Genaue schrittweise Anleitung zur Conficker Bereinigung

Bevor Sie mit der Bereinigung beginnen stellen Sie bitte sicher, dass der Conficker bereits als solcher von Avira beim Prüfvorgang erkannt wird. Sollte dies nicht der Fall sein, lassen Sie uns dies bitte wissen. Eine Entfernung ohne die Deklarierung als "Conficker" ist nicht möglich.

Führen Sie bitte folgende Schritte durch:

  1. Führen Sie die auf der folgenden Webseite unter "Schritte zur Abwehr" beschriebenen Schritte durch.
    Schritt 3 können Sie hier auslassen, da dies später über ein Script realisiert wird, Schritt 7 ebenfalls, da dies durch die weiteren Schritte erfolgt
     
  2. Auf den Servern:
    Laden Sie sich folgende Dateien herunter: Microsoft Patches:
    1. Trennen Sie die Server vom Netzwerk (physikalisch, Kabel ziehen oder Switch ausschalten)
    2. Installieren Sie nun die Patches von Microsoft (falls nicht bereits geschehen)
    3. Führen Sie anschließend ein manuelles Update durch:
    4. Stoppen Sie den folgenden Avira Dienst:
      • Server Echtzeit Scanner
    5. Entpacken Sie nun die Datei in den Ordner C:\Programme\Avira\AntiVir Server\ und überschreiben Sie die vorhandenen Dateien. Starten Sie anschließend die oben genannten Dienste wieder.
    6. Führen Sie nun mit Avira Server Security eine Vollständige Systemprüfung durch: PlanerNeuer Auftrag mit dem Wizard erstellen → PrüfauftragVollständige Systemprüfung
    7. Verbinden Sie den Server wieder mit dem Netzwerk
    8. Sollte eine erneute Infektion auftreten, dann führen Sie bitte nochmals einen Prüfvorgang (mit AV 10 Server) durch und senden Sie uns anschließend die Logfiles:
      • Windows Server 2000/2003: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Server\logfiles
      • Windows Server 2008: C:\ProgramData\Avira\AntiVir Server\logfiles
  3. Auf den Clients:
    1. Installieren Sie die drei Patches auf allen Clients. Sollten Sie die Updates nicht auf allen Rechnern installieren, so wäre eine Neuinfektion möglich. Alternativ können Sie die Updates über einen Microsoft WSUS einspielen
    2. Deaktivieren Sie auf allen Clients die Windows Systemwiederherstellung
    3. Führen Sie ein Update des IUM (falls verwendet) sowie aller Avira Produkt-Versionen im Netz durch
    4. Öffnen Sie nun das Security Management Center und klicken Sie mit der rechten Maustaste auf die Sicherheitsumgebung. Wählen Sie Installation → Produkt (Avira Professional Security oder Avira Server Security) → Dateien kopieren. Fügen Sie die folgenden beiden Dateien hinzu:
      • Conficker_registry_fix.reg
      • conficker_reg.bat
      Wichtig: Fügen Sie zuerst die Datei Conficker_registry_fix.reg hinzu und anschließend die Datei conficker_reg.bat. Für die Datei conficker_reg.bat setzen Sie bitte einen Haken auf Markierte Datei nach Kopiervorgang ausführen.

      Hierdurch wird der Autostart für CDs und USB Sticks deaktiviert. Dies ist empfohlen, da der Conficker sich über diese Funktion verbreitet.
    5. Starten Sie die Rechner neu
    6. Führen Sie eine Konfigurationsaufgabe (Rechte Maustaste auf Sicherheitsumgebung → KonfigurationAvira Professional Security Konfigurieren) auf den Clients aus, welche für den System Scanner als Aktion bei Fund automatisch die Option "Primäre Aktion= Reparieren" und "Sekundäre Aktion=Umbenennen" setzt.

      So können Sie sicherstellen, dass kein Anwender die Entfernung abbricht.
    7. Verwenden Sie nun nochmals die Funktion Datei kopieren (Im Menüpunkt Avira Professional Security) und kopieren Sie die beiden folgenden Dateien:
      • rootkit.avp
      • rootkit_scan.bat
      Kopieren Sie hier zuerst die Datei rootkit.avp und dann die Datei rootkit_scan.bat. Für die Datei rootkit_scan.bat setzen Sie bitte wiederrum einen Haken auf Markierte Datei nach Kopiervorgang ausführen.

      Dies startet den Rootkits-Scan welcher die evtl. bereits installierten Conficker löscht.
    8. Starten Sie die Rechner neu
    9. Führen Sie nun noch einen "normalen" Prüfvorgang über alle Lokalen Laufwerke aus
    10. Sollten Sie anschließend weiteres virulentes Verhalten feststellen oder ein erneuter Fund beim Scan auftreten, so führen Sie bitte den Avira Support Collector auf dem Rechner aus und senden Sie uns die erstellte Logdatei per Email zu.

      Video: Ausführen des Support Collectors und das Versenden der Logdatei

Es kann nun anschließend sein, dass Sie immer wieder Virenmeldungen auf den Clients erhalten. Dies kann solange auftreten, bis alle aktiven Conficker auf allen Rechnern im Netzwerk entfernt wurden.

Betroffene Produkte

  • Avira AntiVir Support Collector [Windows]
  • Avira Professional Security [Windows]
  • Avira Server Security [Windows]
  • Avira Rescue System [Not relevant]
  • Avira Professional Security, Version 2012 [Windows]
  • Avira Server Security, Version 2012 [Windows]
  • Avira Small Business Security Suite (Neu-Installation) [Windows]
  • Erstellt : Freitag, 14. August 2009
  • Zuletzt aktualisiert: Dienstag, 21. Mai 2013
  • Diesen Artikel bewerten
War das hilfreich?