Częsty błąd lsass.exe przy starcie systemu

[faust]

Witam serdecznie,

 

Problem z jakim borykam się od dłuższego czasu, skutecznie uniemożliwia normalną pracę na komputerze, zabierając czas pracy na rozruch systemu, który "łaskawie" załączy się w komplecie i bez niespodzianek.

Komputer określiłbym jako zadbany pod względem higieny użytkowania (aktualizacje XP - legalny - regularnie,antywirus oryginalny, brak gier i nieprzydatnych programów, triali itp.) Trochę zapuściłem się z defragmentacją przez jakiś czas, ale w ferworze walki przeprowadziłem.

Programy jak i zbędne pliki usuwam z komputera regularnie, wyłącznie programem Revo Uninstaler.

Nie instalowałem żadnych nowych urządzeń.

Miałem kontakt z kilkoma pendrive'mi, na których KiS w momencie ich podłączenia wykrył wirusy, które natychmiast przy skanowaniu usunął (niestety, te peny to zmora, ale jestem na studiach osobą która zgrywa od ludzi prace i przekazuje całość wykładowcom). Być może to ma związek? Ale nie było bezpośrednio po tych zdarzeniach takich skutków jak niżej opisane. Te wystąpiły "po czasie". A zatem:

 

Opis problemu:

- po uruchomieniu komputera i przejściu przez pierwszy etap, proces nie dociera do ekranu logowania się/wyboru użytkownika tylko kończy się komunikatem: "lsass.exe Błąd systemu.Format punktu końcowego jest nieprawidłowy";

- kilkukrotny rozruch (w tym przejście przez procedury awaryjnego uruchamiania,ostatniego działąjącego lub awaryjnego z dostępem do sieci) i w końcu "załapuje", ale...

- okazuje się, że w zasobniku systemowym gdzie do tej pory było kilka "standardowych" ikonek, jest ich mniej, a ikonka programu antywirusowego (Kaspersky Internet security 2012) jest sino-szara i komunikuje niemożność uruchomienia procesów, wskutek czego jest on wyłączony;

- sprawdzam więc czy można go zaktualizować i okazuje się, że nie gdyż nie można połączyć się z serwerem co wskazuje na brak internetu (i faktycznie potwierdza to również przeglądarka "nie można wyświetlić strony");

- jednym z kryteriów, które weryfikuję czy system uruchomił się prawidłowo obok ikonki KiS jest m.in. ikonka ATI (karty graficznej). Jak jej nie ma, to wiadomo, że coś nie będzie działać. I faktycznie tak jest.

- innym razem po poprawnym przejściu przez etap rozruchu w momencie ekranu logowania i wyboru użytkownika, strzałka-kursor nie reaguje na myszkę, jedynie użycie touch pada umożliwia wybór użytkownika. W tym momencie wiadomo, że i pozostała w/w reszta po zalogowaniu nie będzie działała.

- zdarzyło się też, że po poprawnym zalogowaniu i "komplecie" ikonek w zasobniku nie można było uzyskać połączenia z internetem.

- zamykanie systemu - trwa wieczność. Sprawia czasem wrażenie zamrożenia i bezruchu przez kilka dobrych minut. W tym czasie żadne klikania myszką w okna aplikacji czy foldery nic nie dają. Wywołanie Menedżera zadań wydaje się, że przyspiesza zamknięcie, ale być może to subiektywne odczucie.

 

Co zrobiłem - w kolejności - próby naprawienia samemu:

- usunięcie zbędych plików (Revo Unistaler)

- defragmentacja (O&O)

- coś mnie tknęło, żeby jeszcze "odkurzyć" (Odkurzacz) - nie mam do niego zaufania, ale wybrałem opcję bezpieczną, patrząc przy tym co za pliki oferuje do usunięcia (głównie językowe i tymczasowe).

 

Efekt:

- kilka razy komputer odpalił bez problemu, lecz później z powrotem, "lsass.exe Błąd..." lub po przejściu nie załączone wszystkie usługi w/w.

- później awaryjne uruchamianie i po kilku próbach wskoczył na obroty.

 

Podjąłem dalsze próby dojścia do tego co go boli:

- płyta instalacyjna XP i opcja Napraw system -> kilka razy komputer odpalił bez problemu, lecz później znowu nie włączone usługi w/w i te same objawy.

- programy uruchamiane z systemem - odptaszkowałem (programem Autoruns) sporo zbędnych procesów, po uprzedniej lekturze który za co odpowiada (Podczas użytkowania tego programu każdorazowo pojawia się niebieski ekran i STOP C000021a)

- pomyślałem, że może z biegiem użytkowania coś się stało z plikami systemowymi, więc w ruch poszła płyta instalacyjna i polecenie: sfc /scannow

- w celu zaradzenia szybszemu zamykania systemu zainstalowałem UPHCleanup - raczej bez pozytywnego efektu, jest bez zmian.

