locked
Problemas com Vírus Conficker RRS feed

  • Pergunta

  • Galera, boa tarde!

    Estou com os meus dois DC's infectados com o vírus Conficker. Já achei várias Threads sobre o assunto, segui várias explicações de como remover, já executei vários programas que diziam remover o vírus e NDA. Tinha o McAfee instalado no DC's, ai desinstalei e instalei o Karpesky e depois de desinstalei e instalei o Symantec EndPoint.


    Todos eles encontram o vírus em determinado horário e dizem excluir, mas após algumas horas o vírus volta a atacar e eles pegam novamente e fica nisso...


    Parece que o vírus fica encubado em algum lugar e de tempos em tempos ele começa acriar arquivos no System32 e tarefas agendadas... já nao sei mais o que fazer.. Estou com o DC principal e o secundário com o Vírus e o File Server tb está... Cheguei na empresa faz dois meses e descobri isso, mas não consegui remover até agora.

    Ah, também já usei o linux em CD com antivírus instalado para tentar remover e nda. Todos os antivírus dizem ter pego o Vírus ConfickerB.

    Obrigado,

     

    Adsinfo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 31 de maio de 2010 17:38

Respostas

Todas as Respostas

  • Olá Amigo,

    Não sei se as threads que você visitou tinha este link: http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99

    Lá você encontra todas as informações necessárias para eliminar as variantes do downadup (Conficker).

    Uma dica: este é um vírus que fica escutando as portas de comunicação e, por isso, ele se transfere a partir da rede. Sendo assim, você deverá retirar máquina por máquina da rede e rodar a ferramenta de remoção (também está no link acima). Lembre-se de não retornar nenhuma máquina para a rede até que todas elas tenham sido varridas.

    Boa sorte.

    Abraços.

    att


    Danilo G. Lima - MCT, MCSA, MCTS, MCP - Blog: http://daniloglima.spaces.live.com
    segunda-feira, 31 de maio de 2010 17:54
  • Então amigo, eu já executei esse programa.

    O Problema é que todos os programas e procedimentos que eu acho é do ano passado ou até antes disso. Esse que vc me mandou mesmo, a última atualização dele foi em Novembro de 2008.

    Provavelmente estou com alguma variação disso, só que mais recente. Pelo que percebi quase toda a minha rede já está infectada com este vírus.


    Já não sei mais o que fazer.


    Obrigado,

     

    AdsInfo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 31 de maio de 2010 18:02
  • Amigo,

    O ConfickerB é uma variante antiga do Downadup (ele chegou apenas até a variante D).

    Não será uma tarefa fácil, porém, para se limpar por completo este vírus de sua rede, vc tem 02 opções:

    01 - Fazer como eu falei (isolar as máquinas e varrê-las com a ferramenta de remoção);

    02 - Atualizá-las para o SP2 (WS2003) e para o SP3 (XP), atualizar as vacinas dos antivírus de seus clientes e, por GPO, tentar impedir a ploriferação do vírus. Veja o link: http://support.microsoft.com/kb/962007/pt-br

    Boa sorte novamente.

    []'s


    Danilo G. Lima - MCT, MCSA, MCTS, MCP - Blog: http://daniloglima.spaces.live.com
    • Marcado como Resposta AdsInfo segunda-feira, 31 de maio de 2010 19:30
    segunda-feira, 31 de maio de 2010 18:24
  • Ola Amigo vamos por parte, ja estive na mesma situação que voce mas tudo se resolve com um pouco de  estudo.

    1º passo, bloquear a disseminação do conficker pela rede e isso pode ser feito via GPO bloqueando a chave de registro que o mesmo utiliza para disseminação

    http://www.gambware.com/tutoriais/47-dicas-e-truques/76-interromper-a-expansao-do-conficker-usando-a-diretiva-de-grupo.html

    2º apos aplicar a GPO vamos remover o bicho da sua rede para isso vamos utilizar uma ferramenta da Kaspersky e a ferramenta da syssinternal chamada PSexec com ela, vamos fazer uma limpeza em todas as WS da rede de uma só vez.

