Conteúdo: Default Ardósia Uva Barbie Morango Pôr do sol Banana Folha Chocolate Madeira
Fundo: Default Ardósia Uva Barbie Morango Pôr do sol Banana Folha Chocolate Madeira
Desenho: Liso Onda Linha Retalho Madeira Rocha Couro Colméia Vertical Triângulo
Bem-vindo ao Fórum do BABOO!

Desde 2000 o Fórum do BABOO tem ajudado milhões de internautas de Windows a resolverem seus problemas e dúvidas, além de ajudar na remoção de vírus e malwares de seus computadores. Somos o único fórum brasileiro coordenado por um especialista com reconhecimento internacional pela sua competência em Windows, então se você tem uma dúvida ou problema que nenhum outro fórum resolve, poste-a aqui pois o MVP Babooadora desafios!
  

O Fórum do BABOO também conta com a participação exclusiva do administrador da área de Segurança MVP Mr.Million que tem reconhecimento internacional da Microsoft pelo seu incansável trabalho ajudando os internautas a remover vírus e malwares dos seus computadores. Se o seu computador está infectado por algum vírus, ele te ajudará a removê-lo!
  

Nosso time de especialistas também inclui Patropi  Osvaldomp  Caze  Ciro-Mota  XERLOUCO ROUMS  Tatha que responderão suas dúvidas sobre diversos assuntos.
 

Participe da nossa comunidade! 

Entre para seguir isso  
Seguidores 0
renato.carvalho

Como remover gbiehcef.dll?

6 posts neste tópico

Olá, pessoal,

Quase esse danado ganha as senhas da minha conta no banco. (Y)

Depois de perceber o golpe, identifiquei o bicho. Mas não tô conseguindo remover. Achei outro tópico sobre ele aqui no fórum, segui os mesmos procedimentos, mas não deu.

Tem uma pasta C:\Arquivos de programas\GbPlugin com alguns arquivos que não consigo deletar de jeito nenhum. Já usei as ferramentas de "delete on reboot" do HijackThis e do KillBox, tanto no modo normal, quanto no de segurança, mas não deu certo.

O log segue abaixo.

Obrigado pela ajuda.

Renato

---------------

StartupList report, 5/11/2008, 09:30:34

StartupList version: 1.52.2

Started from : C:\Documents and Settings\Admin.RENATO\Desktop\HijackThis.EXE

Detected: Windows XP SP3 (WinNT 5.01.2600)

Detected: Internet Explorer v7.00 (7.00.6000.16735)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Intel\Wireless\Bin\EvtEng.exe

C:\Arquivos de programas\Intel\Wireless\Bin\S24EvMon.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Arquivos de programas\ESET\ESET NOD32 antivírus\ekrn.exe

C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Arquivos de programas\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\DRIVERS\WtSrv.exe

C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Admin.RENATO\Dados de aplicativos\MicrosoftGenuine.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\cmd.exe

C:\ARQUIV~1\LAUNCH~1\LManager.exe

C:\Arquivos de programas\Aspire Arcade\PCMService.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\system32\igfxext.exe

C:\DOCUME~1\ADMIN~1.REN\CONFIG~1\Temp\RtkBtMnt.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\Communications_Helper.exe

C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\LVComSX.exe

C:\WINDOWS\system32\WService.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe

C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe

C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Admin.RENATO\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Documents and Settings\Admin.RENATO\Desktop\HijackThis.exe

C:\ARQUIV~1\MOZILL~1\FIREFOX.EXE

C:\Arquivos de programas\Mozilla Thunderbird\thunderbird.exe

C:\Arquivos de programas\2BrightSparks\SyncBack\SyncBack.exe

C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroDist.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\nslookup.exe

C:\WINDOWS\system32\find.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\Admin.RENATO\Menu Iniciar\Programas\Inicializar]

SyncBack.lnk = C:\Arquivos de programas\2BrightSparks\SyncBack\SyncBack.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RTHDCPL = RTHDCPL.EXE

Alcmtr = ALCMTR.EXE

AzMixerSel = C:\Arquivos de programas\Realtek\InstallShield\AzMixerSel.exe

LManager = C:\ARQUIV~1\LAUNCH~1\LManager.exe

Adobe_ID0EYTHM = C:\ARQUIV~1\ARQUIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

PCMService = "C:\Arquivos de programas\Aspire Arcade\PCMService.exe"

SunJavaUpdateSched = "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

Acrobat Assistant 8.0 = "C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

LogitechCommunicationsManager = "C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\Communications_Helper.exe"

LVCOMSX = "C:\Arquivos de programas\Arquivos comuns\Logitech\LComMgr\LVComSX.exe"

WService = WService.EXE

!AVG Anti-Spyware = "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized

egui = "C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe" /hide /waitservice

SynTPEnh = C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SpybotSD TeaTimer = C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

Google Update = "C:\Documents and Settings\Admin.RENATO\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[AdobeUpdater]

=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\Arquivos de programas\Adobe\/Adobe Contribute CS3/contributeieplugin.dll - {074C1DC5-9320-4A9A-947D-C042949C6216}

DebugBar BHO - C:\Arquivos de programas\Core Services\DebugBar\DebugInfoBar.dll - {69FC0024-10EB-480A-BBF2-3BF4E78E17B1}

(no name) - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

(no name) - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}

G-Buster Browser Defense CEF - C:\Arquivos de programas\GbPlugin\gbiehcef.dll - {C41A1C0E-EA6C-11D4-B1B8-444553540003}

--------------------------------------------------

Enumerating Task Scheduler jobs:

GoogleUpdateTaskUser.job

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]

InProcServer32 = C:\WINDOWS\system32\wuweb.dll

CODEBASE = http://www.update.Microsoft.com/windowsupd...b?1200335124781

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Arquivos de programas\Bonjour\mdnsNSP.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Microsoft Genuine Advantage = C:\Documents and Settings\Admin.RENATO\Dados de aplicativos\MicrosoftGenuine.exe

--------------------------------------------------

End of report, 8.111 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tem uma pasta C:\Arquivos de programas\GbPlugin

Fique tranquilo, são entradas seguras usados pelos Bancos para te dar maior Segurança nas Transações Bancárias através da Internet.

