Windows 7 nie uruchamia się - bluescreen 0x0000007E

[scott]

Witam

 

Laptop, Win 7 Prof. Zaktualizowany do WIN 10. Po kilku dniach próba przywrócenia poprzedniego systemu. W trakcie gdy windows przywracał system nie było mnie przy komputerze, wyszedłem na ok godzinę. Po powrocie komputer próbował uruchomić win 7, ale zatrzymywał się na niebieskim oknie STOP: 0x0000007E (0xFFFFFFFF80000003, 0xFFFFF880049370F5, 0xFFFFF880009A9328, 0xFFFFF880009A8B80), a następnie reset i ponownie. Przy próbie uruchomienia trybu awaryjnego system ładuje się do okna logowania, ale nie działa ani klawiatura, ani myszka i nie można się zalogować.

Po uruchomieniu narzędzia do naprawy systemu podczas uruchamiania, po kilku minutowej analizie pojawia się komunikat, ze system nie mógł naprawić systemu. W szczegółowym raporcie przy Sprawdzaniu i naprawianiu integralności plików systemowych pojawia się kod błędu 0x490

Nie mogę przywrócić systemu do punktu przywracania, ponieważ system zgłasza, ze takich punktów nie ma.

 

Czy coś mogę zrobić?

[Groszexxx]

Zacznij od zrobienia logów w WinRE 

https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartuj%C4%85cych-windows/

I 

https://www.fixitpc.pl/topic/1236-weryfikacja-integralno%C5%9Bci-plik%C3%B3w-via-narz%C4%99dzie-sfc/

(post 3) 

[scott]

Pierwszy log dodaję

W przypadku drugiego linku (post3) uruchamiając sfcfix pojawia się komunikat:

"Podsystem potrzebny do obsługi tego typu obrazu jest nieobecny"

 

Jest jakaś szansa na uratowanie i uruchomienie system?

 

Czy jakiś sterownik nie blokuje tego uruchomienia?

 

Czy można coś z tego loga odczytać i wyrzucić?

FRST.txt

[picasso]

W przypadku drugiego linku (post3) uruchamiając sfcfix pojawia się komunikat:

"Podsystem potrzebny do obsługi tego typu obrazu jest nieobecny"

Narzędzie SFCFix nie jest orientowane na środowisko RE, a komunikat który otrzymujesz oznacza niezgodność bitów. Pomyliłeś post. "Post 3" to Uruchamianie SFC z poziomu WinRE. Niestety nawet nie będzie można sprawdzić co narzędzie zrobi lub czego nie zrobi, bo w RE nie jest nagrywany raport.

 

 

Czy można coś z tego loga odczytać i wyrzucić?

Tylko tyle widać, że niektóre pliki Windows w sekcji Bamital & volsnap mają sumy kontrolne które nie występują w bazie FRST. To nie oznacza że sumy są niepoprawne, bo baza sum jest mozolnie uzupełniana ręcznie i po każdej aktualizacji Windows trzeba zgłaszać nowe. Wiele poprawnych sum nie występuje w bazie. I moim zdaniem te sumy są OK. Nie mam wprawdzie wiernego materiału porównawczego (mój Windows 7 z maszyny wirtualnej od jakiegoś czasu nie był aktualizowany), ale tu widać takie same, a sfc nie wykrył naruszeń + system uruchamia się w Trybie awaryjnym.

 

Bardziej mnie zastanawia ten Kaspersky, cały majdan sterowników, w tym te filtrujące mysz i klawiaturę. Dostarcz spakowany do ZIP folder Minidump z plikami zrzutów pamięci oraz dodatkowo dwa pliki MEMORY.DMP + ntbtlog.txt:

 

2016-04-17 13:05 - 2016-04-17 13:05 - 00273184 _____ C:\Windows\Minidump\041716-24258-01.dmp

2016-04-14 01:13 - 2016-04-14 01:13 - 00273184 _____ C:\Windows\Minidump\041416-33789-01.dmp

2016-04-13 05:25 - 2016-04-13 05:25 - 00273184 _____ C:\Windows\Minidump\041316-21808-01.dmp

2016-04-13 04:56 - 2016-04-13 04:56 - 00273184 _____ C:\Windows\Minidump\041316-23368-01.dmp

2016-04-11 02:52 - 2016-04-11 02:52 - 00273184 _____ C:\Windows\Minidump\041116-21730-01.dmp
 

2016-04-17 13:05 - 2015-03-21 04:03 - 188230440 _____ C:\Windows\MEMORY.DMP

2016-04-11 02:43 - 2016-04-17 13:18 - 02297518 _____ C:\Windows\ntbtlog.txt

 

Nawiasem mówiąc, ja się obawiam, że tu się klaruje reinstalacja systemu, której chcesz uniknąć. Stopień poprawności przywrócenia poprzedniej wersji systemu jest nie do sprawdzenia.