Dziś przed napisaniem tego postu, tuż po przeprowadzeniu skanów OTL i GMER i ponownym uruchomieniu komputera jego rozruch zakończył się niebieskim ekranem:

SESSION3_INITIALIZON_FAILED

(...)

STOP: 0000006F (0xC0000020,0x00000000,0x00000000,0x00000000)

 

oraz gdzieś pomiędzy zabiegami:

IRQL_NOT_LESS_OR_EQUAL

(...)

STOP: 0x0000000A (0x00000000,0x000000FF,0x00000000,0x806EA220)

 

Hmm... Trochę długi post, ale staram się jak najwięcej opisać o stanie faktycznym.

Dziękuję za poświęcony czas.

Pozdrawiam.

F.

OTL.Txt

Extras.Txt

GMER.txt

[Landuss]

W logach brak śladu aktywnej infekcji. Temat zmieni dział. Taki błąd to nie jest wina infekcji. To zwykle kwestia pamięci. Nie jestem tylko pewny czy u ciebie to kwestia w Windows czy w samych kościach, ale sprawdzić trzeba wszystko.

 

Na początek zobacz co mówi o tym Microsoft: KB893712. Tam jest mowa, że taki błąd to wynik operacji z pamięcią - przełącznik /PAE w boot.ini

 

Sprawdź też ustawienie pamięci wirtualnej i daj ustawienie na automatyczne przypisywanie przez Windows (o ile już tak nie masz).

 

BTW: nawiasem mówiąc twój system jest nieaktualny:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

Tylko SP2 a to za mało dzisiaj, Microsoft zablokował systemy poniżej SP3 i nie masz dostępu do aktualizacji automatycznych.

Jak najszybciej montuj Service Pack 3 + Internet Explorer 8

[faust]

Witam,

 

Dziękuję za odpowiedź.

Walka trwa...

Aktualnie jestem na "awaryjnym z siecią", dzięki czemu łączę się ze swiatem.

 

Pamięć wirtualną - ustawiłem zgodnie z zaleceniem na automatycznie przypisywaną.

KB893712 - czytałem, ale tam piszą to w odniesieniu do innych systemów, nie dla XP

SP 3 nie zainstalowałem jeszcze. Nie wiem czy "warto" w tym momencie, do czasu kiedy nie wyjdziemy na prostą z systemem?

 

Dziś komputer jest w takim stanie:

- uruchamia się bez BSOD;

- po zalogowaniu niestety najwyraźniej nie wszystkie procesy są uruchomione, gdyż KiS zgłasza brak możliwości uruchomienia wielu modułów ochrony,

- nie ma ikonki ATI, która na sprawnym systemie widniała w zasobniku systemowym,

- w Menedżerze Zadań jest tylko 27/9 procesów, gdzie przy normalnym systemie byłoich ok.39-40 (m.in. nie widzę CLI.exe, który był na działającym systemie - może to ma jakiś związek?)

- w Menedżerze Zadań -> Sieć info, że brak aktywanej karty sieciowej, a co za tym idzie nie mogę uruchomić internetu,

 

Szukam dalej...

Uruchomiłem program Autoruns, w którym przeszukałem to co mogłem na swoim poziomie widzy.

Uwagę zwróciły "ptaszki" przy procesach/sterownikach itp., które nie miały swoich sterowników.

Poniżej ich lista:

 

i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys

Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys

CrystalSysInfo File not found: K:\Programy użytkowe\PROGRAM FILES\MediaCoder\SysInfo.sys

ASPI File not found: C:\WINDOWS\System32\DRIVERS\ASPI32.sys

lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys

PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

AppMgmt File not found: C:\WINDOWS\System32\appmgmts.dll

 

Czy pośród nich byłby, któryś z "winnych" całego galimatiasu?

Skąd ewentualnie je (wszystkie, czy nie) wziąć?

 

W oczekiwaniu na dalsze wskazówki pozdrawiam!

 

F.

[Anonim8]

Czy pośród nich byłby, któryś z "winnych" całego galimatiasu?

Skąd ewentualnie je (wszystkie, czy nie) wziąć?

 

Zostaw te sterowniki w spokoju.

 

Problemem jest dysk

 

Error - 2012-01-02 16:13:43 | Computer Name = TWOJA-860EF01DB | Source = sr | ID = 1
Description = Filtr Przywracania systemu napotkał nieoczekiwany błąd '0xC000009A'
podczas przetwarzania pliku 'change.log' w woluminie 'HarddiskVolume1'. W rezultacie
zostało zatrzymane monitorowanie woluminu.

 

i liczniki rejestru

 

Error - 2011-12-28 19:43:51 | Computer Name = TWOJA-860EF01DB | Source = LoadPerf | ID = 3001
Description = Występująca w rejestrze wartość ciągu nazwy licznika wydajności jest
niepoprawnie
sformatowana. Nieprawdziwy ciąg to 13664, nieprawdziwa wartość  indeksu to pierwszy
wpis DWORD w sekcji danych (Data), a ostatnie prawidłowe  wartości indeksu to drugi
i trzeci wpis DWORD w sekcji danych.

