Avast WEBforum

Non-English Zone => Italiano => Topic started by: REDACTED on November 29, 2016, 11:12:43 AM

Title: Problema vulnerabilità Rom 0
Post by: REDACTED on November 29, 2016, 11:12:43 AM
Ciao. Ho un problema che non riesco a risolvere (quando avvio il browser si apre una pagina di un finto sondaggio). Ho provato a fare tutte le scansioni che mi hanno suggerito tramite vari programmi tra cui Farbar. Dato che il problema è rimasto, mi hanno suggerito di formattare il pc tramite chiavetta USB. Ho fatto tutto ma il problema è rimasto. Ho anche provato a resettare il router ma non è cambiato nulla.

Ho fatto una scansione con Avast e mi ha rilevato il problema di sicurezza Rom 0. Ho provato a seguire questa guida senza successo: http://www.netnetfree.com/guide-e-t...za-del-proprio-router-contro-zynos-rom-0.html

L'errore segnalato è questo:  ID Catalogo CVE-2014-4019

Il mio router: ADSL2+ Modem Router WL-127 Sitecom

Avast appunto suggerisce di fare queste due operazioni:

la vulnerabilità può essere risolta configurando l'inoltro porte per la porta 80 sul router verso un indirizzo IP inutilizzato sulla rete. Per eseguire questa procedura, accedi alla pagina di configurazione del router e trova la sezione "Inoltro porte". Da qui, potrai impostare una regola che indichi al router di inviare tutto il traffico HTTP a un indirizzo IP locale inutilizzato (ad es., 192.168.0.255, in caso l'indirizzo non sia già utilizzato da un altro dispositivo sulla rete).

La soluzione manuale consiste nel modificare i record DNS del router usando l'interfaccia di amministrazione del router.

Dato che non sono esperto di configurazione router, riuscite per caso a spiegarmi passo passo come fare?

Si può impostare tutto anche dal prompt dei comandi?

Grazie in anticipo per l'aiuto.  ;)

Title: Re: Problema vulnerabilità Rom 0
Post by: Eddy on November 29, 2016, 11:33:22 AM
Aggiornare il router firmware alla versione più recente.
Come modificare le impostazioni DNS può essere letto nel manuale del router.

https://www.sitecom.com/file/wl-127-full-manual/pdf/11916
http://setuprouter.com/router/sitecom/wl-127/manuals.htm
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on November 29, 2016, 11:54:42 AM
Per gli aggiornamenti mi hanno detto che non ci sono.

Mi hanno anche linkato il manuale, il problema è che ci sono davvero un sacco di informazioni e da solo non riesco a impostare quei valori.

Se possibile, mi servirebbe una guida passo passo per fare quelle operazioni.

Es. apri pannello del router, vai in questa sezione, digita qui questi numeri ecc..., perché purtroppo non sono esperto di configurazione router.
Title: Re: Problema vulnerabilità Rom 0
Post by: Eddy on November 29, 2016, 12:09:02 PM
Il sito e il manuale si stanno dando passo-passo le istruzioni
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on November 29, 2016, 12:27:52 PM
Se riesci, puoi dirmi quali sezioni devo guardare per fare le due operazioni? Grazie mille per l'aiuto.

la vulnerabilità può essere risolta configurando l'inoltro porte per la porta 80 sul router verso un indirizzo IP inutilizzato sulla rete. Per eseguire questa procedura, accedi alla pagina di configurazione del router e trova la sezione "Inoltro porte". Da qui, potrai impostare una regola che indichi al router di inviare tutto il traffico HTTP a un indirizzo IP locale inutilizzato (ad es., 192.168.0.255, in caso l'indirizzo non sia già utilizzato da un altro dispositivo sulla rete).

La soluzione manuale consiste nel modificare i record DNS del router usando l'interfaccia di amministrazione del router.


Ho solo paura di fare qualche casino e impostare male le opzioni, magari peggiorando solo la situazione.

Da qui, potrai impostare una regola che indichi al router di inviare tutto il traffico HTTP a un indirizzo IP locale inutilizzato (ad es., 192.168.0.255, in caso l'indirizzo non sia già utilizzato da un altro dispositivo sulla rete).

