Endless loop po update - logi

[axmm]

W7HP 64 SP1
acer

Po ostatnio uruchomionyn WU (kilkanaście poprawek) i restarcie system nie wstał,
wpada w "endless loop", nie działa LastGood, nie było przywracania,
przy awaryjnym dociera do classpnp i restart
pomaga jedynie uruchomienie dopuszczające niepodpisane sterowniki.
Wyłączenie na stałe tej restrykcji nie działa (bcdedit /set ...),
zmienne są ustawione (testsigning i nointegritychecks są yes), ale nie wpływa
na zwykłe i awaryjne uruchomienia. Nic nie daje też uruchamianie okrajane msconfigiem.


BSOD
pierwotnie
c000021a - 0xc000003a  Session Manager Initialization system process terminated
przy próbie naprawy było BadPatch

w eventach błędy dotyczyły ZTCP mpsdrv? i msvcrt
ale ogólnie były opisywane jak niemożność uruchomienia bezpiecznego systemu (plików?)
nie robią się dumpy


aktualnie
0x0000006B - PROCESS_INITIALIZATION_FAILED

i przy próbie naprawy z płyty
Podpis problemu:
  Nazwa zdarzenia problemu:    StartupRepairOffline
  Podpis problemu: 01:    6.1.7600.16385
  Podpis problemu: 02:    6.1.7600.16385
  Podpis problemu: 03:    unknown
  Podpis problemu: 04:    96
  Podpis problemu: 05:    ExternalMedia
  Podpis problemu: 06:    1
  Podpis problemu: 07:    NoRootCause
  Wersja systemu operacyjnego:    6.1.7601.2.1.0.256.1
  Identyfikator ustawień regionalnych:    1045






WIN_EVENT_LOG
5038 - niepowodzenie inspekcji
    Funkcja sprawdzania integralności kodu wykryła, że skrót obrazu pliku jest nieprawidłowy. Plik mógł zostać uszkodzony z powodu

nieautoryzowanej modyfikacji. Nieprawidłowy skrót może wskazywać potencjalny problem z urządzeniem dyskowym.
Nazwa pliku:    \Device\HarddiskVolume3\Windows\System32\drivers\spsys.sys

to samo dla:
Nazwa pliku:    \Device\HarddiskVolume3\Windows\System32\drivers\ipnat.sys    
Nazwa pliku:    \Device\HarddiskVolume3\Windows\System32\drivers\tcpipreg.sys    
Nazwa pliku:    \Device\HarddiskVolume3\Windows\System32\drivers\secdrv.sys    
Nazwa pliku:    \Device\HarddiskVolume3\Windows\System32\drivers\PEAuth.sys    
Nazwa pliku:    \Device\HarddiskVolume3\Windows\System32\drivers\lltdio.sys    

6281 - niepowodzenie inspekcji
    Funkcja sprawdzania integralności kodu ustaliła, że wartości skrótów strony dla pliku obrazu są nieprawidłowe. Plik mógł zostać

niewłaściwie podpisany bez wartości skrótów strony lub uszkodzony z powodu nieautoryzowanej zmiany. Nieprawidłowe wartości skrótów mogą wskazywać

na możliwy błąd urządzenia dyskowego.



w MS\Win\CodeIntegrity
3002: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume3\Windows\System32\audiodg.exe because the set of

per-page image hashes could not be found on the system.
3001: Code Integrity determined an unsigned kernel module \Device\HarddiskVolume3\Windows\System32\drivers\spsys.sys is loaded into the system.

Check with the publisher to see if a signed version of the kernel module is available.
System32\drivers\ipnat.sys
System32\drivers\tcpipreg.sys
czyli j.w.

3002: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume3\Windows\SysWOW64\userenv.dll because the set of

per-page image hashes could not be found on the system.
3004: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume3\Windows\System32\drivers\ew_jubusenum.sys because file

hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or

that might be malicious software from an unknown source.
System32\drivers\CompositeBus.sys
System32\drivers\usbd.sys
System32\drivers\athrx.sys
System32\drivers\dxgmms1.sys
System32\drivers\tunnel.sys
System32\drivers\pacer.sys
System32\drivers\wfplwf.sys
System32\drivers\RDPREFMP.sys
System32\drivers\RDPENCDD.sys
System32\drivers\RDPCDD.sys



podejrzewam uszkodzenia plików systemowych, ale też jakiś driver podmieniony lub uszkodzony
(np. niepodpisany jest 'MS Virtual WiFi miniport adapter') wykluczający możliwość
uruchomienia kernela w trybie chronionym

było robione chyba wszystko co wyczytałem lub wymyśliłem

- sfc /scannow  (o ile dawało się uruchomić - komunikaty 'w trakcie naprawy')

- chkdsk /f bez rezultatów (grrr... partycja skompresowana)

- usuwanie poprawek, tych ostatnich i GWX'owych

- podmiana plików system32\config z regback

- usuwanie system32\codeintegrity\bootcat.cache

- usuwanie McAfee i innych pierdół,
ale przez przywracanie plików configu/profili może wisieć sporo osieroconych wpisów w rejestrze

- podmiany folderów catroot z recovery/wim

- regedit - profile / mounted devices, no automount ...



Kończą mi się pomysły, nie do końca wiem czego szukać w logach systemu ...
jak użyć tooli / z jakimi ustawieniami ... by zidentyfikować podstawowy problem.

Odpalałem r-killa z HBCD, FRST64, OTL, GMER, ComboFixa, sigcheck64, JRT ...
jest sporo śmieci (nieaktywnych pozostałości), niewielkie infekcje (leci clamwin),
większość raczej nie krytyczna dla uruchomienia samego systemu (priorytet),
ale przydałoby się też trochę posprzątać zanim przyjdzie czas na pełny reinstall.

Na dysku są oryginalne sterowniki OEM, reinstalowałem nvidię
(clamwin pokazuje trojana dropped-1882 w oryginalnych intel vga),
mogę po kolei wszystkie, ściągnąć świeże, ale to może nie wystarczyć
... potrzebuję wskazówek / skryptów?

Proszę o przejrzenie logów:

rkill http://wklej.org/id/3020714/
FRST http://wklej.org/id/3020715/
addition http://wklej.org/id/3020716/
OTL http://wklej.org/id/3020717/

 

pozdr.

 

 

UPDATE:

gmer http://wklej.org/id/3021671/

clamwin http://wklej.org/id/3021672/

 

 

 

 

[axmm]

mile widziane wszelkie pomysły / rady w stylu:
- wytnij folder xxx, podstaw z wim'a ... napraw z płyty odświeży resztę;

- podmień folder/plik xxx z innego systemu;

- wykasuj gałąź yyy rejestru ... restart wymusi instalację sterowników zzz;

 

może ktoś zna sztuczki dające efekt jak w xp "odinstaluj 'magistrala pci' w 'menedżer urządzeń'" ?

 

mogę potestować różne, nawet dziwne pomysły, o ile będą to działania odwracalne / niedestrukcyjne dla reszty zainstalowanego softu czyli raczej dotyczące samego systemu / sterowników