[MASOCH-L] Remover GBUSTER (Gás Pro)
Welkson Renny de Medeiros
welkson at focusautomacao.com.br
Fri Aug 1 18:29:09 -03 2008
É um caso a ser analisado.
Mas se ele tá tentando, não está conseguindo... e é melhor a máquina com
spyware do que com um treco desse que trava... hoje essa máquina não usa
mais internet, só para um sistema de som... se o spy não travar ela, não vai
me incomodar muito ;-)
Obrigado pelo aviso!
Abraço e bom fim de semana.
Welkson
----- Original Message -----
From: "Gelson Dias Santos" <gelson.santos at metaverse.com.br>
To: "Mail Aid and Succor, On-line Comfort and Help"
<masoch-l at eng.registro.br>
Sent: Friday, August 01, 2008 5:27 PM
Subject: Re: [MASOCH-L] Remover GBUSTER (Gás Pro)
Não querendo defender o gbuster, mas recentemente descobri que um
computador acessava o HD a cada poucos minutos. O task manager
mostrava que o gbuster executava alguma coisa no exato momento do
acesso ao disco, por isso eu achei que ele fosse o culpado. Pra
encurtar uma longa historia, havia um spyware no micro que o Avast não
havia detectado. O gbuster entrava em ação a cada vez que o spyware
tentava gravar algo no HD e aparentemente impedia, fazendo com que o
spyware tentasse novamente e ficasse nesse loop.
Eu não sei como o gbuster funciona e não gosto da instalação
compulsória que os bancos fazem, mas....a dica é: veja se não tem
algum spyware. O gbuster pode estar tentando avisar você!
Gelson
2008/8/1 Welkson Renny de Medeiros <welkson at focusautomacao.com.br>:
> Cara, show de bola, resolveu!
>
> As permissões o sistema deixou adicionar novamente na pasta... (no windows
> 2003 já aconteceu isso comigo, ele só refaz as permissões se você setar um
> novo proprietário)... depois fui no arquivo executável e removi as
> permissões dele... resetei, e o processo não carregou...
>
> Obrigadão e bom fim de semana !! :-)
>
> Welkson
>
>
>
>
> ----- Original Message ----- From: "Ricardo Lee" <ricardoslee at gmail.com>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Sent: Friday, August 01, 2008 4:14 PM
> Subject: Re: [MASOCH-L] Remover GBUSTER (Gás Pro)
>
>
> Acho que o problema é que você tirou as permissões da pasta, e não do
> programa.
>
> Quando você desmarca a opção Executar, ele não deixa vc executar a
> pasta, não o conteúdo dela, se você colocar o caminho completo do
> programa que está dentro desta pasta, ele é executado.
>
> Se tirar a permissão de execução do programa aí, mesmo que você
> coloque todo o caminho, ele não é executado.
>
> Desculpa se não fui claro no e-mail anterior.
>
> Para voltar as permissões para a pasta acho que só pelo console de
> recuperação. Ou com um CD linux do tipo SysRescueCD, que tem o módulo
> que permite a escrita em NTFS.
>
> Abc,
> Ricardo.
>
> 2008/8/1 Welkson Renny de Medeiros <welkson at focusautomacao.com.br>:
>>
>> Pensei que o Windows nem iria deixar eu remover as permissões da pasta...
>> mas ele deixou... não consigo mas nem abrir a pasta... reiniciei o
>> Windows
>> e
>> quando olhei nos processos... lá estava o gbpsv rodando... rodei um
>> sistema
>> chamado ibprocman para me dizer em que diretóri o processo se
>> encontrava...
>> e estava na pasta c:\arquivos de programas\gbpluin, que é exatamente a
>> pasta
>> que removi a permissão...
>>
>> Resumindo: não resolve! como o processo roda em conjunto com o
>> WinLogon.exe,
>> acredito que tem permissão a abrir qualquer pasta (conta SYSTEM).
>>
>> Alexandre, nos fóruns que li eu vi que realmente dar para resolver usando
>> um
>> cd de boot, a bronca é que esse pc fica em uma cidade longe...
>>
>> Fiz teste com o Unlocker, solicitei a exclusão no reinício, e novamente
>> não
>> funcionou...
>>
>> Trocinho chato esse tal de GBuster... se ele ficasse na memória sem
>> chatear,
>> até que eu deixaria... a bronca é que trava a máquina direto e nos logs
>> sempre mostra que foi ele.
>>
>> Obrigado pela atenção.
