[Resolvido] Vírus trojan-pws.bancos

[Téo Santos 0]

Boa noite! Minha esposa abriu um e-mail hoje que o arquivo continha o vírus Trojan-PWS.Bancos. Fiz algumas tentativas para tentar remover e agora fica travando de vez em quanto e não consigo finalizar os programas que não estão respondendo e aparece uma mensagem que está bloqueado pelo sistema. Também aparece uma mensagem estranha quando reinicio o computador: erro ao carregar C:\ARQUIV~1\GBPLUG~1\gbiehcef.dll

 

Algém pode me ajudar? Não sei se ainda está infectado ou fiz algo de errado.

 

Este é o log do Hijackthis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 18:15:04, on 30/3/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\lg_fwupdate\fwupdate.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\CoolSMS\CoolSMS.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Arquivos de programas\Puxa Rápido\PuxaRapido.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Anti-vírus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bvfinanceira.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll (file missing)

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Banco do Brasil S.A. - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - (no file)

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll (file missing)

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Arquivos de programas\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [µTorrent] "C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CoolSMS] C:\Arquivos de programas\CoolSMS\CoolSMS.exe /minimized

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...wlscbase370.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1197415843031

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: __GbPluginAbn - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll (file missing)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

[DigRam 144]

Boa Noite! Téo Santos

 

>@< Abra o HijackThis e clique em: Do a system scan only

>@< Marque as entradas,que estão abaixo,e clique em Fix checked.

 

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll (file missing)

O2 - BHO: Banco do Brasil S.A. - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - (no file)

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll (file missing)

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll (file missing)

O20 - Winlogon Notify: __GbPluginAbn - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll (file missing)

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll (file missing)

>@< Faça o download do LopS&D.

>@< Salve-o no Disco Local-C.

>@< Instale o programa e clique em: LopSD.cmd

>@< Na janela que abrir,aperte o "p" >> Aperte Enter.

>@< Em outra janela,aperte a opção 1 >> Aperte Enter >> Aguarde!

>@< Terminando,salve e poste o relatório. ( C:\lopR.txt )

>@< Poste,também,HJT atualizado.

 

Abraços!

[Téo Santos 0]

Boa noite DigRam!

 

Fiz tudo passo a passo, mas continua aparecendo a mesma msg de erro ao iniciar.

 

Aqui estão os logs:

 

-----------------------[ Lop S&D 4.1.0-4 XP/Vista ]---------------------

 

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]

[ USER : T‚o ] [ "C:\Lop SD" ]

[ ter 01/04/2008 | 0:17:14,24 ] [ PC : PROFISSI-4E3895 ]

[ MAJ : 31-03-2008 | 21:52 ]

 

-------------[ Lista de pastas em Application Data ]------------

 

[01/12/2007|16:38] C:\DOCUME~1\ADMINI~1\DADOSD~1\.

[01/12/2007|16:38] C:\DOCUME~1\ADMINI~1\DADOSD~1\..

[01/12/2007|14:22] C:\DOCUME~1\ADMINI~1\DADOSD~1\desktop.ini

[01/12/2007|16:38] C:\DOCUME~1\ADMINI~1\DADOSD~1\Identities

[30/03/2008|11:21] C:\DOCUME~1\ADMINI~1\DADOSD~1\Microsoft

 

[06/03/2008|21:57] C:\DOCUME~1\ALLUSE~1\DADOSD~1\.

[06/03/2008|21:57] C:\DOCUME~1\ALLUSE~1\DADOSD~1\..

[01/12/2007|16:46] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Adobe

[04/03/2008|10:40] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Apple

[13/03/2008|12:18] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Apple Computer

[30/03/2008|11:21] C:\DOCUME~1\ALLUSE~1\DADOSD~1\avg7

[01/12/2007|14:22] C:\DOCUME~1\ALLUSE~1\DADOSD~1\desktop.ini

[24/03/2008|19:01] C:\DOCUME~1\ALLUSE~1\DADOSD~1\GbPlugin

[01/12/2007|17:58] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Grisoft

[03/12/2007|08:45] C:\DOCUME~1\ALLUSE~1\DADOSD~1\hpzinstall.log

[02/12/2007|19:20] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Microsoft

[31/03/2008|18:27] C:\DOCUME~1\ALLUSE~1\DADOSD~1\TEMP

[01/12/2007|16:51] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Windows Genuine Advantage

 

[01/12/2007|14:22] C:\DOCUME~1\DEFAUL~1\DADOSD~1\.

