Arquivos de vírus svcsrss.exe e autorun.inf

Question

Fala pessoal, atualmente estou na luta com esse v&iacute;rus, que nenhum antiv&iacute;rus que eu testei at&eacute; agora conseguiu detectar, a &uacute;nica coisa que se &eacute; que ele deixa estes arquivos em qualquer pasta compartilhada, eu deleto e ele volta, algu&eacute;m conhece alguma ferramenta para remo&ccedil;&atilde;o definitiva?

Answer

*Baixe o HijackThis e salve-o no desktop
    *Execute-o
    *Clique em [Do a system scan and save a logfile].
    *Cole o relat&oacute;rio

Answer

Oi Boa noite Wings, segue relat&oacute;rio:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:23, on 24/06/2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Avira\AntiVir Server\sched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Server\avguard.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32
tfrs.exe
C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\Arquivos de programas\Avira\AntiVir Server\avgnt.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32dpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe
C:\Arquivos de programas\Cobian Backup 9\cbInterface.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Arquivos de programas\Avira\AntiVir Server\avgnt.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
c:\windows\system32\inetsrv\w3wp.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Arquivos de programas\Windows Defender\MsMpEng.exe
C:\Arquivos de programas\Windows Defender\MSASCui.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\Documents and Settings\Administrador\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Cobian Backup 9 interface] C:\Arquivos de programas\Cobian Backup 9\cbInterface.exe -service
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LogMeIn GUI] C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2-ui.exe --auto-start
O4 - HKLM\..\Run: [avgnt] C:\Arquivos de programas\Avira\AntiVir Server\avgnt.exe /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe /runcleanupscript
O4 - HKLM\..\Run: [Windows Defender] C:\Arquivos de programas\Windows Defender\MSASCui.exe -hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVI&Ccedil;O LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVI&Ccedil;O DE REDE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247083744671
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = casulo.local
O17 - HKLM\Software\..\Telephony: DomainName = casulo.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{65BFBEBD-91DB-460E-BA7B-ED4DD226B170}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = casulo.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = casulo.local
O23 - Service: Avira AntiVir Server scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Server\sched.exe
O23 - Service: Avira AntiVir Server (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Server\avguard.exe
O23 - Service: Cobian Backup 9 servi&ccedil;o (CobianBackupAmanita) - Luis Cobian - C:\Arquivos de programas\Cobian Backup 9\cbService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
--
End of file - 7759 bytes

Answer

Eu conhe&ccedil;o pouco sobre virus, mas j&aacute; tive um problema deste na rede l&aacute; da loja e quando rodei um live cd de linux nas maquinas sempre encontrava estes virus na raiz C:, eles ficam ocultos se for visualizar pelo windows mas pelo linux da pra apagar  tranquilo.

Espero que ajude, se n&atilde;o ajudar tem ai o wings que &eacute; expert em remo&ccedil;&atilde;o de pragas!

Answer

[INDENT]
[color=#FF0080]SuperAntiSpyware[/color]
Clique aqui para baixar SuperAntiSpyware.
# Depois de ter baixado-lo, clique no &iacute;cone para iniciar o instalador
http://j.imagehost.org/0772/execute8.png
# No instalador SuperAntiSpyware, basta manter a clicar em Avan&ccedil;ar e concordar com o contrato de licen&ccedil;a.
# Quando a instala&ccedil;&atilde;o tiver terminado, ele ir&aacute; lhe perguntar se voc&ecirc; deseja verificar as &uacute;ltimas atualiza&ccedil;&otilde;es. Escolha Sim.
# O assistente de configura&ccedil;&atilde;o SuperAntiSpyware vai agora come&ccedil;ar. Novamente, v&aacute; em frente e continuar clicando em Next - voc&ecirc; n&atilde;o precisa digitar o seu endere&ccedil;o de e-mail quando solicitado.
# Quando o assistente terminar, ele ir&aacute; perguntar se voc&ecirc; quer proteger sua p&aacute;gina inicial seja alterada, diga SIM.
Se voc&ecirc; sempre tem a p&aacute;gina inicial do mesmo, por todos os meios, proteg&ecirc;-lo.
# Clique em Procure Atualiza&ccedil;&otilde;es... Espere atualizar e depois clique OK.
# Clique em analisar o seu computador
http://a.imagehost.org/0629/execute5.png
# Depois clique em An&aacute;lise Completa.
http://a.imagehost.org/0371/execute7.png
# SuperAntiSpyware vai agora analisar o seu computador de programas perigosos, conhecidos como malware ou spyware.
# Quando isso for feito, e isso pode levar algum tempo, ele ir&aacute; pop-up relat&oacute;rio. Clique em OK.
# Agora voc&ecirc; vai ver todos os itens que SuperAntiSpyware acha que pode ser prejudicial. Sugerimos tomar recomenda&ccedil;&otilde;es SuperAntiSpyware e clicar em Avan&ccedil;ar para quarentena e remover os itens prejudiciais. Apenas desmarcar um item se voc&ecirc; tem certeza absoluta de que &eacute; OK.
# Clique em Concluir, em Fechar para sair SuperAntiSpyware.
# Reinicie o computador. Depois v&aacute; em Prefer&ecirc;ncias... Na aba Estat&iacute;stica/Arquivos de Log clique sobre o &uacute;ltimo arquivo produzido, abrir&aacute; o Bloco de Notas com o log cole esse texto aqui.

[/INDENT][COLOR=#ff0080][/COLOR]

Answer

[quote=marcos andrade22, post: 4998454]Eu conhe&ccedil;o pouco sobre virus, mas j&aacute; tive um problema deste na rede l&aacute; da loja e quando rodei um live cd de linux nas maquinas sempre encontrava estes virus na raiz C:, eles ficam ocultos se for visualizar pelo windows mas pelo linux da pra apagar  tranquilo.

Espero que ajude, se n&atilde;o ajudar tem ai o wings que &eacute; expert em remo&ccedil;&atilde;o de pragas![/quote]

&Eacute; Marcos esse v&iacute;rus d&aacute; trabalho, no meu caso aqui &eacute; uma rede onde o servidor tem suas pastas compartilhadas e mapeadas para todos  os micros, nas pastas do servidor eu apago mas sempre volta, agora eu n&atilde;o sei se o v&iacute;rus est&aacute; em uma maquina qualquer ou est&aacute; no servidor.

Answer

[quote=Rush_Pressa, post: 4998458]&Eacute; Marcos esse v&iacute;rus d&aacute; trabalho, no meu caso aqui &eacute; uma rede onde o servidor tem suas pastas compartilhadas e mapeadas para todos  os micros, nas pastas do servidor eu apago mas sempre volta, agora eu n&atilde;o sei se o v&iacute;rus est&aacute; em uma maquina qualquer ou est&aacute; no servidor.[/quote]
Escanei o os dois o SAS deve remove-los.

Answer

No pc onde voce encontrar e apagar voce pode criar uma pasta chamada "autorun.inf" pois mesmo no windows um arquivo não sobrepoe um diretório, isso pode ajudar a evitar que ele se multiplique já que o arquivo autorun.inf é quem executa o .exe

Linux user # 493893
http://blogdotuto.blogspot.com/

Answer

[quote=marcos andrade22, post: 4998480]No pc onde voce encontrar e apagar voce pode criar uma pasta chamada autorun.inf pois mesmo no windows um arquivo n&atilde;o sobrepoe um diret&oacute;rio, isso pode ajudar a evitar que ele se multiplique j&aacute; que o arquivo autorun.inf &eacute; quem executa o .exe[/quote]

Um arquivo n&atilde;o sobrepoe um diret&oacute;rio? Ou um diret&oacute;rio com o mesmo nome n&atilde;o sobrepoe outro?

Answer

[quote=Rush_Pressa, post: 4998426]Fala pessoal, atualmente estou na luta com esse v&iacute;rus, que nenhum antiv&iacute;rus que eu testei at&eacute; agora conseguiu detectar, a &uacute;nica coisa que se &eacute; que ele deixa estes arquivos em qualquer pasta compartilhada, eu deleto e ele volta, algu&eacute;m conhece alguma ferramenta para remo&ccedil;&atilde;o definitiva?[/quote]

Amig&atilde;o, s&oacute; pra constar, nem todo autorun &eacute; v&iacute;rus.

Answer

[quote=Rush_Pressa, post: 4998834]Um arquivo n&atilde;o sobrepoe um diret&oacute;rio? Ou um diret&oacute;rio com o mesmo nome n&atilde;o sobrepoe outro?[/quote]
Diret&oacute;rio sobrep&otilde;e arquivo. Mas fa&ccedil;a o scan e poste o log depois fa&ccedil;a isso!

Answer

[quote=Andrezc, post: 4998838]Amig&atilde;o, s&oacute; pra constar, nem todo autorun &eacute; v&iacute;rus.[/quote]

Mas esse &eacute; um script para chamar o execut&aacute;vel do v&iacute;rus. Abra&ccedil;os

Answer

Estes virus est&atilde;o bem comuns hoje em rede eu vivia pegando estes no meu pendrive, basta espetar pra pegar, at&eacute; criar esta pasta, mas como na maior parte do tempo eu uso linux eu n&atilde;o ligo muito.

L&aacute; na loja onde trabalho todos os pcs estavam infectados com este virus, e ele se propaga pela rede tambem, por isso te falei que geralmente ele fica na raiz c:, pois l&aacute; em todos os pcs estavam no mesmo local.

Mas beleza, espero ter contribuido de alguma forma j&aacute; que n&atilde;o tenho costume de remover pragas, n&atilde;o tenho muita experiencia, s&oacute; postei algo que aconteceu comigo e poderia (ou n&atilde;o) ser util.

Ferramentas

Mover Tópico