Logo Hardware.com.br
Rafa Vasconcelos
Rafa Vasconc... Novo Membro Registrado
17 Mensagens 0 Curtidas

gbiehuni.dll >>resolvido<<

#1 Por Rafa Vasconc... 07/10/2008 - 16:30
Oi, Preciso de ajuda.
Tem uma máquina onde trabalho que o antivírus McAfee detecta gbiehuni.dll como vírus após usuário entrar em conta de Banco e deixando a máquina lenta, mas já entrei no Google para pesquisar se é ou não é vírus, e as respostas foram não, que ele é uma ferramenta de anti-trojan dos Bancos principalmente do Bradesco, entrei no site virustotal e de acordo com as pesquisas também não é vírus. Gostaria de ajuda para saber se é realmente vírus e se não for ajuda para que o McAfee para de identificá-lo como vírus e deixando a máquina lenta.nao_sei.gif
maquina trabalho banco virus entrei dll mcafee resolvido gbiehuni
Responder
Rafa Vasconcelos
Rafa Vasconc... Novo Membro Registrado
17 Mensagens 0 Curtidas
#3 Por Rafa Vasconc...
07/10/2008 - 17:08
Logfile of HijackThis v1.99.1
Scan saved at 17:10:20, on 07/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Network Associates\Common Framework\FrameworkService.exe
C:\Arquivos de programas\Network Associates\VirusScan\Mcshield.exe
C:\Arquivos de programas\Network Associates\VirusScan\VsTskMgr.exe
C:\ARQUIV~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Arquivos de programas\ORL\VNC\WinVNC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Network Associates\VirusScan\SHSTAT.EXE
C:\Arquivos de programas\Network Associates\Common Framework\UpdaterUI.exe
C:\Arquivos de programas\Arquivos comuns\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\WINDOWS\Downloaded Program Files\gbiehuni.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Arquivos de programas\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Kerio VPN Client] "C:\Arquivos de programas\Kerio\VPN Client\kvpnclient.exe" /tryauto
O4 - HKLM\..\Run: [ShStatEXE] "C:\Arquivos de programas\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Arquivos de programas\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Arquivos de programas\Arquivos comuns\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab
O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://bradesconetempresa.com.br/ne/CA.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = saphyr.ltda
O17 - HKLM\Software\..\Telephony: DomainName = saphyr.ltda
O17 - HKLM\System\CCS\Services\Tcpip\..\{4773A648-7939-44AD-B89E-E21018D8FA48}: NameServer = 172.74.0.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = saphyr.ltda
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = saphyr.ltda
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginUni - C:\WINDOWS\Downloaded Program Files\gbiehuni.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O20 - Winlogon Notify: eortwggg - C:\WINDOWS\SYSTEM32\eortwggg.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Serviço McAfee Framework (McAfeeFramework) - Network Associates, Inc. - C:\Arquivos de programas\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Arquivos de programas\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Arquivos de programas\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Arquivos de programas\ORL\VNC\WinVNC.exe" -service (file missing)
[EMAIL="S@sct3c"][/EMAIL]
Quando os homens são puros as leis são desnecessárias, quando os homens são corruptos as leis são inúteis.legal.png tchau.gif
bmrmezenga
bmrmezenga General de Pijama Registrado
3.4K Mensagens 149 Curtidas
#4 Por bmrmezenga
07/10/2008 - 17:17
Eu fico muito P da vida com esses plugins, o do bradesco eu sarto fora dele e não instalo, ele acaba abrindo, o itau nao usa, o teclado virtual dele valendo 2 numeros resolve, já a caixa não tem jeito de acessar sem ele instalado. Morro de raiva

O plugin deixa o IE lento, é carregado junto com o serviço winlogon, e não sai nem por reza brava, ele fica checando o tempo todo se o serviço ta parado se a chave do registro tá lá e etc. Meu PC demora uns 40 segundos a mais para desligar quanto ele tá instalado.

