Friday, March 7, 2008

G-Buster Browser Defense. O que os bancos instalam em seu PC sem você saber.

ATENÇÃO: Este procedimento não é válido para as versões mais recentes do G-Buster. Um novo post explica como bater esta praga novamente! Estou adorando brincar de gato & rato com a GAS Tecnologia! ;-)
A mais nova versão da praga pode ser removida mais fácil que antes, com o novo procedimento descrito neste link.

Este é o nome do vírus que os bancos instalam em seu computador sem você saber. Vírus sim, mesmo que benigno. Tem as mesmas características técnicas de um vírus qualquer que um hacker coloca no seu PC: invisível, furtivo, instalado sem seu conhecimento, impossível de ser removido por um leigo, rouba sua CPU fazendo coisas que você nem tem idéia.

Quem faz isto atualmente: Banco Real, Banco do Brasil, Caixa Econômica Federal, Unibanco. O desenvolvedor da praga é a GAS Tecnologia.

O mais nefasto dos efeitos deste "vírus" pode ser visto direto no seu TaskManager. Se você acessa um destes bancos via internet, poderá ver o serviço Gbpsv.exe na lista de processos em execução. Este serviço pode também ser visto acessando-se o controlador de serviços em Painel de Controle/Ferramentas Administrativas. O mais interessante é que nem o administrador local da máquina é capaz de parar, remover, pausar ou alterar as configurações deste serviço - o que na minha opinião é um abuso por parte dos bancos. Possivelmente em outro país isto seria considerado ilegal.

Pesquisei muito na internet para descobrir o que era e o que fazia o tal G-Buster, e a melhor fonte de informação está aqui.

O estranho é que tenho instaladas as versões do Banco Real e do Banco Mercantil do Brasil, mas somente a versão do Banco Real instala o serviço Gbpsv.exe. A versão do Banco Mercantil do Brasil é somente a DLL do controle ActiveX, mas não o serviço de monitoração.

Então, vamos separar o joio do trigo: A DLL que contém o controle ActiveX não é indesejável, uma vez que só é carregada sob demanda quando se acessa o Internet Banking do respectivo banco. Assim funciona por exemplo com o Banco Mercantil do Brasil que só usa a DLL gbiehbmb.dll.
A praga em si é o serviço Gbpsv.exe que roda para todos os usuários da máquina, 24 horas por dia, fazendo polling na registry, conforme demonstrou o Romulo Ceccon em seu blog.

Tentei removê-lo usando a técnica descrita no site acima, mas não tive sucesso. Então adicionei alguns passos e consegui resolver.

Identificando os módulos executáveis
Testei com o Internet Banking do Banco Real, e os módulos podem ser encontrados em:

C:\Arquivos de programas\GbPlugin\

Cada banco tem sua versão da DLL, a do Banco Real é: gbiehabn.dll, da Caixa é gbiehcef.dll, do BMB é gbiehbmb.dll e analogamente para outros bancos.
Existe ainda o serviço GbpSv.exe, na mesma pasta. Este é o serviço que está rodando 24x7 em seu computador, consumindo ciclos de sua CPU - sem você ter sido informado - e que será removido!

Ferramentas necessárias para remoção da praga:

1) SysInternals Process Explorer disponível aqui, ou para download direto aqui.

2) SysInternals Autoruns disponível aqui, ou para download direto aqui.

3) Login como administrador local da máquina. Sem estas credenciais, nada feito.

Desinstalando o servico Gbpsv.exe

A forma normal de remover um serviço é através do controlador de serviços no painel de controle. Infelizmente o abuso chegou ao ponto de impedir a parada ou desinstalação do serviço por este método.
O interessante é que antes testei a ferramenta de exclusão de serviços do aplicativo HijackThis que geralmente resolve este tipo de problema e não tive sucesso. Recebo a mensagem que o serviço não existe. Bem, isto porquê a praga muda as permissões na registry de sua própria entrada em:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpSv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv

OBSERVAÇÃO: Podem haver variações nos nomes da chave ControlSet001, ControlSet002, ControlSet003. Em todas elas deve-se verificar a existência da subchave GbpSv.

Então, vamos do início:

1) Abra o Regedit, para que possamos mudar as permissões nas chaves mostradas acima. Para abrir o Regedit vá em Iniciar -> Executar e digite Regedit e clique em OK, conforme a figura:



2) Vamos então procurar as chaves:

Expanda sucessivamente as chaves HKEY_LOCAL_MACHINE, depois SYSTEM, ControlSet001 e finalmente Services.



3) Mudando as permissões nas chaves:

As duas entradas têm permissões somente para as contas LOCAL e SYSTEM. Nem o Administrador possui permissões nesta chave. Mas não é possível conceder ao grupo de administradores a permissão diretamente. Primeiro temos que tornar o administrador o proprietário da chave. Siga os seguintes passos:
- Selecione a chave GbpSv e depois clique com o botão direito sobre ela (ao selecionar geralmente há mensagem de falta de permissão, ignore estas mensagens).
- Selecione no submenu a opção "Permissões". Poderá ser exibida uma mensagem como a que está abaixo. Ignore-a tb.



- Clique em Avançado e na nova janela que irá se abrir selecione a aba "Proprietário", conforme a figura abaixo:



Apesar do tema estar com cara da MacOS, é um legítimo Windows XP ;-)

Uma vez que a sua conta agora é o proprietário da chave, você poderá alterar as permissões. O que eu fiz: Neguei acesso a conta LOCAL e SYSTEM, a concedi acesso total a conta do administrador. Assim eu posso deletar os valores sem que a praga escreva os valores novamente (isto acontecerá se a conta SYSTEM continuar com permissão de acesso nesta chave). Eu mantive a chave GbpSv, somente excluí os valores e subchaves. Mantendo a chave com permissão negada à conta SYSTEM me garante que o GbpSv não irá escrever nada lá novamente.

Terminando a execução dos processos

Siga então os passos sugeridos pelo Romulo Ceccon: Abra o Process Explorer para que possamos terminar a DLL. A diferença é que além da DLL estar sob o processo WinLogon.exe, encontrei-a também sob o processo Explorer.exe. A melhor forma que encontrei foi procurar todas as ocorrências usando a opção FIND do Process Explorer, procurando pelo nome da DLL. Encontrei duas ocorrências e terminei ambas as threads. Terminei também o serviço GbpSv.exe, visível na lista de processos.
Agora que as pragas não estão em execução, temos que remover as entradas de autoexecução na Registry usando o Autoruns.

