Jefferson, 04 de outubro de 2018, bb, gbplugin, malware, manutenção Descobri isso ontem. Uma funcionária de um cliente se deixou enganar por uma mensagem de atualização obrigatória falsa e se infectou com um malware. Em seguida perdeu acesso ao Itaú, Caixa e BB. Os três usam a maldita solução de segurança da GAS/Diebold. Até aí, normal e esperado.
Dei um boot por um LiveCD, guardei todo o conteúdo do HDD em um diretório e fiz nova instalação do Windows. Me surpreendi quando ao acessar a Caixa, recebi a mensagem:
X5 – Computador / dispositivo bloqueado. Favor entrar em contato com o suporte tecnológico.
Note que a mensagem não diz “conta” ou “usuário”. Ela menciona especificamente o hardware. Como, numa instalação nova, a Caixa reconhece o dispositivo? Eu sei que isso é perfeitamente possível, no mínimo tendo armazenado o endereço MAC ou em outro tipo de “fingerprint” do hardware, mas aí a Caixa teria que se basear na “palavra” do cliente (eu juro que formatei!) porque o hardware não muda mesmo depois de formatar. Desconfiei que a maldita solução de segurança ou estivesse escondendo algo na partição ou armazenando em um servidor externo o serial do volume, que é recriado a cada formatação. Então como estávamos na hora do almoço e não conseguimos falar com o pessoal da Caixa, aproveitei o tempo para mover os dados do cliente para outra partição e fazer o que raramente faço: formatar. Fui mais drástico ainda: removi a partição de 100MB que o Windows cria automaticamente e a partição onde estava o drive C:
Após nova instalação do Windows, o acesso à Caixa funcionou na primeira tentativa.
Se a solução de segurança estiver mesmo se baseando em um serial, nem mesmo ter feito uma imagem de backup da partição com Trueimage ou similar será suficiente para aplacar a ira dos deuses da Diebold. Somente um sacrifício na forma de uma formatação será capaz de resolver o problema. Sim, eu já disse isso antes!
E não foi só a Caixa que percebeu que eu não havia formatado. Antes de formatar, o Itaú estava pedindo um recadastramento do computador que envolvia uma declaração assinada pelo dono da conta e entregue pessoalmente ao gerente do banco (procedimento que a funcionária disse ser comum). Nem sequer imprimimos o formulário e após a formatação a conta foi acessada sem precisar de nada disso. Não chegamos a confirmar o BB, porque o usuário também estava bloqueado ainda, mas suspeito que o problema seria similar.
Minha recomendação: Comece a recomendar a seus clientes o uso exclusivo de máquinas virtuais para acesso a bancos.
Quando eu puder vou fazer imagens dos HDDs de alguns clientes empresariais só para testar depois de um bloqueio se recarregar uma imagem seria o bastante.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 22 de setembro de 2017, malware Além de Advanced SystemCare e (em menor grau) Driver Booster terem utilidade e eficácia altamente questionáveis temos o fato de que a empresa chinesa (que surpresa) em 2009 foi flagrada roubando da Malwarebytes.
O IObit Uninstaller “pode” ser útil mas sendo dessa empresa eu não usaria, até mesmo porque outras opções existem.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 13 de maio de 2017, malware Eu antecipei isso no mês passado. Agora está em todos os noticiários do Brasil que um ransonware turbinado pelo doublepulsar está fazendo vítimas em todo o mundo. As reportagens falam em “Eternalblue”, que até onde sei é o nome da vulnerabilidade. Doublepulsar é o nome da ferramenta que a explora. Eu posso ter confundido as coisas mas o fato é que na prática os dois termos se referem ao mesmo problema.