    Baixe o arquivo de remoção da kaspersky -> http://www.infohelp.org/thales/conficker/KK.exe

    rode a ferramenta psexec http://download.sysinternals.com/Files/PsTools.zip
    psexec @todas_WS_do_ad.txt -u seudomínio\usuário -p suasenha -c -d kk.exe

    "todas ws do ad.txt" exporte o nome dos computadores no AD para um arquivo txt limpe todos os espaços com o notepad deixe apenas os nomes divididos por linhas

    3º apos a limpeza  vamos instalar o patch para fechar essa vulnerabilidade lembre-se reinstale na ws mesmo se essa indicar ja ter o patch instalado (o conficker emula um falso patch).

    Windows XP http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03

    Outras Versões do Windows http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

    Depois que tudo estiver limpo passe a seguinte ferramenta na rede para checar com certeza https://secure.nai.com/apps/campaigns/survey.asp?mktg=vRn1KQAoAJ4pNvN0iTxbqwXNkwJ6iA%3d%3d

    e se tudo estiver ok remova aGPO de bloqueio

    • Marcado como Resposta AdsInfo segunda-feira, 31 de maio de 2010 19:30
    segunda-feira, 31 de maio de 2010 18:37
  •  

    Galera, vou fazer isso no Feriado... é o jeito.

    Vou tirar as máquinas da rede e executar esses procedimentos... estou com pelo menos 15 máquinas infectadas.

     

    Muito Obrigado pelas informações.

     

    AdsInfo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    segunda-feira, 31 de maio de 2010 19:30
  • Ae Galera,

     

    Seguinte, este kk.exe ta parecendo furada e está marcado como resposta. Executei ele numa vm e ele elevou o processamento da máquina a 100% e não parou de ser executado.

    Se algum moderador puder checar, vai que é furada mesmo e alguém executa isso na rede inteira.

    Se eu estiver enganado, peço desculpas, porém, achei muito estranho o comportamento da vm aqui.

     

    Abraços.


    Rodrigo Sturion Sgarbiero MCP 70-270 e 70-290
    terça-feira, 1 de junho de 2010 17:02
  • Ae Galera,

     

    Seguinte, este kk.exe ta parecendo furada e está marcado como resposta. Executei ele numa vm e ele elevou o processamento da máquina a 100% e não parou de ser executado.

    Se algum moderador puder checar, vai que é furada mesmo e alguém executa isso na rede inteira.

    Se eu estiver enganado, peço desculpas, porém, achei muito estranho o comportamento da vm aqui.

     

    Abraços.


    Rodrigo Sturion Sgarbiero MCP 70-270 e 70-290

    Rodrigo, o KK.exe é uma "vacina" da Kaspersky para remoção do vírus conficker.

    http://brazil.kaspersky.com/cyberthreats/como-combater-conficker.php

    Já usei ela e não tive problemas.

    Att.,

    AdsInfo.


    Microsoft Certified Professional - Windows Server 2003 Se for útil, classifique!
    terça-feira, 1 de junho de 2010 17:20
  • Ola Amigo,

    Ja utilizei a ferramenta por diversas vezes e nunca tive problemas,

    se sua maquina estiver infectada, a mesma pode demorar um maior tempo para terminar a varredura.

    Porem 100% de processamento! a algo muito errado com sua VM.

    mas se quiser pode testar tambem a ferramenta do Sophos que é muito boa mas prefiro a da kaspersky

    http://www.sophos.com/products/free-tools/conficker-removal-tool.html

    abs 

    quarta-feira, 2 de junho de 2010 00:44
  • Bom dia ADS.

    Como solução utilizei o MCAFEE EPO .

     

    quarta-feira, 2 de junho de 2010 12:07
  • Prezados,

     

    Realmente estava correto, a ferramenta fui muito útil em meu ambiente. O Problema estava com minha vm, testei em um computador e funcionou beleza, assim como os comandos para executá-la em toda a rede.

    Agradeço pela colaboração.

     

    Abraços,

    Rodrigo.


    Rodrigo Sturion Sgarbiero MCP 70-270 e 70-290
    quarta-feira, 2 de junho de 2010 19:28