Desabilitando a inicialização automática

Execute o Autoruns e na aba EVERYTHING, percorra toda a lista e remova todas as entradas referentes a DLL e ao serviço GbpSv.exe. TODAS as entradas devem ser removidas. Na dúvida, tudo que tiver Gbieh como parte da descrição refere-se à praga e pode ser excluído.

Após remover todas as entradas efetue um boot no sistema. Quando o Windows iniciar, o serviço GbpSv.exe não deverá constar mais na lista de processos em execução no TaskManager. E nem a DLL gbiehabn.dll (ou gbiehcef.dll, etc.) deverá constar no Process Explorer.
Isto significa que, finalmente, poderemos excluir o arquivo GbpSv.exe!
Basta ir na pasta C:\Arquivos de programas\GbPlugin\ e teclar um majestoso DELETE e ver o arquivo ir pro lugar de onde não deveria ter saído.

Irei reinstalar a praga no meu sistema e monitorá-la um pouco mais para aumentar meu entendimento. Mais sobre isto depois.

89 comments:

Anonymous said...

Kara to com umas duvidas tem como me dar um Help

ov3rr1d3@hotmail.com

fico no aguarde VlWs

Rogério Carvalho said...

então o G-Buster Browser Defense
é inutil? ele não yem nenhuma função de segurança junto ao site do banco?

email: rogermail-@hotmail.com

obg!

Alexandre Caldas Machado said...

Olá Rogério.

Não é que não tenha função, ele - ESTANDO ATIVO - teoricamente impediria o site do banco ser fraudado por ALGUNS mecanismos, mas não todos.
Porém o que eu gostaria de chamar atenção é que ele pode ser desativado, e portanto, um malware especificamente escrito para os bancos que usam o GBuster, poderia primeiro desativá-lo, ou seja, neste caso ele não teria nenhuma função.
O que eu quis chamar atenção com o meu post é COMO a coisa é feita "debaixo dos panos": Sem nenhuma informação que será instalado um serviço que ficará monitorando a sua máquina, rodando 24x7 consumindo recursos - mesmo que o usuário logado não seja cliente do banco. E que este serviço pode causar problemas na sua máquina, impedindo até mesmo o login, como conheço INÚMEROS relatos.

Anonymous said...

Cara tentei de tudo aqui mas nao consegui exclui essa praga


da uma ajuda ai

renanrangel16@gmail.com

to aguardado

abraço

Unknown said...

amigo,
Ainda tenho algumas dúvidas. Sobretudo na parte inical (permiss
ão de usuários da chave GbpSv no Registro) seria possível algum esclarecimento adicional?

Fico no aguardo.

[]s

hamcs2k5@gmail.com

Anonymous said...

Olá Alexandre,

Estou tendo travadas repentinas (de alguns segundos) durante o uso de meu pc e tenho visto que o winlogon tem usado bastantes recursos de minha máquina, culpa creio eu deste G-Buster.

Tentei seguir os passos que passou porém em vão, mesmo com direitos de administrador. Na verdade, consegui ir até a mudança de permissão e negação de acesso nas chaves: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpSv e
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv,

O estranho é que agora se tento entrar novamente nessas chaves dentro do registro diz que não é possível abrir as chaves.
(Obs.: Só consegui entrar na primeira vez através do modo de segurança e com direito de administrador).

Bem, continuando: No Process Explorer eliminei o possível através do find, mas algumas insistem em não sair:
gbieh.dll (dll no IEXPLORE.exe)
gbieh.dll (dll no winlogon.exe)
gbieh.gmd (handle no winlogon.exe)
gbieh.dll (dll no exporer.exe)

Fui no autorun e apaguei todas as referências, mas se dou reboot, tudo volta!

Se puder me ajudar, obrigado!
João Carlos
jcaramos@yahoo.com

Anonymous said...

Fantástico Alexandre!

Consegui tirar o G-Buster conforme suas instruções.

A idéia das permissões foi fantástica era o que estava faltando na solução do Romulo. Vale a pena você detalhá-la mais para facilitar a vida de usuários menos experientes (um comentário que vc não fez por exemplo é como abrir o REGEDIT).

Oposto do Contrário said...

Grande abraço, sua receita foi muito boa, apenas que para fazer a eliminação final, além dos passos que você ensinou, travei o acesso à pasta gbplugin para todos os usuários (nem eu nem ele kkkk), assim na reinicialização ele não carrega na memória, mesmo assim um dos arquivos ainda ficou, mas consegui renomear e mais um boot ficou tudo ok.

Já não chega os hacker soltando vírus agora vem os bancos tb, sacanagem e eu nem correntista deles sou ....

[]´s

Raphael said...

Não consegui executar esse passo... é pra dar um kill no winlogon?

Terminando a execução dos processos

Siga então os passos sugeridos pelo Romulo Ceccon: Abra o Process Explorer para que possamos terminar a DLL. A diferença é que além da DLL estar sob o processo WinLogon.exe, encontrei-a também sob o processo Explorer.exe. A melhor forma que encontrei foi procurar todas as ocorrências usando a opção FIND do Process Explorer, procurando pelo nome da DLL. Encontrei duas ocorrências e terminei ambas as threads. Terminei também o serviço GbpSv.exe, visível na lista de processos.
Agora que as pragas não estão em execução, temos que remover as entradas de autoexecução na Registry usando o Autoruns.

-------
de qualquer forma, parabens pela abordagem

Anonymous said...

Isso foi demais..desculpe..quando liguei meu computador e o anti virus detectou ele como tr/bancos.pxg fikei maluco tentei os metodos tradiconais regedit msconfig...etc nada resolvia e suas dicas foram diretamente na veia do problema é pessoas assim que a gente precisa valew a ajuda
wbotegacamargo@hotmail.com

Anonymous said...

Infelizmente não consegui com o tutorial acima, então fui radical. Coloquei meu HD em outra máquina e apaguei os arquivos da pasta C:\Arquivos de programas\GbPlugin

Resolveu o problema.
Valeu!!!

Alexandre Caldas Machado said...

Obrigado pelos comentários.
A solução do colega de levar o HD para a outra máquina em alguns casos é a mais rápida, sem dúvida, mas nem sempre possível. Aqui no meu trabalho, por exemplo, minha máquina é lacrada e este processo impossível. Uma outra possibilidade é dar um boot pelo CD de uma instalação do Linux por exemplo (eu tenho uma ótima do Kurumin, que não precisa de instalação) e também deletar a pasta.

Tem 2 dias instalei o plugin novamente, em outra máquina, e desta vez foi da Caixa Econômica Federal. Vou "brincar" um pouco com ele para verificar possíveis diferenças e mais tarde posto as minhas conclusões.

