"Picos" de processamento pelo Winlogon.exe

darkblood18 · 7 de maio de 2008

Oi pessoal

Estou com o seguinte problema no meu Windows XP (SP2): de minuto em minuto (exatamente a cada 60 segundos), meu CPU dá um pico de 50% de utilização. Fiquei de olho no taskmanager e vi que o responsável pelos picos é o winlogon.exe. De fato dêem uma olhada no gráfico gerado pelo Process Explorer (nesse gráfico tá só a atividade do winlogon.exe):

Procurei a mesma atividade em outros processos para ver se tinha mais alguém "trabalhando" com o winlogon para causar o problema, mas não, é só o winlogon.exe mesmo.

Eu rodei o AVG (anti-virus e antispyware) e também o Spybot Search and Destroy sem sucesso. Abaixo estou colocando o log do Hijack This para ver se alguém acha algo. Só uma nota se alguém notar uma entrada chamada relacionada a gbieh.dll (dentro de winlogon notify): não é um virus, e sim o sistema de segurança do Banco do Brasil, já está aí bem antes do problema surgir então provavelmente não é o causador.

Log do HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 18:03:45, on 7/5/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Lithic\HalfMoon\halfmoon.exe
C:\Program Files\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
E:\cdproj\programas7\sistema\process explorer\procexp.exe
E:\cdproj\programas7\sistema\hijack this\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 143.107.128.45:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\PROGRA~1\GBPLUGIN\gbieh.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HalfMoonAutoStart] C:\Program Files\Lithic\HalfMoon\halfmoon.exe -minimized
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - [URL]file://C:\Program[/URL] Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - [URL]file://C:\Program[/URL] Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - [URL]file://C:\Program[/URL] Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - [URL]file://C:\Program[/URL] Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [URL]http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab[/URL]
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [URL]http://downloads.ewido.net/ewidoOnlineScan.cab[/URL]
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [URL]http://darkblood1800.spaces.msn.com//PhotoUpload/MsnPUpld.cab[/URL]
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - [URL]http://download.bitdefender.com/resources/scan8/oscan8.cab[/URL]
O16 - DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} (OCXDownloadChecker Control) - [URL]http://demo1.cctvsentry.com/cab/OCXChecker_8000.cab[/URL]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [URL]http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab[/URL]
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - [URL]http://demo1.cctvsentry.com/cab/DownloadFile_8000.cab[/URL]
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1639177-C408-4033-B9F0-0A30EB2000C9}: NameServer = 201.6.0.43,201.6.0.42
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify:  GbPluginBb - C:\PROGRA~1\GBPLUGIN\gbieh.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: __GbPluginBb - C:\PROGRAM FILES\GBPLUGIN\gbieh.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Alias Documentation Server (aliasdocserver) - Unknown owner - C:\Program Files\Alias\Maya6.0\docs\Wrapper.exe" -s "C:\Program Files\Alias\Maya6.0\docs/Wrapper.conf (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

gibolocopt · 7 de maio de 2008

MESMO PROBLEMA!!

mas o meu é menos de 1 minuto... o pc congela por 1 2 segundos =ss

e nao é virus..passei o symantec e o kasper

segue abaixo o log do hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:02:52, on 7/5/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Arquivos de programas\Tuner Application\tvtimer.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\MessengerDiscovery\MessengerDiscovery Live.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\User\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g1.globo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.1.7.4.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GbPlugin\gbieh.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehCef.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Adicionar ao Anti-Banner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.1.7.4.dll

O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://200.212.184.212/g_bin/eng/roulette_2_0_0_16.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/você/bin/AvSniff.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://200.212.184.212/g_bin/eng/poker_2_0_0_43.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GameDesire Domino) - http://200.212.184.212/g_bin/eng/domino_2_0_0_28.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/light/UOLActiveInstall.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab

O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://200.212.184.212/g_bin/eng/slots80_2_0_0_25.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://200.212.184.212/g_bin/eng/billard8_2_0_0_28.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{32F33DCC-0594-47D8-814D-72C86E5AE533}: NameServer = 192.168.0.1,192.168.0.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{A77C024F-8401-4706-885D-AFF2B57C16C2}: NameServer = 200.204.0.10 200.204.0.138

