Sobre

.

 

Alexandre Nakagawa

Certificações
MCSA - MCTS - MCDST
MCITP Enterprise Support

Quem Sou
Especialista em Infraestrutura de Redes

Esporte
Kung Fu

Cidade
Cotia

Linkedin
Facebook
Twitter

Flickr

DeviantArt

User login

Ferramentas necessarias,
Psexec e pspasswd da Sysinternals
WindowsXP-KB958644-x86-PTB.exe
WindowsXP-KB967715-x86-PTB.exe
KK.exe da kaspersky labs
TXT com a lista de todos os computadores do dominio.
NMAP para escanear os computadores da rede e verificar se estão vulneraveis.
 baixe os arquivos em
 
http://usa.kaspersky.com/threats/KK.exe
http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03
http://www.microsoft.com/downloads/details.aspx?FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74&DisplayLang=pt-br
http://nmap.org/download.html
 
Necessario executar essas ferramentas com algum usuario que seja Administrador de todas as maquinas que estão infectadas.
Primeiramente usamos o nmap com os seguintes parametros
nmap -p 139,445 -T4 -v -n -PN --script smb-check-vulns,smb-os-discovery --script-args unsafe=1 192.168.0.1-254  <<alterar o range de ips conforme necessario.
As maquinas que retornarem o valor
_ System time: 2010-01-05 15:10:23 UTC-2
 
|  smb-check-vulns: 
 
|  MS08-067: VULNERABLE OU MS08-067 PATCHED possible by conficker
 
|_ Conficker: Likely Clean OU Likely Infected

 
Serão as maquinas em que deveremos trabalhar, anote os nomes das mesmas em um txt, um nome por linha.
e via linha de comando, acesse a pasta onde estão todos os arquivos listados acima, utilize o seguinte comando:
psexec @pcs.txt -c -d kk.exe
 
O resultado deverá ser como a seguir
PsExec v1.94 - Execute processes remotely
Copyright (C) 2001-2008 Mark Russinovich
Sysinternals - www.sysinternals.com
 \\maquina1:
 kk.exe started on maquina1 with process ID 2560.
\\maquina2:
 kk.exe started on maquina2 with process ID 224.
Aguarde uns 15 minutos, e execute o seguinte comando, para instalar o hotfix.
psexec @pcs.txt -c -d WindowsXP-KB958644-x86-PTB.exe /quiet /norestart
Após 5 minutos
psexec @pcs.txt -c -d WindowsXP-KB967715-x86-PTB.exe /quit /norestart
Vamos agora alterar a senha de administrador local as maquinas através de outra ferramenta da SysInternals.
pspasswd.exe @pcs.txt Administrador SENHA-COMPLEXA
O resultado deverá ser esse:
PsPasswd v1.22 - Local and remote password changer
Copyright (C) 2003-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
 \\maquina1:
Password for maquina1\Administrador successfully changed.
 \\maquina2:
Password for maquina2\Administrador successfully changed.
 Reinicie as maquinas e rode o Nmap novamente para averiguar se nao faltou nenhuma maquina.
 

Busca
Parceiros
Online
There are currently 0 users and 0 guests online.