Se ad esempio vado sulla sezione 4.3.2 NAT e poi su virtual server, c'è una tabella con scritto virtual server listing.

Devo modifcare le opzioni su Rule 1? Se sì, devo piazzare il valore 80 su Star Port e End Port?
Su local ip address devo piazzare 192.168.0.255 o altri valori?

Oppure devo andare in un'altra sezione?

Se vado nella sezione LAN DNS, è spuntata l'opzione Use Auto discovered Server Only.

Se clicco su Use User Discovered Server Only, posso piazzare i DNS di google?

8.8.8.8
8.8.4.4
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on November 30, 2016, 02:12:03 PM
C'è solo per caso qualcuno che riesce a indicarmi se la procedura che ho scritto è corretta?

Grazie in anticipo!
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on November 30, 2016, 02:25:51 PM
Prova a piazzare i dns di google o quelli di comodo https://www.comodo.com/secure-dns/ e vedere se risolvi il problema
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on November 30, 2016, 03:29:44 PM
Prova a piazzare i dns di google o quelli di comodo https://www.comodo.com/secure-dns/ e vedere se risolvi il problema

Per i DNS ho un dubbio (non so se sono riuscito a piazzarli oppure no).

In pratica, sono andato sul pannello del router e ho selezionato l'opzione User Discovered Server Only (prima piazzava i DNS in automatico).

Adesso, se vado nel pannello mi segnala i DNS di Google.

Se invece provo a modificare le impostazioni tramite modifica opzioni scheda (su pc, senza entrare nel pannello router) e faccio doppio clic su protocollo internet versione 4 è selezionata l'opzione ottieni indirizzo server DNS automaticamente. Se clicco su usa questi DNS e piazzo quelli di Google, poi ritorna di nuovo l'opzione automatica.

C'è per caso qualche comando dal prompt dei comandi per capire se la mia connessione è ok? Perché Avast mi segnala sempre la vulnerabilità Rom 0.

Ho provato a fare anche una scansione con RKill, questo il risultato (c'è qualcosa da fixare?):

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Checking Windows Service Integrity:

 * agp440 [Missing Service]
 * b06bdrv [Missing Service]
 * CapImg [Missing Service]
 * ebdrv [Missing Service]
 * gagp30kx [Missing Service]
 * iaLPSSi_GPIO [Missing Service]
 * iaLPSSi_I2C [Missing Service]
 * ibbus [Missing Service]
 * IEEtwCollectorService [Missing Service]
 * IoQos [Missing Service]
 * ksthunk [Missing Service]
 * mlx4_bus [Missing Service]
 * ndfltr [Missing Service]
 * nv_agp [Missing Service]
 * PerfHost [Missing Service]
 * TimeBroker [Missing Service]
 * uagp35 [Missing Service]
 * uliagpkx [Missing Service]
 * vpci [Missing Service]
 * WcsPlugInService [Missing Service]
 * WinMad [Missing Service]
 * WinVerbs [Missing Service]
 * wpcfltr [Missing Service]
 * WSService [Missing Service]

 * AJRouter => %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted [Incorrect ImagePath]
 * NetTcpPortSharing => %systemroot%\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [Incorrect ImagePath]
 * WpnService => %systemroot%\system32\svchost.exe -k netsvcs [Incorrect ImagePath]

 * PrintNotify => C:\Windows\system32\spool\drivers\W32X86\3\PrintConfig.dll [Incorrect ServiceDLL]
 * vmicrdv => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]
 * vmicvss => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]

Searching for Missing Digital Signatures:

 * No issues found.

Checking HOSTS File:

 * HOSTS file entries found:

  127.0.0.1 localhost
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 01, 2016, 09:36:24 AM
la vulenrabilità è nel router quindi non serve far girare rkill (che invece verifica se ci sono problemi nel pc)
per vedere se il pc ha preso i dns impostati nel router gira il comando ipconfig /all
http://www.techsupportforum.com/forums/f138/how-to-run-an-ipconfig-all-command-655357.html
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 01, 2016, 11:46:26 AM
la vulenrabilità è nel router quindi non serve far girare rkill (che invece verifica se ci sono problemi nel pc)
per vedere se il pc ha preso i dns impostati nel router gira il comando ipconfig /all
http://www.techsupportforum.com/forums/f138/how-to-run-an-ipconfig-all-command-655357.html

Ok ti ho inviato un messaggio privato con tutto quello che mi è apparso. Riesci per caso a dirmi se è tutto ok?
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 02, 2016, 12:01:32 PM
i dns sono ok,
prova a modificare la sezione NAT del tuo router come hai scritto
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 02, 2016, 12:13:54 PM
Momentaneamente non ho impostato la porta 80 ma ho piazzato i DNS di Google dal pannello del router e da 3 giorni non mi apre più la pagina. Il problema quindi forse è risolto?

