BSOD 0x0000007B

[RobertM15]

Witam,

 

Windows XP Professional, niezależnie czy normalnie, czy w trybie awaryjnym zatrzymuje ładowanie systemu zaraz po wyświetleniu tapety z napisem "Windows XP" i paskiem postępu, z niebieskim ekranem oraz opisem: STOP 0x0000007B (0xF8690524, 0xC0000034, 0x00000000, 0x00000000). Przedtem pracował normalnie przez długi czas, nie było w nim nic zmieniane. Komputer pracuje jako sterownik maszynki i jest odcięty od sieci, jedynie czasem przenoszone są pliki przez pendrive, czyli prawdopodobnie załapał jakieś wirusy.

 

Zacząłem od sprawdzenia pod konsolą odzyskiwania dysków twardych CHKDSK /F /R - znalazł błędy i naprawił, następnie uruchomiwszy z płyty OTLPE przeprowadziłem skanowanie antywirusowe DR.WEB CureIt. Znalazło niemało i usunęło wszystkie wirusy. Memtest przeszedł bez problemów. Zeskanowałem MBRCheck'iem, ale tu już nie jestem pewien rezultatów ( skan w załączniku ).

 

Podobny problem był już TU opisywany, ale jednak dotyczył tylko trybu awaryjnego.

 

Tym niemniej próbowałem podejrzeć rejestr w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, ale takowej nie ma - są tylko CurrentControlSet001 i CurrentControlSet002. Czy mam załączyć gałąź SYSTEM do przejrzenia (ma ponad 9 MB)?

 

Co mam zrobić dalej, jak to naprawić? Za wszelką cenę wolałbym uniknąć reinstalacji!

 

Z góry dziękuję za pomoc.

 

MBRCheck_12.29.10_17.25.49.txt

OTL.Txt

[picasso]

Windows XP Professional, niezależnie czy normalnie, czy w trybie awaryjnym zatrzymuje ładowanie systemu zaraz po wyświetleniu tapety z napisem "Windows XP" i paskiem postępu, z niebieskim ekranem oraz opisem: STOP 0x0000007B (0xF8690524, 0xC0000034, 0x00000000, 0x00000000). (...) Zacząłem od sprawdzenia pod konsolą odzyskiwania dysków twardych CHKDSK /F /R - znalazł błędy i naprawił

 

W raporcie OTL sterownik startowy atapi.sys (standardowy sterownik IDE) jest oznaczony jako "not found":

 

DRV - File not found [Kernel | Boot] --  -- (atapi)

Wygląda to na przyczynę tego BSOD (kod błędu jest relatywny do problemów z dyskami, tu jest sterownik tego pokroju). Z Konsoli Odzyskiwania wyekstraktuj plik na miejsce:

 

EXPAND X:\i386\atapi.sy_ C:\WINDOWS\system32\drivers

 

Tym niemniej próbowałem podejrzeć rejestr w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, ale takowej nie ma - są tylko CurrentControlSet001 i CurrentControlSet002. Czy mam załączyć gałąź SYSTEM do przejrzenia (ma ponad 9 MB)?

 

Z poziomu środowiska zewnętrznego nie istnieje CurrentControlSet (to link symboliczny do jednej z konfiguracji), są tylko ControlSet00X (to rzeczywiste konfiguracje). Jedna z gałęzi ControlSet00X jest zawartością widzianą w CurrentControlSet, a która, to się sprawdza w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\Select (wartość Current). Dokładniej o tym jest w naprawie awaryjnego: KLIK. Tylko, że tu nie wygląda by coś to miało do rzeczy, skoro nie startuje również Tryb normalny.

 

następnie uruchomiwszy z płyty OTLPE przeprowadziłem skanowanie antywirusowe DR.WEB CureIt. Znalazło niemało i usunęło wszystkie wirusy.

 

Jakie wirusy? Owszem, są w logu z OTL ślady:

 

O4 - HKU\CtServer_ON_C..\Run: [kamsoft] C:\WINDOWS\System32\kamsoft.exe File not found
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-6107621590-2721152842-702807156-0636\wnzip32.exe) - C:\RECYCLER\S-1-5-21-6107621590-2721152842-702807156-0636\wnzip32.exe File not found
O20 - HKU\CtServer_ON_C Winlogon: Shell - (C:\RECYCLER\S-1-5-21-3930995733-3480678969-842686800-7123\nissan.exe) - C:\RECYCLER\S-1-5-21-3930995733-3480678969-842686800-7123\nissan.exe File not found
O20 - HKU\CtServer_ON_C Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\CtServer_ON_C Winlogon: Shell - (C:\RECYCLER\S-1-5-21-6107621590-2721152842-702807156-0636\wnzip32.exe) - C:\RECYCLER\S-1-5-21-6107621590-2721152842-702807156-0636\wnzip32.exe File not found
O32 - AutoRun File - [2010/10/22 05:25:35 | 000,002,584 | ---- | M] () - C:\autorun.PNF -- [ NTFS ]
O32 - AutoRun File - [2010/12/27 14:50:02 | 000,000,595 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

Prawie wszystko "not found". Usuwaniem tego możemy się zająć po ewentualnym ożywieniu startu systemu, a te pliki autorun od razu możesz ręcznie usuwać.