Muita bobagem está sendo dita por aí em fóruns por isso vou aproveitar para lembrar a todos de alguns pontos sobre esse problema:
- Ramsonware não precisa de permissões de administrador em nenhum sistema operacional. Repita comigo: “Ramsonware não precisa de permissões de administrador em nenhum sistema operacional!”. Isso é auto-evidente para profissionais de TI (mesmo os meia-boca como eu) mas meros usuários podem cometer o erro de achar que rodando como usuário limitado estão seguros;
- Eternalblue/Doublepulsar também não precisa de permissões de administrador. É um ataque “anel zero” (obtém o mais alto privilégio existente) remoto que não precisa sequer que um usuário esteja logado na máquina para operar;
- A máquina não estar ligada diretamente à internet não a torna segura. Qualquer vírus/worm desse tipo se desloca “lateralmente”. Basta uma máquina infectada por qualquer meio que seja (e-mail, pendrive, etc) ser conectada à rede para o vírus se instalar em qualquer outra máquina da mesma sub-rede que não esteja protegida.
Sim, a união de Eternalblue/DoublePulsar com um ransonware é uma catástrofe.
Como se proteger (ainda em avaliação)
Windows XP e 2003 não tem proteção (não tinham! leia comentários). Abandone-os ou desative o suporte a SMB da máquina. Você não poderá mais compartilhar arquivos e impressoras na máquina*, mas se seu uso não requer isso, tudo bem. Entretanto empreenda esforços para que qualquer instalação rodando Windows XP ou 2003 seja “descartável” e trate-a como um dispositivo possivelmente hostil que você precisa tolerar na sua rede porque esse não será o último vírus para o qual o XP/2003 não terá proteção. E eu falo isso como fã do XP.
Se usa um SO ainda suportado pela Microsoft, instale o patch.
Se quiser ter uma camada extra de proteção, faça o que vem sendo recomendado desde 2016 pela própria MS: Desative o suporte a SMBv1. O efeito colateral disso é que máquinas rodando Windows XP e 2003 não poderão mais acessar compartilhamentos na sua máquina*. O mesmo possivelmente se aplica a media players como o Egreat e o DiYOMATE. Mas se você não precisa disso ou você nem compartilha nada na sua máquina mesmo, exclua o serviço.
Atualizar o antivírus pode ajudar muito. Como esse vírus está “famoso” todos os grandes antivírus já devem ter detecção. O antivírus pode não conseguir impedir a invasão via exploit (aplique o patch) mas pode impedir o usuário de instalar o vírus recebido por e-mail ou pendrive.
*Que eu saiba, EternalBlue/Doublepulsar exploram uma vulnerabilidade no serviço “SMB server” e não no “client” então você só precisa abdicar da possibilidade de ter compartilhamentos e não de acessá-los. Mas não posso garantir isso ainda.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 30 de abril de 2017, malware, manutenção, Redes O primeiro sintoma desse problema é o aparecimento de uma barra chamada “secure search” mesmo na versão em português do Google Chrome.
Em seguida diversos redirecionamentos começam a surgir. Abas que você já tinha aberto “se transformam” em outras coisas. Cliques que você dá abrem mais de uma página, etc.
Eu comecei acreditando que era um malware, mas depois de todas as minhas tentativas manuais e automáticas de achá-lo fracassarem eu dei uma olhada na definição de proxy do Windows e lá estava o problema: havia uma definição de script de configuração automática apontando para um tal de no-stop.org. Após remover essa configuração o problema sumiu.
Eu não estava 100% certo de que o problema havia sido realmente resolvido ou o malware estava “descansando” para rir da minha cara depois, por isso fiz mais tarde uma pesquisa incluindo “proxy” e encontrei outra pessoa com a mesma solução. O que para mim confirma que é isso mesmo. Apesar da configuração maliciosa de um proxy não ser algo incomum, eu não desconfiei mais rápido disso porque a navegação estava rápida e em meus últimos problemas desse tipo a navegação ficava lenta e errática. Mas o tal no-stop.org se apresenta como um serviço “legítimo” de alta capacidade que tem a intenção de permitir passar por cima de bloqueios de empresas e países a determinados sites. Coincidentemente ou não eu encontrei o problema no computador de uma empresa.
Se você não sabe como se limpa a definição de proxy, siga as figuras na página indicada. Você deve apagar o campo onde aparece “no-stop.org” e desmarcar as duas caixas de seleção.
