PROBLEMA Pagina Che Si Apre Problema Irrisolvibile

[Furiano]

Vi chiedo gentilmente se per caso qualcuno ha voglia di provare a dirmi se c'è qualche utente specializzato e/o qualche forum (oltre a questo) in grado di risolvere la questione.

Ho provato a cambiare modem/router per risolvere la questione vulnerabilità Rom 0.

Ho preso il modem router dlink2750b E1 che non presenta più la vulnerabilità Rom 0 ma la pagina si apre comunque (anche dopo la formattazione con chiavetta).

Per quanto riguarda il router, anche se inserisco una password diversa da admin/admin durante la configurazione guidata, Avast alla fine mi segnala sempre che la mia password è debole.

Avast mi segnala che il mio router è infetto. Mi dice di cambiare la password del pannello da admin/admin ma anche se la cambio mi segnala sempre l'errore.

@R16 ha detto che il mio sistema non presenta nessuna infezione di nessun tipo e quindi l'adware sfrutta la connessione 'legittima' per presentarsi.

Dato che alla fine vari utenti tra cui @menatwork @R16 mi hanno suggerito di formattare tramite chiavetta (ma il problema è rimasto), cosa devo fare?

Comunque quando ho formattato c'erano due partizioni che non sono riuscito a formattare. Forse è lì il problema?

C'è quindi qualche file che rimane dopo la formattazzione tramite chiavetta e infetta il router?

Una nuova scansione con Farbar può essere utile?

Non so più a chi rivolgermi XD.

 

[Il cecchino Jackson]

...E che pw hai inserito ? Spero non casa 1234

Posta una foto di questa pagina e di gestione disco

Così magari qualcuno capisce qualcosa in più

Ciao ..

 

[Furiano]

Non credo sia un problema di password, in sostanza il router è stato infettato subito dopo l'installazione. Anche prima, le password non sono state mai cambiate da un attacco esterno. È forse un problema simile a quello Rom 0 (cioè la connessione viene dirottata senza avere le credenziali del router). Ma ovviamente è solo una supposizione, ho provato praticamente tutto ma il problema è rimasto.

O c'è un virus nel pc che genera l'adware, oppure è un problema legato esclusivamente a impostazioni di connessione. Oppure la causa è un'altra.

Questo è il finto sondaggio che compare.

 

[tecnico24]

Con gli altri browser non si apre il sondaggio?
Nelle opzioni di firefox all'avvio hai impostato la tua pagina(es.google)?
Resta da capire se il problema è di firefox o del pc o del router ma non credo sia quest'ultimo se il problema si presenta solo su firefox.

 

[Kelion]

Clicca col tasto destro sull'icona di firefox che hai sul desktop e seleziona proprietà. Nel pannello Collegamento guarda nel campo Destinazione:, dopo la posizione del file firefox.exe potrebbe essere presente l'indirizzo web della pagina che si apre all'avvio di Firefox (ad esempio, "http://bitable.com"). Cancella quell'indirizzo web e fai clic su OK per rendere effettive le modifiche.

 

[Furiano]

Con gli altri browser non si apre il sondaggio?
Nelle opzioni di firefox all'avvio hai impostato la tua pagina(es.google)?
Resta da capire se il problema è di firefox o del pc o del router ma non credo sia quest'ultimo se il problema si presenta solo su firefox.

Il problema si presenta su tutti i browser. In sostanza la pagina si apre quando clicco su un sito. Es: apro il browser e cerco con google un sito (es. Repubblica). Quando clicco sul sito si apre il finto sondaggio. È una sorta di reindirizzamento. Dopo la comparsa, posso aprire anche 10 pagine ma non compare più (almeno per ora ha fatto così).

Clicca col tasto destro sull'icona di firefox che hai sul desktop e seleziona proprietà. Nel pannello Collegamento guarda nel campo Destinazione:, dopo la posizione del file firefox.exe potrebbe essere presente l'indirizzo web della pagina che si apre all'avvio di Firefox (ad esempio, "http://bitable.com"). Cancella quell'indirizzo web e fai clic su OK per rendere effettive le modifiche.

