Problema vulnerabilità Rom 0

In questi giorni ho provato a fare delle scansioni in mod provvisoria con Hitman Pro (versione di prova).

Mi ha indicato un driver come minaccia.

Ho rimosso capimg.sys (che si trovava in C:/windows/System 32/Drivers).

Ora, facendo una nuova scansione, mi ha trovato xinputhid.sys (sempre in C:/windows/System 32/Drivers).

Può essere in qualche modo collegato alla vulnerabilità Rom 0 e/o alla pagina che si apre?

Farei molta attenzione a toccare dentro a system32, se tocchi qualcosa di errato puoi avere problemi con il pc con il rischio di formattare tutto.

La falla rom 0 è limitata al router, certo che sei poi ti cambiano dns e quel che ne consegue l’attacco può avvenire nel tuo pc.

Una cosa che non riesco a capire è se i dns te li sei già trovati cambiati,
altrimenti potresti averti beccato un adware https://it.wikipedia.org/wiki/Adware che sono facili a cambiarti la home del tuo browser, reindizzandoti su altri siti.

Infatti è quello che non riesco a capire neanche io. Ho chiesto aiuto in un altro forum e ho provato praticamente di tutto. Scansione con tutti i programmi più famosi, scansione con Farbar e OTL, installazione di Windows (con e senza chiavetta usb), reset del router.

Dopo aver eliminato varie voci, il problema della pagina che si apre è sempre rimasto (anche dopo la formattazione).

Facendo poi una scansione con Avast, mi ha indicato la vulnerabilità Rom 0 e ho provato in tutti i modi a risolverla ma non riesco. Adesso, anche con i DNS di Google o altri DNS, la pagina si apre sempre.

Ho letto appunto che la vulnerabilità Rom 0 riesce a dirottare il router senza avere le credenziali. Però anche io, dopo aver provato tutto, non capisco più cosa devo fare XD.

Vi chiedo gentilmente se per caso qualcuno ha voglia di provare a dirmi se c’è qualche utente specializzato in grado di risolvere la questione.

Ho due richieste specifiche e vi chiedo se riuscite a rispondere a tutto.

Ho provato a cambiare modem/router per risolvere la questione vulnerabilità Rom 0.

Ho preso il modem router dlink2750b che non presenta più la vulnerabilità Rom 0 ma la pagina si apre comunque (anche dopo la formattazione con chiavetta).

Per quanto riguarda il router, anche se inserisco una password diversa da admin/admin durante la configurazione guidata, Avast alla fine mi segnala sempre che la mia password è debole.

Avast mi segnala che il mio router è infetto. Mi dice di cambiare la password del pannello da admin/admin ma anche se la cambio mi segnala sempre l’errore.

Un po’ di giorni fa (prima di cambiare il router) mi hanno suggerito di formattare tramite chiavetta (ma il problema è rimasto), cosa devo fare?

Comunque quando ho formattato c’erano due partizioni che non sono riuscito a formattare. Forse è lì il problema?

C’è quindi qualche file che rimane dopo la formatazzione tramite chiavetta e infetta il router?

Ho aggiornato il topic precedente, se per caso qualcuno è pratico di Farbar (o altri programmi) posso inviargli il log (ditemi voi).

prova a generare una password forte con questo
https://identitysafe.norton.com/it/password-generator

prova a postare l’immagine del finto sondaggio che ti compare

Non credo sia un problema di password, in sostanza il router è stato infettato subito dopo l’installazione. Anche prima, le password non sono state mai cambiate da un attacco esterno. È forse un problema simile a quello Rom 0 (cioè la connessione viene dirottata senza avere le credenziali del router). Ma ovviamente è solo una supposizione, ho provato praticamente tutto ma il problema è rimasto.

O c’è un virus nel pc che genera l’adware, oppure è un problema legato esclusivamente a impostazioni di connessione. Oppure la causa è un’altra.

Ho fatto uno screen con lo stumento di cattura. Come faccio a piazzare l’immagine?

hai provato a cambiare la password come suggerito?

per postare la pagina segui le istruzioni nel primo link https://forum.avast.com/index.php?topic=144453.0

Sì il problema si presenta con qualunque tipo di password. In sostanza quando clicco su un sito, vengo reindirizzato verso il finto sondaggio. Avast mi dice che i miei DNS sono compromessi ma nessuna password è stata cambiata.

Forse è un problema di accesso remoto (tramite la porta 80) o magari è un virus che è riuscito a resistere alla formattazione e ha infettato nuovamente il router. Ho provato praticamente tutto ma non sono riuscito a risolvere il problema.

hai già eseguito il browser cleanup di avast?
hai già eseguito una scansione all’avvio con avast?
succede con tutti i browser (firefox, internet explorer, etc.)?
che sistema operativo hai ? E’ aggiornato?
Prova ad eseguire anche una scansione completa con MBAM free.
Se fai ipconfig /all vedi sempre i dns di google o altri?
Se entri nella configurazione del router vedi i dns di google o altri?

hai già eseguito il browser cleanup di avast? Per ora ho provato a fare la scansione intelligente e la scansione completa. ome faccio ad eseguire il browser cleanup?

succede con tutti i browser (firefox, internet explorer, etc.)? Sì.
che sistema operativo hai ? E’ aggiornato? Uso Windows 10 ed è aggiornato.
Prova ad eseguire anche una scansione completa con MBAM free. Ho provato a fare scansioni normali e in modalità provvisoria con moltissimi programmi (es. hitman pro, malwarebytes, adw cleaner, Jrt, Rogue Killer ecc…) e non hanno trovato nulla.