A gente que paga o pato por usuarios leigos cheio de virus no PC que permitem que sejam capturados seus dados, os banco levam a fama de inseguros. E na verdade a culpa é do conhecimento quase nulo de alguns em info. bravo.png

O amigo vai te instruir a analisar o log, mas eu acho que esse aqui é vírus: (C:\WINDOWS\SYSTEM32\eortwggg.dll).
Vai comprar HD?
Confira dicas e compare os modelos veja.png Guia de Compra de HD´s

Atlhon XP 1800+ @1590 Mhz numa A7N266-E
2 x 256 MiB DDR 266 e WD 80 GB [7200 RPM / 8 MiB Buffer]

Crê e siga os mandamentos de Deus que Ele tudo lhe proverá!
Mateus Guitar
Mateus Guita... Veterano Registrado
907 Mensagens 53 Curtidas
#5 Por Mateus Guita...
07/10/2008 - 17:20
Baixe o Malwarebytes Anti-Malware:
http://www.besttechie.net/tools/mbam-setup.exe

- Duplo clique em "mbam-setup.exe";
- Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
- Marque "Verificação Completa" e depois clique em Verificar. Selecione sua Unidade C: e clique em Iniciar Verificação;
- Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
- Se algo for detectado, veja se tudo está marcado e clique em "Remover";
- O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
- Copie e cole o conteúdo desse log na sua próxima resposta.

E também gere novo log do HijackThis e cole na sua resposta junto com o do Malwarebytes.
From: Miami
Rafa Vasconcelos
Rafa Vasconc... Novo Membro Registrado
17 Mensagens 0 Curtidas
#6 Por Rafa Vasconc...
07/10/2008 - 18:12
Resultado do Malwarebytes Anti-Malware

Malwarebytes' Anti-Malware 1.28
Versão do banco de dados: 1240
Windows 5.1.2600 Service Pack 2
07/10/2008 18:04:50
mbam-log-2008-10-07 (18-04-50).txt
Tipo de Verificação: Completa (C:\|)
Objetos verificados: 90638
Tempo decorrido: 29 minute(s), 26 second(s)
Processos da Memória infectados: 0
Módulos de Memória Infectados: 1
Chaves do Registro infectadas: 9
Valores do Registro infectados: 3
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 5
Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)
Módulos de Memória Infectados:
C:\WINDOWS\system32\eortwggg.dll (Trojan.FakeAlert) -> Delete on reboot.
Chaves do Registro infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\eortwggg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/system32/logof.dll (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{9ec301f7-384d-11d3-9ca3-00a024f0af03} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{59eae925-6127-11d3-9ca9-00a024f0af03} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9ec30203-384d-11d3-9ca3-00a024f0af03} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9ec30204-384d-11d3-9ca3-00a024f0af03} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9ec30204-384d-11d3-9ca3-00a024f0af03} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uni.gpc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
Valores do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhcgclj0eg8a (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Logof.dll (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uni.gpc (Trojan.Agent) -> Quarantined and deleted successfully.
Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Pastas infectadas:
(Nenhum ítem malicioso foi detectado)
Arquivos infectados:
C:\WINDOWS\system32\eortwggg.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\QooBox\Quarantine\C\WINDOWS\system32\eortwggg.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Logof.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Downloaded Program Files\scpsssh2.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Downloaded Program Files\uni.gpc (Trojan.Agent) -> Delete on reboot.


