Skocz do zawartości

bsod 'The Verification of a KnownDLL failed'


bluedog

Rekomendowane odpowiedzi

Witam,

 

Problem dotyczy windows 7 HP x64, został zauważony dziś. Poprzednio z komputera korzystał zwykły user (11-latek - bez praw admina). Podobno nic takiego nie robił - youtube, minecraft, a na koniec wyłączenie kompa przyciskiem zasilania zasilacza.

 

przeklepany BSOD:

 

STOP: c000021a {Fatal System Error}

The Verification of a KnownDLL failed. system process terminated unexpectly with a status of 0x000012f (0x00a4c8e0 0x0000000).

The system has been shut down.

 

To samo jest przy uruchamianiu Safe Mode, Ostatnia poprawna konfiguracja, itd.

 

"Napraw komputer" z poziomu instalacji win7 nie pomaga:

szczegóły tu

"Napraw komputer" z poziomu płytki instalacyjnej win7 - to samo

 

Niestety przywracanie systemu było wyłaczone.

 

chkdsk /r - nie znajduje błędów

sfc /scannow - twierdzi, że" istnieje oczekująca naprawa system, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc."

 

Pliki zrzutów pamięci są ale ostatni z 28-11-2012

 

Z tego co kumam i wygoglowałem to winda nie może zweryfikować poprawności biblioteki dll i broni się przed jej załadowaniem zamykając system.

 

Z góry dzięki za pomoc

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
[sTOP: c000021a {Fatal System Error}

The Verification of a KnownDLL failed. system process terminated unexpectly with a status of 0x000012f (0x00a4c8e0 0x0000000).

The system has been shut down.

 

Prawdopodobnie jeden z plików specyfikowanych w kluczu KnownDLLs nie ma postaci jakiej oczekuje Windows. Chodzić może o jeden z tych (i w podwójnych wystąpieniach 32-bit + 64-bit):

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs]

"clbcatq"="clbcatq.dll"

"ole32"="ole32.dll"

"advapi32"="advapi32.dll"

"COMDLG32"="COMDLG32.dll"

"gdi32"="gdi32.dll"

"IERTUTIL"="IERTUTIL.dll"

"IMAGEHLP"="IMAGEHLP.dll"

"IMM32"="IMM32.dll"

"kernel32"="kernel32.dll"

"LPK"="LPK.dll"

"MSCTF"="MSCTF.dll"

"MSVCRT"="MSVCRT.dll"

"NORMALIZ"="NORMALIZ.dll"

"NSI"="NSI.dll"

"OLEAUT32"="OLEAUT32.dll"

"PSAPI"="PSAPI.DLL"

"rpcrt4"="rpcrt4.dll"

"sechost"="sechost.dll"

"Setupapi"="Setupapi.dll"

"SHELL32"="SHELL32.dll"

"SHLWAPI"="SHLWAPI.dll"

"URLMON"="URLMON.dll"

"user32"="user32.dll"

"USP10"="USP10.dll"

"WININET"="WININET.dll"

"WLDAP32"="WLDAP32.dll"

"WS2_32"="WS2_32.dll"

"DifxApi"="difxapi.dll"

 

 

sfc /scannow - twierdzi, że" istnieje oczekująca naprawa system, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc."

 

1. Po pierwsze, komenda ta nie może mieć postaci "sfc /scannow", bo jest uruchamiana z poziomu środowiska zewnętrznego. W takim środowisku należy zastosować:

 

sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows

 

X = partycja z plikami rozruchowymi, Y = partycja z Windows. Niekoniecznie X równa się Y, rozszczepienie zachodzi przy obecności partycji "Zastrzeżone przez system". Najszybciej sprawdzisz litery w Wierszu polecenia wpisując komendę notepad i z menu Plik > Otwórz > z boku klik w Komputer > lista dysków się zgłosi.

 

2. Po drugie, jeśli prawidłowo zastosowana komenda będzie nadal zwracać komunikat o "oczekującej naprawie", w Wierszu polecenia wklep:

 

dism /Image:Y: /Cleanup-Image /RevertPendingActions

 

Gdzie Y = to samo co wyżej. I ponów skan SFC.

 

 

 

PS. I proszę nie hostuj plików na WRZUCAJ.org, to odliczanie mnie do szału doprowadza. Tekst na wklej.org, a obrazki np. na ImageShack.

 

 

.

