Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» ResetBrowser ( ... de Nicolas Coolman )
Ter Maio 31, 2016 5:58 am por joram

» herdProtectScan ( ... by herdprotect.com )
Seg Mar 07, 2016 10:58 pm por joram

» Emsisoft Emergency Kit ( ... by Emsisoft.com )
Dom Fev 28, 2016 5:40 am por joram

» Dr.WEB Link Checker ( ... by Doctor Web.Ltd )
Qui Fev 11, 2016 9:51 am por joram

» Computador com erros no navegador
Sab Ago 29, 2015 8:04 pm por joram

» Justiça determina que PSafe retire alertas desleais
Qua Ago 19, 2015 6:58 am por joram

» Google vai fazer buscas offline internas no desktop do seu PC
Ter Ago 18, 2015 8:19 am por joram

» Baidu lança buscador no Brasil!
Seg Ago 17, 2015 12:25 pm por joram

» Kaspersky é acusada de inventar vírus!
Sex Ago 14, 2015 3:32 pm por joram

Dezembro 2016

SegTerQuaQuiSexSabDom
   1234
567891011
12131415161718
19202122232425
262728293031 

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Como remover o iHaveNet.com

    Compartilhe

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Como remover o iHaveNet.com

    Mensagem por joram em Qui Dez 27, 2012 9:38 am

    Saudações!

    Remova o browser hijacker iHaveNet.com,que pode corromper o sistema e redirecionar o utilizador à páginas suspeitas.O mesmo,costuma vir com rootkit e pode comprometer a Master Boot Record,requerendo trabalho especializado para o reparo. Quando não introduzem códigos na MBR,lançam tarefas maliciosas que mantêm suas nefastas ações.
    << Link!

    "Ao fazer qualquer pesquisa no google os resultados da pesquisa aparecem normalmente, porém no momento que tento entrar em algum dos endereços da pesquisa na barra de endereços do navegador aparece brevemente ihavenet e logo em seguida a pagina é redirecionada para sites aleatórios. Mais uma vez obrigado pela atenção."
    (Andrétg)

    |- Esta é reclamação dos usuários ao terem suas 'máquinas' infectadas pelo hijacker.

    ######
    ---
    ---
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Public\AppData\Local\temp
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Administrator\AppData\Local\temp
    2012-10-29 12:28 . 2012-10-29 12:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys

    ---
    ---
    ######

    < clbdriver.sys >

    |- Relatório do ComboFix expondo o rootkit ou Trojan.Agent e diretórios temporários,que devem ser limpos.

    ######
    ---
    ---
    2012-10-29 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe [2012-09-20 14:33]
    .
    2012-10-29 c:\windows\Tasks\Fccu.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]

    .
    2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .
    2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    ---
    ---
    ######

    |- Tarefa,em destaque,imposta pelo Ihavenet.com que chamada por rundll32.exe,atua como executável.

    ######
    08:34:36.0625 1700 =====================================
    08:34:36.0625 1700 Scan finished
    08:34:36.0625 1700 =====================================
    08:34:36.0640 5212 Detected object count: 0
    08:34:36.0640 5212 Actual detected object count: 0
    08:34:42.0943 2828 Deinitialize success

    ######

    |- A investigação com a ferramenta TDSSKiller,nada detectou.

    ================= FIREFOX ===================
    .
    FF - ProfilePath - C:\Users\Andre\AppData\Roaming\Mozilla\Firefox\Profiles\8rckvol4.default\



    |- Havendo redirecionamentos ao utilizar o Firefox,recomendo deletar 8rckvol4.default em ProfilePath.
    |- Mas,primeiramente,estabeleça novo perfil,na solução do problema.

    ... outra ocorrência!

    ######
    ---
    ---
    [2012/10/15 07:30:27 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\cscuii.dll
    [2012/10/15 07:30:27 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\AIII.job

    ---
    ---
    ######

    |- Relatório da OTL que mostra tarefa e ficheiro ( cscuii.dll ),responsáveis pelo Ihavenet.com.