É importante lembrar que essa definição de proxy também afeta o Internet Explorer.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 11 de novembro de 2015, malware, ransomware Pelo menos essa é a idéia que passa pela nossa cabeça ao ler a descrição do mais novo ransonware a ter como alvo usuários Windows. Os criadores dessa versão corrigiram o bug que permitia a recuperação das chaves na versão 3.0. A Bitdefender diz ter uma vacina específica para essa versão, mas não testei e não boto muita fé.
Hora de reativar o firewall com HIPS e perder o hábito de ter tantos HDDs online ao mesmo tempo. Vou reduzir a apenas um. E preparar para mim uma versão da mesma estratégia de backup que venho aplicando para meus clientes.
É uma pena que no modo “paranóico” o Comodo Firewall sempre trave a máquina inteira quando saio da hibernação. Paranóia é algo bem desejável nesse caso.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 19 de outubro de 2015, gbplugin, malware, manutenção Mais uma do notório malware da GAS Informática.
Se você pretende fazer remoção de malware no Windows e notar que o malware da GAS (Gbpsv.exe) está em execução, pergunte ao proprietário se pode começar por removê-lo (muitos nem fazem acesso a banco e nem sabem que o notebook foi usado para isso). Mesmo que o cliente diga que prefere não remover o lixo da GAS, pode valer a pena você dar um boot por LiveCD e renomear o diretório do GbPlugin temporariamente para evitar que ele rode enquanto você trabalha. Espantado com o tempo que estava levando para rodar o JRT na máquina de um cliente, eu resolvi cronometrar.
- Com GbPlugin rodando: 77 minutos (1h17);
- Sem GbPlugin rodando: 8 minutos;
A diferença é brutal, não é mesmo? Se você se der ao trabalho de dar boot por um LiveCD para desativar o GbPlugin e depois repetir o processo para reativá-lo ainda vai terminar muito antes o trabalho do que se deixar a porcaria da GAS atrapalhando. Em ambas as passagens de teste o GbPlugin JRT não estava fazendo nada realmente, porque ele já havia removido o que havia para remover em uma passagem anterior.
Isso pode ser resultado do fato de que nem JRT, nem AdwCleaner, tem uma assinatura digital. Mas essa relação ainda está sendo investigada.
Testado em um Notebook ACER Aspire One 722, com 2GB de RAM, rodando Windows 7 de 32bits.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 31 de julho de 2015, android, malware Se você não esteve dormindo debaixo de uma pedra nos últimos dias, deve ter ficado sabendo (é sério… isso deve ter sido noticiado até pela Ana Maria Braga) do bug no Android chamado de StageFright que permite instalar um malware no seu aparelho simplesmente pelo recebimento de uma mensagem MMS. E todas as versões do Android desde a 2.2 estão vulneráveis
Ora… a maioria esmagadora dos aparelhos Android nunca vai receber uma atualização para isso, então é melhor tentar fechar essa porta de outras maneiras.
Para desabilitar MMS (alguém aí ainda usa isso desde o Whatsapp?) na marra no Android 4.4.4 (outras versões também permitem isso, mas o caminho pode ser diferente).
Settings -> More Networks -> Mobile Networks -> Access Point Names
Em cada uma das operadoras (você pode ter mais de um chip), procure pela opção que tem a palavra MMS e apague o conteúdo de
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 27 de julho de 2015, malware O que deveria ser usado para proteger o computador, está sendo usado para mantê-lo infectado.
Eu esbarrei nisso em maio e esqueci de registrar aqui. Peguei uma máquina para “limpar” e não conseguia de jeito nenhum restaurar as opções de página inicial dos browsers. Nem com a ajuda do JRT e adwCleaner. Acabei descobrindo que isso estava sendo definido nesta chave do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
Numa instalação normal do Windows XP, essa chave sequer existe
Exemplo de duas das várias entradas que promoviam o bloqueio das configurações dos navegadores:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{31598907-C2A1-4DD3-B287-4068993AF277}User\Software\Policies\Microsoft\Internet Explorer\Main]
“Start Page”=”www.123rede.com?oem=mbtkv3&uid=S1ZVJ50Z311252_SAMSUNGHD502HI&tm=1428352463”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{EA11CB36-712C-49B0-B99D-5324F537874A}User\Software\Policies\Microsoft\Internet Explorer\Main]
“Start Page”=”www.top8844.com?oem=mbtkv3&uid=S1ZVJ50Z311252_SAMSUNGHD502HI&tm=1429182147”
Sim, você está vendo dois objetos, aparentemente do mesmo “autor”, forçando o IE para duas páginas iniciais diferentes. É malware brigando com malware.
