Usuários do Windows XP: O que fazer se o seu computador estiver infectado pelo worm Sasser

  • Artigo

Publicado em 4 de Maio de 2004

Imprima esta página agora para obter instruções (se o seu computador continua a reiniciar) ou ajudar um amigo.

Se você está utilizando o Microsoft® Windows® XP ou o Windows XP Service Pack 1 (SP1) e seu computador foi infectado pelo worm Sasser, você pode tomar estes passos para atualizar o seu computador, remover o worm e protegê-lo em relação a infecções futuras.

Passo 1: Desconecte o computador da Internet

Para evitar problemas futuros, desconecte o computador da Internet:

  • Usuários de banda larga: Localize o cabo que tem origem em seu modem ADSL/cabo  e desconecte-o.
  • Usuários de linha discada: Localize o cabo que vai de seu modem a tomada telefônica e desconecte-o.

Passo 2: Para os ciclos de desligamentos

Este worm causa a falta de resposta do componente LSASS.EXE, o que força o sistema operacional a ser desligado após 60 segundos. Se o seu computador iniciar o desligamento, siga os passos abaixo para abortar qualquer desligamento em progresso:

  1. Na barra de tarefas, clique em Iniciar e em Executar.
  2. Digite cmd e clique em OK.
  3. No prompt de comando, digite shutdown.exe -a e pressione ENTER.

Passo 3: Atenue a vulnerabilidade

Você pode remover temporariamente a vulnerabilidade que permite ao worm infectar o computador, criando um arquivo de log.

Criando o arquivo de log

  1. Na barra de tarefas, clique em Iniciar e em Executar.
  2. Digite cmd e clique em OK.
  3. No prompt de comando, digite echo dcpromo >%systemroot%\debug\dcpromo.log e pressione ENTER.

Torne o arquivo de log somente leitura

  1. No prompt de comando, digite attrib +R %systemroot%\debug\dcpromo.log e pressione ENTER.

Passo 4: Aumente o desempenho do sistema

Se o seu computador está muito lento ou se a conexão a Internet está lenta, o worm pode estar inundando sua conexão de rede. Isto pode tornar impossível o download e a instalação da atualização de software. Para aumentar o desempenho do sistema:

  1. Pressione CTRL+ALT+DELETE, e clique em Gerenciador de Tarefas.
  2. Para cada uma das tarefas abaixo, selecione a mesma e clique no botão Finalizar Tarefa para encerrá-la.
    • Qualquer tarefa terminando com _up.exe (por exemplo, 12345_up.exe).
    • Qualquer tarefa iniciando com avserve (por exemplo, avserve.exe).
    • Qualquer tarefa iniciando com avserve2 (por exemplo, avserve2.exe).
    • Qualquer tarefa iniciando com skynetave (por exemplo, skynetave.exe).
    • hkey.exe
    • msiwin84.exe
    • wmiprvsw.exe   Nota  Não encerre a tarefa wmiprvse.exe; ela é legítima.

Passo 5: Ative um Firewall

Um firewall é um software ou hardware que cria uma barreira protetora entre o seu computador e a Internet. Se o seu computador estiver infectado, um firewall irá ajudar a limitar os efeitos do worm. O Windows XP inclui o o Firewall de Conexão com a Internet (FCI). Para ativar o FCI:

Clique em Iniciar e, em seguida, clique em Painel de Controle.

  1. Clique em Conexões de Rede e de Internet e, em seguida, clique em Conexões de Rede.

Clique em Conexões de Rede e de Internet

Clique em Conexões de Rede

Observação: se a categoria Conexões de Rede e de Internet não estiver visível, clique em Alternar para o Modo de Exibição por Categoria na parte superior esquerda da janela.

Alterne para o Modo de Exibição por Categoria  

  1. No cabeçalho Dial-up ou Rede Local ou Internet de Alta Velocidade, clique no ícone para selecionar a conexão que deseja ajudar a proteger.

Selecione uma conexão  

  1. No painel de tarefas à esquerda, em Tarefas de Rede, clique em Alterar as configurações desta conexão. (Como um atalho, você pode clicar com o botão direito do mouse na conexão que deseja proteger e, em seguida, clicar em Propriedades.)

Altere as configurações da conexão  

Outra opção é clicar com o botão direito do mouse na conexão e, em seguida, clicar em Propriedades  

  1. Na guia Avançado, em Firewall de Conexão com a Internet, marque a caixa próxima a Proteger o computador e a rede limitando ou impedindo o acesso a este computador através da Internet.

Marque a caixa para proteger seu computador e a rede. Depois de marcar a caixa e fechar a janela Propriedades, o firewall estará ativado. O firewall pode interferir em algumas operações de rede, como compartilhamento de arquivo e impressão, programas relacionados à rede ou jogos online. para obter mais informações sobre como corrigir esses problemas, consulte a página perguntas freqüentes listada a seguir.

Passo 6: Conecte-se a Internet novamente

Conecte o cabo (citado no Passo 1) de volta ao computador.

Passo 7: Instale a Atualização Necessária

Para proteger o computador em relação ao worm no futuro, você precisa fazer o download e instalar a atualização de segurança 835732, que foi lançada no boletim MS04-011. Para fazer o download da atualização 835732, acesse http://go.microsoft.com/?LinkID=526067

Passo 8: Verifique a presença e remova o Sasser

Após instalar a atualização e reiniciar o computador, faça o download da ferramenta de Remoção do Sasser. Faça o download clicando aqui. Utilize a ferramenta para pesquisar seu disco rígido e remover as variantes Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E, e Sasser.F.

Sobre o Firewall de Conexão com a Internet

O Firewall de Conexão com a Internet pode bloquear tarefas úteis como compartilhamento de arquivos e impressoras através da rede, a transferência de arquivos em aplicações ou a hospedagem de jogos multi-jogadores. Mesmo assim, a Microsoft recomenda que você utilize um firewall para proteger o seu computador.

Se você ativar o Firewall de Conexão com a Internet e encontrar dificuldade em executar algumas tarefas, leia o documento "How to Open Ports in the Windows XP Internet Connection Firewall" em http://www.microsoft.com/security/protect/ports.asp (inglês).

Se você possui mais de um computador ou deseja mais informações técnicas sobre firewalls, leia o documento "Frequently Asked Questions About Firewalls" em http://www.microsoft.com/security/protect/firewall.asp (inglês).

Topo