Resultado do HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 18:14:04, on 07/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Network Associates\Common Framework\FrameworkService.exe
C:\Arquivos de programas\Network Associates\VirusScan\Mcshield.exe
C:\ARQUIV~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Arquivos de programas\Network Associates\VirusScan\VsTskMgr.exe
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Arquivos de programas\ORL\VNC\WinVNC.exe
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\Arquivos de programas\Network Associates\VirusScan\SHSTAT.EXE
C:\Arquivos de programas\Network Associates\Common Framework\UpdaterUI.exe
C:\Arquivos de programas\Arquivos comuns\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\WINDOWS\Downloaded Program Files\gbiehuni.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Arquivos de programas\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Kerio VPN Client] "C:\Arquivos de programas\Kerio\VPN Client\kvpnclient.exe" /tryauto
O4 - HKLM\..\Run: [ShStatEXE] "C:\Arquivos de programas\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Arquivos de programas\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Arquivos de programas\Arquivos comuns\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://bradesconetempresa.com.br/ne/CA.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = saphyr.ltda
O17 - HKLM\Software\..\Telephony: DomainName = saphyr.ltda
O17 - HKLM\System\CCS\Services\Tcpip\..\{4773A648-7939-44AD-B89E-E21018D8FA48}: NameServer = 172.74.0.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = saphyr.ltda
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = saphyr.ltda
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginUni - C:\WINDOWS\Downloaded Program Files\gbiehuni.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Serviço McAfee Framework (McAfeeFramework) - Network Associates, Inc. - C:\Arquivos de programas\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Arquivos de programas\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Arquivos de programas\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Arquivos de programas\ORL\VNC\WinVNC.exe" -service (file missing)
Quando os homens são puros as leis são desnecessárias, quando os homens são corruptos as leis são inúteis.legal.png tchau.gif
Mateus Guitar
Mateus Guita... Veterano Registrado
907 Mensagens 53 Curtidas
#7 Por Mateus Guita...
08/10/2008 - 00:59
Baixe o ComboFix e salve-o em seu desktop (área de trabalho);

Desative o antivirus temporariamente, feche as janelas abertas.
Vá em Iniciar > Executar, digite "%userprofile%\desktop\combofix.exe" /killall e clique em Ok como na imagem:

Imagem

Na próxima janela clique em Executar, caso peça para pressionar alguma tecla, pressione 1 e dê um Enter. Aguarde o término do scan.
O ComboFix talvez reiniciará seu PC automaticamente para completar o processo de remoção.
Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
Não mova o mouse ou use o teclado na hora em que a ferramenta estiver rodando.
Para parar ou sair do ComboFix, tecle "N".

Cole o log do ComboFix em sua resposta.
From: Miami
Rafa Vasconcelos
Rafa Vasconc... Novo Membro Registrado
17 Mensagens 0 Curtidas
#8 Por Rafa Vasconc...
08/10/2008 - 10:18
Mateus esta máquina que nós estamos falando, antes de acontecer este problema com o arquivo gbiehuni.dll ela adquiriu um vírus chamado: Anti-vurus do Microsoft Windows XP, então procurei no Google e encontrei através de Fóruns essa ferramenta e passei na máquina, o vírus foi retirado. Percebi que o perfil da usuária estava super lento então achei que o vírus tinha ferrado o perfil e exclui o perfil e fiz outro. A partir dai começou esse problema com o McAfee X gbiehuni.dll. Desculpe não informar sobre o Vírus que a máquina tinha adquirido, pois para mim o problema está solucionado.

Segue o resultado do combofix que eu tinha feito:
ComboFix 08-09-30.03 - Administrador 2008-10-01 15:19:12.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.310 [GMT -3:00]
Executando de: C:\Documents and Settings\Administrador\Desktop\ComboFix.exe
ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Arquivos de programas\rhcgclj0eg8a
C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Antivirus XP 2008
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Antivirus XP 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Documents and Settings\patricia.santos\Cookies\patricia.santos@ad.adnetwork.com[2].txt
C:\Documents and Settings\patricia.santos\Cookies\patricia.santos@ehg-discoverynetwork.hitbox[2].txt
C:\Documents and Settings\patricia.santos\Cookies\patricia.santos@specificclick[1].txt
C:\Documents and Settings\patricia.santos\Cookies\patricia.santos@statcounter[1].txt
C:\Documents and Settings\patricia.santos\Cookies\patricia.santos@zap.com[2].txt
C:\Documents and Settings\patricia.santos\Dados de aplicativos\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk
C:\Documents and Settings\patricia.santos\Dados de aplicativos\rhcgclj0eg8a
C:\WINDOWS\faceback.exe
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\5.tmp
C:\WINDOWS\system32\6.tmp
C:\WINDOWS\system32\7.tmp
C:\WINDOWS\system32\8.tmp
C:\WINDOWS\system32\9.tmp
C:\WINDOWS\system32\blphclclj0eg8a.scr
C:\WINDOWS\system32\dflgh8jkd2q1.exe
C:\WINDOWS\system32\dflgh8jkd2q2.exe
C:\WINDOWS\system32\dflgh8jkd2q5.exe
C:\WINDOWS\system32\dflgh8jkd2q6.exe
C:\WINDOWS\system32\dflgh8jkd2q7.exe
C:\WINDOWS\system32\dflgh8jkd2q8.exe
C:\WINDOWS\system32\eortwggg.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\lphclclj0eg8a.exe
C:\WINDOWS\system32\phclclj0eg8a.bmp
C:\WINDOWS\system32\rs32net.exe
C:\WINDOWS\system32\vedxg3am1et3.exe
C:\WINDOWS\system32\vedxg4am1et2.exe
C:\WINDOWS\system32\vedxg6ame4.exe
C:\WINDOWS\system32\vedxga1me4t1.exe
C:\WINDOWS\system32\vedxga4m1et4.exe
C:\WINDOWS\system32\vedxga4me1.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winds32.exe
C:\WINDOWS\system32\wpv407.cpx
C:\WINDOWS\wiaservb.log
C:\WINDOWS\winhelp.ini
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TCPSR
-------\Legacy_THEMESBROWSER
-------\Service_tcpsr
-------\Service_ThemesBrowser