Eu fiz um backup da chave e a apaguei. Após reiniciar o problema de bloqueio sumiu. Mas ainda assim não consegui manter a página inicial que eu configurava. Esse cara usa alguma outra técnica em conjunto com os GPOs que não consegui identificar.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 30 de março de 2015, malware Resumo: procure por malware na máquina.
O cliente ligou à tarde dizendo que desde o início do dia não conseguia transmitir nenhuma NF-e para a Secretaria da Fazenda. E para atender as regras desse nosso país corrupto os caminhões de mercadorias estavam parados na porta da fábrica sem poder sair. O suporte do desenvolvedor do programa já havia olhado o problema e dito que me chamassem porque “algo estava bloqueando o envio”.
Logo que a funcionária do faturamento me mostrou o problema e eu vi a mensagem “403: Forbidden” eu já fiquei achando que o problema não era o que o suporte estava dizendo. Não se tratava de “bloqueio” porque “forbidden” quer dizer “proibido”. A SEFAZ estava recusando a operação.
Uma pesquisa rápida com o Google me levou a esta página. Todas as possíveis razões tinham a ver com certificado digital, mas uma delas mencionava SSL. Data e hora da máquina estavam corretas e desativar o anti-virus não surtia efeito, então decidi procurar por malware na máquina. Como vocês podem lembrar do que escrevi no meu post sobre o Superfish, malware parasitando o protocolo SSL se tornou algo comum.
No Gerenciador de Tarefas já dava para perceber algo errado. Rodei JRT e Adwcleaner e ambos encontraram porcarias, mas nada “diferente” do que eu estava acostumado. Rodei o Autoruns e uma entrada estranha me levou até Arquivos de Programas, onde encontrei os dois diretórios mostrados na imagem abaixo. Perceba que os dois programas parecem ter a mesma origem (mesmos arquivos) e ambos fazem uso da biblioteca OpenSSL.
Quando eu vi o primeiro diretório pensei que poderia ser algo do desenvolvedor do emissor de NF-e, porque alguns arquivos começam com “nf”. Mas ao encontrar o outro diretório ficou estranho demais. Agora eu estou convencido de que “nf” é a abreviação de “net filter”. Ora… a única razão que eu conheço para um programa desconhecido querer usar OpenSSL é parasitar a conexão de outros programas.
Os dois diretórios foram renomeados no modo de segurança (o “_” inicial foi acrescentado por mim) porque não podiam ser apagados no modo normal do Windows e por precaução eu dei um reset no protocolo TCP-IP com o comando “netsh int ip reset”. Mas o log do netsh não mostrou nada particularmente estranho por isso tenho razoável certeza de que a culpa era desses dois programas, porque depois disso o emissor de NF-e passou a funcionar normalmente.
Aparentemente a SEFAZ é capaz de perceber que algo parasitava a conexão SSL. Eu não cheguei a testar se os certificados da empresa funcionavam em outros lugares. Eu não lembro os detalhes do funcionamento do protocolo SSL, mas se o servidor for capaz de checar toda a cadeia de certificação até a raiz (e não se contentar apenas o fato de que “alguém” está atestando a validade do certificado cliente) ele pode detectar que um ataque MITM está em andamento ao encontrar um certificado que não deveria estar ali e abortar a conexão.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 24 de outubro de 2014, malware, Segurança O boletim de segurança da Microsoft não menciona o XP nem o server 2003. O XP pode não estar na lista por não ser mais suportado, mas é curioso não ver o Sever 2003. Isso pode querer dizer que XP e 2003 são imunes (2003 e XP são similares), mas até isso ficar claro é melhor tomar muito cuidado.
Todas as versões do Windows indicadas no boletim, mesmo completamente atualizadas, são vuneráveis. Seria realmente interessante descobrir que o XP é imune.
