Thursday, June 12, 2008

G-Buster revisited. Batendo a praga em seu próprio jogo!

ATENÇÃO: Este procedimento não é válido para as versões mais recentes do G-Buster. Um novo post explica como bater esta praga novamente! Estou adorando brincar de gato & rato com a GAS Tecnologia! ;-)
A mais nova versão da praga pode ser removida mais fácil que antes, com o novo procedimento descrito neste link.

Pois bem amigos. Nunca pensei que o G-Buster Browser Defense fizesse tanto mal a tanta gente! Depois que fiz o post com o método que usei para remover a praga do meu PC recebo pelo menos dois e-mails por dia. Alguns agradecendo pela receita, outros se lamentando que não conseguiram, mesmo seguindo fielmente os passos para a remoção do G-Buster.
Bem, resolvi então fazer um segundo post sobre o assunto. Juntei inclusive opiniões e dicas de leitores, e apimentei um pouco a situação! Resolvi bater o G-Buster em seu próprio jogo SUJO de mudanças de permissão de acesso a chaves da registry, arquivos, etc. Então vamos lá! PS: Uso Windows XP, mas a receita funciona para todos!

1) Faça logon no Windows como administrador da máquina, sem permissões de administrador, nada feito.

2) Conforme explicado no meu outro post, o G-Buster é composto de uma DLL que é o controle ActiveX que interage com o Internet Banking do banco em questão, e também por um serviço, o abominável GbpSv.exe, ambos na pasta C:\Arquivos de programas\GbPlugin (ou C:\Program Files\GbPlugin se seu Windows for em Inglês).
O GbpSv.exe TEM que ser removido. Ele é o serviço que fica ativo 24x7 em sua máquina usando recursos sem a menor necessidade, e principalmente, SEM A SUA PERMISSÃO!

Você pode ver o G-Buster em execução teclando Ctrl+Alt+Del e abrindo o Task Manager (uso o DTaskManager), conforme a figura abaixo:



Não adianta tentar matar o G-Buster a partir do Task Manager. Ele entra em execução novamente. Mas... Se o arquivo executável do programa não pode ser acessado para leitura, então ele não pode ser executado, certo? CERTO! Então vamos remover a permissão de leitura do arquivo GbpSv.exe.

Siga os passos que constam nas figuras abaixo:

2.1) Removendo a propriedade de leitura do diretório C:\Arquivos de programas\GbPlugin:

Vá no Windows Explorer encontre a pasta C:\Arquivos de programas\GbPlugin. Clique com o botão direito do mouse e escolha no menu Propriedades:



Vá na aba Segurança. Clique em avançado e desmarque a opção "Herdar do Pai as entradas de permissão aplicáveis..."



Clique em OK. O Windows irá perguntar se é para copiar as permissões ou excluí-las. Para facilitar a demonstração, vou supor que você irá escolher COPIAR. Então teremos depois disso:



Remova, um por um, TODOS os usuários da lista de usuários com permissão. Deixe somente o usuário SYSTEM e o usuário LOCAL SERVICE. Se os usuários SYSTEM e LOCAL SERVICE não estiverem na lista adicione-os. A partir do momento que somente os dois usuários estiverem na lista você irá NEGAR acesso (TODOS) a estes usuários. Teremos então:



A partir daí, nem o Windows Explorer terá acesso aos arquivos e você não mais poderá vê-los no painel da direita.

3) Agora, reinicie a máquina. O G-Buster não conseguirá mais ser carregado, mesmo que as entradas na Registry ainda sejam mantidas, pois não terá mais acesso ao HD na pasta onde está o arquivo executável.

Após o boot, repare no Task Manager que o G-Buster não está mais na lista de processos em execução:



Agora vamos bater o G-Buster em seu próprio jogo sujo. Atenção: Estes passos são opcionais. Não é necessário fazer isto pois o G-Buster já foi removido, mas eu fiz para impedir que ele volte quando eu acessar novamente o Internet Banking.

4) Adicione acesso total ao seu usuário na pasta do G-Buster, conforme a figura:



Agora, renomeie o GbpSv.exe para um outro nome qualquer que não tenha extensão EXE (eu usei GbpSv_Ex_EXE.OLD) com esta extensão OLD ele é inofensivo, e não pode ser executado pois o Windows não reconhece esta extensão).