[01/12/2007|14:22] C:\DOCUME~1\DEFAUL~1\DADOSD~1\..

[01/12/2007|14:22] C:\DOCUME~1\DEFAUL~1\DADOSD~1\desktop.ini

[01/12/2007|16:33] C:\DOCUME~1\DEFAUL~1\DADOSD~1\Microsoft

 

[01/12/2007|17:59] C:\DOCUME~1\LOCALS~1\DADOSD~1\.

[01/12/2007|17:59] C:\DOCUME~1\LOCALS~1\DADOSD~1\..

[01/12/2007|17:59] C:\DOCUME~1\LOCALS~1\DADOSD~1\AVG7

[30/03/2008|11:21] C:\DOCUME~1\LOCALS~1\DADOSD~1\Microsoft

 

[01/12/2007|16:37] C:\DOCUME~1\NETWOR~1\DADOSD~1\.

[01/12/2007|16:37] C:\DOCUME~1\NETWOR~1\DADOSD~1\..

[30/03/2008|11:21] C:\DOCUME~1\NETWOR~1\DADOSD~1\Microsoft

 

[06/03/2008|21:57] C:\DOCUME~1\TO4791~1\DADOSD~1\.

[06/03/2008|21:57] C:\DOCUME~1\TO4791~1\DADOSD~1\..

[03/12/2007|09:03] C:\DOCUME~1\TO4791~1\DADOSD~1\Adobe

[03/12/2007|09:04] C:\DOCUME~1\TO4791~1\DADOSD~1\AdobeUM

[08/03/2008|17:00] C:\DOCUME~1\TO4791~1\DADOSD~1\Ahead

[04/03/2008|10:44] C:\DOCUME~1\TO4791~1\DADOSD~1\Apple Computer

[29/03/2008|20:14] C:\DOCUME~1\TO4791~1\DADOSD~1\Audacity

[31/03/2008|08:00] C:\DOCUME~1\TO4791~1\DADOSD~1\AVG7

[01/12/2007|14:22] C:\DOCUME~1\TO4791~1\DADOSD~1\desktop.ini

[01/12/2007|16:43] C:\DOCUME~1\TO4791~1\DADOSD~1\Identities

[10/12/2007|09:54] C:\DOCUME~1\TO4791~1\DADOSD~1\Macromedia

[30/03/2008|11:21] C:\DOCUME~1\TO4791~1\DADOSD~1\Microsoft

[06/03/2008|21:57] C:\DOCUME~1\TO4791~1\DADOSD~1\PC Tools

[02/12/2007|19:24] C:\DOCUME~1\TO4791~1\DADOSD~1\Sun

[01/04/2008|00:17] C:\DOCUME~1\TO4791~1\DADOSD~1\uTorrent

 

----------------[ Tarefas Agendadas na pasta C:\WINDOWS\Tasks ]---------------

 

[27/03/2008 12:15][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[31/03/2008 18:12][--ah-----] C:\WINDOWS\tasks\SA.DAT

[28/10/2001 12:07][-r-h-----] C:\WINDOWS\tasks\desktop.ini

 

---------------[ Lista de pastas em C:\Arquivos de programas ]--------------

 

[31/03/2008|10:15] C:\Arquivos de programas\.

[31/03/2008|10:15] C:\Arquivos de programas\..

[01/12/2007|16:44] C:\Arquivos de programas\Adobe

[04/03/2008|10:41] C:\Arquivos de programas\Apple Software Update

[04/03/2008|10:40] C:\Arquivos de programas\Arquivos comuns

[02/12/2007|17:43] C:\Arquivos de programas\AvRack

[04/03/2008|10:43] C:\Arquivos de programas\Bonjour

[01/12/2007|16:30] C:\Arquivos de programas\ComPlus Applications

[09/03/2008|17:10] C:\Arquivos de programas\CoolSMS

[18/12/2007|16:31] C:\Arquivos de programas\CyberLink

[31/03/2008|18:27] C:\Arquivos de programas\eMule

[11/03/2008|18:14] C:\Arquivos de programas\EPCTV

[30/03/2008|12:02] C:\Arquivos de programas\GbPluggin

[30/03/2008|09:05] C:\Arquivos de programas\GbPlugin

[30/03/2008|09:44] C:\Arquivos de programas\Grisoft

[03/12/2007|08:43] C:\Arquivos de programas\HP

[18/12/2007|16:34] C:\Arquivos de programas\InstallShield Installation Information