A vulnerabilidade é explorada através de documentos do Office carregando um objeto OLE malicioso. Vulnerabilidades no OLE não são nenhuma novidade e até possível argumentar que desde o início foi uma péssima idéia da MS criar o OLE porque é mais usado por criadores de malware que pelos usuários. E esse tipo de coisa põe até power users em risco porque afinal é um documento que você está abrindo. Imagine o que pode acontecer com usuários comuns.
E pouco ou nada adianta dizer que o usuário não abra documentos vindos de origem desconhecida quando se trata do departamento de vendas de uma empresa. Se você recebe um pedido de orçamento com um anexo que não é um executável você vai deixar de abrir o documento só porque não conhece o remetente? Nenhuma empresa se sustenta por muito tempo assim.
Por precaução, é melhor eu reativar meu firewall com HIPS. o HIPS avisa toda vez que um processo tenta abrir outro e teoricamente isso impede um usuário que presta atenção às mensagens de ser infectado. A mesma coisa com o UAC, mas o danado do UAC é tão chato que nas minhas máquinas rodando o Windows 7 ele é desativado. O HIPS eu pelo menos posso ensinar a não fazer a mesma pergunta para o mesmo programa novamente. Já se eu executar 100 vezes o mesmo programa no mesmo dia, 100 vezes o UAC vai me perguntar se eu tenho certeza.
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Dois clientes meus passaram por alguma coisa parecida no BB. Uma delas informou que o pessoal do helpdesk mandou ela formatar o HD. Ainda estou aguardando ela retornar a ligação e me dizer como foi resolvido o problema. Eu achava que apagando as pastas do WARSAW e limpando o registro do Windows resolveria, mas nem cheguei a testar isso.
Era possível resolver dessa maneira. Agora, aparentemente, não dá mais.
Agora me responde: pq só o meu cunhado e minha amiga não conseguem acessar a conta na cx, sendo que eu consigo acessar a minha conta da cx no mesmo Pc?
Só me ocorreu agora procurar saber se é possível mudar o serial do volume sem formatar. Claro que é!
Da próxima vez que eu me deparar com esse problema, depois que eu apagar o gbplugin/warsaw manualmente vou mudar o serial do volume e ver o que acontece.
Só mudar o serial do volume não deu certo. Acabei de testar. O que resta é mudar o ID de instalação do Windows como o Daniel falou mais abaixo. Mas eu não encontrei um programa que faça isso.
Não sei o que é esse “ID de instalação do Windows” mas não creio que esteja relacionado com o problema. Se você ler com atenção meu post, verá que eu fiz uma instalação inteiramente nova do Windows, sem formatar, e o banco rejeitou o acesso. Formatar e fazer a instalação nova foi aprovado. Isso sugere que o que quer que seja que o programa de segurança está olhando, está no disco e não na instalação do Windows.
Eu trabalho na CAIXA e também passo frequentemente por esses problemas junto aos meus clientes, inclusive já aconteceu com o micro que eu trabalho dentro da agência e foi preciso formatar (subir uma nova imagem, como eles chamam), sem isso nada feito!
Se você puder ser mais específico onde fica as pastas e os termos do registro que devo apagar, posso tentar a solução de trocar o número do volume, para ver se dar certo ter novamente o acesso sem a formatação.
Existe um programa que muda a serial do volume e outro que muda a ID de instalação do windows. Costumo resolver assim.
Não encontrei um programa que faça a alteração do ID de instalação do Windows. Você pode indicar algum?
Eu testei uma vez o VolumeID v2.1.
O link é esse:
https://docs.microsoft.com/pt-br/sysinternals/downloads/volumeid
Ele funciona pelo Prompt de Comando. Tu faz o procedimento e reinicia o Windows, daí quando ele entrar novamente o Volume da Unidade vai estar com o novo valor que tu colocou.
Salvo engano, esse “Volume ID” é o mesmo “serial do volume” do qual estamos falando. Está relacionado com a formatação do disco e não com a instalação do Windows.
Mas o que realmente importa é: você teve sucesso usando esse programa para driblar o bloqueio do banco?
Eu testei e não resolveu….
Desinstalei o Warsaw, mudei o serial do Volume C: com esse aplicativo, reiniciei o computador, conferi se tinha mudado e tentei novamente o acesso ao BB, mas continua bloqueado.