>>
>> Welkson Renny
>>
>> ----- Original Message ----- From: "Alexandre J. Correa - Onda Internet"
>> <alexandre at onda.psi.br>
>> To: "Mail Aid and Succor, On-line Comfort and Help"
>> <masoch-l at eng.registro.br>
>> Sent: Friday, August 01, 2008 2:52 PM
>> Subject: Re: [MASOCH-L] Remover GBUSTER (Gás Pro)
>>
>>
>> caso nao de certo a dica que Ricardo disse, tenta ligar o hd dessa
>> maquina em outra maquina como secundario e apaga os arquivos.. depois eh
>> soh limpar o registro
>>
>> Welkson Renny de Medeiros wrote:
>>>
>>> Vou tentar isso!
>>>
>>> A bronca é que os caras usam ele integrado ao WinLogon.exe do Windows...
>>> tudo que você tenta é negado... até em modo de segurança... mas vou
>>> tentar
>>> fazer isso.
>>>
>>> Obrigado pela atenção.
>>>
>>> Welkson
>>>
>>> ----- Original Message ----- From: "Ricardo Lee" <ricardoslee at gmail.com>
>>> To: "Mail Aid and Succor, On-line Comfort and Help"
>>> <masoch-l at eng.registro.br>
>>> Sent: Friday, August 01, 2008 10:55 AM
>>> Subject: Re: [MASOCH-L] Remover GBUSTER (Gás Pro)
>>>
>>>
>>> O que dá para fazer no Windows também é:
>>>
>>> localize o programa e entre nas propriedades dele;
>>> desabilite a execução em security por TODOS os usuários;
>>> dê um boot;
>>> apague o arquivo;
>>> limpe qualquer sujeira do registro.
>>>
>>> É assim que eu faço quando tem um danado que não quer ser apagado.
>>>
>>> Abc,
>>> Ricardo.
>>>
>>> 2008/7/31 Gabriel Zucco Taú <gtau at terra.com.br>:
>>>>
>>>> Você leu todos os posts do fórum? Tem um link para um site que ensina
>>>> como
>>>> tirar manualmente....
>>>>
>>>> No ultimo post do site tem:
>>>>
>>>> Zeka said...
>>>>
>>>> Caros,
>>>>
>>>> Tive o GB Plugin (aka MERDA como anteriormente citado) diversas
>>>> vezes instalado no meu micro, pois acesso o site da CEF e do BB.
>>>> Todas as vezes anteriorer consegui remover "na mão" com um pouco de
>>>> trabalho. Mas após uma formatação rotineira, há alguns meses fui
>>>> acessar o site da CEF pelo IE, e o plugin foi instalado. E pude
>>>> notar que era uma versão mais atualizada. Isso porque mesmo
>>>> instalando o serviço GbpSv.exe, anteriormente eu conseguia
>>>> parar/matar o serviço sem problemas. Mas nesta versão, o serviço foi
>>>> criado de tal maneira que nem o Admin tem permissão para parar o
>>>> serviço (vi isso pelo sc.exe ou psservice.exe). Mesmo matando ele
>>>> com o ProcessExplorer ele reaparece um segundo depois, chamado
>>>> talvez pelo WinLogon.
>>>>
>>>> Amigos, sou um cara que fica online 100% do tempo e há 3 anos não
>>>> utiliza antivirus. Sou esse tipo de pessoa. Mas nesta versão do
>>>> MERDA, usei o HijackThis, o Autoruns, entrei no modo de segurança,
>>>> tentei deletar arquivos no boot, enfim, por todos meios até então
>>>> conhecidos e nada. Estava realmente puto com a "invasão de
>>>> domicílio" ocorrina no meu PC!
>>>>
>>>> Ontem resolvi quebrar a cabeça mais um pouco, dei uma lida no blog,
>>>> pesquisei na internet e acabei caindo no Avenger
>>>> (http://swandog46.geekstogo.com/avenger2/avenger2.html). No Avenger,
>>>> você cria um script para a exclusão/modificação de arquivos, chaves
>>>> do registro, serviços etc, e a partir dele ele gera um executável
>>>> que roda no boot, com as permissões que nem você (o Admin) tem.
>>>> Fiquei meia hora gerando o script com as chaves do registro, e
>>>> executei o programa totalmente incrédulo. Após uns 3 boots, o XP
>>>> subiu, apertei CTRL+ALT+DEL, e tive a grata surpresa de não ver o
>>>> MERDA.
>>>>
>>>> Então, SOLUÇÃO ATUALIZADA PARA REMOVER O G-BUSTER BROWSER DEFENSE é
>>>> utilizar o AVENGER. Eu enviaria o meu script também se estivesse com
>>>> ele aqui, mas qualquer um com bom senso pode criar o script.
>>>>
>>>> Outra recomentação, utilizem o Firefox para acessar os sites dos
>>>> bancos, pois na versão Firefox, o plugin é instalado no âmbito do
>>>> browser, e não no sistema.