In quel campo compare solo "C:\Program Files\Mozilla Firefox\firefox.exe". Ho anche provato varie volte a installare nuovamente da zero Firefox ma il problema è rimasto.

Questo è quello che mi dice Avast:
Il tuo router è stato compromesso e le sue impostazioni DNS sono state modificate per trasmettere contenuti dannosi. I record DNS del router wireless sono stati compromessi. Quando navighi in rete, gli hacker potranno reindirizzarti liberamente da un sito autentico a uno contraffatto. In questo modo possono acquisire i dati sensibili, come nomi utente, password e dati di carte di credito. I tuoi dati personali sono in pericolo, così come la sicurezza di tutti i dispositivi collegati a questa rete.

La soluzione manuale consiste nel modificare i record DNS del router usando l'interfaccia di amministrazione del router. In alternativa, puoi utilizzare la nostra funzionalità SecureDNS per proteggerti dal dirottamento dei server DNS.

Anche con la vulnerabilità Rom 0 Avast mi indicava questo. Tempo fa ho avuto un problema del genere ma solo sul cellulare (con il vecchio modem router). Su pc non avevo problemi, mentre se provavo a connettermi con il cellulare tramite wifi mi compariva un finto sondaggio whatsapp. Dopo parecchio tempo il problema si è presentato anche su Pc (forse il vecchio problema non è stato risolto definitivamente).

@tecnico24 @Kelion vi ho inviato tramite mp le voci che mi segnala Avast in dettagli.

Grazie mille per l'aiuto! :ok:

 

[Furiano]

una domanda: hai seguito questo thread?

https://www.tomshw.it/forum/threads/cartella-host.614270/

mai usato HostsXpert ? prova anche questa strada..

Sì ho usato HostXpert ed è attualmente sul Pc. Il file host attualmente dovrebbe essere ok. Faccio un piccolo riassunto di tutto quello che ho fatto:

Numerose scansioni con vari programmi: Malwarebytes, Rogue Killer, TDSS, FRST, OTL, AdwCleaner, Junkware Removal Tool, Rkill, Avg, Avast (normale e in modalità provvisoria). In teoria ora il pc è pulito. Dopo le numerose scansioni R16 ha detto che il mio sistema non presenta nessuna infezione di nessun tipo.

Ho provato a installare windows 10 senza scaricarlo su chiavetta ma direttamente da pc e il problema è rimasto. Ho poi provato a installare tutto da 0 tramite chiavetta ed è sempre rimasto. Ripeto però che durante la formattazione non sono riuscito a eliminare due partizioni di 300 MB (più o meno). Ho resettato anche il router vecchio più volte ma non è servito. Avast mi ha poi rilevato la vulnerabilità Rom 0 del vecchio router. Ho cambiato modem router (senza la vulnerabilità rom 0) e il problema è rimasto.

In sostanza ci sono queste opzioni

1: Per scaricare l'ISO di windows 10 ho inserito la chiavetta nel mio pc con il problema (forse il virus ha infettato la chiavetta?).
2: Il problema è nel mio Hard Disk o da altre parti. In sostanza il virus resiste alla formattazione e infetta nuovamente il router.
3: Tramite server remoto e/o altro il router viene in qualche modo dirottato attraverso determinate porte anche senza avere le credenziali d'accesso (però magari con questo nuovo router si può risolvere il problema dato che non presenta più la vulnerabilità Rom 0).
4: Altro.

 

[Il cecchino Jackson]

In questo nuovo router sei capace ora di controllare che dns sono impostati?

 

[Gabryy.]

