Problema Vulnerabilità Rom 0.

[Furiano]

Attendo solo l'ultima conferma prima di procedere. La procedura è quella corretta? Grazie in anticipo.

@Kelion @menatwork @Il cecchino Jackson @R16 @BlueRaven

 

[Kelion]

Vai...:ok:

 

[Furiano]

Vai...:ok:

Ok perfetto! Intanto mentre attendevo la conferma definitiva, ho provato a piazzare i DNS di Google dal pannello del router. Ti mando via mp i dati realativi alla connessione. Riesci per caso a dirmi se ora è tutto ok?

Dato che non avevo ancora provato, ho fatto una scansione anche con Rkill.

C'è per caso qualcosa da fixare? Come sempre, grazie a tutti per l'aiuto!

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* Windows Defender Disabled

[HKLM\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware" = dword:00000001

Checking Windows Service Integrity:

* agp440 [Missing Service]
* b06bdrv [Missing Service]
* CapImg [Missing Service]
* ebdrv [Missing Service]
* gagp30kx [Missing Service]
* iaLPSSi_GPIO [Missing Service]
* iaLPSSi_I2C [Missing Service]
* ibbus [Missing Service]
* IEEtwCollectorService [Missing Service]
* IoQos [Missing Service]
* ksthunk [Missing Service]
* mlx4_bus [Missing Service]
* ndfltr [Missing Service]
* nv_agp [Missing Service]
* PerfHost [Missing Service]
* TimeBroker [Missing Service]
* uagp35 [Missing Service]
* uliagpkx [Missing Service]
* vpci [Missing Service]
* WcsPlugInService [Missing Service]
* WinMad [Missing Service]
* WinVerbs [Missing Service]
* wpcfltr [Missing Service]
* WSService [Missing Service]

* AJRouter => %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted [Incorrect ImagePath]
* NetTcpPortSharing => %systemroot%\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [Incorrect ImagePath]
* WpnService => %systemroot%\system32\svchost.exe -k netsvcs [Incorrect ImagePath]

* PrintNotify => C:\Windows\system32\spool\drivers\W32X86\3\PrintConfig.dll [Incorrect ServiceDLL]
* vmicrdv => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]
* vmicvss => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* HOSTS file entries found:

127.0.0.1 localhost

 

[Kelion]

Apri il command come amministratore e dai il comando
sfc /scannow

 

[BlueRaven]

192.168.0.255 è quindi un valore non utilizzato sulla sia rete?

Ciao, scusa ma ho modo di rispondere soltanto ora.
Solo per amor di precisione e per un po' di sana cultura: il .255 non è esattamente un IP inutilizzato in quanto, nelle configurazioni che di solito si vedono in ambito casalingo (ovvero con subnet mask 255.255.255.0 o /24 che dir si voglia... mi rendo conto che sembra arabo, ma prendilo per buono, poi magari approfondiamo), coincide con l'indirizzo di broadcast.
Probabilmente il suggerimento che ti dà Avast è legato al fatto che normalmente i router non inoltrano i broadcast, ma qui la cosa è diversa - non parliamo di una richiesta broadcast in arrivo, bensì di un qualcosa generato dal router stesso - e non è detto che funzioni come loro pensano funzioni (dipende da come si comporta il tuo router).
Fai molto prima a fare un ping verso un IP a caso - che so: 192.168.0.146 - e se non ti risponde nulla vuol dire che non è utilizzato e puoi usare quello.
Per come impostare il forwarding non conosco il tuo router quindi purtroppo non ti so aiutare.

 

[Furiano]

Allora, momentaneamente non ho impostato la porta 80 ma ho piazzato i DNS di Google dal pannello del router e da 3 giorni non mi apre più la pagina. Il problema quindi forse è risolto?

Ho fatto la scansione piazzando sfc /scannow ed è venuto fuori questo:

Protezione risorse di Windows: nessuna violazione di integrità trovata.

Vedendo la scansione di RKill c'è per caso ancora qualcosa da fixare oppure no? Grazie in anticipo!

 

[Furiano]

C'è per caso qualche aggiornamento riguardo RKill?

In questi giorni non ho avuto problemi. Oggi però facendo una ricerca (con browser firefox), il browser è automaticamente cambiato in DuckDuckGo. Ho visto che installando Firefox, nella voce ricerca e motori di ricerca in un clic compaiono vari siti (es. Yahoo, Wikipedia e anche DuckDuck Go). Ho rimosso tutto e ho lasciato solo Google. Devo fixare ancora qualcosa?

Se riuscite fatemi sapere grazie a presto!

@BlueRaven @Kelion @menatwork

 

[Furiano]

Nessuna novità? (per chiudere definitivamente) :asd:

 

[Furiano]

Per un po' è andato tutto bene. Adesso è spuntata nuovamente la pagina del finto sondaggio. Mi hanno anche suggerito di piazzare i DNS di Comodo ma non è servito.

Queste sono le voci del virtual server (impostazioni router).

---

Virtual Server for: Single IP Account

Rule Index: 1

Application:
FTP oppure SSH, TELNET, HTTPS_Server ecc...

Start Port Number:

End Port Number:

Local IP Address:

In application cosa devo piazzare? HTTPS_server o altre voci?

Secondo voi cambiare il router può risolvere definitivamente il problema? Volevo prendere il modem router DLINK 2750B. È un buon router? È affetto dal bug Rom 0?

In questi giorni ho provato a fare delle scansioni in mod provvisoria con Hitman Pro (versione di prova).

Mi ha indicato un driver come minaccia.

Ho rimosso capimg.sys (che si trovava in C:/windows/System 32/Drivers).

Dopo averlo rimosso per un po' di giorni non è più comparsa nessuna pagina.

Ora, facendo una nuova scansione, mi ha trovato xinputhid.sys (sempre in C:/windows/System 32/Drivers).

Può essere in qualche modo collegato alla vulnerabilità Rom 0 e/o alla pagina che si apre?

Grazie in anticipo, ciao!

@Kelion @BlueRaven @menatwork