Monday, April 30, 2007

G-Buster Browser Defense, analysis and removal

Internet Banking is a primary target of phishing attacks. That's no wonder financial institutions have come up with a myriad of solutions to protect their customers. Nevertheless, some banks in Brazil force them to install a piece of software which I find at least questionable in the way it affects the operating system. The software under consideration is called G-Buster Browser Defense, developed by GAS Tecnologia, and is currently used by Banco do Brasil, Caixa Econômica Federal, Banco Real ABN AMRO, among others†. It offers protection against malicious programs, keyloggers, site forgery etc.

Here I'll describe how the component installs on your computer and how to remove it while still been able to use Internet Banking. Since all institutions use the same software I've just picked one, Caixa Econômica Federal, hoping the exact same procedures apply to the others.

Analysis of installation

So, let's put our hands on it. After opening the bank's home page and clicking on the top right button ("Acessar") we arrive at the first screen of Internet Banking (Figure 1), where we enter our username. If it's not been installed yet, we'll be asked now to install the security module ("Módulo de Segurança") (Figure 2). At this stage you might have already noticed how the window title is marred with punctuation characters as we move across pages (more on this later). We then allow the component to install, taking us to the second screen, which presents the virtual keyboard (Figure 3).

First login screen
Figure 1

ActiveX installation warning
Figure 2

Second login screen
Figure 3

The software is now installed. Whenever I install something on my computer I like to know whether anything has been configured to execute on system start-up, because that's what makes your computer slow. And that was what caused my first bad impression about G-Buster Browser Defense. If we launch Autoruns it shows us three new entries in the registry. Figure 4 and Figure 5 contains the non-Microsoft entries before and after installing G-Buster Browser Defense on my computer. The main component is Gbieh Module, or gbiehCef.dll‡, a file under "%WINDIR%\Downloaded Program Files".

Auto-run entries before G-Buster installation
Figure 4

Auto-run entries after G-Buster installation
Figure 5

What really frightened me the most was to discover that gbiehCef.dll is injected into the Winlogon process: Process Explorer comes to our help (Figure 6). Being loaded by Winlogon means the software survives logoffs, and will be running even when we don't need it, possibly eating valuable CPU cycles. It's even worse: if a computer has many users and only one needs the Internet Banking service every user must pay the price for it.

Process Explorer showing Winlogon with gbiehCef.dll loaded
Figure 6

Just to be sure my ranting isn't totally reasonless, let's take Process Monitor and see how G-Buster performs. If we leave it running for some seconds with no filters set we note that some kind of polling is screamingly taking place. And you should know that polling kills. Every 5 seconds a thread in Winlogon reads a number of registry entries, checking for its values. Figure 7 illustrates the polling of the PendingFileRenameOperations key. Process Explorer brings out the culprit (Figure 8), gbiehCef.dll, when we search it for the thread id shown in Process Monitor.

Process Monitor shows some thread polling the PendingFileRenameOperations key
Figure 7

Process Explorer says that gbiehCef.dll is the culprit
Figure 8

Observing the polled registry entries is enough to guess what the security component is doing: check any attempt of its removal. That's likely to prevent malicious programs from disabling it. But that leaves the average user with no option to uninstall it. Deleting the auto-run entries has no effect because they will be recreated. Trying to delete or move the file containing the component is impossible. Scheduling the removal to the next reboot is also not possible, as the results of Process Monitor already suggested us. Rebooting into safe mode doesn't help either. We are left with the Recovery Console, which lets us delete the offending file and, an easier way, Process Explorer.

G-Buster removal

In the same screen we found the polling thread we can kill it (the "Kill" button). Now that nothing is polling the registry anymore we may open Autoruns and delete all related entries (those three whose description reads "Gbieh Module"). We can't delete the file because it's still in use (we don't need to, as you'll see in a while). Now, since we have killed a thread from a System process, we'd better reboot the computer, otherwise we may leave the operating system unstable (the component might have left a lock open inside Winlogon before we killed it).

Upon rebooting we may inspect with Process Explorer and Autoruns and make sure G-Buster is not there anymore. However, the component will attempt to install itself again in the auto-run entries if we hit the Internet Banking site (we are safe if we just open the bank's home page) because the Internet Explorer component is still installed and the browser will not ask our permission to execute it. Now the cool part: if you have a Limited User Account, as I do, you'll be able to use the Internet Banking service without the hassle of installing G-Buster. The site will open and the component will be executed by Internet Explorer, but it will fail to change the start-up entries or inject the library into Winlogon (Figure 9). Fortunately, it doesn't attempt to modify the per-user start-up entries either. Logging on and off is enough to get rid of G-Buster, and we are back with a clean system (gbiehCef.dll will be kept loaded by Explorer until we log off).

It's possible to use Internet Banking without gbiehCef.dll injected into Winlogon
Figure 9

If, by accident, you visit the Internet Banking site under an account with administrator privileges, you'll need to repeat the steps to identify the Winlogon thread and the auto-run entries. You'll notice that on the second install an additional Windows service (gbpsv.exe, G-Buster Browser Defense - Service) will be registered: that could be to a bug in the install process. The same steps apply, though.


I understand the purpose of G-Buster Browser Defense. It monitors registry keys (hooking would be a better solution than polling, however) to prevent a specially crafted software to disable it. It scrambles characters on the Internet Baking page title maybe in an attempt to slip away from the eyes of a keylogger looking for a certain page. Perhaps it monitors your Internet usage trying to identity suspects of forgery. It's not clear whether it sends personal information or downloads anything. There's no agreement or consent dialog.

What I don't understand is how that solution is better than an "on demand" scanner. It could scan the system just before the customers enter their information, and not full time. Sure, a trojan can be built to hide itself from an outdated scanner but, as demonstrated here, it's as easy to disable an outdated real-time scanner and bypass any security checks. Changing the title is also pointless if the trojan looks for the window's content.

And there is still another problem: G-Buster Browser Defense is a component used by more than one bank. That makes it a more interesting target of hackers because a single trojan solution can defeat the defenses of many banks. By the way, what looks like a poor design issue: if the component is the same for many sites, why does it need a separate installation for each one? It scans and polls the system twice! Finally, what can bother much more users, even those not worried about performance, is the need for an ActiveX component, locking them into Internet Explorer.

Regarding anti-phishing solutions, I like the one adopted by the Brazilian HSBC bank. You're presented with a box containing 9 lines of 4 characters each. To enter the password you must locate the line which contains the first character of your password and click the arrow next to it. Repeat for the second character and so on. A spying program can't guess which character you thought about when you clicked the arrow. Heck, neither does a person sitting on your side! It's not the perfect solution, since the careful analysis of the clicks of many logins may reveal the password, but I find it a lot less obtrusive than G-Buster and as effective as. No ActiveX, cross-browser and cross-platform.

Note: I should say that I made many assumptions in the analysis here and thus could be totally wrong in some points. I had nothing at hand, though. As stated previously, it's not clear anywhere what the component does nor how it does it.


† The footnote below names some of the other banks.

Gbieh Module has a different filename depending on the bank:

Banco do Brasilgbieh.dll
Caixa Econômica FederalgbiehCef.dll
Banco Real ABN AMROgbiehabn.dll
Mercantil do Brasilgbiehbmb.dll


1 – 200 of 212   Newer›   Newest»
Rafael said...

Browser only (javascript) are not effective for the vast majority of brazilian crimeware, since they do not use key-logging or mouse-logging anymore. They present the user a screen resembling the banking home-page. It is something like a Phishing Screen Malware. Approachs such as the ones used by HSBC had been discussed in specialized forums such as the APWG (AntiPhishing WorkGroup), since such techniques are offered by half a dozen commercial tools. The main conclusion is: such approach is breakable by capturing screens in 2 or more sessions.

Regarding your supposed performance issues, have you ever analysed any antivirus? I currently have a McAfee Internet Security installed and active in this machine. There are 17 process for it, besides injected dlls, browser helper objects, and device drivers. Anyway, polling some registry keys at each 5 seconds will have close no none impact on the computer (since their access is cached). Hooking (or even RegChangeNotification), as you suggested is infinitely more intrusive and probably impacts performance even more (at least this is certainly true for system call hooks, as used by most antivirus nowadays). Besides that, 2 or more syscall hooks in certain API functions are simply not possible. Try to hook RegQueryValue in a computer with Kaspersky AV installed: instantly BSOD (Blue Screen of Death), since the antivirus understand this as his own hooking have been removed.

Btw, by publishing a removal procedure for a security tool, dont you think you are helping criminals?

Romulo said...

Hi, Rafael.

Thanks for your visit.

RegNotifyChangeKeyValue is very different from system call hooking. Unlike the later, it runs in user mode and doesn't require driver install privilege. It doesn't intercept system calls, but just reacts when notified by the Windows sub-system.

I know that G-Buster is more lightweight than an anti-virus. That's why I don't use them. There's a computer at home running Windows 2000 constantly used by three average users, yet it has never been system-wide infected. When I find a virus, it's restricted to a single profile directory. There's no secret, just automatic updates and limited user accounts.

Regarding the question whether I'm helping criminals, I don't think so. I'm helping honest users in the first place. G-Buster doesn't inform them that the program will stay resident, communicate across the Internet, and has no means of removal. Moreover, it has received reports of causing Internet Explorer to crash randomly. What if it also caused Winlogon to crash (which is perfectly possible because it runs inside it)? Windows would issue a stop code. There's also the theoretical possibility of exposing a privilege escalation vulnerability. Most users, even those with proficiency on computers, are not aware of that, believing a simple "security tool" used to browse the internet is mostly innocuous to system stability.

The Sony rootkit case has been widely discussed and shows the impact thirdy parties have when they don't allow removal and don't state precisely what the software will do. Users want to have control of their computers. If a piece of legit software doesn't follow that rule, the user gets infuriated. That's how a malware behaves.

Rafael said...

- RegNotifyChangeKeyNotify internally uses global hookings into the registry system. Comparing it to polling certain keys, you would have more impact on system resources. Anyway, In both cases, at least for a few keys, the impact is close to none. I know polling is not an elegant solution, but the developers may have their reasons to do this...maybe for security reasons.

- Your concerns regarding winlogon and G-Buster looks biased. Any badly crafted software running on the system may cause security (privilege scalation, buffer overflow exploitability, and so on) or stability issues. You may rise your very same hypothesis for every software in the world: "if the software misbehave, bad things may happen". Your question should be: does G-Buster misbehave? For a software installed in milions of users, silently fighting crimeware, much better than any other security tool, and without disturbing users, I think it has proven its value.

- If you think you are safe from criminals by just keeping your system with well configured privileges, you may need be unaware of other cyber crime vectors. Besides software vulnerabilities (specially browser ones) which allows remote malware execution in computers (without administrative privileges), you may be victim of phishing scams web-pages, pharming (dns poisoning), IP-Spoofing or even ARP-Poisoning (in local networks) or even phshing e-mails. All these may occur in every plattform (windows, linux, mac).

- As far as I know, G-Buster does not scramble home-page titles. This is an action from the bank web-designers. Anyway, you wouldnt believe how this single action helps preventing monitoring tools.

- Your suggestion regarding on-demand scanning before user typing sensitive information is, at minimal, not suitable. First, G-Buster remains active for auto-protection purposes. Being a tool which effectively fight crimeware, it has been attacked in all imaginable ways (have you ever heard of criminals worried about antivirus software?). Second, most of the current malware simply replaces (or over-position) the browser with a window resembling the bank home-page. We call them "Phishing Trojans". They do no rely on logging keystrokes or mouse clicking. Some of them even kills the browser before activating itselfs. Staying just inside the browser is simply not enough. Third, if you are refering to on-demand signature scanner..G-Buster has its own (probably with one of the largest crimeware database in the world), which is activated just before the user enters the bank home-page. Anyway, its real effectiveness relies on heuristics detection and malicious behavioural bloking.

- G-Buster has its own version for each customer. This is not a software engineering design decision. It is an operational and security issue. It would be far more easier for the developers to keep just one version. Much more easier, powerfull and flexible would be to keep it totally outside the browser process. But this would rise rants as yours.

- Thank you for pointing the gbpsv.exe double installing problem. Sometimes we have even to fix things hapenning after malicious actions.

- Instead of rising unproven performance/stability questions, and help criminals uninstalling a security software, why dont you share your tips for improving user security, as you did for your users?

- Every bank using G-Buster has options for the user uninstalling the tool.

- Last...I am writing by myself. Although a Gas developer, this is a personal post. I am not currently at the g-buster team.

PS.: How do you know about Sicredi?

WladSP said...

Thanks Romulo for your post !
I work sometimes with support and we had a problem in a domestic computer with a clean Speedy connection. (I mean I cleaned the computer with McAfee, Spybot, Trend Housecall and HiJack/manual clean)
Many times Internet was very slow, specially with the ig pop3 mail. I have noted the GBuster, but didn´t removed because I confirmed the relation with the banck (ABN in this case)
BUT when I decided to remove it, the problem is gone ! Two times !
(Because G-Buster returns)
I´m sure its not a coincidence !
I know "crimeware" is our big problem here (in Brazil), as "user", I don´t think G-Buster is a good choice. Have to improve it compability !
Someone have a good tool to deactivate ? I´m trying one, with some risk, sure.

Ravi said...

I totally disagree with Rafael on that.

G-Buster fights spyware acting like a spyware. It installs a service with no warning about that. It cannot be removed. It consumes system resources. It pools the registry to make sure nobody is going to remove it (nobody or other spywares). But if Process Monitor can kill the thread (allowing you to remove the registry keys), any software would be able to do that. What's the purpose of pooling the registry in that case?

And, come on, it cannot be removed without hacking the computer. Come on, come on!!! What's the point? Fuck it. I am removing it. I don't have antivirus on my computer. I educate my self. Culture of fear:

Express1000 said...

Ou baixe a vacina que desenvolvi e remova o G-Buster Browser Defense do computador.

Download: (Versão Outubro de 2007)

Bernd said...

I had a rather unpleasant experience with this G-Buster. A user from a Brazilian department complained about a site of a bank which was not working. I tried the link and two clicks later my computer crashed. No BSoD, a real crash and boot.

When it came up again, i checked the running processes and found G-Buster. Alarmed, i search with Google for this thing and found this blog. Although it helped to know what it is, the recipes did not help, i booted with a win2k rescue console and removed the directory.

The whole way this pest installed itself on my computer, clawed in the system and refused to be deinstalled, it was more in the way of a trojan than any good software should behave and i refused to do anything sensitive with my computer before it was removed (costing me half workday).

Maybe this software is needed for Brazilian customers, but it is really nothing we want on computers in our corporate network.

urbanite said...

Romulo, thx for the info. I'm a Bank client and simply HATE the way G-Buster runs every minute...just annoys the hell out of me, and its definitely suspicious behaviour, no matter how you look at it. My question is can´t one just kill the process on every logon? Cos to remove it indefinitely won't work for us since the accounts here aren't limited- Any danger of a total crash due to repetitive kills? In any case, once again thanks.

Romulo said...