O17 - HKLM\System\CS1\Services\Tcpip\..\{32F33DCC-0594-47D8-814D-72C86E5AE533}: NameServer = 192.168.0.1,192.168.0.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{32F33DCC-0594-47D8-814D-72C86E5AE533}: NameServer = 192.168.0.1,192.168.0.101

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\ARQUIV~1\KASPER~1\KASPER~3.0\adialhk.dll

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GbPlugin\gbieh.dll

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Arquivos de programas\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Arquivos de programas\WinPcap\rpcapd.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--

End of file - 9852 bytes

Dedalus_SC · 8 de maio de 2008

Eu também estou com um problema idêntico. Travadas de 1 em 1 minuto por + ou - 2 segundos. Abri um tópico sobre o assunto dia 04/05/2008, mas ninguém teve tempo de responder ou ninguém soube responder.

Segue o meu tópico:

http://forum.clubedohardware.com.br/windows-xp-travamento/535415

Os últimos Scans on-line não mostraram nenhum vírus (BitDefender e Symantec).

Ja fiz mais algumas tentativas de resolver o problema, mas sem sucesso, e como eu trabalho no micro em casa ja estou quase formatando tudo de tanta raiva destas travadas. Segue o meu log mais recente:

Logfile of HijackThis v1.99.1

Scan saved at 21:32:55, on 7/5/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\D-Link\DSL-210\CnxDslTb.exe

C:\WINDOWS\system32\RunDll32.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://br.rd.yahoo.com/customize/ycomp/defaults/sb/*http://br.yahoo.com/search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://br.rd.yahoo.com/customize/ycomp/defaults/sp/*http://br.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://br.rd.yahoo.com/customize/ycomp/defaults/su/*http://br.yahoo.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GBPLUGIN\gbieh.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Arquivos de programas\D-Link\DSL-210\CnxDslTb.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [LightDialer] C:\Arquivos de programas\Turbo\Discador Turbo\DISCADOR.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Add to AMV Converter... - C:\Arquivos de programas\MP3 Player Utilities 4.09\AMVConverter\grab.html

O8 - Extra context menu item: Download All by FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Arquivos de programas\MP3 Player Utilities 4.09\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Arquivos de programas\Paltalk Messenger\Paltalk.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/você/bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209664406000

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B910D8FB-BCE5-4A09-9981-315F8621557B}: NameServer = 201.10.120.3,201.10.1.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3FE4C70-5CAE-49BB-869C-7146EA3871EB}: NameServer = 201.10.120.3 201.10.1.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GBPLUGIN\gbieh.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

darkblood18 · 8 de maio de 2008

Então galera, tô achando que o problema é justamente o que eu excluí logo no começo.

O Gbieh.dll não é um virus, é mesmo o sistema de segurança do Banco do Brasil, mas tô começando a achar que fizeram alguma atualização nesse sistema que está causando o problema. Pelo que vi no log do HijackThis de vocês dois, vocês também estão com isso instalado. Se for possível façam o seguinte:

(1)download do Process Explorer ( http://www.cnet.com.au/downloads/0,239030384,10668359s,00.htm ) - não precisa nem instalar, ele roda direto o executável.

(2)vigiem o que o winlogon.exe está fazendo. Na parte debaixo da janela (se não existir uma parte de baixo vá em "View"=>"Show Lower Pane") tem os eventos relacionados ao Winlogon (se ele estiver selecionado na janela de cima).

No meu caso as linhas do Gbieh.plugin estão piscando justamente quando dá o problema (acho que isso quer dizer que elas foram ativadas). [DICA: SE NÃO DER TEMPO DE VER O QUE PISCOU, PRESSIONE A BARRA DE ESPAÇO BEM NA HORA QUE ACENDER, A BARRA DE ESPAÇO "PAUSA" O PROGRAMA E você PODE VER COM CALMA]

Não seria a primeira vez que tenho problemas com a criptografia incompetente do Banco do Brasil. Um ano atrás meu computador travava completamente toda vez que eu tentava instalar o "teclado virtual" deles. Só era possível recuperar restaurando o windows a um dia anterior. Depois eles arrumaram isso, mas pelo visto zoaram de novo.

Se vocês fizerem o teste avisem aqui.

Veinho10 · 8 de maio de 2008

Darkblood18, Dedalus e Gigibolocopt!

