Author Topic: Problema vulnerabilità Rom 0 (Read 20352 times)

REDACTED · « **Reply #30 on:** December 19, 2016, 08:32:59 PM »

hai già eseguito il browser cleanup di avast? Per ora ho provato a fare la scansione intelligente e la scansione completa. ome faccio ad eseguire il browser cleanup?

succede con tutti i browser (firefox, internet explorer, etc.)? Sì.
che sistema operativo hai ? E' aggiornato? Uso Windows 10 ed è aggiornato.
Prova ad eseguire anche una scansione completa con MBAM free. Ho provato a fare scansioni normali e in modalità provvisoria con moltissimi programmi (es. hitman pro, malwarebytes, adw cleaner, Jrt, Rogue Killer ecc...) e non hanno trovato nulla.

Questa è la mia attuale configurazione di rete:

Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : DESKTOP-S3A0S5I
Suffisso DNS primario . . . . . . . . :
Tipo nodo . . . . . . . . . . . . . . : Ibrido
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Elenco di ricerca suffissi DNS. . . . : homenetwork

Scheda Ethernet Ethernet:

Suffisso DNS specifico per connessione: homenetwork
Descrizione . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Indirizzo fisico. . . . . . . . . . . : 8C-89-A5-6F-43-02
DHCP abilitato. . . . . . . . . . . . : Sì
Configurazione automatica abilitata : Sì
Indirizzo IPv6 locale rispetto al collegamento . : fe80::f40d:a853:ab06:5099%9(Preferenziale)
Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.2(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Lease ottenuto. . . . . . . . . . . . : lunedì 19 dicembre 2016 20:04:37
Scadenza lease . . . . . . . . . . . : martedì 20 dicembre 2016 20:04:35
Gateway predefinito . . . . . . . . . : 192.168.1.1
Server DHCP . . . . . . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 42764709
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
Server DNS . . . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Tunnel isatap.homenetwork:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione: homenetwork
Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì
Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:20d1:3bbb:a8fb:2f57(Preferenziale)
Indirizzo IPv6 locale rispetto al collegamento . : fe80::20d1:3bbb:a8fb:2f57%3(Preferenziale)
Gateway predefinito . . . . . . . . . : ::
IAID DHCPv6 . . . . . . . . . . . : 134217728
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato

giogio · « **Reply #31 on:** December 20, 2016, 08:19:12 AM »

browser cleanup -> https://forum.avast.com/index.php?topic=193225.msg1350358#msg1350358
esegui anche la scansione all'avvio di avast.
Poi alelga il log di MBAM free e di farbar https://forum.avast.com/index.php?topic=166413.msg1185101#msg1185101

REDACTED · « **Reply #32 on:** December 20, 2016, 11:12:39 AM »

Quote from: giogio on December 20, 2016, 08:19:12 AM

browser cleanup -> https://forum.avast.com/index.php?topic=193225.msg1350358#msg1350358
esegui anche la scansione all'avvio di avast.
Poi alelga il log di MBAM free e di farbar https://forum.avast.com/index.php?topic=166413.msg1185101#msg1185101

Malwarebytes non trova nulla. Browser cleanup mi dice che non c'è nessun componente aggiuntivo dannoso. Ecco qui i log di Farbar.

giogio · « **Reply #33 on:** December 20, 2016, 11:33:02 AM »

ho chiesto ad un malware removal specialist di dare un'occhiata ai log.
Spero ti risponda a breve

ciao

REDACTED · « **Reply #34 on:** December 21, 2016, 11:41:52 AM »

Quote from: giogio on December 20, 2016, 11:33:02 AM

ho chiesto ad un malware removal specialist di dare un'occhiata ai log.
Spero ti risponda a breve

ciao

Ok grazie, aspetto allora la risposta ciao!

giogio · « **Reply #35 on:** December 21, 2016, 11:47:24 AM »

mi ha scritto che a prima vista non ha trovato nulla, ma ci guarda meglio domani
ciao

REDACTED · « **Reply #36 on:** December 21, 2016, 01:47:55 PM »

Quote from: giogio on December 21, 2016, 11:47:24 AM

mi ha scritto che a prima vista non ha trovato nulla, ma ci guarda meglio domani
ciao

Ok ottimo! Avevo poi un altro dubbio dato che quando ho formattato non sono riuscito a eliminare due partizioni (grandi più o meno 300MB).

Riesci per caso a fargli anche questa domanda?

Se per caso c'è un virus in una delle due partizioni che non sono riuscito a formattare, gli antivirus riescono comunque a rilevare quelle sezioni dell'hard disk?

Grazie, a presto!

dbrisendine · « **Reply #37 on:** December 22, 2016, 09:19:10 AM »

Feel free to translate to Italian (I used Chrome and had it auto translate so can follow some of the conversation):

1) If your router is compromised (DNS hijacked in the router) then do a Factory Reset on the router and then set a new admin password in the router.

