Como remover o G-Buster Browser Defense/GbPlugin na unha (Sistemas Windows de 64 bits)
Infelizmente os correntistas de muitos dos grandes bancos brasileiros
que realizam operações pela Internet são obrigados a conviver com este
peculiar software, que na minha opinião traz mais problemas do que seria
tolerável em um ambiente de produção. Veja aqui como removê-lo "na
unha" do seu Windows e também formas de contornar a obrigatoriedade da
sua utilização.
EDIT 06/04/2015: este guia foi atualizado para contemplar as
versões de 64 bits do Windows, bem como também foi publicado um
complemento para as edições de 32 bits do sistema operacional.
11/09/2015: confira esta outra aproximação para a remoção, a qual utiliza o Ubuntu. Os procedimentos também foram validados para o Windows 10.
18/03/2016: atendendo a pedidos, confira o guia Criando uma máquina virtual Windows para acesso aos bancos.
19/05/2017: veja como criar e configurar uma máquina virtual Linux para acesso aos bancos.
GbPlugin, o serviço imparável! |
Sou correntista do Banco Itaú desde
2003. Recentemente precisei efetuar uma operação pela Internet com certa
urgência e desta forma tive que me submeter à instalação do software
Guardião Itaú 30 horas, em cujo processo não faz qualquer menção do que
está sendo efetivamente instalado – muito embora eu já soubesse do que
se tratava, acredito que a maioria esmagadora dos utilizadores do
serviço não tem a mínima ideia. Aliás, se eu mesmo tivesse ideia da
dureza que seria a sua remoção talvez teria preferido ir até uma agência
física e encarar as tradicionais e intermináveis filas... lembrando
sempre que não é apenas o Itaú que utiliza tal tecnologia.
Mas o tal do G-Buster/GbPlugin é tão ruim assim?
Bem, a Internet está repleta de relatos e reclamações a respeito deste
software - basta cinco minutos de pesquisa no Google. Pessoalmente eu
acho inaceitável ter em um sistema de produção um software/serviço
instalado com tamanha má reputação e que ainda por cima não permite ser
desinstalado ou ter o seu serviço parado e desativado, o que lembra
bastante o modus operandi de toda a sorte de pragas virtuais, tais como
vírus e spywares. Mesmo desinstalando manualmente o Guardião 30 horas, o
GbPlugin continua no seu sistema livre, leve e solto!
Vendo com mais detalhes o status deste serviço, é possível observar que
ele não pode ser parado. Nem mesmo o comando TASKKILL (que permite
“matar” processos no Windows) é capaz de pará-lo: ele sobe novamente
logo após ser interrompido!
Observe o detalhe: NOT_STOPPABLE |
Removendo o intruso
Neste caso, somente indo por força bruta mesmo. Como o serviço fica
sempre residente em memória não há muito o que pode ser feito em uma
execução normal do Windows. Desta forma, o primeiro passo é iniciar o
Windows no modo de segurança – caso você utilize o Windows 8.X, veja aqui como efetuar o procedimento.
Estando no modo de segurança, navegue até a pasta C:\Program Files (x86)
e delete sem dó a subpasta Gbplugin. Caso o seu Windows seja em
português a pasta é a C:\Arquivos de Programas (x86). Feito isto,
pode-se reiniciar o Windows normalmente: você perceberá que o serviço do
GpPlugin não mais foi iniciado!
EDIT 21/10/2015: caso a pasta não possa ser excluída por motivo de permissões, experimente renomeá-la e depois tente novamente.
Die motherfucker, die! |
O serviço não está mais residente em memória, mas ainda faltam alguns procedimentos para nos livrarmos totalmente do intruso. Lembro que os procedimentos citados aqui foram feitos no Windows 8.1 Update 2 de 64 bits, mas funcionarão sem problemas no Windows 10, 7 e Vista também de 64 bits (veja aqui o complemento para os sistemas de 32 bits). Também não tenho como me responsabilizar caso eles danifiquem algo no seu Windows – faça por sua conta e risco!
Fazendo a faxina
O primeiro passo é excluir manualmente o serviço do GbPlugin. Para
tanto, acesse o Editor de Registro (regedit.exe) como administrador e
navegue pelas chaves
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Localize a chave
GbpSv e a delete. Mantenha o Editor de Registro aberto pois ele será
novamente necessário mais tarde.
Agora vamos localizar e remover todos os traços deixados no Windows. Primeiramente acesse as Opções de Pasta no Windows Explorer e configure para que sejam exibidas pastas ocultas e as protegidas pelo sistema operacional (você pode desfazer isto depois se desejar).
Feito isto, acesse a pasta C:\ProgramData e exclua as subpastas GbPlugin e GAS Tecnologia.
Volte ao Editor de Registro.