Ho fatto anche una scansione piazzando sfc /scannow nel prompt dei comandi ed è venuto fuori questo:

Protezione risorse di Windows: nessuna violazione di integrità trovata.

Vedendo la scansione di RKill c'è per caso ancora qualcosa da fixare oppure no? Grazie per l'aiuto!
 
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 05, 2016, 07:33:35 PM
C'è per caso qualche aggiornamento riguardo RKill?

In questi giorni non ho avuto problemi. Oggi però facendo una ricerca (con browser Firefox), il browser è automaticamente cambiato in DuckDuckGo. Ho visto che installando Firefox, nella voce ricerca e motori di ricerca in un clic compaiono vari siti (es. Yahoo, Wikipedia e anche DuckDuck Go). Ho rimosso tutto e ho lasciato solo Google. Devo fixare ancora qualcosa?
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 07, 2016, 09:46:28 PM
C'è per caso qualche novità? Così chiudo definitivamente la questione, grazie!  :D
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 10, 2016, 10:57:00 PM
Per un po' è andato tutto bene. Adesso è spuntata nuovamente la pagina del finto sondaggio. Ho provato a piazzare i DNS di Comodo ma non è servito. C'è altro che posso fare?

Title: Re: Problema vulnerabilità Rom 0
Post by: Eddy on December 10, 2016, 11:16:19 PM
Aggiornare il firmware del router se vi è una versione che risolve la vulnerabilità o ottenere un altro router che non ce l'ha.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 10, 2016, 11:35:19 PM
Cambiare router quindi risolve definitivamente il problema? Volevo prendere il modem router DLINK 2750B. È un buon router? È affetto dal bug Rom 0?

Ultima cosa, queste sono le voci del virtual server (all'interno del router). Seguendo le indicazioni di Avast (scritte nei precedenti topic) cosa devo piazzare nella voce application?

---

Virtual Server for: Single IP Account
         
Rule Index: 1
   
Application:
FTP oppure SSH, TELNET, HTTPS_Server ecc...

Start Port Number:
   
End Port Number:
   
Local IP Address:

Grazie per l'aiuto!
Title: Re: Problema vulnerabilità Rom 0
Post by: vianello_85 on December 11, 2016, 10:27:16 AM
Verifica anche che il servizio UPnP, se presente, sia disattivato
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 11, 2016, 10:37:06 AM
Verifica anche che il servizio UPnP, se presente, sia disattivato

Sì ho controllato ed è disattivato. Secondo te comunque il modem router dlink2750b è un buon acquisto? Cambiare router dovrebbe risolvere il problema?
Title: Re: Problema vulnerabilità Rom 0
Post by: vianello_85 on December 11, 2016, 10:57:43 AM
Farei altri tentativi prima di acquistare un nuovo router

Segui i consigli scritti http://www.ilsoftware.it/articoli.asp?tag=DNS-modificati-sul-router-e-redirect-verso-pagine-malevole-come-risolvere_11213 (http://www.ilsoftware.it/articoli.asp?tag=DNS-modificati-sul-router-e-redirect-verso-pagine-malevole-come-risolvere_11213) in questa pagina, che sono più o meno quelli standard.

Altrimenti un consiglio che anche in altri forum do è contattare direttamente il produttore, così da capire se c'è qualche "alternativa" per trovare una soluzione, senza provvedere all'acquisto di un nuovo router.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 11, 2016, 11:01:28 AM
In questi giorni ho provato a fare delle scansioni in mod provvisoria con Hitman Pro (versione di prova).

Mi ha indicato un driver come minaccia.

