bluedog Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Witam, Problem dotyczy windows 7 HP x64, został zauważony dziś. Poprzednio z komputera korzystał zwykły user (11-latek - bez praw admina). Podobno nic takiego nie robił - youtube, minecraft, a na koniec wyłączenie kompa przyciskiem zasilania zasilacza. przeklepany BSOD: STOP: c000021a {Fatal System Error} The Verification of a KnownDLL failed. system process terminated unexpectly with a status of 0x000012f (0x00a4c8e0 0x0000000). The system has been shut down. To samo jest przy uruchamianiu Safe Mode, Ostatnia poprawna konfiguracja, itd. "Napraw komputer" z poziomu instalacji win7 nie pomaga: szczegóły tu "Napraw komputer" z poziomu płytki instalacyjnej win7 - to samo Niestety przywracanie systemu było wyłaczone. chkdsk /r - nie znajduje błędów sfc /scannow - twierdzi, że" istnieje oczekująca naprawa system, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc." Pliki zrzutów pamięci są ale ostatni z 28-11-2012 Z tego co kumam i wygoglowałem to winda nie może zweryfikować poprawności biblioteki dll i broni się przed jej załadowaniem zamykając system. Z góry dzięki za pomoc Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 [sTOP: c000021a {Fatal System Error}The Verification of a KnownDLL failed. system process terminated unexpectly with a status of 0x000012f (0x00a4c8e0 0x0000000). The system has been shut down. Prawdopodobnie jeden z plików specyfikowanych w kluczu KnownDLLs nie ma postaci jakiej oczekuje Windows. Chodzić może o jeden z tych (i w podwójnych wystąpieniach 32-bit + 64-bit): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs]"clbcatq"="clbcatq.dll""ole32"="ole32.dll""advapi32"="advapi32.dll""COMDLG32"="COMDLG32.dll""gdi32"="gdi32.dll""IERTUTIL"="IERTUTIL.dll""IMAGEHLP"="IMAGEHLP.dll""IMM32"="IMM32.dll""kernel32"="kernel32.dll""LPK"="LPK.dll""MSCTF"="MSCTF.dll""MSVCRT"="MSVCRT.dll""NORMALIZ"="NORMALIZ.dll""NSI"="NSI.dll""OLEAUT32"="OLEAUT32.dll""PSAPI"="PSAPI.DLL""rpcrt4"="rpcrt4.dll""sechost"="sechost.dll""Setupapi"="Setupapi.dll""SHELL32"="SHELL32.dll""SHLWAPI"="SHLWAPI.dll""URLMON"="URLMON.dll""user32"="user32.dll""USP10"="USP10.dll""WININET"="WININET.dll""WLDAP32"="WLDAP32.dll""WS2_32"="WS2_32.dll""DifxApi"="difxapi.dll" sfc /scannow - twierdzi, że" istnieje oczekująca naprawa system, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc." 1. Po pierwsze, komenda ta nie może mieć postaci "sfc /scannow", bo jest uruchamiana z poziomu środowiska zewnętrznego. W takim środowisku należy zastosować: sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows X = partycja z plikami rozruchowymi, Y = partycja z Windows. Niekoniecznie X równa się Y, rozszczepienie zachodzi przy obecności partycji "Zastrzeżone przez system". Najszybciej sprawdzisz litery w Wierszu polecenia wpisując komendę notepad i z menu Plik > Otwórz > z boku klik w Komputer > lista dysków się zgłosi. 2. Po drugie, jeśli prawidłowo zastosowana komenda będzie nadal zwracać komunikat o "oczekującej naprawie", w Wierszu polecenia wklep: dism /Image:Y: /Cleanup-Image /RevertPendingActions Gdzie Y = to samo co wyżej. I ponów skan SFC. PS. I proszę nie hostuj plików na WRZUCAJ.org, to odliczanie mnie do szału doprowadza. Tekst na wklej.org, a obrazki np. na ImageShack. . Odnośnik do komentarza
bluedog Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Dzięki za super szybką odpowiedź. Dalej dalej mam komunikat o "oczekującej naprawie" Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 To nie wygląda na prawidłowe: sfc /scannow /offbootdir=x:\ /offwindir=d:\windows X podałam jako umowę, literą prawidłową należy podstawić. W środowisku zewnętrznym litera X jest przyznawana WinRE (moduł "Napraw komputer"), więc nie może to być litera partycji rozruchowej Windows. Pokaż zrzut ekranu z widoku Komputera otworzonego przez trik z Notatnikiem. . Odnośnik do komentarza
