Alerta de vírus sobre o worm Win32/Conficker

Interromper o Win32/Conficker de divulgar usando as configurações da Política de Grupo

Observações

• Importante Não deixe de documentar todas as atuais configurações antes de fazer qualquer alteração sugerida neste artigo.

• Este procedimento não remove o malware Conficker do sistema. Ele somente interrompe a expansão do malware. Será necessário usar um produto antivírus para remover o malware Conficker do sistema. Ou então siga as etapas na seção "Etapas manuais para remover a variante Conficker.b" deste artigo da Base de Dados de Conhecimento para remover o malware do sistema manualmente.
  
  
  
  
  
  
  

• Talvez você não consiga instalar corretamente aplicativos, service packs ou outras atualizações enquanto vigorarem as alterações de permissão recomendadas nas etapas a seguir. Isto inclui, mas não está limitado a, aplicar atualizações usando o Windows Update, Microsoft Windows Server Update Services (WSUS) e System Center Configuration Manager (Configuration Manager 2007), pois estes produtos dependem de componentes das Atualizações Automáticas. Não deixe de alterar as permissões de volta às configurações padrão depois de limpar o sistema.

• Para obter mais informações sobre permissões padrão da chave do Registro SVCHOST e da Pasta Tarefas mencionadas na seção "Criar um objeto de Diretiva de Grupo", consulte a tabela Permissões padrão no final deste artigo.
  

Criar um objeto de Diretiva de Grupo

Crie um novo objeto de Diretiva de Grupo (GPO) que se aplique a todos os computadores em uma unidade organizacional (OU) específica, em um site ou domínio, conforme necessário em seu ambiente.

Para fazer isto, execute as seguintes etapas:

1. Defina a diretiva para remover as permissões de gravação para a seguinte subchave do Registro:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Isto evita que o serviço de malware nomeado aleatoriamente seja criado no valor de Registro netsvcs.
   
   Para fazer isto, execute as seguintes etapas:
   

   1. Abra o Console de Gerenciamento de Diretiva de Grupo (GPMC).

   2. Crie um novo GPO. Atribua o nome desejado ao objeto.

   3. Abra o novo GPO e mova-o para a seguinte pasta:

      Configurações do Computador\Configurações do Windows\Configurações de Segurança\Registro

   4. Clique com o botão direito do mouse em Registro e clique em Adicionar Chave.

   5. Na caixa de diálogo Selecionar Chave do Registro, expanda Máquina e, em seguida, mova-os para a seguinte pasta:

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

   6. Clique em OK.

   7. Na caixa de diálogo que abrir, clique para limpar a caixa de seleção Controle Total de Administradores e Sistema.

   8. Clique em OK.

   9. Na caixa de diálogo Adicionar Objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.

   10. Clique em OK.

2. Defina a diretiva para remover as permissões de gravação para a pasta %windir%\tasks: Isto impede que o malware Conficker crie Tarefas agendadas que possam infectar o sistema novamente.
   
   Para fazer isto, execute as seguintes etapas:
   

   1. No mesmo GPO criado anteriormente, mova para a seguinte pasta:

      Configurações do Computador\Configurações do Windows\Configurações de Segurança\Sistema de Arquivos

   2. Clique com o botão direito do mouse em Sistema de Arquivos e clique em Adicionar Arquivo.

   3. Na caixa de diálogo Adicionar um arquivo ou pasta, vá até a pasta %windir%\Tasks. Verifique se o item Tarefas está realçado e listado na caixa de diálogo Pasta.

   4. Clique em OK.

   5. Na caixa de diálogo que é aberta, desmarque as caixas de seleção Controle total, Modificar e Gravar para Administradores e Sistema.

   6. Clique em OK.

   7. Na caixa de diálogo Adicionar objeto, clique em Substituir permissões existentes em todas as subchaves com permissões herdadas.

   8. Clique em OK.

3. Defina os recursos de Reprodução automática (Execução automática) para desativados. Isto impede que o malware Conficker se espalhe usando os recursos de Reprodução automática internos no Windows.
   
   
   Observação Existem atualizações diferentes que devem ser instaladas para desabilitar a funcionalidade do Autorun corretamente, de acordo com a versão do Windows que você estiver usando:
   
   

   • Para desabilitar a funcionalidade do Autorun no Windows Vista ou no Windows Server 2008, é necessário ter a atualização de segurança 950582 instalada (descrito no boletim de segurança MS08-038).

   • Para desabilitar a funcionalidade do Autorun no Windows XP, no Windows Server 2003 ou no Windows 2000, é necessário ter a atualização de segurança 950582, a atualização 967715 ou a 953252 instaladas.

