Como remover o G-Buster Browser Defense/GbPlugin na unha (Sistemas Windows de 32 bits)

O tutorial anterior de como remover o famoso GbPlugin (agora atualizado para englobar as versões de 64 bits do Windows) é um enorme sucesso de público e crítica deste humilde espaço, com muitos e valiosos feedbacks, os quais foram a minha grande motivação para produzir este complemento. Desta forma, caso você seja utilizador de uma versão de 32 bits do Windows e queira se ver livre desde peculiar software está convidado a conferir este complemento!

EDIT 19/08/2015: adicionados os procedimentos para o Windows 10.
11/09/2015: confira esta outra aproximação para a remoção, a qual utiliza o Ubuntu. Os procedimentos também foram validados para o Windows 10.

O meu ambiente de testes

O problema

Diferentemente do que ocorre com as edições de 64 bits, nos Windows de 32 bits não é possível excluir os arquivos referentes ao serviço do GbPlugin nem mesmo no modo de segurança. Desta forma, outra aproximação é necessária.



Observação importante: embora eu tenha efetuado testes intensivos e não tenha verificado problemas, da mesma forma que alertei no tutorial anterior siga por sua conta e risco, não posso me responsabilizar caso ocorram problemas no seu Windows, ok? Também aproveito para reiterar aqui que não é apenas o Itaú que utiliza esta tecnologia.

Prosseguindo, para você seguir os passos deste tutorial será necessário ter em mãos uma mídia de instalação da versão do Windows que você utiliza, esteja ela em um DVD ou então em um pendrive (confira aqui como criar um pendrive com a instalação do Windows a partir de uma imagem ISO) e inicializar o equipamento a ser manipulado a partir desta mídia.

Windows 10 e 8.X

No caso do Windows 10, 8.1 e 8, na tela inicial que é exibida a partir da mídia de instalação selecione “Reparar o computador”.


Agora selecione a segunda opção.


Clique em “Opções avançadas”.


Finalmente selecione o Prompt de comando.


Windows Vista e 7

Na tela inicial clique em “Reparar o computador”.


A instalação atual deverá ser reconhecida. Mantenha a primeira opção selecionada e clique em Avançar.


Agora clique em Prompt de comando.


Windows XP

O console de recuperação do Windows XP infelizmente não permite executar comandos fora do diretório do Windows (os comandos CD.. e CD\ não funcionam). 

Infelizmente o console de reparação do XP é um pouco mais limitado

Desta forma, será necessária uma mídia de instalação de alguma outra versão do Windows para inicializar o PC - aqui utilizei a mídia do Windows 7 de 32 bits. Ao entrar na opção “Reparar o computador” a instalação atual do XP não será reconhecida por ser de uma versão diferente da presente na mídia, mas não tem problema: selecione a primeira opção e clique em Avançar.


Clique em Prompt de comando.


Agora selecione a unidade C: para acessar a partição onde se encontra o Windows XP.


Prosseguindo

Aqui você deverá estar com o Prompt de comando aberto, independente da versão do Windows. Agora acesse a partição onde o Windows está instalado - geralmente o XP e o Vista ficam na C:, enquanto que o 7 e o 8.X normalmente são acessados pela D: em função destes sistemas utilizarem uma pequena partição de boot a qual é reconhecida como se fosse a C: pelo utilitário de reparação.

Agora digite os seguintes comandos:

CD “PROGRAM FILES” (no Vista, 7 e 8.X mesmo que sejam em português), ou
CD “ARQUIVOS DE PROGRAMAS” (no XP) 
CD GBPLUGIN 
DEL . (confirmando o comando)

Mandando o GbPlugin para o limbo

Nos Windows de 32 bits o G-Buster instala também um driver, o famigerado gbpkm.sys. Vamos também manda-lo para o espaço:

CD\
CD WINDOWS
CD SYSTEM32
CD DRIVERS
DEL GBPKM.SYS

Quem disse que o DOS morreu? :p

Agora você pode fechar o Prompt de comando e reiniciar o equipamento normalmente, sem efetuar o boot pela mídia de instalação.

Prosseguindo com a faxina

Após o carregamento do Windows verifique que o Gbp Service não foi iniciado:

Morre diabo!

Temos agora que configurar o Windows Explorer para mostrar também arquivos e pastas ocultas, bem como também os protegidos pelo sistema operacional. Isto é feito nas Opções de Pasta.


