-Schadsoftware die geplanten Aufgaben erstellt, die das System erneut infizieren.
   
   Gehen Sie hierzu folgendermaßen vor:
   

   1. Wechseln Sie in dem zuvor erstellten Gruppenrichtlinienobjekt in den folgenden Ordner:

      Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem

   2. Klicken Sie mit der rechten Maustaste auf Dateisystem, und klicken Sie dann auf Datei hinzufügen.

   3. Blättern Sie im Dialogfeld Datei oder Ordner hinzufügen zum Ordner "%windir%\Tasks". Vergewissern Sie sich, dass Aufgaben markiert und im Dialogfeld Ordner aufgeführt ist.

   4. Klicken Sie auf OK.

   5. Deaktivieren Sie in dem Dialogfeld, das sich öffnet, die Kontrollkästchen Vollzugriff, Ändern und Schreiben für Administratoren und System.

   6. Klicken Sie auf OK.

   7. Klicken Sie im Dialogfeld Objekt hinzufügen auf Vorhandene Berechtigungen für alle Unterschlüssel mit vererbbaren Berechtigungen ersetzen.

   8. Klicken Sie auf OK.

3. Deaktivieren Sie die automatische Wiedergabe (AutoPlay/Autorun). Auf diese Weise verhindern Sie, dass die Conficker-Schadsoftware sich über die in Windows integrierten AutoPlay-Features ausbreitet.
   
   
   Hinweis Je nach verwendeter Windows-Version müssen unterschiedliche Updates installiert werden, um die Autorun-Funktionalität korrekt zu deaktivieren:
   
   

   • Um die Autorun-Funktionalität in Windows Vista oder Windows Server 2008 zu deaktivieren, müssen Sie Sicherheitsupdate 950582 installiert haben (beschrieben in Sicherheitsbulletin MS08-038).

   • Um die Autorun-Funktionalität in Windows XP, Windows Server 2003 oder Windows 2000 zu deaktivieren, müssen Sie Sicherheitsupdate 950582, Update 967715 oder Update 953252 installiert haben.

   
   
   Um die automatische Wiedergabe (AutoPlay/Autorun) zu deaktivieren, gehen Sie folgendermaßen vor:
   

   1. Wechseln Sie in dem zuvor erstellten Gruppenrichtlinienobjekt in einen der folgenden Ordner:
      

      • In einer Windows Server 2003-Domäne:

        Computerkonfiguration\Administrative Vorlagen\System

      • In einer Windows 2008-Domäne:

        Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Richtlinien für die automatische Wiedergabe

   2. Öffnen Sie die Richtlinie Autoplay deaktivieren.

   3. Klicken Sie im Dialogfeld Autoplay deaktivieren auf Aktiviert.

   4. Klicken Sie im Dropdownmenü auf Alle Laufwerke.

   5. Klicken Sie auf OK.

4. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

5. Verknüpfen Sie das neu erstellte Gruppenrichtlinienobjekt mit dem Verzeichnis, auf das es angewendet werden soll.

6. Geben Sie den Gruppenrichtlinieneinstellungen genügend Zeit, alle Computer zu aktualisieren. In der Regel dauert die Replikation der Gruppenrichtlinie etwa fünf Minuten für jeden Domänencontroller und anschließend 90 Minuten für die übrigen Systeme. Einige Stunden sollten daher ausreichen, aber es kann, je nach Umgebung, auch mehr Zeit erforderlich sein.

7. Bereinigen Sie die Systeme nach der Übertragung der Gruppenrichtlinieneinstellungen von Schadsoftware.
   
   Gehen Sie hierzu folgendermaßen vor:
   

   1. Führen Sie vollständige Virenscans auf allen Computern aus.

   2. Wenn die Antivirensoftware Conficker nicht erkennt, verwenden Sie Microsoft Safety Scanner, um die Schadsoftware zu beseitigen. Weitere Informationen finden Sie auf der folgenden Microsoft-Website: http://www.microsoft.com/security/scanner/de-de/Hinweis Sie müssen möglicherweise einige manuelle Schritte ausführen, um alle Auswirkungen der Schadsoftware zu beseitigen. Sie sollten die im Abschnitt "Manuelle Schritte zum Entfernen des Virus Win32/Conficker" dieses Artikels aufgeführten Schritte zum Beseitigen aller Auswirkungen der Schadsoftware lesen.