   
   
   Para definir os recursos de Reprodução automática (Execução automática) para desativados, siga estas etapas:
   

   1. No mesmo GPO criado anteriormente, mova para uma das seguintes pastas:
      

      • Para um domínio do Windows Server 2003, mova para a seguinte pasta:

        Configurações do Computador\Modelos Administrativos\Sistema

      • Para um domínio do Windows 2008, mova para a seguinte pasta:

        Configuração do Computador\Modelos Administrativos\Componentes do Windows\Diretivas da Reprodução automática

   2. Abra a diretiva Desativar Reprodução Automática.

   3. Na caixa de diálogo Desativar Reprodução Automática, clique em Habilitado.

   4. No menu suspenso, clique em Todas as unidades.

   5. Clique em OK.

4. Feche o Console de Gerenciamento de Diretivas de Grupo.

5. Vincule o GPO criado recentemente ao local que você deseja aplicá-lo.

6. Permita que as configurações de Diretiva de Grupo atualizem todos os computadores pelo tempo suficiente. Em geral, a replicação da Diretiva de Grupo leva cinco minutos em cada controlador de domínio e, em seguida, 90 minutos para se replicar no restante dos sistemas. Algumas horas devem ser suficientes. Entretanto, dependendo do ambiente, mais tempo pode ser necessário.

7. Após a propagação das configurações de Diretiva de Grupo, limpe o malware dos sistemas.
   
   Para fazer isto, execute as seguintes etapas:
   

   1. Execute varreduras de antivírus completas em todos os computadores.

   2. Se o seu software antivírus não detecta o Conficker, é possível usar o Microsoft Safety Scanner para excluir o malware. Para obter mais informações, visite a seguinte página da Microsoft: http://www.microsoft.com/security/scanner/pt-br/Observação Você pode precisar realizar algumas etapas manuais para excluir todos os efeitos do malware. Recomendamos que você revise as etapas listadas na seção "Etapas manuais para remover o vírus Win32/Conficker" deste artigo para limpar todos os efeitos do malware.

Execute o Microsoft Safety Scanner.

O Centro de Proteção Contra Malware da Microsoft atualizou o Microsoft Safety Scanner. Isso é um binário autônomo que é útil na remoção de software mal-intencionado predominante e pode ajudar a remover a família do malware Win32/Conficker.

Observação O Microsoft Safety Scanner não evita uma nova infecção pois não é um programa antivírus em tempo real.

É possível baixar o Microsoft Safety Scanner pelo seguinte site da Microsoft:

http://www.microsoft.com/security/scanner/pt-br/
Observação A ferramenta Stand-Alone System Sweeper também removerá essa infecção. Essa ferramenta está disponível como um componente do Microsoft Desktop Optimization Pack 6.0 ou por meio do Suporte e Atendimento ao Cliente. Para obter o Microsoft Desktop Optimization Pack, visite o seguinte site da Microsoft :

http://www.microsoft.com/pt-br/windows/enterprise/products-and-technologies/mdop/default.aspxSe o Microsoft Security Essentials ou o Microsoft Forefront Client Security estiver em execução no sistema, esses programas também bloqueiam a ameaça antes de ser instalada.

Etapas manuais para remover o vírus Win32/Conficker

Observações

• Estas etapas manuais não são mais necessárias e só devem ser usadas se você não tiver um software antivírus para remover o vírus Conficker.

• Dependendo da variante do Win32/Conficker que está infectando o computador, alguns valores mencionados nesta seção poderão não ser alterados pelo vírus.

As etapas detalhadas a seguir podem ajudar a remover o Conficker de um sistema manualmente:

1. Faça logon no sistema usando uma conta local.
   
   
   Importante Se possível, não faça logon no sistema usando uma conta de Domínio. Principalmente, não faça logon usando uma conta de Administrador do Domínio. O malware representa o usuário conectado e acessa os recursos de rede usando as credenciais do mesmo. Esse comportamento permite que o malware se espalhe.

2. Interrompa o serviço do servidor. Isso remove os compartilhamentos do Administrador do sistema de forma que o malware não possa se espalhar usando esse método.
   
   
   Observação O serviço do servidor deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante em servidores de produção porque essa etapa afetará a disponibilidade do recurso da rede. Assim que o ambiente estiver limpo, o serviço do servidor poderá ser habilitado novamente.
   
   
   Para interromper o serviço do servidor, use o MMC (Console de Gerenciamento Microsoft) de Serviços. Para fazer isto, execute as seguintes etapas:
   

   1. Dependendo do seu sistema, execute os seguintes procedimentos:
      

      • No Windows Vista e Windows Server 2008, clique em Iniciar, digite services.msc na caixa Iniciar Pesquisa e clique em services.msc na lista Programas.