Acesse agora o diretório C:\Arquivos de Programas e mande para o limbo as pastas GbPlugin, GAS Tecnologia e Diebold – esta contém o Warsaw, outro pedaço peculiar de software que é instalado pelo G-Buster.


Caso não seja possível excluir a pasta do Warsaw, acesse o Gerenciador de tarefas do Windows e finalize o processo core.exe (pode haver mais de uma instância dele, neste caso finalize todas). Agora será possível excluir a dita cuja.


Navegue até o diretório C:\ProgramData e mate sem dó as pastas GAS Tecnologia e GbPlugin.


Execute agora o regedit.exe como administrador e navegue até a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Delete as chaves GbpSv e GbpKm para remover definitivamente os serviços criados pelo G-Buster.


Agora tecle Ctrl + F para abrir a caixa de busca. Procure por gbplugin e apague sem dó o que for localizado (dica: para resumir a busca após apagar uma chave pressione F3). Em seguida faça o mesmo procedimento para a palavra gbieh.


Opcionalmente você também pode utilizar o CCleaner para complementar a limpeza.

Conclusão

Espero que este guia lhe seja útil! No mais, as recomendações e críticas que eu havia feito no tutorial anterior continuam válidas: instale os softwares requeridos pelos bancos somente em uma máquina virtual ou em um PC dedicado para tal tarefa, jamais em um equipamento de produção e/ou que contenha dados confidenciais.

Veja também:

Comentários

  1. Muito obrigado pelas dicas! funcionam mesmo!
    Muito obrigado!
    Ronny

    ResponderExcluir
  2. Michael Rigo!
    Passei mais de 2 horas tentando encontrar um tutorial decente para conseguir fazer esse procedimento com sucesso.
    O meu Win 7 é de 32Bits.
    Esse complemento foi fundamental.
    Parabéns pela profundidade e conhecimento no assunto.
    Tá cheio de "Zé" por aí que dá dicas infundadas e só faz a gente perder tempo.
    Excelente!!!!!!

    ResponderExcluir
  3. Aquí funcionou até no preview do windows 10, thanks, vou guardar essa dica inteligente.

    ResponderExcluir
    Respostas
    1. Bom saber que funciona também no Windows 10. Muito obrigado!

      Excluir
  4. Cara, muito obrigado pelo tutorial! Funcionou e finalmente me livrei desta praga Gbplugin da SAS! Que a GAS, Microsoft e Bancos vá espionar a casa do c....!!!!
    Desculpe o desabafo

    ResponderExcluir
    Respostas
    1. Hehe, mas neste caso 99,9% da culpa é dos bancos mesmo.

      Excluir
  5. Caro, excelente. Apenas sugiro, alternativamente, usar um disco de Linux (ie. Ubuntu, Lubuntu, etc) em vez do Ruimdows para fazer o boot de segurança. Parabéns.

    ResponderExcluir
    Respostas
    1. Obrigado! Sem dúvida seria outra aproximação válida, ainda mais que o NTFS-3G já está bastante maduro.

      Excluir
  6. Excelente explicação e realmente funciona muito bem apesar de ser bem trabalhosa, mas o que importa é que funcione. Dentro do regedit fiquei na dúvida se depois de eliminar as chaves contendo GBPLUGIN e GBIEH eu talvez também devesse eliminar as chaves contendo GBPKM?

    ResponderExcluir
    Respostas
    1. Obrigado! A princípio sim, porém recomendo verificar no campo ImagePath (quando existente) se a chave faz referência a algum componente do G-Buster antes de apagar.

      Excluir
  7. Mucha gracias me ayudo Windows 7 ultímate, instalación proveniente banco de Venezuela

    ResponderExcluir
    Respostas
    1. Gracias amigo! Saludos a todos en Venezuela!

      (Não sabia que o G-Buster já tinha atravessado fronteiras e estava travando computadores também fora do Brasil... impressionante!)

      Excluir
  8. Parabéns pela inciativa que certamente vai beneficiar à muita gente. Fantástico o seu tutorial Como remover o G-Buster Browser Defense/GbPlugin. Pude enfim me livrar dessa praga no Windows 7 (64 bits), agora já rodando o Windows 10. Contudo verifiquei a existência da mesma praga do sistema bancário (BB, CEF, Uni) em um outro laptop (de meu pai) já atualizado para Windows 10 a partir do Windows 7 (32 bits). O tutorial acima se aplica ao Windows 8/7. Alguma dica sobre como se livrar dess praga no Windows 10 (32 bits). Grato e parabéns novamente!