Killing G-Buster's thread doesn't remove it from memory. Instead, it merely allows you to calmly remove its registry entries as outlined above until you reboot your computer. Just then will your computer be free from in-memory traces of G-Buster.

I suggest you create a limited account just for Internet Banking.

urbanite said...

Thank for the reply, and stay safe!

Anonymous said...


I noticed that nobody mentioned Vista issues. And I came to your blog just because I am facing several boot failures after I "accepted" this security tool to be instaled both for Banco do Brasil and CEF. Not even Windows is able to notify what is happening, it simply re-start infinitly the machine and warns: A critical error happened, your machine will be restarted. To the hell with it and all its developers!
Does anybody else experienced problems with Vista x GBP ?


Anonymous said...

só não entendi pq os comentários estão em inglês...


Anonymous said...

Hello !!!

For the last post, please remember that THE BOOK IS ON THE TABLE.

Please repeat with me ....

DaviAnabuki said...

Just leaving my two cents on the subject... More specifically as a pissed off user of the cited banks...

One thing that I would like to say is that, no matter what kind of help does GBuster does... I still act as a kind of rootkit, installs itself in the system and does not enable it to be removed. It has been cited that it would be wrong to tell people how to do that. But acting like that isn't exactly security through obscurity? There is no such thing as a complete security measure. And even worse if this security has to rely on the ignorance of the user! This kind of thing is usually done by the weakest measures, that can't stand the trial of being open and tested by the community.

Banks have all the reason to be worried about frauds, but GBuster is far from being a software that has no effect in the computer of the user! I totally agree that not having it is far from good, but what if I switch to a different bank that does not use it? There should be a warning of how much it can affect the computer, and even more, details of how to remove it! What would be the cost of adding a "how to" of its removal, with a notice telling that the user will be unable to access the site without it? When I first installed it, I was sure that it was a simple addon, just like any other on firefox, or a simple activeX addon, that would be active only when accessing the page!

And I will say even more... My computer began to act strangely a few days ago... My windows explorer began to hang and to freeze. I had just bought a Serial-ATA RAID Controller card, so, at first I thought that the problem was with some kind of hardware conflict or maybe a software problem... So, reinstalled windows, and began to install the software... And strangely enough, my computer worked just fine untill the time that GBuster installed itself! I did not even knew of how much it changed my OS, and just installed it! Now, who is going to pay for my time lost? Or the research done to simply uninstall it? Or even the problems that arised just because of this P.O.S.?

On a last note, there has been something changed in it, that now I am even unable to kill the proccess, as it keeps restarting... Hope to find how to do it, and I shall post it...

Anonymous said...

Followed your instruction exactly and still reinstalls. Now I am not sure what to do

Roberto said...

Muito este post.

Tentei de várias formas remover esta "praga" G-Buster Browser Defense da CEF porém não tive sucesso.

Utilizei o programa indicado em um comentário, o Anti-Gbuster porém ele diz que não encontrou o Gbuster no sistema.

Utilizando o Process Monitor o Sistema deixa de responder.

Alguma outra sugestão?

Anonymous said...

GBuster and Wds Vista.
I also have been having this problem with Vista and after too many critical errors and reinstalls I finally happened to connect my problems with the GBuster installed by Banco do Brasil. It seems Vista sees it as something evil and some Data Execution Prevention in Vista kills the whole system and shuts it down and reboots only to do the same again.
On my XP desktops, which also have the Banco do Brasil (plus Caixa Federal installed) this did not happen.
Will delete the GBplugin folder in Vista and see if this critical error stops.

Anonymous said...

Why can't you just call Bank Support or Call Center and ask for removal instructions?

Rafael said...

Em todos os nossos clientes, sempre houve a opcao de desinstalacao. Basta contactar o call center.
O G-Buster existe para combater bandidos. Foi feito para ajudar o usuario, com impacto infinitamente menor que qualquer produto de seguranca. Com relacao a eficiencia, poderia apresentar numeros, mas basta pensar: algum bandido estah preocupado com antivirus, antispyware, antimalware? Eles atacam o G-Buster, pois ele sim, atrapalha a vida deles.
Bugs ocorrem e sao tratados com maxima urgencia e seriedade. Nunca passaram de uma fracao infima dos usuarios correntes.
Praticamente 4/5 dos relatos de travamentos e reboot sao ocasionados por malware tentando remover o g-buster.
Cada vez que voces publicam tecnicas de remocao, estao ajudando bandidos e tornando ainda mais dificil a tarefa de proteger o usuario.
Quanto ao comportamento de spyware, isso jah eh discutido na comunidade internacional ha anos. A midia leiga costuma ler que, digamos, o malware X cria arquivos. Ai descobre um software Y que tambem cria arquivos. Conclusao do reporter/blogueiro leigo, que nem sabe o que eh criar arquivos: "software Y comporta-se como malware, pois cria arquivos".
O G-Buster dificulta a sua remocao , assim como qualquer produto de seguranca razoavel, pois eh alvo de ataque dos bandidos.

Se tiverem algum problema que acreditam ser ocasionado pelo G-Buster, por favor, contacte o call center do seu banco. Tenha certeza de que seu relato chegarah aa equipe de desenvolvimento o mais rapidamente possivel. Nosso ciclo de release eh muito curto, como alguns posts acima jah indicaram, de modo que o problema (se associado ao g-buster) serah resolvido e implementado em pouco tempo. Se no relato houver descricao de passos pra reproducao do problema, a solucao eh mais rapida ainda.

Por fim, lembrem-se que estamos do mesmo lado, e do lado oposto ao dos bandidos. Deveriamos agir como tal.


O post acima é de carater estritamente pessoal, nao tendo sido avaliado ou autorizado pela empresa responsavel pelo produto citado.

Guilherme said...
This comment has been removed by the author.
Alexandre Machado said...

Discordo 100% de você Rafeal. O que os bancos fazem é crime em qualquer lugar do mundo. Os fins não justificam os meios. Os bancos não têm direito de instalar um software de forma escondida no seu PC mesmo que o software fosse o mais inofensivo e bem intencionado do mundo. Isto é ilegal e só poderia acontecer mesmo no Brasil.
Lutei 2 horas para remover esta praga do meu PC e estarei publicando também uma forma de removê-lo que difere da do nosso colega aqui.

Administrador said...

Concordo 100% com o Alexandre e estou procurando ajuda para deletar a praga. No mínimo quero ter a opção de remover o soft que chegou com cara de agente do bem e virou espião de duas caras sustentado por mim.
Já chega de "jogadinha" e salvadores da pátria. A turma do GAS deveria primar pela transparência e publicar como remover e não repassar para o suporte dos bancos e um infindável clique aqui, marque aqui, qual a senha...
A GAS tem um problema e quer resolver criando vários outros.

Trata-se de uma manifestação indignada contra uma questão que me incomoda e pelo que percebi a muitos outros.


Gustavo Lins said...

Alexandre, na verdade vc instala o plugin sim.

Pelo que reparei na minha máquina, quando vc não tem o plugin instalado, aparece a msg para vc instalar via active ex... agora, se vc acha que ele se instala sozinho, aih sim acho que vc não entende tanto o que está falando.

E acredito que, se é pra nos proteger, que seja da forma que nenhum bandido consiga nos roubar.

Apoio a atitude dos bancos em tentar nos proteger.
Se quer ficar livre, entao vá usar o caixa eletrônico.

Alexandre Machado said...

Bem caro Gustavo Lins,

O plugin é um controle ActiveX que está contido na dll do respectivo banco. Desta forma temos a do banco real que é a gbiehabn.dll, do banco Mercantil do Brasil que é a gbiehbmb.dll, e assim por diante.
o SERVIÇO Gbpsv.exe que roda 24x7, é instalado e não pode ser removido NÃO É UM PLUGIN DO Internet Explorer, NEM UM CONTROLE ActiveX. É um serviço de monitoramento que foi perfeitamente analisado pelo colega Romulo.
Então, se você não sabe o que é um plugin para Browser, ou um controle ActiveX, ou um serviço, você deve ser informar do que está instalando em seu sistema, repito, SEM SABER.

Alexandre Machado said...

Para complementar:

1) Os bancos não estão TE protegendo. Estão protegendo a si mesmos, uma vez que qualquer fraude e desvio de dinheiro indevido de sua conta através de ataque de hacker ou criminosos pela internet, o responsável é o BANCO.

2) Você pode até apoiar a atitude do banco, mas você está apoiando uma atitude ILEGAL. É simples assim. Se um fornecedor seu tem o direito de instalar um software na sua máquina SEM TE AVISAR, então o Big Brother não está de fato acontecendo só na TV.
Não existe a menor chance de eu concordar com isto uma vez que não vou concordar com invasão ilegal, como não vou concordar com tráfico de drogas. São igualmente ILEGAIS. Querem cometer este abuso? Mudem a lei antes.

3) Se você acha que este serviço da GAS está evitando que você seja hackeado e ter seu dinheiro desviado, está redondamente enganado. É mais fácil que você imagina, e se o sistema fosse infalível, a defensoria da GAS que já se manifestou aqui não estaria tão preocupada com a revelação das informações do Romulo.

PS: Não quero fazer propaganda em blog alheio, mas tive que seguir alguns passos ligeiramentes diferentes para remover a praga e publiquei no meu blog. Quem tiver dificuldade, estamos aí.


Antonio Carlos said...

Eu fui consultado se queria instalar a ferramenta de seguranca do BB. Nao sei como acontece nos outros bancos. No trabalho monitorei meu computador com o ProcessMonitor, da SysInternals. Nao percebi a atividade que voce relatou. Tem muita atividade acontecendo, principalmente do antivirus. Qual processo devo filtrar?

Gustavo Lins said...

Na verdade vejo da seguinte forma:

Como a GAS poderia liberar um desinstalador do G-buster?
Não passaria nem 30 min e todos os hackers estariam utilizando esse desinstalador para roubar pessoas.

Se vc cria uma ferramenta de segurança e esta precisa se proteger, nada mais sensato do que criar métodos de bloqueio contra qualquer coisa que tente deleta-lo.

Essas pessoas que criticam esse serviço "GbpSv.exe" já criticaram o serviço do AVP?

Creio que existe muita ignorancia por parte das pessoas quererem uma proteção ou estão todas muito mal intencionadas...

E ressaltando, o argumento em que vc diz "instalar um software na sua máquina SEM TE AVISAR," está completamente errado, pq, repetindo o que eu já havia dito, vc é solicitado a instalar o Active X. Se vc opta por não instalar, nada é instalado.
Agora, se quiser continuar distorcendo este fato, então não sei quais as suas intenções à respeito desta discussão.

Sem mais...

Gustavo Lins.

Rogério Carvalho said...

Como um programa que é criado para ajudar de um lado , acaba atrapalhando de outro?
Aqui na empresa onde trabalho o G-Buster está fazendo com que o WINLOGON.EXE gere erro e reinicie o computador antes mesmo que o usuário possa se logar na rede...

Alexandre Machado said...

Como eu te disse caro Gustavo, AtiveX é uma coisa, Serviço é outra coisa, assim como laranjas e bananas são coisas diferentes. O AtiveX é instalado sob a minha permissão, sim senhor. Mas não o serviço. O serviço é instalado sem aviso e isto NÃO É INFORMADO e portanto não pode ser legal.
Quanto às suas dúvidas:
No meu blog tem informações suficientes a meu respeito para você saber quem sou, o que faço, onde moro. Se quiser entrar em contato diretamente, fique à vontade.
Mas não use a internet de forma anônima para insinuar que o que escrevo aqui é direcionado por más intenções pois falta-lhe elementos até para julgar isto.

Anonymous said...

Pelo que eu saiba, o banco não pede autorização para instalar um Activex. Pede autorização para instalar o "Browser Defense", "Módulo de Segurança", "Guardião do Internet Banking" ou seja lá que nome eles deram para o produto. E com a autorização para instalar o produto, ele instala tudo que precisa pra funcionar. Quanto aos problemas relatados, continuo insistindo que ao invés de perderem tempo tentanto remover sozinhos, contactem o call center do banco, e expliquem a situação. Eles saberão ajudar e os problemas chegarão ao desenvolvimento da GAS para serem resolvidos.

Junior said...

Não preciso detalhar os erros que o GBuster causou no meu XP, já que foi citado por outras pessoas: reinicialização brusca do sistema, problemas com o explorer.exe, o IE fechando repentinamente e consequentemente uma instalação do Windows danificada... Tentei o remover com a Restauração do Sistema, porém o G-Buster trabalha em contato com o winlogon.exe e interfere na Restauração do Sistema; enquanto você não conseguir se livrar do serviço e de todas as dlls (dá um bom trabalho), a restauração não funciona. Já formatei meu computador 2 vezes por causa do G-Buster e, mesmo sempre sendo bem atendido pelo banco, quando tratei deste assunto, me senti sendo enrolado por eles, uma vez que um rapaz da parte técnica me telefonava uma vez a cada dois dias para me perguntar como estavam indo as coisas, como estava minha mãe, meu cachorro... até que disse que estava tudo bem para que ele não me ligasse mais... O que o Rafael disse que o call center do banco te ensina a desinstalar não é verdade, o técnico simplesmente disse que não era possível desinstalar e pediu para mim entrar no site para apenas instalar a versão mais atualizada, o que não resolveu nada. Tive paz em continuar usando o Ruindows a partir do momento que, toda vez que entro no site do banco, clico em instalar o módulo, não aceito o controle active-x e então clico em instalar mais tarde... processo tedioso para fazer todos os dias... Acho covarde a idéia de te forçarem a instalar o negócio toda ve que você entra no site. Uma solução bacana é o cadastramento de computadores, pela qual você só faz transações financeiras em computador(es) cadastrado(s). Por favor, meu alvo aqui não foi ofender ninguém, porém já tive mais do que um mês de dor de cabeça com isso aí... e também caio na porrada se precisar, hein!

AlexandreBR said...
This comment has been removed by the author.
AlexandreBR said...

Bluntly, I'm fed up with that security tool. It has caused many problems here and, I'D LIKE TO POINT OUT, considering several fresh installations of XP SP2 (properly updated), my headaches have nothing to do with spyware, malware or something alike.

Gbpsv.exe, everytime I load the bank page, slows down the browser and sometimes closes windows suddenly. In some cases the pc seems to hang completely while that damn tool performs its operations.

At this moment the "security" tool is causing errors when my display software (Samsung Magicttune) is closing (during shutting off or restart processes) and, also, I can't use softwares like RocketDock or Stardock Objectdesktop.

Adding up, I must say sometimes Kaspersky Internet Security works in a crazy way because of the tool.

Taking all of said into account, I do really think the G-Buster Service is usefull; it's usefull to bother the average and advanced users. There are times when I think having a Core 2 Quad and 4G of Ram is pointeless... that tool really makes my system works like my old K6-II 500Mhz.

Junior said...

AlexandreBR said he couldn't use Rocketdock: What a coincidence!!! After reinstalling Windows XP SP2 and not G-Buster, of course, I was able to use Rocketdock (I don't use it anymore to save some RAM)

AlexandreBR said...

