[Arquivado] Vírus Msbcs

[Marcelo Avila 0]

Caros,

 

Gostaria de ajuda para resolver um problema que estou tendo em uma máquina. Ela estava infectada com diversos vírus e resolvi instalar o Norton para retirá-los, tive sucesso com todos menos com um que o Norton identifica como msbcs.exe.

 

O computador não desliga através do respectivo comando e o Norton avisa a cada 3 minutos que a máquina está infectada com esse vírus.

 

Dei uma pesquisada sobre o assunto e todos os fóruns relacionados pedem que instalem o hijackthis no C: e execute um log. Procedi até este ponto, porém não sei mais como dar seqüência.

 

Gostaria se possível de alguma orientação para os próximos passos.

 

Segue o log abaixo

----------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 18:43:19, on 11/9/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Executive Software\Diskeeper\DkService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\system32\slserv.exe

C:\ARQUIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\winherp32.exe

C:\WINDOWS\system32\cmrss.exe

C:\WINDOWS\system32\msbcs.exe

C:\WINDOWS\system32\Isass.exe

C:\WINDOWS\system32\aIg.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\ARQUIV~1\FASTDE~1\FAST2.EXE

C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\WINDOWS\system32\slrundll.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Hijack This\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Arquivos de programas\Discador iBest\bho.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Arquivos de programas\Arquivos comuns\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [foxskfp5605] C:\WINDOWS\help\unicox.exe

O4 - HKLM\..\Run: [foxhwoq798] C:\WINDOWS\help\nmoi4817.exe

O4 - HKLM\..\Run: [winhelp] C:\WINDOWS\winherp32.exe

O4 - HKLM\..\Run: [cmrss] C:\WINDOWS\system32\cmrss.exe

O4 - HKLM\..\Run: [msbcs] C:\WINDOWS\system32\msbcs.exe

O4 - HKLM\..\Run: [isass] C:\WINDOWS\system32\Isass.exe

O4 - HKLM\..\Run: [aIg] C:\WINDOWS\system32\aIg.exe

O4 - HKLM\..\Run: [ccApp] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [foxpkhe2224] C:\WINDOWS\help\pmwj8060.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [FAST Defrag] C:\ARQUIV~1\FASTDE~1\FAST2.EXE -tray

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe"

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Arquivos de programas\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Arquivos de programas\ICQ\ICQ.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1104000121301

O17 - HKLM\System\CCS\Services\Tcpip\..\{AABF7219-C31C-49CD-A33B-BF4E70B41A87}: NameServer = 200.204.0.138 200.204.0.10

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Arquivos de programas\Executive Software\Diskeeper\DkService.exe

O23 - Service: Serviço de Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

----------------------------------

 

Obrigado!

[jgarcia 1]

Opa Marcelo Avila,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione --> Editar --> Copiar.

C:\WINDOWS\winherp32.exe

C:\WINDOWS\system32\cmrss.exe

C:\WINDOWS\system32\msbcs.exe

C:\WINDOWS\system32\Isass.exe

C:\WINDOWS\system32\aIg.exe

C:\WINDOWS\help\unicox.exe

C:\WINDOWS\help\nmoi4817.exe

C:\WINDOWS\help\pmwj8060.exe

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

O4 - HKLM\..\Run: [foxskfp5605] C:\WINDOWS\help\unicox.exe

O4 - HKLM\..\Run: [foxhwoq798] C:\WINDOWS\help\nmoi4817.exe

O4 - HKLM\..\Run: [winhelp] C:\WINDOWS\winherp32.exe

O4 - HKLM\..\Run: [cmrss] C:\WINDOWS\system32\cmrss.exe

O4 - HKLM\..\Run: [msbcs] C:\WINDOWS\system32\msbcs.exe

O4 - HKLM\..\Run: [isass] C:\WINDOWS\system32\Isass.exe

O4 - HKLM\..\Run: [aIg] C:\WINDOWS\system32\aIg.exe

O4 - HKLM\..\Run: [foxpkhe2224] C:\WINDOWS\help\pmwj8060.exe

Clique em Fix Checked.

 

3ª Etapa

 

Reinicie em Modo Normal.

 

Poste o novo log do HijackThis.

 

Aguardo retorno.

 

Um abraço.

[Shine 0]

TÓPICO ARQUIVADO

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada

para um moderador da área juntamente com o link para este tópico e explique

o motivo da reabertura.