    ResponderExcluir
    Respostas
    1. Obrigado! A princípio os procedimentos mostrados para o Windows 8.X também se aplicam ao 10.

      Excluir
    2. Ok! Acontece que não disponho da mídia de instalação do W10. Foi baixado via Internet. Há alguma alternativa?

      Excluir
    3. Pode ser utilizado a mídia de instalação de versões anteriores tais como o Windows 8.X e o 7 sem problemas. Testei aqui. :)

      Excluir
  9. Excelente. Grande iniciativa. Grato pela atenção!!!

    ResponderExcluir
  10. Muito bom seu tutorial. Fiz o procedimento de outra forma e obtive o mesmo resultado. Ao invés de usar o dvd do Windows, usei o Boot CD que é uma coletânea de ferramentas similar ao Hiren's Boot CD. Acessei a partição do Windows e excluí as famigeradas pastas dos famigerados GBplugin e Warsaw.

    ResponderExcluir
  11. Só esqueci de citar que fiz o procedimento no Windows 10 e funcionou perfeitamente. Depois executei o regedit pelo próprio Windows e exclui as referências de ambos. Se alguém quiser baixar o Ultimate DLCD Boot o link é esse : http://www.ratondownload.com.br/2015/03/ultimate-dlcd-boot-2014.html

    ResponderExcluir
    Respostas
    1. Agradeço pela ótima contribuição! Também é possível utilizar um Linux LiveCD para o procedimento, tal como o Ubuntu. Um grande abraço!

      Excluir
  12. Infelizmente, aqui não funcionou. Ao tentar deletar a pasta, em modo de segurança, o computador alega um erro, dizendo que preciso de privilégios de Administrador para tal, ainda que eu seja!

    ResponderExcluir
    Respostas
    1. Nos Windows 32 bits entrar pelo modo de segurança não funciona mesmo. Neste caso é necessário inicializar o PC pela mídia de instalação do Windows como o mostrado nesta postagem ou então por outro sistema de boot alternativo: http://www.michaelrigo.com/2015/09/como-remover-gbuster-na-unha-linux.html

      Excluir
  13. Michel Rigo, eu continuarei podendo acessar minhas contas nos sites do bancos após removê-lo ou melhoro o desempenho mas também perco o acesso? Fico no aguardo para decidir se removo.

    ResponderExcluir
    Respostas
    1. Logicamente que se o G-Buster for removido o acesso aos bancos que o utilizam não será possível. Neste caso é melhor dedicar uma máquina virtual para tal tarefa ou mesmo um PC mais antigo.

      Excluir
  14. Obrigado meu amigo! Ajudou bastante aqui cara. Achei que teria que formatar essa merda. Parabéns pelo trabalho!

    ResponderExcluir
  15. deu certo mesmo cara, parabens

    ResponderExcluir
  16. Uma dúvida, o que esse arquivo causa de danos além de comer o consumo da CPU?
    No meu caso antes de encontrar essa solução aqui pro Windows 10, eu defini a prioridade como "muito baixa" e assim ele parou de sugar...

    ResponderExcluir
    Respostas
    1. No lado do hardware não há maiores danos a não ser os decorrentes do maior uso da CPU, o que gera aquecimento e no caso de portáteis pode reduzir a autonomia da bateria. A grande questão está no software, onde o G-Buster é notoriamente conhecido por ocasionar problemas no Windows e no Chrome.

      Excluir
  17. Olá, acabei de realizar o procedimento no Windows 10 64bits e funcionou perfeitamente! Muito obrigado!

    ResponderExcluir
  18. Você tem alguma dica ou comentário sobre o processo WMI Provider Host. Vejo este processo de tempos em tempos consumindo bastante processamento de minha CPU.

    ResponderExcluir
  19. Fantástico.

    Circe Aguiar

    ResponderExcluir
  20. Cara eu te amo, você não tem noção de como meus jogos estavam lentos por causa da praga.

    ResponderExcluir
    Respostas
    1. Não duvido, visto a fama de devorador de CPU que o G-Buster possui.

