Ir ao conteúdo
  • Cadastre-se

Conficker ou não Conficker?


Comonier

Posts recomendados

Eu utilizo Windows XP ligado em rede WiFi ROTEADA pelo Roteador (TP-Link TL-WR541/42G) com segurança: wpa2-psk...

Utilizo o Firewall do Windows liberando as portas por programa e manualmente de todos os programas que eu costumo utilizar tanto TCP como UDP.

Utilizo o Advanced Port Scanner para identificar as portas ABERTAS e FECHADAS e atualmente segue-se o seguinte status:

135 OPEN (loc-srv)

139 OPEN (netbios-ssn)

445 OPEN (microsoft-ds)

0-134 CLOSED

136-138 CLOSED

140-444 CLOSED

446-65535 CLOSED

A Opção de Configuração no roteador (Firewall) esta desativada.

A Opção de Configuração DMZ para liberar todas as portas do reteador para uma maquina local esta configurada para o ip local da minha maquina, no caso: 1.1.1.2 já que o gateway (dns) é 1.1.1.1

Sendo assim meus caros amigos, não sei mais o que fazer.

Todos os sites que falam sobre este vírus postam links para download das atualizações no site da microsoft e em outros sites de anti-vírus, porém eu não consigo acessar nenhum desses sites.

Abrindo e buscando os arquivos hosts e o services não encontrei nada de diferente do que conheço como default.

hosts:


127.0.0.1 localhost

services:


echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users # usu rios ativos
systat 11/tcp users # usu rios ativos
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote # cita‡ao do dia
qotd 17/udp quote # cita‡ao do dia
chargen 19/tcp ttytst source # gerador de caracteres
chargen 19/udp ttytst source # gerador de caracteres
ftp-data 20/tcp # FTP, dados
ftp 21/tcp # FTP, controle
telnet 23/tcp
smtp 25/tcp mail # Simple Mail Transfer Protocol
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource # Resource Location Protocol
nameserver 42/tcp name # Host Name Server
nameserver 42/udp name # Host Name Server
nicname 43/tcp whois
domain 53/tcp # Domain Name Server
domain 53/udp # Domain Name Server
bootps 67/udp dhcps # servidor de protocolo Bootstrap
bootpc 68/udp dhcpc # cliente de protocolo Bootstrap
tftp 69/udp # Trivial File Transfer
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http # World Wide Web
kerberos 88/tcp krb5 kerberos-sec # Kerberos
kerberos 88/upd krb5 kerberos-sec # Kerberos
hostname 101/tcp hostnames # NIC Host Name Server
iso-tsap 102/tcp # ISO-TSAP Classe 0
rtelnet 107/tcp # Remote Telnet Service
pop2 109/tcp postoffice # Post Office Protocol - versao 2
pop3 110/tcp # Post Office Protocol - versao 3
sunrpc 111/tcp rpcbind portmap # SUN Remote Procedure Call
sunrpc 111/udp rpcbind portmap # SUN Remote Procedure Call
auth 113/tcp ident tap # Identification Protocol
uucp-path 117/tcp
nntp 119/tcp usenet # Network News Transfer Protocol
ntp 123/udp # network time protocol
epmap 135/tcp loc-srv # resolu‡ao de ponto de extremidade DCE
epmap 135/udp loc-srv # resolu‡ao de ponto de extremidade DCE
netbios-ns 137/tcp nbname # NETBIOS Name Service
netbios-ns 137/udp nbname # NETBIOS Name Service
netbios-dgm 138/udp nbdatagram # NETBIOS Datagram Service
netbios-ssn 139/tcp nbsession # NETBIOS Session Service
imap 143/tcp imap4 # Internet Message Access Protocol
pcmail-srv 158/tcp # PCMail Server
snmp 161/udp # SNMP
snmptrap 162/udp snmp-trap # SNMP trap
print-srv 170/tcp # Network PostScript
bgp 179/tcp # Border Gateway Protocol
irc 194/tcp # Internet Relay Chat Protocol
ipx 213/udp # IPX em IP
idap 389/tcp # Lightweight Directory Access Protocol
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike # Internet Key Exchange
exec 512/tcp # Remote Process Execution
biff 512/udp comsat
login 513/tcp # Remote Login
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp # Extended File Name Server
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp # -para difusao de emergˆncia
uucp 540/tcp uucpd
klogin 543/tcp # login Kerberos
kshell 544/tcp krcmd # shell remoto Kerberos
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap # LDAP em TLS/SSL
doom 666/tcp # software de Id Doom
doom 666/udp # software de Id Doom
kerberos-adm 749/tcp # administra‡ao Kerberos
kerberos-adm 749/udp # administra‡ao Kerberos
kerberos-iv 750/udp # Kerberos versao IV
kpop 1109/tcp # Kerberos POP
phone 1167/udp # Chamadas de conferˆncias
ms-sql-s 1433/tcp # Microsft-SQL-Server
ms-sql-s 1433/udp # Microsft-SQL-Server
ms-sql-m 1434/tcp # Microsft-SQL-Monitor
ms-sql-m 1434/udp # Microsft-SQL-Monitor
wins 1512/tcp # Microsoft Windows Internet Name Service
wins 1512/udp # Microsoft Windows Internet Name Service
ingreslock 1524/tcp ingres
12tp 1701/udp # Layer Two Tunnelling Protocol
pptp 1723/tcp # Point-to-point tunnelling protocol
radius 1812/udp # RADIUS authentication protocol
radacct 1813/udp # RADIUS accounting protocol
nfsd 2049/udp nfs # servidor NFS
knetd 2053/tcp # Kerberos demultiplexador
man 9535/tcp # Remote Man Server