Odnośnik do komentarza

To nie wygląda na prawidłowe:

 

sfc /scannow /offbootdir=x:\ /offwindir=d:\windows

 

X podałam jako umowę, literą prawidłową należy podstawić. W środowisku zewnętrznym litera X jest przyznawana WinRE (moduł "Napraw komputer"), więc nie może to być litera partycji rozruchowej Windows. Pokaż zrzut ekranu z widoku Komputera otworzonego przez trik z Notatnikiem.

 

 

 

.

Odnośnik do komentarza
nie wiem jak zrobić zrzut bez chociażby painta

 

Paint tam jest. Wklep w Wierszu polecenia mspaint i ENTER. A nawet gdyby go nie było, można przecież wywołać Paint tego martwego Windows uruchamiając polecenie D:\Windows\system32\mspaint.exe.

 

 

mam

c: /zastrzeżone przez system 100MB

d: /partycja systemowa z windows 430GB

e: /partycja lokalna 500GB

x: /boot 30MB

 

Czyli komenda to:

 

sfc /scannow /offbootdir=C:\ /offwindir=D:\windows

 

Jeśli nadal będą zażalenia "oczekiwań", sprawdź czy są poniższe pliki i je skasuj:

 

D:\Windows\WinSxS\pending.xml

D:\Windows\WinSxS\reboot.xml

 

 

.

Odnośnik do komentarza
odpaliłem ponownie kompa, przez chwilę pojawiło się "nie wyłączaj komputera, trwa konfigurowanie" i wszystko śmiga

 

Skoro SFC nic nie znalazło, a zgłosił się komunikat "trwa konfigurowanie", to wnioskuję, że pomógł proces odwracania komendą dism:

 

X:\Sources>dism /image:d: /cleanup-image /revertpendingactions

 

Wersja narzędzia do obsługi obrazu wdrażania

i zarządzania nim: 6.1.7601.17514

 

Wersja obrazu: 6.1.7600.16385

 

Trwa wycofywanie oczekujących akcji z obrazu...

Operacja została wykonana. Wszelkie próby przywrócenia oczekujących akcji zostaną wykonane po ponownym rozruchu.

Operacja ukończona pomyślnie.

 

 

Próbowałem wcześniej, niestety D:\Windows\system32\mspaint.exe się nie odpala - bez komunikatu o jakimkolwiek błędzie.Dobrze, że notatnik śmiga

 

Kiedyś robiłam zrzuty ekranu w WinRE i Paint działał. Sprawdziłam to teraz. Rzeczywiście, nie działa Paint w WinRE Windows 7, za to w WinRE Vista bez problemu:

 

winrepaint.png

 

 

.

Odnośnik do komentarza

muszę zmienić aktualizację w windows update na jakieś ręczne bo same się włączyło, tzn. "nie wyłączaj komputera, trwa konfigurowanie", restart i znów ten sam bsod.. ponowne użycie SFC po ponownym usunięciu xml'a i mam:

 

X:\Sources>sfc /scannow /offbootdir=c:\ /offwindir=d:\windows

 

Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu.

 

Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie

może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku

CBS.Log windir\Logs\CBS\CBS.log. Na przykład

C:\Windows\Logs\CBS\CBS.log

 

cbs.log ma 33MB, tu jest w 7zip

Odnośnik do komentarza

Wbrew temu co mówi komunikat, nie dowiesz się nic na temat SFC z tego podejścia i gdzie te "uszkodzone pliki" ani czy są to nagrania istotne. Do tego raportu nagrywa tylko SFC uruchomione spod Windows a nie spod WinRE. Poprzednim razem SFC nic nie robiło, więc ja nie sądzę, że SFC ma tu znaczenie do odblokowania systemu.

 

CBS.LOG ma za to inne dane, te uchwycone podczas fazy "nie wyłączaj komputera, trwa konfigurowanie". W CBS.LOG zwraca uwagę błąd Failed to pre-stage package z "cannot find file 'dpnet.dll' at path":

 

2012-12-15 00:01:03, Info    CBS    Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-1_neutral_LDR

2012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-1_neutral_LDR, PinDeployment: amd64_a6f88d1d4c2ac9385c55d8fe69ef7a8d_31bf3856ad364e35_6.1.7601.22150_none_3471de6be9f1e0b8

2012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-2_neutral_GDR

2012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-2_neutral_GDR, PinDeployment: amd64_b24dbef509442257a9c04063ed98ae34_31bf3856ad364e35_6.1.7601.17989_none_0be4f1b1b7a47830