Selecione o item Computador e tecle Ctrl + F para abrir a caixa de
busca. Procure por gbplugin e apague sem dó o que for localizado (dica:
para resumir a busca após apagar uma chave pressione F3). Em seguida
faça o mesmo procedimento para a palavra gbieh.
Limpando manualmente o registro do Windows |
Agora é só reiniciar o Windows para finalizar o processo!
Convivendo com o inimigo
Bem, particularmente sou completamente avesso a ter que ir a uma agência
física para realizar operações bancárias (obviamente excetuando-se
saques), tanto que meço a qualidade de uma determinada instituição
bancária pelo número de vezes que tenho que ir em uma agência para
resolver problemas ou fazer operações. Desta forma, enquanto as ricas
instituições bancárias brasileiras não deixarem de utilizar meios que
transmitem uma falsa sensação de segurança (e com as complicações
decorrentes), infelizmente temos que conviver com o famigerado GbPlugin.
O que posso dizer neste caso é para jamais instalar algum software de
qualquer banco no sistema operacional de um equipamento de produção, ou
ainda em algum que tenha dados confidenciais. Recomendo neste caso criar
uma máquina virtual (com a ajuda do VirtualBox, VMWare ou qualquer
outra solução disponível) com um Windows somente para a instalação das
tralhas requeridas pelos bancos, e fazer as operações bancárias através
desta máquina virtual. Manter um PC físico dedicado para tal tarefa
também é uma opção, sendo uma utilização bastante honrosa para
equipamentos mais antigos.
Com o DVD ou pendrive do Ubuntu em mãos, inicialize o PC através do mesmo. O primeiro passo é escolher a linguagem da interface:
Em seguida selecione a primeira opção.
Após a carga do sistema, eis a sua interface gráfica. Abra o gerenciador de arquivos:
No gerenciador, localize na lista a
partição que contém a instalação do Windows. Felizmente o driver NTFS-3G
(que permite ao Linux também escrever em partições NTFS, visto que o
driver nativo do seu Kernel acessa tais partições no modo somente
leitura) está bastante maduro e funciona maravilhosamente bem.
Para os Windows de 64 bits abra a
pasta Program Files (x86), nos de 32 bits a pasta é Program Files e no
caso do Windows XP em português é Arquivos de Programas. Feito isto mate
sem dó o diretório GbPlugin com o comando Shift + Del:
Mande também para o limbo as pastas Diebold e GAS Tecnologia.
No caso dos Windows 64 bits, acesse também a pasta Program Files e delete o diretório Diebold.
Vamos prosseguir com a limpeza.
Volte para a raiz da partição, acesse o diretório ProgramData e delete
as pastas GAS Tecnologia e GbPlugin.
Feito isto reinicie o PC, carregue
normalmente o Windows e abra o console de serviços: o Gbp Service deverá
estar inativo. Maravilha!
Como diria o saudoso mestre Alborghetti: vai pro inferno satanás! |
Da mesma forma o serviço do Warsaw (que é incluído nas versões mais recentes do G-Buster) também deverá estar mortinho da silva:
Falta agora nos livrarmos dos serviços em si: para tanto, abre o regedit.exe:
Navegue até a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services e delete a chave GbpSv.
Importante: não confunda com a chave gpsvc, a qual é um componente
legítimo do Windows e sua exclusão poderá causar danos ao sistema!
Ainda dentro da chave Services, localize as chaves Warsaw Technology e Warsaw_PP e também as exclua.
A seguinte mensagem de erro pode ser exibida ao excluir as chaves:
Caso isto ocorra, acesse as
propriedades da chave problemática (com o botão direito) e ajuste as
suas permissões conforme o mostrado abaixo:
As chaves agora poderão ser
excluídas sem problemas. Terminada a exclusão das mesmas, é hora de
limparmos o registro do Windows conforme foi mostrado nas postagens
anteriores. Este procedimento é manual e leva certo tempo, porém é
possível pular esta etapa com a ajuda do freeware CCleaner. Instale-o e
acione a função de procurar erros no registro, que deverá localizar
várias referências ao G-Buster e Warsaw:
Acione o botão para o software
remover as chaves problemáticas (caso prefira realize um backup das
chaves antes de apaga-las, opção oferecida pelo próprio CCleaner). Mesmo
que o software eventualmente não localize todas as chaves relacionadas
ao G-Buster não há maiores problemas para o funcionamento do Windows,
cujo registro é notoriamente conhecido por acumular bastante lixo.
Bônus aos clientes do Itaú
Nos comentários das postagens
anteriores alguns leitores me sugeriram que eu testasse este aplicativo
disponibilizado pelo Banco Itaú:
Pois bem, ele cria um ambiente dedicado para acesso ao banco o qual independe de navegadores e plug-ins. Muito interessante.
Nas minhas simulações ele funcionou
como o esperado e pelo menos a princípio não instala nenhum outro
software sem o conhecimento do utilizador. Porém vou continuar o
monitorando e em caso da menor suspeita que seja vocês serão os
primeiros a saber, podem ficar tranquilos.
