www.MegaLab.it

[ste_95]

ho potuto trovare soltanto mdelk.exe e syntpenh.exe che ho inviato alla pagina linkata.
per gli altri ho fatto anche il "cerca file o cartelle" ma non ve n'è traccia!

Cortesemente comprimi i file e rinviali.

[enea]

dopo aver inserito lo script in avenger e cliccato il semaforino non mi appare la seconda richiesta a cui dovrei rispondere positivamente, inoltre non mi riavvia il sistema e tantomeno apre un file di testo quando questo si è riavviato(manualmente)... che cosa mi resta da fare?!

[ste_95]

Ti chiederei di aspettare domani, e di darci il tempo di analizzare i file inoltrati e di trovare una soluzione.

[enea]

ok grazie speriamo bene!

[ste_95]

Eccomi qui, dopo le prove sul campo, con la soluzione.

Crea il MegaLabCD, e fai il boot da lì.

Quindi Start -> Programmi -> Gestione Risorse -> A43

Scegli il tuo utente infetto.

Esplora il disco ed entra nelle cartelle elencate di seguite eliminando i file che ti dico.

C:\WINDOWS\System32 || elimina i file: mdelk.exe wintems.exe e svuota la cartella Temp
C:\WINDOWS\System32\drivers || elimina la cartella down e il suo contenuto e i file hldrrr.exe e srosa.sys
C:\WINDOWS\Documents and Settings\%User%\Impostazioni Locali\Temporary Internet Files\Content.IE5 elimina tutte le sottocartelle.
C:\WINDOWS\Documents and Settings\%User%\dati applicazioni se presente elimina la cartella m e tutto il suo contenuto

Poi Start -> Programmi -> Registry Tools-> Remote regedit

Cancella le seguenti chiavi/valori:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\german.exe
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKCU\Software\DateTime4
HKCU\Software\FirstRRRun

Riavvia e prova a reinstallare un antivirus.

[enea]

ho provato a fare l'immagine iso con pe builder come riportato nella guida ma mi segnala i seguenti errori per cui dice di non poter continuare il processo:

1) partendo dalla versione OEM di windows potrebbero verificarsi alcuni problemi

2)loadkey() fallito

3)closehive() fallito:regunloadkey (key="pebuilder.exe-C:/megalabcd/bartpe/i386/system32/config/petmphive) ha risposto un errore 0: accesso negato

4)deletefile() "C:\megalabcd\bartpe\i386\system32\config\petmphive" fallito

5)deletefile() "C:\megalabcd\bartpe\i386\system32\config\petmphive.log" fallito

6)deletefile() "C:\megalabcd\bartpe\i386\system32\setuphiv" fallito

7)deletefile() "C:\megalabcd\bartpe\i386\system32\setuphiv.log" fallito

8)file "symmpi.sys" non trovato

9)file "megasas.sys" non trovato

vi prego aiutatemi!

[enea]

ho provato a rieseguire di nuovo pe builder e stavolta mi ha riportato i seguenti errori che posto:

PE Builder 3.1.10a
Copyright (c) 2002-2006 Bart Lagerweij. All rights reserved.
Sistema operativo corrente: 5.1.2600 (Service Pack 2)
Sistema da utilizzare: Windows XP Professional
Il cd si chiama: CD di Windows XP Professional Service Pack 2
Microsoft Product Code: 76435
Il Product channel ID è: OEM
Attenzione: Partendo dalla versione OEM di Windows potrebbero verificarsi alcuni problemi...
Versione di Windows: 2600
Processo di creazione cominciato...
Rimozione cartella: C:\megalabcd\BartPE
Errore: DeleteFile() "C:\megalabcd\BartPE\I386\SYSTEM32\CONFIG\petmphive" fallito
Errore: DeleteFile() "C:\megalabcd\BartPE\I386\SYSTEM32\CONFIG\petmphive.LOG" fallito
Errore: RemoveDirectory() "C:\megalabcd\BartPE\I386\SYSTEM32\CONFIG" fallito
Errore: DeleteFile() "C:\megalabcd\BartPE\I386\SYSTEM32\SETUPHIV" fallito
Errore: DeleteFile() "C:\megalabcd\BartPE\I386\SYSTEM32\setuphiv.LOG" fallito
Errore: RemoveDirectory() "C:\megalabcd\BartPE\I386\SYSTEM32" fallito
Errore: RemoveDirectory() "C:\megalabcd\BartPE\I386" fallito
Directory removed: C:\megalabcd\BartPE
Creazione dei files di registro
Copia del file "D:\I386\setupreg.hiv" in "C:\MEGALABCD\BARTPE\I386\SYSTEM32\SETUPHIV"
Errore: CopyFile() "D:\I386\setupreg.hiv" in "C:\MEGALABCD\BARTPE\I386\SYSTEM32\SETUPHIV" ha risposto con errore 32: Impossibile accedere al file. Il file è utilizzato da un altro processo.
Fatto...
Si sono verificati 8 errori e 1 avvisi