2012-12-15 00:01:03, Info CBS Calling client to resolve source, cannot find file 'dpnet.dll' at path: \\?\C:\Windows\SoftwareDistribution\Download\954c1f14441a67fc5808b112dc94bf5f\x86_microsoft-windows-directx-directplay8_31bf3856ad364e35_6.1.7601.22150_none_7b382dad36431856\dpnet.dll

2012-12-15 00:01:03, Error CBS Exec: Failed to pre-stage package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, file: dpnet.dll, source: \\?\C:\Windows\SoftwareDistribution\Download\954c1f14441a67fc5808b112dc94bf5f\x86_microsoft-windows-directx-directplay8_31bf3856ad364e35_6.1.7601.22150_none_7b382dad36431856\dpnet.dll, sandbox: (null) [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]

2012-12-15 00:01:03, Info CBS Failed to gather all required files. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]

2012-12-15 00:01:03, Info CBS Failed to gather all missing files for package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]

2012-12-15 00:01:03, Info CSI 0000002c@2012/12/14:23:01:03.952 CSI Transaction @0x28e2270 destroyed

2012-12-15 00:01:03, Error CBS Failed to pre- stage package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]

2012-12-15 00:01:03, Info CBS Perf: Stage chain complete.

2012-12-15 00:01:03, Info CBS Failed to stage execution chain. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]

2012-12-15 00:01:03, Error CBS Failed to process single phase execution. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]

2012-12-15 00:01:03, Info CBS WER: Generating failure report for package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, status: 0x800f081f, failure source: Stage, start state: Resolved, target state: Installed, client id: WindowsUpdateAgent

 

Z danych wynika, że łata KB2770660 ma uszkodzone komponenty. Wypróbuj w WinRE komendy usuwania pakietu:

 

dism /Image:D: /remove-package /packagename:Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0

 

 

.

Odnośnik do komentarza

Operacja zakończona pomyślnie ale po ponownym rozruchu znów ten sam bsod.

Podczas pierwszego udanego rozruchu włączyłem przywracanie systemu i utworzyłem punkt zanim system się zaktualizował. Może spróbować coś zdziałać tam?

 

Po przywróceniu systemu i restarcie na ekranie z logo z windows miałem coś takiego "wykonywanie aktualizacji x z 20861 Registrymachnie..." kiedy doszło do x=20861 pojawił się ten sam bsod. Spróbuję uruchomić system w safe mode po przywróceniu

 

Podczas uruchamiania safe mode ładowanie plików windows zatrzymuje się na classpnp.sys, dysk chwilę mieli i ten sam bsod

Odnośnik do komentarza

Skoro przywróciłeś system, to i przywróciłeś usunięty komponent KB2770660. Wejdź do WinRE i wdróż te komendy ponownie:

 

dism /Image:D: /remove-package /packagename:Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0

 

+

 

dism /Image:D: /Cleanup-Image /RevertPendingActions

 

Upewnij się, że nie ma żadnego pliku pending.xml. I po tym sprawdź czy do Windows da się wejść.

 

 

 

PS. bluedog proszę używaj opcję Edytuj do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, zamiast post pod postem. Wszystkie posty powyżej sklejam w jeden.

 

 

.

Odnośnik do komentarza

Niestety z rejestru nic nie wynika. Podaj spis wystąpień plików specyfikowanych w kluczu KnownDLLs, jakie mają sumy kontrolne. Uruchom z poziomu WinRE FRST x64. W linii Search wpisz tę długą listę (pliki rozdziela średnik i nie ma spacji nigdzie):

 

clbcatq.dll;ole32.dll;advapi32.dll;COMDLG32.dll;gdi32.dll;IERTUTIL.dll;IMAGEHLP.dll;IMM32.dll;kernel32.dll;LPK.dll;MSCTF.dll;MSVCRT.dll;NORMALIZ.dll;NSI.dll;OLEAUT32.dll;PSAPI.DLL;rpcrt4.dll;sechost.dll;Setupapi.dll;SHELL32.dll;SHLWAPI.dll;URLMON.dll;user32.dll;USP10.dll;WININET.dll;WLDAP32.dll;WS2_32.dll;difxapi.dll

 

Klik w Search File(s). Przedstaw wynikowy log Search.txt utworzony w tym samym katalogu z którego uruchamiano FRST.

 

Drobna uwaga: FRST tymczasowo przemapowuje litery i Windows poprzednio na D będzie widziany na C. Ale to tylko tymczasowe. Reset kompa i już wszystko wróci do stanu początkowego.

 

 

 

.

Odnośnik do komentarza

Ale to są złe logi. Zrobiłeś 5 identycznych raportów z opcji Scan, a miałeś w oknie wpisać warunki do szukania i kliknąć w Search File(s).