Obrigado a todos que contribuiram!

Alexandre Caldas Machado said...

Rapha,

obrigado pelo seu comentário. Usando o ProcessExplorer, use a opção Find e procure pelo nome da DLL do banco que está instalado. O ProcessExplorer irá encontrar uma ou mais ocorrências da DLL ligadas a um processo, geralmente sob o WinLogo.exe. No meu caso, encontrei assim com a seguinte estrutura:

WinLogon.exe
Gbpsv.exe

explorer.exe
Gbpsv.exe

ou seja, Gbpsv.exe rodando SOB o WinLogon.exe e também sob o Explorer.exe.
Então eu selecionei o Gbpsv.exe, cliquei com o botão direito do mouse sobre eles e escolhi Kill Process (ou Kill Process Tree).

Se não funcionar me escreve de novo, ok?

Abraço e boa sorte.

Anonymous said...

Por sinais, só pra ficarem cientes... assim como eu e outro vários usuários, estão presenciando travadas de exatos 1 em 1 minuto no PC, Winlogon.exe fazendo uso de 100% fazendo o PC ter travadas irritantes.

E olha que nem tenho conta nessa BB, deve ser a Caixa.

Estou no serviço aqui pesquisando sobre o problema, chegando em casa tento dar um jeito nessa porcaria... os caras burlaram até o hijackthis, é muita putaria.

Obrigado Alexandre e parabéns pelo post esclarecendo as dúvidas dos usuários!
Abraços!

Anonymous said...

Queria salientar que o método descrito não funcionou pra mim. Mesmo eu mudando regedit, tentando fechar o threads, ele muitas vezes não deixava, e quando deixava um reinicio fazia tudo voltar parcialmente. Autorun, Process Explorer... tudo falhou.

Até o meu CD do Ubuntu Live não queria iniciar... logo:

Fechei o Winlogon... sim, ele reinicia a máquina em 1 segundo. Mas eu deixava o DEL *.* na janela do prompt do msdos na pasta do malware pronto pra levar um enter no "YES".

Dito e feito, apagado sem problemas.

Anonymous said...

PQP vc é foda cara
espetacular o tutorial(apesar de não simplificado,so quem tem um conhecimento consegue fazer) quebrei mto a cabeça aqui com ele e conegui resolver com vc, minha mãe eh caixa do BB e foi la que ela pegou ele, ja vou deixar ela avisada até pra ela espalhar por lá.
obrigado.

Anonymous said...

Para mim a solução tb não funcionou...

Alexandre, qdo estou no regedit, só aparece SYSTEM. Local e nome do computador não aparecem.... eu sou único usuário e adm do sistema.

Lilo, tem como vc explicar mais claramente (tipo tutorial) o q vc fez?

Obrigado a todos.

Anonymous said...

Inclusive, o modo de segurança com prompt de dos carrega o Winlogon? Não fiz esse teste no começo, só apaguei o exe por ele... o DLL foi o esquema de fechar o Winlogon.

O que eu fiz foi simples, Executar: CMD
Prompot de comando, vai até a pasta do GBserv, dá del *.*, dá enter... vai perguntar se quer confirmar, deixe a janela parada.

Vai no process explorer e vai tentando fechar o máximo possível de programas que usam o dll maldito e deixe só o winlogon sobrando, aqui ele era o único que não dava pra tirar o DLL.

Mande FECHAR o Winlogon, você vai ter UM SEGUNDO pra mudar pra tela do prompt e confirmar o del *.*. Pois você não consegue apagar justamente porque o Winlogon NÃO DEIXA, mas fechando você consegue apagar.

Anonymous said...

amei salvo meu toba isso livro 76mb da minha memoria virtual e paro de da os "Soluços" mt obrigado alexandre vc salvo a todos nós com esse seu tutorial a parte do win logon e panz fico meio confusa pq nao tem como dar kill nesse process portanto eu bloqueei as permissões do local e do system a pasta gbplugin reiniciei deletei todos os arquivos ficou so o gbieh.dll dae eu renomeei bootei e deletei ae foi so correr pro abraço apaguei todas as entradas das malditas dlls e apaguei o dpf no hijack this e voltou tudo ao normal graças a deus e a vcs mt obrigado

Anonymous said...

Prezados amigos:
Foi sem dúvida de muita utilidade a experiencia de todos aqui postada para mim conseguir aparentemente resolver meu problema. Depois de todos esses teste e sofrimento, mexendo no registro, analisando gráficos percebi que esse bendito GBplugin mencionado colidia com o meu Windows Defender e simplesmente resolvi remover o Defender, haja visto que me vi derrotado pelo GBplugin sem conseguir eliminar os processos para deletar o dito cujo e mesmo deletando toda e qualquer chave de registro referida a ele, e, ainda, incansavelmente usando o CCleaner numa tentativa de destruir qualquer sinal dele o mesmo insistia em sempre ressuscitar.
Analisando os processo descobri o nome do processo do Defender que o chamava de volta a vida (não sei por que quedas d´agua).
Enfim, essa foi a minha solução (um tanto paliativa) mas minha CPU voltou a ordem e parou de soluçar.

Unknown said...

Enfim vitória !!!
Finalmente, graças as explanações técnicas aqui encontradas removi com sucesso o famigerado GBplugin do meu pc e tudo voltou ao normal.
Percebi que ele parou de dar pico na CPU quando removi o Windows Defender (isso pode ser um caso singular, dependendo das instalações feitas por cada um de nós); percebi, no entanto, que sua atividade permanecia nos medidores de I/O e após 5 horas de duelo encurralei a besta no registro (em várias chaves aliás, mas seguindo sempre a idéia principal aqui firmada) e impedi qualquer inicialização suas atividades.
Feito isso foi só dar o sublime |Delete| sobre o arquivo que jazia inutil no diretório.
Obrigado a todos pelas dicas e valiosas informações.
Um forte abraço.

Unknown said...

Olá a todos, eu removi de outra forma, achei mais simples que essa, é minha opnião né.

Olhem os detalhes em outro blog.


http://antipluginbb.blogspot.com/

Alexandre Caldas Machado said...

Obrigado pelo seu comentário, caro ochaveiro. Realmente a possibilidade de dar um boot por outro sistema operacional e excluir os arquivos é mais fácil em alguns casos.
Eu havia citado num post acima, que seria fácil também usar o live CD do Linux Kurumin. Este live CD é bootável. Você coloca no drive de CD, define a prioridade de boot no setup e ele entra direto no Linux, sem instalar nada em sua máquina. O Linux tem total acesso à partições NTFS e portanto é super fácil você selecionar a pasta C:\Arquivos de Programas\GbPlugin e deletá-la a partir do Kurumin.