Crie então um arquivo com o nome que o serviço tinha antes. Pode ser um arquivo texto mesmo, de tamanho zero, com o nome GbpSv.exe. Deixe o arquivo sem permissão nenhuma de nenhum usuário como a figura:

Renomeando o GbpSv.exe:


Criando um novo arquivo GbpSv.exe, que não é executável:


Negando acesso ao arquivo GbpSv.exe:


Você pode estar se perguntando para quê eu fiz isto? Criar um arquivo vazio com o nome GbpSv.exe e bloquear o acesso a ele. Isto é uma forma simples de impedir que o instalador do plugin que roda quando você acessa o site consiga instalar de novo o GbpSv.exe original. Mesmo que as permissões da pasta sejam alteradas a existência de um arquivo de mesmo nome e sem permissão de acesso impede que um novo GbpSv.exe seja copiado para esta pasta. Ou seja, não tem mais como o instalador instalar a praga novamente. Será?

Bem a melhor forma é testar de novo, acessando o site do banco. Testei na Caixa Econômica Federal e olhem aí o Internet Banking totalmente funcional:



Será que o G-Buster não voltou? Hum... Desta vez não! ;-)

Bem, este segundo método de remover o G-Buster é mais fácil que o primeiro que fiz, mas mesmo assim é cheio de etapas. E pela extensão do processo, fica difícil explicar detalhadamente cada passo e usuários menos experientes em configurações avançadas do Windows podem ter alguma dificuldade. Mesmo não sendo difícil, é longo e passível de erros. Se você tentou e não conseguiu, respire fundo, acalme-se e comece de novo, passo-a-passo! ;-) Vale a pena! Depois disso você fica livre do G-Buster e continua acessando seu Internet Banking, sem problemas!

Você pode continuar o extermínio da praga até o fim, eliminando as entradas da registry pertinentes, conforme eu mostrei no primeiro post sobre o assunto. Não que seja necessário, mas eu gosto de começar e TERMINAR o serviço, então na minha máquina eu eliminei cada traço do G-Buster na registry!

Se quiser continuar até o fim, remova as DLL's que estão na pasta do G-Buster, ou, melhor ainda, renomeie-as usando um outro nome qualquer. Agora que o serviço GbpSv.exe não está mais ativo é fácil remover ou renomear as DLL's (após a reinicialização do sistema e ANTES de qualquer acesso ao Internet Banking do seu banco, caso contrário a DLL será carregada e estando em memória não pode ser excluída). Lembre-se somente que, excluindo a DLL, sempre que você acessar o Internet Banking será solicitado que você instale novamente o plugin ou ActiveX do banco, o que reinstalará a DLL (mas não o serviço GbpSv.exe, caso você tenha bloqueado o acesso ao arquivo de mesmo nome que está na pasta).

17 comments:

William Nedel said...

"que eu fiz foi simples, Executar: CMD
Prompot de comando, vai até a pasta do GBserv, dá del *.*, dá enter... vai perguntar se quer confirmar, deixe a janela parada.

Vai no process explorer e vai tentando fechar o máximo possível de programas que usam o dll maldito e deixe só o winlogon sobrando, aqui ele era o único que não dava pra tirar o DLL.

Mande FECHAR o Winlogon, você vai ter UM SEGUNDO pra mudar pra tela do prompt e confirmar o del *.*. Pois você não consegue apagar justamente porque o Winlogon NÃO DEIXA, mas fechando você consegue apagar."
Postado no tópico antigo, fiz aqui e deu certo! creio que seja a forma mais fácil!

Rogerio Mattos said...

Parabéns pela iniciativa !!!

Obrigado pela solução !!!

Minha máquina com 1GB de RAM levava minutos para entrar, desligar ou hibernar...

Depois de fuçar, descobri a causa da minha "GAS"trite !...

E, apesar de não ser JESUS, você me salvou !...

Boa Sorte

Anonymous said...

Alexandre, em uma das capturas de tela das tarefas em execução aparece um programa chamado dllhost.exe, você sabe o que é?

Alexandre Machado said...

P/ William:

Sim William, apesar de não ter tentado, acredito que este processo funcione desde que o usuário possua alguma destreza! ;-)
Porém vale salientar que isto não impede do GBuster retornar, logo no próximo acesso ao seu banco.

P/ Anônimo:

O dllhost.exe é parte integrante do Windows. O programa dllhost em si não faz muito, mas sobre ele rodam outros tipos de aplicações como por exemplo servidores COM+. Em geral é normal ver uma ou mais instâncias do dllhost.exe em sua máquina.

Heric said...

Machado,
iniciativa muito boa, testei em algumas VM's e computador de clientes. Funcionando OK!

Por curiosidade, eu não consegui achar nada ainda na net que explica, e queria saber... o porque o software fecha junto com site da caixa. O software que trabalho foi compilado no Delphi 7 e usa Firebird tb com o BDE.

Signoretti said...

Alexandre,
o procedimento funcionou perfeitamente no winXp Pro do meu desktop. Obrigado!