Ho rimosso capimg.sys (che si trovava in C:/windows/System 32/Drivers).

Ora, facendo una nuova scansione, mi ha trovato xinputhid.sys (sempre in C:/windows/System 32/Drivers).

Può essere in qualche modo collegato alla vulnerabilità Rom 0 e/o alla pagina che si apre?
Title: Re: Problema vulnerabilità Rom 0
Post by: vianello_85 on December 11, 2016, 11:18:46 AM
Farei molta attenzione a toccare dentro a system32, se tocchi qualcosa di errato puoi avere problemi con il pc con il rischio di formattare tutto.

La falla rom 0 è limitata al router, certo che sei poi ti cambiano dns e quel che ne consegue l'attacco può avvenire nel tuo pc.

Una cosa che non riesco a capire è se i dns te li sei già trovati cambiati,
altrimenti potresti averti beccato un adware https://it.wikipedia.org/wiki/Adware (https://it.wikipedia.org/wiki/Adware) che sono facili a cambiarti la home del tuo browser, reindizzandoti su altri siti.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 11, 2016, 11:44:47 AM
Infatti è quello che non riesco a capire neanche io. Ho chiesto aiuto in un altro forum e ho provato praticamente di tutto. Scansione con tutti i programmi più famosi, scansione con Farbar e OTL, installazione di Windows (con e senza chiavetta usb), reset del router.

Dopo aver eliminato varie voci, il problema della pagina che si apre è sempre rimasto (anche dopo la formattazione).

Facendo poi una scansione con Avast, mi ha indicato la vulnerabilità Rom 0 e ho provato in tutti i modi a risolverla ma non riesco. Adesso, anche con i DNS di Google o altri DNS, la pagina si apre sempre.

Ho letto appunto che la vulnerabilità Rom 0 riesce a dirottare il router senza avere le credenziali. Però anche io, dopo aver provato tutto, non capisco più cosa devo fare XD.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 11, 2016, 11:45:47 AM
Vi chiedo gentilmente se per caso qualcuno ha voglia di provare a dirmi se c'è qualche utente specializzato in grado di risolvere la questione.

Ho due richieste specifiche e vi chiedo se riuscite a rispondere a tutto.

Ho provato a cambiare modem/router per risolvere la questione vulnerabilità Rom 0.

Ho preso il modem router dlink2750b che non presenta più la vulnerabilità Rom 0 ma la pagina si apre comunque (anche dopo la formattazione con chiavetta).

Per quanto riguarda il router, anche se inserisco una password diversa da admin/admin durante la configurazione guidata, Avast alla fine mi segnala sempre che la mia password è debole.

Avast mi segnala che il mio router è infetto. Mi dice di cambiare la password del pannello da admin/admin ma anche se la cambio mi segnala sempre l'errore.

Un po' di giorni fa (prima di cambiare il router) mi hanno suggerito di formattare tramite chiavetta (ma il problema è rimasto), cosa devo fare?

Comunque quando ho formattato c'erano due partizioni che non sono riuscito a formattare. Forse è lì il problema?

C'è quindi qualche file che rimane dopo la formatazzione tramite chiavetta e infetta il router?
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 15, 2016, 12:37:18 PM
Ho aggiornato il topic precedente, se per caso qualcuno è pratico di Farbar (o altri programmi) posso inviargli il log (ditemi voi).
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 15, 2016, 03:15:49 PM
prova a generare una password forte con questo
https://identitysafe.norton.com/it/password-generator

prova a postare l'immagine del finto sondaggio che ti compare
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 15, 2016, 09:23:33 PM
Non credo sia un problema di password, in sostanza il router è stato infettato subito dopo l'installazione. Anche prima, le password non sono state mai cambiate da un attacco esterno. È forse un problema simile a quello Rom 0 (cioè la connessione viene dirottata senza avere le credenziali del router). Ma ovviamente è solo una supposizione, ho provato praticamente tutto ma il problema è rimasto.

O c'è un virus nel pc che genera l'adware, oppure è un problema legato esclusivamente a impostazioni di connessione. Oppure la causa è un'altra.

Ho fatto uno screen con lo stumento di cattura. Come faccio a piazzare l'immagine?
 