      Excluir
  21. Não consigo acessar as pastas. Aparece a mensagem no prompt " o sistema nao pode encontrar o caminho especificado" . Pesquisei na internet e não consigo sair da etapa do prompt. Estou usando o windows 10 versão de novembro 32 bits

    ResponderExcluir
    Respostas
    1. Veja se a partição de sistema não foi montada em outra letra, tal como D: ou E:. No Windows 10 também pode ser necessário desativar o recurso de inicialização rápida:
      http://www.michaelrigo.com/2015/11/como-desabilitar-recurso-inicializacao-rapida.html

      Excluir
  22. Michael Rigo, faço manutenção à distância aqui de Curitiba e tenho 2 dúvidas:
    (Antes de tudo, parabéns pelos tutos q tenho acompanhado e pelo "sabão" q deu no Itaú, no tuto de 64 bits. É por aí.)

    1-Há pouco fiz o passo-a-passo em um 7ultimate-64 (no RJ) e nos finalmente, após usar o ccleaner, qd reiniciou começou a restauração do sistema. Saberia dizer-me o q poderia ter acontecido? (a cliente acabou clicando em restaurar e no momento o está fazendo);

    2-Removendo os GbPorcarias do equipamento, verifiquei um link contribuição no tuto 64 de como instalar o 30hs direto do Itaú. E no BB e Caixa, sabe de algo parecido?
    Grato.

    ResponderExcluir
    Respostas
    1. Vamos lá:

      1 - Verifique se alguma chave legítima do Windows não foi excluída do registro. Por exemplo, a chave associada ao G-Buster é a GbpSv, enquanto que o Windows tem uma chave legítima chamada GpSvc. Na dúvida, faça a limpeza apenas pelo CCleaner, mesmo se ficar algum lixo não registro não há maiores problemas (o Windows por si mesmo é um grande acumulador de lixo no registro);

      2 - Não tenho informações se algum outro banco possui solução similar.

      Excluir
  23. Deveria ter postado o anterior no Tuto64, mas é pq daria sequência nessa questão:

    Teria alguma sugestão de como fazer o de 32 bits (que n funfa no modo seguro e sim com cd/dvd live), mas à distância?
    Grato.

    ResponderExcluir
    Respostas
    1. Como o processo envolve iniciar o equipamento com uma mídia alternativa, logo não consigo imaginar como isto poderia ser feito sem ter acesso físico ao equipamento. O mesmo vale para a aproximação com o Linux.

      Talvez algum leitor versado em Help-Desk possa nos dar uma luz!

      Excluir
    2. Ok, Michael. Grato pelas respostas.

      Excluir
  24. Shift+F10 também abre o prompt, útil quando seu PC tem Windows 10 e o seu disco de instalação é do Windows 7.

    ResponderExcluir
  25. No Windows Vista funcionou perfeitamente. Até que enfim tirei essa praga do meu pc. Obrigado.

    ResponderExcluir
  26. Olá amigo!
    Seu tutorial foi magnífico. Até um leigo conseguirá executar tal solução devido a sua didática!
    Parabéns e muito obrigado.
    (Quero aproveitar e deixar aqui um crítica a esse sistema do Banco Itaú: QUERO DIZER QUE É A COISA MAIS IMBECIL QUE UM BANCO PODERIA FAZER É INCLUIR NO PACOTE DE UTILIDADES DO MESMO UM PLUGIN QUE CONSOME 100% DE PROCESSAMENTO DOS NÚCLEOS. COM CERTEZA ESSA EQUIPE DE TECNOLOGIA DO ITAÚ NUNCA OUVIU FALAR DE ENGENHARIA DE SOFTWARE) NOTA -1000 PARA ELES.

    ResponderExcluir
  27. Acho que mais fácil você bloquear o aplicativo por algum firewall e desativar o serviço, como é um plugin do seu banco, ele sempre vai ficar pedindo pra instalar o aplicativo, alguns bancos não deixa vc efetuar uma transação sem instalar o plugin deles. De acordo com site do fabricando do plugin "A solução de segurança da GAS não monitora dados sensíveis dos usuários. Sendo assim, ela não tem acesso à senha da Aplicações Web, dados de transações e informações do equipamento do usuário."

    ResponderExcluir
    Respostas
    1. O problema é justamente desativar o serviço amigo, pois o mesmo não desativa pelas vias normais e assim é necessário recorrer à força bruta. Na parte sobre os Windows de 64 bits há mais detalhes sobre isto.

      Quanto à informação do fabricante, se o produto não monitora "dados sensíveis dos usuários" qual o motivo então de impedir a sua desinstalação por vias normais, se o usuário assim o quiser?