[04/03/2008|03:02] C:\Arquivos de programas\Internet Explorer

[01/12/2007|16:45] C:\Arquivos de programas\Java

[31/03/2008|18:12] C:\Arquivos de programas\lg_fwupdate

[05/01/2008|19:27] C:\Arquivos de programas\LyricsSeeker

[01/12/2007|19:14] C:\Arquivos de programas\Marvell

[06/12/2007|02:08] C:\Arquivos de programas\Messenger

[01/12/2007|16:34] C:\Arquivos de programas\microsoft frontpage

[01/12/2007|18:01] C:\Arquivos de programas\Microsoft Office

[01/12/2007|18:01] C:\Arquivos de programas\Microsoft.NET

[01/12/2007|16:31] C:\Arquivos de programas\Movie Maker

[20/01/2008|14:47] C:\Arquivos de programas\MP3Gain

[01/12/2007|16:30] C:\Arquivos de programas\MSN Gaming Zone

[03/12/2007|18:32] C:\Arquivos de programas\MSN Messenger

[01/12/2007|17:02] C:\Arquivos de programas\Nero

[01/12/2007|16:31] C:\Arquivos de programas\NetMeeting

[06/12/2007|02:07] C:\Arquivos de programas\Outlook Express

[09/03/2008|19:08] C:\Arquivos de programas\Programas RFB

[01/04/2008|00:14] C:\Arquivos de programas\Puxa R pido

[02/12/2007|18:39] C:\Arquivos de programas\Realtek

[02/12/2007|17:34] C:\Arquivos de programas\Realtek Sound Manager

[30/03/2008|09:17] C:\Arquivos de programas\Scpad

[01/12/2007|16:32] C:\Arquivos de programas\Servi‡os on-line

[31/03/2008|10:21] C:\Arquivos de programas\Spyware Doctor

[05/01/2008|19:27] C:\Arquivos de programas\Teen Spirit (Conium)

[01/12/2007|16:38] C:\Arquivos de programas\Uninstall Information

[30/03/2008|11:37] C:\Arquivos de programas\Windows Live Safety Center

[01/12/2007|16:59] C:\Arquivos de programas\Windows Media Connect 2

[05/01/2008|19:11] C:\Arquivos de programas\Windows Media Player

[01/12/2007|16:30] C:\Arquivos de programas\Windows NT

[01/12/2007|16:32] C:\Arquivos de programas\WindowsUpdate

[01/12/2007|17:00] C:\Arquivos de programas\WinRAR

[01/12/2007|16:34] C:\Arquivos de programas\xerox

 

------[ Lista de pastas em C:\Arquivos de programas\Arquivos comuns ]------

 

[04/03/2008|10:40] C:\Arquivos de programas\Arquivos comuns\.

[04/03/2008|10:40] C:\Arquivos de programas\Arquivos comuns\..

[01/12/2007|16:46] C:\Arquivos de programas\Arquivos comuns\Adobe

[01/12/2007|17:04] C:\Arquivos de programas\Arquivos comuns\Ahead

[04/03/2008|10:40] C:\Arquivos de programas\Arquivos comuns\Apple

[01/12/2007|18:01] C:\Arquivos de programas\Arquivos comuns\DESIGNER

[03/12/2007|08:45] C:\Arquivos de programas\Arquivos comuns\Hewlett-Packard

[18/12/2007|16:27] C:\Arquivos de programas\Arquivos comuns\InstallShield

[01/12/2007|16:45] C:\Arquivos de programas\Arquivos comuns\Java

[01/12/2007|18:01] C:\Arquivos de programas\Arquivos comuns\Microsoft Shared

[01/12/2007|16:31] C:\Arquivos de programas\Arquivos comuns\MSSoap

[01/12/2007|14:23] C:\Arquivos de programas\Arquivos comuns\ODBC

[01/12/2007|16:31] C:\Arquivos de programas\Arquivos comuns\Servi‡os

[01/12/2007|14:22] C:\Arquivos de programas\Arquivos comuns\SpeechEngines

[06/12/2007|02:07] C:\Arquivos de programas\Arquivos comuns\System

 

----------------------[ Procura pelo S_Lop ]---------------------

 

Não foram encontradas pastas com o Lop!

 

-----------------[ Procura por Arquivos/Ficheiros e pastas do Lop ]-----------------

 

Não foram encontradas pastas com o Lop!

 

----------------------[ Procura no Registro ]----------------------

 

..... OK !

 

--------------------[ Verificando o Arquivos/Ficheiros Hosts ]---------------------

 

Arquivos/Ficheiros Hosts LIMPO

 

 

----------------[ Procurando Arquivos/Ficheiros ocultos com o Catchme ]-----------------

 

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-01 00:18:12

Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:

ZwClose

scanning hidden files ...

scan completed successfully

hidden files: 0

 

--------------------[ Procurando por outras infecções ]---------------------

 

Não foram encontradas outras infecções.

 

/!\ [Fich:87][Doss:6] C:\DOCUME~1\TO4791~1\CONFIG~1\Temp

/!\ [Fich:51][Doss:0] C:\DOCUME~1\TO4791~1\Cookies

/!\ [Fich:5774][Doss:8] C:\DOCUME~1\TO4791~1\CONFIG~1\TEMPOR~1\content.IE5

 

--------------------[ Verificação completa em 0:18:51,18 ]----------------------

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:24:55, on 1/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\lg_fwupdate\fwupdate.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\CoolSMS\CoolSMS.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Anti-vírus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bvfinanceira.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Arquivos de programas\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [µTorrent] "C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CoolSMS] C:\Arquivos de programas\CoolSMS\CoolSMS.exe /minimized

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...wlscbase370.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1197415843031

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

[DigRam 144]

Bom Dia! Téo Santos

 

>@< Em Modo de Segurança,delete este ficheiro e sua pasta:

 

C:\Arquivos de programas\GbPlugin\GbpSv.exe << Delete!

 

C:\Arquivos de programas\GbPlugin << A pasta!

 

>@< Terminando,reinicie em Modo Normal!

___________________________

 

>@< Vá a esta página: < Link >

>@< Localize: Registry Search Tool

>@< Clique no ícone com uma seta àcima < > e,baixe o arquivo RegSrch.zip <!>

>@< Extraia o conteúdo do zip para o Desktop!

>@< Desabilite programas de proteção,que tenham bloqueio de scripts.

>@< Execute o arquivo RegSrch.vbs e,na janela que abrir,digite: gbiehcef

>@< Dê o Ok.

>@< Aguarde!Na janela que surgir,clique em Ok.

>@< Surgirão informações de registro,que voçê passará ao Bloco de Notas e colará na sua resposta.

>@< Salve-o com o nome: Requisit_gbiehcef

>@< Ps: Se o Script não funcionar,baixe-o daqui: < Badongo >

___________________________

 

>@< Poste,então: Requisit_gbiehcef.txt

 

Abraços!

[Téo Santos 0]

Fala DigRam!

 

Feito:

 

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "gbiehcef" 2/4/2008 01:04:54

 

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

"gbieh.1"="rundll32 \"C:\\ARQUIV~1\\GBPLUG~1\\gbiehcef.dll\" SpecialFunction"

 

 

Forte abraço.

[DigRam 144]

Bom Dia! Téo Santos

 

>@< Clique em Iniciar >> Pesquisar.

>@< Na caixa,Todo ou parte do nome do arquivo,digite: gbiehcef.dll

>@< Clique em Pesquisar.

>@< No campo,à direita,procure deletar o que a pesquisa revelar.

_____________________________

 

>@< Copie para o Bloco de Notas,esta informação de registro,que está sob o code.

 

REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]"gbieh.1"=-

>@< Salve-o com o nome: "gbiehcef.reg"

>@< Em Arquivos do tipo,coloque: Todos os arquivos

>@< Se tudo for feito corretamente,teremos um arquivo de informações de registro: < >

>@< Salve este arquivo no Desktop.

>@< Entre em Modo de Segurança,e execute o arquivo ( .reg ),com um duplo clique.

>@< Ps: Evite executar o arquivo,mais de uma vez!

>@< Aceite a incorporação ao registro.

_____________________________

 

>@< Resolvendo este problema,voçê poderá reinstalar,caso queira,suas seguranças bancárias.

 

Abraços!

[Téo Santos 0]

Bom dia!

 

Acho que deu certo...

 

Logfile of HijackThis v1.99.1

Scan saved at 09:54:16, on 2/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\lg_fwupdate\fwupdate.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\CoolSMS\CoolSMS.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Anti-vírus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bvfinanceira.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Arquivos de programas\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [µTorrent] "C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CoolSMS] C:\Arquivos de programas\CoolSMS\CoolSMS.exe /minimized

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...wlscbase370.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1197415843031

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

[DigRam 144]

Bom Dia! Téo Santos

 

>@< Acredito que o problema da solicitação da dll,foi solucionado.

>@< Mas,ainda,existem resquícios de componentes bancários no PC. Vamos remove-los?

