rootkit?

[Jeep]

Senhores, um cliente me ligou que estava com problemas na maquina, entrei por conexao remota achando que ia ser a bobagem classica de rodar um antispyware e fim, bom, nao foi.

Basicamente, quando a pessoa entra no google e digita um termo, ele traz a pagina de resultados, se vc clicar em qq link, em vez de ir pro resultado, vai pra uma pagina de spam, tando de dicas de viagem a sites porno.

Aparentemente é um rootkit, mas antes de eu comecar a romaria, queria saber se alguem ja tem alguma receita de bolo meiga ou que ja teve algum problema do genero.

ja tentei lavasoft, malwarebytes, avast, avira, kapersky tdsskiller, symantec tdss, avg-anti-root, spybot e combofix, fora as verificacoes manuais (devo ter digitado algo errado, mas é por ai)


edit:

esqueci, hosts ok, por desencargo coloquei o 8.8.8.8, sem proxy, qq navegador, nenhuma barra de navegador ou hook, sem plugins. Aparentemente so no google, que é o caso classico desse *acho eu* rootkit. Demais maquinas da rede sem problemas, entao nao é no roteador.

[percezione]

Qq site no retorno da busca? Qual navegador? Já tentou outros navegadores?
Arquivo de hosts? Plugins do navegador?

[Baron]

Proxy configurado?

[Sephiroth]

bom
eu ia falar pra usar o tdsskiller
como vc ja usou,
boa sorte ae hehheh

[vegetous]

format c: /y

[diferent]

Se chegou neste ponto é foda!
É assim com todos navegadores?

[diazepan]

Instale o COMODO Firewall e na hora da instalação habilite para ele usar o DNS próprio do COMODO.

[asmur]

Jeep, tive o mesmo problema numa maquina, passei 2 dias em cima e não achei solução. Primeiramente achei que fosse algo que apenas afetasse IE, depois descobri que todos os navegadores são afetados. No meu caso, eu achei mais fácil formatar mesmo, ainda não aconteceu em nenhum outro pc além daquele.

[Jeep]

atualizei o post, essas ai eu classifiquei como "manuais", mas agora deixei mais explicito

sim, to praticamente indo la pra formatar, mas é que eu acho interessante o lado de "como essa p*rra funciona?!?"

[Stranger]

Cara, no notebook do patrão tava tendo uma treta parecida. Até teve o cartão clonado. Coisa de esposa mexendo onde não sabe.

O google abria com uma imagem cobrindo todo o site simulando uma outra página do google. Ainda era o google mas com filtro em cima que redirecionava tudo. Esse problema começou com o chrome, reviramos o google, passamos uns programinhas, fechamos alguns processos e logo o problema voltava. Tudo voltava assim que abriamos qualquer browser.
Acabou que tivemos que entrar no regedit e tirar na mão mesmo o processo que originava tudo e resolveu.

Não sei o que causou e agora o patrão não tá aqui para eu ver no histórico do browser o processo que seguimos. Boa sorte.

[TrancëJay]

atualiza e roda o security essentials em modo de segurança

[Aqualure]

Anti-Malware Toolkit resolveu todo o problema que tive com porcarias isntaladas por outras pessoas

[SparkS]

Eu faço tudo na mão: hijackthis + autoruns limpam 95% dos malwares

Só não consigo limpar quando infectam os próprios arquivos originais do windows, nesse caso na maioria das vezes só com format

Uma vez consegui salvar um pc com arquivos windows infectados usando o Dr. Web:

http://www.drweb.com/?lng=en

[Sabbath]

Não êh o roteador infectado não? Não li tudo.. Sem tempo

[Never Ping]

Se antivirus e antispyware não acharam, pode ser algo também implantado no roteador do cara.

[mojud]

Eu verificaria o roteador, ou o backbone talvez.