Os logs não estão corretos.

Vá no msconfig e na aba Geral habilite inicializar todos os programas. Reinicie e a sim, faça o log com o HijackThis e post novamente para uma análise.

Veremos é que é possível fazer. Mas existe uma área específica aqui neste Forum para a Remoção de Malware. Se preferirem, podem postar lá, pois lá há técnicos qualificados para melhor ajudar na solução dos seus problemas.

darkblood18 · 8 de maio de 2008

Enfim, depois de muitas horas perdidas a minha conclusão é esta mesmo.

O culpado é o G-Buster Browser Defense, uma porcaria desenvolvida pela GAS Tecnologia para mais de um banco (no meu caso é o Banco do Brasil). Uma parte do programa roda como Threads do Winlogon.exe e do Explorer.exe ( gbieh.dll ) e como um serviço a parte ( gbpsv.exe).

Uma medida paliativa é usar o Process Explorer para matar o thread rodando no winlogon.exe. É claro que logo que você der reboot o problema volta.

Remover de vez o G-Buster está sendo bem difícil. Apesar de NÃO SER MALWARE, esta porcaria se comporta como tal quando tentamos deletá-la. É duro de remover. Se alguém souber como desinstalar esta bomba eu gostaria de saber.

Mais detalhes podem ser vistos em:

http://insanebits.blogspot.com/2007/04/g-buster-browser-defense-analysis-and.html

(o procedimento sugerido lá para remoção não funciona mais). Vale a pena ver a discussão rolando lá, incluindo a parte em que aparecem os imbecis que desenvolvem este software tentando convencer os consumidores lesados de que vale a pena ficar com a máquina zoada para proteger o dinheiro dos nossos pobres banqueiros. Gostaria de ver estes caras tentando ver um filme ou ouvir músicas num computador que "soluça" uma vez por minuto.

robinson_alves · 9 de maio de 2008

Oi Ricardo Matheus,

Também estou com o mesmo problema. Será que alguém poderá nos ajudar? Se você descobrir algo por favor compartilhe.

Obrigado,

Robinson

gibolocopt · 9 de maio de 2008

sera que reinstalando o gbuster nao da certo?

porque eu acho que nem da pra usar o BB sem ele.. ou da?

Dedalus_SC · 9 de maio de 2008

Pessoal, eu entrei em contato com o atendimento do BB por telefone e solicitei o procedimento para reinstalar o GbPluginBb. Fiz o download e reinstalei o programa, mas sem sucesso. O micro continua a mesma coisa, com travadas de 1 em 1 minuto!

De qualquer maneira, e se não me falha a memória, o link é o que segue:

https:\\www14.bancobrasil.com.br\plugin\instala.msi

(fui orientado a salvar no micro e depois instalar)

Statute · 10 de maio de 2008

Mesmo problema. Acho que nossos micros já estã defasados e não aguentam procedimentos de segurança, como o do BB, que exige mais processamento.

gibolocopt · 10 de maio de 2008

bom..ja sabemos que a raiz do problema é o BB

e meu pc nao é defasado nao lol

ps: alguem ajuda a deletar esse gbuster? =s

Dedalus_SC · 10 de maio de 2008

Caro darkblood18.

Eu monitorei o gbuster pelo Process Explorer, mas não consegui concluir que ele é o problema! Não percebi atividade alguma durante as travadas.

O fato é que não da pra matar essa coisa pra ver se para de travar. Tentei o Kill do Process Explorer e o processo volta instantaneamente para a lista de processos ativos.

sisfenix · 11 de maio de 2008

Pessoal,

Esta com o mesmo problema a algum tempo, quase reinstalo minha maquina... Essa Gb plugin esta ferrando minha maquina, a mesma so normaliza depois que mato o processo + thread.... vamos fazer uma reclamação no BB para eles corrigir isso logo, não é a primeira vez que tenho problemas com o BB....

Valeu galera agora posso usa minha maquina normalmente :):)

gibolocopt · 11 de maio de 2008

Pessoal,
Esta com o mesmo problema a algum tempo, quase reinstalo minha maquina... Essa Gb plugin esta ferrando minha maquina, a mesma so normaliza depois que mato o processo + thread.... vamos fazer uma reclamação no BB para eles corrigir isso logo, não é a primeira vez que tenho problemas com o BB....