bluedog Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 nie wiem jak zrobić zrzut bez chociażby painta mam c: /zastrzeżone przez system 100MB d: /partycja systemowa z windows 430GB e: /partycja lokalna 500GB x: /boot 30MB Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 nie wiem jak zrobić zrzut bez chociażby painta Paint tam jest. Wklep w Wierszu polecenia mspaint i ENTER. A nawet gdyby go nie było, można przecież wywołać Paint tego martwego Windows uruchamiając polecenie D:\Windows\system32\mspaint.exe. mamc: /zastrzeżone przez system 100MB d: /partycja systemowa z windows 430GB e: /partycja lokalna 500GB x: /boot 30MB Czyli komenda to: sfc /scannow /offbootdir=C:\ /offwindir=D:\windows Jeśli nadal będą zażalenia "oczekiwań", sprawdź czy są poniższe pliki i je skasuj: D:\Windows\WinSxS\pending.xml D:\Windows\WinSxS\reboot.xml . Odnośnik do komentarza
bluedog Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Próbowałem wcześniej, niestety D:\Windows\system32\mspaint.exe się nie odpala - bez komunikatu o jakimkolwiek błędzie.Dobrze, że notatnik śmiga Musiałem usunąć D:\Windows\WinSxS\pending.xml Skan zakończył się komunikatem "Funkcja ochrona zasobów systemu windows nie znalazła naruszeń integralności" Odnośnik do komentarza
bluedog Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 odpaliłem ponownie kompa, przez chwilę pojawiło się "nie wyłączaj komputera, trwa konfigurowanie" i wszystko śmiga Dzięki picasso Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 odpaliłem ponownie kompa, przez chwilę pojawiło się "nie wyłączaj komputera, trwa konfigurowanie" i wszystko śmiga Skoro SFC nic nie znalazło, a zgłosił się komunikat "trwa konfigurowanie", to wnioskuję, że pomógł proces odwracania komendą dism: X:\Sources>dism /image:d: /cleanup-image /revertpendingactions Wersja narzędzia do obsługi obrazu wdrażaniai zarządzania nim: 6.1.7601.17514 Wersja obrazu: 6.1.7600.16385 Trwa wycofywanie oczekujących akcji z obrazu...Operacja została wykonana. Wszelkie próby przywrócenia oczekujących akcji zostaną wykonane po ponownym rozruchu.Operacja ukończona pomyślnie. Próbowałem wcześniej, niestety D:\Windows\system32\mspaint.exe się nie odpala - bez komunikatu o jakimkolwiek błędzie.Dobrze, że notatnik śmiga Kiedyś robiłam zrzuty ekranu w WinRE i Paint działał. Sprawdziłam to teraz. Rzeczywiście, nie działa Paint w WinRE Windows 7, za to w WinRE Vista bez problemu: . Odnośnik do komentarza
bluedog Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 muszę zmienić aktualizację w windows update na jakieś ręczne bo same się włączyło, tzn. "nie wyłączaj komputera, trwa konfigurowanie", restart i znów ten sam bsod.. ponowne użycie SFC po ponownym usunięciu xml'a i mam: X:\Sources>sfc /scannow /offbootdir=c:\ /offwindir=d:\windows Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu. Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku CBS.Log windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log cbs.log ma 33MB, tu jest w 7zip Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Wbrew temu co mówi komunikat, nie dowiesz się nic na temat SFC z tego podejścia i gdzie te "uszkodzone pliki" ani czy są to nagrania istotne. Do tego raportu nagrywa tylko SFC uruchomione spod Windows a nie spod WinRE. Poprzednim razem SFC nic nie robiło, więc ja nie sądzę, że SFC ma tu znaczenie do odblokowania systemu. CBS.LOG ma za to inne dane, te uchwycone podczas fazy "nie wyłączaj komputera, trwa konfigurowanie". W CBS.LOG zwraca uwagę błąd Failed to pre-stage package z "cannot find file 'dpnet.dll' at path": 2012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-1_neutral_LDR2012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-1_neutral_LDR, PinDeployment: amd64_a6f88d1d4c2ac9385c55d8fe69ef7a8d_31bf3856ad364e35_6.1.7601.22150_none_3471de6be9f1e0b82012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-2_neutral_GDR2012-12-15 00:01:03, Info CBS Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-2_neutral_GDR, PinDeployment: amd64_b24dbef509442257a9c04063ed98ae34_31bf3856ad364e35_6.1.7601.17989_none_0be4f1b1b7a478302012-12-15 00:01:03, Info CBS Calling client to resolve source, cannot find file 'dpnet.dll' at path: \\?\C:\Windows\SoftwareDistribution\Download\954c1f14441a67fc5808b112dc94bf5f\x86_microsoft-windows-directx-directplay8_31bf3856ad364e35_6.1.7601.22150_none_7b382dad36431856\dpnet.dll2012-12-15 00:01:03, Error CBS Exec: Failed to pre-stage package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, file: dpnet.dll, source: \\?