 

 

 

.

[RobertM15]

Sterownik atapi.sys znalazł się na swoim miejscu, lecz niestety nic to nie dało: zachowanie systemu przy starcie nie zmieniło się ani na jotę.

 

Dodatkowo zauważyłem, że w czasie uruchamiania w trybie awaryjnym tuż przed pokazaniem niebieskiego ekranu ładowanie sterowników zatrzymuje się dłużej na ...System32\Drivers\Mup.sys.

 

?

 

Załączam nowy skan z OTL.

 

OTL.Txt

[picasso]

Ten tajemniczo upłynniony atapi.sys - czy to przypadkiem Dr. Web nie wykrył w nim jakiejś infekcji i go nie skasował? Czy masz w ogóle jakikolwiek raport co Dr. Web widział i gdzie?

 

Spróbuj jeszcze z Konsoli Odzyskiwania komend FIXMBR i FIXBOOT. Jeśli to nie pomoże, spakuj do ZIP plik C:\WINDOWS\system32\config\SYSTEM i podaj do analizy.

[RobertM15]

Zapuszczony przeze mnie DR.WEB znalazł infekcje tylko w koszu i w plikach odzyskiwania sytemu (_RESTORE), ale bezpośredni użytkownik kombinował z antywirusami przede mną ;-)

 

FIXMBR i FIXBOOT wykonane w konsoli odzyskiwania, ale bez rezultatu. Normalne uruchamianie i tryb awaryjny kończy się "naszym ulubionym" niebieskim ekranem!

 

Plik SYSTEM.zip w linku: Mój link

Edytowane 30 Grudnia 2010 przez picasso
Posty połączone. //picasso

[picasso]

Wstępnie sprawdziłam klucze w CriticalDeviceDatabase + spojrzałam jeszcze raz na log z OTLPE. Do kolekcji atapi, to jeszcze może być problem:

 

DRV - File not found [Kernel | Boot] --  -- (PCIIde)
DRV - File not found [Kernel | Boot] --  -- (aic78xx)

Nie zwróciłam na nie wcześniej uwagi, bo akurat siedzę na tymczasowym XP, który ma to nieczynne. Ale u Ciebie PCIIde jest uwzględnione w CriticalDeviceDatabase, sterowniki na statusie "Boot" (ale nie mają plików).

 

Wyekstraktuj z CD XP pliki pciide.sys + pciidex.sys oraz aic78xx.sys, wrzuć do katalogu drivers. Restart i zobaczymy co się stanie.

[RobertM15]

Faktycznie w sterownikach nie było plików pciide.sys i aic78xx.sys.

Tym razem wielkie postępy! System wstał :-)))

 

Ale żeby nie było za różowo to wygląda na to iż żadne urządzenie USB nie działa, a pech chciał że akurat w tym modelu nie ma złączy klawiatury i myszki PS2 tylko wszystko przez USB. Klawiatura USB na pewno działa, ponieważ można bez problemu wejść do BIOS'u.

 

System otwiera się raczej normalnie (szybko), a po krótkim naciśnięciu przycisku zasilania także ładnie się zamyka.

 

?

[picasso]

Ale żeby nie było za różowo to wygląda na to iż żadne urządzenie USB nie działa, a pech chciał że akurat w tym modelu nie ma złączy klawiatury i myszki PS2 tylko wszystko przez USB. Klawiatura USB na pewno działa, ponieważ można bez problemu wejść do BIOS'u.

 

No to już został nam ten odczyt z OTLPE:

 

DRV - File not found [Kernel | On_Demand] --  -- (usbhub)

Wyekstraktuj kolejny plik z CD XP: usbhub.sys. Nawiasem mówiąc: tu jakaś rzeźnia była. Tyle plików wyparowało i nie wiadomo jakim sposobem....

 

 

****************************************

Jeśli to rozwiąże sprawę, możemy przejść do drobnych edycji usuwających puste wpisy po trojanach:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Wytwórz nowe logi z OTL już spod Windows. Nie zapomnij o Extras.

 

 

.

