Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

RafaelSonyLock

[Resolvido] Intruções para remoção do Conficker, Kido e Downadup

Recommended Posts

O worm pode ter vários nomes, porém três se mantem: Conficker, Kido e Downadup

 

Ele se aproveita de uma falha do Windows para se espalhar. E como a maioria dos usuários não instalam as atualizações, o PC pode acabar sendo infectado via rede. Basta um único computador infectado em uma rede para que os outros também o sejam.

 

COMO SABER SE ESTOU INFECTADO?

Muito simples. Tente acessar o site da Microsoft. Você não vai conseguir.

Esse é o maior sintoma de infecção:

blog3.jpg

Provavelmente você também não conseguirá acessar nenhum dos links para as ferramentas de remoção citadas nesse tópico. Mas fique tranquilo, você pode acessá-las usando proxy.

 

Outros sintomas da infeccção:

• Se espalha pela rede e através de pastas e unidades compartilhadas.

• Bloqueia o acesso aos sites de antivirus e também impede o programa de se atualizar. Em alguns casos o antivirus passa a detectar um vírus no arquivo legítimo svchost.exe

• Cria um arquivo autorun.inf, nomerandomico.dll e nomerandomico.vmx em todos os drivers e unidades removíveis e pendrives, e algumas vezes em pastas compartilhadas em rede.

• Desativa o serviço de Atualizações Automáticas, deleta pontos de restauração criados no sistema e desativa a opção de ver arquivos ocultos

• Algumas vezes impossibilita o usuário de logar em sua conta de usuário, forçando-o a criar/usar outra conta.

 

REMOÇÃO

 

ATENÇÃO: Após baixar as ferramentas de remoção, a limpeza deve ser feita com o computador desconectado da rede e da internet. Esse worm tem a capacidade de baixar novos arquivos pela internet e de se espalhar pela rede, impossibilitando a desinfecção.

 

1. Algumas variantes do worm impedem o download de algumas ferramentas de limpeza e também do patch de correção da falha. Por isso sugerimos o uso de um webproxy. Basta acessar:

http://texasproxy.com/p.php?q=&hl=0

na caixa insira o endereço do arquivo que deseja baixar e clique em Surf

 

2. Desative a Restauração do Sistema (isso se ela já não estiver sido desativada pelo worm).

Se não souber como fazer isso, veja:

http://www.linhadefensiva.org/2004/10/rest...cao-do-sistema/

 

3. Primeiramente você deve baixar e instalar o patch para evitar reinfecções. Se você não o fizer, você será reinfectado.

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

 

4. A limpeza deve ser feita usando uma conta de administrador local. Caso você tenha uma rede infectada, a limpeza deverá ser feita máquina por máquina.

Escolha uma das ferramentas abaixo. Se não conseguir realizar a limpeza com uma, tente outra:

• KidoKiller.zip by Kaspersky:

http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip

Basta baixar e executar. Irá aparecer o prompt de comando do DOS.

Caso peça alguma opção, escolha -y

• F-Downadup Removal Tool by F-Secure

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

ou esse endereço:

ftp://193.110.109.53/anti-virus/tools/beta/f-downadup.zip

Baixe o .zip e descompacte-o. Execute o .exe e aguarde a limpeza.

• MSRT by Microsoft - Malicious Software Removal Tool (KB890830)

http://www.microsoft.com/downloads/details...b3-75b8eb148356 (32 bits)

http://www.microsoft.com/downloads/details...E7-6349F4EFFC74 (64 bits)

Basta baixar e executar. Faça um Exame Geral

• Anti.Downadup by BitDefender

http://www.bitdefender.com/VIRUS-1000462-e...wnadup.Gen.html

ou http://www.malwarecity.com/media/files/anti-downadup.zip ou

http://www.downadup.org/download/bd_rem_tool.zip

Baixe e descompacte o .zip. Execute o Anti-Downadup.exe, que irá abrir uma janela no prompt. Ao terminar, reinicie o PC

• W32.Downadup Removal Tool by Symantec

http://www.symantec.com/content/en/us/glob..._writeups/D.exe

Basta baixar e executar o arquivo. Aguarde o término da limpeza.

5. Mesmo com o PC limpo, você pode reinfectá-lo caso conecte um pendrive ou unidade removível que esteja infectada com o worm. Por isso sugerimos que você desative a Execução Automática do Windows.

Leia: http://www.linhadefensiva.org/forum/index.php?showtopic=75646&view=getnewpost

 

----------------------------

 

PARA ADMINISTRADORES DE REDES

Se voce tem uma grande rede com muitos computadores, e a mesma esta infectada, a BitDefender oferece uma ferramenta gratuita para remoçao que pode ser executada em rede.

Faça o download:

http://www.downadup.org/download/bd_network_tool.exe

Mais informaçoes sobre a ferramenta:

http://www.downadup.org/how-to-remove-downadup.php

 

--- Fonte:
---

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.