\C:\Windows\SoftwareDistribution\Download\954c1f14441a67fc5808b112dc94bf5f\x86_microsoft-windows-directx-directplay8_31bf3856ad364e35_6.1.7601.22150_none_7b382dad36431856\dpnet.dll, sandbox: (null) [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]2012-12-15 00:01:03, Info CBS Failed to gather all required files. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]2012-12-15 00:01:03, Info CBS Failed to gather all missing files for package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]2012-12-15 00:01:03, Info CSI 0000002c@2012/12/14:23:01:03.952 CSI Transaction @0x28e2270 destroyed2012-12-15 00:01:03, Error CBS Failed to pre- stage package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]2012-12-15 00:01:03, Info CBS Perf: Stage chain complete.2012-12-15 00:01:03, Info CBS Failed to stage execution chain. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]2012-12-15 00:01:03, Error CBS Failed to process single phase execution. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]2012-12-15 00:01:03, Info CBS WER: Generating failure report for package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, status: 0x800f081f, failure source: Stage, start state: Resolved, target state: Installed, client id: WindowsUpdateAgent Z danych wynika, że łata KB2770660 ma uszkodzone komponenty. Wypróbuj w WinRE komendy usuwania pakietu: dism /Image:D: /remove-package /packagename:Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 . Odnośnik do komentarza
bluedog Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Operacja zakończona pomyślnie ale po ponownym rozruchu znów ten sam bsod. Podczas pierwszego udanego rozruchu włączyłem przywracanie systemu i utworzyłem punkt zanim system się zaktualizował. Może spróbować coś zdziałać tam? Po przywróceniu systemu i restarcie na ekranie z logo z windows miałem coś takiego "wykonywanie aktualizacji x z 20861 Registrymachnie..." kiedy doszło do x=20861 pojawił się ten sam bsod. Spróbuję uruchomić system w safe mode po przywróceniu Podczas uruchamiania safe mode ładowanie plików windows zatrzymuje się na classpnp.sys, dysk chwilę mieli i ten sam bsod Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Skoro przywróciłeś system, to i przywróciłeś usunięty komponent KB2770660. Wejdź do WinRE i wdróż te komendy ponownie: dism /Image:D: /remove-package /packagename:Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 + dism /Image:D: /Cleanup-Image /RevertPendingActions Upewnij się, że nie ma żadnego pliku pending.xml. I po tym sprawdź czy do Windows da się wejść. PS. bluedog proszę używaj opcję Edytuj do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, zamiast post pod postem. Wszystkie posty powyżej sklejam w jeden. . Odnośnik do komentarza
bluedog Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Wybacz i dzięki za cenne uwagi - bardzo rzadko wypowiadam się na forach.. Obie komendy zakończyły się pomyślnie. Niestety po restarcie ten sam bsod Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Hmmm, to może mi dorzuć do analizy rejestr. Spod WinRE przekopiuj plik D:\Windows\system32\config\SYSTEM na jakiś nośnik. Zapakuj do ZIP, shostuj gdzieś i wyślij mi link do paczki. Zastrzegam: szybko nie dam rady tego przejrzeć. . Odnośnik do komentarza
bluedog Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Domyślam się, że nie jest to prosta sprawa i podziwiam.. Będę bardzo wdzięczny jeśli uda się uchronić system przed reinstalacją. Link do paczki ślę na PM Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Niestety z rejestru nic nie wynika. Podaj spis wystąpień plików specyfikowanych w kluczu KnownDLLs, jakie mają sumy kontrolne. Uruchom z poziomu WinRE FRST x64. W linii Search wpisz tę długą listę (pliki rozdziela średnik i nie ma spacji nigdzie): clbcatq.dll;ole32.dll;advapi32.dll;COMDLG32.dll;gdi32.dll;IERTUTIL.dll;IMAGEHLP.dll;IMM32.dll;kernel32.dll;LPK.dll;MSCTF.dll;MSVCRT.dll;NORMALIZ.dll;NSI.dll;OLEAUT32.dll;PSAPI.DLL;rpcrt4.dll;sechost.dll;Setupapi.dll;SHELL32.dll;SHLWAPI.dll;URLMON.dll;user32.dll;USP10.dll;WININET.dll;WLDAP32.dll;WS2_32.dll;difxapi.dll Klik w Search File(s). Przedstaw wynikowy log Search.txt utworzony w tym samym katalogu z którego uruchamiano FRST. Drobna uwaga: FRST tymczasowo przemapowuje litery i Windows poprzednio na D będzie widziany na C. Ale to tylko tymczasowe. Reset kompa i już wszystko wróci do stanu początkowego. . Odnośnik do komentarza