[ste_95]

Dice Fatto... Prova a usare il CD, vedi se parte e funziona.

[enea]

mi dispiace ma non c'è nessun file che si chiami pebuilder.iso nella cartella di megalabcd

[ste_95]

Mi sono perso un passaggio, devi masterizzare l'immagine con un programma di masterizzazione, attenzione però a farlo nel modo corretto.

[enea]

mi spiego meglio:
la prima volta che ho eseguito pebuilder il processo si è interrotto per i motivi che ho riportato nel primo post.
quando ho cercato di far fare il processo nuovamente mi ha chiesto se volevo cancellare tutti i files della cartella ed ho risposto affermativamente;
poi mi ha dato gli altri errori riportati nel secondo post, ma in definitiva non ha creato nessuna immagine

scusami ste_95 lo so che sono una palla... ma non so proprio che fare a questo punto

[enea]

e se provassi a cancellare quei files che danno errore con killbox?
rispondete please

[enea]

vi posto il log di pebuilder così potete vedere gli errori che non mi consentono di poter creare l'immagine iso

[crazy.cat]

vi posto il log di pebuilder così potete vedere gli errori che non mi consentono di poter creare l'immagine iso

Non riesco ad aprire i rar se lo puoi rifare in zip così lo leggo.

Dopo il primo errore non ti lascia cancellare la cartella bartpe se non fai almeno un riavvio del pc.
Prova a vedere se i file all'interno di quelle cartelle hanno preso l'attributo di sola lettura.
Con il mouse ti posizioni sopra la cartella megalabcd, tasto destro e nelle proprietà vedi se c'è il sola lettura, quando te lo chiede lo togli a tutti i file, cartelle e sotto cartelle.

[enea]

invio il file in formato zip

[crazy.cat]

Riavvia il pc e cancella tutta la cartella megalabcd, poi rifai l'estrazione dei file originali che avevi scaricato.

Oppure controlla il discorso dell'attributo di sola lettura dei file.

Non dovrebbe darti quell'errore di file mancanti nei driver.
(oppure hai aggiunto tu qualche driver nuovo?)

[enea]

ho fatto come hai detto
ma mi ha dato i soliti 4 errori.

poi ho riprovato cercando di togliere la spunta dai "file di sola lettura", ma come riapro le proprietà la spunta è di nuovo lì; ho rifatto comunque il processo ma mi segnala ancora errori.
ti posto lo stesso il file pebuilder.log

[enea]

mi sembra che il problema sia nell'incapacità del programma di riuscire a cancellare quattro files temporanei... oppure ho completamente travisato?
attendo vostra delucidazione

[crazy.cat]

mi sembra che il problema sia nell'incapacità del programma di riuscire a cancellare quattro files temporanei... oppure ho completamente travisato?
attendo vostra delucidazione

hai capito bene, solo che di solito si risolve togliendo l'attributo di sola lettura alle cartelle e ai file, oppure con un semplice riavvio del pc.

Prova ad andare a farlo su un altro computer, così aggiriamo il problema e guadagniamo tempo.

[enea]

mi dispiace ma ho provato sul portatile di un mio amico e anche a lui danno gli stessi quattro errori, nonostante abbiamo riavviato il pc e tolto l'attributo di sola lettura (che riappare nuovamente appena si torna a vedere le proprietà)

non vi è nessun altro modo per risolvere il problema?
non ne posso più di questo bagle!