Mas, como eu também havia comentado, minha máquina do trabalho não tem drive de CD e é lacrada, sendo assim impossível tal procedimento.

Abraço

Alexandre Machado

Unknown said...
This comment has been removed by the author.
Stronda said...

Gostaria de saber se há algum programador em alguma linguagem postando neste blog.

Se sim, gostaria de saber como faço para remover o plugin via programação!

R_Azevedo said...

Eu fiz o procedimento, mas ainda não consegui tirar a mensagem " erro ao carregar C:\ARQUIV~1\GBPLUG~1\GBIEHCEF.DLL. Alguém pode ajudar?

Anonymous said...

Alexandre !!!

Realizei o procedimento citado e o mesmo funcionou com sucesso!!!

Muito obrigado,

Allan Jader said...

cara fui instalar o nero no meu pc e aconteceu isso ai alertando de que eu nao poderia terminar a instalação porque nao tinha permissão para abrir a chave de registro:
[Hkey_machine...nero/shared] ai eu fiz esse processo ai que vc falou e deu certo vei muito obrigado por essa postagen...

Anonymous said...

Prezado Alexandre,

Recentemente meu NOD32 vem acusando ameaças a cada abertura de tela que faço (do explorer.exe, do IExplorer.exe e de outros programas tb. A mensagem é que eu estou infectado por um virus w32/spy.banker.ovz localizado nos seguintes arquivos c:\arquivos de programas\gbplugin\gbieh.dll e também no gbiehbmb.dll.
Sou meio leigo no assunto e se possível gostaria que me ajudasse a remover estas pragas já que nem os help desks dos bancos e nem mesmo a empresa que desenvolveu esse Gbplugin se disponibilizaram a me ajudar. Se puder favor entrar em contato pelo tsbalbino@hotmail.com . De qualquer forma agradeço pela atenção e pelas ótimas informações prestadas. Abraços.

Anonymous said...

O jeito mais fácil que encontrei foi rodar um live cd de linux (eu uso kurumin), acessar os hd's do windows e apagar todos os vestígios(pastas, arquivos) do Gbplugin. Depois no windows vc roda algum programa (tipo MVRegClean) que que "limpa" entradas inválidas no registro do windows. Pronto me livrei dessa praga e resolvi o meu problema assim. Para acessar bancos use somente o Firefox, nele o banco só instala um complemento, sem nenhum executável.

Anonymous said...

Amigo Alexandre...

...segui todos os passos das suas duas receitas, mas não consegui eliminar esse "reality show" a que os Bancos estão nos condenando!

Na utilização do Process Explorer, quando tento matar uma thead, ela se re-cria (com outro número, aos meus olhos!), no exato momento do kill.

Na sua segunda receita, quer seja a da mudança de permissões no acesso da pasta GbPlugin, embora meu windows (notebook) também seja o XP, a janela de propriedades da pasta não tem a orelha referente à segurança.

Veja isso: ..segui também o conselho de um membro deste fórum (de quem não estou lembrado agora), e baixei e instalei o a-squared free. Quando executado, "ele mesmo encontrou um objeto estranho na própria pasta, no programa de desinstalação! Depois de indicar a limpesa da máquina (que não ajudou em nada na retirada do ABN), agora não consigo mais desinstalar esse tal de a-squared! Nem via painel de controle!!! O que posso fazer, se na intenção de resover venho somente conseguindo piorar as coisas?

Forte abraço e parabéns pela clareza dos seus comentários e dicas.

José Vicente
mlp@uol.com.br

Signoretti said...

Alexandre,
o procedimento funcionou perfeitamente no winXp Pro do meu desktop. Obrigado!

Como fazer algo semelhante no winxp Home edition que tenho no laptop??

Obrigado.

Alberto.

Anonymous said...

ola Alexandre!
segui suas instruções e infelizmente não consegui deletar o gbplugin.
acho que um dos motivos é porque na hora de fechar os processos que o programa indica estar rodando o virus, um deles não pode ser fechado pois fala que é do sistema ou algo assim...
gostaria que você me adicionasse no msn para conversarmos melhor, mais se não tiver msn, por favor entre em contato por email.

caue_publius@hotmail.com

obrigado pela sua atenção!

AleziN said...

oi, alexandre c nao for muito encomado gostaria de tirar umas duvidas com vc, c poder me add no msn
n3n3_rox@hotmail.com obrigado c poder ajudar.

Anonymous said...

Cara. muito obrigado pelas suas informações. Consegui apagar a pasta c:\arquivos de programa\Gbpsv!!! Fiz exatamente como vc postou aqui no tutorial. Adquiri os dois programas (ProcessExplorer e Autoruns). Mas fiz um pouco diferente. Abri o Autoruns e identifiquei tudo que era relacionado ao g-buster. É fácil, tudo que não for editado pela microsoft é desconfiável. Ai tem os editados pelo fabricante do seu anti virus e etc... Geralmente o editor é o seu banco. Dei 2 clicks no registro e automaticamente abriu o REGEDIT e o local do registro. Click com o botão direito na pasta onde estão os registros do g-buster (são várias) e em permissões. Na jenela que abrir, em nome de grupo ou de usuários click em SYSTEM e logoa abaixo em permissões para SYSTEM, negue tudo (cotnrole total, leitura etc...) Click no botão avançado, aba Proprietário. em alterar proprietário deste item, click em adminstrador (obs: vc deve estar logado como administrador no seu Windows, precisamente o XP) e de Aplicar, OK. Permita tudo o que vc negou para SYSTEM ao ADMINISTRADOR. De Ok em tudo e feche a janela. No regedit. Apague todos os registros disponíveis. (OBS: Voce deve fazer esse procedimento em todos os locais onde houver entradas do g-buster no regedit. A cada DELETE aperte F5 e confira se a entrada volta pra pasta. se NÃO, sucesso.) Agora abra o process Explorer e identifique o gbpsv.exe uma ou várias vezes. de KILL em todos. Reinicie o sistema. Após reiniciado, de ALT+CTRL+DEL. Se o gbpsv não tiver iniciado, va em arquivos de programa e apague um arquivo de cada vez. Pronto está acabado. Depois de muitas tentativas e erros, danifiquei um pouco meu registro mas finalmente entendi o procedimento. Tudo fica mais fácil quando voce entendi que é necessário negar permissões para SYSTEM. E dar total permissão para ADMINISTRADOR. Com isso feito o gbpsv.exe não consegue mais subescrever o registro nesse local, não conseguindo mais carregar os aqrquivos no registro. Assim fica fácil deletá-los. Espero que todos consigam acabar com esse problema. Quaquer coisa meu e-mail ta ai. cl06@oi.com.br ou cl06_cl06@hotmail.com. VALEU!!