 

Na razie z tych 5 logów to mam potwierdzenie modyfikacji tych plików KnownDLLs:

 

==================== Known DLLs (Whitelisted) =================

 

[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () C:\Windows\System32\IERTUTIL.dll

[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () C:\Windows\SysWOW64\IERTUTIL.dll

[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () C:\Windows\System32\URLMON.dll

[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () C:\Windows\SysWOW64\URLMON.dll

[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () C:\Windows\System32\WININET.dll

[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () C:\Windows\SysWOW64\WININET.dll

 

Oraz, że jest większa ilość plików świeżo utworzonych bez sygnatury MS:

 

==================== One Month Created Files and Folders ========

 

2012-12-13 18:32 - 2012-11-14 07:04 - 01392128 ____A C:\Windows\System32\wininet.dll

2012-12-13 18:32 - 2012-11-14 07:04 - 01346048 ____A C:\Windows\System32\urlmon.dll

2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll

2012-12-13 18:32 - 2012-11-14 06:55 - 02144768 ____A C:\Windows\System32\iertutil.dll

2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl

2012-12-13 18:32 - 2012-11-14 02:57 - 01129472 ____A C:\Windows\SysWOW64\wininet.dll

2012-12-13 18:32 - 2012-11-14 02:57 - 01103872 ____A C:\Windows\SysWOW64\urlmon.dll

2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll

2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll

2012-12-13 18:32 - 2012-11-14 02:46 - 01793024 ____A C:\Windows\SysWOW64\iertutil.dll

 

 

 

.

Odnośnik do komentarza

Uszkodzone są komponenty Internet Explorer w wersjach 9.4.8112.16457 + 9.4.8112.20565 i to wszystkie wystąpienia, dlatego SFC pada (nie ma plików w repozytorium do zamiany):

 

[codeplain]C:\Windows\System32\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3

C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3

C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 04:54] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3

C:\Windows\SysWOW64\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF

C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF

C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 02:27] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF


C:\Windows\System32\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA

C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA

C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 05:01] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA

C:\Windows\SysWOW64\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823

C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823

C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 02:34] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823


C:\Windows\System32\wininet.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll
[2012-12-13 18:32] - [2012-11-14 05:01] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944

C:\Windows\SysWOW64\wininet.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61

C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61

C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll
[2012-12-13 18:32] - [2012-11-14 02:33] - 1129472 ____A () BAF0E76D30D3A0E7BE5508D36F95A89E[/codeplain]

Dla porównania układ z mojego systemu x64 i ten będę wzorować:


[codeplain]========== Filefind ==========

Searching for "IERTUTIL.dll"
C:\Windows\System32\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [05:55 14/11/2012] A0F52880DDD164F968BE903C1FECD27E
C:\Windows\SysWOW64\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:46 14/11/2012] 780E80E5502015EDAEC91DC0A0C96A79

C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [05:55 14/11/2012] A0F52880DDD164F968BE903C1FECD27E
C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [03:54 14/11/2012] B44FC029AAEEB5043A75A5E865BA1B11
C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:46 14/11/2012] 780E80E5502015EDAEC91DC0A0C96A79
C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:27 14/11/2012] 9B35FC2316CBF198E5EEA405D96777F2

Searching for "URLMON.dll"
C:\Windows\System32\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [06:04 14/11/2012] 1DBA462CF92D890D8F8E6472E7E8B4B4
C:\Windows\SysWOW64\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:57 14/11/2012] 4266A3230981DD4434C55957F6DD497D

C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [06:04 14/11/2012] 1DBA462CF92D890D8F8E6472E7E8B4B4
C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [04:01 14/11/2012] 11E2F7523DC8E38A341577AA367EFEC0
C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:57 14/11/2012] 4266A3230981DD4434C55957F6DD497D
C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:34 14/11/2012] 9AAC0C7C0640CC09DC970F4D4C723119

Searching for "WININET.dll"
C:\Windows\System32\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [06:04 14/11/2012] 5121DB613E10A46A3C5085B479026AA7
C:\Windows\SysWOW64\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:57 14/11/2012] 7FA3A810F383588D46220967DE8B64FF

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [06:04 14/11/2012] 5121DB613E10A46A3C5085B479026AA7
C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [04:01 14/11/2012] 5CAF48F12E8CBD96D520F4EFD5B97F76
C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:57 14/11/2012] 7FA3A810F383588D46220967DE8B64FF
C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:33 14/11/2012] 0635D714351F842D43EA184E75C4A3FF[/codeplain]



1. Przesyłam paczkę plików: KLIK. Jest ona rozparcelowana wedle bitów i wersji komponentów. Nie zmieniaj tego układu, bo to do skryptu idzie. Folder z tej paczki z poziomu WinRE wstaw wprost na dysk z Windows, czyli D:\. Ma być dostępna spod WinRE ścieżka D:\Pliki z układem jaki tam zaplanowałam.