Führen Sie Microsoft Safety Scanner aus.

Microsoft Safety Scanner wurde durch das Microsoft Malware Protection Center aktualisiert. Hierbei handelt es sich um eine eigenständige Binärdatei zum Entfernen weit verbreiteter bösartiger Software, mit der Sie die Familie der Win32/Conficker-Schadsoftware entfernen können.

Hinweis Microsoft Safety Scanner verhindert keine Neuinfektion, weil es sich nicht um ein Echtzeit-Antivirenprogramm handelt.

Sie können Microsoft Safety Scanner von der folgenden Microsoft-Website herunterladen:

http://www.microsoft.com/security/scanner/de-de/
Hinweis Auch mit dem autonomen System Sweeper können Sie die Infektion beseitigen. Dieses Tool ist als Komponente von Microsoft Desktop Optimization Pack 6.0 oder über Customer Service and Support (CSS) verfügbar. Microsoft Desktop Optimization Pack steht auf der folgenden Webseite von Microsoft zum Download zur Verfügung:

http://www.microsoft.com/de-de/windows/enterprise/products-and-technologies/mdop/default.aspx Auch wenn Windows Live OneCare oder Microsoft Forefront Client Security auf dem System ausgeführt wird, wird die Bedrohung geblockt, bevor sie installiert wird.

Manuelle Schritte zum Entfernen des Virus Win32/Conficker

Hinweise:

• Diese manuellen Schritte sind nicht mehr erforderlich und sollten nur ausgeführt werden, wenn Sie nicht über Antivirussoftware verfügen, um Conficker zu entfernen.

• Je nach der Variante von Win32/Conficker, mit der der Computer infiziert ist, wurden manche der in diesem Abschnitt aufgeführten Werte vom Virus möglicherweise nicht geändert.

Die folgenden detaillierten Schritte können Ihnen helfen, Conficker manuell von Ihrem System zu entfernen:

1. Melden Sie sich mit einem lokalen Konto beim System an.
   
   
   Wichtig Melden Sie sich, wenn möglich, nicht unter Verwendung eines Domänenkontos beim System an. Melden Sie sich insbesondere nicht mit einem Domänenadministratorkonto an. Die Schadsoftware imitiert den angemeldeten Benutzer und greift unter Verwendung seiner Anmeldeinformationen auf Netzwerkressourcen zu. Durch dieses Verhalten kann sich die Schadsoftware verbreiten.

2. Halten Sie den Serverdienst an. Dadurch werden die administrativen Freigaben vom System entfernt, sodass die Schadsoftware sich nicht mit dieser Methode ausbreiten kann.
   
   
   Hinweis Der Serverdienst sollte nur kurzfristig deaktiviert werden, während Sie die Schadsoftware aus Ihrer Umgebung entfernen. Das trifft insbesondere auf Produktionsserver zu, weil dieser Schritt die Verfügbarkeit von Netzwerkressourcen beeinträchtigt. Sobald die Umgebung bereinigt ist, kann der Serverdienst wieder aktiviert werden.
   
   
   Um den Serverdienst anzuhalten, verwenden Sie das Snap-In Dienste in der Microsoft Management Console (MMC). Gehen Sie hierzu folgendermaßen vor:
   

   1. Gehen Sie je nach System folgendermaßen vor:
      

      • Klicken Sie in Windows Vista und Windows Server 2008 auf Start, und geben Sie services.msc in das Feld Suche starten ein. Klicken Sie dann in der Liste Programme auf services.msc.

      • Klicken Sie in Windows 2000, Windows XP und Windows Server 2003 auf Start und auf Ausführen, geben Sie services.msc ein, und klicken Sie dann auf OK.