      • No Windows 2000, Windows XP e Windows Server 2003, clique em Iniciar, clique em Executar, digite services.msc e clique em OK.

   2. Clique duas vezes em Servidor.

   3. Clique em Parar.

   4. Selecione Desativada na caixa Tipo de inicialização.

   5. Clique em Aplicar.

3. Remova todas as tarefas agendadas criadas por AT. Para fazer isso, digite AT /Excluir /Sim em um prompt de comando.

4. Pare o serviço Agendador de Tarefas.
   

   • Para parar o serviço Agendador de Tarefas no Windows 2000, Windows XP e Windows Server 2003, use o Console de Gerenciamento Microsoft (MMC) de Serviços ou o utilitário SC.exe.

   • Para parar o serviço Agendador de Tarefas no Windows Vista ou no Windows Server 2008, siga estas etapas.
     
     Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

     322756Como fazer o backup e restaurar o Registro no Windows

     1. Clique em Iniciar, digite regedit na caixa Iniciar Pesquisa e clique em regedit.exe na lista Programas.

     2. Localize e clique na seguinte subchave do Registro:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

     3. No painel de detalhes, clique com o botão direito do mouse na entrada DWORD Iniciar e em Modificar.

     4. Na caixa Dados do valor, digite 4 e clique em OK.

     5. Saia do Editor do Registro e reinicie o computador.
        
        
        
        Observação O serviço do Agendador de Tarefas deve ser desabilitado apenas temporariamente enquanto você limpa o malware do seu ambiente. Isso é particularmente importante no Windows Vista e no Windows Server 2008, pois esta etapa afetará várias Tarefas Agendadas internas. Assim que o ambiente estiver limpo, habilite o serviço do servidor novamente.
        

5. Baixe e instale manualmente a atualização de segurança 958644 (MS08-067). Para obter mais informações, visite o seguinte site da Microsoft :

   http://www.microsoft.com/brasil/technet/security/Bulletin/MS08-067.mspxObservação Este site pode ser bloqueado devido à infecção do malware. Nesse caso, você deve baixar a atualização de um computador que não esteja infectado e depois transferir o arquivo de atualização para o sistema infectado. Recomendamos que você grave a atualização em um CD porque o CD gravado não é gravável. Portanto, ele não pode ser infectado. Se uma unidade de CD gravável não estiver disponível, uma unidade de memória USB removível pode ser a única forma de copiar a atualização para o sistema infectado. Se você usar uma unidade removível, verifique se o malware pode infectar a unidade com um arquivo Autorun.inf. Depois de copiar a atualização para a unidade removível, certifique-se de que você alterou a unidade para o modo somente leitura, se a opção estiver disponível para seu dispositivo. Se o módulo somente leitura estiver disponível, ele será habilitado geralmente usando um comutador físico no dispositivo. Em seguida, depois de copiar o arquivo de atualização para o computador infectado, verifique se um arquivo Autorun.inf foi gravado na unidade removível. Caso ele tenha sido gravado, renomeie o arquivo Autorun.inf file como algo parecido com Autorun.bad para que ele não seja executado quando a unidade removível for conectada a um computador.

6. Redefina quaisquer senhas de Administrador Local e de Domínio para usar uma nova senha forte. Para obter mais informações, visite o seguinte site da Microsoft :

   http://technet.microsoft.com/pt-br/library/cc875814.aspx

7. No Editor do Registro, localize e clique na seguinte subchave do Registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. No painel de detalhes, clique com o botão direito do mouse na entrada netsvcs e depois em Modificar.

9. Se o computador estiver infectado com o vírus Win32/Conficker, um nome de serviço aleatório será listado.
   
   
   Observação Com o Win32/Conficker.B, o nome do serviço tinha letras aleatórias e ficava no final da lista. Com variantes mais recentes, o nome do serviço pode estar em qualquer posição na lista e talvez pareça mais legítimo. Se o nome aleatório do serviço não estiver no final, compare o sistema com a "tabela Serviços" no procedimento para determinar qual nome de serviço pode ter sido adicionado pelo Win32/Conficker. Para verificar, compare a lista na "tabela Serviços" com um sistema semelhante que você saiba que não está infectado.
   
   
   Anote o nome do serviço de malware. Você precisará dessa informação posteriormente neste procedimento.

10. Exclua a linha que contém a referência ao serviço de malware. Certifique-se de que uma alimentação de linha é deixada em branco abaixo da última entrada legítima listada e clique em OK.
    