Questa è la mia attuale configurazione di rete:

Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : DESKTOP-S3A0S5I
Suffisso DNS primario . . . . . . . . :
Tipo nodo . . . . . . . . . . . . . . : Ibrido
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Elenco di ricerca suffissi DNS. . . . : homenetwork

Scheda Ethernet Ethernet:

Suffisso DNS specifico per connessione: homenetwork
Descrizione . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Indirizzo fisico. . . . . . . . . . . : 8C-89-A5-6F-43-02
DHCP abilitato. . . . . . . . . . . . : Sì
Configurazione automatica abilitata : Sì
Indirizzo IPv6 locale rispetto al collegamento . : fe80::f40d:a853:ab06:5099%9(Preferenziale)
Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.2(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Lease ottenuto. . . . . . . . . . . . : lunedì 19 dicembre 2016 20:04:37
Scadenza lease . . . . . . . . . . . : martedì 20 dicembre 2016 20:04:35
Gateway predefinito . . . . . . . . . : 192.168.1.1
Server DHCP . . . . . . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 42764709
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
Server DNS . . . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Tunnel isatap.homenetwork:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione: homenetwork
Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì
Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:20d1:3bbb:a8fb:2f57(Preferenziale)
Indirizzo IPv6 locale rispetto al collegamento . : fe80::20d1:3bbb:a8fb:2f57%3(Preferenziale)
Gateway predefinito . . . . . . . . . : ::
IAID DHCPv6 . . . . . . . . . . . : 134217728
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1F-CA-48-FB-8C-89-A5-6F-43-02
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato

browser cleanup → https://forum.avast.com/index.php?topic=193225.msg1350358#msg1350358
esegui anche la scansione all’avvio di avast.
Poi alelga il log di MBAM free e di farbar https://forum.avast.com/index.php?topic=166413.msg1185101#msg1185101

Malwarebytes non trova nulla. Browser cleanup mi dice che non c’è nessun componente aggiuntivo dannoso. Ecco qui i log di Farbar.

ho chiesto ad un malware removal specialist di dare un’occhiata ai log.
Spero ti risponda a breve

ciao

Ok grazie, aspetto allora la risposta ciao!

mi ha scritto che a prima vista non ha trovato nulla, ma ci guarda meglio domani
ciao

Ok ottimo! Avevo poi un altro dubbio dato che quando ho formattato non sono riuscito a eliminare due partizioni (grandi più o meno 300MB).

Riesci per caso a fargli anche questa domanda?

Se per caso c’è un virus in una delle due partizioni che non sono riuscito a formattare, gli antivirus riescono comunque a rilevare quelle sezioni dell’hard disk?

Grazie, a presto!

Feel free to translate to Italian (I used Chrome and had it auto translate so can follow some of the conversation):

  1. If your router is compromised (DNS hijacked in the router) then do a Factory Reset on the router and then set a new admin password in the router.

  2. I only see one partition on the system. If you mean that there are several that do not show in the FRST scan logs, then check the drive with TDSSkiller (by Kaspersky Labs - here ). If you need detailed instructions on this tool please ask and I will try to get them for you. We only need the tool to scan first and not fix anything until the log can be verified.

Se volete potete tradurre correttamente. Scrivo la risposta in italiano. ;D

In allegato c’è la foto del mio hard disk con le partizioni.

Ho provato a resettare e/o cambiare password del router ma il problema è rimasto.

TDSS non trova nulla. Devo provare a fare qualche scansione particolare usando il programma?

Poi c’è un’altra questione. Ho notato che quando resetto il router, di default mi piazza questi DNS: 80.58.61.250 80.58.61.254

Io uso Telecom, su un altro forum mi hanno detto però che questo range di Ip proviene dalla Spagna.

Si il whois sull’IP colloca il range di IP da:
80.58.61.248 - 80.58.61.255
role: Administradores Telefonica de Espana
address: Ronda de la Comunicacion s/n
address: Edificio Norte 1, planta 6
address: 28050 Madrid
address: SPAIN

Ho settato manualmente i DNS di Google e ora se vado su stato (pannello del router) mi segnala questi DNS (mi hanno detto che sono di Telecom).

85.37.17.8, 85.38.28.73

Per caso può essere un problema di porte o cose del genere?

Grazie per l’aiuto!

So you are now using 8.8.8.8 and 8.8.4.4 for your DNS in the router? Or just the DNS in your PC?

Where did you get the router from? Has any USB devices been attached directly to the router?


As to the partitions, those are leftover spaces that Windows or the formatting software leaves behind.

Non-allocated means not formatted and no data / files stored on those spaces. That should be fine.