none
Gbplugin do Banco do Brasil infectado por gbpsv.exe RRS feed

  • Pergunta

  • Bom dia Srs.

     

    Estou com um problema com o plugin do BB, ele está infectado pelo gbpsr.exe.

    Esse mallware se instala como serviço no computador, sendo impossível remove-lo,  parar o serviço ou até mesmo excluir o arquivo (ja tentei em modo de segurança).

    Ja testei vários anti-virus, entre eles o FF endpoint e o Microsoft Secure Essentials e nem um deles ao menos detectou o arquivo infectado.

    Estou usando o Trend Micro na versão paga é o que a empresa tem, esse detecta o mallware mas não consegue excluir o gbpsr.exe.

    Só consegui remove-lo colocando o hd no linux, mas notei que isso não adiantou pois como o arquivo esta como serviço, provavelmente ele deve ter criado ou baixando um novo mallware.

    Li sobre ele na info que diz que esse mallware se instala pelo java.

     

    Se alguém tiver alguma ídeia, favor postem aqui.

     

    Obrigado

    quinta-feira, 16 de junho de 2011 11:50

Respostas

  • Francisco.

    Experimente, no editor do registro do Windows, buscar por todos os vínculos a gbpsr.exe e excluí-los (só pra constar gpbsv.exe é parte do plug-in de segurança do banco, gbpsr.exe realmente é suspeito e pode ser mesmo uma infecção). Pode ser necessário nessas exclusões, em algumas chaves, acessar permissões e garantir que você tenha permissão de alterar a pasta.

    Ao terminar as exclusões, feche o regedit, abra denovo e faça nova pesquisa. Caso não hajam novas ocorrências, reinicie o computador e faça seus testes.

    O utilitário bankerfix oferecido pelo Linha Defensiva é um ótimo aliado contra esse tipo de ameaça: http://www.linhadefensiva.org/bankerfix/

    Experimente, para ver se resolve.

     

    Boa sorte


    MCP / MCTS (XP/Vista/2003Server) Rafael Souza - Profissional de T.I., Músico, Marido entre outras tarefas que exigem dedicação.
    • Marcado como Resposta Richard Juhasz quarta-feira, 29 de junho de 2011 12:52
    quinta-feira, 16 de junho de 2011 13:17

Todas as Respostas

  • Francisco.

    Experimente, no editor do registro do Windows, buscar por todos os vínculos a gbpsr.exe e excluí-los (só pra constar gpbsv.exe é parte do plug-in de segurança do banco, gbpsr.exe realmente é suspeito e pode ser mesmo uma infecção). Pode ser necessário nessas exclusões, em algumas chaves, acessar permissões e garantir que você tenha permissão de alterar a pasta.

    Ao terminar as exclusões, feche o regedit, abra denovo e faça nova pesquisa. Caso não hajam novas ocorrências, reinicie o computador e faça seus testes.

    O utilitário bankerfix oferecido pelo Linha Defensiva é um ótimo aliado contra esse tipo de ameaça: http://www.linhadefensiva.org/bankerfix/

    Experimente, para ver se resolve.

     

    Boa sorte


    MCP / MCTS (XP/Vista/2003Server) Rafael Souza - Profissional de T.I., Músico, Marido entre outras tarefas que exigem dedicação.
    • Marcado como Resposta Richard Juhasz quarta-feira, 29 de junho de 2011 12:52
    quinta-feira, 16 de junho de 2011 13:17
  • Estou com o problema parecido, ao abrir o site do Banco do Brasil a rede fica lenta e o msn fecha sozinho.


    • Editado Nilotj segunda-feira, 10 de setembro de 2012 13:37
    segunda-feira, 10 de setembro de 2012 13:37
  • Srs.,

    Já tentei os passos e removi várias entradas do registro do Gpplugin mas chega em um ponto que ele não deixa remover algumas entradas pois as chaves ficam constantemente em uso, então tentei no modo de segurança também mas não resolve. Por mais que você apague as chaves de registro, existem duas que são criadas novamente após sua deleção isto porque ele instala um serviço no sistema operacional o qual você não consegue fazer nada com ele, nem desabilitar e muito menos apagar do registro. Apaguei praticament tudo e só restam os arquivos que ele utiliza, dentro de system32\drivers e os da pasta Arquivos de programas\Gbplugin junto com o processo do sistema operacional. Ele é carregado junto com o Winlogon, daí o motivo de não conseguir fazer nada com ele. Será necessário criar um cd de boot e apagar via outro sistema operacional.

    quinta-feira, 4 de abril de 2013 18:55
  • Caro Francisco, isto não é malware, é o próprio plugin, o Banco do Brasil usa o mesmo plugin do Banco Santander, tive um problema bem parecido com o seu e foi resolvido com a própria atualização do plugin, no meu caso foi o Santander, tive que abrir um chamado na área de TI deles e foi nos enviado uma versão modificada deste plugin, também nos enviaram de todos os bancos no caso BB, CEF e Itaú.

    Este plugin não desinstala, para isto é necessário abrir um chamado no banco e eles te redirecionam a uma página específica onde é gerado dois códigos para a remoção do mesmo.

    TEm um post meu descrevendo tudo o que passei, caso queira verificar !

    terça-feira, 23 de abril de 2013 12:05