Qualcuno ha idea di cosa causi quasta rottura di balle, che infetta il router?
E' da un pò che ci sto combattendo e ogni volta ritorna, non è che faccia chi sa quali danni, cambia solo i dns del router, però ogni volta resettare e reimpostare, non è divertente...:rolleyes:

cercando in rete ho trovato solo soluzioni al problema, ma non il nome del file responsabile, non è che qualcuno ha qualche informazione in merito?
grazie

Grazie Davide, il mio modem è un sitecom wl_174 con firmware edimax.
Scansioni ne ho fatte un bel po': Comodo, malware bites, ecc. Il problema è che il virus in questione non credo sia rilevabile dato che non ha effetto sui PC, ho letto che dovrebbe trovarsi nelle cache dei browser. Quindi il problema potrebbe arrivare non solo da un PC ma anche da un telefono o un tablet.

Davide hai poi risolto? ...ho un paio di clienti con lo stesso problema.
E' un pezzo che cerco in rete e la cosa più utile che ho trovato è questo 3D.... il resto tutte false guide fatte adhoc per scaricare falsi antispyware tipo spyhunter e simili.

Domattina controllerò i dns sui router... intanto grazie

Per la cronaca, la settimana scorsa ho inviato una mail agli amministratori di questo forum, segnalando che navigando in queste pagine mi compariva spesso un avviso simile.
Non importa che si rifiutasse di installare l'update di Flash Player, il download partiva in automatico. Fortunatamente il solo download. L'installazione del finto Player sarebbe dovuta essere attivata con doppio click.

In ogni caso posso immaginare che la colpa sia semplicemente di uno di quei banner che compaioni in alto, che attiva qualche script e reindirizza al download del malware. Per ora tutto mi sembra risolto.

Per analizzare il propri DSN in genere basta Hijackthis (voci 015) oppure una scansione con Norman Malware Cleaner.

Allora... pare proprio che il problema sia sul router (i dns immagino)
Non ho verificato perchè il cliente di stamani aveva dimenticato la password di amministrazione dello stesso... quindi ho resettato e riconfigurato.
Sul router per sicurezza ho impostato manualmente i dns con quelli google e ho attivato il firewall (cambiando tutte le password di amministrazione e wireless)

Fatto questo il problema, almeno per ora, non si è ripresentato. (Sia su iMac che Notebook con windows 8 che smartphone Android)

Comunque ancora mi pare assurdo che questo script o qualunque cosa sia riesca a cambiare parametri sul router...

Anche io ho questo problema, lo riscontro anche su iPhone e iPad, ed l'ho notato soprattutto che lo trovo quando mi collego a Facebook, Google e YouTube, proverò a fare come detto da aletlinfo, e vediamo cosa succede, ma è un problema molto fastidioso in quanto appare molto spesso ed inoltre non permette la navigazione sul web

Qualcuno ha idea di cosa causi quasta rottura di balle, che infetta il router?
E' da un pò che ci sto combattendo e ogni volta ritorna, non è che faccia chi sa quali danni, cambia solo i dns del router, però ogni volta resettare e reimpostare, non è divertente...:rolleyes:

cercando in rete ho trovato solo soluzioni al problema, ma non il nome del file responsabile, non è che qualcuno ha qualche informazione in merito?
grazie

Attenzione a non lasciare sui router la pw di default e soprattutto l'accesso remoto attivo, in rete ci sono botnet che scansionano la rete e attaccano e modificano i DNS sui router e proprio per quel motivo che poi non riuscite più a navigare o venite reindirizzati su siti fake (java, flash ecc....)

Verificate che nelle impostazioni del firewall dei router, l'opzione SPI sia attiva. (Su molti router non è attiva)

Se non è attiva dovete attivarla altrimenti l'accesso remoto da internet al router è abilitato sulla porta 80 e se la pw è quella di default l'accesso è immediato

Assicuratevi anche che l'UPnP sul router non sia attivo

Allora la schifezza pare chè si annidi nella cache dei browser.
Ho fatto scansioni con tutto ma non è servito a molto.
Forse il problema era in uno smartphone, ho cancellato le cache di ogni dispositivo chè accede alla rete e per ora tutto ok.
Prima di stare a perdere ore con 1000 scansioni cancellate le cache, resettate il router (hard reset intendo)... In bocca al lupo

@felixxx

Leggi quello che ho scritto sopra ;) Se vengono modificati i DNS del router il problema è quello che ho segnalato sopra.

Inoltre di recente in particolare i Router ASUS hanno rilasciato un aggiornamento di sicurezza del fw

@felixxx

Leggi quello che ho scritto sopra ;) Se vengono modificati i DNS del router il problema è quello che ho segnalato sopra.

Inoltre di recente in particolare i Router ASUS hanno rilasciato un aggiornamento di sicurezza del fw

si ma l'ho letto,
riporto solo la mia esperienza...
la pw del router l'ho sempre cambiata, dopo l'hard reset. Fw attivo, e roba in remoto non so nemmeno se si può fare su quel cesso di router....
puntualmete però dopo pò il problema si ripresentava.... scansioni sui pc a volonta, ma nulla... poi ho pulito anche i vari smartphone di casa e per ora tutto liscio.... boh magari domani sarò punto e a capo, però questo è quanto.
Ogni tanto controllo i dns, ma son sempre quelli che ho impostato (opendns)

Verifica nelle impostazioni del router se nelle impostazioni del firewall la voce SPI è attiva.

Se non è attiva, attivala

Verifica nelle impostazioni del router se nelle impostazioni del firewall la voce SPI è attiva.

Se non è attiva, attivala

mmmm non c'avevo mai fatto caso :D
allora il mio router è un Sitecom wl-127 con firmware Billion 5200G R4,
su tutti i firmware che ho usato su questo router (Sitecon, Edimax, e ora Billion) l'opzione era disattivata (ti ho messo uno screenshot).
Perche mettono un WARNING sull'attivazione di questa opzione?

mmmm non c'avevo mai fatto caso :D
allora il mio router è un Sitecom wl-127 con firmware Billion 5200G R4,
su tutti i firmware che ho usato su questo router (Sitecon, Edimax, e ora Billion) l'opzione era disattivata (ti ho messo uno screenshot).
Perche mettono un WARNING sull'attivazione di questa opzione?

Il Warning lo mette perchè attivandola blocca anche l'accesso remoto sulla porta 80 e non solo.

Purtroppo è una grave cosa non averla attivata di default, perchè se uno non ha un minimo di dimestichezza e soprattutto non cambia la pw di accesso al router, entrare nel router dalla rete esterna è una cosa immediata, basta solo conoscere il tuo indirizzo IP.

In rete ci sono botnet che continuamente scansionano la rete IP proprio per queste cose, quindi se uno ha l'accesso remoto attivo e la pw di default poi rischia di trovarsi i DNS sul router modificati

Sto trovando diversi clienti con questo problema, l'ultimo di stamani sul router aveva questi dns 23.253.94.129 e 172.33.118.171
Il problema si manifestava solo sulla postazione wireless dell'ufficio, gli altri collegati via lan e con ip statici funzionano regolarmente

In questo caso non ho resettato il router ma solo cambiato i dns con quelli google, abilitato il firewall e modificate le password. Per ora sembra tutto ok.

Si sa qualcosa di più su cosa e come riesce ad entrare sui router?

Vengono modificati sopratutto sui router che hanno la pw di fabbrica e l'accesso remoto abilitato sulla porta 80

Abilitando l'SPI l'accesso remoto viene chiuso