Windows 10 e 8.X
No caso do Windows 10, 8.1 e 8, na tela inicial que é exibida a partir da mídia de instalação selecione “Reparar o computador”.
Agora selecione a segunda opção.
Clique em “Opções avançadas”.
Finalmente selecione o Prompt de comando.
Windows Vista e 7
Na tela inicial clique em “Reparar o computador”.
A instalação atual deverá ser reconhecida. Mantenha a primeira opção selecionada e clique em Avançar.
Agora clique em Prompt de comando.
Windows XP
O console de recuperação do Windows
XP infelizmente não permite executar comandos fora do diretório do
Windows (os comandos CD.. e CD\ não funcionam).
Infelizmente o console de reparação do XP é um pouco mais limitado |
Desta forma, será necessária uma mídia de instalação de alguma outra
versão do Windows para inicializar o PC - aqui utilizei a mídia do
Windows 7 de 32 bits. Ao entrar na opção “Reparar o computador” a
instalação atual do XP não será reconhecida por ser de uma versão
diferente da presente na mídia, mas não tem problema: selecione a
primeira opção e clique em Avançar.
Clique em Prompt de comando.
Agora selecione a unidade C: para acessar a partição onde se encontra o Windows XP.
Prosseguindo
Aqui você deverá estar com o Prompt
de comando aberto, independente da versão do Windows. Agora acesse a
partição onde o Windows está instalado - geralmente o XP e o Vista ficam
na C:, enquanto que o 7 e o 8.X normalmente são acessados pela D: em
função destes sistemas utilizarem uma pequena partição de boot a qual é
reconhecida como se fosse a C: pelo utilitário de reparação.
Agora digite os seguintes comandos:
CD “PROGRAM FILES” (no Vista, 7 e 8.X mesmo que sejam em português), ou
CD “ARQUIVOS DE PROGRAMAS” (no XP)
CD GBPLUGIN
DEL . (confirmando o comando)
Mandando o GbPlugin para o limbo |
Nos Windows de 32 bits o G-Buster instala também um driver, o famigerado gbpkm.sys. Vamos também manda-lo para o espaço:
CD\
CD WINDOWS
CD SYSTEM32
CD DRIVERS
DEL GBPKM.SYS
Quem disse que o DOS morreu? :p |
Agora você pode fechar o Prompt de comando e reiniciar o equipamento normalmente, sem efetuar o boot pela mídia de instalação.
Prosseguindo com a faxina
Após o carregamento do Windows verifique que o Gbp Service não foi iniciado:
Morre diabo! |
Temos agora que configurar o Windows
Explorer para mostrar também arquivos e pastas ocultas, bem como também
os protegidos pelo sistema operacional. Isto é feito nas Opções de
Pasta.
Acesse agora o diretório C:\Arquivos de Programas e mande para o limbo
as pastas GbPlugin, GAS Tecnologia e Diebold – esta contém o Warsaw,
outro pedaço peculiar de software que é instalado pelo G-Buster.
Caso não seja possível excluir a pasta do Warsaw, acesse o Gerenciador
de tarefas do Windows e finalize o processo core.exe (pode haver mais de
uma instância dele, neste caso finalize todas). Agora será possível
excluir a dita cuja.
Navegue até o diretório C:\ProgramData e mate sem dó as pastas GAS Tecnologia e GbPlugin.
Execute agora o regedit.exe como
administrador e navegue até a chave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Delete as chaves
GbpSv e GbpKm para remover definitivamente os serviços criados pelo
G-Buster.
Agora tecle Ctrl + F para abrir a
caixa de busca. Procure por gbplugin e apague sem dó o que for
localizado (dica: para resumir a busca após apagar uma chave pressione
F3). Em seguida faça o mesmo procedimento para a palavra gbieh.
Opcionalmente você também pode utilizar o CCleaner para complementar a limpeza.
Considerações finais
Este artigo representa a minha opinião apenas e o direito de expressá-la
é resguardado pela Constituição Brasileira. Caso alguma das honradas
instituições bancárias deste país não fique satisfeita com o conteúdo
deste texto, recomendo investir um pouco mais em tecnologia e utilizar
soluções que sejam mais limpas e elegantes – da mesma forma que eu
critico, também elogio quando algo os mereça.
Ao pessoal do Banco Itaú: o nome da vossa instituição foi citado apenas
pelo fato de ter sido o início de todo o processo. Lembro-vos que sou
correntista desde 2003 e se me encherem o saco posso facilmente rever
esta situação. Aliás, um dos motivos de eu ter feito uma conta neste
banco era o fato do mesmo, até algum tempo atrás, ter o sistema de home
banking que eu considerava o mais limpo e eficiente do país – até também
caírem na vala comum. Vejam senhores, ainda há tempo de rever certas
decisões e fazerem milhares de clientes felizes!