Pressebüro NET

Doch woher weiß man überhaupt, dass man sich Conficker eingefangen hat? Hier gibt es ein paar eindeutige Hinweise darauf, ob auch das eigene System vom Wurm befallen wurde:

Browser wird »umgeleitet«: Auf einem mit Conficker infizierten Rechner laufen Suchanfragen über Google ins Leere. Die Trefferliste weist Resultate auf, die überhaupt nichts mit den eingegebenen Suchbegriffen zu tun haben. Selbst die Homepage von Google wird nicht geladen. Es kommt stattdessen die Fehlermeldung »Navigation abgebrochen«.

Mysteriöse DLL-Fehlermeldungen: Bereits beim Booten, vor dem Start von Programmen, meldet sich Windows mit vielen merkwürdigen DLL-Fehlern, etwa »wxyghyzing.dll konnte nicht geladen werden«. Wenn der Anwender diese Meldungen weggeklickt hat, lassen sich installierte Programme, etwa Word oder Excel, zwar öffnen. Doch zuvor erscheint nochmals eine DLL-Fehlermeldung, auch wenn Word anschließend normal startet.

Probleme mit Peer-to-Peer-Programmen treten auf: P2P-Software wie Kazaa oder Musik-Download-Portale wie Napster funktionieren nicht. Sie können entweder keine Verbindung zum Portal herstellen oder der Rechner hat die User-Profile »vergessen«.

Probleme mit Treibern: USB-Geräte oder MP3-Player beziehungsweise deren Treibern werden vom Rechner nicht mehr erkannt. Gleiches gilt für Drucker, und zwar für lokale und Netzwerk-Printer. Verbindung zu Sicherheits-Web-Seiten wird blockiert: Wie bereits berichtet, unterbindet Conficker jeden Versuch, auf die Web-Seiten von IT-Sicherheitsfirmen zu gelangen, etwa symantec.de, trendmicro.de et cetera. Auch Microsofts Update-Service wird lahmgelegt.

Dagegen kommt es nicht zu einer spürbaren Verlangsamung des Systems. Auch der Zugriff auf Festplatten ist weiterhin möglich.

Sollte man sich den wurm tatsächlich eingefangen haben, helfen folgende Schritte:

CD mit Anti-Conficker-Tool brennen: Um Conficker zu eliminieren, beschafften sich die Mitarbeiter des Threat-Network zunächst das kostenlose Conficker-Clean-up-Tool von Sophos. Da die USB-Ports lahmgelegt waren, brannten sie es auf eine CD-ROM. Unter »Verwandte Artikel« sind übrigens Beiträge mit Links zu Tools anderer Anbieter zu finden.

Rechner vom Netz nehmen: Um eine Reinfektion zu verhindern, wurden alle Netzwerkverbindungen des infizierten Systems deaktiviert, auch der WLAN-Adapter.

Systemwiederherstellung deaktivieren: Damit nicht ein infiziertes System-Backup von Windows eingespielt wird, sollte die Systemwiederherstellung abgeschaltet werden. Den Reiter finden Sie in der »Systemsteuerung« unter »System/Systemwiederherstellung«. Das Clean-up-Tool laufen lassen: Das Anti-Conficker-Tool von der CD-ROM aus starten und den Virus »killen« lassen. Neu booten und einen Intensiv-Scan durchführen: Nach dem Neustart des Testrechners tauchten immer noch DLL-Fehlermeldungen auf. Allerdings funktionierten Web-Browser und USB-Ports wieder einwandfrei. Es empfiehlt sich, nach dem Neustart das gesamte System mit einer Antiviren-Software komplett zu scannen (Intensiv-Scan, kein Schnelldurchlauf).

Fehler in Registry beseitigen: Nötigenfalls Fehler in der Registry mithilfe von Tools wie etwa Tune-Up-Utilities beheben. Eine Testversion ist auf der Web-Seite des Anbieters kostenlos erhältlich. Allerdings ist beim Einsatz solcher Tools Vorsicht am Platz. Tune Up erstellt allerdings ein Backup der alten Registry-Version, bevor es Änderungen vornimmt.

Netzwerkfähige Removal-Tools: Sophos bietet übrigens, so wie einige andere IT-Sicherheitsfirmen wie etwa Bitdefender, auch eine netzwerkfähige Version des Anti-Conficker-Programms an.