Portal
Saudações!
<< Link!
"Ao fazer qualquer pesquisa no google os resultados da pesquisa aparecem normalmente, porém no momento que tento entrar em algum dos endereços da pesquisa na barra de endereços do navegador aparece brevemente ihavenet e logo em seguida a pagina é redirecionada para sites aleatórios. Mais uma vez obrigado pela atenção."
(Andrétg)
|- Esta é reclamação dos usuários ao terem suas 'máquinas' infectadas pelo hijacker.
######
---
---
2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Public\AppData\Local\temp
2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2012-10-29 12:28 . 2012-10-29 12:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
---
---
######
< clbdriver.sys >
|- Relatório do ComboFix expondo o rootkit ou Trojan.Agent e diretórios temporários,que devem ser limpos.
######
---
---
2012-10-29 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe [2012-09-20 14:33]
.
2012-10-29 c:\windows\Tasks\Fccu.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
.
2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
---
---
######
|- Tarefa,em destaque,imposta pelo Ihavenet.com que chamada por rundll32.exe,atua como executável.
######
08:34:36.0625 1700 =====================================
08:34:36.0625 1700 Scan finished
08:34:36.0625 1700 =====================================
08:34:36.0640 5212 Detected object count: 0
08:34:36.0640 5212 Actual detected object count: 0
08:34:42.0943 2828 Deinitialize success
######
|- A investigação com a ferramenta TDSSKiller,nada detectou.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Andre\AppData\Roaming\Mozilla\Firefox\Profiles\8rckvol4.default\
|- Havendo redirecionamentos ao utilizar o Firefox,recomendo deletar 8rckvol4.default em ProfilePath.
|- Mas,primeiramente,estabeleça novo perfil,na solução do problema.
... outra ocorrência!
######
---
---
[2012/10/15 07:30:27 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\cscuii.dll
[2012/10/15 07:30:27 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\AIII.job
---
---
######
|- Relatório da OTL que mostra tarefa e ficheiro ( cscuii.dll ),responsáveis pelo Ihavenet.com.
< cscui >
|- Ps: Curiosamente,o malware tentou fazer-se passar pela dll,cscui. ( Client Side Caching UI )
######
13:38:13.0218 4704 Scan finished
13:38:13.0218 4704 ==========================================
13:38:13.0234 2400 Detected object count: 1
13:38:13.0234 2400 Actual detected object count: 1
13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - skipped by user
13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
13:38:56.0000 3040 Deinitialize success
######
|- A investigação com a ferramenta TDSSKiller,detectou apenas objetos suspeitos.
.... outra ocorrência!
######
10:39:44.0252 4960 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
10:39:44.0752 4960 \Device\Harddisk0\DR0 ( TDSS File System ) - warning
10:39:44.0752 4960 \Device\Harddisk0\DR0 - detected TDSS File System (1)
######
|- Ps: Em infecções mais severas,podemos encontrar o rootkit "TDSS" e a MBR comprometida.
|- Podemos exemplificar,neste caso, partição criada pelo rootkit e que deve ser removida.
|- Para acessar,abram o Gerenciador de disco.
|- Vão ao "Executar" e digitem o comando diskmgmt.msc >> OK.
... outra ocorrência!
(((((((((((((((( Arquivos/Ficheiros criados de 2012-12-09 to 2013-01-09 ))))))))))))))))))))))))))))
.
.
2013-01-09 19:30 . 2013-01-09 19:30 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-01-09 19:28 . 2013-01-09 19:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
-------
-------
#######
|- Novos casos,com o mesmo Trojan.Agent.
|- Ps: Curiosamente,o usuário não cita direcionamento ao iHaveNet.com.
#######
Conteúdo da pasta 'Tarefas Agendadas'
.
2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-20 16:52]
.
2013-01-09 c:\windows\Tasks\Axbx.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
-------
-------
#######
|- Tarefa que mantém o malware.
.... outra ocorrência!