bluedog Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Zrobię to jak tylko będę miał chwilę. Mam nową informację co do scenariusza przed wystąpieniem bsod'a: zasilanie komputera zostało wyłączone podczas instalowania aktualizacji przed zamknięciem systemu. Przy próbie przeklepania w polu tekstowym mieści mi się tylko w całości do IERTUTIL.dll Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Przy próbie przeklepania w polu tekstowym mieści mi się tylko w całości do IERTUTIL.dll To podziel skan na części, tyle ile się zmieści maksymalnie za każdym podejściem. FRST nadpisze logi, więc po każdym skanie kopiuj raport w inne miejsce. . Odnośnik do komentarza
bluedog Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 logi spakowane tu Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Ale to są złe logi. Zrobiłeś 5 identycznych raportów z opcji Scan, a miałeś w oknie wpisać warunki do szukania i kliknąć w Search File(s). Na razie z tych 5 logów to mam potwierdzenie modyfikacji tych plików KnownDLLs: ==================== Known DLLs (Whitelisted) ================= [2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () C:\Windows\System32\IERTUTIL.dll[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () C:\Windows\SysWOW64\IERTUTIL.dll[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () C:\Windows\System32\URLMON.dll[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () C:\Windows\SysWOW64\URLMON.dll[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () C:\Windows\System32\WININET.dll[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () C:\Windows\SysWOW64\WININET.dll Oraz, że jest większa ilość plików świeżo utworzonych bez sygnatury MS: ==================== One Month Created Files and Folders ======== 2012-12-13 18:32 - 2012-11-14 07:04 - 01392128 ____A C:\Windows\System32\wininet.dll2012-12-13 18:32 - 2012-11-14 07:04 - 01346048 ____A C:\Windows\System32\urlmon.dll2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll2012-12-13 18:32 - 2012-11-14 06:55 - 02144768 ____A C:\Windows\System32\iertutil.dll2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl2012-12-13 18:32 - 2012-11-14 02:57 - 01129472 ____A C:\Windows\SysWOW64\wininet.dll2012-12-13 18:32 - 2012-11-14 02:57 - 01103872 ____A C:\Windows\SysWOW64\urlmon.dll2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll2012-12-13 18:32 - 2012-11-14 02:46 - 01793024 ____A C:\Windows\SysWOW64\iertutil.dll . Odnośnik do komentarza
bluedog Opublikowano 20 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2012 Sorki, nie doczytałem sumy kontrolne spakowane tu Odnośnik do komentarza
picasso Opublikowano 20 Grudnia 2012 Zgłoś Udostępnij Opublikowano 20 Grudnia 2012 Uszkodzone są komponenty Internet Explorer w wersjach 9.4.8112.16457 + 9.4.8112.20565 i to wszystkie wystąpienia, dlatego SFC pada (nie ma plików w repozytorium do zamiany): [codeplain]C:\Windows\System32\iertutil.dll[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll[2012-12-13 18:32] - [2012-11-14 04:54] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3C:\Windows\SysWOW64\iertutil.dll[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AFC:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AFC:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll[2012-12-13 18:32] - [2012-11-14 02:27] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AFC:\Windows\System32\urlmon.dll[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCAC:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCAC:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll[2012-12-13 18:32] - [2012-11-14 05:01] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCAC:\Windows\SysWOW64\urlmon.dll[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll[2012-12-13 18:32] - [2012-11-14 