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 16, 2016, 08:21:48 AM
hai provato a cambiare la password come suggerito?

per postare la pagina segui le istruzioni nel primo link https://forum.avast.com/index.php?topic=144453.0
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 16, 2016, 08:22:01 PM
hai provato a cambiare la password come suggerito?

per postare la pagina segui le istruzioni nel primo link https://forum.avast.com/index.php?topic=144453.0

Sì il problema si presenta con qualunque tipo di password. In sostanza quando clicco su un sito, vengo reindirizzato verso il finto sondaggio. Avast mi dice che i miei DNS sono compromessi ma nessuna password è stata cambiata.

Forse è un problema di accesso remoto (tramite la porta 80) o magari è un virus che è riuscito a resistere alla formattazione e ha infettato nuovamente il router. Ho provato praticamente tutto ma non sono riuscito a risolvere il problema.

Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 19, 2016, 08:24:50 AM
hai già eseguito il browser cleanup di avast?
hai già eseguito una scansione all'avvio con avast?
succede con tutti i browser (firefox, internet explorer, etc.)?
che sistema operativo hai ? E' aggiornato?
Prova ad eseguire anche una scansione completa con MBAM free.
Se fai ipconfig /all vedi sempre i dns di google o altri?
Se entri nella configurazione del router vedi i dns di google o altri?
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 19, 2016, 08:32:59 PM
hai già eseguito il browser cleanup di avast? Per ora ho provato a fare la scansione intelligente e la scansione completa. ome faccio ad eseguire il browser cleanup?

succede con tutti i browser (firefox, internet explorer, etc.)? Sì.
che sistema operativo hai ? E' aggiornato? Uso Windows 10 ed è aggiornato.
Prova ad eseguire anche una scansione completa con MBAM free. Ho provato a fare scansioni normali e in modalità provvisoria con moltissimi programmi (es. hitman pro, malwarebytes, adw cleaner, Jrt, Rogue Killer ecc...) e non hanno trovato nulla.

Questa è la mia attuale configurazione di rete:

Configurazione IP di Windows

   Nome host . . . . . . . . . . . . . . : DESKTOP-S3A0S5I
   Suffisso DNS primario . . . . . . . . :
   Tipo nodo . . . . . . . . . . . . . . : Ibrido
   Routing IP abilitato. . . . . . . . . : No
   Proxy WINS abilitato . . . . . . . .  : No
   Elenco di ricerca suffissi DNS. . . . : homenetwork

Scheda Ethernet Ethernet:

   Suffisso DNS specifico per connessione: homenetwork
   Descrizione . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Indirizzo fisico. . . . . . . . . . . : 8C-89-A5-6F-43-02
   DHCP abilitato. . . . . . . . . . . . : Sì
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv6 locale rispetto al collegamento . : fe80::f40d:a853:ab06:5099%9(Preferenziale)
   Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.2(Preferenziale)
   Subnet mask . . . . . . . . . . . . . : 255.255.255.0
   Lease ottenuto. . . . . . . . . . . . : lunedì 19 dicembre 2016 20:04:37
   Scadenza lease . . . . . . . . . . .  : martedì 20 dicembre 2016 20:04:35
   Gateway predefinito . . . . . . . . . : 192.168.1.1
   Server DHCP . . . . . . . . . . . . . : 192.168.1.1
   IAID DHCPv6 . . . . . . . . . . . : 42764709
   DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
   Server DNS . . . . . . . . . . . . .  : 8.8.8.8
                                           8.8.4.4
   NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Tunnel isatap.homenetwork:

   Stato supporto. . . . . . . . . . . . : Supporto disconnesso
   Suffisso DNS specifico per connessione: homenetwork
   Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP abilitato. . . . . . . . . . . . : No
   Configurazione automatica abilitata   : Sì