I've reported the incompatibility to the Rocketdock Bug Tracker. I've sent a complaint to BB as well. I know that will result in nothing; however, I won't lose anything in trying to have a fix for that from BB.

Unfortunately, as we live in Brazil, I feel like we're asking for some favor from those corporations. We pay expensive fees and, at last, are oblidged to face problems like that.

Junior said...

I was very upset about the way some renowned Brazilian websites considered this matter. A lot of people left messages on their forums asking for help and complaining about G-Buster, but most times some administrator appeared and wrote: there's nothing wrong with G-Buster, you must be a hacker wanting to convince people about that or a terrorist from Taliban... Try looking it up at Google Search.

eug said...

If you boot with a linux liveCD you can remove gbpsv e gbieh files and folders, but after that explorer taskbar will only load/run in secure mode not in normal mode

AlexandreBR said...

A person from BB has called some minutes ago to apologize for the inconvenience. Well, I've complained again and said that hoped an attitude from the bank. He told me there'll be an update in a few days exactly because the complaints the bank has been receiving. I know that isn't enough... but I'll wait and see if it definitely sort out my problems here.

Junior said...

I don't wanna be rude, but... well, I've complained in the beginning of November and they've been working very hard since then...
Anyway, the problem here is that most users haven't a clue that the problems they're facing on their computers comes from an ordinary plugin provided by the bank they trust, and aren't encouraged to complain. Actually, as I mentioned before (in Portuguese) I've given that up 'cause I was only being bothered by them.
As mentioned by romulo, Gbpsv.exe isn't necessary at all as it just works hard to keep itself installed on your computer. The plugin had to be used just for internet banking, but their intention is to transform your PC in a ATM, after that your machine won't work properly and you're gonna face a lot of crashes in daily tasks.
I'm moving to Linux and I'll have to check about how the plugin works there.

Ricardo said...

Express 1000, your software didn´t remove the Gbpsv.exe process on my computer. Good try anyway, It was the only removal tool I found for this bad engineered software, please keep updating it.

Thanks for this blog Romulo.

Smith said...

I was searching for "gpbSv.exe" at Google and i´ve found this interesting blog. My opinion: gpbSv.exe is a necessary evil. But i want a clean pc either...
So: I haven´t tried it yet (but i will) but that´s my advice: install a virtual machine software (VMWare, for instance) on your pc. And use it just to log on your Homebanking sites.
Or, another alternative: install softwares like Sandiebox, Deepfreeze or Norton GoBack before logging on Homebanking sites. Again, I haven´t tried it yet... ;-)
Ps: sorry for the bad english...

Brotosaurus said...

The book is on the table!!
Bem??... Vamos lá...

Gostaria de registrar que fiz o seguinte caminho?? Separei uma máquina, instalei nela o Kurumin, o Ubuntu e o XP2, mais o Firefox como navegador alternativo, para teste do sistema de acesso ao BB e recolhi uma série de constatações.
Feitos todos os testes possíveis ai fui na minha máquina principal e com a ajuda do pessoal do BB e da GAS segui o procedimentos para desinstalação.
Em complemento ao que aqui está escrito imagino que já tenha uma posição muito boa em relação ao assunto e em relação ao atendimento do BB e GAS.
Para não alogar ambos foram institucionalmente corretos mas deixaram a desejar na ótica dos clientes. A turma da GAS, adicionalmente, não respondeu a algumas perguntas fundamentais que foram colocadas por mim dentro do assunto.
No final de tudo me restou o Explorer fechando aleatoriamente durante a inicialização do sistema...
Vendo o post anterior resolvi registrar essa experiência pois foi muito além do que imaginava. E o meu caminho pessoal já foi longo e difícil. Parece-me que objetivando chegar do outro lado da rua estamos indo a lua...
Será que concordam que tem alguma coisa a ser revista dentro disso tudo principalmente pelo BB e a GAS? Ou será que estamos como clientes exigindo muito??
Será que tem que ser assim? Será que essa é a nossa "sina" como filhos de Macunaima?
That’s all folks!!

Artur Onzi said...

Ola, sou Adm de rede com cerca de 450 maquinas e vou dar minha opiniao. Ultimamente quando algum usuario liga dando um comportamento estranho da sua estação de trabalho, pode escrever, 80% das vezes é o g-buster. Windows reiniciando no logon, VNC nao funcionando, usb que nao conecta dispositivos, maquina reiniciando quando abre o explorer etc. Então para quem o defende esponho o seguinte: Veja a situacao. A GM em seu novo modelo de carro, para a seguranca do condutor e a fim de evitar o furto do veiculo, instalou um frequencimetro. Infelizmente sem avisar aos condutores ou constar no manual do mesmo, tal dispositivo faz com que seu carro gaste muito combustivel. Mais, alem disso pode ocorrer dos bicos injetores travarem, ocasionando a quebra da correia dentada. O que voce faria? a) Abriria um processo contra a GM b) Fumaria um e deixaria tudo em paz, afinal carro e para estragar mesmo

Márcio Costa Filho said...

e como vc sabe que eh o gbuster?

Gucky said...

Técnicas fantásticas como a do G-Buster de impedir desinstalação não o tornam inatacável.

Falhas o processo tem, pois consome a CPU até que o sistema fica sem condições de trabalho...

Se não tivesse, ninguém SEQUER estaria conversando aqui, POIS o objetivo PRIMÁRIO é dar condições de uso aos equipamentos, e o tal serviço está sendo responsabilizado e de fato é culpado por ocupar a CPU desnecessáriamente.

Uma coisa é fazer algo bem protegido. Parabéns à GAS. Vou fazer coisas assim nos meus sistemas, e ainda fazer a assinatura do hardware, ótima idéia, será provavelmente usada por bons e maus.

Nem os arquivos MicroSoft são tão bem protegidos, a questão é;

O SERVIÇO tem uma FALHA GRAVE que faz com que comece a consumir a CPU, e o objetivo de todos aqui é resolver isso.

E por isso, sou um dos que está no time de anti-GAS. Ao menos enquanto o serviço contiver esse defeito grave, que consome a CPU completamente.


Será que a GAS deixou um BUG proposital para se tornar conhecida ? Não duvido ! Agora todos conhecem o tal serviço, a GAS, etc.

Garanto a todos que ninguém aqui estaria se desgastando com isso se não fosse o tal BUG, ao contrário, estariamos elogiando a GAS pela qualidade da proteção oferecida, e orgulhosos da solução nacional para segurança.

Então, se alguém da GAS ler isso, vista a camisa da DIGNIDADE e compreenda que a guerra não é contra a segurança, e sim contra o BUG que nos obriga a horas de trampo para dar solução à nossos equipamentos, seja qual for o tamanho da empresa, ou o volume de clientes envolvidos !

1 - A nossa guerra é contra a falha do serviço, que consome CPU
2 - Se para resolver isso, teremos que ir buscar leis, direitos, etc, é culpa exclusivamente da GAS que não corrige o BUG, ou sequer o admite.
3 - A CEF já trocou o sistema por uma assinatura de equipamentos.

Ou seja, a GAS de uma grande fabricante de soluções de segurança, passa a ser alvo negativo e desrespeitado, não porque não soube proteger bem seu serviço contra desinstalação, mas sim porque o serviço tem uma Falha Grave !!!

Ou alguém aqui discorda que todos nós, sem exceção, conhecemos a tal pastinha GBPlugin quando o equipamento, do nada, acusava um absurdo de consumo de CPU ???

Então enquanto o BUG consumir CPU,
sou inimigo do serviço !
Independente de quem o criou e porquê !

Darkblood18 said...

If by chance there is anyone reading this who doens't know portuguese please comment and I'll repost in english.

Ok, vem mais uma versão do G-Buster e mais problemas. Agora meu computador apresenta picos de processamento da CPU a cada minuto. E não sou só eu, já surgem outros com o mesmo problema no forum do Clube do Hardware.

E adivinhem? O problema some quando "mato" a thread gbieh.dll do Winlogon.exe.

Infelizmente o processo de desinstalação acima não funciona mais (minha versão é a do BB).

Só falta agora aparecer alguém da GAS dizendo que o problema é de Malware. Já adianto que peguei um outro computador que estava mesmo querendo formatar e instalei o G-B@$!a em uma versão "fresca" do XP SP2. SURPRESA! O mesmo problema.

Queria ver alguém da GAS ficar vendo filmes, músicas ou jogando num computador que "soluça" uma vez por minuto.

É a segunda vez que me ferro por causa do G-Buster, da outra vez (cerca de um ano atrás) fui obrigado a formatar, e estou achando que desta vez vai ser o mesmo final.

Eu estava mesmo querendo fechar essa conta do Banco do Brasil. Vou escrever uma carta informando que este foi um dos motivos e que meu critério de seleção para o próximo banco vai ser um que não tenha contrato com a GAS.

rogerup said...

Meu problema começou anteontem com o Banco Real, eu levei o HD em outra maquina e apaguei a pasta GBPlugin no Arquivos de programas!

eug said...

Se o gbieh cumprisse o que
promete isso não aconteceria:

Guilherme Tuler said...

Sou cliente do BB e da CEF e estou tendo problemas com o G-buster Browser Defense (picos de processamento de 1 em 1 minuto que inviabilizam a utilização do cpu para outros fins).

Estou seguindo os trâmites administrativos junto ao BB, à CEF e à GAS, para a solução do problema.

Solução do problema: eu, como consumidor, tenho direito ao serviço do Internet Banking, com a "proteção contra os bandidos" e, sem abrir mão do uso do meu computador para outros fins.

Eu não sou técnico em informática (gostaria de ser)... sou advogado e consumidor de um serviço.

Eu assinei um contrato com o BB e a CEF para o serviço de Internet banking e eles são obrigados a cumprí-lo perfeitamente.

Assim não me interessam as questões técnicas... o vício aqui é na prestação de um serviço... Já entrei em contato com os 3 call centers e vou à Agência do BB e da CEF protocolar uma reclamação.

Já coloquei meu prazo; se não resolver até 31/05/2008 eu vou pro judiciário... simples assim... vai ser até bom que vou ter uma ação a mais.. e ganha!!

Prato said...


I figured out that we won't need install this G-Buster inside Linux distributions plus Firefox.


JulioSky said...

Pessoal, após muito sofrer com os travamentos do windows, encontrei um aplicativo na Internet que momentaneamente resolveu meu problema, pois força um equilíbrio entre os processos que rodam no Windows, baixando a prioridade daqueles que consomem mais CPU. Por enquanto os travamentos diminuiram muito.
Baixe o Process Tamer em:

After much suffering with the crashes of windows, I've found an application on the Internet that momentarily solved my problem, It power balance between the processes that run on Windows, lowering the priority of those who consume more CPU. So far the crashes decreased greatly.
Download the Process Tamer in:

and make a donation! it deserves.

Wildnick said...

Process Tamer referred by Juliosky didn't work for me. Winlogon kept eating CPU cycles in large bunches after Process Tamer installation and configuration.

As I was getting crazy with Winlogon high CPU usage, I decide to use the G-Buster "vacine" referred to at previous express1000 comment. Although after installation and execution (it's necessary to reboot) an error message appeared saying it was not possible to delete all G-Buster files, Winlogon is now running without the periodic high CPU usage.

Thanks for all this information and comments.

Anonymous said...

Os argumentos do Rafael e de outros do GAS são simplesmente absurdos.

A verdade é que:

1. o G-Buster faz com que, a cada 5 ou 10 segundos o Winlogon tenha um pico de consumo de CPU. Estes picos vão a 70% de CPU ou mais. Resultado a máquina engasga. (Aconteceu comigo, por isso não me venha dizer que não é assim)

2. Os call-centers dos Bancos são péssimos e não conseguem explicar NADA.

3.Na hora da pedir permissão para instalar o G-Buster, deveria ser dito claramente o consumo de CPU (em picos) e que a desinstalação é trabalhosíssima. Além disto, deveria ser dito o que exatamente ele faz.

4. Hoje só faço Internet Banking em Banco que utilize o G-Buster. E explico isto claramente para o gerente do Banco.

5. Acho de máxima urgência se publique um compêndio de todas as formas de desinstalar o G-Buster. e melhor ainda seria fazer um programa que desinstale o G-Buster. Uma ideia neste sentido é fazer um pacote que quando instalado permita a criação de um CD de Boot simples e ao se dar boot pelo CD se executaria automaticamente um programa que limpasse o G-Boster do disco e do Registro.

6- Sim, eu sou mais um usuário sacaneado por essa m. de G-Boster e a quem os call-centers do bancos não souberam dizer nada.

Gustavo Lins said...

eu tb tive esse problema, mas parece que já atualizaram o plugin, pq o problema parou ao acessar o banco de novo.

tentem fazer o mesmo.

Anonymous said...


Eu tive o problema semana passada! Não sei da atualização que você está falando, mas nem todos os bancos atualizam ao mesmo tempo. E não há como saber qual versão seu banco está usando.

Recomendo quem teve problemas NÃO tentar de novo.

Eu não aceito mais Internet Banking que dependa da instalação do G-Boster. Se preciso, mudo de banco.

Anonymous said...

A solução do G-Buster é ruim. Depender das pessoas não saberem desinstalar é um absurdo.

Bastar pensar: existem vários bancos (inclusive multinacionais) operando no Brasil, cujas soluçõses de segurança não dependem de nada parecido com G-Buster.

É importante frisar que uma solução de segurança, como alguém já disse, protege o BANCO, e não deve em hipótese alguma prejudicar a máquina do usuário.

A GAS simplemente criou um produto ruim e quer convencer a todos que qualquer boa solução de segurança tem que ser como o produto dela. Mas a verdade é exatamente o oposto: qualquer boa solução de segurança para internet Banking NÃO pode ser como o G-Buster.

Depender das pessoas não saberem como desinstalar é um absurdo porque isto só a atrapalhara a vida do usuário comum. O hacker do mal com certeza encontrará como desintalar / alterar o G-Buster.

A forma como o G-Buster é instalado é completamente anti-ética, senão ilegal. Não adianta o banco perguntar se o usuário aceita instalar o "módulo de segurança" (G-Buster). Seria necessário, NO MÍNIMO, informar que é extremamente difícil desinstalar o G-Buster e que ele impacta a perfrmance do sistema, podendo provocar desde pequenos travaments até crash completo.

Gustavo Lins said...

eu soh falei pra quem tiver com esse problema, que acesse novamente a pagina do banco.

se vc quer ou nao usar o plugin, aih eh vc quem decide. vários programas já tiveram bugs que sairam nas versoes, este pode ter sido um problema que houve dessa versao.

sou um usuario leigo em questoes de info, mas busco informacoes antes de sair falando mal das coisas por aih.

acesso sempre o internet banking e jah acessei varias vzes com minha maquina infectada. acredito que esse plugin deva sim nao ter uma desinstalacao definida, pq senão o numero de fraudes seriam enormes, visto que os hackers vivem procurando brechas pra ganharem dinheiro desonestamente.

e outra, a maioria das pessoas que querem uma desinstalação nao devem querer simples e justamente para tirar esse plugin da memoria, devem querer para roubar. eh soh nisso que eles pensam.

agora, vcs acham que soh pq entendem muito de informatica nunca terao problemas de serem roubados e que sempre se previnem, mas existem centenas de usuarios que nao sabem dessas coisas e que se nao fosse essa protecao seriam roubados sempre.

nao culpo esse plugin, jah que ele me protege. se houve problema, eles jah corrigiram, pq aqui n minha maquina o problema nao ocorreu mais depois que acessei a pagina do banco.

podem me achar um idiota por nao ficar puto com esse plugin, mas continuo com a opiniao de que ele me protege.

eug said...