Prova a disinstallare il tuo browser con "Revo Uninstaller Pro" (usa la versione di prova) e mentre si disinstalla metti la spunta su "Ricerca Avanzata".
Inoltre ti consiglio di fare una scansione con Malwarebytes Free

 

[Il cecchino Jackson]

Vedi dispositivi sconosciti nell'elenco del tuo modem ?

 

[Furiano]

In questo nuovo router sei capace ora di controllare che dns sono impostati?

Attualmente è selezionata l'opzione abilita relay DNS.

I DNS impostati sono questi: 80.58.61.250
80.58.61.254

Con il vecchio router ho provato a cambiare vari DNS, (ad esempio quelli di Google o quelli che mi hai suggerito tu) ma il problema è rimasto.

In teoria il dirottamento avviene con qualunque tipo di DNS (ma appunto ormai non sono più sicuro di nulla!)

Provo a piazzare i DNS di Google?

Malwarebytes purtroppo non trova nulla.


Ho mandato un mp a @tecnico24 e @Kelion con i dettagli di Avast, mi segnala varie voci tra cui la porta 80. Forse è un problema di accesso remoto.

Provo a fare la scansione con i due programmi suggeriti da Gaiserik?

Il visualizzatore come funziona? Lo scarico e piazzo il log? Oppure devo controllare io se compaiono determinate voci?

Grazie a tutti per l'aiuto!

 

[tecnico24]

Il problema dei finti sondaggi dalle esperienze passate sono legate ai siti web streaming o similari.Hai programmi inerenti o link impostati sui broswer inerenti ai film in streaming?scova nel broswer (pagine di avvio , home page , preferiti , componenti aggiuntivi)sforza di ricordarti quando il problema è sorto , da lì potrai ricevere mille risposte e risolvere il problema.

 

[Kelion]

Per la formattazione del disco usa GParted live su chiavetta eliminando tutto fino a ricavare spazio non allocato e esci. Poi riavvia e sempre da GParted formatta in GPT da lì esci e installa windows 10 da chiavetta...

 

[Furiano]

Furiano fai un tentativo i tool che ti ho scritto.."hai fatto 30, fai anche 31." ;)

Allora, con Shortcut Cleaner è venuto fuori questo (vento è legato alla licenza microsoft):
Windows Version: Windows 10 Home
Program started at: 12/17/2016 01:12:17 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\vento\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\vento\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Users\Public\Desktop\

Searching C:\Users\vento\Desktop\

Searching C:\Users\Public\Desktop\


0 bad shortcuts found.

Program finished at: 12/17/2016 01:12:17 PM
Execution time: 0 hours(s), 0 minute(s), and 0 seconds(s)

@Gaiserick Con rem VBS worm digito a ma non mi compare nulla (ci sono un sacco di scritte velocissime ma alla fine mi dice solo premere un tasto per continuare). Serve quindi solo per pulire la chiave USB oppure è utile anche per rilevare minacce nel pc?

In sostanza inserisco la chiavetta USB, poi faccio partire il programma e premo la lettera a oppure devo fare le cose in ordine diverso?

@tecnico24 Non ho link che riportano a film in streaming o altra roba. Ti invio comunque tramite mp i log di FRST. Magari dato che il programma è stato aggiornato riesci a trovare qualche voce da eliminare. Ho notato che ci sono vari componenti aggiuntivi di Firefox e Chrome, ma il problema si presentava anche quando non c'era nessun componente aggiuntivo. Rimango in attesa di aggiornamenti grazie mille ciao!

@Kelion aspetto un attimo le risposte prima di provare. Non credo comunque di essere in grado di eseguire tutte le operazioni correttamente con GParted. Secondo te in un negozio di computer riescono a farlo? Eseguendo le operazioni che mi hai detto secondo te il problema si risolve? Riesci solo ad essere più preciso con le operazioni da fare? Così comunico tutto senza sbagliare.

 

[tecnico24]

A me queste due non piacciono:
Hearthstone
Battle.net
Inerenti a blizzard entertainment.
Rimuovile tramite il pannello di controllo.