Vou tentar novamente alterando o serial dos outros volumes também. O de recuperação e aquele outro que fica logo no começo do disco.
Tem alguma outra informação relacionada ao HD que poderíamos mudar?
Consegui resolver no meu.
Removi a pasta c:\Programdata\Temp
Aparentemente o Warsaw cria um ID para o computador, armazena lá e quando desinstalamos essa pasta é mantida.
Hummm… quer dizer que basta mudar o serial do volume e remover a pasta para desbloquear o acesso? Obrigado pelo feedback!
Deu certo a sugestão do Eduardo. Excluir a pasta temp.
Grato,
Funcionou perfeitamente com a dica do Eduardo, fiz o procedimento em uma estação aqui do serviço e deu certo
Agradeço ao Eduardo, Jefferson e ao Paulo Henrique, sem essa dica teria que formatar a máquina
Removi o Warsaw, troquei o serial do volume, removi a pasta C:\ProgramData\Temp e nada feito. Mas mudou o erro, era “X5 – Computador/dispositivo bloqueado” agora é “Dispositivo bloqueado.”
Excelente dica!
No meu caso, apenas desinstalei o Warsaw e apaguei a pasta C:\ProgramData\Temp, além de limpar dados do navegador. Voltou a funcionar BB e Caixa!!!
Já tinha trocado MacAddress etc. Mas voltei o MacAddress original. Nem precisei recadastrar o computador, os bancos entenderam que eu formatei o computador e voltaram a me aceitar.
Agradeço mais uma vez.
Obrigado, Sergio. Próxima vez que ocorrer em algum cliente, vou utilizar sua dica.
Jeff, alguma possibilidade de nova postagem já em 2020?
Este ano tem muito tempo ainda. Eu diria qua há uma grande chance
Boa tarde, gostaria de agradecer a todos pelas dicas, em especial ao Eduardo,
pois foi com a sua que conseguir resolver este problema que já se arrastava desde o ano passado, valeu.
Consegui resolver fazendo o procedimento de excluir os dados de historico do navegador, desinstalando os dispositivos de segurança e ecluindo as pastas dos programas e a TEMP. funcionou como o Euardo falou!
Obrigado a todos!
Você usa o Windows 10? Tentei fazer o mesmo procedimento, porém o problema persiste…
Robeto, eu uso o Windows 10.
Obrigado Eduardo, mas pelo jeito o sistema voltou a detectar quando o computador não é formatado. Já fiz de tudo nos últimos dias: alterei hostname da máquina, mudei o grupo de trabalho, alterei o endereço MAC da placa de rede, removi todas as pastas Warsaw e Diebold (incluindo os diretórios ‘Temp’), alterei o volumeid de todas as partições, limpei o histórico/cookies dos navegadores, e mesmo assim o banco continua informando que o dispositivo está bloqueado. Infelizmente vou continuar sem acesso ao internet banking (também utilizo o Windows 10 como sistema operacional)
Imagina Camilo! Que bom que conseguiu.
Eu sou cliente da sucateada Caixa Econômica Federal e já tive este maldito problema várias vezes apesar de ter o BitDefender Total comprado e legal na máquina. Eu cansado disso, fiz clones dos HDs aqui com Easeus, free e muito bom , aliás. Quando refiz o clone em cima do HD Windows10 que a miserável da CEF não admitia, também não funcionou. Gostei da ideia do Drive Virtual, agora vou fazer assim. Acho chato, pesado e com imagem ruim, mas deve resolver.
Pode explicar como faz os clones?
Ele deve estar se referindo ao EASEUS TODO BACKUP.
https://br.easeus.com/tutorial/todo-backup-free-user-guide.html
legal, vou dar uma testada.
Desconfio que o BB está bloqueando máquinas virtuais. Ao menos no caso da minha conta e também da minha esposa, tendo instalado linux mint 64bit em uma maquina virtual para cada. Só dor de cabeça!
Uso aqui com Lubuntu e continua funcionando.
