-->

quinta-feira, 8 de maio de 2008

ISACER.id e GBPPSV.exe não são vírus!

Se você der uma busca por esses dois nomes de arquivo no Google vai encontrar um monte de gente pedindo ajuda para remover esses "vírus" e um bocado de gente recomendando atualizar o anti-virus e fazer varredura no sistema sem nem procurar saber do que se trata.
  • ISACER.id - Significa "IS ACER" (é um ACER). Esse arquivo é colocado na raiz da instalação por programas da ACER que reconhecem o computador como um ACER legítimo. Como não é um executável, sequer poderia ser um malware (no máximo, um indício da presença de um).
  • GBPPSV - G-Buster Service ou "Gbp Service" - Um produto da GAS Tecnologia que é parte do G-Buster Browser Defense e instalado por vários serviços de Internet Banking (Unibanco, BB e Real são exemplos) como proteção para o usuário. Geralmente em C:\Arquivos de programas\GbPluggin\
É claro que o segundo, por ser um EXE, poderia ser um malware disfarçado, mas se você vai alimentar uma paranóia desse tipo, recomendo que também delete iexplore.exe do seu micro, porque também pode ser um malware ;)

Edit: Os executáveis do G-Buster são assinados digitalmente. Você pode conferir a assinatura com o Autoruns. Se não estiver assinado, é vírus se passando pelo G-Buster.

18 comentários:

  1. Anônimo8/5/08 16:51

    Como é que eu faço então para me livrar desta mensagem que aparece sempre que tento abrir o internet explorer?

    ResponderExcluir
  2. De que mensagem você está falando? O IE diz "ISACER.id e GBPPSV.exe não são vírus!" toda vez que é aberto?

    ResponderExcluir
  3. Interessante você ter falado nesse maldito G-Buster.
    Alguém sabe como fazer para desinstalá-lo? Tentei procurar no Google, mais tem mais gente reclamando do que solução para remoção. Acho um absurdo não existir uma forma simples para desinstalar. Isso me faz lembrar aqueles tempos daqueles malditos discadores de provedores para linha discada em que o desgraçado alterava diversas configurações no browser e o diabo..

    Tentei eliminar um desgraçado desse rodando em uma estação lá no trabalho, mas mesmo apagando TUDO o que havia de "GBPlugin" no registro (claro, isso depois de ter matado o processo GBServ.exe), após o boot o mesmo reiniciou e RECRIOU as entradas no registro que eu havia apagado!!

    []'s
    Daniel

    ResponderExcluir
  4. Daniel,

    Isso não me surpreende. Os autores brasileiros de malware já estão atacando especificamente o G-Buster fazendo de forma automática tudo o que você tentou fazer manualmente. Para ser realmente seguro o plugin precisa saber se defender.

    Eu ainda nem tentei removê-lo, mas você lembrou de desligar o BHO do browser (supondo que seja o IE) depois de matar o serviço?

    ResponderExcluir
  5. Jefferson,

    Desculpe pois não conhecia a sigla e tive que me interar...
    Você fala dos famosos "complementos" ou "add-ons" certo? Na verdade nem me preocupei com eles pois achava(agora já não tenho tanta certeza) que esses componentes só faziam efeito quando o browser estivesse carregado...
    Da próxima vez que pegar uma máquina apresentando problemas com isso, vou tentar antes desabilitar esses add-ons primeiro e ver se funciona.

    []'s
    Daniel

    ResponderExcluir
  6. O BHO só roda quando o browser é executado, sim. Mas quando isso acontecer o BHO vai ter a oportunidade de reinstalar o serviço. É assim que muitos malwares um pouco mais espertos funcionam. Você remove e depois aparentemente do nada eles aparecem de novo, porque você esqueceu de(ou não sabia que tinha que) remover o BHO/Addon/Complemento instalado no browser.

    ResponderExcluir
  7. O danado é que esse G-Buster acaba se comportanto feito malware. Não tentei desinstalá-lo agressivamente, mas já desabilitei o BHO no IE, matei o processo, desabilitei o serviço, renomeei uma dll dele, já fiz isso tudo de uma vez e nada. Pior é que no event viewer diz que ele negou acesso à conta system e se apoderou da chave. Tá certo que ele tem que se defender, mas não deixar nenhuma alternativa de desinstalação é meio barra, não acha?

