Fragen zu Conficker

16/02/2009 - 14:47 von Karin Weber | Report spam
Hallo allerseits,

ich such mir so ein bisschen den Wolf, und ein paar Details sind mir
noch nicht klar: grob gesagt, scheint sich das Tier ja via Eintràgen
unter HLM als ein svchost-service einzutragen. Da mutet es mich doch
an, daß man sich den virus eigentlich nur einfangen kann, wenn man mit
Admin-Rechten arbeitet/surft. Oder ist das so nicht richtig?

Hintergrund und nàchste Fragen: lt. Telefonferndiagnose hatte ein
Freundin sich den conficker installiert. Ich habe ihr nun ein neues
Notebook aufgesetzt, mit dem Script von netsvcfg abgedichtet und sie
als eingeschrànkten Benutzer eingerichtet. Was man halt so tut ;-)
Nun hatte sie auf einer externen HDD ihre Fotos gesichert (sonst ist da
nix drauf, bzw. sollte es sein ;-)), es ist unbekannt, ob das vor oder
nach der Infektion war. Ich habe gelesen, daß sich Conficker via
autorun Eintràgen auch über solche Medien verbreitet. Wie können wir
nun *sicher* diese Platte überprüfen?
Habe ich das richtig verstanden, daß man a) einen Patch von MS braucht,
und b) die registry anpassen muß, um Autorun sicher zu deaktivieren?
Wenn man nun dies getan hat, würde dann ein Virenscanner entsprechende
Eintràge finden und löschen? Eigentlich sollten doch die Fotodateien zu
retten sein, oder?

Oops, wir sprechen von einem aktuellen Win XP/SP3

Danke schon mal und Gruß,
Karin
 

Lesen sie die antworten

#1 Ottmar Freudenberger
16/02/2009 - 19:00 | Warnen spam
"Karin Weber" schrieb:

ich such mir so ein bisschen den Wolf, und ein paar Details sind mir
noch nicht klar: grob gesagt, scheint sich das Tier ja via Eintràgen
unter HLM als ein svchost-service einzutragen. Da mutet es mich doch
an, daß man sich den virus eigentlich nur einfangen kann, wenn man mit
Admin-Rechten arbeitet/surft. Oder ist das so nicht richtig?



Es gibt verschiedene Varianten davon, aber grundsàtzlich ist das
richtig. http://support.microsoft.com/kb/962007

Ich habe gelesen, daß sich Conficker via
autorun Eintràgen auch über solche Medien verbreitet. Wie können wir
nun *sicher* diese Platte überprüfen?



Durch das vollstàndige Deaktivieren von AutoRun/AutoPlay, wozu die
Installation eines nicht über Windows Update verfügbaren Updates von
Nöten ist, siehe http://patch-info.de/artikel/2008/08/12/544

Habe ich das richtig verstanden, daß man a) einen Patch von MS braucht,
und b) die registry anpassen muß, um Autorun sicher zu deaktivieren?



Ja.

Wenn man nun dies getan hat, würde dann ein Virenscanner entsprechende
Eintràge finden und löschen?



Ein Virenscanner findet immer nur das, wonach er sucht. Ob nach einem
Befall mit Schadsoftware ein vollstàndiges Löschen möglich ist, ist
doch sehr zweifelhaft - zumal die Auswirkungen eines Wurms kaum anders
"repariert" werden können, als durch das komplette Neuaufsetzen des
Systems. Anschließend empfiehlt es sich, überall die Passwörter zu
àndern - und latürnich als allererstes bei aktivierter Windows Firewall
unverzüglich und exklusiv die Windows Update-Seite mit dem IE anzusteuern,
um nach den fehlenden Updates suchen und sie installieren zu lassen.

Bye,
Freudi
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches für IE, OE und WinXP: http://patch-info.de

Ähnliche fragen