Valeu galera agora posso usa minha maquina normalmente :):)

me ensina como fexa o processo?

aqui eu só consigo fechar o gbpsv.exe

Dedalus_SC · 11 de maio de 2008

Salve pessoal.

Observando o post do sisfenix resolvi tentar matar o Gbuster mais uma vez. Desta vez fui para o Modo de Segurança do XP (que eu já tinha visto que as travadas continuavam) e tentei por lá com o Process Explorer.

O processo gbpsv.exe não estava rodando na árvore do winlogon, como no modo normal, então procurei nos threads e la estava ela, a gbieh.dll. Matando a DLL o problema simplesmente parou! A melhor parte é que também consegui matar a DLL no modo normal do XP. Agora tenho que concordar que o problema é mesmo essa coisa do Gbuster.

Detalhe importante: No Modo de Segurança tudo ficou bem, mas no modo normal, onde o gbpsv.exe continua executando, um minuto depois o gráfico do Process Explorer ficou louco, oscilando o tempo todo mas com baixo processamento, sem travadas! Parece que sem a DLL o gbpsv.exe fica chamando sem parar (e sem resposta). Neste aspecto, notei o mecanismo DPC (Deferred Procedure Calls) atuando o tempo todo também.

Neste momento, seria interessante contarmos com a opinião de um especialista em SO (no XP é claro) para este caso.

falou galera.

Statute · 12 de maio de 2008

bom..ja sabemos que a raiz do problema é o BB
e meu pc nao é defasado nao lol

ps: alguem ajuda a deletar esse gbuster? =s

Assim sendo, o problema não é pentium IV + Banco do Brasil.

O problema é XP + Banco do Brasil?

Digo isso porque no trabalho acesso o BB e não trava, mas lá não é XP.

Statute · 13 de maio de 2008

No Programa Procexp, em winlogon.exe aparece "aplicativo de logon do windows NT".

Desculpem-me a ignorância, mas será que não deveria aparecer "aplicativo de logon do windows XP" ?

gibolocopt · 16 de maio de 2008

nao..é assim mesmo =s

é outra, nao sao todos os pcs com xp + bb que travam

darkblood18 · 17 de maio de 2008

Oi pessoal

Finalmente consegui resolver o problema e remover o G-Buster. Eu segui um tutorial escrito por Alexandre Machado no seguinte link (o blog do Alexandre):

http://alexandrecmachado.blogspot.com/2008/03/g-buster-browser-defense-o-que-os.html

Sigam os passos com cuidado, principalmente a parte das permissões que não é óbvia (eu mesmo tive que mudar algumas coisas). Se alguém tiver dificuldades avisa que eu tento aqui escrever algo mais claro (não sei se vai ficar melhor que o do Alexandre, mas eu tento).

Tem um pouco mais de informação em:

http://insanebits.blogspot.com/2007/04/g-buster-browser-defense-analysis-and.html

Inclusive tem ali um advogado chamado Guilherme Tuler que já tá pensando em descer a caneta. Vou ficar de olho e aviso aqui se for rolar uma ação conjunta.

Só para dar mais peso fiz uma coleção de posts aqui no Forum do hardware em que pessoas tinham problemas e ao resolvê-los descobriram que na raiz estava o G-Buster. Se alguém achar algo do tipo por aí vai postando aqui.

http://forum.clubedohardware.com.br/picos-processamento-winlogon/536359?t=536359&highlight=g-buster

http://forum.clubedohardware.com.br/gbpsv-exe-como/535994?t=535994&highlight=g-buster

http://forum.clubedohardware.com.br/pc-congela-alguns/535159?t=535159&highlight=g-buster

Precisamos divulgar isso, porque um usuário menos entendido pode ficar anos com o computador lento e travando e nunca desconfiar que está sendo sacrificado para proteger banqueiro e progamador incompentente.

gibolocopt · 17 de maio de 2008

Aeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

blokeando algumas chaves, deletando outras....fechando os processos e tirando a inicializaçao automatica..deu certo!! valeu !!!

darkblood18 · 20 de maio de 2008

Assim sendo, o problema não é pentium IV + Banco do Brasil.
O problema é XP + Banco do Brasil?