>>>>
>>>> July 23, 2008 1:40 PM
>>>>
>>>>
>>>>
>>>> <http://insanebits.blogspot.com/2007/04/g-buster-browser-defense-analysis-and.html?showComment=1216831200000#c5093171894688600058>
>>>>
>>>> Ou seja é possivel remover remotamente usando o avenger .
>>>> o site em questão (em inglês) é:
>>>>
>>>>
>>>>
>>>> http://insanebits.blogspot.com/2007/04/g-buster-browser-defense-analysis-and.html
>>>>
>>>> []'s
>>>> Gabriel Taú
>>>>
>>>>
>>>> Welkson Renny de Medeiros wrote:
>>>>>
>>>>> Encontrei muitos links sobre o assunto, e inclusive um programa de
>>>>> remoção... mas não funciona.
>>>>>
>>>>> Nesse forum eles passam o link para um programa chamada "KillGBIEH30",
>>>>> mas
>>>>> o arquivo não está mais disponível.
>>>>>
>>>>> Vi alguns soluções usando cd de boot, mas queria achar uma forma de
>>>>> resolver se possível remotamente...
>>>>>
>>>>> Welkson
>>>>>
>>>>> ----- Original Message ----- From: "gtau" <gtau at terra.com.br>
>>>>> To: "masoch-l" <masoch-l at eng.registro.br>
>>>>> Sent: Thursday, July 31, 2008 3:15 PM
>>>>> Subject: Re: [MASOCH-L] Remover GBUSTER (Gás Pro)
>>>>>
>>>>>
>>>>> Segue resposta no fórum:
>>>>>
>>>>> http://linhadefensiva.uol.com.br/forum/index.php?showtopic=29643
>>>>>
>>>>> []´s
>>>>> Gabriel Taú
>>>>> De:masoch-l-bounces at eng.registro.br
>>>>>
>>>>> Para:"Mail Aid and Succor,On-line Comfort and Help"
>>>>> masoch-l at eng.registro.br
>>>>>
>>>>> Cópia:
>>>>>
>>>>> Data:Thu, 31 Jul 2008 15:09:42 -0300
>>>>>
>>>>> Assunto:[MASOCH-L] Remover GBUSTER (Gás Pro)
>>>>>
>>>>>> Pessoal,
>>>>>>
>>>>>> Só por curiosidade... sabem como remover esse GBuster? (ferramenta
>>>>>> "anti-virus" criada pela Gás Pro e utilizada por vários bancos aqui
>>>>>> no
>>>>>> Brasil para "proteção" dos usuários).
>>>>>>
>>>>>> Não tem desinstalador, não dar para apagar o arquivo nem em modo de
>>>>>> segurança... já tentei contato com a Gás e não obtenho resposta.
>>>>>>
>>>>>> Tem umas máquinas travando, e sempre mostra no log que o motivo foi o
>>>>>> tal
>>>>>> gbpsv.
>>>>>>
>>>>>> --
>>>>>> Welkson Renny de Medeiros
>>>>>> Focus Automação Comercial
>>>>>> Desenvolvimento / Gerência de Redes
>>>>>> welkson at focusautomacao.com.br
>>>>>>
>>>>>>
>>>>>>
>>>>>> Powered by ....
>>>>>>
>>>>>> (__)
>>>>>> \\\'',)
>>>>>> \/ \ ^
>>>>>> .\._/_)
>>>>>>
>>>>>> www.FreeBSD.org
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> E-mail verificado pelo Terra Anti-Spam.
>>>>>> Para classificar esta mensagem como spam ou não spam, visite
>>>>>>
>>>>>>
>>>>>>
>>>>>> http://mail.terra.com.br/cgi-bin/reportspam.cgi?+_d=SCYxNDI4OTc1I3Blcm0hdGVycmEmMSwxMjE3NTI3ODE1LjE1NzY3LjMyMDg1LmxhZGlndWUuaHN0LnRlcnJhLmNvbS5iciwzNjQ3
>>>>>> Verifique periodicamente a pasta Spam para garantir que apenas
>>>>>> mensagens
>>>>>> indesejadas sejam classificadas como Spam.
>>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> E-mail verificado pelo Terra Anti-Spam.
>>>>> Para classificar esta mensagem como spam ou não spam, visite
>>>>>
>>>>>
>>>>>
>>>>> http://mail.terra.com.br/cgi-bin/reportspam.cgi?+_d=SCYxNDI4OTc1I3Blcm0hdGVycmEmMSwxMjE3NTMzOTI1LjYxNzIxMy4xMDYyNi5idXJ1bWEuaHN0LnRlcnJhLmNvbS5iciw0OTUx
>>>>> Verifique periodicamente a pasta Spam para garantir que apenas
>>>>> mensagens
>>>>> indesejadas sejam classificadas como Spam.
>>>>>
>>>>>
>>>>>
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list