2) I only see one partition on the system. If you mean that there are several that do not show in the FRST scan logs, then check the drive with TDSSkiller (by Kaspersky Labs - here ). If you need detailed instructions on this tool please ask and I will try to get them for you. We only need the tool to scan first and not fix anything until the log can be verified.

REDACTED · « **Reply #38 on:** December 22, 2016, 10:40:57 AM »

Se volete potete tradurre correttamente. Scrivo la risposta in italiano.

In allegato c'è la foto del mio hard disk con le partizioni.

Ho provato a resettare e/o cambiare password del router ma il problema è rimasto.

TDSS non trova nulla. Devo provare a fare qualche scansione particolare usando il programma?

Poi c'è un'altra questione. Ho notato che quando resetto il router, di default mi piazza questi DNS: 80.58.61.250 80.58.61.254

Io uso Telecom, su un altro forum mi hanno detto però che questo range di Ip proviene dalla Spagna.

Si il whois sull'IP colloca il range di IP da:
80.58.61.248 - 80.58.61.255
role: Administradores Telefonica de Espana
address: Ronda de la Comunicacion s/n
address: Edificio Norte 1, planta 6
address: 28050 Madrid
address: SPAIN

Ho settato manualmente i DNS di Google e ora se vado su stato (pannello del router) mi segnala questi DNS (mi hanno detto che sono di Telecom).

85.37.17.8, 85.38.28.73

Per caso può essere un problema di porte o cose del genere?

Grazie per l'aiuto!

dbrisendine · « **Reply #39 on:** December 25, 2016, 06:13:36 AM »

So you are now using 8.8.8.8 and 8.8.4.4 for your DNS in the router? Or just the DNS in your PC?

Where did you get the router from? Has any USB devices been attached directly to the router?

As to the partitions, those are leftover spaces that Windows or the formatting software leaves behind.

Non-allocated means not formatted and no data / files stored on those spaces. That should be fine.

REDACTED · « **Reply #40 on:** December 27, 2016, 05:35:05 PM »

Il router è attaccato solo al pc. Da un po' il sondaggio non compare più.

Queste comunque sono le mie impostazioni internet attuali:

Nome host . . . . . . . . . . . . . . : DESKTOP-S3A0S5I
Suffisso DNS primario . . . . . . . . :
Tipo nodo . . . . . . . . . . . . . . : Ibrido
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Elenco di ricerca suffissi DNS. . . . : homenetwork

Scheda Ethernet Ethernet:

Suffisso DNS specifico per connessione: homenetwork
Descrizione . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Indirizzo fisico. . . . . . . . . . . : 8C-89-A5-6F-43-02
DHCP abilitato. . . . . . . . . . . . : Sì
Configurazione automatica abilitata : Sì
Indirizzo IPv6 locale rispetto al collegamento . : fe80::f40d:a853:ab06:5099%9(Preferenziale)
Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.2(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Lease ottenuto. . . . . . . . . . . . : martedì 27 dicembre 2016 17:10:36
Scadenza lease . . . . . . . . . . . : mercoledì 28 dicembre 2016 17:10:36
Gateway predefinito . . . . . . . . . : 192.168.1.1
Server DHCP . . . . . . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 42764709
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
Server DNS . . . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Tunnel isatap.homenetwork:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione: homenetwork
Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì
Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:478:3bbb:a8fb:2d66(Preferenziale)
Indirizzo IPv6 locale rispetto al collegamento . : fe80::478:3bbb:a8fb:2d66%3(Preferenziale)
Gateway predefinito . . . . . . . . . : ::
IAID DHCPv6 . . . . . . . . . . . : 134217728
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato

dbrisendine · « **Reply #41 on:** December 30, 2016, 06:36:45 AM »

Is the rogue "survey" appearing or is the issue solved?

REDACTED · « **Reply #42 on:** December 30, 2016, 11:47:25 PM »

Il sondaggio non è più comparso! Facendo però una scansione random con Farbar mi ha trovato questi due file:

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
GroupPolicyScripts: Restriction <======= ATTENTION

In questo periodo non ho fatto nulla di particolare, ho solo connesso tramite wifi alcuni cell al router. Devo eliminare queste due chiavi?

dbrisendine · « **Reply #43 on:** December 31, 2016, 08:24:26 AM »

You can remove those entries if you want to.

REDACTED · « **Reply #44 on:** December 31, 2016, 09:39:47 AM »

Quote from: dbrisendine on December 31, 2016, 08:24:26 AM

You can remove those entries if you want to.

Ok! Thanks for the help!

Ditemi pure il fix da piazzare.

Author Topic: Problema vulnerabilità Rom 0 (Read 20352 times)

REDACTED

Re: Problema vulnerabilità Rom 0

giogio

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0

giogio

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0

giogio

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0

dbrisendine

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0

dbrisendine

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0

dbrisendine

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0

dbrisendine

Re: Problema vulnerabilità Rom 0

REDACTED

Re: Problema vulnerabilità Rom 0