Digo isso porque no trabalho acesso o BB e não trava, mas lá não é XP.

Até onde vi o Serviço do GBPlugin (não confundam com o Active X) só instala no XP. No 2000 eu acessei o banco e ele rodou o Active X mas não instalou nada de permanente no computador. Você provavelmente está livre deste pepino em outros windows...

Alguém sabe do Vista?

rucm · 21 de maio de 2008

Bem eu segui alguns passos diferentes:

1º - Desativei a Restauração do Sistema

2º - Dei um boot pelo Win98

3º - A partir do bom e velhim MS-DOS apaguei a pasta GBPlugin

4º - Reiniciei e entrei no XP no "Modo de Segurança"

5º - Rodei o "Process Explorer", seguindo os passos recomendados

6º - Fiz a mesma coisa com o "Autoruns", deletando as chaves com referência ao BGPlugin

7º - Ainda faltavam as chaves protegidas do Registro; entrei no Regedit e foi necessário, conforme descrito anteriomente, mexer nas Permissões para conseguir deletar estas chaves Gbpsv - tb segui as orientações do Alexandre Machado (aqui é a maior dificuldade da solução do problema - realmente é bastante chato e pouco intuitivo a questão das Permissões - sempre tenho dúvidas e um certo receio sobre este processo). Dei acesso total aos Administradores e apaguei as chaves.

8º - Reiniciei o XP no modo normal - Fiz uma procura no Win Explorer por gbp*.* e encontrei rastros da praga... Del neles

9º - Ativei novamente a Restauração do Sistema

10º - Aí foi só correr pro abraço.

PS.: Não se esqueça de fazer um bkp do Registro antes de tentar seguir este passos

PS2: Parece que só as máquinas mais velhinhas, como o meu P4, sofrem os efeitos colaterais. Eu estava tendo picos de 100% de uso da CPU de 1 em 1 minuto, gerando "travamentos" ou sei lá, acho q congelamentos nos momentos desses picos. Depois da eliminação da praga, digo, da proteção herdada do Banco do Brasil, o meu já sofrido P4 voltou a sua lentidão normal, compatível com sua idade. hehhehe

PS3: Acho q vou pedir ao BB um micro novo para eu consultar o meu extrato.

Espero q possa estar ajudando e não gerando mais confusão. hehhe

[]'s

Rafa

grade1000 · 21 de maio de 2008

Pra quem nao conseguiu, eu descobri "uma solucao"(continua problema mas nao trava) mais simples. é so da CTRL+ALT+DEL e clicar com o botao direito no winlogon.exe (um arquivo do windows) e colocar: Prioridade>Normal

a prioridade dele deve esta em Alta ou Tempo Real, é so mudar para normal que o computador não fica travando, mas é claro, vai continuar os picos, mas pelo menos não vai travar.

reitnt · 24 de maio de 2008

Pessoal,

Não sei explicar o motivo, mas a verdade é que tinha o mesmo problema de vocês. Após efetuar a atualização para o Service Pack III, notei que os picos de processamento do Winlogon pararam e não noto mais as "travadas" que ocorriam nitidamente quando eu executava um video.

Espero que possa ajudar a todos.

Detalhe: Não foi necessário remover o G-Buster.

Dedalus_SC · 25 de maio de 2008

Boa tarde a todos.

Eu também fiz a instalação do SP3 logo que foi lançado em Português e não resolveu o problema das travadas. Acontece que de ontem para hoje o problema simplesmente sumiu!

Eu estava matando a DLL do Gbuster toda vez que ligava o micro e hoje esqueci de fazer o procedimento e quando lembrei notei que o micro não esta mais travando, mesmo com o Gbuster funcionando!

Imagino que a GAS Tecnologia deve ter recebido inúmeras reclamações através dos bancos (eu mesmo fiz uma diretamente na agência) e atualizou o software com uma correção do bug. O fato é que eu não fiz nada no meu micro e o problema parou sozinho!

O companheiro reitnt deve ter instalado o SP3 ao mesmo tempo em que houve (imagino que houve!) a atualização do maldito Gbuster. Vamos esperar o relato das pessoas que estão tento o mesmo problema para verificar se foi isso mesmo que aconteceu.

Tomara que essa coisa não dê problema de novo.

falou galera.