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

   Suffisso DNS specifico per connessione:
   Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP abilitato. . . . . . . . . . . . : No
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:20d1:3bbb:a8fb:2f57(Preferenziale)
   Indirizzo IPv6 locale rispetto al collegamento . : fe80::20d1:3bbb:a8fb:2f57%3(Preferenziale)
   Gateway predefinito . . . . . . . . . : ::
   IAID DHCPv6 . . . . . . . . . . . : 134217728
   DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
   NetBIOS su TCP/IP . . . . . . . . . . : Disattivato
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 20, 2016, 08:19:12 AM
browser cleanup -> https://forum.avast.com/index.php?topic=193225.msg1350358#msg1350358
esegui anche la scansione all'avvio di avast.
Poi alelga il log di MBAM free e di farbar  https://forum.avast.com/index.php?topic=166413.msg1185101#msg1185101
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 20, 2016, 11:12:39 AM
browser cleanup -> https://forum.avast.com/index.php?topic=193225.msg1350358#msg1350358
esegui anche la scansione all'avvio di avast.
Poi alelga il log di MBAM free e di farbar  https://forum.avast.com/index.php?topic=166413.msg1185101#msg1185101

Malwarebytes non trova nulla. Browser cleanup mi dice che non c'è nessun componente aggiuntivo dannoso. Ecco qui i log di Farbar.
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 20, 2016, 11:33:02 AM
ho chiesto ad un malware removal specialist di dare un'occhiata ai log.
Spero ti risponda a breve

ciao
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 21, 2016, 11:41:52 AM
ho chiesto ad un malware removal specialist di dare un'occhiata ai log.
Spero ti risponda a breve

ciao

Ok grazie, aspetto allora la risposta ciao!
Title: Re: Problema vulnerabilità Rom 0
Post by: giogio on December 21, 2016, 11:47:24 AM
mi ha scritto che a prima vista non ha trovato nulla, ma ci guarda meglio domani
ciao
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 21, 2016, 01:47:55 PM
mi ha scritto che a prima vista non ha trovato nulla, ma ci guarda meglio domani
ciao

Ok ottimo! Avevo poi un altro dubbio dato che quando ho formattato non sono riuscito a eliminare due partizioni (grandi più o meno 300MB).

Riesci per caso a fargli anche questa domanda?

Se per caso c'è un virus in una delle due partizioni che non sono riuscito a formattare, gli antivirus riescono comunque a rilevare quelle sezioni dell'hard disk?

Grazie, a presto!
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on December 22, 2016, 09:19:10 AM
Feel free to translate to Italian (I used Chrome and had it auto translate so can follow some of the conversation):


1)  If your router is compromised (DNS hijacked in the router) then do a Factory Reset on the router and then set a new admin password in the router.


2)  I only see one partition on the system.  If you mean that there are several that do not show in the FRST scan logs, then check the drive with TDSSkiller (by Kaspersky Labs - here (http://support.kaspersky.com/us/5350) ).  If you need detailed instructions on this tool please ask and I will try to get them for you.  We only need the tool to scan first and not fix anything until the log can be verified.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 22, 2016, 10:40:57 AM
Se volete potete tradurre correttamente. Scrivo la risposta in italiano.  ;D

In allegato c'è la foto del mio hard disk con le partizioni.

Ho provato a resettare e/o cambiare password del router ma il problema è rimasto.

TDSS non trova nulla. Devo provare a fare qualche scansione particolare usando il programma?

Poi c'è un'altra questione. Ho notato che quando resetto il router, di default mi piazza questi DNS: 80.58.61.250 80.58.61.254

Io uso Telecom, su un altro forum mi hanno detto però che questo range di Ip proviene dalla Spagna.

Si il whois sull'IP colloca il range di IP da:
80.58.61.248 - 80.58.61.255
role: Administradores Telefonica de Espana
address: Ronda de la Comunicacion s/n
address: Edificio Norte 1, planta 6
address: 28050 Madrid
address: SPAIN

Ho settato manualmente i DNS di Google e ora se vado su stato (pannello del router) mi segnala questi DNS (mi hanno detto che sono di Telecom).

85.37.17.8, 85.38.28.73

Per caso può essere un problema di porte o cose del genere?

Grazie per l'aiuto!



Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on December 25, 2016, 06:13:36 AM
So you are now using 8.8.8.8 and 8.8.4.4 for your DNS in the router?  Or just the DNS in your PC?


Where did you get the router from?  Has any USB devices been attached directly to the router?


As to the partitions, those are leftover spaces that Windows or the formatting software leaves behind.