    ResponderExcluir
  8. Anônimo,

    Eu concordo plenamente com você. A GAS tecnologia deveria (e poderia) oferecer um método de desinstalação que só pudesse ser feito manualmente, por um humano.

    Por exemplo, um desinstalador que exibisse um teste captcha complexo.

    E mais: deveria oferecer no seu site uma ferramenta de autenticação que certificasse que aquele processo é mesmo o G-Buster e não um malware se passando por ele.

    Tirando essas omissões/falhas o comportamento do G-Buster é um mal necessário.

    ResponderExcluir
  9. Neste blog um basileiro explica (em inglês) como fazer a remoção. Mas a parte mais interessante está nos comentários porque alguém que supostamente trabalha para a GAS (mas não é da equipe que fez o g-buster) defende cegamente a forma como o programa funciona.

    ResponderExcluir
  10. OBS: Eu não testei o método de remoção, pois só vou fazer isso em uma máquina onde eu não acesso bancos.

    ResponderExcluir
  11. ola jefferson
    meu nome e luiz. e eu gostaria de saber se tem nescessidade de apagar esse arquivo mesmo eu nao usando o meu pc para fins bancarios .
    mas mesmo se não der problema eu gostaria de saber como eliminar essa porcaria da minha maquina...
    obrigado.

    ResponderExcluir
  12. ola pessoal...estou com um enorme problema com o tal do gbpluggin...toda vez que tento abrir o internet explores aparece esta mnsagem e naum sei o que fazer...estou em desespero jah....se puderem me ajudem....grata

    ResponderExcluir
  13. Anônimo1/6/08 22:15

    Estava com o mesmo problema Dennys, o que funcionou pra mim foi o seguinte:

    no Internet Properties em Programs,
    voce tem Manage Add-ons,
    uma vez aberto procure por "gbieh"
    depois de trocar de "Enable" para "Disable" reinicie o PC.
    Como disse no meu funcionou, boa sorte.

    Marcel

    ResponderExcluir
  14. Já tem vírus tentando passar-se pelo G-Buster. Ele cria em Arquivos de programas uma pasta chamada "GBPLUGGIN", mas com dois gês. Na máquina que eu peguei o alvo era o Bradesco e o trojan chama-se Backdoor.Win32.Delf.jks

    ResponderExcluir
  15. Estou com esse mesmo problema, e justamente o tal "GBPPSV.exe" que o Jefferson diz NÃO SER VÍRUS apareceu do nada, se utiliza de 60% de recursos do processador, não se desinstala e criou uma pasta como a citada acima "...\GbPluggin". Então nesse caso É UM VÍRUS SIM!
    Achei esse post muito bom, mas Jefferson, tome cuidado com essas afirmações categóricas porque se todos forem atrás do que tu explicou sobre o programa correto, G-Buster, não vão tentar remover esse vírus que se passa por ele e podem se dar muito mal.

    ResponderExcluir
  16. Anônimo,

    Embora eu não duvide que um malware possa se disfarçar como o G-Buster, ajudaria bastante se você explicasse como você tem certeza de que no seu caso se trata de um vírus. Aparecer do nada, não se desinstalar e usar 60% da CPU são sinais/sintomas genéricos demais que não provam que um software é vírus. Essa semana o Internet Explorer de um cliente estava ocupando 100% da CPU por 100% do tempo, não se desinstalava e não era vírus.

    ResponderExcluir
  17. Obrigado pela dica do ISACER.id.

    ResponderExcluir
  18. eu sei que esse tópico é um pouco antigo (estou dando uma de coveiro), mas vou postar dois modos que deram certo p/ remover o GbPlugin

    o primeiro, testado por mim e mais complicado, consiste em iniciar o sistema por um cd de boot (live cd) e deletar a pasta.

    no segundo, mais simples (porém não testei), é só instalar o unlocker (programa) e deletar pelo unlocker.

    não se esqueça de desabilitar a restauração do sistema antes de seguir algum desses passos

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.