Gustavo Lins said...

" e outra, a maioria das pessoas que querem uma desinstalação nao devem querer simples e justamente para tirar esse plugin da memoria, devem querer para roubar. eh soh nisso que eles pensam."

Você falou uma besteira.
E é preconceituosa sua afirmação.

" mas existem centenas de usuarios que nao sabem dessas coisas e que se nao fosse essa protecao seriam roubados sempre."

São roubados do mesmo jeito.
Apenas os bancos não ficam divulgando que vivem repondo dinheiro rapado das contas dos seus usuários.

" podem me achar um idiota"

Obrigado por ter dado essa permissão!

Gustavo Lins said...

"São roubados do mesmo jeito."

duh. logicamente, mas com certeza em menor escala caso nao houvesse proteção.

Gustavo Lins said...

Ah, e eh preconceituosa sim.
Mas besteira nao eh.

eug said...

"duh. logicamente, mas com certeza em menor escala caso nao houvesse proteção."

Não é o gbieh que vai oferecer essa proteção.
A proteção passa por não usar windows.
Mas, SE usar windows, não usar o IEca. Em vez disso usar FF.
como a maioria dos usuário não faz -- a proteção passa por não usar uma conta root o tempo todo.

eug said...

"Ah, e eh preconceituosa sim.
Mas besteira nao eh."

Não é porque eu não quero rodar o malware gbieh que eu sou cracker ou cybercriminal.
Só não quero que o banco me obrigue a usar um malware -- o gbieh.

Anonymous said...

Desculpe, mas é ridículo dizer que "a maioria das pessoas que querem uma desinstalação nao devem querer simples e justamente para tirar esse plugin da memoria, devem querer para roubar. eh soh nisso que eles pensam."

Os hackers que querem roubar não precisam vir a blogs como este para pesquisar como desinstalar o G-Boster. Eles têm prazer em gastar tempo e esforço em descobrir e com certeza é "sopa" para eles.

A maioria das pessoas que querem um procedimento de desinstalação são simplesmente usuários que estão tento problemas no seu Windows por causa do G-Boster.

(E os call-center dos bancos não conseguem dizer como desinstalar)

eug said...

"Os hackers que querem roubar não precisam vir a blogs como este para pesquisar como desinstalar o G-Boster. "

Concordo com você.

Pra que penalizar o usuário se a ferramenta é ineficaz/inefetiva?

eug said...

Eu queria ter o dom da oratória, ou o poder de convencimento, ou mesmo os poderes paranormais que os caras da GAS tem.
Porque convencer os bancos a assinar um contrato que provavelmente é de milhões, para comprarem uma ferramenta que é uma merda...

Onde tem curso pra aprender essa mágica???!!!


Ricardo said...

Eug, se você descobrir esse curso me indique, por que eu tbem quero fazer.
1) O GBuster É uma merda, isso é ponto pacífico.
2) Em qualquer país sério quem fez esta MERDA seria processado, junto com os bancos.
3) Eu vou remover o GBuster e não sou ladrão.
4) Concordo que hacker não precisa de blog para remover o GBuster.
5) Já falei que o GBuster é uma merda?

A propósito, eu trabalho com o Rômulo e ele mesmo vai tirar esta MERDA do meu computador, e além disso vou convencê-lo a postar uma forma atualizada de remover esta MERDA, mesmo sabendo que os desenvolvedores desta MERDA, vão fazer a MERDA ficar maior ainda e o blog vai ficar desatualizado rapidamente.

eug said...

Procurei no google e no eMule
pelo _KillGBIEH30.EXE e não achei mais para baixar...

Alguma boa alma pode upar para
um da vida?

Anonymous said...

No Unibanco o G-buster é chamado "Guardião Internet 30Horas"

Vejam a descrição MENTIROSA que é dada no site do Unibanco:

'O Guardião Internet 30HORAS é um software do tipo "antivírus", e tem por objetivo inibir a ação de arquivos maliciosos, a exemplo do cavalo-de-tróia. Ele não altera ou excluí nenhum arquivo de seu computador. A função dele, é bloquear o funcionamento de programas maliciosos similares aos "cavalos-de-tróia" durante o acesso ao Internet 30HORAS, aumentando a segurança de acesso à sua conta.'

Claramente a descrição induz o usuário a pensar que é um programa inofensivo e que funciona somente durante o acesso ao Internet 30HORAS.

Isto é EXATAMENTE a essência de um Trojan: se apresentar como uma coisa e instalar outra. Em qualquer país civilizado, isto seria considerado criminoso.

Anonymous said...

Pessoal, eu liguei para o Banco do Brasil para reclamar do gbpsv.exe rodando na minha máquina e ele me deu esta explicação de como desinstalar o plugin :
1- partir o micro no modo segurança
2- remover a pasta Arquivos de Programas/GBPLUGIN

Quando perguntei ao atendente se o procedimento iria deixar itens no registro do WIndows ele não soube responder.

De qualquer modo não funcionou, mas ai eu fiz outra coisa, parti pelo Windows instalado em outro HD que serve como backup (em modo Segurança) e ai sim eu pude remover a pasta GBplugin.

Outra coisa que o atendente disse é que quando o site do Banco diz que vai instalar o plugin, o usuario tem uma opção de rejeitar a instalação e mesmo rejeitando o usuário ainda tem acesso a sua conta. Não descobri como.

Anonymous said...


Perdi meu tempo lendo um monte de opiniões e ninguem deu a solução. Até uma criança da quarta série apaga isso. Ai vai a solução:

1- Crie um disquete de boot com qualquer programa que permita o acesso pelo DOS ao NTFS (eu usei o NTSF4DOS, mas existem outros)

2- Apos criado o diskete reinicie o computador com o Boot pelo drive A ou B, conforme seu caso.

3- Escreva Yes para rodar o NTFS4DOS quando o programa pedir

4- Agora a parte ridicula: com um simoples:
del *.*

Pronto até uma criança apaga essa merda..Infelizmente nesse forum todo mundo ficou procurando a solução dificil. Jamais formataria minha maquina e perderia tempo por causa de uma emrpesa de quinta categoria que se acha protetora dos usuários. Toda imposição é um crime. Salve a liberdade na internet e no seu proprio computador!!!!!

Anonymous said...

Você tem toda razão. A solução que eu usei foi parecida. Criei um Live CD (um CD que serve para dar boot pela unidade de CD) e apaguei todos os arquivos do diretório C:\Arquivo de Programas\gbplugin.

O Live CD pode ser, por exemplo, Kurumin (Linux) ou Bart-PE (CD bootable de Windows, que eu usei).

Mas existe um ponto que precisa atenção: as bibliotecas da "praga" também estão no C:\Windows\Download Program Files, portanto, como seguro morreu de velho, é bom também apagar todos os arquivos gb*.* de lá.

Depois eu usei as excelentes dicas do Rómulo e do Alexandre para entender e limpar a bagunça que o G-buster tinha feito no Registro. (Sim, isto não era estritamente necessário, mas é sempre bom entender como essas merdas contaminam nossos micros).

Rodrigo said...

Mudem de banco.

Assim vocês se livram dos incompetentes e daqueles que os pagam.

eug said...

Nem sempre é possível.

Quanta gente que recebe salário
por um banco e não tem opção de

Luiz said...

Olá pessoal, faz uns 7 meses que descobri este site e com a ajuda dele removi o GBuster do Banco Real (minha esposa tem conta lá).

Resolvi dar um pulo aqui pra ver como anda a situação do GBuster, e aqui está minhas experiências com o Banco Real e a GAS.

Só que o Banco Real EXIGE o GBuster para efetuar qualquer tipo de movimentação financeira, eu e ela entramos em contato várias vezes com o call center do Real e também via e-mail com a ouvidoria do Real e da GAS. Em TODOS os casos os problemas não foram resolvidos.

O suporte da GAS disse que o problema é do Real, o suporte especializado do Real nem mesmo sabia o que era o "plugin" G-Buster muito menos um rootkit ou um malware.

Por fim, gastei vários interurbanos, tempo, paciência, e a única solução fornecida pelo real seria uma desativação temporária de 15 dias da necessidade do plugin para fazer movimentações, OU assinando um termo de responsabilidade por TUDO que ocorresse na conta eles fariam uma desativação permanente da necessidade dele.

Nossa resposta no final foi transformar a conta dela numa conta salário (ela recebe por lá), e o dinheiro é retirado de lá e movimentado pela minha conta.

Pra mim essa seria a melhor solução para tentar evitar que os bancos façam este tipo de coisa, parem de movimentar dinheiro neles.

Eu utilizo o Banco Nossa Caixa, eu particularmente gosto MUITO do esquema de proteção dele. Tenho uma senha para login, e qualquer movimentação exige um cógigo de 4 letras secreto gerado com uma chave dupla em forma de cartão (2 cartões deslizantes) além de uma senha específica para movimentações.

Anonymous said...

Filhos da puta esse pessoal do Unibanco!

Deveriam ser processados por installar esta praga que e o G-Buster sem informar plenamente ao usuario.

Algum advogado deveria abrir um processo contra o Unibanco pela falta de etica.

Coffone said...

Enfrentei problemas semelhantes aos de muitos usuários que postaram sua insatisfação;consegui remover apenas o executável desta porcaria de proteção, não conseguindo apagar a pasta criada nem outros arquivos...não está + inicializando com o com o windows, mas continua "imutável e indeletável" nas ferramentas administrativas e serviços...pior, a mensagem esdrúchula que recebi do desenvolvedor, alegando ser a responsabilidade da Cef...liguei no call-center do banco e nada de solução, o atendente só enrolou e pediu para seguir passos que fiz sem orientação de ninguém, lamentável!Em qualquer país sério, este executável é um SPYWARE, só protege o bco e não permite de forma alguma sua desinstalação, somente com "força-bruta".

Anonymous said...

the easyest way is:
download Process Explorer, than find the directory of the plug-in in cmd.exe, than type del *.*, write s but dont enter, close winlogon and quiqly go to the msdos prompt and press enter, you will have one second or less to do it! worked here!

Anonymous said...

Sem tomar partido pelos que apoiam ou criticam o que a GAS fez com o GBPSV, vou comentar o que esta acontecendo comigo. A Empresa que trabalho fornece aplicações para gerenciamento Administrativo e devido a esse produto da GAS toda a vez que um usuario acessa um banco que utiliza essa ferramenta nossa aplicação simplesmente fecha. E só volta a funcionar depois que o usuario reinicializa a maquina e nao acessa o site do respectivo banco.
Apoio qualquer iniciativa de proteção e até defenderia a GAS com seu produto. Mas estamos sendo prejudicados por uma aplicação de outra empresa, isso tb não se caracteriza CRIME? E o que é pior, quando ligo para relatar nossos problemas a unica informação é que temos que contatar o suporte do Banco. Com certeza tudo isso acontece no Brasil, isso aqui é um verdadeiro puteiro msm. So tenho 2 perguntas a fazer.
1) quem vai arcar com meus prejuisos?
2) Se eu cria-se um programa que simplismente fecharia os produtos das empresas que os profissionais (assim espero) que apoiam a GAS com seu produto e nao desse nenhum suporte, qual seria a postura deles?

Anonymous said...

I removed the folder "C:\Arquivos de programas\GbPlugin". However the GBPSv service "Gbp Service" cannot be removed. TRENDSCAN TrendMicro reports DEADLINK_NOVIRUS("dead" autostart registry entries). I tried to remove the service using Autoruns and also "SC delete GBPSv" but I get "access denied". Does anyone know how to remove the service? Thanks.

Anonymous said...

I got rid of it by rebooting windows, and tapping on F8 and booting up in Safe Mode (Command Prompt) and deleting the C:/Program Files/Gbplugin directory.

The program Truesword will also detect the registry keys, while you can then remove manually using regedit (browse the path Truesword finds for you).

This program was slowing down my machine big time. My wife is Brazilian, and it must have been Bank of Brasil.

It's finally gone!

Gringo Husband

Anonymous said...

it doesn't work, I still notice logins and passwords being taken

Zeka said...


Tive o GB Plugin (aka MERDA como anteriormente citado) diversas vezes instalado no meu micro, pois acesso o site da CEF e do BB. Todas as vezes anteriorer consegui remover "na mão" com um pouco de trabalho. Mas após uma formatação rotineira, há alguns meses fui acessar o site da CEF pelo IE, e o plugin foi instalado. E pude notar que era uma versão mais atualizada. Isso porque mesmo instalando o serviço GbpSv.exe, anteriormente eu conseguia parar/matar o serviço sem problemas. Mas nesta versão, o serviço foi criado de tal maneira que nem o Admin tem permissão para parar o serviço (vi isso pelo sc.exe ou psservice.exe). Mesmo matando ele com o ProcessExplorer ele reaparece um segundo depois, chamado talvez pelo WinLogon.

Amigos, sou um cara que fica online 100% do tempo e há 3 anos não utiliza antivirus. Sou esse tipo de pessoa. Mas nesta versão do MERDA, usei o HijackThis, o Autoruns, entrei no modo de segurança, tentei deletar arquivos no boot, enfim, por todos meios até então conhecidos e nada. Estava realmente puto com a "invasão de domicílio" ocorrina no meu PC!

Ontem resolvi quebrar a cabeça mais um pouco, dei uma lida no blog, pesquisei na internet e acabei caindo no Avenger ( No Avenger, você cria um script para a exclusão/modificação de arquivos, chaves do registro, serviços etc, e a partir dele ele gera um executável que roda no boot, com as permissões que nem você (o Admin) tem. Fiquei meia hora gerando o script com as chaves do registro, e executei o programa totalmente incrédulo. Após uns 3 boots, o XP subiu, apertei CTRL+ALT+DEL, e tive a grata surpresa de não ver o MERDA.

Então, SOLUÇÃO ATUALIZADA PARA REMOVER O G-BUSTER BROWSER DEFENSE é utilizar o AVENGER. Eu enviaria o meu script também se estivesse com ele aqui, mas qualquer um com bom senso pode criar o script.

Outra recomentação, utilizem o Firefox para acessar os sites dos bancos, pois na versão Firefox, o plugin é instalado no âmbito do browser, e não no sistema.

Anonymous said...

G-Buster actually set permission to its Registry Keys such that even the Administrator can not update them.

The solution is, in RegEdit, to right click the Key, choose Permissions, press "Advanced" botton, then choose "Owner" Tab and peek the administrator to be the owner of the key. Then The administrator will be alble to change the permissions and grant access permission to its own account. I suggest removing access from LOCAL and SYSTEM accounts.

More details can be found here:

But it is in Portuguese.

Bruno said...

Meu Explorer.exe estava reiniciando toda vez que eu abria qualquer pasta. Perdi 4 dias tentando resolver, passando antivirus, anti-rootkit e nada. Achei q tinha corrompido o meu sistema e restaurei os arquivos. Seguindo os passos dessa página consegui desinstalar essa PORCARIA e meu pc ficou perfeito.

Maldito G-Buster (aqui era o gbiehisg.dll).


javadicas said...

Rafael said...
Em todos os nossos clientes, sempre houve a opcao de desinstalacao. Basta contactar o call center.


Quer dizer que para instalar é só dar um clique, e para desinstalar tem que ligar pro Call Center??

Que abuso! Ao invés de contactar o Call Center devíamos contactar o PROCON!

javadicas said...

Perdi o dia inteiro hoje por causa desse Browser defense, meu antivírus começou a detectar ele como Trojan.

Browser Defense = Lixo!

Paulo said...

The solution for this problem is not so difficult. First you need to check where GBPSv.EXE is installed, then you download a tool from Avira software (this tool has been discontinuated but it is still available for free download). With this tool called NTFS4DOS you can restart your PC using a boot disk in DOS Environment then you can access your Hard drive and delete the so hated folder GbPlugin.

Faça o download da ferramenta NTFS4DOS e reinicie seu computador em DOS para apagar essa praga do seu computador.

Rafael sei que é muito importante a segurança, mas no meu caso usei o sistema da caixa uma única vez e nunca mais, essa ferramenta de segurança ficou no meu sistema por muito tempo até eu perceber que ela atrapalhava o rendimento do meu computador.
Vocês deveriam disponibilizar uma ferramenta de remoção dessa proteção especialmente pras pessoas que nao utilizam o hombanking com frequencia.

eug said...

"With this tool called NTFS4DOS you can"

Use a linux liveCD (trinity rescue kit, for example):
ntfs-3g /dev/sda1 /mnt/sda1 -o force

Then whith mc one can navigate and delete folders and files.

eug said...

Guilherme Tuler escreveu:

"Já coloquei meu prazo; se não resolver até 31/05/2008 eu vou pro judiciário... simples assim... vai ser até bom que vou ter uma ação a mais.. e ganha!!"

E aí? Qual foi o desfecho da

eug said...

Existe em algum lugar da net
um banco de dados ou tabelão que
relacione bancos que usam o g-buster
e bancos que não usam?

Joaquim said...

Deixo uma pergunta, se o g-buster é tão bom assim como alguns aqui defendem por que o Bradesco, o Itaú, o Santander não o utilizam?

Joaquim D´Avila said...

"Deixo uma pergunta, se o g-buster é tão bom assim como alguns aqui defendem por que o Bradesco, o Itaú, o Santander não o utilizam?"

Assim como: se o Kaspersky é tão bom, pq todos nao utilizam?

Creio que é uma simples questão de escolha e pelo que eu saiba, o Bradesco também já tem um plugin

eug said...

Acredito que uma maneira de contornar o problema do malware G-buster é criar um ponto de restauração antes de acessar o banco, e depois de acessá-lo voltar à esse ponto.

Daí a máquina ficará desinfectada até o próximo acesso.

willian said...

Olá! Li, reli e treli o post. Porém, além de "post" meu inglês é basicão. Vi as dicas, segui algumas, mas como meus conhecimentos de informática também acompanham meu inglês, peço que traduzam os passos que o Rômulo indicou para remoção do gbieh. Quero removê-lo pois não tenho mais conta no BB e há muito tempo parei de usar a net para acessar site de banco. se alguém puder me ajudar ficarei agradecido.

Eileen said...

This is great info to know.

Anonymous said...

G-Buster é uma excressência que só poderia existir no Brasil, um país conivente com as ilegalidades e desonestidades dos poderosos.

Quando vamos mudar isso ? Só quando a maioria de nós quisermos... e nem um dia antes.

Odeio esse G-Buster e tudo que ele representa. A GAS é apenas uma empresa estúpida e pretenciosa que não respeita os usuários de seus produtos, mas que não passa de um subserviente escravo de seus poderosos clientes. E nós somos os demais escravos dessa sociedade injusta chamada Brasil.

Pelo fim da escravatura, acabem com o G-Buster.

Anonymous said...

Soooooooo How do I remove this crap from my computer???

eug said...

"Soooooooo How do I remove this crap from my computer???"

Brotosaurus said...

Até ontem, usando o IE7 no XP3, o site do BB oferecia a opção de atualizar o não a praga. A partit de hoje não oferece mais. Só diz que tem que atalizar e não me permite acessar minha conta.

Imagino que isso só ocorre nesse nosso Brasil...

Instalei um Linux para "fugir" dessa molidicencia...

No XP3 vou antes de usar o BB fazer um backup de partição. Dez minutos nó meu PC com porta e-sata e HD externo.

Vou manter uma partição atualizada com a praga para poder acessar o BB.

São dez minutos para lá e dez para cá. Durma-se com esse barulho.

eug said...

em vez de outra partição, etc e tal,
criar um ponto de restauração antes de infectar a máquina no site do BB e depois restaurar esse ponto após o uso do homebanking não funcionaria?

Brotosaurus said...


Vou responder pela parte que me toca: todas as alternativas que ofereci como opção funcionam e foram testadas. Tenho uma partição especial do XP bem reduzida. Só o que interessa é o IEx...

Pode ser que alguém tenha condições de oferecer resposta para a sua indagação.

Anonymous said...

Porra qdo instalei essa merda no meu pc estava em portugues, agora pra retirar esse $#%$$#@#@$ ta td em ingles ... pelo amor de deus... q ridiculo... BB so me da dor de cabeça mesmo...

Anonymous said...

Puta vida... vou pegar minha cpu e jogar na frente do gerente e mandar ele se virar... podem ter certeza q farei isso amanha...

eug said...

Aconteceu hoje:
Maq. infectada, o cureit da drweb
entre outras coisas, removeu o
SnAgOs ( e daí o micro na ligada não mostra mais a barra de ferramentas...

Esse SnAgOs é o plugin usado pelo banrisul.

Outra praga do estilo g-bóster...

Goytá (English) said...

The original post is in English, but most of the comments are in Portuguese (as the issue mostly affects Brazilian users), so I'm posting two comments, one in each language.

I was having serious performance issues in my PC, with extended boot times and the system nearly completely paralyzed for over a minute while winlogon.exe devoured 99% of CPU resources. The system was overall slower than it used to be and the CPU was overheating. It took me some research to find out that G-Buster was the culprit (I have a BB account), and some more to find out how to remove it.

I have done it now, which was troublesome but worked. Now the system boots in a snap, has become a lot faster and the average CPU temperature has dropped by some 4°C, as reported by NextSensor. And I can still access BB's Internet banking if I use Firefox, where Gbplugin is just a harmless .xpi add-on that doesn't stay resident and doesn't interfere with Windows, even in an account with administrative privileges.

That said, I would like to comment on some of Rafael's remarks.

Yes, Rafael, G-Buster does misbehave, and that's exactly the problem. Anything that slows down a PC so much (which you tried to deny, but as the testimonies here attest, is a fact) to the point of causing CPU overheating is robbing users of their time, hampering their work and stressing their system. I experienced all that in my own flesh (or hardware).

True, many antivirus and security packages do the same, but the user knew exactly what to expect and the tradeoff to be made. It's not done stealthily and dishonestly as G-Buster does. G-Buster is no less than unethical software and would bankrupt GAS with lawsuits and damages in any serious country. Sony's rootkit caused users much less actual damage than G-Buster does, and you saw what happened...

Second, contrary to what you stated, it does NOT offer any uninstall option. If it did, there wouldn't be so many helpless and clueless users discussing the matter here and in other blogs and forums.

Third, I agree that being resident all the time is a bad design decision. If G-Buster needs that to protect itself, GAS was simply not smart enough to devise a solution that would not work against users. Try harder next time, folks, and come with a better idea. I don't even access my Internet banking every day, but I had to cope with G-Buster and all its associated hassle all the time! That's unreasonable and unacceptable to me and to a lot of other users.

Fourth, I got nauseated with the paternalistic and arrogant mindset of your arguments. You sounded as if G-Buster was the savior that would alone protect all those dumb users from their own stupidity and from all cybercriminals out there, and that it should be given total powers to do that at whatever cost (which is to be paid by users anyway, not by GAS or even the banks). Get real, who do you think you are to give yourselves the right to mess up other people's systems to achieve your goals?

And fifth, you have insulted all users who don't accept or agree with the way they are treated by your product, by stating that anyone who wants to remove G-Buster can only be a criminal. G-Buster is a BAD solution that causes users more problems than it prevents. If we are (justly) pissed off with it and want to remove it, it is our right to do so, and there is nothing wrong with defending ourselves from G-Buster's invasive methods and GAS' incompetence, or with spreading the word about it to other users who are being seriously harmed by your bad software.

Let's face it, you failed to give users what they needed. But then, perhaps that was not really your purpose, to begin with. After all, it's not us users who pay hard cash for your system - it's the banks, whose CIOs you have successfully convinced with your marketing, which must be a part of GAS that works really well. So, it seems that we are irrelevant...

From a user who is really FURIOUS with all the wasted time and annoyance G-Buster caused to me!

Goytá (português) said...

A postagem original é em inglês, mas a maioria dos comentários é em português (já que o problema afeta principalmente usuários brasileiros), de modo que estou colocando dois comentários, um em cada idioma.

Eu estava tendo problemas sérios de desempenho no meu PC, com o tempo de inicialização prolongado e o sistema quase completamente paralisado por mais de um minuto enquanto o winlogon.exe devorava 99% dos recursos da CPU. O sistema estava de modo geral mais lento do que costumava estar e a CPU estava superaquecendo. Precisei pesquisar um bocado para descobrir que o culpado era o G-Buster (tenho uma conta no BB), e mais outro tanto para descobrir como removê-lo.

Fiz isso agora, o que deu trabalho, mas funcionou. Agora o sistema se inicializa num instante, está muito mais rápido e a temperatura média da CPU baixou uns 4°C, segundo o NextSensor. E ainda posso acessar o Internet banking do BB se eu usar o Firefox, onde o Gbplugin consiste apenas de um inofensivo add-on (.xpi) que não fica residente e não interfere com o Windows, mesmo numa conta com privilégios administrativos.

Dito isto, gostaria de comentar a respeito de algumas observações do Rafael.

Sim, Rafael, o G-Buster comporta-se mal, e este é exatamente o problema. Qualquer coisa que torne um PC tão lento (o que você tentou negar, mas como os testemunhos aqui provam, é um fato) a ponto de provocar superaquecimento da CPU está roubando tempo dos usuários, atrapalhando seu trabalho e desgastando seu sistema. Pude sentir isto na minha própria pele (ou no meu próprio hardware).

É verdade que muitos antivírus e pacotes de segurança fazem o mesmo, mas o usuário sabia exatamente o que esperar e a solução de compromisso a ser aceita. As coisas não são feitas na surdina e de forma desonesta como o G-Buster faz. O G-Buster é um software nada menos do que antiético e em qualquer país sério levaria a GAS à falência com processos e indenizações. O rootkit da Sony causava muito menos problemas efetivos aos usuários, e você viu o que aconteceu...

Em segundo lugar, ao contrário do que você afirmou, ele NÃO oferece nenhum meio de desinstalação. Se oferecesse, não haveria tantos usuários impotentes e desnorteados discutindo o assunto aqui e em outros blogs e fóruns.

Em terceiro, também acho que o software ficar residente todo o tempo é uma péssima decisão de projeto. A GAS simplesmente não teve a capacidade de elaborar uma solução que não trabalhasse contra os usuários. Esforcem-se mais da próxima vez, gente, e saiam-se com uma idéia melhor. Eu nem mesmo acesso o Internet banking todos os dias, mas tinha que conviver com o G-Buster e todos os aborrecimentos que ele causa o tempo todo! Isso é irrazoável e inaceitável para mim e para muitos outros usuários.

Em quarto, fiquei enojado com a mentalidade paternalista e arrogante dos seus argumentos. Parecia até que o G-Buster era o salvador que sozinho protegeria todos aqueles usuários imbecis de sua própria estupidez e de todos os criminosos da rede por aí, e que ele deveria ter poderes absolutos para fazer isso a qualquer preço (que de toda forma seria pago pelos usuários, não pela GAS ou mesmo pelos bancos). Caiam na real, quem vocês pensam que são para se arrogarem o direito de bagunçar os sistemas dos outros para atingirem seus objetivos?

E em quinto, você insultou todos os usuários que não aceitam ou concordam com a maneira como são tratados pelo seu produto, ao afirmar que qualquer um que deseje remover o G-Buster só pode ser um criminoso. O G-Buster é uma solução ruim que causa mais problemas aos usuários do que evita. Se estamos furiosos com ele (com razão) e queremos removê-lo, é nosso direito fazê-lo e não há nada de errado em nos defendermos dos métodos invasivos do G-Buster e da incompetência da GAS, e também em difundirmos a informação de como fazê-lo para outros usuários que estão sendo seriamente prejudicados pelo seu software ruim.

Vamos encarar os fatos: vocês falharam em dar aos usuários aquilo de que precisavam. Mas também, para começar, talvez esse não fosse mesmo seu objetivo. Afinal, não somos nós, usuários, que pagamos um bom dinheiro pelo seu sistema - são os bancos cujos CIOs vocês conseguiram persuadir com seu marketing, que deve ser uma parte da GAS realmente muito competente. Então, parece que somos irrelevantes...

De um usuário que está realmente FURIOSO com todo o tempo perdido e os aborrecimentos que o G-Buster me causou!

Anonymous said...

G-Buster Browser Defense não somente se tornou uma praga, mas é um software criminoso. Piratas que vivem de spyware usam brechas criadas por esse lixo de software pra invadir as maquinas e assim não podem ser retirados pelos antivirus. Tive minha conta no mercado livre roubada pelo uso desse lixo !

Fisher said...

É por estas e outras rasões que abandonei o software da M$.
Infelizmente muitos usuários parecem ser masoquistas e gostam de gastar tempo e dinheiro para fazer ou desfazer coisas que simplesmente não deveriam acontecer, e só acontecem porque existe um monopólio.
O quanto não houver uma adesão maciça de usuários ao abandono do Windows e a adoção de novos sistemas eu creio que isto vai continuar a mesma coisa!

eug said...

não é tão simples assim.

A minha maq. está livre das drogas. Não tem windows, ms-office, norton AV, etc e tal.
Maaaas, tem gente que não vai poder mudar mesmo querendo (a maioria nem quer).
P.ex, acho que a "Conectividade Social" da C.E.F. só funciona em windows...
Foi um parto liberarem uma versão do progr. do I.R. em java para poder rodar em outro S.O. que não o windows...

robertogp2002 said...