Non-allocated means not formatted and no data / files stored on those spaces.  That should be fine.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 27, 2016, 05:35:05 PM
Il router è attaccato solo al pc. Da un po' il sondaggio non compare più.


Queste comunque sono le mie impostazioni internet attuali:


Nome host . . . . . . . . . . . . . . : DESKTOP-S3A0S5I
   Suffisso DNS primario . . . . . . . . :
   Tipo nodo . . . . . . . . . . . . . . : Ibrido
   Routing IP abilitato. . . . . . . . . : No
   Proxy WINS abilitato . . . . . . . .  : No
   Elenco di ricerca suffissi DNS. . . . : homenetwork

Scheda Ethernet Ethernet:

   Suffisso DNS specifico per connessione: homenetwork
   Descrizione . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Indirizzo fisico. . . . . . . . . . . : 8C-89-A5-6F-43-02
   DHCP abilitato. . . . . . . . . . . . : Sì
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv6 locale rispetto al collegamento . : fe80::f40d:a853:ab06:5099%9(Preferenziale)
   Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.2(Preferenziale)
   Subnet mask . . . . . . . . . . . . . : 255.255.255.0
   Lease ottenuto. . . . . . . . . . . . : martedì 27 dicembre 2016 17:10:36
   Scadenza lease . . . . . . . . . . .  : mercoledì 28 dicembre 2016 17:10:36
   Gateway predefinito . . . . . . . . . : 192.168.1.1
   Server DHCP . . . . . . . . . . . . . : 192.168.1.1
   IAID DHCPv6 . . . . . . . . . . . : 42764709
   DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
   Server DNS . . . . . . . . . . . . .  : 8.8.8.8
                                           8.8.4.4
   NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Tunnel isatap.homenetwork:

   Stato supporto. . . . . . . . . . . . : Supporto disconnesso
   Suffisso DNS specifico per connessione: homenetwork
   Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP abilitato. . . . . . . . . . . . : No
   Configurazione automatica abilitata   : Sì

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

   Suffisso DNS specifico per connessione:
   Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP abilitato. . . . . . . . . . . . : No
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:478:3bbb:a8fb:2d66(Preferenziale)
   Indirizzo IPv6 locale rispetto al collegamento . : fe80::478:3bbb:a8fb:2d66%3(Preferenziale)
   Gateway predefinito . . . . . . . . . : ::
   IAID DHCPv6 . . . . . . . . . . . : 134217728
   DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
   NetBIOS su TCP/IP . . . . . . . . . . : Disattivato
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on December 30, 2016, 06:36:45 AM
Is the rogue "survey" appearing or is the issue solved?
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 30, 2016, 11:47:25 PM
Il sondaggio non è più comparso! Facendo però una scansione random con Farbar mi ha trovato questi due file:

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
GroupPolicyScripts: Restriction <======= ATTENTION

In questo periodo non ho fatto nulla di particolare, ho solo connesso tramite wifi alcuni cell al router. Devo eliminare queste due chiavi?
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on December 31, 2016, 08:24:26 AM
You can remove those entries if you want to.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on December 31, 2016, 09:39:47 AM
You can remove those entries if you want to.

Ok! Thanks for the help!

Ditemi pure il fix da piazzare.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on January 02, 2017, 01:45:45 PM
Qualche aggiornamento?
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on January 03, 2017, 05:34:11 AM
Sorry, I thought you had new logs and knew how to fix the errors.  No problems; just follow the steps below and run a fresh set of scan logs.  I will write the script for you.  Happy New Year to you and yours, by the way!



We need to get a fresh scan from FRST.
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on January 03, 2017, 11:08:59 AM
Ecco qui i log.

Thanks and Happy New Year!  ;D
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on January 03, 2017, 05:37:07 PM

(https://sites.google.com/site/cannedfixes/farbar-recovery-scan-tool/FRST.gif) Fix with Farbar Recovery Scan Tool
(https://sites.google.com/site/cannedfixes/home/hosted-images-formatting/icon_exclaim.gif) This fix was created for this user for use on that particular machine. (https://sites.google.com/site/cannedfixes/home/hosted-images-formatting/icon_exclaim.gif)
(https://sites.google.com/site/cannedfixes/home/hosted-images-formatting/icon_exclaim.gif) Running it on another one may cause damage and render the system unstable. (https://sites.google.com/site/cannedfixes/home/hosted-images-formatting/icon_exclaim.gif)
Download attached fixlist.txt file and save it to the Desktop:

Both files, FRST and fixlist.txt have to be in the same location or the fix will not work!