__________________________

 

>@< Vá em Iniciar >> Executar >> Digite: msconfig >> Ok.

>@< Abrir-se-á o: Utilitário de configuração do sistema.

>@< Clique na aba Serviços!

>@< Desmarque a caixa referente à êste Serviço: Gbp Service .

>@< Se o serviço,estiver parado,deixe-o assim mesmo.

>@< Clique em Aplicar >> Ok.

__________________________

 

>@< Abra o HijackThis,e dê Fix nesta entrada:

 

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

>@< Ainda no HijackThis,clique em: Open the misc tools section.

>@< Clique em: Delete an NT Service.

>@< Coloque o nome do Serviço: GbpSv,na caixa.

>@< Clique em Ok.

>@< Reinicie,o computador!

>@< Faça e poste um novo Log,do HijackThis,na sua resposta.

 

Abraços!

[Téo Santos 0]

Bom dia!

 

Ok. Está feito.

 

Só duas observações:

 

1. No Utilitário de configuração do sistema, em Serviços, a caixa referente ao Gbp Service estava com status de parado, então não era para desmarcar. Estou certo?

 

2. NO HijackThis, quando cliquei em Delete an NT Service, coloquei o nome GbpSV e cliquei em Ok, apareceu a msg The Service 'GbpSv' is enabled and/or running. Disable it first, using HijackThis itself (from teh scan results) or the Services.msc window.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:10:05, on 3/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\lg_fwupdate\fwupdate.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\CoolSMS\CoolSMS.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Anti-vírus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bvfinanceira.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [LGODDFU] "C:\Arquivos de programas\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

O4 - HKCU\..\Run: [µTorrent] "C:\Documents and Settings\Téo\Meus documentos\Téo\Meus Downloads\Utorrent 1.6\utorrent.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CoolSMS] C:\Arquivos de programas\CoolSMS\CoolSMS.exe /minimized

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...wlscbase370.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1197415843031

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

 

 

Abraços.

[DigRam 144]

Bom Dia! Téo Santos

 

2. NO HijackThis, quando cliquei em Delete an NT Service, coloquei o nome GbpSV e cliquei em Ok, apareceu a msg The Service 'GbpSv' is enabled and/or running. Disable it first, using HijackThis itself (from teh scan results) or the Services.msc window.

>@< A notificação,pede para parar o serviço,indo ao Services.msc do Windows.

________________________

 

>@< Vá em Iniciar >> Executar >> Digite: services.msc >> Ok.

________________________

 

>@< Localize Gbp Service.

>@< Em Tipo de inicialização,deixe: Desativado

>@< Se estiver em Manual ou Automático,clique em Parar o serviço.

>@< Concluindo,vá ao HijackThis e exclua pelo Delete an NT Service. ( GbpSv )

 

Abraços!

[Téo Santos 0]

Não estou conseguindo desativar o GbpSv. O tipo de inicialização está automático e não consigo fazer nenhum tipo de alterção. Aparece a seguinte mensagem:

 

Não foi possível abrir o GbpSv para gravação em Computador local.

Erro 5: Acesso negado

 

Achei que tivesse sido porque iniciei o computador com a conta de visitante, mas fiz o logoff para conta de Adm e aconteceu a mesma coisa.

 

Abraços.

[DigRam 144]

Não estou conseguindo desativar o GbpSv. O tipo de inicialização está automático e não consigo fazer nenhum tipo de alterção. Aparece a seguinte mensagem:

 

Não foi possível abrir o GbpSv para gravação em Computador local.

Erro 5: Acesso negado

 

Achei que tivesse sido porque iniciei o computador com a conta de visitante, mas fiz o logoff para conta de Adm e aconteceu a mesma coisa.

 

Abraços.

_________________________

Opa! Téo Santos

Boa Tarde!

 

>@< O serviço é protegido...pois,sendo de segurança bancária,não poderia ser de outra forma.

_________________________

 

>@< Busque então,atualizar essa proteção,reinstalando os seus complementos.

>@< Reinstalando esse plugin,voçê poderá utilizar o PC,no acesso ao Banco.( CC )

_________________________

 

>@< O Log está limpo.

>@< Algum problema,ainda,com o computador?

 

Abraços!

[Téo Santos 0]

Não, nenhum outro problema. :grin:

Muito obrigado DigRam!!! :thumbsup:

 

Abraços. :clap:

[DigRam 144]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o Tópico seja reaberto é preciso enviar uma Mensagem Privada,para um Moderador,com um Link para o Tópico.