none
Vírus encontrado no Servidor Windows Server 2008 R2 - Detectado pelo Antivírus NOD32 - RRS feed

  • Pergunta

  • Estamos com a seguinte situação: O Antivirus NOD32, detectou dois vírus em nosso servidor e fez a exclusão, só que continua a aparecer os arquivos infectados, estou preocupada pois é o nosso servidor de Domínio, AD e aquivos.

    Os vírus encontrados foram: Inf/Autorun.gen - Cavalo de Tróia e Win32/Autorun.VB.V Worm.

    Gostaria de saber se fazendo essa exclusão não irá comprometar o funcionamento do meu servidor e como faço pra REMOVER de vez esses dois vírus.

    Segue abaixo o local onde ele está alocado.

    14/02/2011 19:27:13 Proteção em tempo real do sistema de arquivos arquivo E:\Departamentos\autorun.inf INF/Autorun.gen cavalo de Tróia  AUTORIDADE NT\SISTEMA Ocorreu um evento em um arquivo modificado pelo aplicativo: C:\Windows\System32\dfsrs.exe.

    14/02/2011 19:27:00 Proteção em tempo real do sistema de arquivos arquivo E:\System Volume Information\DFSR\Private\{1EEC89D7-1A43-4C46-B14A-9669FC2B8C61}-{11535F81-D9CC-49DE-9935-E47AE3E64D27}\Installing\autorun-{2ECECE7C-7971-41F8-AB96-2594E5F4A2E2}-v368395.inf INF/Autorun.gen cavalo de Tróia  AUTORIDADE NT\SISTEMA Ocorreu um evento em um arquivo modificado pelo aplicativo: C:\Windows\System32\dfsrs.exe.

    EXCLUÍDO - 14/02/2011 19:21:25 Proteção em tempo real do sistema de arquivos arquivo E:\System Volume Information\DFSR\Private\{1EEC89D7-1A43-4C46-B14A-9669FC2B8C61}-{11535F81-D9CC-49DE-9935-E47AE3E64D27}\Installing\autorun-{2ECECE7C-7971-41F8-AB96-2594E5F4A2E2}-v368395.inf INF/Autorun.gen cavalo de Tróia limpo por exclusão - em quarentena AUTORIDADE NT\SISTEMA Ocorreu um evento em um arquivo modificado pelo aplicativo: C:\Windows\System32\dfsrs.exe.

     Encontramos no iniciar e no registro do sistema o seguinte arquivo MTxhotplugservice, podemos remover?

    terça-feira, 15 de fevereiro de 2011 16:51

Respostas

  • Olá Liliane...

    Observer se nas tarefas agendadas se há tarefas que não foram criadas por você!

    E se há uma quantidade absurda de processos com o mesmo nome executando.

    Verifique em todas as máquinas da sua empresa se mais algum micro está com o mesmo vírus, pois o vírus se propaga pela rede.

    Se sim, você tem um grande problema.

    Pode ser Conficker, tive esse problema com o Servidor de uma grande empresa do Brasil aqui em Santos. E todas as máquinas estavam infectadas, no servidor constava 135 processos do RUNDLL32.EXE, o anti-vírus Symantec Endpoint achava, removia, porém o vírus voltava, havia tarefas agendadas, tipo AT01, AT02, AT03 e tudo isso era constante.Fizemos o procedimento abaixo em todas as máquinas, achamos a "fonte" e por garantia, formatamos a máquina onde se encontrava o vírus.

     

    Caso seje conficker, você terá que fazer os seguintes procedimentos em todas as máquinas:

    1 - Desativar a restauração do sistema

    2 - Desativar o autorun de Pendrives

    3 - Executar a ferramenta da Symantec. http://www.symantec.com/pt/br/security_response/writeup.jsp?docid=2009-011316-0247-99

    Em cima da página tem a opção, FAÇA O DOWNLOAD DA FERRAMENTA DE REMOÇÃO

    Faça esse procedimentos com a máquina fora da rede e da internet.

    Fique atenta, pois se o vírus voltar você terá que identificar em qual máquina esta o vírus, se não o vírus continuará infectando a rede. Faça uma máquina de cada vez, e observe de 1 em 1 hora se o vírus volta para a máquina, se voltar não é ela que esta espalhando.

    Por favor, se essa resposta for útil a alguem lembre-se... basta "tika-la" como útil =D

     

    Aguardo retorno Liliane

     

    Att,


    Icaro Tallis - icarotallis@yahoo.com.br
    • Marcado como Resposta Richard Juhasz segunda-feira, 2 de maio de 2011 20:34
    domingo, 27 de fevereiro de 2011 18:08

Todas as Respostas

  • Parece que a cópia de segurança do sistema está infectada, assim, qualquer modificação na estrutura original (exclusão do vírus) será acionada a cópia de Restauração de Sistema. Procure desativar a restauração automática do sistema por alguns minutos, execute o antivírus, remova-os, e retorne o modo de restauração automática do sistema novamente, após a exclusão do vírus.
    Fernando Nishimura de Aragão
    Se a resposta foi útil, clique no ícone ao lado para avaliar positivamente o participante. Obrigado.
    sexta-feira, 18 de fevereiro de 2011 19:32
  • O Windows server 2008 não possui restauração igual aos desktop´s.
    segunda-feira, 21 de fevereiro de 2011 11:28
  • Olá Liliane...

    Observer se nas tarefas agendadas se há tarefas que não foram criadas por você!

    E se há uma quantidade absurda de processos com o mesmo nome executando.

    Verifique em todas as máquinas da sua empresa se mais algum micro está com o mesmo vírus, pois o vírus se propaga pela rede.

    Se sim, você tem um grande problema.

    Pode ser Conficker, tive esse problema com o Servidor de uma grande empresa do Brasil aqui em Santos. E todas as máquinas estavam infectadas, no servidor constava 135 processos do RUNDLL32.EXE, o anti-vírus Symantec Endpoint achava, removia, porém o vírus voltava, havia tarefas agendadas, tipo AT01, AT02, AT03 e tudo isso era constante.Fizemos o procedimento abaixo em todas as máquinas, achamos a "fonte" e por garantia, formatamos a máquina onde se encontrava o vírus.

     

    Caso seje conficker, você terá que fazer os seguintes procedimentos em todas as máquinas:

    1 - Desativar a restauração do sistema

    2 - Desativar o autorun de Pendrives

    3 - Executar a ferramenta da Symantec. http://www.symantec.com/pt/br/security_response/writeup.jsp?docid=2009-011316-0247-99

    Em cima da página tem a opção, FAÇA O DOWNLOAD DA FERRAMENTA DE REMOÇÃO

    Faça esse procedimentos com a máquina fora da rede e da internet.

    Fique atenta, pois se o vírus voltar você terá que identificar em qual máquina esta o vírus, se não o vírus continuará infectando a rede. Faça uma máquina de cada vez, e observe de 1 em 1 hora se o vírus volta para a máquina, se voltar não é ela que esta espalhando.

    Por favor, se essa resposta for útil a alguem lembre-se... basta "tika-la" como útil =D

     

    Aguardo retorno Liliane

     

    Att,


    Icaro Tallis - icarotallis@yahoo.com.br
    • Marcado como Resposta Richard Juhasz segunda-feira, 2 de maio de 2011 20:34
    domingo, 27 de fevereiro de 2011 18:08