none
Conficker-A no Windows 2008 R2/ Windows 7 / Windows XP / Windows 2003 RRS feed

  • Pergunta

  • Srs,

                   Sou adm. de redes de uma empresa grande e estou precisando de ajuda com o seguinte caso!

    Estou tendo problemas com o vírus "Conficker-A" dentro da rede da empresa onde trabalho. Este vírus já é bem antigo, lembro que ele chegou dando muito problema em 2008/2009, como podem ver no Boletim MS08-067. Porem a Microsoft soltou uma atulização (KB958644), para que bloqueie a entrada do vírus novamente. Isto funcionou naquela época, porem creio que o vírus tenha sido atualizado pois maquina com esta atualização estão com o vírus e maquinas Windows 7 que teoricamente não pegam este virus, também estão infectadas.

    Sendo assim gostaria de ajudar em como atuar para retirar esta praga de minha rede.

    Obrigado !

    segunda-feira, 30 de julho de 2012 19:06

Respostas

Todas as Respostas

  • BOm dia.

    Como alternativa.

    Caso você localize o arquivo do virus e possivel criar uma regra de HASH para este arquivo,bloqueando a execucao deste arquivo nos pcs do dominio.

    Caso você saiba o processo pertencente a este virus no gerenciando de tarefas e possivel criar uma GPO>Configuracoes Usuarios>Modelos Administrativos>Sistema>Nao executar aplicativos do windows especifico.

    Entao adicione o processo que deseja q nunca seje executado nas maquinas do dominio

    Apos feito isto.

    Recomendo adquirir um bom antivirus. e roda em todos os pcs da rede.

    Utilizo o Kaspersky Corporate.

    Espero ter lhe ajudado.


    Enderson Valente Teixeira - Coordenador de Informática

    segunda-feira, 30 de julho de 2012 20:54
  • Boa tarde Enderson,

                  O Conficker(vírus), fica criando nomes randomicos, sendo assim não consigo bloquealo.

    segunda-feira, 30 de julho de 2012 21:20
  • Entao e  possivel criar uma GPO>Configuracoes Usuarios>Modelos Administrativos>Sistema>Executar aplicativos do windows especifico.

    Onde você deve especificar apenas os aplicativos que serão permitidos ser executados no Windows.

    Mas e claro que você deve fazer essa configuracao apenas para remover o virus com um bom antivirus.

    Apos isso pode ser removido essa diretiva extremamente restritiva.


    Enderson Valente Teixeira - Coordenador de Informática

    quinta-feira, 2 de agosto de 2012 10:47
  • Enderson,

                    Muito obrigado pelo apoio, vou verificar se isto é possivel pois administro os servidores de uma rede de supermercados e existe uma infinidade de softwares sendo usados, na verdade estou tentando chamar a atenção da Microsoft pois foi liberado um KB que bloqueava o virus em 2009, e teoricamente ja vem no build-in do Windows 7, então estou tentando usar o forum entre outros meios para verificar a possibilidade da equipe de engenharia verificar, pois em questão de antivirus, ja testei com 3 diferentes:

    Sophos;

    Kaspersky;

    Live Essentials.

    O vírus sempre é "eliminado" da maquina, porém volta a aparecer. Com isto estou evitando que ele se atualize, porém não estou conseguindo retirar ele da empresa, apenas estou mantendo o controle.

    Utilizarei a opção de criar esta GPO em ultimo caso. Mas mesmo assim muito obrigado pelo apoio.



    quinta-feira, 2 de agosto de 2012 12:05
  • Boa noite Thiago,

    Esse vírus é propagado dentro da sua rede através de alguma máquina, que toda vez que é comunicada em rede ele se propaga, é dessa maneira que ele trabalha. Tive esse vírus em minha rede, e com o procedimento abaixo foi resolvido.

    Recomendo que você vá até o site da Symantec, e siga as instruções, de acordo com o tipo do vírus que você está infectado.

    Segue links abaixo:

    W32.Downadup:http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99 

    W32.Downadup B :http://www.symantec.com/security_response/writeup.jsp?docid=2008-123015-3826-99 

    W32.Downadup C : http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99

    W32.Downadup E : http://www.symantec.com/security_response/writeup.jsp?docid=2009-040823-4919-99 

    Faça e execute o que esta sendo recomendado pelos links acima.

    Tenho certeza que irá funcionar !

    Uma dica muito importante, se você conseguir localizar o computador que é o responsável por propagar o vírus, por precaução, formate !

    Grande abraço.


    Icaro Tallis - icarotallis@yahoo.com.br / http://www.icarotallis.wordpress.com

    • Marcado como Resposta Richard Juhasz segunda-feira, 6 de agosto de 2012 13:55
    sexta-feira, 3 de agosto de 2012 02:38
  • Boa tarde Thiago,

    Creio que bloqueando as gpos e passando qualquer ferramenta antivirus não irpa resolver seu problema totalmente. Esse problema requer uma pouco mais de trabalho e dedicação.

    Faça o seguinte:

    - Desative serviço agendador de tarefas;

    - Desative serviço de restauração de sistema;

    - Ative serviço de inteligencia de plano de fundo (Serviço associado ao windows update)

    - Instale os boletins da microsoft que você deve estar careca de tanto ler;

    e o principal:

    Procure nos services do windows serviços invasores, pois vão ter vários e com diversos nomes como por exemplo: "Update" , "security system"... etc. Apos achar esse serviços abra e veja o nome dele. Procure no regedit e delete as entradas. Algumas entradas você vai precisar dar permissão na pasta, pois o vírus deixa a permissão apenas para system.

    Após isso, mantenha a máquina sempre atualizada e com senhas locais fortes.

    Obrigado e espero ter ajudado

    Vinicius Mozart

    Nippon Computer


    By Bbiskua

    terça-feira, 28 de agosto de 2012 18:36
  • Caro Thiago, salve.

    E então? Conseguiu alguma solução para o "nosso" problema? Pois estou com o mesmo problema e lembro-me que em 2010 ou 2011 passei uma ferramenta da Kaspersky e da Symantec, maquina por maquina, baixei as atualizações e aqui estamos nós de novo, com o mesmo problema.


    Vencedores não nascem... ...Eles são feitos! (desconhecido)

    terça-feira, 4 de setembro de 2012 17:31
  • Bom dia!

    Então somos 3.. Estou com o mesmo problema, minha rede inteira esta infectada, tenho windows XP, 7, server 2003, server 2008 e todos estão com o bendito.

    Utilizo o Kaspersky. Ele exclui o vírus assim que o identifica, porém em 1 minuto o mesmo esta de volta, resultando assim em cerca de 20.000 ameaças registradas por mês em cada micro. Desisti do suporte da Kaspersky, tentamos de tudo que foi recomendado mas eles não entendem que as atualizações do windows não bloqueiam este vírus mais. Como estão pra vencer nossas licenças estou procurando outro antivírus, por enquanto estamos testando o ESET e aparentemente estamos na mesma situação, ele exclui mas não bloqueia a reentrada do mesmo.

    Preciso de uma solução que não seja desconectando toda a rede e limpando 1 a 1, pois se trata de uma clínica médica e é impossível parar todos os micros.

    Alguém tem uma luz?


    terça-feira, 8 de janeiro de 2013 13:54