02:34] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823C:\Windows\System32\wininet.dll[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll[2012-12-13 18:32] - [2012-11-14 05:01] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944C:\Windows\SysWOW64\wininet.dll[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll[2012-12-13 18:32] - [2012-11-14 02:33] - 1129472 ____A () BAF0E76D30D3A0E7BE5508D36F95A89E[/codeplain]Dla porównania układ z mojego systemu x64 i ten będę wzorować: [codeplain]========== Filefind ==========Searching for "IERTUTIL.dll"C:\Windows\System32\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [05:55 14/11/2012] A0F52880DDD164F968BE903C1FECD27EC:\Windows\SysWOW64\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:46 14/11/2012] 780E80E5502015EDAEC91DC0A0C96A79C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [05:55 14/11/2012] A0F52880DDD164F968BE903C1FECD27EC:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [03:54 14/11/2012] B44FC029AAEEB5043A75A5E865BA1B11C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:46 14/11/2012] 780E80E5502015EDAEC91DC0A0C96A79C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:27 14/11/2012] 9B35FC2316CBF198E5EEA405D96777F2Searching for "URLMON.dll"C:\Windows\System32\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [06:04 14/11/2012] 1DBA462CF92D890D8F8E6472E7E8B4B4C:\Windows\SysWOW64\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:57 14/11/2012] 4266A3230981DD4434C55957F6DD497DC:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [06:04 14/11/2012] 1DBA462CF92D890D8F8E6472E7E8B4B4C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [04:01 14/11/2012] 11E2F7523DC8E38A341577AA367EFEC0C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:57 14/11/2012] 4266A3230981DD4434C55957F6DD497DC:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:34 14/11/2012] 9AAC0C7C0640CC09DC970F4D4C723119Searching for "WININET.dll"C:\Windows\System32\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [06:04 14/11/2012] 5121DB613E10A46A3C5085B479026AA7C:\Windows\SysWOW64\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:57 14/11/2012] 7FA3A810F383588D46220967DE8B64FFC:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [06:04 14/11/2012] 5121DB613E10A46A3C5085B479026AA7C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [04:01 14/11/2012] 5CAF48F12E8CBD96D520F4EFD5B97F76C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:57 14/11/2012] 7FA3A810F383588D46220967DE8B64FFC:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:33 14/11/2012] 0635D714351F842D43EA184E75C4A3FF[/codeplain] 1. Przesyłam paczkę plików: KLIK. Jest ona rozparcelowana wedle bitów i wersji komponentów. Nie zmieniaj tego układu, bo to do skryptu idzie. Folder z tej paczki z poziomu WinRE wstaw wprost na dysk z Windows, czyli D:\. Ma być dostępna spod WinRE ścieżka D:\Pliki z układem jaki tam zaplanowałam.2. Skrypt zamieniający pliki. Skrypt ma ścieżki C, bo FRST przemontowuje litery. Do Notatnika wklej:CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\System32\iertutil.dllCMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dllCMD: copy /y C:\Pliki\x64\20565\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dllCMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\System32\urlmon.dllCMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dllCMD: copy /y C:\Pliki\x64\20565\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dllCMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\System32\wininet.dllCMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dllCMD: copy /y C:\Pliki\x64\20565\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dllCMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\SysWOW64\iertutil.dllCMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dllCMD: copy /y C:\Pliki\x86\20565\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dllCMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\SysWOW64\urlmon.dllCMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dllCMD: copy /y C:\Pliki\x86\20565\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dllCMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\SysWOW64\wininet.dllCMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dllCMD: copy /y C:\Pliki\x86\20565\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dllPlik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.3. Uruchom FRST i w narzędziu wybierz opcję Fix. Zostanie przetworzony skrypt i powstanie log fixlog.txt. Zaprezentuj go. Jeśli wszystko się wykona w skrypcie, start systemu powinien zostać odblokowany.4. Pozostaje sprawa innych uszkodzonych plików, spoza KnownDLLs, bo wg głównego loga FRST jeszcze te pliki zostały zmodyfikowane:[codeplain]2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll[/codeplain]Dodaj szukanie na warunek: jsproxy.dll;inetcpl.cpl;url.dll . Odnośnik do komentarza
bluedog Opublikowano 20 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2012 fixlog.txt Search.txt Start systemu przywitał mnie komunikatem: "Niepowodzenie konfiguracji aktualizacji. Trwa wycofywanie zmian.." Potem pojawił się panel wyboru użytkowników Po zalogowaniu komunikat o "Odzyskaniu sprawności po poważnym będzie" (w szczegółach jest blue screen i ścieżka do minidumpa) Odnośnik do komentarza
picasso Opublikowano 20 Grudnia 2012 Zgłoś Udostępnij Opublikowano 20 Grudnia 2012 Kolejne pliki wykazują ten sam typ uszkodzeń: C:\Windows\SysWOW64\inetcpl.cpl[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346 C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346 C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl[2012-12-13 18:32] - [2012-11-14 02:33] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346 C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl[2012-12-13 18:32] - [2012-11-14 04:59] - 1494528 ____A () 2CE9B5379279DB37CEE6C216735F39AD C:\Windows\SysWOW64\jsproxy.dll[2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69 C:\Windows\System32\jsproxy.dll[2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158 C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll[2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69 C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll[2012-12-13 18:32] - [2012-11-14 02:31] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69 C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll[2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158 C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll[2012-12-13 18:32] - [2012-11-14 04:57] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158 C:\Windows\SysWOW64\url.dll[2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll[2012-12-13 18:32] - [2012-11-14 02:32] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll[2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll[2012-12-13 18:32] - [2012-11-14 04:59] - 0237056 ____A () 625E3E643559D386D809FC1F29B94496 Runda poprawkowa: 1. Kolejna paczka: KLIK. Jak poprzednio D:\Pliki. 2. Skrypt do FRST uruchomiony w ten sam sposób: CMD: copy /y C:\Pliki\x64\20565\inetcpl.cpl C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\System32\jsproxy.dll CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll CMD: copy /y C:\Pliki\x64\20565\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll CMD: copy /y C:\Pliki\x64\20565\url.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\SysWOW64\inetcpl.cpl CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl CMD: copy /y C:\Pliki\x86\20565\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\SysWOW64\jsproxy.dll CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll CMD: copy /y C:\Pliki\x86\20565\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\SysWOW64\url.dll CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll CMD: copy /y C:\Pliki\x86\20565\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll Jeśli zadania się wykonają, myślę że to koniec zmagań i temat rozwiązany. W dalszej kolejności zrób zapasowy punkt Przywracania systemu, a następnie zapuść wyszukiwanie + instalację aktualizacji. Poprzednio mieszał użytkownik doprowadzając do uszkodzenia plików na dysku: Mam nową informację co do scenariusza przed wystąpieniem bsod'a: zasilanie komputera zostało wyłączone podczas instalowania aktualizacji przed zamknięciem systemu. . Odnośnik do komentarza
Rekomendowane odpowiedzi