Dear All,
In my computer the process gbpsv.exe starts right after logon no matter the Internet Explorer is open or not.
I've suspected my PC is infected so I've sent a message to GAS Tecnologia.
Is there somebody able to help me in identifying if my PC is infected or not?

Anonymous said...


The best thing to do is exclude all related to G-buster or GAS Tecnologia from your PC like explained before by Rafael and Romulo. Like I told before this is an easy way to hackers get access to your PC using this program like invasion bridge without be detected by antivirus. From my side best way to do that is using your hard disk in another machine and exclude one by one of these files. I think that if you make another partition on your HD and instal a new system and boot from this another partition you maybe can do the same.

eug said...

"From my side best way to do that is using your hard disk in another machine and exclude one by one of these files."

Or, you can use a linux liveCD:

Vander said...

Solucionei o problema utilizando o combofix ( e download e utilizando o script:


C:\Arquivos de programas\GbPlugin


Sergio said...

G-buster is a plague, yes!
Support from banks, are you kidding??? The support people is all robots! If the answer is not in the manual, they don't give you a clue of what you need - they don't know (this when they want to work)!
The program should have an installer/uninstaller (give me some freedom) and should run only when called (by example, before someone started an access to a bank - some more work? Sure, but it's better than having this kind of thing running all the time).

Anonymous said...

Nod32 detect Gbplugin as a virus:

"C:\Arquivos de programas\GbPlugin\gbiehuni.dll - provavelmente uma variante de Win32/Genetik cavalo de Tróia - limpo por exclusão (após a próxima reinicialização) - em quarentena [1,2]"

O Ministério Público Federal tem poder o obrigação de processar e dar um basta nesta situação causada por este programa irremovível.

Faça a denúncia neste link:

Se eles não fizerem nada ai vc pode desistir de ser brasileiro pois ninguém mais terá poder de nos defender ativamente.

Dentre suas funções institucionais do Ministério Público, destaca-se a de promover, privativamente, a ação penal pública; zelar pelo efetivo respeito dos Poderes Públicos e dos serviços de relevância pública aos direitos assegurados nesta Constituição, promovendo as medidas necessárias a sua garantia; promover o inquérito civil e a ação civil pública, para a proteção do patrimônio público e social, do meio ambiente e de outros interesses difusos e coletivos.

Anonymous said...

Como remover o GbpSv.exe , gbplugin e irmãos.
1. Pegue o no link: (get in link above)

2. Rode o avenger.exe e importe o script do arquivo geplugin-remover.txt

3. Click no EXECUTE e reinicie o WINDOWS

Se o GbpSv.exe estiver em outra pasta corrija o SCRIPT feito para o diretório correto.
Evite de acessar o banco usando o Internet Explorer ele é o rei das merdas.
Se vai acessar o banco use o Mozzila ou o Opera que eles não vai deixar que o GbpSv seja instalado... reze para isto!


How to remove GbpSv.exe , gbplugin and brothers

1. Get from this link

2.Run avenger.exe and load geplugin-remover.txt script


If the files GbpSv.exe and brothers are in other folder repair my Script to the correct folder.

Dont use Internet Explorer to access Brazilian Banks.
Using Mozzila and Opera GbpSv.exe dont be back again... pray for this!


2) LINKS TO DOWNLOAD geplugin-remover.txt SCRIPT


eug said...

Grato pelo script!

The DarkMaster said...

G-buster acts like a virus and the interesting part, he CANNOT prevent a virus injecting itself on Internet explorer. I tested on a XP using virtual machine, instaled GBplugin and put a banker virus to test. the banker put gbplugin on ground easy. So, what the point on install a rootkit to protect agains viruses, if they is incapable to do this?

G-buster agre como um vírus e a parte interessante, ele é INCAPAZ de prevenir um vírus se injetando no Internet Explorer. Eu testei em um XP usando máquina virtual, instalei o gbplugin e coloquei um banker virus para testar. O banker virus botou o gbplugin no chão facilmente. Então, qual é o ponto em instalar um rootkit para proteger contra vírus, se ele é incapaz de fazer isso?

Eduardo said...

I can confirm that this piece of shit called G-Buster made all AJAX connections completely unstable, making the browser hang and causing constant timeouts.
Internet access in general got very slow, and all these issues were gone once this shitty service got removed.

eug said...

Eu testei o avenger e o script
citados aí acima e aqui funcionou!

Andre said...

Sou do suporte a informática de uma empresa com 300 computadores. E já tive 30 problemas relacionados ao GBPlugin durante o ano de 2008, quais sejam:

1) Casos frequentes de instabilidade do Internet Explorer 7 em computadores com Windows Vista (Internet Explorer gera um erro e é fechado).

2) Casos muito específicos de computadores com Windows XP, com IE7 que acessam uma página com uma grande tabela em HTML com mais de 2 MB de tamanho num aplicativo da Intranet corporativa, que provoca simplemente o fechamento do IE, sem dar mensagem de erro nenhuma.

3) Casos de lentidão do Windows, embora mais raros, que foram solucionados removendo o GBPlugin e o driver que é instalado no Windows\system32\gbpkm.sys.

4) Um caso de módulo .gpc batizado por algum hacker que resolveu usar a infraestrutura de autoproteção do GBPlugin para proteger seu próprio malware (o usuário deve ter caído no conto do e-mail de atualização do plugin de segurança). Dois antí-vírus ficavam detectando o módulo mas me deu uma dor de cabeça para removê-lo, por que precisava remover o GBPlugin.

Abri um chamado há seis meses atrás no Banco do Brasil para me fornecerem um desinstalador. Me retornaram uma vez depois de uma semana me informando que o chamado foi escalado para o suporte de 3.o nível. Nunca mais ouvi falar deles. Gostaria de saber se posso cobrar da Gás Tecnologia o tempo que eu perco para remover este plugin manualmente dos computadores com problemas (quase 30 minutos por computador). Depois bloquiei o acesso ao internet banking de vários bancos.

Ainda bem que os funcionários da minha empresa tem sua conta no Banco Itáu. O GBPlugin só fica instalado nos computadores do departamento financeiro que acessam mais de 30 bancos. Já proibimos o uso de Windows Vista no financeiro por causa do GBPlugin.

Quando um funcionário com conta corrente num dos bancos que adota o software da Gas Tecnologia é transferido, não temos a opção de simplesmente rodar um aplicativo desinstalador para limpar o computador de um software que não é mais necessário.

Os fins não justificam os meios. O GBPlugin é um root kit cuja inexistência de um método simples de desinstalação para um usuário leigo, mesmo que ele deixe de ser cliente do banco (o call center não atendeu direito nem um cliente corporativo com milhões na conta, quanto mais um não-cliente) ofusca grandemente todos os méritos e boas intenções que ele possa ter.

eug said...

"Gostaria de saber se posso cobrar da Gás Tecnologia o tempo que eu perco para remover este plugin manualmente dos computadores com problemas (quase 30 minutos por computador)."

Poder cobrar vc pode, mas ganhar, já é outra estória.
Vai depender do seu advogado, dos advogados da produtora do malware e do juiz que vai julgar o caso...

Anonymous said...

Eis o motivo pelo qual eu tento ficar o mais longe possivel de qualquer software que seja desenvolvido no brasil ou por brasileiros... sem generalizar, mas acredito que 95% do codigo gerado aqui no pais e criado por gente que soh quer ver o lucro, mas naum consegue gastar tempo nem dinheiro pra aprender a fazer a coisa direito... essa porcaria do G-Buster eh o melhor exemplo de engenharia tupiniquim de software

Altair said...

Sou desenvolvedor de websites e me deparei com mais um problema causado pelo GBuster.
Para cada requisição feita no site utilizando xmlhttprequest (ajax) o GBuster clona a requisição original, gerando sempre 2 requisições. Isso é fato, constado nos logs do Apache no servidor que hospeda o site. Ou seja, para cada requisição de página, 2 conexões são abertas. Mas isso não é tudo, o GBuster altera o cabeçalho REFERER da requisição, fazendo com qe a mesma não seja validada como original pela aplicação server-side, além disso cookies utilizados para controle de sessão não são enviados, causando um grande problema com sites que dependem de cookies para propagar sessões. Para piorar ainda 38% dos usuarios dos sites que desenvolvo ainda usam IE6.

banking said...

Logfile of The Avenger Version 2.0, (c) by Swandog46

Platform: Windows XP


Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist



Anonymous said...

Existem varias Maneiras de se remover o G-Buster

uma delas e mudando as permicoes dos arquivos e apagando

para se fazer isso utilize uma ferramenta o proprio windows chamada "cacls" que seta as acls para o arquivo que voce quiser.... os primeiros passos seriam setar o cacls para o driver que se crava e depois setar o cacls para os outros arquivos

"cacls C:\WINDOWS\system32\drivers\gbpKm.sys /d Administradores"

depois a mesma coisa para os outros arquivos ai seria bom reiniciar o pc e comecar a deletar eles :D

By LosterMurdoc

Euler said...

My wife installed this thing in my notebook, so she could access her CEF account. This service interfered with my mousepad device driver (Alps) so I lost several functions, specially its "wheel" simulation.
Tech personnel from CEF couldn't point me a way to uninstall this thing so I tried using Autoruns. All attempts to change registry entries failed ("Access denied!") so I boot-up using an Ubuntu live-cd and deleted all files under \Program Files\GbPlugin and \System32\Drivers\GbpKm.sys using its explorer-like file browser.
After that, my mousepad driver came to life again. I'm still waiting for CEF's tech personnel to call but am not holding my breath. ;^)

Reihert said...

I need help trying to remove it. My mother decided to check her account from Unibanco and now my IE is extremly slow. I can temporarly disable this add on, but everytime my IE restarts, that stupid gbiehuni restarts.
I tried to follow directions posted but I got lost at the removal part (mainly because I couldnt find any option to "kill" that "legalzied virus".
Please help

Goytá said...

Reihert, the simplest solution (but not the most effective one) is using a Linux boot CD to delete GBuster's files, like Euler (comment above yours) did.

I suggest that you download Ubuntu, which is the simplest flavor of Linux for those not familiar with it (perhaps even better Kubuntu, a variant that uses the KDE interface, which looks and works a little more similarly to Windows).

Both Ubuntu and Kubuntu are 700-MB CD images (.ISO files), so be prepared for a long download unless your Internet connection is very fast. Open the .ISO file in Nero or other CD writing software, burn the CD, boot from it and delete the files listed above from your hard disk.

Like I said above, this solution is simpler, but not the most complete, because it still leaves registry entries behind - Linux has no access to Windows' registry. In simple words, the system may still look for G-Buster to load and, not finding it, may fill your system error log (a theoretical possibility - I can't tell you for sure if this really happens). The most thorough solution is using the script linked above.

If you decide to use the script, I suggest that you disconnect from the Internet (physically remove the cable!) so that you can safely and temporarily disable your antivirus software. This is because the antivirus program might prevent the script from being run, since the latter has to make some deep changes to sensitive parts of Windows and could be mistaken for malware. But I have examined the script, and it is safe - it only does what it is supposed to do.

Good luck!

eug said...

For maintenance, ubuntu is

Use trinity rescue kit:

Command Line Interface,
mount windows partition with:

ntfs-3g /dev/sda1 /mnt0

Run mc (like norton commander) and you can copy, move, delete files and folders.

Marcello dias said...

For me this program is nothing but a piece of garbage.
I´ve a system wich is running for more than twelve years in a company,now this bank virus thinks my system is a malware.
I´m thinking about looking for my rights in a judge.

Anonymous said...

Clearly a malware.

It keeps trying to execute autocheck.exe.

Anonymous said...

1. Use a Linux Live CD.

2. Mount the Windows filesystem.

3. Delete the GbpPlugin directory.

4. Reboot on Windows.

5. Remove registry keys related to gbp s**t.

6. Close your bank account on these evil banks: Banco do Brasil, Caixa Econômica Federal, etc.

7. Rafael, you may be an expert, but you are evil.

André Sato said...

G-Buster should remain only as a plugin, not like a whole service that cannot be stopped nor removed.

The side effects is that ANY javascript site, like Visanet, becomes extremely slow, if you have any outdated machine equipped with processors such as Athlon XP or Pentium 4, processor usage goes 100%, even my Quad Core machine, an overclocked Q6600 running at 3.2Ghz, have trouble dealing with javascript sites.

And my keyboard has it's multimedia buttons rendered useless, i tested my keyboard in another computer and works perfectly, every single button.

The only way to deal with G-Buster crap is using Firefox when accessing bank pages, because Firefox DOESN'T ALLOW such intrusion in the system, because it remain as a mere plugin.

Sorry Rafael, but i'm an Unibanco customer, and i'm not happy with such plugin who claims to defend your computer, but any trojan can still fraud your flawed system, trojan can take screenshots and monitor your mouse activity nowadays.

Best regards, André Sato.

SenhorPC said...

Imaginem esse lixo o (Gbosta) em um servidor Windows Terminal Server com vários usuários conectado.

Pessoal do Gás que porcaria voces fizeram e ainda tem a cara de pau de defender, vao estudar e aprender a desenvolver. Voces acharam que estavam fazendo uma coisa bacana ahahah ridiculo para remover.

Falou seus patinhos...

eug said...

Alguém sabe de um script novo
do avenger?
Pq o geplugin-remover não tá mais dando conta do recado...

Juan said...

Just took me a few hours to clean the G-Buster (I did not know what the heck it was), started by trying cleaning the IE Plugin, then found the service that was re-enabling it! tried cleaning the service, tried deleting the exe file via reboot and I was surprised to find the PendingFileRemoveOperations poll...!!! I booted in SafeMode to find a Kernel Mode driver
There I was almost mad!!! booted in linux and deleted all the crap...
Note that my only mistake was to let my girlfriend use my notebook once to check on her bank account(!) I only knew it was due to it after I read your post - before I though it was some f*&(*& spyware - if I were a bank customer I'd like to sue them!!!

Anonymous said...

I cannot use Firefox to access Banco do Brasil without the gpb crap anymore.

Douglas said...

Desculpas aos leitores do fórum, mas vou postar apenas em português (meu inglês técnico só dá conta da leitura)

Alguém já experimentou usar o software "Unlocker" (download em - apenas 255 KB)?

Ele permite apagar arquivos travados e bloqueados pelo sistema operacional (mesmo em uso e carregados).

Assim, após a sua instalação (desmarca todas as opções durante a instalação), rode o programa ("Start Unlocker Assistant") para ficar residente e apague as pastas em questão:
1) "c:\Arquivos de programas\GbPlugin" (ou "%programfiles%\GbPlugin");
2) "C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin" (ou "%allusersprofile%\Dados de aplicativos\GbPlugin");

Quando for tentar apagar determinada pasta ou arquivo, após o erro eventual do Windows Explorer (não foi possível apagar o arquivo pois ele está em uso e/ou faltam permissões), aparece uma tela do Unlocker.

Selecione a opção "Apagar" (no canto inferior esquerdo), selecione todos os processos na lista (são os processos que estão bloqueando a exclusão) e depois clique no botão "Desbloquear Todos".