Please attach it to your reply.

Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on January 04, 2017, 10:16:53 AM
Thanks!  :)

This is the fixlog.

Riuscite poi per caso a tradurre correttamente?

In sostanza dopo il fix ho visto che ccleaner non mi segnalava più il processo 00avast in avvio automatico. Dopo il riavvio però ho anche notato che il mio file Host era infetto (anche se lo avevo pulito con HostXpert).

Poco dopo ho controllato nuovamente con Ccleaner ed è ricomparso il processo 00avast.

Ho provato a disattivare il processo tramite Ccleaner e poi a rimuoverlo. Dopo il riavvio ho notato che il mio file Host era infetto (anche se lo avevo pulito con HostXpert).

Provo poi a fare una nuova scansione con Farbar?
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on January 04, 2017, 05:34:12 PM
What told you the Host file was infected?  What changes were made to it?
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on January 05, 2017, 11:12:29 AM
What told you the Host file was infected?  What changes were made to it?

Nelle scorse settimane ho notato che ogni tanto il file Host viene infettato (non ho capito da cosa). Lo controllo ogni giorno e ogni tanto però non risulta pulito. Queste sono alcune voci che compaiono:

127.0.0.1 localhost0.0.0.0 0.0.0.0 # fix for traceroute and netstat display anomaly
0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
0.0.0.0 media.opencandy.com
0.0.0.0 cdn.opencandy.com
0.0.0.0 tracking.opencandy.com
0.0.0.0 api.opencandy.com
0.0.0.0 api.recommendedsw.com
0.0.0.0 installer.betterinstaller.com
0.0.0.0 installer.filebulldog.com
0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
0.0.0.0 inno.bisrv.com
0.0.0.0 nsis.bisrv.com
0.0.0.0 cdn.file2desktop.com
0.0.0.0 cdn.goateastcach.us
0.0.0.0 cdn.guttastatdk.us
0.0.0.0 cdn.inskinmedia.com
0.0.0.0 cdn.insta.oibundles2.com
0.0.0.0 cdn.insta.playbryte.com
0.0.0.0 cdn.llogetfastcach.us
0.0.0.0 cdn.montiera.com
0.0.0.0 cdn.msdwnld.com
0.0.0.0 cdn.mypcbackup.com
0.0.0.0 cdn.ppdownload.com
0.0.0.0 cdn.riceateastcach.us
0.0.0.0 cdn.shyapotato.us
0.0.0.0 cdn.solimba.com
0.0.0.0 cdn.tuto4pc.com
0.0.0.0 cdn.appround.biz
0.0.0.0 cdn.bigspeedpro.com
0.0.0.0 cdn.bispd.com


Ti allego comunque una nuova scansione di Farbar dopo il tuo Fix, così mi dici se adesso è tutto ok. Grazie!
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on January 06, 2017, 07:29:25 AM
Your logs look clean.  The Host file changes seem to be of a security program.  I have the exact same ones and it is UnChecky that makes the changes.  Perhaps Reason Security is making the changes when it scans your system?
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on January 06, 2017, 01:44:00 PM
Your logs look clean.  The Host file changes seem to be of a security program.  I have the exact same ones and it is UnChecky that makes the changes.  Perhaps Reason Security is making the changes when it scans your system?

Non so se è Reason Security ad apportare modifiche al file hosts. Magari è un altro programma. In questi giorni comunque posso provare a disinstallarlo.

Per il momento grazie mille per l'aiuto!

Ora comunque dovrebbe essere tutto ok giusto?
Title: Re: Problema vulnerabilità Rom 0
Post by: dbrisendine on January 06, 2017, 05:18:04 PM
Yes, you should be alright.  Let us know if you need anything else.   :)
Title: Re: Problema vulnerabilità Rom 0
Post by: REDACTED on January 07, 2017, 10:03:26 AM
Yes, you should be alright.  Let us know if you need anything else.   :)

Ok, thanks for help!  :D