Como fazer algo semelhante no winxp Home edition que tenho no laptop??

Obrigado.

Alberto.
albertosignoretti@gmail.com

Anonymous said...

Olá! A técnica do William funcionou comigo, eu acabei descobrindo sozinho a funcionalidade dela.

Em um outro computador meu executei seu roteiro, o das permissões. Mas parece que o pessoal da Gas já tomou ciência; as permissões estão em hook e são restauradas.

Uma pilantragem boa, só como adendo ao teu procedimento é:

* logar como admin
* Rode o process explorer
* Clique 2x no processo gbpsv.exe
* Entre na aba Threads
* Você terá 3 threads (pelo menos nesta versão do gbp). Clique em cada uma e as suspenda, no botão suspend.
* Vá para a aba Image
* Clique em Kill Process
* Feche o Pr. Expl.
* Continue com o procedimento das permissões.

Um grande abraço,

RF.

Rogerio Cardoso said...

amigo valeu!!! eu tirei a permissão no regedit ods services 002 003 004 reiniciei e quando voltou a praga havia sumido deletei com maestria o gpbsv.exe..
Valeu cara ,,
abraço

Roberto Uva said...

Olá gostaria de saber se você tem o código em delphi que faz todo esse processo. Andei pesquisando e acho que com API do windows é possível, você tem algum código?

Por favor me mande um e-mail: roberto.uva@gmail.com

Harley said...

pegando um gancho na curiosidade do Henric, eu não consegui achar nada ainda na net que explica, e queria saber... o porque o software fecha junto com site da caixa. O software que trabalho foi compilado no Delphi 2006 e usa sybase com o BDE.

Outro detalhe,
Ao utilziar a solução do Alexandre, não consigo mais acessar minha conta na caixa, tenho q retornar as permissões ou fazer algo diferente ?

Rodrigo Mendes said...

Bom Alexandre, gostaria de agradecer sua ajuda nesse problema que infelizmente causou danos irreparáveis em minha empresa.

A sua solução funcionou em algumas máquinas, porém tenho alguns clientes que tem formatação Fat32 ou não aparece a aba segurança nas pastas. Outro cliente mesmo aparecendo ele não aceita que eu retire os usuários e sempre volta as permissões de controle total para todos os usuários.
Você teria mais alguma dica ?

Ainda, estou junto com o SEPRORJ(Sindicato das empresas de software do Rio de Janeiro), tentando entrar com uma ação judicial contra os bancos Real, CEF, Unidanco e Bradesco. Devido aos clientes que estão cancelando ou até mesmo processando minha empresa.
Caso exista alguma empresa do Rio de Janeiro que tenha o mesmo problema por favor entre em contato comigo, para juntos tentarmos uma resposta dos bancos sobre essa inciompatibilidade.
Meu e-mail para contatos rodrigotere26@hotmail.com

Obrigado

MicheLL said...

Caro Alexandre Machado,
Acho que o motivo de alguns obterem exito ao remover o programa e outros nao está relacionado com a versao do GBuster. Instalei essa praga aqui a alguns dias. Achei mt interessante e começei a estudar como funcionava e td mais. Sempre deixei pra remover depois achei q ia ser facil, so entrar no modo seguro e pronto. Mas nao está sendo tao facil. Nessa ultima versao que o banco anda instalando nem essa ultima dia funciona de "negar" que o sistema acesse ele. Parece q msm em modo seguro ele faz um loop super rapido voltando todas suas configuraçoes (pra voce ver o abuso e o gasto de processamento indevido se for msm este o caso) ou seja, vc coloca que ninguem tem acesso para acessa-lo, nega para system e para local mas vc aplica e da confirma e tharam parece q o loop volta td ao normal. Agora para para pensar, Se isso acontece vamos dizer a cada 250 milisegundos, entao seria 4 vezes por segundo, 240 vezes por minuto,14400 vezes por hora, 345600 vezes por dia em um pc q fik ligado o dia todo. Não sei se é isso mas aparentemente é o q eu acho. Já tentei de td e nd acaba ocm essa praga. Estou estudando uma forma aqui. Qualquer novidade estarei acompanhando o bloq. Qualquer coisa me mande um e-mail: michellhenrique@live.it

Douglas said...

Alguém já experimentou usar o software "Unlocker" (download em http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe - apenas 255 KB)?

Ele permite apagar arquivos travados e bloqueados pelo sistema operacional (mesmo em uso e carregados).