   2. Doppelklicken Sie auf Server.

   3. Klicken Sie auf Beenden.

   4. Wählen Sie Deaktiviert im Feld Starttyp aus.

   5. Klicken Sie auf Übernehmen.

3. Entfernen Sie alle AT-erstellten geplanten Tasks. Geben Sie hierzu an einer Eingabeaufforderung AT/Delete/Yes ein.

4. Halten Sie den Aufgabenplanungsdienst bzw. Taskplanerdienst an.
   

   • Um den Taskplanerdienst in Windows 2000, Windows XP und Windows Server 2003 anzuhalten, verwenden Sie das Snap-In Dienste in der Microsoft Management Console (MMC) oder das Dienstprogramm "SC.exe".

   • Um den Aufgabenplanungsdienst in Windows Vista oder Windows Server 2008 anzuhalten, führen Sie diese Schritte aus.
     
     Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

     322756Sichern und Wiederherstellen der Registrierung in Windows

     1. Klicken Sie auf Start, geben Sie regedit in das Feld Suche starten ein, und klicken Sie dann in der Liste Programme auf regedit.exe.

     2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

     3. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Start DWORD-Eintrag, und klicken Sie danach auf Ändern.

     4. Geben Sie in das Feld Wert den Wert 4 ein, und klicken Sie anschließend auf OK.

     5. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.
        
        
        
        Hinweis Der Aufgabenplanungsdienst bzw. Taskplanerdienst sollte nur kurzfristig deaktiviert werden, während Sie die Schadsoftware aus Ihrer Umgebung entfernen. Das gilt insbesondere für Windows Vista und Windows Server 2008, weil dieser Schritt sich auf verschiedene integrierte geplante Aufgaben auswirkt. Sobald die Umgebung bereinigt ist, aktivieren Sie den Dienst wieder.
        

5. Laden Sie das Sicherheitsupdate 958644 (MS08-067) herunter, und installieren Sie es manuell. Weitere Informationen hierzu finden Sie auf folgender Website von Microsoft:

   http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS08-067.mspxHinweis Diese Website wird möglicherweise aufgrund der Infektion mit der Schadsoftware blockiert. In diesem Fall müssen Sie das Update über einen nicht infizierten Computer herunterladen und die Updatedatei anschließend auf das infizierte System übertragen. Es empfiehlt sich, das Update auf eine CD zu brennen, weil die gebrannte CD schreibgeschützt ist, und somit nicht infiziert werden kann. Ist keine beschreibbare CD verfügbar, ist ein auswechselbares USB-Speicherlaufwerk ggf. die einzige Möglichkeit, um das Update auf das infizierte System zu kopieren. Wenn Sie ein Wechsellaufwerk verwenden, beachten Sie, dass die Schadsoftware das Laufwerk über eine "Autorun.inf"-Datei infizieren kann. Nachdem Sie das Update auf das Wechsellaufwerk kopiert haben, sollten Sie das Laufwerk daher unbedingt in den schreibgeschützten Modus wechseln, wenn diese Option für das Gerät verfügbar ist. Ist ein Schreibschutz verfügbar, wird er üblicherweise über einen physischen Schalter am Gerät aktiviert. Nachdem Sie anschließend die Updatedatei auf den infizierten Computer kopiert haben, überprüfen Sie, ob eine "Autorun.inf"-Datei auf das Wechsellaufwerk geschrieben wurde. Wenn ja, benennen Sie diese "Autorun.inf"-Datei beispielsweise in "Autorun.bad" um, sodass sie beim Anschließen des Wechsellaufwerks an einen Computer nicht ausgeführt werden kann.

6. Legen Sie für alle Kennwörter von lokalen Administratoren und Domänenadministratoren neue, sichere Kennwörter fest. Weitere Informationen hierzu finden Sie auf folgender Website von Microsoft:

   http://technet.microsoft.com/de-de/library/cc875814.aspx

7. Klicken Sie im Registrierungs-Editor auf folgenden Registrierungsunterschlüssel:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Eintrag netsvcs, und klicken Sie anschließend auf Ändern.

9. Wenn der Computer mit dem Virus Win32/Conficker infiziert ist, ist dort ein zufällig erzeugter Dienstname aufgelistet.
   