[diferent]

Conecta o micro na net via outra rede.
Usa o procexp e mata tudo que ta sendo executado que não seja padrão. Mate tb todos os svchost.
Eu vi isso acontecer, só não lembro se resolvi ou formatei. :P

[asmur]

cara, eu ja tive esse mesmo problema, situação identica, definitivamente não é o roteador, eh tão estranho o problema que não é sempre que a busca redireciona pra um site de spam, eh um negocio meio esporádico. As vezes tu acha que a correção funcionou e quando percebe o problema ta ali ainda. Eu tive esse problema a dois meses atras e não achei nada na internet a respeito (talvez não soube pesquisar adequadamente). Foi o problema mais esquisito que ja enfrentei em 3 anos.

[ds]

Nenhuma ferramenta relativa do Hiren Boot CD funcionou?

[Demé]

experimenta o combofix

[Baron]

Quote:

Postado por Demé

experimenta o combofix

combofix já está na lista dele. Primeiro post do tópico

[clash]

DNS envenenado

[Demé]

nossa foi mal, passei batido...
eu faria assim: rodaria o dr. web atualizado num live-cd (tipo hiren's boot mesmo) e se nao rolasse, formataria mesmo, mais rápido

[kakarotto]

tenta isso

Quote:

Step 1. It is extremely important that you remove Google Redirect virus as soon as possible To remove Google Redirect Virus, you need to follow these steps :
Please click on "Start-->Run". Type "devmgmt.msc" and Click on OK. This will run Device Manager. In Device Manager, click on "View-->Show Hidden Devices".
Step 2. Please expand all the devices by click on the "Plus" sign. Now try to find "TDSSserv.sys" right click Disable. Please make sure that you do not select the Un-Install option otherwise infection will be back once you reboot your computer.
Step 3. After disabling the TDSSserv.sys, please download a Spyware Remover and remove Google redirect Virus completely from your system. Please note that you need to remove several registry entries to remove it completely and you never know If you have other threats in your system. Be wise and remove it with a Spyware Remover Software.

mais opções em
http://www.2-viruses.com/how-to-fix-...-virus-problem

[CtrlA]

Please.

[Jeep]

atualizando, o unico que achou mais alguma coisa foi o drweb, mas nao sei se era apenas alguma sobra de alguma desinstalacao anterior, fiquei tao animado que mandei dar clean sem ver direitinho (mas lembro que era do diretorio do java da sun, acho uqe foi aquele exploit que abriu a porta pra algo mais serio), mas de qq jeito, o problema continua, e essa dica do tdssserv tambem nao rolou, eu vi manualmente e com o programa da kaspersky, nicas, acho que so pessoalmente com algum disco de boot e alguma sorte. Formatar vai ser um parto, é uma daquelas maquinas com trocentas coisas instaladas e configuradas a anos

[percezione]

http://www.bleepingcomputer.com/forums/topic300512.html

no caso desse cara o arquivo de hosts dele tava infectado

Hosts: 89.149.210.60 www.google.com
Hosts: 89.149.210.60 www.google.de
Hosts: 89.149.210.60 www.google.fr
Hosts: 89.149.210.60 www.google.co.uk
Hosts: 89.149.210.60 www.google.com.br

[percezione]

http://www.tek-tips.com/viewthread.cfm?qid=1646299

esse aqui resolveu resetando o router (pode ser q virus escolha apenas 1 máquina pra infectar)

[percezione]

http://www.ehow.com/how_5815210_fix-...ing-virus.html

esse aqui resolve editando o registro

[percezione]

http://www.personalcomputerfixes.com...edirect-virus/

usando um cfscript com o combofix

[f.dantas]

Cara,

Dificilmente isso é um rootkit, deve ser um malware que é ativado ao abrir o browser ou ao acessar o google.

Uma boa alternativa é bootar a máquina, rodar o Process Explorer (SysinternalsSuite) e monitorar os processos do browser ao abrir e ao acessar o google.

Assim você vai conseguir encontrar o malware que está sendo executado e removê-lo.

[vegetous]

compra um mac!

[Jeep]

bom, nunca saberemos, combinei de passar la, so que ao chegar a maquina nem bootava mais, depois das tentativas de praxe e nenhum avanco, achei melhor usar o hiren, backupear o que desse pra um hd externo e nao arriscar a perder tudo. Formatei e tudo voltou ao normal.

valeu pelas dicas