|
|
|
|
Strumenti |
28-09-2017, 07:00 | #21 | |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Quote:
In primis se il firmware è gia stato "bucato", la password non serve ha nulla... Quindi come gia consigliato aggiornare i firmware se cè una versione aggiornata.... |
|
28-09-2017, 14:30 | #22 | |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Forse non avete letto bene.......... al secondo reset fatto, prima di cambiare la password, mai cambiata tra l' altro, ho cambiato delle impostazioni nella finestra di configurazione del router, che già questo sarebbe bastato a chiudere i reindirizzamenti . Da ieri io non ho più nessun problema, vediamo se si ripresenta e quando...........secondo me non si ripresenta . I reindirizzamenti delle pagine web, prima del primo reset, sono iniziati, appena andato on line . Fatto il primo reset, solo il reset, senza cambiare nulla, sono ri-iniziati dopo circa 2 orette...... Adesso è oltre un giorno e mezzo che apro più pagine web e al momento non è successo nulla . Poi se ricapita, aggiorneremo anche il firmware, ma secondo me non occorre, poi.......... PS > vediamo se il solo reset, fatto da Ferny, basta o meno..........
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 28-09-2017 alle 14:41. |
|
28-09-2017, 14:49 | #23 | |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18243
|
Quote:
|
|
28-09-2017, 14:53 | #24 |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ok , io intendevo che altri nella tua stessa situazione non risolvono solo con un reset del router , bensi possono essere stati corrotti i browser...o estensioni malevole...
Non lo dico io , se vai nel sito della bleeping computer ci sono casi come quello che ti ho detto... |
28-09-2017, 19:41 | #25 | ||
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Prima il segno di spunta era su Deactived Application, prima era su BOTH Interface, prima era su WAN >>> ecco perchè forse.......mi apparivano ben 7 voci WAN in Gestione dispositivi - Schede di rete, subito sotto il nome del mio modem........... Mai avuto le voci WAN suddette, in Gestione dispositivi - Schede di rete. tp-link-protezione-accesso-esterno-login Quote:
Infatti, prima di fare gli scan antivirus e prima formattare, sono andato a vedere se avevo estensioni strane in Slimjet o in Microsoft Edge o in IE11 . Poi ho disinstallato e reinstallato Slimjet, poi ho fatto anche il ripristino di Slimjet, il problema continuava, anche ....dopo tutti gli scan fatti in provvisoria e dopo la reinstallazione da zero . Fino adesso, nessun reindirizzamento delle pagine web, al momento ho fermato ONCLKDS.COM , con oggi sono 2 giorni interi Il problema l' ho avuto martedi 26 settembre 2017, appena entrato on line . Chissà Ferdy com' è dopo il reset..........
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 28-09-2017 alle 19:49. |
||
29-09-2017, 06:40 | #26 | |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18243
|
Quote:
Da quello che capisco il tuo router era impostato per permettere l'accesso da remoto (WAN) all'interfaccia di configurazione, quindi complice anche il fatto che aveva la password di default era aperto al mondo esterno come un cozza ben cotta... :-) Bene che hai risolto, questo è quello che conta. In fondo gravi danni oltre all'essere offline per qualche tempo, non ne hai avuti, tutta esperienza per te e per noi cui hai avuto la gentilezza di condividerla |
|
29-09-2017, 17:01 | #27 |
Junior Member
Iscritto dal: Sep 2017
Messaggi: 19
|
Anche il mio router era un TP-LINK e vi dico di più:
al momento del reset abbiamo scoperto che la password nonostante non era quella di default era stata cambiata ....... |
29-09-2017, 19:57 | #28 | ||
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Cambiando questi parametri, più la password da 26 caratteri alfanumerici adesso sono a posto . Magari poi in futuro, se ritorna.........faccio anche l' upgrade del firmware del modem Comunque dal 2011, hanno in cui ho acquistato il modem, mi ha tirato questi numeri solo una volta . Se può essere utile a più di qualche utente, mi fa piacere Un saluto a Nicodemo, con il quale è sempre un piacere parlare Quote:
Ma il reset è bastato o sono tornati i re-indirizzamenti ? La password cambiata, eravate a conoscenza del cambio ? A parte che potete metterne un' altra, senza nessun problema . Cambiata solo la password e nella finestra Access Management DDNS, come sono messi i parametri, come da immagine ?