((((((((((((((((((((((( Ficheiros criados de 2008-09-01 to 2008-10-01 ))))))))))))))))))))))))))))))))
.
2008-10-01 15:12 . 2008-10-01 15:12 244 --ah----- C:\sqmnoopt02.sqm
2008-10-01 15:12 . 2008-10-01 15:12 232 --ah----- C:\sqmdata02.sqm
2008-10-01 14:56 . 2008-10-01 15:06 0\0]
"Script"=logon.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-746137067-1677128483-839522115-1639\Scripts\Logon\0\0]
"Script"=logon.bat
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2xqxx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 ati2xqxx;ati2xqxx;C:\WINDOWS\system32\Drivers\ati2xqxx.sys [2008-10-01 32256]
R2 Scap;SecureClient Application Policy Module;C:\WINDOWS\system32\DRIVERS\Scap.sys [2003-04-08 17232]
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys [2003-04-08 628560]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys [2003-04-08 1882800]
S3 kvpndev;Kerio VPN adapter;C:\WINDOWS\system32\DRIVERS\kvpndrv.sys [2006-03-29 59392]
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\system32\DRIVERS\OMVA.sys [2003-04-08 14924]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e647e43e-22ad-11dd-9fb5-0013d46129a7}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
*Newly Created Service* - TCPSR
.
- - - - ORFAOS REMOVIDOS - - - -
HKLM-Run-lphclclj0eg8a - C:\WINDOWS\system32\lphclclj0eg8a.exe
HKLM-Run-rs32net - C:\WINDOWS\System32\rs32net.exe
HKLM-Run-GKMHAHVJ - C:\WINDOWS\GKMHAHVJ.exe
HKLM-Run-SMrhcgclj0eg8a - C:\Arquivos de programas\rhcgclj0eg8a\rhcgclj0eg8a.exe

.
------- Ccan Suplementar -------
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: E&xportar para o Microsoft Excel - C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{4773A648-7939-44AD-B89E-E21018D8FA48}: NameServer = 172.74.0.90
O16 -: {9EC30204-384D-11D3-9CA3-00A024F0AF03} - hxxps://cpne.bradesco.com.br/certifexp.cab
C:\WINDOWS\Downloaded Program Files\CertifExp.inf
C:\WINDOWS\system32\Logof.dll
O16 -: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} - hxxps://bradesconetempresa.com.br/ne/CA.cab
C:\WINDOWS\Downloaded Program Files\CA.inf
C:\WINDOWS\system32\dllreq.dll
C:\WINDOWS\system32\GerOf.dll
O16 -: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
C:\WINDOWS\Downloaded Program Files\GbPluginuni.inf
C:\WINDOWS\Downloaded Program Files\uni.gpc
C:\WINDOWS\Downloaded Program Files\gbiehuni.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 15:26:25
Windows 5.1.2600 Service Pack 2 NTFS
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros ocultos ...