Error - 2011-12-28 19:43:51 | Computer Name = TWOJA-860EF01DB | Source = LoadPerf | ID = 3011
Description = Nie można usunąć z pamięci ciągów licznika wydajności dla usługi WmiApRpl
(WmiApRpl).   Kod błędu to pierwszy wpis DWORD w sekcji danych (Data)

 

 

Sprawdź w jakim trybie pracuje dysk.

 

Wejdź do Menedżera Urządzeń PPM na Kontrolery IDE > Ustawienia zaawansowane

 

i zobacz czy tryb jest PIO czy Ultra DMA jeśli PIO przestaw na Ultra DMA i restart.

 

 

Mozesz też wykonać dodatkowo chkdsk

 

start > polecenie uruchom > cmd

 

i w konsoli wpisz chkdsk c: /f /r

 

potwierdź Tak i restart

[faust]

Aktualnie "wstrzeliłem się " w działanie komputera, usługi się załączyły, (nie wiem czy przy następnej odsłonie będzie podobnie, ale skorzystam z tego, że teraz "gra"), więc piszę.

 

Dysk pracuje na Ultra DMA od początku.

CHKDSK zrobiłem, poszło poprawnie.

 

Czy problem z dyskiem, o którym piszesz, może być spowodowany brakiem lub chwilowym brakiem (np. z powodu nie załączenia jakiegoś procesu) dostępu do kieującego nim sterownika?

 

Co do części wymienionych przeze mnie w poście wyżej driverów

PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

Na ich temat znalazłem na naszym forum odpowiedź TUTAJ

 

Pozostałe:

lbrtfdc.sys

Changer.sys

i2omgmt.sys

 

pozyskałem z innych lokalizacji na dysku C (i386)

 

Przygotowuję się zatem do instalacji SP 3.

[Anonim8]

Czy problem z dyskiem, o którym piszesz, może być spowodowany brakiem lub chwilowym brakiem (np. z powodu nie załączenia jakiegoś procesu) dostępu do kieującego nim sterownika?

 

powodów moze być wiele. Ogólnie sprzetowy albo software. Winna moze być taśma, stan dysku ( to że chckdsk nie wykrył błedów nie ma aż takiego znaczenia) Bsod nie bierze się znikąd. Potzrebna jest dokładna specyfikacja kompa, dane o zasilaczu, temperatury. Program HWinfo

 

Co do instalacji SP3 - ja bym przed instalką usunął Kasperskiego. Albo instalował w trybie awaryjnym.

[faust]

Witam,

 

Dziękuję za pomoc.

 

Po instalacji SP3 (przy wyłączonym KiS i odłączonej sieci).

Komputer raz po niej podczas zamykania wyświetlił BSOD.

Potem już kilkukrotnie uruchamiany do tej pory startuje bez zastrzeżeń, tj. "kluczowe" procesy które wspominane były w postach wyżej są uruchamiane (karta sieciowa widziana, moduły KiS wszystkie załączone, ikonka ATI w zasobniku jest itp.).

Ogólnie w tej chwili podczas pisania posta w Menedżerze zadań uruchomione są 34 procesy.

 

Zamiast HWinfo mam raport z Everest UE (który mam akurat na komputerze):

 

http://www.wklej.org/id/830718/txt/

 

Czy coś podejrzanego z niego wynika?

 

Aha, co jeszcze ważne odnośnie samego działania komputera.

Zauważyłem jego znaczne spadki w szybkości zamykania systemu.

Potrafi to trwać "wieczność", tj. nawet 5-10 min. Ta sytuacja była jeszcze dłuższa przed zainstalowaniem SP3.

UPHClean nic nie wniósł do sprawy, a nawet w moim subiektywnym odczuciu jeszcze wydłużył.

Czasami wywołanie Menedżera Zadań jakby przyspieszało wywołanie okna "Wyłącz komputer", z którym to też jest spore opóźnienie.

Sporo tych "drobiazgów", wiem, ale opisuję wszystkie bolączki sprzętu, tak by jak najwięcej wnieść do rozwiązania problemu.

Jest pewna zasada, że im dłużej komputer jest włączony (pracuje), tym później dłużej trwa jego zamykanie.

Tuż po uruchomieniu zamknięcie jest niemal natychmiastowe i wszelkie komunikaty typu trwa zapisywanie ustawień, trwa zamykanie systemu są tylko formalnością - system zamyka się w oka mgnieniu.

Rozumiem, że wiąże się to z "zaangażowaniem" np. KiS w działąjące procesy itp., ale mimo wszystko trochę to trwa za długo w mojej ocenie.

Czy może to mieć związek z małą ilością pamięci RAM?

Na podstawie bieżącej konfiguracji jaką należałoby dokupić?

 

Dziękuję.

Pozdrawiam

 

F.