[scott]

Bardzo dziękuję za wyczerpującą informację.

 

Hmmm. Mam mały problem z dołączeniem plików. Pojawia mi się komunikat: "Nie masz uprawnień do wysyłania tego typu plików"

 

Dodatkowo może być problem z MEMORY.ZIP bo zajmuje ponad 36 MB

 

[picasso]

Wszystko pakujesz do jednego ZIP, ZIP rzuć na jakiś zewnętrzny serwis hostingowy i podaj do tego link.

[scott]

ok, jasne

plik

[picasso]

We wszystkich plikach DMP z kwietnia powtarza się wątek sterownika przyczynowego klhk.sys i jest to sterownik Kasperskiego:

 

S1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [227512 2016-03-10] (AO Kaspersky Lab)

 

Wstępnie skupię się więc na tym:

 

Przy próbie uruchomienia trybu awaryjnego system ładuje się do okna logowania, ale nie działa ani klawiatura, ani myszka i nie można się zalogować.

Próba logowania doszła bardzo daleko bez BSOD, co potwierdzałoby wątek Kasperskiego (nie jest ładowany w awaryjnym). Spróbujemy wypiąć filtry Kasperskiego z myszy i klawiatury, by sprawdzić czy to pozwoli wklepać dane logowania. Gdyby się udało wejść do Trybu awaryjnego, usuwanie Kasperskiego poszłoby sprawniej niż próby ingerencji w program z poziomu RE.

 

S3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [49008 2016-03-10] (Kaspersky Lab ZAO)

S3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [48504 2016-03-10] (Kaspersky Lab ZAO)

 

 

1. W Notatniku przygotuj skrypt o treści:

 

Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f
Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f

 

Zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST jak poprzednio i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Jeśli akcja się wykona poprawnie, sprawdź czy jest jakaś zmiana z klawiaturą i myszą na ekranie logowania w awaryjnym. Gdyby się udało wejść do awaryjnego, zastosuj narzędzie Kaspersky Remover.

 

 

PS. Założyłam przywrócenie standardowego filtru dla klawiatury, ale prawdopodobnie trzeba uwzględnić też sterownik Synaptics (drajwer jest na białej liście i niewidoczny w FRST, ale w starcie jest wpis potwierdzający że jest zainstalowany):

 

Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d SynTP\0kbdclass /f

 

Na razie ten wątek omijam.

[scott]

Wykonałem. Log w załączniku.

Zalogowałem się do awaryjnego.

Co wykonać teraz?

Fixlog.txt

[picasso]

Zalogowałem się do awaryjnego.

 

Co wykonać teraz?

vs.

 

Gdyby się udało wejść do awaryjnego, zastosuj narzędzie Kaspersky Remover.

Kaspersky z tego co pamiętam jest oparty na Instalatorze Windows, więc nie można go odinstalować via Panel sterowania z poziomu trybu awaryjnego (nie działa usługa Instalatora), stąd specjalizowany usuwacz firmowy produktów Kasperskiego.

 

A po tym spróbuj wejść do Windows normalnie i zrób logi FRST z tego poziomu.

[scott]

Kaspersky Remover wykonany

 

Po restarcie uruchomiony normalnie. REWELACJA !!! Jesteś niesamowita !!!

 

Wykonane logi FRST przesyłam w załączniku.

 

Czy Kaspersky będzie można zainstalować ponownie?

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

Czy Kaspersky będzie można zainstalować ponownie?

Oczywiście spróbowałabym tego, w przypadku powtarzalnej awarii porzucić to rozwiązanie. Zanim do tego wątku dojdziesz:

 

Teraz możemy się zająć "cyzelowaniem", tzn. usunięciem szczątków m.in. po Kasperskym i Google Chrome.

