locked
Problemas com Vírus Conficker RRS feed

  • Pergunta

  • Galera, já postei aqui sobre problemas com vírus conficker, mas ainda não consegui resolver totalmente.

    O que acontece é que todos os dias o meu antivírus pega arquivos no system32 com o mesmo nome, ele exclui e após algumas horas o arquivo é recriado. qezem.ku...

    O vírus não está mais conseguindo criar jobs nas tarefas agendadas, ele só fica criando esse arquivo mesmo.

    Já passei todas as vacinas que vcs imaginaram, Symantec fixdownadup, kk.exe, EConfickerRemove, ConTest, conficker detectiontool, etc.Já alterei as permições do Svchost, alterei a conta de criação de jobs e no máximo eu consegui fazer com que o vírus cause problemas, mas ele ainda existe e está presente em pelo menos uns 3 servidores.

    Já Segui vários tutoriais sobre o vírus conficker. E o maior problema é que eu tenho um parque de Servidores razoável, são mais ou menos 12 Servidores e 400 estações de trabalho.

    Desde já agradeço galera,


    AdsInfo.

     


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 12 de julho de 2010 14:08

Respostas

Todas as Respostas

  • Fica complicado porque você retira de um micro dai o outro tem. Uma idéia: qual solução antivirus você possui? Na minha empesa é o mcafee, e por ele consegue bloequear acesso a compartilhamento (ate os administrativos). Feito isso provisoriamente, você começa a desifecção dos micros.´Depois você libera os compartilhamentos.... é trabalhoso...
    segunda-feira, 12 de julho de 2010 14:55
  • O Problema é que já fiz isso. Vim no final de semana e desliguei simplesmente todos os Servidores e micros. Ai passei o antivírus em todos, rodei as ferramentas de remoçao do Conficker, ela acharam vários arquivos infectados e removeram. Troquei a senha de adm local e de adm do domínio, porém o problema persiste.

    Tinha o McAfee instalado e como ele não resolveu instalei o Symantec EndPoint Protection. O McAfee eu sei que teve problemas com o Conficker, até pq informaram isso oficialmente, mas mesmo com o Symantec o problema persiste.

     


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 12 de julho de 2010 15:23
  • Já tentou o kaspersky?
    segunda-feira, 12 de julho de 2010 17:14
  • Já tentou o kaspersky?

    Sim, kk.exe etc.

    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 12 de julho de 2010 17:35
  • Ja tentou a  solução da ESET:

    http://www.eset.com/blog/2009/03/28/conficker-removal

    Rode tbm nas estações....

    Rode em um servidor, e faça o teste tirando o cabo de rede.... Caso não volte a infecção pode esta vindo de outra maquina!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    segunda-feira, 12 de julho de 2010 17:49
  • Já usei está ferramenta também. Só não queria ter que parar tudo novamente para resolver isso, já que só vou saber se resolveu o problema após algumas horas com o Servidor ligado novamente.


    A minha empresa trabalha de Segunda a Sábado, então só me resta o Domingo para fazer isso, e não dá tempo escanear todas as máquinas (400) e todos os Servidores (15), mantendo todos desconectados da rede.

    Alguém sabe me dizer o que esse vírus causa de problema nos micro? Até agora só sei que ele cria jobs nas tarefas agendas e replica, mas ele causa mais algum problema? Danifica o Windows?

    Obrigado,

    AdsInfo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 12 de julho de 2010 18:24
  • Então Caio, eu fiz exatamente isso em todos os Servidores que tenho. Será que preciso seguir o mesmo procedimento em todas as minhas estações de trabalho também?

    A questão é que eu tenho um parque muito grande de computadores e Servidores, então se eu tiver que desconectar todos e seguir este procedimento em todas será muito dificil eu conseguir concluir em um dia... acho que nem ficando 24h... rsss

    Será que não tem outro modo de fazer remover esse vírus?

    Achei que limpando os servidores e mudando as senhas de admnistardor, teria o problema resolvido.

     

    Obrigado,

     

    AdsInfo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 12 de julho de 2010 19:41
  • A sugestão nº 4 foi a melhor, que pena que jamais vou conseguir isso. rss

     

    Obrigado amigo. Vou ter que apanhar nisso mesmo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    terça-feira, 13 de julho de 2010 12:11
  • Caio, mais uma dúvida. Não sei se vc conhece a ferramenta ConTest da McAfee que procura micros infectados com o Conficker na rede. Quando executo ela, não encontro nada, só as vezes aparece um ou outro. Estranho neh?

    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    terça-feira, 13 de julho de 2010 12:24
  • Olá AdsInfo,

    Já fui responsável por remover o Conficker da rede em um domingo também, porém, em um cenário bem menor que o seu (80 estações de trabalho).

    Primeiramente, saiba que este passo-a-passo que vou te passar pode e deve ser executado em uma máquina por vez. Use a conta de administrador ou outra com privilégios administrativos para executar a limpeza.

    1) Baixe os softwares indicados abaixo.

    2) Retire a máquina da rede

    3) Desative a restauração do sistema. Caso precise de ajuda, siga o artigo: http://support.microsoft.com/default.aspx?kbid=283073

    4) Instale a atualização da Microsoft para prevenir a re-infecção.

    5) Instale a ferramenta para remover o Conficker desenvolvida pela Kaspersky

    6) Instale a ferramenta para remover o Conficker desenvolvida pela Symantec

    7) Instale o Microsoft Malicious Software Removal Tool

    8) Reinicie a máquina.

    Assim a máquina estará livre do Conficker, e vacinada contra uma possível tentativa de re-infecção.

     
     
    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre.

    Espero ter ajudado.

    Atenciosamente,


    Caio Vilas Boas
    MCT  |  Technology Consultant

     Caio Vilas Boas
     IT Pro Group
     Linked-in
     Twitter

    • Sugerido como Resposta Adriel Gavazza terça-feira, 7 de maio de 2013 03:27
    • Marcado como Resposta Adriel Gavazza terça-feira, 7 de maio de 2013 03:28
    terça-feira, 7 de maio de 2013 00:28
  • Olá AdsInfo,

    Infelizmente terá que ser executado em todas as estações da rede. Para automatizar e agilizar o processo, algumas dicas:

    1) Você pode desabilitar a restauração do sistema por GPO. Siga o artigo http://support.microsoft.com/default.aspx?kbid=283073

    2) Para instalar o siga o artigo Implantação da Microsoft Malicious Software Removal Tool em um ambiente corporativo: http://support.microsoft.com/kb/891716/

    3) Para atualizar as GPOs nas estações imediatamente, sempre que desejar, pode seguir o meu artigo Atualização Remota de GPOs: http://www.caiovilas.com/post/Atualizacao-remota-de-GPO-Parte-1.aspx

    4) Contrate estagiários! Brincandeira ;D

     
     
    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre.

    Espero ter ajudado.

    Atenciosamente,


    Caio Vilas Boas
    MCT  |  Technology Consultant

     Caio Vilas Boas
     IT Pro Group
     Linked-in
     Twitter

    • Sugerido como Resposta Adriel Gavazza terça-feira, 7 de maio de 2013 03:27
    • Marcado como Resposta Adriel Gavazza terça-feira, 7 de maio de 2013 03:28
    terça-feira, 7 de maio de 2013 00:28