Se desejar leia mais informações sobre G-Buster Browser Defense

. É seguro. (Y)



MVP Mr.Million

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fique tranquilo, são entradas seguras usados pelos Bancos para te dar maior Segurança nas Transações Bancárias através da Internet.

Se desejar leia mais informações sobre G-Buster Browser Defense

. É seguro. (Y)

Bom, então talvez eu esteja acusando o bandido errado.

Mas o que acontece é o seguinte. Desde ante-ontem, quando entro no micro, ele estava dando um aviso de erro de que não conseguia carregar essa DLL. E ontem, ao tentar acessar o Internet Banking do Banco do Brasil, caí num site falso que tentou roubar minhas senhas.

Então, liguei as duas coisas, desconfiei dessa DLL e fiz uma pesquisa aqui no Baboo e encontrei isso: http://www.babooforum.com.br/forum/index.p...p;#entry2721658

Então tentei seguir as instruções mas não deu certo. Agora, ao tentar acessar a página do banco, caio na página correta, mas o aviso de erro continua aparecendo no startup e a pasta continua lá.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Desabilite o seu Antivírus, AntiSpyware e Firewall para não haver conflitos. Mantenha-os desativados até terminar as instruções.

Faça o download do ComboFix

Salve no seu Desktop

Feche todas as janelas e programas.

Dê um duplo-clique no combofix.exe, tecle 1 e em seguida Enter para prosseguir o Fix. Aguarde, pois é um pouco demorado.

O ComboFix reiniciará o PC automaticamente para completar o processo de remoção. Caso isso não aconteça, reinicie manualmente.

Quando acabar, será gerado um Log, que estará em C:\ComboFix.txt.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando. Para parar ou sair do ComboFix, tecle "N".

Selecione, copie e cole o conteúdo do ComboFix.txt na sua próxima resposta + um novo Log do HijackThis .

OBS: Não execute o ComboFix mais do que uma vez. Isso irá sobreescrever o Log e dificultará a remoção do(s) malware(s)

Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e repita o procedimento.



MVP Mr.Million

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

Segui à risca o procedimento, mas logo no início da análise o micro travou e fez um despejo de memória. Ao reiniciar, entrei em modo de segurança, tentei novamente e o erro se repetiu. Voltei ao modo normal, fiz uma nova tentativa e deu na mesma... :(

Alguma idéia do que possa estar acontecendo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe o Malwarebytes' Anti-Malware (MBAM) ou aqui.

Salve ou imprima estas instruções:

Dê um duplo-clique no mbam-setup.exe, escolha a linguagem e na instalação, aceite todas as opções padrão.

Verifique se as caixas Atualizar Malwarebytes Anti-Malware e Executar Malwarebytes Anti-Malware estão marcadas e clique então, em Concluir.

Se houver atualizações a serem feitas, serão baixadas e instaladas.

Ao final da atualização, com o programa aberto, marque Verificação Rápida e clique no botão Verificar.

Começará então o exame. Aguarde, pois pode demorar.

Ao acabar o exame, clique em OK, depois no botão Mostrar Resultados para ver o relatório.

Se houver ítens encontrados, certifique-se de que, estão todos marcados e clique no botão Remover.

Ao final da desinfecção, abrirá o Bloco de notas com um Log e poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)

O Log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Logs na janela principal do programa.

Selecione, copie e cole o conteúdo do Log do MBAM na sua próxima resposta + um novo Log do HijackThis .

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar



MVP Mr.Million

Compartilhar este post


Link para o post
Compartilhar em outros sites

Responda via Facebook

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Quer postar a sua dúvida? Cadastre-se pois é rápido e fácil!


Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.


Entrar Agora
Esse tópico é útil para você?
Então compartilhe e ajude outros internautas!
Entre para seguir isso  
Seguidores 0

O site BABOO está no ar para informar e ajudar o internauta de Windows. Este site foi publicado em 1999 por Aurélio "Baboo", engenheiro e um dos maiores especialistas brasileiros em Windows, que trabalha profissionalmente com esse sistema operacional desde 1987. Desde 2004 ele é premiado anualmente pela Microsoft como MVP (Most Valuable Professional) pela sua contribuição e ajuda à comunidade de usuários de Windows.

Em 2001 foi criado o
Fórum do BABOO para ajudar o internauta brasileiro a solucionar problemas e dúvidas sobre Windows, Segurança, Office, Hardware e outros temas. Desde 2010 a Microsoft também tem premiado o Mr.Million, administrador da área de Segurança do Fórum do BABOO, pelo seu incansável trabalho ajudando os internautas a remover vírus e malwares dos seus computadores. Atualmente ele é o único MVP brasileiro de Segurança em desktop.

O BABOO é o único site brasileiro coordenado por um especialista com reconhecimento internacional pela sua competência em Windows e que participa diariamente e ativamente nos comentários e discussões do site e fórum BABOO.