Usuários do Windows XP: O que fazer se o seu computador estiver infectado pelo worm Sasser
Publicado em 4 de Maio de 2004
Imprima esta página agora para obter instruções (se o seu computador continua a reiniciar) ou ajudar um amigo.
Se você está utilizando o Microsoft® Windows® XP ou o Windows XP Service Pack 1 (SP1) e seu computador foi infectado pelo worm Sasser, você pode tomar estes passos para atualizar o seu computador, remover o worm e protegê-lo em relação a infecções futuras.
Passo 1: Desconecte o computador da Internet
Para evitar problemas futuros, desconecte o computador da Internet:
- Usuários de banda larga: Localize o cabo que tem origem em seu modem ADSL/cabo e desconecte-o.
- Usuários de linha discada: Localize o cabo que vai de seu modem a tomada telefônica e desconecte-o.
Passo 2: Para os ciclos de desligamentos
Este worm causa a falta de resposta do componente LSASS.EXE, o que força o sistema operacional a ser desligado após 60 segundos. Se o seu computador iniciar o desligamento, siga os passos abaixo para abortar qualquer desligamento em progresso:
- Na barra de tarefas, clique em Iniciar e em Executar.
- Digite cmd e clique em OK.
- No prompt de comando, digite shutdown.exe -a e pressione ENTER.
Passo 3: Atenue a vulnerabilidade
Você pode remover temporariamente a vulnerabilidade que permite ao worm infectar o computador, criando um arquivo de log.
Criando o arquivo de log
- Na barra de tarefas, clique em Iniciar e em Executar.
- Digite cmd e clique em OK.
- No prompt de comando, digite echo dcpromo >%systemroot%\debug\dcpromo.log e pressione ENTER.
Torne o arquivo de log somente leitura
- No prompt de comando, digite attrib +R %systemroot%\debug\dcpromo.log e pressione ENTER.
Passo 4: Aumente o desempenho do sistema
Se o seu computador está muito lento ou se a conexão a Internet está lenta, o worm pode estar inundando sua conexão de rede. Isto pode tornar impossível o download e a instalação da atualização de software. Para aumentar o desempenho do sistema:
- Pressione CTRL+ALT+DELETE, e clique em Gerenciador de Tarefas.
- Para cada uma das tarefas abaixo, selecione a mesma e clique no botão Finalizar Tarefa para encerrá-la.
- Qualquer tarefa terminando com _up.exe (por exemplo, 12345_up.exe).
- Qualquer tarefa iniciando com avserve (por exemplo, avserve.exe).
- Qualquer tarefa iniciando com avserve2 (por exemplo, avserve2.exe).
- Qualquer tarefa iniciando com skynetave (por exemplo, skynetave.exe).
- hkey.exe
- msiwin84.exe
- wmiprvsw.exe Nota Não encerre a tarefa wmiprvse.exe; ela é legítima.
Passo 5: Ative um Firewall
Um firewall é um software ou hardware que cria uma barreira protetora entre o seu computador e a Internet. Se o seu computador estiver infectado, um firewall irá ajudar a limitar os efeitos do worm. O Windows XP inclui o o Firewall de Conexão com a Internet (FCI). Para ativar o FCI:
Clique em Iniciar e, em seguida, clique em Painel de Controle.
- Clique em Conexões de Rede e de Internet e, em seguida, clique em Conexões de Rede.
Clique em Conexões de Rede e de Internet
Clique em Conexões de Rede
Observação: se a categoria Conexões de Rede e de Internet não estiver visível, clique em Alternar para o Modo de Exibição por Categoria na parte superior esquerda da janela.
Alterne para o Modo de Exibição por Categoria
- No cabeçalho Dial-up ou Rede Local ou Internet de Alta Velocidade, clique no ícone para selecionar a conexão que deseja ajudar a proteger.
Selecione uma conexão
- No painel de tarefas à esquerda, em Tarefas de Rede, clique em Alterar as configurações desta conexão. (Como um atalho, você pode clicar com o botão direito do mouse na conexão que deseja proteger e, em seguida, clicar em Propriedades.)
Altere as configurações da conexão
Outra opção é clicar com o botão direito do mouse na conexão e, em seguida, clicar em Propriedades
- Na guia Avançado, em Firewall de Conexão com a Internet, marque a caixa próxima a Proteger o computador e a rede limitando ou impedindo o acesso a este computador através da Internet.
Marque a caixa para proteger seu computador e a rede. Depois de marcar a caixa e fechar a janela Propriedades, o firewall estará ativado. O firewall pode interferir em algumas operações de rede, como compartilhamento de arquivo e impressão, programas relacionados à rede ou jogos online. para obter mais informações sobre como corrigir esses problemas, consulte a página perguntas freqüentes listada a seguir.
Passo 6: Conecte-se a Internet novamente
Conecte o cabo (citado no Passo 1) de volta ao computador.
Passo 7: Instale a Atualização Necessária
Para proteger o computador em relação ao worm no futuro, você precisa fazer o download e instalar a atualização de segurança 835732, que foi lançada no boletim MS04-011. Para fazer o download da atualização 835732, acesse http://go.microsoft.com/?LinkID=526067
Passo 8: Verifique a presença e remova o Sasser
Após instalar a atualização e reiniciar o computador, faça o download da ferramenta de Remoção do Sasser. Faça o download clicando aqui. Utilize a ferramenta para pesquisar seu disco rígido e remover as variantes Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E, e Sasser.F.
Sobre o Firewall de Conexão com a Internet
O Firewall de Conexão com a Internet pode bloquear tarefas úteis como compartilhamento de arquivos e impressoras através da rede, a transferência de arquivos em aplicações ou a hospedagem de jogos multi-jogadores. Mesmo assim, a Microsoft recomenda que você utilize um firewall para proteger o seu computador.
Se você ativar o Firewall de Conexão com a Internet e encontrar dificuldade em executar algumas tarefas, leia o documento "How to Open Ports in the Windows XP Internet Connection Firewall" em http://www.microsoft.com/security/protect/ports.asp (inglês).
Se você possui mais de um computador ou deseja mais informações técnicas sobre firewalls, leia o documento "Frequently Asked Questions About Firewalls" em http://www.microsoft.com/security/protect/firewall.asp (inglês).