    < cscui >

    |- Ps: Curiosamente,o malware tentou fazer-se passar pela dll,cscui. ( Client Side Caching UI )

    ######
    13:38:13.0218 4704 Scan finished
    13:38:13.0218 4704 ==========================================
    13:38:13.0234 2400 Detected object count: 1
    13:38:13.0234 2400 Actual detected object count: 1
    13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - skipped by user
    13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
    13:38:56.0000 3040 Deinitialize success

    ######

    |- A investigação com a ferramenta TDSSKiller,detectou apenas objetos suspeitos.


    .... outra ocorrência!

    ######
    10:39:44.0252 4960 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
    10:39:44.0752 4960 \Device\Harddisk0\DR0 ( TDSS File System ) - warning
    10:39:44.0752 4960 \Device\Harddisk0\DR0 - detected TDSS File System (1)

    ######

    |- Ps: Em infecções mais severas,podemos encontrar o rootkit "TDSS" e a MBR comprometida.



    |- Podemos exemplificar,neste caso, partição criada pelo rootkit e que deve ser removida.



    |- Para acessar,abram o Gerenciador de disco.
    |- Vão ao "Executar" e digitem o comando diskmgmt.msc >> OK.

    ... outra ocorrência!

    (((((((((((((((( Arquivos/Ficheiros criados de 2012-12-09 to 2013-01-09 ))))))))))))))))))))))))))))
    .
    .
    2013-01-09 19:30 . 2013-01-09 19:30 -------- d-----w- c:\users\Default\AppData\Local\temp
    2013-01-09 19:28 . 2013-01-09 19:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
    -------
    -------
    #######

    |- Novos casos,com o mesmo Trojan.Agent.
    |- Ps: Curiosamente,o usuário não cita direcionamento ao iHaveNet.com.

    #######
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-20 16:52]
    .
    2013-01-09 c:\windows\Tasks\Axbx.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]
    -------
    -------
    #######

    |- Tarefa que mantém o malware.

    .... outra ocorrência!

    ... ( andregotardo )

    ((((((((((((((((   Arquivos/Ficheiros criados de 2013-04-25 to 2013-05-25  ))))))))))))))))))))))))))))
    .
    .
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Public\AppData\Local\temp
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Default\AppData\Local\temp
    2013-05-25 12:21 . 2013-05-25 12:21    --------    d-----w-    c:\users\Administrator\AppData\Local\temp
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\tcpv6srv.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\lojlig.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\ati4irxx.sys
    2013-05-25 12:17 . 2013-05-25 12:17    0    ----a-w-    c:\windows\SysWow64\drivers\ati0qaxx.sys

    ---------
    ---------

    (((((((((((( Conteúdo da pasta 'Tarefas Agendadas'
    .
    2013-05-25 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-20 12:33]
    .
    2013-05-25 c:\windows\Tasks\Fccu.job
    - c:\windows\system32\rundll32.exe [2009-07-13 01:14]

    .
    2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .
    2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
    .

    #######
    KillAll::

    File::
    c:\windows\Tasks\Fccu.job

    Rootkit::
    c:\windows\SysWow64\drivers\tcpv6srv.sys
    c:\windows\SysWow64\drivers\lojlig.sys
    c:\windows\SysWow64\drivers\ati4irxx.sys
    c:\windows\SysWow64\drivers\ati0qaxx.sys

    Driver::
    tcpv6srv
    lojlig
    ati4irxx
    ati0qaxx

    ClearJavaCache::
    Quit::


    #######

    |- Atualmente,os crackers estão utilizando mais de um trojan.agent ou rootkit.agent,como podemos verificar neste exemplo.
    |- Ps: Dispus script de remoção,realizada com o ComboFix,para auxílio aos colegas.

    ... Fica em aberto,para novas introduções!

      Data/hora atual: Sab Dez 03, 2016 8:39 am