Pode ser necessário realizar isso outras vezes, pois essa operação é feita para cada arquivo bloqueado, de forma individual.

O restante retiro de um post meu mesmo nesse link -->

Use o programa UnLocker (, apenas 255 KB) para apagar os arquivos que estão sendo bloqueados pelos processos do windows (não deixam apagar os arquivos em uso). Vá e apague a pasta "%ProgramFiles%\GbPlugin" ("C:\Arquivos de Programas\GbPlugin" no meu Windows XP SP3 PT-BR)

Utilize o software AutoRuns (era da SysInternals mas foi comprado/assciado a MS -->, apenas 570 KB). Utilize o programa AutoRuns.exe e apague todas as entradas do registro consideradas inválidas ou maléficas, especialmente na aba Services, onde se lê GbPlugin e tecle "Del" para excluir.

Se não funcionar, é problema de permissão nas chaves do registro. Clique com o botão direito nesse serviço, escolha "jump to..." (ele vai abrir o registro na chave em questão). Dê permissão a "todos" usuários (adicionar / todos / acesso completo). Aí vc apaga essa chave do registro em particular. caso existam outras semelhantes, repita o procedimento.

Por fim utilize o CCleaner 2.20 (, 3,10 MB) e o MVRegClean 5.9 (, 1,36 MB) para dar uma geral no registro.

Recomendável fazer ambos os processos em modo seguro com rede (ou pelo menos modo seguro). A parte "com rede" auxilia na leitura dos fóruns e nos downloads dos arquivos.

eug said...

O maior problema --- já aconteceu comigo --- é que se vc remove o g-boster na marra, o windows no modo normal não apresenta mais a barra embaixo...

Remover na marra é fácil. Com um
liveCD do tipo trinity ou systemrescueCD se faz.

Anonymous said...

Rafael you either work for the G-Buster people which would explain your fervent support of this CRAP SOFTWARE...or you are a complete fool. Over 100 comments and none of us are pleased with the persistent presence of this MALIGNANT piece of code. Any third party software that hijacks my machine and overrides my authority is a total piece of shit and the coders who wrote it should all be sued. I HATE THIS MALWARE!!!

Anonymous said...

The worst of the worlds: hackers took money in my CEF account and GB continues there, tied to Winlogon and others, annoying me.

eug said...

Sue GAS_malware_technology!

Eduardo said...

PQP, DOIS ANOS se passaram sem uma solução, é simplesmente ridículo. Graças a Deus não uso estes bancos, nem Windows, mas já pedi uma semana e uma instalação completa do Vista de um cliente (sou tecnico de suporte). Vou sugerir com insistência uma ação de classe, iniciada pelo nosso sindicato, e falir esta empresa ridícula antes que ela acabe de vez com a nossa paciência.

eug said...

Internet Explorer não entra mais no site do Bradesco.

Anonymous said...

A quem interessar possa, uma solução de remoção que funcionou 100% comigo: remover o G-Buster com o "Total Unistall" (minha versão é a 5); após, verificar se a pasta principal continua em "arquivos de programas", e apaga-la, pura e simplesmente (esvaziar a lixeira... eu uso o "TuneUp shredder").

Anonymous said...

Um parente, que nada entende de computadores, esteve aqui e acessou seu internetbank. Minutos depois percebo o computador estranho, teclado lento, IE demorando para iniciar novas janelas. Adivinhem? Esse tal Gbplugin é uma mina de ouro para quem fez - arrecada diretamente de grandes bancos, que pouco entendem de segurança - e um tormento para que usa, empurrado goela abaixo. Liguei para o call center pedindo pelamordedeus para desinstalar isso e fui informado que quem tem que pedir a desinstalação é o detentor da conta...

E o parente "analfabits" é que terá que ligar para o call center e explicar o que nem ele entende para quem estiver na outra linha?

Qualquer antivirus, inclusive os bons, não só desinstalam como desativam temporariamente e nem por isso ficam vulneráveis a serem desativados por criminosos.

Esse post dura 2 anos e o Gbplugin continua com sua abordagem ruim e que não evolui, causando problemas e muito lucro...

Simplesmente inaceitável.

Anonymous said...

Maior Merda que existe G-buster. deveria ser banido.
Sabe porque é pior que virus? simples: o virus vc usa o anti-virus, mas no G-porcaria vc tem que praticamente hackear o sistema.

Karen said...

Em junho/2009 o Douglas comentou: "Se não funcionar, é problema de permissão nas chaves do registro. Clique com o botão direito nesse serviço, escolha "jump to..." (ele vai abrir o registro na chave em questão). Dê permissão a "todos" usuários (adicionar / todos / acesso completo). Aí vc apaga essa chave do registro em particular. caso existam outras semelhantes, repita o procedimento."
Bom, (quer dizer, mal, muito mal) não funciona mais. Quem tentar fazer isso no registro, vai ver System com controle total, e todos os outros usuários com permissão somente de leitura, além de uma 'conta desconhecida'. Pode tentar trocar as permissões ou quem é o 'proprietário'. É só você clicar em 'aplicar', que retorna tudo ao estado anterior, e com isso você não consegue excluir uma das entradas do registro... :(
Depois o Eduardo, em 10 Julho, comentou uma possível ação de classe. Gostaria de saber qual o sindicato, porque sou capaz de me filiar só para poder engrossar as fileiras de quem vai ajudar essa GAS a falir.
Alguns anos atrás, só pela POSSIBILIDADE de que um erro deles colocasse minha conta em risco, participei de uma ação desse tipo contra a PayPal, e acabei recebendo uma compensação MONETÁRIA!
Se esse tipo de ação é possível no Brasil, não sei, mas podia-se pensar em iniciar um tipo de ação assim nos EUA... já que também existem americanos sendo prejudicados. Alguém se habilita? ;-)

Karen said...

Update: fiquei livre da praga! Usei uma combinação das dicas: primeiro, o disco de recuperação do Ubuntu para deletar o executável e DLL, nos folders raiz e documents and settings. Depois, limpeza do registro, com o truque de alterar as permissões que, agora já sem o executável, o registro me permitiu alterar efetivamente.
Boa sorte aos demais!

eug said...

depois da desinfecção
vc já fez homebanking
E não foi reinfectada?

Karen said...

Eug, na realidade, não. Porque eu fazia o homebanking para o meu pai, que mora em outra cidade, mas o Banco Real agora está cheio de requisitos, tem que registrar computador, etc., etc, então deixei pra fazer isso com o laptop quando estiver junto com ele.
Meu caso pessoal é diferente: uso o Bradesco e não tenho problemas com a GAS (por enquanto, 3 toques na madeira!!!)

eug said...

E a m3rd4 se repete:
Cliente chegou aqui com maq. recém formatada,e travando...

Testamos um monte de hipóteses.

Refizemos os passos:
1- formatar a maq.
Ok, beleza.
2- instalar drivers da MoBo, ok, beleza.
3- baixar e instalar o malware do BB ->
máquina não entra mais após o reboot.
Daí vc vai pra ultima conf. válida e beleza... Um ponto antes da instalação do malware do banco...
Não sei como ninguém processa os fdp do banco ou os fdp que fazem o malware.

Anonymous said...

Tive um problema semelhante na empresa, mas foi apenas nas maquinas com o Vista instalado. As maquinas com XP funcionam perfeitas. Alguem mais observou esse comportamento? Pode ser coincidencia, mas...

eug said...

XP Pro com SP2 integrado.
não lembro agora...

Sugeri ao cliente ligar pro SAC do banco e perguntar sobre compatibilidade do malware com a(s) versão(ões) do xp...

Anonymous said...

mais um aqui na lista daqueles que querem remover esta merda....

Rafael ACORDA. Só instalei essa porcaria pq senão nao poderia usar o internet banking. Se eu quero isso rodando na minha maquina. NAO.

Troquei de banco e agora to me fudendo para tirar isso do computador...

Sem razao alguma o comentario do Rafael. Tomara que essa GAS quebre logo.

Anonymous said...


Thanks for your article. It helped me to remove G-Buster from my computer.


Anonymous said...

Realmente é uma das piores "ferramentas" que surgiram na Internet, o pior é que a gente não sabe se ela coleta as informações, para quem e com qual propósito!
Para retirá-la, "só abatendo a tiros", isto é: reformatando o HD, pois ela tem uma capacidade para se regenerar incrível. Em resumo: é a droga das drogas com cara "oficializada". É coisa para Webmaster preguiçoso, representante e comprador "picareta".

Anonymous said...

Enorme discussão. Não sei se já foi respondido, mas o que mais que esse g-buster faz além de garantir sua auto-perpetuação?


Enormous discussion. I don't know if it's been answered yet, but what else does this g-buster do besides guaranteeing its self-perpetuation?

eug said...

Nada, pq mesmo tendo esse malware
instalado nas máquinas dos clientes, os mesmos continuam tendo suas contas rapadas pelos criminosos virtuais.

Shannon said...

Vejo que o amigo acima é um dos mais ativos aqui neste fórum, e por nosso senhor Google search, vim parar aqui...
Gostaria de um resumo atualizado da "receita" para defenestrar essa mer..cadoria :}

Só prá constar, minha máquina está surda e muda - não tenho mais drive de áudio, e tive perda de algumas funções como copiar/colar p. ex.. ;/

eug said...

Não tenho experiência recente de
desinfecção deste malware.
Não sei se a receita do artigo continua válida.
Só vc testando para saber.

Quanto aos drivers, tente reinstala-los a partir do CD que acompanha o micro/note, ou procure no site do fabricante.

alguem said...

Eu mecho com programação e sei bem como esses programas que roubam senha de banco funcionam, eu msm já fiz um. Eles usam basicamente 3 métodos: Tela falsa, pharming ou web injection. O g-buster oferece proteção apenas contra 1 tipo desses ataques, que por sinal é o mais comum no brasil, que é o método da tela falsa. O significa que o g-buster, apesar de proteger contra o método mais comum, não oferece tanta proteção quanto diz.

Outra coisa é que se engana quem acha que quem meche com isso é hacker. Eu diria que 99% dos 'hackers' especializados em roubo de contas de banco pela internet, não sabe nem ao menos mecher no pc. O que eles fazem é comprar os programas de gente como eu, quase sempre pagam tb para alguem espalhar o programa pela rede, e muitas vezes tb pagam até para alguem desviar grana das contas para eles. Realmente, é dinhero sem esforço nenhum...

eug said...

Os banqueiros trariam seus
prejuízos a quase zero se
exigissem que seus correntistas
não usassem windows e internet explorer.
Só isso já seria uma medida
efetiva e eficaz.
Os maiores problemas dos cybercrimes
são o windows e o iexplorer e
os seus usuáios.

alguem said...

Na verdade não adiantaria muito, se os bancos obrigassem seus clientes a usar linux(o que nunca irá acontecer), começarão a surgir mais e mais bankers para linux, o único motivo para não haver bankers que rodem em linux é pq ngm usa linux. É mais ou menos a msm coisa com o firefox, apesar de haver bastante usuários que já usam o firefox e tb do firefox ser realmente mais seguro que o IE.

eug said...

Tem muito mais servidores rodando apache do que IIS e no entanto o IIS pegou codered & nimda, o apache não.

E, o firefox não tem os infames controles activeX que tem suas raízes fincadas como metástases diretamente dentro do S.O., como o iexplore tem.

eug said...

Por causa da retro-compatibilidade,
Seven, Vista, XP, etc, continuam sendo remendões de "interface bonitinha" rodando sobre os mesmos princípios inseguros do DOS.

eug said...

"At base the Microsoft products all go back to a core that is built on the MS-DOS concept of a single task, on a single computer for a single user. There is little need to be concerned about security with such a design. This is a fine concept if one never attempts to use such a system for anything other than a single task, on a single computer for a single user. But that is not what Microsoft has done. The Microsoft products simply kept that single user, single computer base technology and added on multi-tasking (Running many programs at one time.) and networking (Connecting many computers together for sharing data, printers and so on.) Later multi-user capability (More than one user on a computer at the same time.) was added on top of this single user, single tasking core. Granted the multi-user capability is not really present in Microsoft desktop products, so we can ignore the fact that one may create multiple user accounts on a modern Microsoft based desktop system. I will call the Microsoft model a one-one-one model.

The problem with adding on these multi-tasking, networking and multi-user capabilities to the Microsoft one-one-one products is that there appears to originally have been no concern for securing these systems. The security concern only began once people began to see systems being cracked and exploited “in the wild”. However, there was a serious problem with securing these systems. To correctly raise the security bar for Microsoft systems “out of the box” the core of the operating system should have been redesigned from scratch. The backwards compatibility that has its roots in that single task, single user, single computer model would have to go away at some point. Apparently the high and mighty Muckity Mucks at Microsoft made an executive decision to not do that, ever. So, today we have Microsoft Windows 7 released and containing roots going back to that insecure one-one-one operating system design.

How is GNU/Linux different? A GNU/Linux desktop system is designed from the..."

eug said...

Encontrei o meu problema... era o modulo de segurança usado pelos bancos, "gbplugin", removi e meu navegador passou a funcionar 100%, ate o windows parece que ficou mais rapido, gbplugin se instala com o um serviço do windows e fica o tempo todo na memoria.

Se voces usam o bb ou abn, deve ser este o problema.

Rhael said...

Só pra tirar minha dúvida cruel já que não vi isto em nenhuma das tentativas de solução:

Alguém já experimentou baixar a prioridade do programa pra muito abaixo dos outros que vocês estiverem usando? Se já ainda assim ele ocupa demais o processador?

Vinícius said...

Well, since there are so many people here "talking" pt-BR, so will I: O pessoal da GAS que me desculpe, mas esse G-Buster é uma merd*. Estou falando como usuário do Unibanco, o banco que realmente nem parece banco, e que graças a Deus foi comprado pelo Itaú. Aliás, este (o Itaú) ganhou milhares de pontos comigo desde que eu vi que ele te provê segurança no bankline sem esses malditos spywares desenvolvidos pela GAS e cia. Espero que os arquitetos (não necessariamente os desenvolvedores) desse maldito spyware queimem no inferno.

Vinícius said...
This comment has been removed by the author.
SenhorPC said...

Pessoal... tentem o seguinte...

1- Instale e execute bankerfix:
2- Depois limpe o registro usei o ccleaner
3- Reinicie o computador
4- Instale e execute combofix:

A maquina ficou muito melhor e remove os gbieh...

Vinícius said...

O Itaú Personnalite adotou esse vírus!!!

Postei em meu blog um hack para burlar a necessidade de instalação do mesmo:

Vinícius said...

Desculpem. O post não ficou nem um dia no ar e eu já recebi e-mails ameaçadores para retirá-lo. Enfim, fica a dica de que um simples javascript resolve o problema. Abraços.

eug said...