Anonymous said...

So posso agradecer!!! putz, fiquei um tempo catando alguma solução. ate encontrar um site gringo q deu umas dicas, mas foi aqui q encontrei a solução... a ideia das permissões matou.

mas tive q aplicar nesses: ControlSet001,ControlSet002 eControlSet004

creio q por ter mais de um usuarios na maquina naum sei...

mas fui usando os programas sitados e pronto...

agora pelo menos to conseguindo rodar um antivirus pra ver se tem algum bixo ainda na maquina...

agora pra matar um processo pelo prompt eh so digitar taskkill /f /t /im nomedoproc.exe

e se matar um proc como winlogon, o q fiz algumas vezes, ele começa a contar o shutdown. ai eh so ir no prompt novamente e digitar shutdown -a. para a contagem...

Volto a dizer, foi a mão na roda esse post.

Parabéns...

[]os

Anonymous said...

aff... matei o português tbem... onde ta digitado sitados entencam citados. huahauhauha

foi o entusiasmo, putz, ufa...

[]os

ps. se tiver algum outro erro f... :D

Unknown said...

Acho que estou em uma situação pior do que a de vcs., pois o winlogon.exe está consumindo 99% do processamento e não tem nenhum desses arquivos relacionados na máquina, nem mesmo no registro. A máquina foi formatada ontem e hj está com esse problema novamente. Alguém tem como ajudar??

Desde já agradeço

Unknown said...

Segue o log que o Hijackthis gerou:

Logfile of HijackThis v1.99.1
Scan saved at 10:52:37, on 16/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrador\Desktop\Autoruns\autoruns.exe
C:\Documents and Settings\Administrador\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = personall.grupotac.com.br
O17 - HKLM\Software\..\Telephony: DomainName = personall.grupotac.com.br
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = personall.grupotac.com.br
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = personall.grupotac.com.br
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)


Só pra esclarecer, só consegui rodar o mesmo como administrador local, não consigo fazer nada usando o perfil do usuário, pois o winlogon consome rapidamente todo o processamento da máquina, assim que possível, me ajudem.

Desde já agradeço

Anonymous said...

nossa cara, muito obrigada mesmo pelas dicas!
eu nao ia conseguir descansar enquanto não tirasse essa praga daqui. foi mais chato que qualquer virus que ja apareceu na minha máquina.

Anonymous said...

Gostaria de saber e usando o G-Buster como "ferramenta" pra se manter instalado, hackers conseguem instalar spywares e outros lixos que tem as mesmas dificuldades de remoção do G-Buster. Ou seja ele acaba sendo um alidado dos cybercriminosos.

Anonymous said...

Excelente Post Alexandre!!! Funcionó perfectamente

Anonymous said...

Alexandre, tentei tudo que você falou sobre tentar remover o "vírus" pelo regedit, mas, como muitos falaram, não funcionou, pois ele estava atrelado ao winlogon e ao explorer.

Então, segui a idéia de utilizar o CD do Linux (usei o Ubuntu, na verdade). FOI A SOLUÇÃO!

Para quem está desesperado e é leigo como eu: é muito simples remover o "vírus" através do CD do Ubuntu. Vale lembrar que ele é GRATUITO (o único dinheiro que você precisa gastar é com um CD-R, caso não tenha um a mão) e que não é necessário instalá-lo no seu PC para fazer isso. Basta seguir os passos seguintes:

1. Baixe o Ubuntu. Eu o baixei através do site http://www.ubuntu-br.org/download. É um arquivo em formato ".iso", portanto trata-se de uma imagem de CD;

2. Após baixar o arquivo, utilize algum programa como o Nero Burning ROM para gravar a imagem em um CD. Caso você já tenha o Nero, proceda assim:

2.1) Insira um CD-R no PC, abra o Nero, clique na opção "Gravadora", na barra de ferramentas e, em seguida, clique em "Gravar Imagem".

2.2) Selecione o arquivo do Ubuntu (com terminação ".iso") e marque a opção "Finalizar CD", caso esta não esteja marcada.

2.3) Dê OK em todas as telas que aparecerem até começar a gravação (escolha sempre a velocidade de gravação mais baixa possível, pois isso evita erros).

3. Uma vez gravado o CD, reinicie o computador (com o CD dentro) e na tela de inicialização (a preta, na qual aparece uma barra embaixo dizendo para apertar F8 e F12 etc.), aperte F12.

4. Selecione a opção de "boot" (carregar o sistema) através de CD/DVD.

5. Escolha a língua na qual o programa vai aparecer.

6. Escolha a opção de testar o programa sem instalá-lo no seu PC. Nada será alterado no seu PC!

7. Uma vez aberto o Ubuntu, é bem fácil navegar pelas pastas do seu PC. Lembre-se de remover a pasta GbPlugin em Arquivos de Programas e também a GbPlugin em Documents and Settings>>All Users>>Application Data (não sei como é em português, mas é intuitivo.).

É isso!

Espero ter ajudado com o meu tutorial "For Dummies", no bom sentido =D.

E muito obrigada a todos que mencionaram a idéia de usar o CD do Linux!

Anonymous said...

ele quase me pegou.
como tenho instalado o Spybot, eu não autorizei.
De qq maneira ele se enraizou em muitos sitios
Um pouco de pesquisa e fui apagando rastos mediante a hora de criação/modificação

aqui vão algumas referencias ao que fui encontrando:

apagar estes ficheiros:
plugtmp-1
wmzn.sys
jujpz.sys
agt0411.exe
mefia2.exe
melia.exe
gbuster
Gbpsv.exe
cleanup.exe
kill.exe
avg.exe

...embora não tivesse a certeza de alguns optei por eliminar tudo.

No registry tb apaguei refererencia a alguns destes em chaves de startup.
Eis o conteudo de um log criado
no ficheiro kill.txt:
Files to delete:
C:\Arquivos de programas\GBPLUGIN\cef.gpc
C:\Arquivos de programas\GBPLUGIN\uni.gpc
C:\Arquivos de programas\GBPLUGIN\gbiehUni.dll
C:\Arquivos de programas\GBPLUGIN\gbiehcef.dll
C:\Arquivos de programas\GBPLUGIN\gbpdist.dll
C:\Arquivos de programas\GBPLUGIN\gbpsv.exe
C:\Arquivos de programas\GBPLUGIN\bb.gpc
C:\Arquivos de programas\GBPLUGIN\gbieh.dll
C:\Arquivos de programas\GBPLUGIN\gbieh.gmd
C:\Arquivos de programas\Scpad\scpIBCfg.bin
C:\Arquivos de programas\Scpad\scpLIB.dll
C:\Arquivos de programas\Scpad\scpMIB.dll
C:\Arquivos de programas\Scpad\scpsssh2.dll
C:\Arquivos de programas\Scpad\sshib.dll
C:\Program Files\GBPLUGIN\cef.gpc
C:\Program Files\GBPLUGIN\uni.gpc
C:\Program Files\GBPLUGIN\gbiehUni.dll
C:\Program Files\GBPLUGIN\gbiehcef.dll
C:\Program Files\GBPLUGIN\gbpdist.dll
C:\Program Files\GBPLUGIN\gbpsv.exe
C:\Program Files\GBPLUGIN\bb.gpc
C:\Program Files\GBPLUGIN\gbieh.dll
C:\Program Files\GBPLUGIN\gbieh.gmd
C:\Program Files\Scpad\scpIBCfg.bin
C:\Program Files\Scpad\scpLIB.dll
C:\Program Files\Scpad\scpMIB.dll
C:\Program Files\Scpad\scpsssh2.dll
C:\Program Files\Scpad\sshib.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\WINDOWS\Downloaded Program Files\CONFLICT.2
C:\WINDOWS\Downloaded Program Files\CONFLICT.3
C:\WINDOWS\Downloaded Program Files\GBPLUGINUNI.INF
C:\WINDOWS\Downloaded Program Files\GBIEHUNI.DLL
C:\WINDOWS\Downloaded Program Files\UNI.GPC
C:\WINDOWS\Downloaded Program Files\GBPLUGINISG.INF
C:\WINDOWS\Downloaded Program Files\GBIEHISG.DLL
C:\WINDOWS\Downloaded Program Files\ISG.GPC
C:\WINDOWS\Downloaded Program Files\GBPLUGINABN.INF
C:\WINDOWS\Downloaded Program Files\GBIEHABN.DLLLF
C:\WINDOWS\Downloaded Program Files\ABN.GPC

Folders to delete:
C:\Arquivos de programas\GBPLUGIN
C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin

Anonymous said...

Alexandre, muito bom seu post e só para reforçar o que você disse sobre o programa, de rouba sua CPU fazendo coisas que você nem tem idéia.

Trabalho em uma empresa desenvolvedora de software para varejo.
Muitos clientes reclamaram que um dos módulos do sistema fechava sozinho, normalmente quando estavam acessando o site de bancos, alguns relataram que mesmo depois de ter terminado o acesso ao banco não conseguir acessar nosso sistema, somente reiniciando o computador, e algumas vezes nem isso resolveu.
Então descobrimos este "bichinho" gbplugin. Uma das coisas que ele faz é procurar por programas que tenham palavras chaves em sua execução e dependendo do que encontra ele termina a execução do programa. Isto é o que ocorre no nosso caso.
Descobrimos que versões mais novas do plug-in o problema ocorre com menos frequência.
Então se alguem estiver passando por algo parecido, vale a pena verificar se o problema não é este plug-in.

Abraços.

Sabrina said...

Camila, queria agradecê-la! Usar o CD do Ubuntu foi a única coisa que resolveu, no meu caso! Obrigada por partilhar sua solução!

Unknown said...

Alguém já experimentou usar o software "Unlocker" (download em http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe - apenas 255 KB)?

Ele permite apagar arquivos travados e bloqueados pelo sistema operacional (mesmo em uso e carregados).

Assim, após a sua instalação (desmarca todas as opções durante a instalação), rode o programa ("Start Unlocker Assistant") para ficar residente e apague as pastas em questão:
1) "c:\Arquivos de programas\GbPlugin" (ou "%programfiles%\GbPlugin");
2) "C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin" (ou "%allusersprofile%\Dados de aplicativos\GbPlugin");

Quando for tentar apagar determinada pasta ou arquivo, após o erro eventual do Windows Explorer (não foi possível apagar o arquivo pois ele está em uso e/ou faltam permissões), aparece uma tela do Unlocker.

Selecione a opção "Apagar" (no canto inferior esquerdo), selecione todos os processos na lista (são os processos que estão bloqueando a exclusão) e depois clique no botão "Desbloquear Todos".

Pode ser necessário realizar isso outras vezes, pois essa operação é feita para cada arquivo bloqueado, de forma individual.

O restante retiro de um post meu mesmo nesse link --> http://social.technet.microsoft.com/Forums/pt-BR/winxppt/thread/6bbe3f9f-7e3f-46dd-b192-d46ef83b4137

-----------------------------------
Use o programa UnLocker (http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe, apenas 255 KB) para apagar os arquivos que estão sendo bloqueados pelos processos do windows (não deixam apagar os arquivos em uso). Vá e apague a pasta "%ProgramFiles%\GbPlugin" ("C:\Arquivos de Programas\GbPlugin" no meu Windows XP SP3 PT-BR)

Utilize o software AutoRuns (era da SysInternals mas foi comprado/assciado a MS --> http://download.sysinternals.com/Files/Autoruns.zip, apenas 570 KB). Utilize o programa AutoRuns.exe e apague todas as entradas do registro consideradas inválidas ou maléficas, especialmente na aba Services, onde se lê GbPlugin e tecle "Del" para excluir.

Se não funcionar, é problema de permissão nas chaves do registro. Clique com o botão direito nesse serviço, escolha "jump to..." (ele vai abrir o registro na chave em questão). Dê permissão a "todos" usuários (adicionar / todos / acesso completo). Aí vc apaga essa chave do registro em particular. caso existam outras semelhantes, repita o procedimento.

Por fim utilize o CCleaner 2.20 (http://download.piriform.com/ccsetup220.exe, 3,10 MB) e o MVRegClean 5.9 (http://www.velasco.com.br/mvregclean59-br.zip, 1,36 MB) para dar uma geral no registro.

Recomendável fazer ambos os processos em modo seguro com rede (ou pelo menos modo seguro). A parte "com rede" auxilia na leitura dos fóruns e nos downloads dos arquivos.
-----------------------------------

Unknown said...

to com um problemao serio com o G-buster e nao posso formatar, poderia me dar um auxilio... meu msn email
fabricio.pohlman@gmail.com

Unknown said...

PRECISO DE AJUDA PRA TIRAR ESSE MALDIDO GBUSTER DA MINHA MAQUINA... OS PROCEDIMENTOS DESCRITOS NAO RESOLVERAM. ALGUEM PODE ME AJUDAR...

fabricio.pohlman@gmail.comiu

Anonymous said...