    
    
    Observações sobre a tabela Serviços

    • Todas as entradas na tabela Serviços são válidas, exceto os itens destacados em negrito.

    • Os itens destacados em negrito são exemplos do que o vírus Win32/Conficker pode adicionar ao valor netscvcs na chave do Registro SVCHOST.

    • Esta lista de serviços pode não estar completa, dependendo do que está instalado no sistema.

    • A tabela Serviços é de uma instalação padrão do Windows.

    • A entrada adicionada à lista pelo vírus Win32/Conficker é uma técnica de ofuscamento. A entrada destacada mal-intencionada que supostamente parece a primeira letra é um "L" minúsculo. Entretanto, na verdade é um "I" maiúsculo. Por causa da fonte usada pelo sistema operacional, o "I" maiúsculo parece um "L" minúsculo.

    Tabela Serviços

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Temas	Temas	Pesquisador	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Pesquisador	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Agenda	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Agenda
    wuauserv	wuauserv	Temas	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Temas
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    browser	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	schedule	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	browser		xmlprov
    schedule	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

11. Em um procedimento anterior, você anotou o nome do serviço de malware. Nesse exemplo, o nome da entrado do malware era "Iaslogon". Usando essa informação, siga estas etapas:
    

    1. No Editor do Registro, localize e clique na seguinte subchave do Registro, na qual BadServiceName é o nome do serviço de malware:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Por exemplo, localize e clique na seguinte sub-chave do Registro:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. Clique com o botão direito do mouse na subchave no painel de navegação do nome do serviço de malware e clique em Permissões.

    3. Na caixa de diálogo Entrada de permissões para SvcHost, clique em Avançado.

    4. Na caixa de diálogo Configurações Avançadas de Segurança, marque as seguintes caixas de seleção:

       Herdar do pai as entradas de permissão aplicáveis a objetos filho. Incluí-las nas entradas explicitamente definidas aqui.
       
       Substituir as entradas de permissão em todos os objetos filho pelas entradas aplicáveis mostradas aqui.

12. Pressione F5 para atualizar o Editor do Registro. No painel de detalhes, é possível ver e editar o DLL de malware que carrega como "ServiceDll". Para fazer isso, execute as seguintes etapas:
    

    1. Clique duas vezes na entrada ServiceDll.

    2. Anote o caminho do DLL referenciado. Você precisará dessa informação posteriormente neste procedimento. Por exemplo, o caminho do DLL referenciado pode ser semelhante ao seguinte: %SystemRoot%\System32\doieuln.dll Renomeie a referência para que seja semelhante ao seguinte: %SystemRoot%\System32\doieuln.old

    3. Clique em OK.

13. Remova a entrada do serviço de malware da subchave Executar no Registro.
    

    1. No Editor do Registro, localize e clique nas seguintes subchaves do Registro:

       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. Nas duas subchaves, localize todas as entradas que começam com "rundll32.exe" e que referenciam o DLL de malware que carregue como "ServiceDll", identificado na etapa 12b. Exclua a entrada.

    3. Saia do Editor do Registro e reinicie o computador.

14. Verifique a existência de arquivos Autorun.inf nas unidades do sistema. Use o Bloco de Notas para abrir cada arquivo e depois verifique se é um arquivo Autorun.inf válido. Veja a seguir, um exemplo de um típico arquivo Autorun.inf válido.
    

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    

    Geralmente, um Autorun.inf válido possui de 1 a 2 quilobytes (KB).

15. Exclua todos os arquivos Autorun.inf que não pareçam válidos.

16. Reinicie o computador.

17. Torne visíveis os arquivos ocultos. Para isso, digite o seguinte comando em um prompt de comando:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

18. Ative Mostrar pastas e arquivos ocultos para que o arquivo possa ser exibido. Para fazer isso, execute as seguintes etapas:
    

    1. Na etapa 12b, você anotou o caminho do arquivo .dll referenciado para o malware. Por exemplo, você notou um caminho semelhante ao seguinte:

       %systemroot%\System32\doieuln.dll No Windows Explorer, abra o diretório %systemroot%\System32 ou o diretório que contenha o malware.

    2. Clique em Ferramentas e em Opções de pasta.

    3. Clique na guia Modo de exibição.

    4. Marque a caixa de seleção Mostrar pastas e arquivos ocultos.

    5. Clique em OK.

19. Selecione o arquivo .dll.

20. Edite as permissões no arquivo para adicionar Controle total para todos. Para fazer isto, execute as seguintes etapas:
    

    1. Clique com o botão direito do mouse no arquivo .dll e clique em Propriedades.

    2. Clique na guia Segurança.

    3. Clique em Todose marque a caixa de seleção Controle Total na coluna Permitir.

    4. Clique em OK.

21. Exclua o arquivo .dll referenciado para o malware. Por exemplo, exclua o arquivo %systemroot%\System32\doieuln.dll.

22. Habilite os serviços BITS, Atualizações Automáticas, Relatório de Erros e Windows Defender usando o Console de Gerenciamento Microsoft (MMC) de Serviços.

23. Desative a Execução Automática para ajudar a reduzir o efeito de qualquer infecção nova. Para fazer isto, execute as seguintes etapas:
    

    1. Dependendo do seu sistema, instale uma das seguintes atualizações:
       

       • Se você estiver executando o Windows 2000, Windows XP ou Windows Server 2003, instale a atualização 967715.
         Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
         
         

         967715 Como desabilitar a funcionalidade do Autorun no Windows
         
         

       • Se você estiver executando o Windows Vista ou o Windows Server 2008, instale a atualização de segurança 950582.
         Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

         950582MS08-038: Vulnerabilidade no Windows Explorer pode permitir execução remota de código

       Observação A atualização 967715 e a atualização de segurança 950582 não são relacionadas a esse problema de malware. Essas atualizações devem ser instaladas para permitir a função do registro na etapa 23b.

    2. Digite o seguinte comando em um prompt de comando:

       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

24. Se o sistema estiver executando o Windows Defender, reabilite o local de início automático do Windows Defender. Para isso, digite o seguinte comando no prompt de comando:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

25. Para Windows Vista e sistemas operacionais posteriores, o malware altera a configuração global da janela de recepção de ajuste automático do TCP para desabilitado. Para alterar essa configuração novamente, digite o seguinte comando em um prompt de comando:

    netsh interface tcp set global autotuning=normal

Se, após realizar esse procedimento, o computador parecer estar infectado novamente, uma das condições a seguir pode ser verdadeira:

• Um dos locais de início automático não foi removido. Por exemplo, ou a tarefa de AT não foi removida ou um arquivo Autorun.inf não foi removido.

• A atualização de segurança para MS08-067 foi instalada de forma incorreta.

Esse malware pode alterar outras configurações que não são abordadas neste artigo. Visite a seguinte página do Microsoft Malware Protection Center para obter os detalhes mais recentes sobre o Win32/Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Verifique se o sistema está limpo

Verifique se os serviços a seguir foram iniciados:

• Atualizações Automáticas (wuauserv)

• Serviço de Transferência Inteligente em Segundo Plano (BITS)

• Windows Defender (windefend) (se aplicável)

• Serviço de Relatório de Erros do Windows

Para isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após cada comando.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Após cada execução de comando, você receberá uma mensagem semelhante à seguinte:

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Nesse exemplo, "STATE : 4 RUNNING" indica que o serviço está em execução.

Para verificar o status da subchave do Registro SvcHost, siga estas etapas:

1. No Editor do Registro, localize e clique na seguinte subchave do Registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

2. No painel de detalhes, clique duas vezes em netsvcs e revise os nomes de serviço listados. Role a tela para baixo até o final da lista. Se o computador for novamente infectado com o Conficker, será listado um nome de serviço aleatório. Por exemplo, nesse procedimento, o nome do serviço malware é "Iaslogon".

Se essas etapas não resolverem o problema, entre em contato com o seu fornecedor de software antivírus.
Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

49500Lista de fornecedores de software antivírusSe você não tiver um fornecedor de software antivírus ou se ele não puder ajudar, entre em contato com o Atendimento Microsoft para obter ajuda.

Depois que o ambiente estiver completamente limpo

Depois que o ambiente estiver completamente limpo, siga estas etapas:

1. Reabilite o serviço do servidor e o serviço Agendador de Tarefas.

2. Restaure as permissões padrão na chave do Registro SVCHOST e na pasta Tarefas. Isso deverá ser revertido às configurações padrão usando as configurações de Diretivas de Grupo. Se apenas uma diretiva for removida, talvez não seja possível retornar às as permissões padrão. Consulte a tabela de permissões padrão na seção "Etapas de atenuação" para obter mais informações.
   
   

3. Atualize o computador instalando as atualizações de segurança ausentes. Para fazer isso, use o Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou seu produto de gerenciamento de atualizações de terceiros. Se você usar o SMS ou o Configuration Manager 2007, deve primeiro reativar o serviço do Servidor. Caso contrário, o SMS ou o Configuration Manager 2007 poderão não atualizar o sistema.