Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» PW Clean 2.7 ( ... by Doutor PW )
Ter Maio 15, 2018 9:27 am por joram

» CKScanner ( ... by askey127 )
Sab Maio 05, 2018 1:12 pm por joram

» AdwCleaner ( ... by XPlode )
Seg Abr 16, 2018 8:47 am por joram

» ZHPDiag ( ... de Nicolas Coolman )
Sab Abr 14, 2018 8:56 am por joram

» Argente - Registry Cleaner ( ... by Argente Software )
Dom Nov 19, 2017 4:36 pm por joram

» ListChkdskResult ( ... by SleepyDude )
Dom Set 24, 2017 1:39 pm por joram

» Clean_DNS ( ... by g3n-h@ckm@n )
Dom Jul 16, 2017 6:00 pm por joram

»  MCShield ( ... by Borislav Šurbat and Boban Spasić )
Qua Jul 12, 2017 3:22 pm por joram

» CheckDiskGUI ( ... by Emiel Wieldraaijer )
Seg Jul 10, 2017 11:08 am por joram

Julho 2018

SegTerQuaQuiSexSabDom
      1
2345678
9101112131415
16171819202122
23242526272829
3031     

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Como remover o iHaveNet.com

    Compartilhe
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Como remover o iHaveNet.com

    Mensagem por joram em Qui Dez 27, 2012 9:38 am

    Saudações!

    Remova o browser hijacker iHaveNet.com,que pode corromper o sistema e redirecionar o utilizador à páginas suspeitas.O mesmo,costuma vir com rootkit e pode comprometer a Master Boot Record,requerendo trabalho especializado para o reparo. Quando não introduzem códigos na MBR,lançam tarefas maliciosas que mantêm suas nefastas ações.
    << Link!

    "Ao fazer qualquer pesquisa no google os resultados da pesquisa aparecem normalmente, porém no momento que tento entrar em algum dos endereços da pesquisa na barra de endereços do navegador aparece brevemente ihavenet e logo em seguida a pagina é redirecionada para sites aleatórios. Mais uma vez obrigado pela atenção."
    (Andrétg)

    |- Esta é reclamação dos usuários ao terem suas 'máquinas' infectadas pelo hijacker.

    ######
    ---
    ---
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Public\AppData\Local\temp
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Administrator\AppData\Local\temp
    2012-10-29 12:28 . 2012-10-29 12:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys

    ---
    ---
    ######

    < clbdriver.sys >

    |- Relatório do ComboFix expondo o rootkit ou Trojan.Agent e diretórios temporários,que devem ser limpos.

    ######
    ---
    ---
    2012-10-29 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe [2012-09-20 14:33]
    .
    2012-10-29 c:\windows\Tasks\Fccu.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]

    .
    2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .
    2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    ---
    ---
    ######

    |- Tarefa,em destaque,imposta pelo Ihavenet.com que chamada por rundll32.exe,atua como executável.

    ######
    08:34:36.0625 1700 =====================================
    08:34:36.0625 1700 Scan finished
    08:34:36.0625 1700 =====================================
    08:34:36.0640 5212 Detected object count: 0
    08:34:36.0640 5212 Actual detected object count: 0
    08:34:42.0943 2828 Deinitialize success

    ######

    |- A investigação com a ferramenta TDSSKiller,nada detectou.

    ================= FIREFOX ===================
    .
    FF - ProfilePath - C:\Users\Andre\AppData\Roaming\Mozilla\Firefox\Profiles\8rckvol4.default\



    |- Havendo redirecionamentos ao utilizar o Firefox,recomendo deletar 8rckvol4.default em ProfilePath.
    |- Mas,primeiramente,estabeleça novo perfil,na solução do problema.

    ... outra ocorrência!

    ######
    ---
    ---
    [2012/10/15 07:30:27 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\cscuii.dll
    [2012/10/15 07:30:27 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\AIII.job

    ---
    ---
    ######

    |- Relatório da OTL que mostra tarefa e ficheiro ( cscuii.dll ),responsáveis pelo Ihavenet.com.

    < cscui >

    |- Ps: Curiosamente,o malware tentou fazer-se passar pela dll,cscui. ( Client Side Caching UI )

    ######
    13:38:13.0218 4704 Scan finished
    13:38:13.0218 4704 ==========================================
    13:38:13.0234 2400 Detected object count: 1
    13:38:13.0234 2400 Actual detected object count: 1
    13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - skipped by user
    13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
    13:38:56.0000 3040 Deinitialize success

    ######

    |- A investigação com a ferramenta TDSSKiller,detectou apenas objetos suspeitos.


    .... outra ocorrência!

    ######
    10:39:44.0252 4960 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
    10:39:44.0752 4960 \Device\Harddisk0\DR0 ( TDSS File System ) - warning
    10:39:44.0752 4960 \Device\Harddisk0\DR0 - detected TDSS File System (1)

    ######

    |- Ps: Em infecções mais severas,podemos encontrar o rootkit "TDSS" e a MBR comprometida.



    |- Podemos exemplificar,neste caso, partição criada pelo rootkit e que deve ser removida.



    |- Para acessar,abram o Gerenciador de disco.
    |- Vão ao "Executar" e digitem o comando diskmgmt.msc >> OK.

    ... outra ocorrência!

    (((((((((((((((( Arquivos/Ficheiros criados de 2012-12-09 to 2013-01-09 ))))))))))))))))))))))))))))
    .
    .
    2013-01-09 19:30 . 2013-01-09 19:30 -------- d-----w- c:\users\Default\AppData\Local\temp
    2013-01-09 19:28 . 2013-01-09 19:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
    -------
    -------
    #######

    |- Novos casos,com o mesmo Trojan.Agent.
    |- Ps: Curiosamente,o usuário não cita direcionamento ao iHaveNet.com.

    #######
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-20 16:52]
    .
    2013-01-09 c:\windows\Tasks\Axbx.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]
    -------
    -------
    #######

    |- Tarefa que mantém o malware.

    .... outra ocorrência!

    ... ( andregotardo )

    ((((((((((((((((   Arquivos/Ficheiros criados de 2013-04-25 to 2013-05-25  ))))))))))))))))))))))))))))
    .
    .
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Public\AppData\Local\temp
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Default\AppData\Local\temp
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Administrator\AppData\Local\temp
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\tcpv6srv.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\lojlig.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\ati4irxx.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\ati0qaxx.sys

    ---------
    ---------

    (((((((((((( Conteúdo da pasta 'Tarefas Agendadas'
    .
    2013-05-25 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-20 12:33]
    .
    2013-05-25 c:\windows\Tasks\Fccu.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]

    .
    2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .
    2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .

    #######
    KillAll::

    File::
    c:\windows\Tasks\Fccu.job

    Rootkit::
    c:\windows\SysWow64\drivers\tcpv6srv.sys
    c:\windows\SysWow64\drivers\lojlig.sys
    c:\windows\SysWow64\drivers\ati4irxx.sys
    c:\windows\SysWow64\drivers\ati0qaxx.sys

    Driver::
    tcpv6srv
    lojlig
    ati4irxx
    ati0qaxx

    ClearJavaCache::
    Quit::


    #######

    |- Atualmente,os crackers estão utilizando mais de um trojan.agent ou rootkit.agent,como podemos verificar neste exemplo.
    |- Ps: Dispus script de remoção,realizada com o ComboFix,para auxílio aos colegas.

    ... Fica em aberto,para novas introduções!

      Data/hora atual: Qui Jul 19, 2018 5:45 am