Parabéns!!! Segui à risca e funciomol. Acrescento que a dll do Banco do Brasil (MALDITA) é gbieh.dll. Consegui parar o processo de sumir arquivos mas o micro continua uma carroça. Windows Vista

Fernando said...

Cara muitissimo obrigado pois foi suado mas consegiu retirar essa m.... do meu pc, vlw mesmo.

McDgo said...

antes de tudo excluir o arquivo gbpkm.sys

eu so consegui depois de excluir esse maldito no console do windows dando boot pelo cd.

Anonymous said...

Eu ja tentei de todos os modos.. até este ai.. mas qdo vo clica em Gpsv no regedit fala que eu nao tenho acesso... se eu tento altera uma permissao qdo do f5 ele volta denovo nao sei pq.. com o unlocker ele fecha o explorer e trava o windows..to usando o vista.. alguem me ajuda?? msn valdecijr@terra.com.br

Flavio Pestana said...

parabens,... vc conseguiu resolver em parte o meu problema. mais consegui complementar o restante. deixo uma indicação a todos,... se vc não tiver esperiencia é melhor pagar pra um profissional resolver. pois leva tempo e bocado de experinecia pois as coisas não saem exatamente como previsto no tutorial. abraços e muito obrigado

Unknown said...

Funcionou direitinho. Mas exige um certo nível de experiência, principalmente quanto as threads. Valeu!

Reynold Ewald Badertscher said...

Valeu e muito obrigado!
Bader

Lázaro Lima said...

olá .
gostaria de saber se vcs podem me ajudar.
tenho um cliente, e pelo q eu entendi essas dlls gbieh.dll gbiehcef.dll gbiehabn.dll, estão sobrecarregando a cpu. eles ficam rodando junto com o explorer.exe, ocasioando 100% cpu.
o problema é q não posso remover o pugin pq o cliente usa a maioria dos internet banking, existe alguma forma de eu resolver isso sem ter q partir pra parte ruim(formatação) ?
aguardo uma ajuda.
Obrigado!

Samuel Souza said...

Caro Alexandre. Primeiramente meu obrigado por sua iniciativa. Sou usuário avançado e depois de muita luta (antes de achar seus 2 posts) consegui excluir a pasta via Hiren's BootCD ! Depois disso lendo seus posts consegui parar o serviço e deletar as entradas com o Autorun e Process Explorer. O problema é que não consigo deletar os serviços "gbpsv e "gbpKm" com o regedit, já que toda vez que tento excluir os 2 serviços aparece acesso negado. Teria alguma outra dica. Obs: já tentei tudo que estava em seus posts.

Obrigado.

Anonymous said...

nossa que trabalheira pra remover esse arquivo mano. Mas funcionou direitinho, essa porcaria deixa rastros em tudo quanto é lugar e é importante sumir com todos eles!

Anonymous said...

Aleluia!
Depois de três dias de pesquisas consegui excluir o executavel graças a sua ajuda!
Muito boa a explanação das permissões, no W VIsta é um pouco mais complexo, tem mais opções de usuários, mas no final consegui dar o tão sonhado delete!
Obrigado!

punkoco said...

Galera, no meu computador não tem LOCAL só tem:

usuário (HOME\usuários).
usuários avançados (HOME\usuários avançados).
SYSTEM.
PROPRIETÁRIO CRIADOR.
BRUNO (HOME\BRUNO)
Administradores (HOME\administradores).

Qual eu marco tbm pra negar controle total?

Bruno Ferreira said...

Galera, no meu computador não tem LOCAL só tem:

usuário (HOME\usuários).
usuários avançados (HOME\usuários avançados).
SYSTEM.
PROPRIETÁRIO CRIADOR.
BRUNO (HOME\BRUNO)
Administradores (HOME\administradores).

Qual eu marco tbm pra negar controle total?

Bruno Ferreira said...

Galera, no meu computador não tem LOCAL só tem:

usuário (HOME\usuários).
usuários avançados (HOME\usuários avançados).
SYSTEM.
PROPRIETÁRIO CRIADOR.
BRUNO (HOME\BRUNO)
Administradores (HOME\administradores).

Qual eu marco tbm pra negar controle total?

André Pimentel said...

Espero que você responda, no Autoruns eu desmarquei todas as dlls, inclusive as "Gbieh Module" porém, depois ao dar Refresh as algumas dlls que desmarquei voltam, e ficam marcadas novamente, são elas:

- GbPlugin ShlObj
- GblehObj Class (tem outra dll igual a essa, porém ela continua desmarcada)
- GbPluginCef (tambem tem outra e fica desmarcada)

Acho que por isso não consigo finalizar o processo, ou a árvore de processos do gbspv.exe e não conseguindo também excluir na pasta do mesmo, espero que me ajude, esse vírus já está comigo faz um mês mais ou menos, e estava só aqui nessa casa, tive que levar uns trabalhos para casa, e coloquei no pendrive, hoje estou com esse pc usando com medo de perder meus arquivos, com meu pendrive corrompido, e sem computador na outra casa. Obrigado desde já.

Henderson said...

Well,well,well...This is great! I did kill myself this G-buster virus by simply hacking my resistry entries and changing all system administrator privileges, but this'nt so easy as seemed for amateur users because it really needs take a certain care to don't compromise the system establisment, after all it really works...

Anonymous said...

este procedimento não funciona mais, a GAS solution desenvolvedora do sw mudou as configurações do mesmo.

Grégoire said...

Tirei o G-Buster sem dificuldade graças as suas orientações, obrigado. Realmente, quando um programa de proteção é tão chato quanto um virus, há um problema.

Leonardo Dametto said...

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHH não acredito que consegui tirar esse MALDITOOOOOO !!!....rs
Pô, já formatei meu micro umas 4 vezes por causa desse FDP..rs (entre outros probleminhas claro)

ALEXANDRE VC É O CARA !!!!

Só que eu não fui no Process Explorer como você diz para "terminar DLLs"...até pq não sei onde achar isso, nem como fazer...rs O que me deixou bem frustrado por um tempo.

O que eu fiz foi seguir os passos de travar o acesso às chaves no Regedit, após isso feito, fui no task manager, finalizei o processo Gbpsv.exe (botao direito - end process tree) ele saiu de boa, fui na pasta do program files deletei a pasta toda sem problemas... bootei e nada dele aprecer de novo !!!

Agora, sou cliente BB e uso muito o internet banking... será que vai instalar de novo qdo acessar...e será que corro risco tendo removido isso !!??????