C:\WINDOWS\system32\drivers\TXXTHTDX.sys 179712 bytes executable
Varredura completada com sucesso
Ficheiros ocultos: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Abiosdsk]
--
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TXXTHTDX]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\TXXTHTDX.sys"
--
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinSock2]
.
------------------------ Outros Processos em Execução ------------------------
.
C:\Arquivos de programas\Network Associates\Common Framework\FrameworkService.exe
C:\Arquivos de programas\Network Associates\VirusScan\Mcshield.exe
C:\Arquivos de programas\Network Associates\VirusScan\VsTskMgr.exe
C:\ARQUIV~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Tempo para conclusão: 2008-10-01 15:29:29 - Maquina reiniciou [patricia.santos]
ComboFix-quarantined-files.txt 2008-10-01 18:29:18
Pre-Run: 2.168.287.232 bytes dispon¡veis
Post-Run: 3,134,169,088 bytes dispon¡veis
206 --- E O F --- 2008-09-12 17:28:38
Quando os homens são puros as leis são desnecessárias, quando os homens são corruptos as leis são inúteis.legal.png tchau.gif
Mateus Guitar
Mateus Guita... Veterano Registrado
907 Mensagens 53 Curtidas
#9 Por Mateus Guita...
08/10/2008 - 18:20
Mateus esta máquina que nós estamos falando, antes de acontecer este problema com o arquivo gbiehuni.dll ela adquiriu um vírus chamado: Anti-vurus do Microsoft Windows XP, então procurei no Google e encontrei através de Fóruns essa ferramenta e passei na máquina, o vírus foi retirado.
Eu já tinha visto no seu log o rogue Microsoft antivirus.

Quanto ao programa do banco que o McAfee está detectando, creio que seja um falso-positivo. Mas mande o plugin do banco para o VirusTotal. Copie o link do resultado e cole-o aqui.

Bom continuando...

Delete a pasta Qoobox em C:\Qoobox. Em seguida, selecione e copie o conteúdo aqui abaixo. Abra o Bloco de Notas do computador e cole este conteúdo copiado dentro dele. Salve-o em sua área de trabalho com o nome de CFScript.txt

File::
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\WINDOWS\system32\gaootqee.tmp
C:\WINDOWS\system32\alrsvcz.dll
C:\WINDOWS\system32\130616014.dat
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e647e43e-22ad-11dd-9fb5-0013d46129a7}]
Arraste o CFScript para o ComboFix. Veja:

Imagem

O ComboFix será executado automaticamente. Não mova o mouse ou use o teclado durante o processo. O ComboFix talvez reiniciará seu PC automaticamente.

Será gerado um log em C:\ComboFix.txt. Cole este log do ComboFix e um novo log do HijackThis na sua próxima resposta.
From: Miami
Mateus Guitar
Mateus Guita... Veterano Registrado
907 Mensagens 53 Curtidas
#12 Por Mateus Guita...
08/10/2008 - 23:27
gustavo.m.m disse:
Boa neneko. e lembrando este plug é plug de segurança do banco. para que seus clientes possam fazer suas tranferencias bancarias pela internet.

Não delete ele. caso você use o banco pela internet.

abraços.

Não é por aí não.

Existe um plugin com esse mesmo nome e cria a mesma pasta que é um Banker. Portanto, não diga para não deletar. Primeiramente saiba se o plugin é legítmo ou não para então depois passar algum procedimento drástico de remoção.

Vamos supor que seja um Banker, você não o deletaria porque é um plugin de segurança?

Pesquise antes de responder.
From: Miami
Mateus Guitar
Mateus Guita... Veterano Registrado
907 Mensagens 53 Curtidas
#14 Por Mateus Guita...
08/10/2008 - 23:41
gustavo.m.m disse:
Se você acha que é um banker. delete-o

Veja o que eu disse ao amigo Rafa:

Quanto ao programa do banco que o McAfee está detectando, creio que seja um falso-positivo. Mas mande o plugin do banco para o VirusTotal. Copie o link do resultado e cole-o aqui.
Portanto, não disse que É um Banker. Não sei onde você ouvir eu dizer que o plugin que está no computador do amigo é um Banker.

Mas sim que existe um Banker com mesmo nome. Se não acredita, pesquise e me diga depois!

Aliás, se entende tanto de segurança assim, deveria saber disso já...
From: Miami
Responder Tópico
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal