Jump to content



Foto

Como remover gbiehcef.dll?



Existem 5 respostas neste tópico

#1 renato.carvalho    

renato.carvalho
  • Participante
  • 3 mensagens

Publicado 05 November 2008 - 10:48 AM

Olá, pessoal,

Quase esse danado ganha as senhas da minha conta no banco. (Y)

Depois de perceber o golpe, identifiquei o bicho. Mas não tô conseguindo remover. Achei outro tópico sobre ele aqui no fórum, segui os mesmos procedimentos, mas não deu.

Tem uma pasta C:\Arquivos de programas\GbPlugin com alguns arquivos que não consigo deletar de jeito nenhum. Já usei as ferramentas de "delete on reboot" do HijackThis e do KillBox, tanto no modo normal, quanto no de segurança, mas não deu certo.

O log segue abaixo.

Obrigado pela ajuda.

Renato

---------------

StartupList report, 5/11/2008, 09:30:34
StartupList version: 1.52.2
Started from : C:\Documents and Settings\Admin.RENATO\Desktop\HijackThis.EXE
Detected: Windows XP SP3 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16735)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Intel\Wireless\Bin\EvtEng.exe
C:\Arquivos de programas\Intel\Wireless\Bin\S24EvMon.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\ESET\ESET NOD32 antivírus\ekrn.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Arquivos de programas\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Admin.RENATO\Dados de aplicativos\MicrosoftGenuine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\cmd.exe
C:\ARQUIV~1\LAUNCH~1\LManager.exe
C:\Arquivos de programas\Aspire Arcade\PCMService.exe
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\igfxext.exe
C:\DOCUME~1\ADMIN~1.REN\CONFIG~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\Communications_Helper.exe
C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\LVComSX.exe
C:\WINDOWS\system32\WService.EXE
C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe
C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Admin.RENATO\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Documents and Settings\Admin.RENATO\Desktop\HijackThis.exe
C:\ARQUIV~1\MOZILL~1\FIREFOX.EXE
C:\Arquivos de programas\Mozilla Thunderbird\thunderbird.exe
C:\Arquivos de programas\2BrightSparks\SyncBack\SyncBack.exe
C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroDist.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\nslookup.exe
C:\WINDOWS\system32\find.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Admin.RENATO\Menu Iniciar\Programas\Inicializar]
SyncBack.lnk = C:\Arquivos de programas\2BrightSparks\SyncBack\SyncBack.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
AzMixerSel = C:\Arquivos de programas\Realtek\InstallShield\AzMixerSel.exe
LManager = C:\ARQUIV~1\LAUNCH~1\LManager.exe
Adobe_ID0EYTHM = C:\ARQUIV~1\ARQUIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
PCMService = "C:\Arquivos de programas\Aspire Arcade\PCMService.exe"
SunJavaUpdateSched = "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
Acrobat Assistant 8.0 = "C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
LogitechCommunicationsManager = "C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\Communications_Helper.exe"
LVCOMSX = "C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\LVComSX.exe"
WService = WService.EXE
!AVG Anti-Spyware = "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
egui = "C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe" /hide /waitservice
SynTPEnh = C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SpybotSD TeaTimer = C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
Google Update = "C:\Documents and Settings\Admin.RENATO\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[AdobeUpdater]
=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Arquivos de programas\Adobe\/Adobe Contribute CS3/contributeieplugin.dll - {074C1DC5-9320-4A9A-947D-C042949C6216}
DebugBar BHO - C:\Arquivos de programas\Core Services\DebugBar\DebugInfoBar.dll - {69FC0024-10EB-480A-BBF2-3BF4E78E17B1}
(no name) - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
G-Buster Browser Defense CEF - C:\Arquivos de programas\GbPlugin\gbiehcef.dll - {C41A1C0E-EA6C-11D4-B1B8-444553540003}

--------------------------------------------------

Enumerating Task Scheduler jobs:

GoogleUpdateTaskUser.job

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://www.update.Mi...b?1200335124781

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Arquivos de programas\Bonjour\mdnsNSP.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Microsoft Genuine Advantage = C:\Documents and Settings\Admin.RENATO\Dados de aplicativos\MicrosoftGenuine.exe

--------------------------------------------------

End of report, 8.111 bytes

#2 Mr.Million    

Mr.Million

    Consumer Security MVP

  • Especialista
  • 65448 mensagens

Publicado 05 November 2008 - 11:06 AM

Tem uma pasta C:\Arquivos de programas\GbPlugin


Fique tranquilo, são entradas seguras usados pelos Bancos para te dar maior Segurança nas Transações Bancárias através da Internet.
Se desejar leia mais informações sobre
G-Buster Browser Defense

. É seguro. (Y)
MillionMPV.gif

#3 renato.carvalho    

renato.carvalho
  • Participante
  • 3 mensagens

Publicado 05 November 2008 - 11:23 AM

Fique tranquilo, são entradas seguras usados pelos Bancos para te dar maior Segurança nas Transações Bancárias através da Internet.
Se desejar leia mais informações sobre
G-Buster Browser Defense

. É seguro. (Y)



Bom, então talvez eu esteja acusando o bandido errado.

Mas o que acontece é o seguinte. Desde ante-ontem, quando entro no micro, ele estava dando um aviso de erro de que não conseguia carregar essa DLL. E ontem, ao tentar acessar o Internet Banking do Banco do Brasil, caí num site falso que tentou roubar minhas senhas.

Então, liguei as duas coisas, desconfiei dessa DLL e fiz uma pesquisa aqui no Baboo e encontrei isso: http://www.babooforu...p;#entry2721658

Então tentei seguir as instruções mas não deu certo. Agora, ao tentar acessar a página do banco, caio na página correta, mas o aviso de erro continua aparecendo no startup e a pasta continua lá.

#4 Mr.Million    

Mr.Million

    Consumer Security MVP

  • Especialista
  • 65448 mensagens

Publicado 05 November 2008 - 11:25 AM

Desabilite o seu Antivírus, AntiSpyware e Firewall para não haver conflitos. Mantenha-os desativados até terminar as instruções.

Faça o download do ComboFix

Salve no seu Desktop

Feche todas as janelas e programas.

Dê um duplo-clique no combofix.exe, tecle 1 e em seguida Enter para prosseguir o Fix. Aguarde, pois é um pouco demorado.

O ComboFix reiniciará o PC automaticamente para completar o processo de remoção. Caso isso não aconteça, reinicie manualmente.

Quando acabar, será gerado um Log, que estará em C:\ComboFix.txt.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando. Para parar ou sair do ComboFix, tecle "N".

Selecione, copie e cole o conteúdo do ComboFix.txt na sua próxima resposta + um novo Log do HijackThis .

OBS: Não execute o ComboFix mais do que uma vez. Isso irá sobreescrever o Log e dificultará a remoção do(s) malware(s)

Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e repita o procedimento.
MillionMPV.gif

#5 renato.carvalho    

renato.carvalho
  • Participante
  • 3 mensagens

Publicado 05 November 2008 - 03:39 PM

Olá,

Segui à risca o procedimento, mas logo no início da análise o micro travou e fez um despejo de memória. Ao reiniciar, entrei em modo de segurança, tentei novamente e o erro se repetiu. Voltei ao modo normal, fiz uma nova tentativa e deu na mesma... :(

Alguma idéia do que possa estar acontecendo?

#6 Mr.Million    

Mr.Million

    Consumer Security MVP

  • Especialista
  • 65448 mensagens

Publicado 05 November 2008 - 04:36 PM

Baixe o Malwarebytes' Anti-Malware (MBAM) ou aqui.

Salve ou imprima estas instruções:

Dê um duplo-clique no mbam-setup.exe, escolha a linguagem e na instalação, aceite todas as opções padrão.

Verifique se as caixas Atualizar Malwarebytes Anti-Malware e Executar Malwarebytes Anti-Malware estão marcadas e clique então, em Concluir.

Se houver atualizações a serem feitas, serão baixadas e instaladas.

Ao final da atualização, com o programa aberto, marque Verificação Rápida e clique no botão Verificar.

Começará então o exame. Aguarde, pois pode demorar.

Ao acabar o exame, clique em OK, depois no botão Mostrar Resultados para ver o relatório.

Se houver ítens encontrados, certifique-se de que, estão todos marcados e clique no botão Remover.

Ao final da desinfecção, abrirá o Bloco de notas com um Log e poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)

O Log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Logs na janela principal do programa.

Selecione, copie e cole o conteúdo do Log do MBAM na sua próxima resposta + um novo Log do HijackThis .

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar
MillionMPV.gif