Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» ListChkdskResult ( ... by SleepyDude )
Dom Set 24, 2017 1:39 pm por joram

» Clean_DNS ( ... by g3n-h@ckm@n )
Dom Jul 16, 2017 6:00 pm por joram

»  MCShield ( ... by Borislav Šurbat and Boban Spasić )
Qua Jul 12, 2017 3:22 pm por joram

» CheckDiskGUI ( ... by Emiel Wieldraaijer )
Seg Jul 10, 2017 11:08 am por joram

» Eset Online Scanner ( ... by Eset.com )
Sab Jul 08, 2017 9:32 am por joram

» Virus Total ( ... de virustotal.com )
Dom Jun 11, 2017 9:21 am por joram

» RogueKiller ( ... by adlice.com )
Dom Jun 04, 2017 8:36 pm por joram

» Sophos Virus Removal Tool ( ... by Sophos.com )
Dom Maio 21, 2017 4:44 pm por joram

» 9-Lab Malware Removal Tool ( ... by 9-lab.com )
Sab Dez 31, 2016 4:24 am por joram

Novembro 2017

SegTerQuaQuiSexSabDom
  12345
6789101112
13141516171819
20212223242526
27282930   

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Como remover o iHaveNet.com

    Compartilhe
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 618
    Data de inscrição : 14/08/2012
    Idade : 64
    Localização : Rio de Janeiro

    Como remover o iHaveNet.com

    Mensagem por joram em Qui Dez 27, 2012 9:38 am

    Saudações!

    Remova o browser hijacker iHaveNet.com,que pode corromper o sistema e redirecionar o utilizador à páginas suspeitas.O mesmo,costuma vir com rootkit e pode comprometer a Master Boot Record,requerendo trabalho especializado para o reparo. Quando não introduzem códigos na MBR,lançam tarefas maliciosas que mantêm suas nefastas ações.
    << Link!

    "Ao fazer qualquer pesquisa no google os resultados da pesquisa aparecem normalmente, porém no momento que tento entrar em algum dos endereços da pesquisa na barra de endereços do navegador aparece brevemente ihavenet e logo em seguida a pagina é redirecionada para sites aleatórios. Mais uma vez obrigado pela atenção."
    (Andrétg)

    |- Esta é reclamação dos usuários ao terem suas 'máquinas' infectadas pelo hijacker.

    ######
    ---
    ---
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Public\AppData\Local\temp
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Administrator\AppData\Local\temp
    2012-10-29 12:28 . 2012-10-29 12:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys

    ---
    ---
    ######

    < clbdriver.sys >

    |- Relatório do ComboFix expondo o rootkit ou Trojan.Agent e diretórios temporários,que devem ser limpos.

    ######
    ---
    ---
    2012-10-29 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe [2012-09-20 14:33]
    .
    2012-10-29 c:\windows\Tasks\Fccu.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]

    .
    2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .
    2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    ---
    ---
    ######

    |- Tarefa,em destaque,imposta pelo Ihavenet.com que chamada por rundll32.exe,atua como executável.

    ######
    08:34:36.0625 1700 =====================================
    08:34:36.0625 1700 Scan finished
    08:34:36.0625 1700 =====================================
    08:34:36.0640 5212 Detected object count: 0
    08:34:36.0640 5212 Actual detected object count: 0
    08:34:42.0943 2828 Deinitialize success

    ######

    |- A investigação com a ferramenta TDSSKiller,nada detectou.

    ================= FIREFOX ===================
    .
    FF - ProfilePath - C:\Users\Andre\AppData\Roaming\Mozilla\Firefox\Profiles\8rckvol4.default\



    |- Havendo redirecionamentos ao utilizar o Firefox,recomendo deletar 8rckvol4.default em ProfilePath.
    |- Mas,primeiramente,estabeleça novo perfil,na solução do problema.

    ... outra ocorrência!

    ######
    ---
    ---
    [2012/10/15 07:30:27 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\cscuii.dll
    [2012/10/15 07:30:27 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\AIII.job

    ---
    ---
    ######

    |- Relatório da OTL que mostra tarefa e ficheiro ( cscuii.dll ),responsáveis pelo Ihavenet.com.

    < cscui >

    |- Ps: Curiosamente,o malware tentou fazer-se passar pela dll,cscui. ( Client Side Caching UI )

    ######
    13:38:13.0218 4704 Scan finished
    13:38:13.0218 4704 ==========================================
    13:38:13.0234 2400 Detected object count: 1
    13:38:13.0234 2400 Actual detected object count: 1
    13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - skipped by user
    13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
    13:38:56.0000 3040 Deinitialize success

    ######

    |- A investigação com a ferramenta TDSSKiller,detectou apenas objetos suspeitos.


    .... outra ocorrência!

    ######
    10:39:44.0252 4960 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
    10:39:44.0752 4960 \Device\Harddisk0\DR0 ( TDSS File System ) - warning
    10:39:44.0752 4960 \Device\Harddisk0\DR0 - detected TDSS File System (1)

    ######

    |- Ps: Em infecções mais severas,podemos encontrar o rootkit "TDSS" e a MBR comprometida.



    |- Podemos exemplificar,neste caso, partição criada pelo rootkit e que deve ser removida.



    |- Para acessar,abram o Gerenciador de disco.
    |- Vão ao "Executar" e digitem o comando diskmgmt.msc >> OK.

    ... outra ocorrência!

    (((((((((((((((( Arquivos/Ficheiros criados de 2012-12-09 to 2013-01-09 ))))))))))))))))))))))))))))
    .
    .
    2013-01-09 19:30 . 2013-01-09 19:30 -------- d-----w- c:\users\Default\AppData\Local\temp
    2013-01-09 19:28 . 2013-01-09 19:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
    -------
    -------
    #######

    |- Novos casos,com o mesmo Trojan.Agent.
    |- Ps: Curiosamente,o usuário não cita direcionamento ao iHaveNet.com.

    #######
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-20 16:52]
    .
    2013-01-09 c:\windows\Tasks\Axbx.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]
    -------
    -------
    #######

    |- Tarefa que mantém o malware.

    .... outra ocorrência!

    ... ( andregotardo )

    ((((((((((((((((   Arquivos/Ficheiros criados de 2013-04-25 to 2013-05-25  ))))))))))))))))))))))))))))
    .
    .
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Public\AppData\Local\temp
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Default\AppData\Local\temp
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Administrator\AppData\Local\temp
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\tcpv6srv.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\lojlig.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\ati4irxx.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\ati0qaxx.sys

    ---------
    ---------

    (((((((((((( Conteúdo da pasta 'Tarefas Agendadas'
    .
    2013-05-25 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-20 12:33]
    .
    2013-05-25 c:\windows\Tasks\Fccu.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]

    .
    2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .
    2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .

    #######
    KillAll::

    File::
    c:\windows\Tasks\Fccu.job

    Rootkit::
    c:\windows\SysWow64\drivers\tcpv6srv.sys
    c:\windows\SysWow64\drivers\lojlig.sys
    c:\windows\SysWow64\drivers\ati4irxx.sys
    c:\windows\SysWow64\drivers\ati0qaxx.sys

    Driver::
    tcpv6srv
    lojlig
    ati4irxx
    ati0qaxx

    ClearJavaCache::
    Quit::


    #######

    |- Atualmente,os crackers estão utilizando mais de um trojan.agent ou rootkit.agent,como podemos verificar neste exemplo.
    |- Ps: Dispus script de remoção,realizada com o ComboFix,para auxílio aos colegas.

    ... Fica em aberto,para novas introduções!

      Data/hora atual: Sex Nov 17, 2017 9:47 pm