Nem pelo firefox nem pelo internet explorer é possivel acessar o site da microsoft ou de qualquer outro anti-vírus. As portas informadas que estão fechadas estão sendo bloqueadas por um "desconhecido agente do mau" que eu desconheço totalmente.

Alguém pode tentar me ajudar? Gráto.

Observação importante: Existem nesta LAN + 2 maquinas, a do meu filho com XP também e a da minha esposa com Vista, todos conectados ao Roteador por Wi-Fi, sendo que o roteador esta conectado ao modem da Virtua pelo cabo RJ45 de Rede.

Pergunta: Se o meu filho consegue acessar o site da microsoft do computador dele e eu não consigo do meu, isso já nos ajuda a pensar e concordar que o ROTEADOR em hipótese alguma esta bloqueando isso, ou seja, não é o roteador que bloqueia os sites e sim o vírus, mas onde e como ele esta bloqueando isso para que eu possa desbloquear?

Dúvida: fui nos services.msc e desativei o cliente dns, tentei entrar no site da microsoft novamente e entrou. porque o serviço cliente dns esta bloquiando alguns sites e querendo ativar ele novamente onde eu retiro os sites que estão sendo bloqueados?

Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Sim, é à partir da Recursividade de DNS do próprio Windows, que muitas vezes é necessário desativar o Cliente DNS para acessar os sites da Microsoft e eventualmente outros sites também. A razão disto, em específico eu desconheço, mas creio ser o que na maioria das vezes: Se até nossas operadoras de banda larga tem problemas com os servidores de DNS, quem dirá a Microsoft.

E o antivírus: esta conseguindo acessar suas respectivas Web sites, e a base de dados dele esta atualizando normalmente agora, que você desativou o DNS do Windows?

Link para o comentário
Compartilhar em outros sites

Sim, acessando tudo agora. Mas ainda não tenho certeza quanto ao vírus. Estou passando o AVG 9.0.819 Free Edition no HD mas nada encontrado até agora.

"Infecção";"Vírus encontrado Win32/Virut";

"Infecção";"Vírus encontrado Win32/Virut";

"Infecção";"Vírus encontrado Win32/Heur";

"Infecção";"Vírus identificado Worm/Generic_c.ZS";

E o principal motivo deste tópico: "Infecção";"Vírus identificado Worm/Downadup ";"C:\WINDOWS\system32\ptnrtg.dll";"";"23/5/2010, 18:06:38"

Assim que acabar de passar o ativírus vou re-iniciar o Windows em modo de segurança e verificar se a dll foi limpa ou deletada e depois re-iniciar o serviço cliente dns para ver se o vírus era responsável pelo problema. Eu posto as novidades aqui.