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
||
05-10-2017, 18:23 | #29 | |
Junior Member
Iscritto dal: Sep 2017
Messaggi: 19
|
Quote:
Sì, il reset è bastato ed a seguito di quello siamo entrati con le password di default e poi le abbiamo cambiate. No, non eravamo a conoscenza del cambio, è evidente che il Malware non solo ha infettato il router ma ha cambiato anche la password in modo da non farci accedere per controllare. Quanto alla finestra Access Management DDNS non te lo so dire, ha fatto tutto il collega. Magari chiederò e te lo faccio sapere. So che abbiamo limitato gli accessi wi-fi per un maggior controllo di eventuali intrusi. |
|
06-10-2017, 17:28 | #30 | |||
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Quote:
Comunque bene che avete risolto, mettendo una nuova password, spero robusta, come si dice Quote:
Per sicurezza, ho messo anche una password robusta di 26 caratteri alfanumerici . A tutt' oggi, i reindirizzamenti, sono assenti completamente Una cosa che non ho detto, ma che ho fatto immediatamente, al comparire del primo re-indirizzamento è stato salvare i dati . Non ho dati chissà di quale importanza dove gira il SO, li ho sempre tutti, negli hd esterni, collegati con il famoso tasto On/Off, molto più comodi e sicuri, degli hd esterni autoalimentati . Quindi appena mi è comparsa la prima finestra strana......a causa del reindirizzamento, ho immediatamente pensato e chiuso, l' hd esterno che era collegato al pc, tramite usb e avviato con il tasto On . Che da On è passato immediatamente........ a Off . Nessun danno avuto, anche perchè l' ho spento, in un secondo, l' hd esterno, con il tasto Off che c'è nel box per hd esterni . Ovviamente, se questi reindirizzamenti, oltre che a cambiare la pagina web a cui uno vuole accedere, infettano anche il pc, che molto spesso........è pieno di dati, dove è installato il SO...........il problema si espande......... Grazie Phoenix2005, per l' intervento
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|||
08-10-2017, 12:39 | #31 | ||
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Quote:
La prima azione, al rimo reindirizzamento, è stata quella di chiudere il box esterno collegato . C' è una cosa che non ho detto, che potrebbe tornare utile a più di un utente Quindi al primo reindirizzamento: 1 - chiuso immediatamente, senza neanche pensarci, l' hd esterno che era collegato 2 - scarico Malwarebytes Anti-Malware, la versione freeware, dal sito della casa madre, come sempre, non avendolo installato sul pc....... Solo al terzo tentativo riesco ad accedere al link della casa madre di Malwarebytes, perchè solo al terzo tentativo, non mi reindirizza la pagina......ok, scarico, installo, avvio lo scan, risultato = 0 . Mmmhhhhh.....apro il browser e scrivo sulla barra delle ricerche > hardware upgrade forum + Invio........parte il reindirizzamento ? > No . Parte Malwarebytes che blocca l' acceso al sito e fa apparire una finestra dove dice che c'è una situazione di pericolosità......... E penso: ma da quando il sito che frequento di solito......è diventato pericoloso....... Apro altri siti normali e succede la stessa cosa: Malwarebytes blocca l' apertura di qualsiasi sito, dicendo che sono tutti siti pericolosi........ E nella finestra di Malwarebytyes dove mi avverte.....compare il nome > ONCLKDS.COM . C'è più di qualcosa che non quadra qui ehhh.......penso......... PS >>> forse Malwarebytes si attivava anche online, perchè appena installato, c' era scritto che per 30 giorni era in prova (la versione a pagamento ?.....) e se dopo i 30 giorni non fosse stata acquistata la licenza, Malwarebytes, sarebbe diventato freeware . Quindi forse ho usato la versione Demo di Malwarebytes a pagamento.............comunque si attivava ogni volta che provavo ad accedere a qualsiasi sito . Quindi ho fatto la prima volta questo, post n.5, pensando di risolvere.... > http://www.hwupgrade.it/forum/showpo...65&postcount=5 Dopo circa due ore on line, ripartono i reindirizzamenti, dopo il normale reset, senza cambiare nulla nelle impostazioni......... ho fatto questo e ho risolto post n. 18 > http://www.hwupgrade.it/forum/showpo...4&postcount=18 La seconda volta, come detto sopra, andando in Gestione dispositivi, mi sono accorto che c' erano delle voci WAN Port 1, 2.......oltre alla voce del modem . E allora ho resettato il modem, cambiato l' opzione nella finestra detta + password da 26 caratteri alfanumerici . Ad oggi, adesso in cui sto scrivendo questo post, i reindirizzamenti, non sono più ri-apparsi . Sono pienamente d' accordo, sempre pensato anch' io, quoto
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 08-10-2017 alle 12:45. |
||
10-10-2017, 18:34 | #32 | |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Nessun problema: - prima ho fatto gli scan antivirus - poi ho rimesso W10, solo i file sopra il W10 che c'era, quindi installando il SO in Aggiornamento . - poi ho azzerato il tutto e reinstallato da zero W10 .