... ( andregotardo )
(((((((((((((((( Arquivos/Ficheiros criados de 2013-04-25 to 2013-05-25 ))))))))))))))))))))))))))))
.
.
2013-05-25 12:21 . 2013-05-25 12:21 -------- d-----w- c:\users\Public\AppData\Local\temp
2013-05-25 12:21 . 2013-05-25 12:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-05-25 12:21 . 2013-05-25 12:21 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\tcpv6srv.sys
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\lojlig.sys
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\ati4irxx.sys
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\ati0qaxx.sys
---------
---------
(((((((((((( Conteúdo da pasta 'Tarefas Agendadas'
.
2013-05-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-20 12:33]
.
2013-05-25 c:\windows\Tasks\Fccu.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
.
2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
.
#######
KillAll::
File::
c:\windows\Tasks\Fccu.job
Rootkit::
c:\windows\SysWow64\drivers\tcpv6srv.sys
c:\windows\SysWow64\drivers\lojlig.sys
c:\windows\SysWow64\drivers\ati4irxx.sys
c:\windows\SysWow64\drivers\ati0qaxx.sys
Driver::
tcpv6srv
lojlig
ati4irxx
ati0qaxx
ClearJavaCache::
Quit::
#######
|- Atualmente,os crackers estão utilizando mais de um trojan.agent ou rootkit.agent,como podemos verificar neste exemplo.
|- Ps: Dispus script de remoção,realizada com o ComboFix,para auxílio aos colegas.
... Fica em aberto,para novas introduções!
Remova o browser hijacker iHaveNet.com,que pode corromper o sistema e redirecionar o utilizador à páginas suspeitas.O mesmo,costuma vir com rootkit e pode comprometer a Master Boot Record,requerendo trabalho especializado para o reparo. Quando não introduzem códigos na MBR,lançam tarefas maliciosas que mantêm suas nefastas ações.
<< Link!"Ao fazer qualquer pesquisa no google os resultados da pesquisa aparecem normalmente, porém no momento que tento entrar em algum dos endereços da pesquisa na barra de endereços do navegador aparece brevemente ihavenet e logo em seguida a pagina é redirecionada para sites aleatórios. Mais uma vez obrigado pela atenção."
(Andrétg)
|- Esta é reclamação dos usuários ao terem suas 'máquinas' infectadas pelo hijacker.
######
---
---
2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Public\AppData\Local\temp
2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2012-10-29 12:28 . 2012-10-29 12:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
---
---
######
< clbdriver.sys >
|- Relatório do ComboFix expondo o rootkit ou Trojan.Agent e diretórios temporários,que devem ser limpos.
######
---
---
2012-10-29 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe [2012-09-20 14:33]
.
2012-10-29 c:\windows\Tasks\Fccu.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
.
2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
---
---
######
|- Tarefa,em destaque,imposta pelo Ihavenet.com que chamada por rundll32.exe,atua como executável.
######
08:34:36.0625 1700 =====================================
08:34:36.0625 1700 Scan finished
08:34:36.0625 1700 =====================================
08:34:36.0640 5212 Detected object count: 0
08:34:36.0640 5212 Actual detected object count: 0
08:34:42.0943 2828 Deinitialize success
######
|- A investigação com a ferramenta TDSSKiller,nada detectou.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Andre\AppData\Roaming\Mozilla\Firefox\Profiles\8rckvol4.default\
|- Havendo redirecionamentos ao utilizar o Firefox,recomendo deletar 8rckvol4.default em ProfilePath.
|- Mas,primeiramente,estabeleça novo perfil,na solução do problema.
... outra ocorrência!
######
---
---
[2012/10/15 07:30:27 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\cscuii.dll
[2012/10/15 07:30:27 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\AIII.job
---
---
######
|- Relatório da OTL que mostra tarefa e ficheiro ( cscuii.dll ),responsáveis pelo Ihavenet.com.