Tive recentemente problema também em meu computador de acesso bloqueado no Banco do Brasil, desinstalei o warsaw, removi os dados da pasta c:\Programdata\Temp e alterei o Volume ID e deu certo. É uma palhaçada o que esse modulo de proteção ineficiente faz! É pior que virus! Já tive inúmeros problemas e aplicativos que simplesmente não inicializam por conta da Diebold, quem puder passe longe disso! A algumas semanas, depois de uma atualização do warsaw, todos os downloads que tentava realizar demorava cerca de 10s para abrir a janela de salvar, demoraram duas semanas até lançarem a atualização de correção e o pior é que temos que aceitar tudo isso de mãos amarradas!!!
No Linux (Ubuntu), para resolver o problema eu segui os passos:
1) Desinstalar o Warsaw:
sudo apt purge warsaw
2) Remover os diretórios temporários do Warsaw:
sudo rm -rf /tmp/.wsdl/
sudo rm -rf /tmp/upd/
sudo rm -rf /dev/shm/wi*
3) Alterar o hostname da máquina:
Editar e alterar o hostname nos arquivos: “/etc/hostname” e “/etc/hosts”
sudo hostname [nome_do_novo_hostname]
4) Instalar novamente o Warsaw::
sudo dpkg -i warsaw_setup64.deb
Ola, ja nao funciona mais, mudaram novamente. Mesmoa ssim obrigado pela dica.
funcionou hoje para mim somente apagando a pasta. obrigado
Boa tarde, estive com o mesmo problema e consegui resolver sem a necessidade de formatação.
Procedimentos:
Desinstalar os módulos de segurança existentes
Acessar: http://www.caixa.gov.br/site/paginas/downloads.aspx
No link acima tem 3 programas, baixe-os e instale em ordem.
So isso, na minha instalação o segundo programa deu erro, mas mesmo assim voltou a funcionar o Internet Banking. Qualquer duvida podem chamar por e-mail
Tenho uma máquina que roda Win 7 64 e tive essa mesma decepção que todos estão relatando por aqui. Fiz o procedimento abaixo e voltei a utilizar meu PC sem ter que formatá-lo
1º – Painel de controle / Programas e Recursos / desinstalar programa “Warsaw”. Após o sistema vais pedir para reiniciar o computador, mas deixa pra fazer isso após o último passo.
2º – Digite no campo de pesquisa de programas e pastas a palavra “Regedit”. Ela vai mostrar o aplicativo de editor de registro.
3º – Abra o editor de registro e siga o caminha abaixo:
HKEY_LOCAL_MACHINE / SOFTWARE / Diebold.
Apagar a pasta “Diebold” inteira
4º – Ainda no editor de registro, siga o caminho
HKEY_LOCAL_MACHINE / SOFTWARE / SYSTEM / CurrentControlSet / services / wsddntf.
Apagar a pasta “wsddntf” inteira. Após, fecha o editor de registro, e continue:
5º – Abra “disco local C”, na barra de ferramenteas, clique em “ferramentas” e depois “opções de pasta”, “Modo de exibição”; procure por “pastas e arquivos ocultos e marque na caixa de diálogos “Mostrar arquivos, pastas e unidades ocultas”.
6º – Abra “disco local C” e abra a pasta “arquivos de programas” e apague a pasta “Diebold” inteira
7º – Ainda no “disco Local C”, vá na pasta Arquivo de Programas (x86) e apague a pasta “Diebold” lá também. (a pasta “Diebold” estará oculta, razão pela qual é indicado o 5º passo acima).
8º – Feche tudo que estiver aberto no computador e reinicie a máquina.
9º – Após reiniciado, abra o navegador, entre no site do BB. Rodar o aplicativo de diagnostico e pode entrar em sua conta novamente e sem ter que formatar seu computador.
No meu computador voltou a funcionar. Espero ter contribuído!
Boa tarde,
Depois de muitas tentativas a que resolveu para min foi seguindo estas orientações do Paulo Aguiar!
Agradeço
Abraço
Excelente !! deu certo .. obrigado !
Criamos uma VM aqui no Servidor da empresa só para usar os bancos: foi a melhor coisa que poderíamos ter feito! E com isso também ganhamos a opção de acessar (via VPN) as contas da empresa remotamente!