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
12-10-2017, 11:02 | #33 | |
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Quote:
Tutto giusto rigurdo a spyhunter e soprattutto la casa produttrice Enigma Software sarebbe stato meglio farla chiudere con sanzioni a dir poco pesanti... Invece Ancora rilascia versioni di questo Spyhunter... |
|
13-10-2017, 18:38 | #34 | |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Questo programma l' ho usato solo in questa occasione........dato che il responso è stato 0 file infetti trovati..........prontamente disintallato . E poi ho azzerato il tutto e reinstallato il SO da zero . Invece quello che mi ha fatto capire che il problema erano i DNS cambiati è stato Malwarebytes Anti Malware, perchè quando ce l' avevo installato, prima del reset, mi bloccava tutte le pagine, qualsiasi pagina, anche se volevo entrare qui nel forum .
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
14-10-2017, 09:27 | #35 | |
Senior Member
Iscritto dal: Dec 2004
Città: Torino provincia
Messaggi: 6321
|
Quote:
Io prima mi affidavo a quelli di Google....ora ho rimesso quelli di TIM....
__________________
Mobo: Asus P8Z77V-PRO; CPU: Intel i5-2500K@4500MHz cooled by OcLabs-6E; S.Video: Gigabyte GTX960 Windforce X2 4Gb RAM: 2*4Gb DDRIII Corsair Dominator |
|
15-10-2017, 12:45 | #36 | |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
@ Phoenix2005 Quello che hai postato al post n.40, non è interessante e non è utile...... è super interessante e super utile, anzi di più Hai dato un super suggerimento per i DNS, ringraziarti è il minimo Grazie
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
16-10-2017, 13:12 | #37 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
A proposito di DNS, router..........io usa una connessione Lan, non Wi-Fi
Se usate una connessione Wi-Fi, occhio alla sicurezza............... Da un articolo della Redazione di Hardware Upgrade, pubblicato oggi > Scoperta grave falla sul protocollo WPA2: router vulnerabili alle intercettazioni Il protocollo di sicurezza WPA2 utilizzato su tutti i router consumer più moderni, sembra essere stato "crackato" da un gruppo di ricercatori belga
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
16-10-2017, 19:01 | #38 | ||
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Quote:
Io con il mio normale modem, volendo........posso anche collegarmi in Wi-Fi, mai fatto.......... Tra l' altro quando sento che il vicino di casa, si collega on line attaccandosi alla linea wi-fi dell' altro vicino di casa...anche qui ok, ci sono le password, ma concordo con il pensiero di Phoenix2005
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
||
18-10-2017, 14:50 | #39 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Sempre peggio con queste vulnerabilità nei modem..........altro articolo della Redazione, sempre sul tema >
KRACK, la vulnerabilità che ha messo in ginocchio WPA2
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
21-10-2017, 13:51 | #40 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 1367
|
Buonasera a tutti, non vorrei trovarmi su questo thread ma ahimè ho paura di essere anche io sotto questo tipo di attacco.
Avevo aperto un thread apposito qui: http://www.hwupgrade.it/forum/showthread.php?t=2831876 Poi gentilmente @tallines mi ha reindirizzato qui. Non ho ancora letto attentamente tutto il thread ma intanto vorrei postarvi il report che mi ha dato Roguekiller, l'unico programma che ho fatto girare che mi ha rilevato qualcosa (ho provato malwarebytes, antirootkit malwarebytes, frst, tds killer ma non hanno trovato nulla). Rogue killer ha trovato 7 elementi, di cui 3 rossi. Ho eliminato solo quelli rossi. Codice:
RogueKiller V12.11.20.0 (x64) [Oct 16 2017] (Gratuito) di Adlice Software posta : http://www.adlice.com/contact/ Commenti : https://forum.adlice.com Sito Web : http://www.adlice.com/download/roguekiller/ Discussione : http://www.adlice.com Sistema Operativo : Windows 10 (10.0.15063) 64 bits version Iniziato in : Modalità Normale Utente : mtgui [Amministratore] Iniziato da : C:\Program Files\RogueKiller\RogueKiller64.exe Modalità : Scansione -- Data : 10/21/2017 01:20:02 (Durata : 01:54:40) ¤¤¤ Processi : 0 ¤¤¤ ¤¤¤ Registro : 4 ¤¤¤ [Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {F6739C8A-9D3C-448D-AC69-B0FFB7DD30B0} : v2.24|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\mtgui\AppData\Local\Temp\7zS1FFC\HPDiagnosticCoreUI.exe|Name=HPSAPS| [x] -> Trovato [Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {5B32C29A-B7C3-4070-9979-B06F297C871D} : v2.24|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\mtgui\AppData\Local\Temp\7zS1FFC\HPDiagnosticCoreUI.exe|Name=HPSAPS| [x] -> Trovato [Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {0B30384D-9181-4EC3-9551-A442563BF0B6} : v2.24|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\mtgui\AppData\Local\Temp\7zS1A93\HPDiagnosticCoreUI.exe|Name=HPSAPS| [x] -> Trovato [Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B2969E90-8A63-4643-9000-DAFBEFE368AF} : v2.24|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\mtgui\AppData\Local\Temp\7zS1A93\HPDiagnosticCoreUI.exe|Name=HPSAPS| [x] -> Trovato ¤¤¤ Attività : 2 ¤¤¤ [Hj.Shortcut] \UpdaterChromeApp -- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" (http://89.36.212.185/) -> Trovato [Hj.Shortcut] \UpdaterChromeApp2 -- "C:\Program Files\Google\Chrome\Application\chrome.exe" (http://89.36.212.185/) -> Trovato ¤¤¤ Archivi : 1 ¤¤¤ [PShell.Gen][Archivio] C:\Windows\System32\config\systemprofile\AppData\Local\Google\Chrome\User Data\SwReporter\22.124.0\software_reporter_tool.exe -> Trovato ¤¤¤ WMI : 0 ¤¤¤ ¤¤¤ Archivio Hosts : 0 ¤¤¤ ¤¤¤ Antirootkit : 0 (Driver: Caricato) ¤¤¤ ¤¤¤ Web Browser : 0 ¤¤¤ ¤¤¤ Controllo MBR : ¤¤¤ +++++ PhysicalDrive0: Samsung SSD 850 EVO 250GB ATA Device +++++ --- User --- [MBR] b82fa3ca40f3586bf46a15f14e0a955d [BSP] c3bddbced9b81e6e161521847a39bfb0 : Windows Vista/7/8|VT.Unknown MBR Code Partition table: 0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 500 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader] 1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 1026048 | Size: 237973 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader] User = LL1 ... OK User = LL2 ... OK Mi sono allarmato perchè ho letto al volo che l'infezione contagia anche l'ambiente network e io sulla rete ho 3 pc, un nas, un disco e altra roba.. EDIT: adesso ho letto il thread e ho verificato quel link ceco che controlla la vulnerabità del rom-0, mi dice che non sono vulnerabile I dati del mio modem non sono stati modificati (ho il modem telecom fibra). Inoltre ho controllato i dns che sono impostati nel modem e risultano da whois appartenere a telecom. GRAZIE
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64 Ultima modifica di mtguido : 21-10-2017 alle 14:17. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:04.