Uma vez que esse serviço roda localmente na máquina e, uma vez que não existe comunicação entre ele e os servidores do Itaú, fica fácil dizer ao site do Itaú que o programa já está instalado (mesmo ele não estando). Como? Uma simples olhada no código-fonte da página e pronto! Seguem os passos para burlar a necessidade de instalar esse vírus na sua tão bem tratada máquina:

1. Entre na página do Itaú Personnalite, digite sua agência e conta, clique para continuar.
2. Aparecerá a tela dizendo que se você não instalar o GBP Service, algumas funções estarão indisponíveis.
3. Digite a seguinte linha na barra de endereço do browser e pressione enter:

javascript:document.getElementById("pi").value = "S";document.forms['frmPluginInstalado'].submit();

PS: Testado com o IE 7.0 e com o IE 8.0.

Anonymous said...

Essa porcaria de Gbpsv está consumindo memória no meu windows 7, chegando a 500 MB!!!!

Anonymous said...

Estou usando o windows 7 tb... tenho que ficar finalizando o processo várias vezes por dia pq ele leval minha memória para o saco, se deixo o computador no trabalho ligado de um dia a outro ele consome mais de 1gb de memória, ai chego o pc ta travado, voltando ao normal ao se finalizar o processo...

Anonymous said...

E eu, feliz usuário Linux, passei esse tempo todo usando o Internet Banking do Real sem nenhum problema... eis que há alguns poucos meses decidiram implementar o tal G-Buster pra Linux também!!

É uma ferramenta de segurança, tem q ficar residente, eles estão trabalhando pra evitar fraudes, tudo lindo, tudo bem. Agora, INSTALAR A PORCARIA DO PLUGIN DEVERIA SER OPCIONAL!!!!

Simples assim: banco recomenda, banco explica, usuário ***ESCOLHE***.

Que saco.

Bom, quem não instalou ainda e tiver um mínimo de conhecimento, lembre-se que não há mágica, há javascript. Boa noite e boa sorte.

Mas, por favor, parem de ser passivos-agressivos. Vocês estão reclamando disso desde 2008, é isso mesmo???

Se incomoda vcs tanto assim, parem de falar mal pro blog, parem de gritar aos ventos e gritem na direção certa: **liguem** para o banco de vcs, façam barulho, ameacem (e troquem!) de banco e deixem claro o motivo. Ou então parem de reclamar.

Os autores do G-Buster estão fazendo o trabalho deles, nada muito mais agressivo do que a concorrência. O culpado aqui é o banco, não eles.

meus dois centavos (que estão indo pra outro banco).

Renato said...

Hoje é 5/10/2010 e funcionou direitinho, o esquema funciona mesmo.

Eu abri o Process Explorer, fui em propriedades do winlogin.exe e na aba Threads matei todos os sub-processos gbieh. É bom esperar um pouco pra ver se ele reaparece, e continuar matando os processos. Depois de um tempo, ele deixa de aparecer, ESSA É A HORA de voce abrir Autoruns na Everything e deletar todas entradas Gbieh Module. Tome cuidado, pq umas entradas estao no meio de outras verifique com bastante atenção e vá dando delete onde encontrar Gbieh e GAS Tecnologia.

Se fez tudo direito, agora reinicie no modo segurança (F8 no boot). Use o Unlocker (tem no baixaki) para deletar o gbpsv.exe Ele está em C:\Arquivos de programas\Gbplugin

Clique com o botao direito, selecione unlocker e mande deletar.

As outras DLL's e arquivos *.gdm você faz o seguinte: destrave com Unlocker, ele vai dizer que o acesso foi negado MAS ATENÇÃO ele vai te perguntar se você deseja deletar os arquivos no proximo boot. Responda SIM e faça com cada arquivo que restou no diretorio. Demora um pouquinho pra pergunta aparecer, portanto tenha paciencia!

Agora de outro boot em modo de segurança e veja que a pasta Gbplugin os arquivos ja nao estão mais lá.. se vc fez tudo certo ela estara vazia e vc ja pode deletar.

Boot de novo, desta ver normal. Bye Bye GBplugin!

Anonymous said...

Fiz já umas duas ou tres vezes o seguinte:
- Boot com liveCD de linux.
- Deleta a pasta do g=bosta em
arquivos de programa,
- boot com cd do xp, console de
recuperação ==> chkdsk
- boot normal, e beleza...
- ainda não testado no vista_7...

Anonymous said...

Bank of America:

Anonymous said...

Tem um software chamado Scupper que mata esse plugin
Vc seleciona a pasta do GBPlugin marca todos e manda desativar
Se sobrar algum depois vc desativa novamente

Roger said...

GBuster or gbplugin is a horrible program that purposely avoids unistalls, terrible. Others gave the solution earlier, It took me too much time to find so I'm posting my version of that fix, it uses files in program files/gbplugin and a system32/driver, my version was called gbpkm.sys

The Linux based tool found at the link below worked, (see their docs for Noobies and Getting Started taught me how to navigate the disk drives), created a Linux boot CD and used Linux commands to navigate to the offending files, then rebooting in Windows, then editing the Register to remove the dozen or so entries:

For my Brazilian bank, Caixi Economica, the bad files are:
c:\Program Files\GbPlugin\cef.gpc
c:\Program Files\GbPlugin\gbidh.gmd
c:\Program Files\GbPlugin\gbiehCef.dll
c:\Program Files\GbPlugin\gbpdist.dll
c:\Program Files\GbPlugin\gbpsv.exe

Alexandre Machado said...

Postei uma nova ferramenta de remoção da praga aqui:

Anonymous said...

Grato, Alexandre!

Já salvei a ferramenta
no sd de manutenção!

Anonymous said...

Alguma novidade?

Acras said...

Graças à Gas Tecnologia e sua solução ridícula tenho que abrir uma VM toda vez que quero acessar meu banco. E isso ocorre duas ou mais vezes ao dia. Parabéns!

Anonymous said...

Cara eu penso o seguinte eles tem a msm ferramenta em java nao tem necessidade de instalar nada pq nao rodam tudo em java???...

pra remocao mais facil sugiro colocar o HD em slave e excluir os arquivos, funciona que e uma blz....

na versao Xp e simples apagar essa praga Trave o winLogon, explorer, iexplore, com um timer de 100 deletando os arquivos, rapido e pratico (pra quem sabe programar entende o que eu falei)

Anonymous said...

Quer saber se essa merda deste G-Bosta ferra ou não com o desempenho da máquina? Então aqui vai:

Microsoft Flight Simulator X no mesmo cenário e configurações gráficas

Antes de instalar a "proteção" G-Bosta: 155 FPS
Após instalar o G-Boster: 75 FPS com slowdowns (congelamentos) de até 3 segundos da CPU

Essa empresa que desenvolveu essa merda deveria ser fechada. Vão ferrar com a máquina da puta que vos pariram.

Anonymous said...

Anonymous escreveu "na versao Xp e simples apagar essa praga Trave o winLogon, explorer, iexplore, com um timer de 100 deletando os arquivos, rapido e pratico (pra quem sabe programar entende o que eu falei)"

Mas se travar o explorer você não faz nada nem deleta arquivo nenhum. Explique melhor, por favor.

Anonymous said...

Quem é o errado da historia: o fabricante do revolver ou o cara que usa o revolver pra roubar e matar? O criminoso podia escolher entre o revolver e a faca, mas preferiu o revolver. O fabricante do revolver tem culpa nisso? Olha o vacilo aí, gente...

Anonymous said...

It's a piece of crap ... like so many other Brazilian solutions to a problem.
Someone in their IT Department thinks it's good and users have to adopt the crap to access their bank account.

I hate this $?it for year.

Slah said...

Fala pessoal,

Venho aqui pra compartilhar como consegui me livrar dessa porcaria!

Tô supondo q quem esteja lendo isso já tenha alguma noção do que eh esse lixo de software, q processo eh, e como usar o registro do windows, ok?

Bom, pra isso usei dois programinhas: um chamado Autoruns, baixado do site da microsoft, q permite ver tudo aquilo que seu computador executa ao iniciar, e outro chamado Unlocker, que peguei no site do superdownloads e permite apagar arquivos que estão em uso na sua máquina. Procurem no google.

Bom, primeiro abri o Unlocker, e apontei pra pasta program files\gbplugin.

Ao fazer isso, ele me mostrou os serviços q estavam prendendo os arquivos dessa pasta. Legal.

Selecionei apenas os serviços que estavam usando o arquivo executável (gbpsv.exe) e fui clicando em terminar este processo.

Ao fazer isso algumas vezes, apareceu um aviso falando que o windows havia encontrado um erro grave e seria reiniciado em um minuto, sem dar opção pra cancelar. Não me assustei, pois essa mensagem é parecida com a apresentada pelo comando shutdown /r /t 60 usado no prompt de comando. Apenas minimizei a tela e voltei ao unlocker.

(OBS: Não tentei isso no momento, mas acho que, se vc abrir o prompt e dar o comando shutdown /a, vc consegue cancelar o desligamento. Mas como vc precisara reiniciar a máquina de qq forma, tvz nem precise fazer isso, é só continuar o procedimento abaixo sem demorar mto. Se a máquina reiniciar, é só começar de novo, não se preocupa não).

No unlocker, cliquei em Desbloquear Todos. Ele pensou um pouquinho, fechou e abriu novamente, voltando com um único arquivo preso. Cliquei em Desbloquear Todos novamente, e ele apresentou uma mensagem falando que não havia sido encontrado nenhum arquivo bloqueado. Aí, na caixinha Nenhuma Ação, mudei para Apagar e dei OK.

Logo depois, o sistema reiniciou. Não tem problema, porque eu iria reiniciar de qq forma.

Ao voltar pro Windows, o gbpsv.exe já não estava mais executando - ótimo! Mas logicamente eu não tava satisfeito.

Abri o Autoruns e procurei tudo o que tinha gbpieh, gbpkm ou gas tecnologia e apaguei. Com gosto.

Notei q a pasta program files\gbplugin ainda existia e continha alguns arquivos. Mandei o unlocker desbloquear e apagar novamente, como fiz acima.

Dei um novo restart, e dei uma olhada: nada de pasta, nada de registros no autoruns. Beleza!

Entrei na pasta windows\system32\drivers, e vi que ainda tinha uns arquivos dele. Mandei um del gbp*.* e já era. Último restart só pra garantir.

O windows subiu belezinha, mas estranhamente, a internet não. Conferi, modem ok, roteador ok, placa de rede... não. Nem pegava ip no roteador. Q caramba?

Abri as propriedades do adaptador de rede, e pro meu espanto, tinha uma porcaria lá chamada gas tecnologia filter driver. Pqp, um negócio que era pra ser uma simples proteção de acesso a sites instalando lixo na minha placa de rede. Que beleza. Que maravilha de solução.

Removi esse cara, pela propria janela de propriedades da placa de rede. E... não é que conectou de novo numa boa?

Enfim, agora to livre desse traste. Uso o firefox e acesso o banco numa boa. E to tão indignado com o serviço porco que esses caras fazem, q não importa o q eles mudem, vou descobrir como desinstalar esse lixo e vou postar pra todo mundo saber. A idéia não é deixar o sistema mais inseguro ou incentivar crimes, é simplesmente querer forçar os caras a criarem uma solução decente pro caso. Se eu que só sei fuçar consigo desligar essa tranqueira, quem tem más intenções e manja consegue ainda mais fácil. E outra: como é que tanto banco por aí não precisa instalar essa porcaria e funciona direitinho? Pelamor hein gas tecnologia, trabalha direito ou melhor ainda, dá o lugar a quem trabalha! Tem muita gente competente no mercado precisando trabalhar!

Slah said...


Aliás, estive pensando comigo mesmo: os caras fazem software pra empresa pública, então devem ter ganhado licitação, e eles devem tá sendo pagos com grana pública, dos nossos impostos, do nosso bolso. Assim, alguém deve tá ganhando uma grana preta com isso, enquanto contrata desenvolvedor meia boca a preço de banana, e faz solução porca porque deve ser mais barato. É de se orgulhar a qualidade de serviço prestada nesse país, não?

Ah, e uma dica extra: bootar seu hd em outra máquina (ou pra quem manja um pouquinho de linux, usar um live-cd e montar a partição do windows) e apagar a pasta program files\gbplugin sempre vai ser uma boa forma de remover essa desgraça, nao importa o que eles inventem. A não ser que mudem a pasta, mas aí a gente descobre rapidinho hahaha

Postem suas descobertas também! Vamos incentivar a criação de boas soluções e o uso correto de dinheiro público!

Um abraço e boa sorte!


Anonymous said...

Thank you very much for all of you. Honest. I am pissed off as everybody else, although I lack of your knowledge and it seems to me that you guys are giving much more than my fckn bank. Go ahead. The world outside looks a little better with you sitting in front of a PC.

Glauber said...

Ravi said..

"it cannot be removed without hacking the computer."

That´s true,it works like a spyware,there is not a function to uninstall it...

Anonymous said...

Thank you for your help.
My computer has recently been heating up and reaching 80C even at idle. At first I thought it was due to dust in the heat sink or some related problem, but a quick look at the task manager showed that G-Buster Browser Defense process was taking up an entire thread (25%) out of my CPU(i5-2410m).
Since I use internet banking in others computers with the G-Buster without experiencing this problem, I don't think that's an omnipresent issue, rather a specific failure that for some reason occurred in my system.
Ending the process within the task manager proved effective, and I could still use the internet banking afterwarrds, however restarting the system would bring the CPU-eager process back. It seems that the only solution for me is to remove this component as you so well described.
Thanks again

Anonymous said...

Parabéns a iniciativa do Slah!
Essa é a solução que funciona para remover esse lixo do computador.

Ralmente esse gbplugin é uma praga e tem que ser eliminado dos browsers e do S.O. de todo mundo.

Os bancos que tomem vergonha na cara e usem a segurança via token para todos os clientes.

E said...

Additionally to the procedure I had to do some toher procedures to remove from Windows XP as follows:

1 – Create another HW Profile : Right Click on My computer -> Properties -> Tab Hardware -> Click on HW Profiles -> Copy Profile 1 to Test
2 - Deactivate Gbuster service for this new HW profile: Right Click on My computer -> Manage -> Services -> Double Click on GBuseter -> Tab Log On -> Click on HW Test profile and disable the service -> Click Ok
3 – Reboot and press F8 right after computer starts Select boot normally -> Select Test HW Profile. The computer will boot but gpsvc.exe will not be running
4 – You have also to kill all the threads related to Gbuster (not only the ones named gbi). Filter in the process monitor process nabe “gb” and you will find all the process related.Leave it running. Double click on them and find the PID. On Process explorer double click on this PID and select Threads tab. You will see some threads with name gbsomething and several others like kernel32.dll+0x106f9. Kill one by one and check again in process monitor by clearing the messages and wait to see if processes stops to access gb* files and registry keys. Then you can disable the GB service, clean the startup (autoruns) processes and remove the files in C:\Program Files\GBPLugin.

I will never more install this Protection Module to not interfere with my computer. It really acts like a virus without consent. There is no instruction or support from banks to remove it.

As an alternate option to access bank I will create a
Linux boot in a pen drive to use when needed.

I recommend Fedora Live USB that is persistent:


«Oldest ‹Older   1 – 200 of 212   Newer› Newest»