Alguns vírus, uma vez infectado em um computador, conseguem inibir a ação do antivírus, chegando até a desativá-lo. Em outros casos, computadores infectados não permitem nem a instalação de uma solução antivírus caso o mesmo não possua uma.
Soluções antivírus corporativas utilizam um recurso comumente chamado de "Instalação Remota", onde através de uma Console Central de Gerenciamento, o Técnico de TI consegue disparar a instalação do antivírus em todos os computadores da rede sem precisar ir a cada um deles. Caso um computador se enquadre na situação de infecção descrita acima, o antivírus não será instalado.
Geralmente, é enviado um Técnico ao local e na grande maioria dos casos, o procedimento é: tirar o computador da rede (quando eu digo tirar o computador da rede é, literalmente, tirar o cabo de rede); executar a limpeza do computador com algum utilitário de limpeza específico; e só então voltar com o computador para a rede e tentar a instalação do antivírus novamente. Convenhamos que, além de trabalhoso, não é dinâmico. E dinamismo é o que mais se exige da TI nos dias de hoje. Nessas situações, entra em cena o lado Batman do Técnico de TI (por favor, quando digo Batman não quero que pensem no lado "morcego" do Técnico de TI. Técnico de TI não morcega... ¬¬). Quando digo o lado Batman, me refiro ao Cinto de Utilidades.
Todo Técnico de TI que se preze tem o seu kit de ferramentas e softwares que são indispensáveis em qualquer situação. Para o caso apresentado, vou utilizar 3 softwares: um software de varredura e limpeza, um log viewer e um software de acesso remoto.
1 - O Microsoft Windows Malicious Software Removal Tool ou MRT é um software de varredura e limpeza que reconhece e elimina os vírus mais comuns. Ele é o que chamamos de Standalone Sweeper, ou seja, um "varredor autônomo". Ele não precisa ser instalado, basta copiar para o computador e executar. O MRT pode ser encontrado em qualquer computador Windows que esteja configurado para receber atualizações automáticas e seu executável (mrt.exe) está localizado na pasta %WinDir%\System32. Toda segunda terça-feira do mês, a Microsoft libera uma atualização desta ferramenta. Caso não a possua, o download pode ser feito neste endereço: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16
2 - O SMS Trace ou Trace32 é um log viewer muito conhecido entre os usuários do Configuration Manager. Ele permite a visualização de logs em tempo real, ou seja, assim que são feitos novos registros no arquivo de log, o SMS Trace os exibe automaticamente, sem que o usuário precise ficar fechando e abrindo o arquivo, como acontece com quem usa o Bloco de Notas, por exemplo. O SMS Trace é parte do System Center Configuration Manager 2007 Toolkit e pode ser encontrado neste endereço: http://www.microsoft.com/downloads/en/details.aspx?familyid=5A47B972-95D2-46B1-AB14-5D0CBCE54EB8&displaylang=en. Após a instalação, execute-o pelo menos uma vez para que os arquivos de log sejam associados a ele.
3 - O PsExec é um prompt de comando remoto muito simples é fácil de usar. Com ele é possível executar comandos e softwares remotamente em qualquer computador que você consiga se conectar. O PsExec não precisa ser instalado, basta executar. Ele pode ser encontrado no endereço: http://technet.microsoft.com/en-us/sysinternals/bb897553.
De posse dos softwares, vamos aos preparativos: Tenha o MRT mais recente em seu computador de trabalho. Instale o SMS Trace e associe-o aos arquivos .log. Copie o PsExec para a pasta %WinDir%\System32 do seu computador de trabalho.
(Hora de mostrar que você é o cara!!!) Abra um Prompt de Comando no seu computador de trabalho e dispare a execução do MRT no computador infectado através do comando:
psexec \\nome_do_computador -c mrt.exe /Q
- O parâmetro -c do PsExec faz com que o MRT seja copiado para o computador remoto antes de ser executado.
- O parâmetro /Q do MRT faz com que ele seja executado em modo silencioso, ou seja, o usuário que estiver trabalhando no computador no momento não será interrompido.
Abra a janela Executar e acesse a raiz da unidade C do computador remoto através do comando:
\\nome_do_computador\c$
Acesse a pasta do Windows e em seguida, acesse a pasta Debug. Procure pelo arquivo mrt.log e dê um duplo-clique para que ele seja aberto no SMS Trace e acompanhe toda a atividade do MRT em tempo real. Ao término, se o MRT pedir para reiniciar o computador para terminar a limpeza do sistema, você pode fazer isso, também remotamente, e informar ao usuário que estiver trabalhando no computador no momento sobre a reinicialização, através do comando:
shutdown -r -t 30 -m \\nome_do_computador -c "Foi encontrado um vírus em seu computador e será necessário reiniciá-lo para completar a remoção. Por favor, salve todos os seus documentos em aberto para evitar perda de dados. Seu computador será reiniciado em 30 segundos."
- O parâmetro -c do comando shutdown exibe uma mensagem customizada ao usuário conectado no computador remoto e pode ser definida ao seu gosto.
Após completar a limpeza, dispare novamente a Instalação Remota de sua solução antivírus e tudo deve ocorrer como deveria ter sido desde o início.
Para finalizar, algumas considerações: Não levantei questões como privilégios administrativos ou configuração de firewall, pois não eram o foco do Post. É óbvio que para executar estes procedimentos, o usuário precise ter privilégios administrativos e acessar remotamente o computador infectado. No meu entendimento, tais "requisitos" são básicos a qualquer Técnico de TI que trabalhe nesta área.
Espero que tenham gostado do Post. Até a próxima.
Nenhum comentário:
Postar um comentário