 

1. Odinstaluj stare niebezpieczne wersje (luki! zagrożenia infekcjami szyfrującymi dane): Adobe Flash Player 20 ActiveX, Adobe Reader X (10.1.16) MUI, Java™ 6 Update 20.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
FF Plugin-x32: @ei.RadioRage_4j.com/Plugin -> C:\Program Files (x86)\RadioRage_4jEI\Installr\1.bin\NP4jEISB.dll [2012-07-31] (RadioRage)
BHO: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll => Brak pliku
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku
BHO: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\UrlAdvisor\klwtbbho.dll => Brak pliku
BHO-x32: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll => Brak pliku
BHO-x32: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku
BHO-x32: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\UrlAdvisor\klwtbbho.dll => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku 
Task: {40689133-6C95-4ED3-8D70-E84773F8CF1A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku 
Task: {AB2BC3D5-FA57-4E61-BC3C-BCF9F9865701} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku 
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku 
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku 
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\...\Run: [] => [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 massfilter; system32\DRIVERS\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
DisableService: PLAY ONLINE. RunOuc
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
C:\Program Files (x86)\GUTFD9.tmp
C:\Program Files (x86)\RadioRage_4jEI
C:\Users\BOGUSLAW\AppData\Local\{EE467084-2CE9-48B6-80EC-14D677F96A0F}
C:\Users\BOGUSLAW\AppData\Local\Google\Chrome
CMD: netsh advfirewall reset
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Tosrfcom /s
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
File: C:\Program Files\TOSHIBA\PasswordUtility\TOSDCR.exe
File: C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
File: C:\Program Files (x86)\TOSHIBA\PasswordUtility\TOSDCR.exe
File: C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

 

3. Wyczyść Firefox ze starych preferencji: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[scott]

Dzięki.

 

Wykonałem wszystkie czynności. Przesyłam logi.

 

Fixlog.txt

FRST.txt

[picasso]

Na pewno odinstalowałeś Adobe Reader? W Firefox nadal widać jego wtyczkę.

[scott]

Kurcze przepraszam, ale nie wykonałem punktu nr 1

 

Teraz odinstalowałem, odświeżyłem program Firefox i wykonałem ponownie skan, który przesyłam.

 

 

FRST.txt

[picasso]

Firefox był już odświeżony w poprzednim skanie. Odświeżanie nie wpływa na wtyczki (zainstalowane na poziomie rejestru), więc jego ponawianie nie było potrzebne. Końcowa poprawka, czyli skrypt do FRST o postaci:

 

HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\BOGUSLAW\Desktop\Stare dane programu Firefox
CMD: del /q C:\Windows\Minidump\*.dmp

 

 

I próbuj tego podejścia z Kasperskym. W przypadku identycznych objawów jak poprzednio, do wykonania te same kroki z poziomu środowiska RE (zdjęcie filtrów z myszy i klawiatury, by zalogować się w awaryjnym i usunąć Kasperskiego firmowym narzędziem).

[scott]

Rewelacja. Zainstalowałem Kasperskego i błędy nie wróciły. Klawiatura i myszka działają prawidłowo. Doinstalowałem jeszcze Readera DC i najnowszego ze strony Flash Playera.

 

Mam tylko wrażenie, że system nie chce się aktualizować i ciągle wyszukuje aktualizacji.

 

Po kilku minutach w procesach svchost ma ponad 30% i zaczyna ostro pracować wentylator (temperatura rdzeni procesora 80st C). Czy może być to związane z próbą aktualizacji systemu czy jeszcze z czym innym?

[scott]

Przesyłam jeszcze logi. Może będą przydatne

Addition.txt

FRST.txt

Shortcut.txt

[scott]

Dzisiaj aktualizacja ruszyła po kilku godzinach i po zaktualizowaniu siódemki wszystko wróciło do normy.

 

w związku z tym myślę, ze można temat zamknąć.

 

W kontekście poniższego

Nawiasem mówiąc, ja się obawiam, że tu się klaruje reinstalacja systemu, której chcesz uniknąć. Stopień poprawności przywrócenia poprzedniej wersji systemu jest nie do sprawdzenia.

 

bardzo, bardzo dziękuję. Udało się jesteś niesamowita. System wrócił bez reinstalacji

 

Pozdrawiam