   
   Hinweis Bei Win32/Conficker.B bestand der Dienstname aus willkürlichen Buchstaben und befand sich am Ende der Liste. Bei späteren Varianten kann der Dienstname an beliebiger Stelle in der Liste stehen und legitim erscheinen. Wenn der zufällig erzeugte Dienstname sich nicht am Ende befindet, vergleichen Sie Ihr System mit der "Tabelle der Dienste" in dieser Prozedur, um zu bestimmen, welcher Dienstname möglicherweise durch Win32/Conficker hinzugefügt wurde. Vergleichen und überprüfen Sie die Liste in der "Tabelle der Dienste" anhand eines ähnlichen Systems, von dem Sie wissen, dass es nicht infiziert ist.
   
   
   Notieren Sie sich den Namen des Schadsoftwarediensts. Diese Informationen benötigen Sie weiter unten in dieser Prozedur.

10. Löschen Sie die Zeile mit dem Verweis auf den Schadsoftwaredienst. Vergewissern Sie sich, dass unter dem letzten gültigen Eintrag der Liste eine leere Zeilenschaltung eingefügt ist, und klicken Sie dann auf OK.
    
    
    
    Hinweise zur Tabelle der Dienste

    • Alle mit Ausnahme der hervorgehoben dargestellten Elemente in der Tabelle der Dienste sind gültige Einträge.

    • Die hervorgehoben dargestellten Elemente sind Beispiele für Einträge, die durch den Virus Win32/Conficker zum netsvcs-Wert im Registrierungsschlüssel SVCHOST hinzugefügt werden können.

    • Die Liste der Dienste ist möglicherweise nicht vollständig, je nachdem, welche Komponenten auf Ihrem System installiert sind.

    • Die Tabelle der Dienste stammt aus der Standardinstallation von Windows.

    • Bei dem zur Liste hinzugefügten Eintrag wendet der Win32/Conficker-Virus eine Verschleierungstechnik an. Bei dem hervorgehoben dargestellten bösartigen Eintrag soll der erste Buchstabe wie ein kleinen "L" aussehen. Tatsächlich handelt es sich aber um ein großes "I". Aufgrund der vom Betriebssystem verwendeten Schriftart sieht das große "I" wie ein kleines "L" aus.

    Tabelle der Dienste

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Themes	Themes	Browser	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Browser	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Schedule	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Schedule
    wuauserv	wuauserv	Themes	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Themes
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    browser	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	schedule	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	browser		xmlprov
    schedule	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

11. Weiter oben haben Sie sich den Namen des Schadsoftwarediensts notiert. In unserem Beispiel lautete der Name des Schadsoftwareeintrags "Iaslogon". Führen Sie unter Verwendung dieser Informationen die folgenden Schritte aus:
    

    1. Klicken Sie im Registrierungs-Editor auf folgenden Unterschlüssel, wobei BadServiceName der Name des Schadsoftwarediensts ist:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Klicken Sie auf den folgenden Registrierungsunterschlüssel:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Unterschlüssel für den Namen des Schadsoftwarediensts, und klicken Sie dann auf Berechtigungen.

    3. Klicken Sie im Dialogfeld Berechtigungseintrag für SvcHost auf Erweitert.

    4. Aktivieren Sie im Dialogfeld Erweiterte Sicherheitseinstellungen die beiden folgenden Kontrollkästchen:

       Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben. Diese mit den hier definierten Einträgen mit einbeziehen.
       
       Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen.

12. Drücken Sie die Taste F5, um den Registrierungs-Editor zu aktualisieren. Im Detailbereich können Sie jetzt die Schadsoftware-DLL sehen und bearbeiten, die als "ServiceDll" geladen wird. Gehen Sie hierzu folgendermaßen vor:
    

    1. Doppelklicken Sie auf den ServiceDll-Eintrag.

    2. Notieren Sie sich den Pfad der referenzierten DLL. Diese Informationen benötigen Sie weiter unten in dieser Prozedur. Der Pfad der referenzierten DLL kann beispielsweise wie folgt aussehen: %SystemRoot%\System32\doieuln.dll Benennen Sie den Verweis um, sodass er etwa so wie in dem folgenden Beispiel aussieht: %SystemRoot%\System32\doieuln.old

    3. Klicken Sie auf OK.

13. Entfernen Sie den Eintrag des Schadsoftwarediensts aus dem Run-Registrierungsunterschlüssel.
    

    1. Klicken Sie im Registrierungs-Editor auf die folgenden Registrierungsunterschlüssel:

       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. Suchen Sie in beiden Unterschlüsseln alle Einträge, die mit "rundll32.exe" beginnen und die auf die als "ServiceDll" geladene Schadsoftware-DLL verweisen, die Sie in Schritt 12b ermittelt haben. Löschen Sie den Eintrag.