< cscui >
|- Ps: Curiosamente,o malware tentou fazer-se passar pela dll,cscui. ( Client Side Caching UI )
######
13:38:13.0218 4704 Scan finished
13:38:13.0218 4704 ==========================================
13:38:13.0234 2400 Detected object count: 1
13:38:13.0234 2400 Actual detected object count: 1
13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - skipped by user
13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
13:38:56.0000 3040 Deinitialize success
######
|- A investigação com a ferramenta TDSSKiller,detectou apenas objetos suspeitos.
.... outra ocorrência!
######
10:39:44.0252 4960 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
10:39:44.0752 4960 \Device\Harddisk0\DR0 ( TDSS File System ) - warning
10:39:44.0752 4960 \Device\Harddisk0\DR0 - detected TDSS File System (1)
######
|- Ps: Em infecções mais severas,podemos encontrar o rootkit "TDSS" e a MBR comprometida.
|- Podemos exemplificar,neste caso, partição criada pelo rootkit e que deve ser removida.
|- Para acessar,abram o Gerenciador de disco.
|- Vão ao "Executar" e digitem o comando diskmgmt.msc >> OK.
... outra ocorrência!
(((((((((((((((( Arquivos/Ficheiros criados de 2012-12-09 to 2013-01-09 ))))))))))))))))))))))))))))
.
.
2013-01-09 19:30 . 2013-01-09 19:30 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-01-09 19:28 . 2013-01-09 19:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys
-------
-------
#######
|- Novos casos,com o mesmo Trojan.Agent.
|- Ps: Curiosamente,o usuário não cita direcionamento ao iHaveNet.com.
#######
Conteúdo da pasta 'Tarefas Agendadas'
.
2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-20 16:52]
.
2013-01-09 c:\windows\Tasks\Axbx.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
-------
-------
#######
|- Tarefa que mantém o malware.
.... outra ocorrência!
... ( andregotardo )
(((((((((((((((( Arquivos/Ficheiros criados de 2013-04-25 to 2013-05-25 ))))))))))))))))))))))))))))
.
.
2013-05-25 12:21 . 2013-05-25 12:21 -------- d-----w- c:\users\Public\AppData\Local\temp
2013-05-25 12:21 . 2013-05-25 12:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-05-25 12:21 . 2013-05-25 12:21 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\tcpv6srv.sys
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\lojlig.sys
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\ati4irxx.sys
2013-05-25 12:17 . 2013-05-25 12:17 0 ----a-w- c:\windows\SysWow64\drivers\ati0qaxx.sys
---------
---------
(((((((((((( Conteúdo da pasta 'Tarefas Agendadas'
.
2013-05-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-20 12:33]
.
2013-05-25 c:\windows\Tasks\Fccu.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
.
2013-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]
.
#######
KillAll::
File::
c:\windows\Tasks\Fccu.job
Rootkit::
c:\windows\SysWow64\drivers\tcpv6srv.sys
c:\windows\SysWow64\drivers\lojlig.sys
c:\windows\SysWow64\drivers\ati4irxx.sys
c:\windows\SysWow64\drivers\ati0qaxx.sys
Driver::
tcpv6srv
lojlig
ati4irxx
ati0qaxx
ClearJavaCache::
Quit::
#######
|- Atualmente,os crackers estão utilizando mais de um trojan.agent ou rootkit.agent,como podemos verificar neste exemplo.
|- Ps: Dispus script de remoção,realizada com o ComboFix,para auxílio aos colegas.
... Fica em aberto,para novas introduções!
» KpRm ( ... by Kernel-panik )
» ESET Rogue Applications Remover ( ... by Eset.com )
» PW Clean 2.7 ( ... by Doutor PW )
» CKScanner ( ... by askey127 )
» AdwCleaner ( ... by XPlode )
» ZHPDiag ( ... de Nicolas Coolman )
» Argente - Registry Cleaner ( ... by Argente Software )
» ListChkdskResult ( ... by SleepyDude )