2. Skrypt zamieniający pliki. Skrypt ma ścieżki C, bo FRST przemontowuje litery. Do Notatnika wklej:

CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\System32\iertutil.dll
CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll
CMD: copy /y C:\Pliki\x64\20565\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll
CMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\System32\urlmon.dll
CMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll
CMD: copy /y C:\Pliki\x64\20565\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll
CMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\System32\wininet.dll
CMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll
CMD: copy /y C:\Pliki\x64\20565\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll
CMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\SysWOW64\iertutil.dll
CMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll
CMD: copy /y C:\Pliki\x86\20565\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll
CMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\SysWOW64\urlmon.dll
CMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll
CMD: copy /y C:\Pliki\x86\20565\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll
CMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\SysWOW64\wininet.dll
CMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll
CMD: copy /y C:\Pliki\x86\20565\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll


Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.

3. Uruchom FRST i w narzędziu wybierz opcję Fix. Zostanie przetworzony skrypt i powstanie log fixlog.txt. Zaprezentuj go. Jeśli wszystko się wykona w skrypcie, start systemu powinien zostać odblokowany.

4. Pozostaje sprawa innych uszkodzonych plików, spoza KnownDLLs, bo wg głównego loga FRST jeszcze te pliki zostały zmodyfikowane:

[codeplain]2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll
2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl
2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll
2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll[/codeplain]

Dodaj szukanie na warunek:

jsproxy.dll;inetcpl.cpl;url.dll

 

 

 

.

Odnośnik do komentarza

Kolejne pliki wykazują ten sam typ uszkodzeń:

 

C:\Windows\SysWOW64\inetcpl.cpl

[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346

 

C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl

[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346

 

C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl

[2012-12-13 18:32] - [2012-11-14 02:33] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346

 

C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl

[2012-12-13 18:32] - [2012-11-14 04:59] - 1494528 ____A () 2CE9B5379279DB37CEE6C216735F39AD

 

 

C:\Windows\SysWOW64\jsproxy.dll

[2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69

 

C:\Windows\System32\jsproxy.dll

[2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158

 

C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll

[2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69

 

C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll

[2012-12-13 18:32] - [2012-11-14 02:31] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69

 

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll

[2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158

 

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll

[2012-12-13 18:32] - [2012-11-14 04:57] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158

 

 

C:\Windows\SysWOW64\url.dll

[2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE

 

C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll

[2012-12-13 18:32] - [2012-11-14 02:32] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE

 

C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll

[2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE

 

C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll

[2012-12-13 18:32] - [2012-11-14 04:59] - 0237056 ____A () 625E3E643559D386D809FC1F29B94496

 

Runda poprawkowa:

 

1. Kolejna paczka: KLIK. Jak poprzednio D:\Pliki.

 

2. Skrypt do FRST uruchomiony w ten sam sposób:

 

CMD: copy /y C:\Pliki\x64\20565\inetcpl.cpl C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl
CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\System32\jsproxy.dll
CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll
CMD: copy /y C:\Pliki\x64\20565\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll
CMD: copy /y C:\Pliki\x64\20565\url.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll
CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\SysWOW64\inetcpl.cpl
CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl
CMD: copy /y C:\Pliki\x86\20565\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl
CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\SysWOW64\jsproxy.dll
CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll
CMD: copy /y C:\Pliki\x86\20565\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll
CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\SysWOW64\url.dll
CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll
CMD: copy /y C:\Pliki\x86\20565\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll

 

 

Jeśli zadania się wykonają, myślę że to koniec zmagań i temat rozwiązany. W dalszej kolejności zrób zapasowy punkt Przywracania systemu, a następnie zapuść wyszukiwanie + instalację aktualizacji. Poprzednio mieszał użytkownik doprowadzając do uszkodzenia plików na dysku:

 

Mam nową informację co do scenariusza przed wystąpieniem bsod'a: zasilanie komputera zostało wyłączone podczas instalowania aktualizacji przed zamknięciem systemu.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...