    3. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

14. Suchen Sie auf allen Laufwerken des Systems nach "Autorun.inf"-Dateien. Öffnen Sie jede dieser Dateien mit dem Editor, und vergewissern Sie sich, dass es sich um gültige "Autorun.inf"-Dateien handelt. Beispiel für eine typische gültige "Autorun.inf"-Datei.
    

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    

    Eine gültige "Autorun.inf"-Datei verfügt über eine Größe von 1 bis 2 KB.

15. Löschen Sie alle "Autorun.inf"-Dateien, die Ihnen verdächtig erscheinen.

16. Starten Sie den Computer neu.

17. Blenden Sie versteckte Dateien ein. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

18. Aktivieren Sie Alle Dateien und Ordner anzeigen, damit Sie die Datei sehen können. Gehen Sie hierzu folgendermaßen vor:
    

    1. in Schritt 12b haben Sie sich den Pfad der referenzierten DLL-Datei für die Schadsoftware notiert. Der notierte Pfad könnte beispielsweise wie folgt aussehen:

       %systemroot%\System32\doieuln.dll Wechseln Sie in Windows Explorer ins Verzeichnis "%systemroot%\System32" bzw. in das Verzeichnis, das die Schadsoftware enthält.

    2. Klicken Sie auf Extras und danach auf Ordneroptionen.

    3. Klicken Sie auf die Registerkarte Ansicht.

    4. Aktivieren Sie das Kontrollkästchen Alle Dateien und Ordner anzeigen.

    5. Klicken Sie auf OK.

19. Wählen Sie die DLL-Datei aus.

20. Setzen Sie die Berechtigungen für die Datei auf Vollzugriff für Jeder. Gehen Sie hierzu folgendermaßen vor:
    

    1. Klicken Sie mit der rechten Maustaste auf die DLL-Datei, und klicken Sie danach auf Eigenschaften.

    2. Klicken Sie auf die Registerkarte Sicherheit.

    3. Klicken Sie auf Jeder, und aktivieren Sie dann in der Spalte Zulassen das Kontrollkästchen Vollzugriff.

    4. Klicken Sie auf OK.

21. Löschen Sie die referenzierte DLL-Datei für die Schadsoftware. Löschen Sie beispielsweise die Datei "%systemroot%\System32\doieuln.dll".

22. Aktivieren Sie die Dienste BITS, Automatische Updates, Fehlerberichterstattung und Windows Defender mithilfe des Snap-Ins Dienste in der Microsoft Management Console (MMC).

23. Deaktivieren Sie AutoAusführen (Autorun), um die Gefahr einer Neuinfektion zu verringern. Gehen Sie hierzu folgendermaßen vor:
    

    1. Installieren Sie in Abhängigkeit von Ihrem jeweiligen System eines der folgenden Updates:
       

       • Wenn Sie Windows 2000, Windows XP oder Windows Server 2003 ausführen, installieren Sie Update 967715.
         Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
         
         

         967715 Deaktivieren der Autorun-Funktionalität in Windows
         
         

       • Wenn Sie Windows Vista oder Windows Server 2008 ausführen, installieren Sie Sicherheitsupdate 950582.
         Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

         950582MS08-038: Sicherheitsrisiko in Windows Explorer kann Remotecodeausführung ermöglichen.

       Hinweis Update 967715 und Sicherheitsupdate 950582 stehen nicht in Verbindung mit diesem Schadsoftwareproblem. Die Updates müssen installiert sein, um die Registrierungsfunktion in Schritt 23b zu ermöglichen.

    2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

24. Wenn auf dem System Windows Defender ausgeführt wird, aktivieren Sie das Windows Defender-Autostart-Verzeichnis wieder. Geben Sie hierzu an der Eingabeaufforderung den folgenden Befehl ein:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f

25. Bei Windows Vista und neueren Betriebssystemen deaktiviert die Schadsoftware die globalen Einstellungen von Autom. Abstimmungsgrad Empfangsfenster für TCP. Um diese Einstellung wieder zu aktivieren, geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    netsh interface tcp set global autotuning=normal

Wenn der Computer nach Abschluss dieser Prozedur erneut infiziert zu sein scheint, können folgende Bedingungen vorliegen:

• Eines der Autostart-Verzeichnisse wurde nicht gelöscht. Entweder wurde der AT-Auftrag nicht entfernt, oder eine "Autorun.inf"-Datei wurde nicht gelöscht.

• Das Sicherheitsupdate für MS08-067 wurde nicht ordnungsgemäß installiert.

Die Schadsoftware kann weitere Einstellungen ändern, die in diesem Artikel nicht behandelt werden. Auf der folgenden Microsoft Malware Protection Center-Webseite finden Sie die neuesten Details zu Win32/Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Überprüfen Sie, ob das System bereinigt wurde.

Stellen Sie sicher, dass die folgenden Dienste gestartet wurden:

• Automatische Updates (wuauserv)

• Intelligenter Hintergrundübertragungsdienst (BITS)

• Windows Defender (windefend) (wenn zutreffend)

• Windows-Fehlerberichterstattungsdienst

Geben Sie hierzu an der Eingabeaufforderung die folgenden Befehle ein: Drücken Sie nach jedem Befehl die EINGABETASTE:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Nach Ausführen jedes einzelnen Befehls wird möglicherweise eine Meldung etwa folgenden Inhalts angezeigt:

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
In diesem Beispiel gibt "STATE : 4 RUNNING" an, dass der Dienst ausgeführt wird.

Gehen Sie folgendermaßen vor, um den Status des Registrierungsunterschlüssels Svchost zu überprüfen:

1. Klicken Sie im Registrierungs-Editor auf folgenden Registrierungsunterschlüssel:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

2. Doppelklicken Sie im Detailbereich auf netsvcs, und überprüfen Sie die aufgelisteten Dienstnamen. Blättern Sie zum Ende der Liste. Wenn der Computer erneut mit Conficker infiziert ist, wird dort ein zufällig erzeugter Dienstname aufgeführt. In diesem Beispiel lautet der Name des Schadsoftwarediensts "Iaslogon".

Falls das Problem durch die in diesem Artikel beschriebenen Schritte nicht behoben werden konnte, wenden Sie sich an den Hersteller Ihrer Antivirensoftware.
Weitere Informationen zu diesem Problem finden Sie im folgenden Artikel der Microsoft Knowledge Base:

49500Liste von AntivirensoftwareherstellernWenn Sie keinen Antivirensoftwarehersteller ansprechen können oder wenn Ihr Antivirensoftwarehändler nicht helfen kann, wenden Sie sich an Microsoft Consumer Support Services, um Unterstützung zu erhalten.

Nach der vollständigen Bereinigung der Umgebung

Führen Sie nach der vollständigen Bereinigung der Umgebung folgende Schritte aus:

1. Aktivieren Sie den Serverdienst und den Aufgabenplanungs- bzw. Taskplanerdienst wieder.

2. Stellen Sie die Standardberechtigungen für den SVCHOST-Registrierungsschlüssel und den Aufgabenordner wieder her. Verwenden Sie zum Wiederherstellen der Standardeinstellungen die Gruppenrichtlinieneinstellungen. Wird eine Richtlinie lediglich entfernt, werden die Standardberechtigungen unter Umständen nicht wiederhergestellt. Weitere Informationen hierzu finden Sie in der Tabelle der Standardberechtigungen im Abschnitt "Schritte zur Abwehr".
   
   

3. Aktualisieren Sie den Computer, indem Sie alle fehlenden Sicherheitsupdates installieren. Verwenden Sie dazu Windows Update, den Microsoft-WSUS-Server (Windows Server Update Services), Systems Management Server (SMS), System Center Configuration Manager (SCCM) oder Ihr Updatemanagementprodukt eines Fremdanbieters. Wenn Sie SMS oder SCCM verwenden, müssen Sie zuerst den Serverdienst reaktivieren. Andernfalls kann SMS oder SCCM das System möglicherweise nicht aktualisieren.