Link para o comentário
Compartilhar em outros sites

  • Membro VIP

PARA TUDO!

Seu antivírus detectou o Virut e o Downadup? Então você tem um sério problema para lidar meu caro.

Recomendável que retire IMEDIATAMENTE da rede o PC infectado, e faça como recomendado por um de nossos Analistas de Remoção de Malwares;

Para resolver o caso você deve ler o seguinte tópico: Leia Antes de Postar - Criando um novo Tópico e postar os logs pedidos na seção de Remoção de Malware.

Lá o pessoal devidamente treinado para isso poderá te ajudar!

Enquanto isso mantenha programas de proteção devidamente instalados e atualizados, eles podem resolver o caso! :)

PS: Evite perder tempo seu e do analista, LEIA os procedimentos ANTES DE POSTAR!

Abraços!

Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Problemão, hein!?

Mantenho minha orientação da mensagem acima, justamente pelo fato de o seu Windows estar infectado por dois 'grandes' malwares.

Veja bem, não foi uma dica: foi uma instrução, o que significa que você será melhor ajudado na área de Remoção de Malwares aqui do Clube do Hardware, que já é referência nacional em Remoção de Malwares, entre os sites especializados.

Link para o comentário
Compartilhar em outros sites

Após rodar o patch de atualização WindowsXP-KB958644-x86-PTB.exe orientado pela microsoft que protege o sistema contra o vírus, efetuei scan no sistema utilizando AVG, Stinger e F-downadup e nenhum encontrou vírus no computador. Relacionado aos outros vírus como o "Virut" o AVG limpou os arquivos contaminados.

Nomeclatura pela qual o vírus é conhecido em diferentes AVs.

[F-Secure] W32/Downadup.AL

[Microsoft] Win32/Conficker

[sophos] Mal/Conficker

[symantec] Conficker.worm.gen

[Kaspersky] Net-Worm.Win32.Kido

Alguma recomendação a mais ? Tem algo que eu não tenha verificado ou observado? Aguardo suporte.

PS: Re-ativei o Cliente DNS e os sites que não entravam antes, agora entram normalmente. Depois testarei as portas. Continuo aguardando resposta, Spider,... =]

Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Amigo, eu bem que gostaria de conhecer mais sobre malwares, à ponto de dizer: "Despreocupe-se, seu sistema esta limpo". Mas, os únicos que podem afirmar isso aqui no fórum, são nossos Analistas mesmo.

Mas tenho que dizer: você embrenhou-se no conhecimento de malwares, e aparentemente fez um excelente trabalho. Se quiser, abra o tópico na área de Remoção de Malwares, para ver se seu sistema esta limpo realmente.

Espero que entenda, boa sorte!

Link para o comentário
Compartilhar em outros sites

Amigo, tente acessar essa página:

http://www.confickerworkinggroup.org/infection_test/cfeyechart-es.html

Existem 6 desenhos na parte superior da página. 3 em cima e 3 em baixo. Se você conseguir visualizar todos os 6, não há infecção pelo Conficker. Se somente aparecer os 3 de baixo ou nenhum, Existe a infecção pelo Conficker.

Link para o comentário
Compartilhar em outros sites

Ok vamos continuar por lá quanto a parte do trojan, mas aqui vamos continuar quanto a parte das portas ok ? Se quiser dar uma olhada o tópico já foi aberto: http://forum.clubedohardware.com.br/conficker-downup-downadup/810591

Assim que eu tiver dúvidas sobre as portas onde devo postar?

Relacionado a este tópico pode fechar me orientando onde abrir um novo tópico relacionado as portas do windows. Pois tenho dúvidas sobre programas, serviços e arquivos que interferem a utilização dessas portas. O porque de não conseguir utilizar por exemplo o programa TS Client para acessar o TS Server utilizado no meu PC, sendo que eu sou o servidor TS. E utililo um aplicativo de dns, No-Ip para dar o endereço de domínio de dns para meus amigos se conectarem no meu pc para conversarmos por team speaker. Meu problema com as portas neste caso, é saber se sendo eu o servidor devo informar no client do TS. A porta 8767 ou a 14534 ou outra sendo eu localhost. E se eu posso não estar conseguindo acessar pelo fato de ter algum bloqueio destas portas. Se houver nenhum de meus amigos conseguirá se conectar ao meu servidor de TS. Quanto a parte do roteador, já está corretamente configurado. Pois a regra DMZ diz que qualquer ip externo deverá se consertar ao meu ip local informado lá.