De qualquer forma V.A.L.E.U. !!!!!

Arthur said...

OBRIAAAAAAAAAAAADOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO

Nacionalista said...

Alexandre Machado, o Brasil precisa e muito de cidadãos Patriotas e Honestos como Você.
Denunciar o crime cibernético destes malditos bancos (que na sua totalidade nem "Brasileiros" são, são "fachadas de instituições financeiras internacionais") como Você aqui em seu Blog muito competentemente o fez, só vem a alertar a todos os cidadãos sobre o "controle criminoso" ao qual são satanicamente submetidos por estes malditos banqueiros surrupiadores do dinheiro Nacional através de "juros fictícios" e pura "espionagem financeira"!
Fica aqui registrada a minha singela, mas sincera homenagem a sua pessoa a qual lamento muito não ter tido o privilégio de conhecê-lo antes.
Infelizmente não vi o seu e-mail de contato, mas posso até imaginar o porque de não postá-lo em seu perfil.
Se Você puder me envie o seu endereço para contato para madrigranojaber@ymail.com e ficarei muitíssimo honrado em tê-lo como um "legítimo amigo".
"Amigos verdadeiros não vendem conselhos, Eles os doam apenas por espírito patriótico e cristão.
Muito Obrigado pelas ricas explicações e que DEUS te abençoe Amigo.
Sinceramente:
Mário

Marcos Grama said...

Galera eu fiz o seguinte:

1 - Reiniciei a máquina
2 - Entrei no modo de segurança usando o F8
3 - Restarei o sistema para o período antes da instalação do plugin
4 - Reiniciei a máquina
5 - Usei o excluir com o lado direito do mouse e mandei o plugin para o inferno.

Jane said...

Parabens, ja tinha formatado a maquina uma vez por ter instalado esse maldito Plug-in do Banco Itau
Minha maquina ficou lenta e travava de mais,não sobrava memoria nem para abrir Msn rsrs.
Hoje fiz como vc ensinou e deu tudo certo .Parabens e muito Obrigada.

Sete said...

Cara fiz todo o processo no meu notebook com windows 7 é praticamente o mesmo procedimento, e deu tudo certo consegui remover, era do banco do brasil.Valeu mesmo as dicas suce$$o!!!

Anonymous said...

i have spent 3 solid days trying to follow this sites, and the contrubtors to end the rain of terror this program has run on my computer for 3 years+!
i CANNOT DELET THE MAIN PROCESS {G-BUSTER BROWSER DEFENCE} IN ATUO RUNS, OR THE MONITOR!
plus i have found its tide it- self to drivers for old network adaplors and more. { i went into device manager, there was like 20 enters in hidden device drivers, all listed under an old wireless adaplor name, that would not uninstall! im just locky my whole OP didnt crash after following the steps out lined here, but i did lose my internet connect, and had to reinstall my wireless adaptor driver, and set it up all over again!
this program is like a bug that just wont die, and all my efforts to kill it, justed pissed it off.
i finily got your remover to download, and tryied it, nothing.

Anonymous said...

if you really wont to be a crime fighting HERO, post up a video {youtube?}
cause 1 thing is for sure, this program IS A CRIME!!!

Unknown said...

Alexandre,

Gostaria de parabenizá-lo pelo ótimo trabalho. Algumas máquinas aqui do trampo estavam com esse problema e, graças às suas instruções, consegui remover o problema sem dificuldades.
Obrigado.

Domingues said...

consegui no windows 7 apagando as pastas do registro (entrei em modo de segurança como administrador)

a pasta tá lá no arq de programas mas nao executa... mas deu certo rs...

Aoryu said...

Coloquei o HD em uma segunda maquina como Slave e deletei a pasta do malditinho. E pronto funcionou.
Pra quem consegue essa é a aopção mais rapida e facil.

fabricio1233 said...

fiz uma coisa mais louca aqui em cima desse seu tutorial!

eu simplesmente apaguei as duas pastinhas do registro com o nome de GbpSv
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpSv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv"

e acho que funcionou,pois eu finalizei o processo no gerenciador de tarefa e ele não voltou mais!
agora vou reiniciar meu pc para ve se consigo excluir a pasta no "arquivos de programas"

se der certo eu posto ae!
:)

fabricio1233 said...

funcionou parcialmente apenas!
ele continua reiciando junto com o windows,e não consigo apagar a pasta dele no arquivo de programas!
o lado possitivo é que eu posso finalizar ele no gerenciador de tarefas e ele não volta!
:)

Nato Costa said...

Parabéns, ótimo tutorial, estava com problema desse com internet explorer 9 no windows 7 64bit, fiz exatamente como mostra o manual e deu certo! essa praga estava deixando o navegador lento e demorando abrir o navegador, depois que removi toda entrada relacionado a banco do brasil, banco real, consegui apagar a pasta tranquilamente, mais uma vez, parabens! grande abraço!

Free Antivirus Download said...

I can't understand your blog because it is in different language. free antivirus download

Allan Jhonis said...

é simples de resolver o problema, aqui fiz o seguinte, localizei o local do arquivo alterei o nome (enquanto o finalizava no genciador), toda sua atividade fica "pausada" ai quando for acessar o site do banco apago as 2 letras q coloquei a mais para funcionar novamente.

Anonymous said...

Funcionou no windows 8. Obrigado Alain Jhones.

Antonio Carlos Roberto said...

Muito Bom. Funcionou no meu windows 8.
Vou instalar isso numa vmware para usar só quando precisar essa coisa.

admin said...

Eu removi com o unlocker:
"basta usar o Unlocker na pasta onde está o executável e as DLLs, para então renomeá-la porque não dá pra excluir, aí quando reiniciar o sistema, o gatilho do processo não funcionará mais."

Unknown said...

Não consegui pelo método do Autorun e Process. Não consegui parar os processos, Threads e DLLs.

Mas dei boot no Linux (Ubuntu/Wubi), e consegui renomear a pasta para uma bobagem qualquer, e isso parou o processo. :)

Vou rodar um CCleaner só pra dar uma limpadinha, mas isso já matou o virus-plugin.

Unknown said...

Não consegui pelo método do Autorun e Process. Não consegui parar os processos, Threads e DLLs.

Mas dei boot no Linux (Ubuntu/Wubi), e consegui renomear a pasta para uma bobagem qualquer, e isso parou o processo. :)

Vou rodar um CCleaner só pra dar uma limpadinha, mas isso já matou o virus-plugin.

Unknown said...

Agora pessoal a pergunta que não quer calar: Como posso, após a desinstalação deste plugin, acessar o Internet Banking