      Excluir
  28. Eu fiz e funcionou, com um pequeno detalhe, ficou um "GAS TECNOLOGIA DRIVER FILTER" nas propriedades da conexão local, e eu não conseguia acessar nenhuma rede, só depois de desabilitar esse item voltou ao normal.

    ResponderExcluir
  29. Todos os arquivos e o driver foram apagados e o serviço está desativado.Só as chaves do registro que não deixam ser apagadas.Isso interfere em algo, ou como está desativado tanto faz elas continuarem?

    ResponderExcluir
    Respostas
    1. Não faz diferença, o próprio Windows já é um notório acumulador de lixo no registro. Qualquer coisa passe um CCleaner ou outro limpador de registro e boa.

      Excluir
  30. Idem com o meu XP: não consigo apagar as chaves do registro, mesmo no modo de segurança. CCleaner também não apagou.
    Outra coisa que notei é que fica também a chave Warsaw Technology dentro do registro.
    De qualquer maneira, muito obrigado pelo artigo e parabéns pela clareza e pelo profissionalismo!
    Marcos

    ResponderExcluir
    Respostas
    1. Obrigado!
      Tentou ver se é possível alterar as permissões das chaves?

      Excluir
    2. Mudando as permissões eu consegui apagar a chave Warsaw Technology. As outras, não.
      Abraço

      Excluir
    3. O que realmente importa são os serviços tanto do G-Buster quanto do Warsaw estarem inativos. As chaves não fazem diferença.

      Abraço!

      Excluir
  31. Muito Obrigado Amigo!

    Muito útil, funcionou perfeitamente em uma máquina XP SP3.

    ResponderExcluir
  32. Valeu amigo, removido do Windows Vista 32bits. Mas para apagar a pasta usei um pendrive gravado com o Hirens boot, e usando o Mini Xp, onde apaguei a pasta pela interface gráfica mesmo (sem usar o prompt de comando).
    Obrigado!

    ResponderExcluir
  33. Aqui tambem deu certo. obrigado pelo tutorial. valew

    ResponderExcluir
  34. eu aproveitei e eliminei outras, como baidu. pc faster. hao 123 e outros trecos que quando chego do trabalho o meu pc da cheio

    ResponderExcluir
  35. Excelente tutorial! Ressuscitou o meu note i5 que esses "softwares peculiares" tinham matado.

    ResponderExcluir
  36. Eu também tive uma grande dor de cabeça com esses plugins, e agora com o windows 10. Tentei essa dica e não deu certo mas eu tenho um cd do windows 10 live e entrei com ele no boot e deletei as pastas aonde estavam instalados e deu certo. Mas valeu pelas dicas. Tenho o linux ubuntu, mas não sei porque não consegui dar boot com ele.

    ResponderExcluir
  37. Funcionou na íntegra no Windows 10.
    Uma dica Kernel... Simples, objetiva e eficaz.

    ResponderExcluir
  38. Vlw msm!

    Consegui, graças a sua ajuda!

    ResponderExcluir
  39. Consegui remover e reinstalar o guardião removendo chaves do registro do Windows.
    Aqui seguem os passos para remover as chaves: http://remover-gas-tecnologia-e-warsaw.blogspot.com.br/

    ResponderExcluir
  40. Obrigado! Estava com constantes travamentos no Windows 7, o som apresentando ruídos, então comecei a usar os programas DPC Latency Checker e Latency Monitor para descobrir o que estava causando o problema. Desativei quase todos os dispositivos do computador e nada de diminuir o problema. Somente agora que removi essa porcaria de GBplugin e reiniciei, meus níveis de latência caíram instantaneamente. Esse programa detona com o computador, impressionante.
    Só um detalhe: tenho a versão 32 bits e não usei nenhum CD de boot, apenas fiz boot no modo de segurança e deletei a chave Service no registro e fui deletando tudo que eu conseguia. Para deletar os outros arquivos que o Windows não deixava, bastou reiniciar em modo de segurança mais uma vez e consegui deletar, pois dessa vez o serviço não estava carregado, consegui deletar todos os arquivos e também o SYS na pasta System32.
    E quanto ao arquivo CORE.EXE? Onde ele fica? Não lembro de ter removido, mas agora ele não aparece mais nos processos rodando.

    ResponderExcluir
    Respostas
    1. Se o serviço principal e o core.exe não estiverem rodando, ótimo. O core.exe fica na pasta do Diebold/ Warsaw, geralmente em C:\Arquivos de Programas.

      Excluir

Postar um comentário