O ping do dns do meu registro no-ip também está ok. Pinga e responde sem problema. Só não consigo saber se a porta esta realmente fechada como diz o Advanced Port Scanner.

Sim amigo, consegui ver todas as imagens! xD Obrigado pelo teste...
Link para o comentário
Compartilhar em outros sites

O Stinger da McAfee identificou o W32\Conficker!mem!trojan no c:\windows\system32\svchost.exe e deu a mensagem: could not be repaired. Ou seja, + 1 programa que informa que eu estou com o maldito vírus conhecido como: Conficker, Downup, Downadup e Kid ... ¬¬

Problemão, hein!?
Após rodar o patch de atualização WindowsXP-KB958644-x86-PTB.exe orientado pela microsoft que protege o sistema contra o vírus, efetuei scan no sistema utilizando AVG, Stinger e F-downadup e nenhum encontrou vírus no computador. Relacionado aos outros vírus como o "Virut" o AVG limpou os arquivos contaminados.

o conficker tem essa propriedade de zuar todos os arquivos na lan. com a atualizaçao do sistema deixou de ser um problemao e passou a ser um probleminha.. Oo. se eu fosse voce nao descuidaria do caso. conficker fica escondido nas chaves de registros e infecta arquivos executaveis do sistema.

PS: Re-ativei o Cliente DNS e os sites que não entravam antes, agora entram normalmente. Depois testarei as portas. Continuo aguardando resposta, Spider,... =]

aparentemente e momentaneamente o conficker foi eliminado e por isso o serviço dns esta ativo novamente. aguardaremos alguns dias para ver se ele nao ira interferir novamente. essa propriedade de serviços dns o conficker se utiliza para movimentar bytes para outros endereços que captura.

Ok vamos continuar por lá quanto a parte do trojan, mas aqui vamos continuar quanto a parte das portas ok ?

Assim que eu tiver dúvidas sobre as portas onde devo postar?

Relacionado a este tópico pode fechar me orientando onde abrir um novo tópico relacionado as portas do windows.

Pois tenho dúvidas sobre programas, serviços e arquivos que interferem a utilização dessas portas. O porque de não conseguir utilizar por exemplo o programa TS Client para acessar o TS Server utilizado no meu PC, sendo que eu sou o servidor TS. E utililo um aplicativo de dns, No-Ip para dar o endereço de domínio de dns para meus amigos se conectarem no meu pc para conversarmos por team speaker.

Meu problema com as portas neste caso, é saber se sendo eu o servidor devo informar no client do TS. A porta 8767 ou a 14534 ou outra sendo eu localhost. E se eu posso não estar conseguindo acessar pelo fato de ter algum bloqueio destas portas. Se houver nenhum de meus amigos conseguirá se conectar ao meu servidor de TS. Quanto a parte do roteador, já está corretamente configurado. Pois a regra DMZ diz que qualquer ip externo deverá se consertar ao meu ip local informado lá.

O ping do dns do meu registro no-ip tambem está ok. Pinga e responde sem problema. Só não consigo saber se a porta esta realmente fechada como diz o Advanced Port Scanner.

talvez o problema da porta esteja no redirecionamento NAT do roteador. ja verificou isso?. necessariamente a dmz nao llibera as portas ela segue regras de bloqueios das firewalls tambem. seria interessante fazer um nat bem feito e nao lliberar a dmz, dessa maneira sua maquina fica vulneravel na wan.

Link para o comentário
Compartilhar em outros sites

Efetuando o teste pela http://ts2test.planetteamspeak.com/?page=step1 Site de testes da TS acredito que qualquer convidado ip externo consegue acessar meu servidor de TS. Mas estou tentando descobrir porque eu não consigo acessar sendo eu o host.

Consegui resolver usando uma versão anterior do client. Abraços, pode fechar o tópico.

Link para o comentário
Compartilhar em outros sites

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Ebook grátis: Aprenda a ler resistores e capacitores!

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!