[RobertM15]

Tak jak przewidziałaś urządzenia USB ożyły!

 

W załączeniu świeżutki skan z OTL.

 

OTL.Txt

 

Extras.Txt

[picasso]

1. Po trojanach zostało:

 

O33 - MountPoints2\{49077f3e-a14c-11df-84c9-00123f66d294}\Shell\AutoRun\command - "" = F:\TREBALJO\\nazdravljep.exe -- File not found
O33 - MountPoints2\{49077f3e-a14c-11df-84c9-00123f66d294}\Shell\open\command - "" = F:\ -- File not found
O33 - MountPoints2\{7c352856-8820-11df-84b0-00123f66d294}\Shell\AutoRun\command - "" = F:\2u.com -- File not found
O33 - MountPoints2\{7c352856-8820-11df-84b0-00123f66d294}\Shell\explore\Command - "" = F:\2u.com -- File not found
O33 - MountPoints2\{7c352856-8820-11df-84b0-00123f66d294}\Shell\open\Command - "" = F:\2u.com -- File not found
O33 - MountPoints2\{95c2cc28-88b8-11de-83ae-00123f66d294}\Shell\AutoRun\command - "" = F:\2u.com -- File not found
O33 - MountPoints2\{95c2cc28-88b8-11de-83ae-00123f66d294}\Shell\explore\Command - "" = F:\2u.com -- File not found
O33 - MountPoints2\{95c2cc28-88b8-11de-83ae-00123f66d294}\Shell\open\Command - "" = F:\2u.com -- File not found
O33 - MountPoints2\{ac631c26-ddc6-11df-850c-00123f66d294}\Shell\AutoRun\command - "" = F:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{ac631c26-ddc6-11df-850c-00123f66d294}\Shell\open\command - "" = F:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{c3d3ac24-ab7e-11df-84d6-00123f66d294}\Shell\AutoRun\command - "" = F:\TREBALJO\\nazdravljep.exe -- File not found
O33 - MountPoints2\{c3d3ac24-ab7e-11df-84d6-00123f66d294}\Shell\open\command - "" = F:\TREBALJO\\nazdravljep.exe -- File not found

W Dzienniku zdarzeń powiela się błąd:

 

Error - 12/30/2010 7:16:33 PM | Computer Name = ECRM-CTP | Source = Service Control Manager | ID = 7000
Description = The NetBEUI Protocol service failed to start due to the following 
error:   %%2

To o tę usługę chodzi:

 

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\DRIVERS\nbf.sys -- (Nbf)

Oba defekty załatwi FIX.REG o postaci:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf]
"Start"=dword:00000004

 

2. W związku z tym, że autorun.inf definitywnie się tu wykonało, zabezpiecz system poprzez Panda USB Vaccine i opcję Computer Vaccination.

 

 

3. Obowiązkowa aktualizacja systemu i aplikacji:

 

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180) 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03

Szczegóły aktualizacyjne w tym temacie: INSTRUKCJE.

 

 

4. A na koniec wyczyść foldery Przywracania systemu.

 

 

 

.

[RobertM15]

Witam,

 

I już myślałem że problem mam rozwiązany, ale srogo się zawiodłem.

 

Przy wykonywaniu działania z punktu nr.3, to jest instalacji Suport Packa 3, przy końcu instalacji ( oczyszczanie ) wyskakuje błąd "program wykonał nieprawidłową operację i zostanie zamknięty przez system. Następnie po kliknięciu "nie wysyłaj" następuje restart oraz odinstalowanie nie całkiem zainstalowanego SP3.

 

Próbowałem kilka razy, za każdym razem tak samo.

 

Co robić?

 

Pozdrawiam.

[picasso]

Pokaż materiały szczegółowe, czyli logi powstałe z procesu instalacji aktualizacji. Info o montażu SP powinno być w jednym z tych plików:

 

C:\WINDOWS\setupapi.log

C:\WINDOWS\svcpack.log

[RobertM15]

Wreszcie udało mi się znaleźć trochę czasu aby ew.zakończyć naprawę i instalację aktualizacji

 

W linku KLIK logi po próbie instalacji SP3

 

?

[picasso]

Niestety svcpack.log nie podaje mi odpowiedzi. Podjęłabym się jeszcze próby zainstalowania SP3 z poziomu Trybu awaryjnego Windows. Na wszelki wypadek załączam informację jak odkręcić instalację SP3, gdyby instalacja pozornie przeszła ale system nie wstał po montażu. Czyli: start do Konsoli Odzyskiwania i wklepanie poniższych komend.

 

CD $NtServicePackUninstall$\spuninst

BATCH spuninst.txt

Edytowane 19 Lutego 2011 przez picasso
19.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso