Help Pokapoka69.exe

[dinop]

ok, posta ancora un log di HJT e riporta anche il contenuto di queste chiavi del Registro:

HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Page_URL"

HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Search_URL"

HKLM,"Software\Microsoft\Internet Explorer\Main","Search Page"

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate"

HKCU,"Software\Microsoft\Internet Explorer\Main","Search Page"

Ciao, Dinop...

[daysleeper15]

il log di hjt è questo

dove trovo quelle chiavi di registro? sono nel log o devo cercarle nel registro di windows?

in questo caso la prima non c'è...

20051028_hijackthis.log

[dinop]

dove trovo quelle chiavi di registro? sono nel log o devo cercarle nel registro di windows?

nel registro..

ok, cerca il file C:\WINDOWS\INF\IERESET.INF e allegalo qui...

[daysleeper15]

HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Page_URL" = http://companyweb

HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Search_URL" = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM,"Software\Microsoft\Internet Explorer\Main","Search Page" = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.com

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.org

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.net

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.edu

HKCU,"Software\Microsoft\Internet Explorer\Main","Search Page" = http://www.microsoft.com/isapi.redir.dll?prd=ie&ar=iesearch

[daysleeper15]

non avevo allegato il file iereset.inf spero che fosse per quello che nessuno mi ha più risposto

però non riesco ad allegarlo il forum mi dice:

"Upload fallito. Non è consentito caricare un file con questa estensione."

come posso fare?

[Kuma]

Basta che lo comprimi

[daysleeper15]

ovvio...

iereset.zip

[Kuma]

Questo è quello che vedo io del file che hai allegato:

Aspetta Dinop e vediamo cosa dice...

Nel frattempo, ti allego il mio file IERESET.INF...

Se vuoi provare a sostituirlo, prima crea una copia di backup compressa di quello che hai...

[dinop]

@kuma

io il contenuto di entrambi i files (il tuo e l'altro) li vedo bene (a parte i primi due caratteri che non sono ASCII e forse è questo il motivo della "illeggibilità"...)

Tutti (mio compreso...) sono standard e uguali, per cui io inviterei daysleeper15 a controllare con Notepad i primi due caratteri e ad eliminarli riscrivendolo (IE chiuso possibilmente...). Questo può essere il motivo per cui silentrunner segnalava:

"

Miscellaneous IE Hijack Points

------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):

(unwritable string)"

Nelle chiavi del Registro invece queste 4 non sono corrette:

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.com

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.org

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.net

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.edu

le chiavi devono avere quel numero (1) cambiato in un numero progressivo (1,2,3,4)

[Kuma]

@kuma

io il contenuto di entrambi i files (il tuo e l'altro) li vedo bene (a parte i primi due caratteri che non sono ASCII e forse è questo il motivo della "illeggibilità"...)

Io aprendolo sia con notepad che con editor di testo più avanzati lo visualizzo sempre così:

Dinop mi controlli il log

comunque questo è quello di daysleeper15, il mio lo visualizzo normalmente, quindi penso che la colpa sia proprio di quei caratteri iniziali...

[daysleeper15]

@kuma

io il contenuto di entrambi i files (il tuo e l'altro) li vedo bene (a parte i primi due caratteri che non sono ASCII e forse è questo il motivo della "illeggibilità"...)

Tutti (mio compreso...) sono standard e uguali, per cui io inviterei daysleeper15 a controllare con Notepad i primi due caratteri e ad eliminarli riscrivendolo (IE chiuso possibilmente...). Questo può essere il motivo per cui silentrunner segnalava:

"

Miscellaneous IE Hijack Points

------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):

(unwritable string)"

Nelle chiavi del Registro invece queste 4 non sono corrette:

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.com

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.org

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.net

HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate" = 1-www.%s.edu

le chiavi devono avere quel numero (1) cambiato in un numero progressivo (1,2,3,4)

113285[/snapback]

allego l'immagine di come io vedo il mio iereset.inf quindi non saprei quali caratteri modificare.

quello di kuma lo leggo così come nell'altro allegato.

le chiavi sono come dici tu non cominciano tutte con 1 ma hanno la sequenza che dici 1-2-3-4 ho sbagliato a scrivere scusa.

[dinop]

Dinop mi controlli il log 

va bè...postalo che ci diamo un'occhiata, basta che dentro non sia pieno di ....

[/ot]

vediamo se facendo quelle modifiche tutto va...

[dinop]

quello tuo è quello a destra ? se sì ok, controlla se hai ancora problemi...

@kuma

se quello di sx è il tuo...

[Kuma]

Il mio è quello di DESTRA

@ tutti quelli che hanno problemi con POKA POKA

Date una passata con questo:

http://forum.wininizio.it/index.php?showtopic=13280&hl=

[daysleeper15]

allora ho individuato il processo che rallentava la scrittura:

si tratta di

TCtrlIOHook.exe

terminandolo la tastiera risponde perfettamente.

ora si tratta di capire se è un processo che mi si è installato recentemente oppure è necessario per il sistema e terminarlo può causare altri problemi.

nel primo caso vorrei sapere anche se è possibile eliminarlo o quantomeno non farlo avviare più all'avvio.

p.s. ho provato anche a sostituire il mio iereset.inf con quello di kuma ma non ci sono state variazioni. domanda: il mio attuale in quelle condizioni è un problema?

[Steve Fox]

Strano perchè ero sicuro che riguardasse il Toshiba ... controllalo qui e dicci: http://www.virustotal.com/

[dinop]

allora ho individuato il processo che rallentava la scrittura:

si tratta di

TCtrlIOHook.exe

terminandolo la tastiera risponde perfettamente.

è un tool che viene installato su pc Toshiba. Sembra che dia problemi di rallentamento della tastiera quando è installato separatamente e non direttamente dal CD di setup recovery TOSHIBA. Prova a disinstallarlo e reinstallarlo dal CD...

p.s. ho provato anche a sostituire il mio iereset.inf con quello di kuma ma non ci sono state variazioni. domanda: il mio attuale in quelle condizioni è un problema?

se il file non è integro, nel caso volessi ripristinare le condizioni di default di IE non potresti farlo perchè corrotto.

La verifica la stiamo facendo perchè è uno dei punti in cui i malware cambiano gli indirizzi di default di molte funzioni, per cui se tu volessi usassi la funzione di ripristino di IE "rimetteresti" in quel caso il default del malware e non quelli std Microsoft..

Comunque, visto che abbiamo appurato che il rallentamento non è dovuto a malware, ora la navigazione è buona o hai ancora problemi ?

[daysleeper15]

la scansione del file in questione ha dato esito negativo:

This is a report processed by VirusTotal on 10/30/2005 at 23:25:06 (CET) after scanning the file "TCtrlIOHook.exe" file.

Antivirus Version Update Result

AntiVir 6.32.0.6 10.30.2005 no virus found

Avast 4.6.695.0 10.30.2005 no virus found

AVG 718 10.29.2005 no virus found

Avira 6.32.0.6 10.28.2005 no virus found

BitDefender 7.2 10.30.2005 no virus found

CAT-QuickHeal 8.00 10.30.2005 no virus found

ClamAV devel-20050917 10.30.2005 no virus found

DrWeb 4.32b 10.23.2005 no virus found

eTrust-Iris 7.1.194.0 10.30.2005 no virus found

eTrust-Vet 11.9.1.0 10.29.2005 no virus found

Fortinet 2.48.0.0 10.28.2005 no virus found

F-Prot 3.16c 10.26.2005 no virus found

Ikarus 0.2.59.0 10.28.2005 no virus found

Kaspersky 4.0.2.24 10.30.2005 no virus found

McAfee 4615 10.28.2005 no virus found

NOD32v2 1.1267 10.28.2005 no virus found

Norman 5.70.10 10.28.2005 no virus found

Panda 8.02.00 10.30.2005 no virus found

Sophos 3.99.0 10.30.2005 no virus found

Symantec 8.0 10.30.2005 no virus found

TheHacker 5.8.4.128 10.30.2005 no virus found

VBA32 3.10.4 10.30.2005 no virus found

[daysleeper15]

è un tool che viene installato su pc Toshiba. Sembra che dia problemi di rallentamento della tastiera quando è installato separatamente e non direttamente dal CD di setup recovery TOSHIBA. Prova a disinstallarlo e reinstallarlo dal CD...

se il file non è integro, nel caso volessi ripristinare le condizioni di default di IE non potresti farlo perchè corrotto.

La verifica la stiamo facendo perchè è uno dei punti in cui i malware cambiano gli indirizzi di default di molte funzioni, per cui se tu volessi usassi la funzione di ripristino di IE "rimetteresti" in quel caso il default del malware e non quelli std Microsoft..

Comunque, visto che abbiamo appurato che il rallentamento non è dovuto a malware, ora la navigazione è buona o hai ancora problemi ?

113505[/snapback]

ok ma cosa devo disinstallare esattamente? a che programma fa capo il processo in questione per intenderci in "installazione applicazioni"?

per quel che riguarda iereset, di solito non uso IE ma Mozilla e del ripristino del default non dovrei averne bisogno. però a scanso di equivoci per mettermi al sicuro che faccio sostituisco il mio con quello di kuma?

ora va tutto ok, ovviamente terminando il processo di cui sopra.

[Steve Fox]

Fai una cosa:

- termina il processo

- trova quel file, comprimilo in una cartella compressa

- elimina quello che hai trovato e tieniti la cartella compressa

se hai qualche problema basta che lo prendi dalla cartella compressa e lo rimetti

[dinop]

quel sw dovrebbe far capo ad applicazioni Toshiba che dovresti trovare in "installazione applicazioni" sotto il nome di "Toshiba Zooming Driver" o di "Controls Driver", da disinstallare ocn "cambia/rimuovi".

Quanto al file IERESET.inf sono tutti uguali e standard, copia pure quello di Kuma al posto del tuo...

[daysleeper15]

sinceramente grazie a tutti ragazzi, thread di grande aiuto e risultato positivo!

con riconoscenza, Andrea.

[Steve Fox]

Tutto è bene quel che finisce bene :P