Assim, após a sua instalação (desmarca todas as opções durante a instalação), rode o programa ("Start Unlocker Assistant") para ficar residente e apague as pastas em questão:
1) "c:\Arquivos de programas\GbPlugin" (ou "%programfiles%\GbPlugin");
2) "C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin" (ou "%allusersprofile%\Dados de aplicativos\GbPlugin");

Quando for tentar apagar determinada pasta ou arquivo, após o erro eventual do Windows Explorer (não foi possível apagar o arquivo pois ele está em uso e/ou faltam permissões), aparece uma tela do Unlocker.

Selecione a opção "Apagar" (no canto inferior esquerdo), selecione todos os processos na lista (são os processos que estão bloqueando a exclusão) e depois clique no botão "Desbloquear Todos".

Pode ser necessário realizar isso outras vezes, pois essa operação é feita para cada arquivo bloqueado, de forma individual.

O restante retiro de um post meu mesmo nesse link --> http://social.technet.microsoft.com/Forums/pt-BR/winxppt/thread/6bbe3f9f-7e3f-46dd-b192-d46ef83b4137

-----------------------------------
Use o programa UnLocker (http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe, apenas 255 KB) para apagar os arquivos que estão sendo bloqueados pelos processos do windows (não deixam apagar os arquivos em uso). Vá e apague a pasta "%ProgramFiles%\GbPlugin" ("C:\Arquivos de Programas\GbPlugin" no meu Windows XP SP3 PT-BR)

Utilize o software AutoRuns (era da SysInternals mas foi comprado/assciado a MS --> http://download.sysinternals.com/Files/Autoruns.zip, apenas 570 KB). Utilize o programa AutoRuns.exe e apague todas as entradas do registro consideradas inválidas ou maléficas, especialmente na aba Services, onde se lê GbPlugin e tecle "Del" para excluir.

Se não funcionar, é problema de permissão nas chaves do registro. Clique com o botão direito nesse serviço, escolha "jump to..." (ele vai abrir o registro na chave em questão). Dê permissão a "todos" usuários (adicionar / todos / acesso completo). Aí vc apaga essa chave do registro em particular. caso existam outras semelhantes, repita o procedimento.

Por fim utilize o CCleaner 2.20 (http://download.piriform.com/ccsetup220.exe, 3,10 MB) e o MVRegClean 5.9 (http://www.velasco.com.br/mvregclean59-br.zip, 1,36 MB) para dar uma geral no registro.

Recomendável fazer ambos os processos em modo seguro com rede (ou pelo menos modo seguro). A parte "com rede" auxilia na leitura dos fóruns e nos downloads dos arquivos.
-----------------------------------

Daniel said...

Meu que raiva! Eu tentei fazer de tudo, mas n consegui apagar nada, toda vez q eu deleto a chave ou tento mudar as permições, nada muda, logo qnd eu abro lo depois de apagar, lá está do jeito como era antes '-' Alguém me ajuda?
e-mail: kingdoomdisgaea@hotmail.com

Anonymous said...

Alguém sabe o que essa porcaria faz, além de ficar comendo recursos do sistema? Ele não fica consumindo recursos atoa, algo ele faz!

Braz said...

não consigo desinstalar esta praga. fiz o download do seu programa RemoveGBuster e o executei, mas quando reinicio a maquina o GBUSTER continua lá executando, ainda que consumindo menos recurso...

não consegui seguir os passos para desabilita-lo conforme vc menciona na sua pagina, pois os procedimentos iam dando diferente, a começar por logar o xp como administrador (desculpe minha ignorancia), dai depois de dizer para "copiar", apos desabilitar a segurança na propriedade da raiz c:\arquivos...|gbplugin, so me aparecia "TODOS"...fiquei com medo de excluir...

se o senhor tiver uma forma nova de excluir este programa, por favor me mande um email... brazdeaquinojr@gmail.com

muito obrigado

Anonymous said...

Vc ainda toma conta do site? Eu estava com esse treco aqui, mas um virus tinha entrado nele. Meu pc eatava parando de uma hora pra outra enquanto usava o firefox e as setas ficavam coloridas, ou melhor, aem cor ou amarelada, nem dava pra ver na tela, alem de travar sem parar e consumir cpu e memoria adoidado dando muitos erros. Descobri que tinha uns .rat no pc que eu apagava e voltavamvcom outros nomes na pasta sys32 e aquela 64 (no windows 7 64bits)
Eu fiz tudo misturado pra ver se resolve e aho que resolveu. Eu renomeei o arquivo gbpsv.exe para exe.old e criei um de texto, mas sem tirar a permissao. So que eu apaguei tudo que tinha do gbpsv em outros lugares e fui la no regristo e o apaguei brutamente por inteiro.
Agora vou tirar a permissao do de zero kb pois é melhor ainda. Acho que os .rat vao parar porque ele estava com virus com certeza