bsod 'The Verification of a KnownDLL failed'

[bluedog]

Witam,

 

Problem dotyczy windows 7 HP x64, został zauważony dziś. Poprzednio z komputera korzystał zwykły user (11-latek - bez praw admina). Podobno nic takiego nie robił - youtube, minecraft, a na koniec wyłączenie kompa przyciskiem zasilania zasilacza.

 

przeklepany BSOD:

 

STOP: c000021a {Fatal System Error}

The Verification of a KnownDLL failed. system process terminated unexpectly with a status of 0x000012f (0x00a4c8e0 0x0000000).

The system has been shut down.

 

To samo jest przy uruchamianiu Safe Mode, Ostatnia poprawna konfiguracja, itd.

 

"Napraw komputer" z poziomu instalacji win7 nie pomaga:

szczegóły tu

"Napraw komputer" z poziomu płytki instalacyjnej win7 - to samo

 

Niestety przywracanie systemu było wyłaczone.

 

chkdsk /r - nie znajduje błędów

sfc /scannow - twierdzi, że" istnieje oczekująca naprawa system, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc."

 

Pliki zrzutów pamięci są ale ostatni z 28-11-2012

 

Z tego co kumam i wygoglowałem to winda nie może zweryfikować poprawności biblioteki dll i broni się przed jej załadowaniem zamykając system.

 

Z góry dzięki za pomoc

[picasso]

[sTOP: c000021a {Fatal System Error}

The Verification of a KnownDLL failed. system process terminated unexpectly with a status of 0x000012f (0x00a4c8e0 0x0000000).

The system has been shut down.

 

Prawdopodobnie jeden z plików specyfikowanych w kluczu KnownDLLs nie ma postaci jakiej oczekuje Windows. Chodzić może o jeden z tych (i w podwójnych wystąpieniach 32-bit + 64-bit):

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs]
"clbcatq"="clbcatq.dll"
"ole32"="ole32.dll"
"advapi32"="advapi32.dll"
"COMDLG32"="COMDLG32.dll"
"gdi32"="gdi32.dll"
"IERTUTIL"="IERTUTIL.dll"
"IMAGEHLP"="IMAGEHLP.dll"
"IMM32"="IMM32.dll"
"kernel32"="kernel32.dll"
"LPK"="LPK.dll"
"MSCTF"="MSCTF.dll"
"MSVCRT"="MSVCRT.dll"
"NORMALIZ"="NORMALIZ.dll"
"NSI"="NSI.dll"
"OLEAUT32"="OLEAUT32.dll"
"PSAPI"="PSAPI.DLL"
"rpcrt4"="rpcrt4.dll"
"sechost"="sechost.dll"
"Setupapi"="Setupapi.dll"
"SHELL32"="SHELL32.dll"
"SHLWAPI"="SHLWAPI.dll"
"URLMON"="URLMON.dll"
"user32"="user32.dll"
"USP10"="USP10.dll"
"WININET"="WININET.dll"
"WLDAP32"="WLDAP32.dll"
"WS2_32"="WS2_32.dll"
"DifxApi"="difxapi.dll"

 

 

sfc /scannow - twierdzi, że" istnieje oczekująca naprawa system, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc."

 

1. Po pierwsze, komenda ta nie może mieć postaci "sfc /scannow", bo jest uruchamiana z poziomu środowiska zewnętrznego. W takim środowisku należy zastosować:

 

sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows

 

X = partycja z plikami rozruchowymi, Y = partycja z Windows. Niekoniecznie X równa się Y, rozszczepienie zachodzi przy obecności partycji "Zastrzeżone przez system". Najszybciej sprawdzisz litery w Wierszu polecenia wpisując komendę notepad i z menu Plik > Otwórz > z boku klik w Komputer > lista dysków się zgłosi.

 

2. Po drugie, jeśli prawidłowo zastosowana komenda będzie nadal zwracać komunikat o "oczekującej naprawie", w Wierszu polecenia wklep:

 

dism /Image:Y: /Cleanup-Image /RevertPendingActions

 

Gdzie Y = to samo co wyżej. I ponów skan SFC.

 

 

 

PS. I proszę nie hostuj plików na WRZUCAJ.org, to odliczanie mnie do szału doprowadza. Tekst na wklej.org, a obrazki np. na ImageShack.

 

 

.

[bluedog]

Dzięki za super szybką odpowiedź.

Dalej dalej mam komunikat o "oczekującej naprawie"

[picasso]

To nie wygląda na prawidłowe:

 

sfc /scannow /offbootdir=x:\ /offwindir=d:\windows

 

X podałam jako umowę, literą prawidłową należy podstawić. W środowisku zewnętrznym litera X jest przyznawana WinRE (moduł "Napraw komputer"), więc nie może to być litera partycji rozruchowej Windows. Pokaż zrzut ekranu z widoku Komputera otworzonego przez trik z Notatnikiem.

 

 

 

.

[bluedog]

nie wiem jak zrobić zrzut bez chociażby painta

 

mam

c: /zastrzeżone przez system 100MB

d: /partycja systemowa z windows 430GB

e: /partycja lokalna 500GB

x: /boot 30MB

[picasso]

nie wiem jak zrobić zrzut bez chociażby painta

 

Paint tam jest. Wklep w Wierszu polecenia mspaint i ENTER. A nawet gdyby go nie było, można przecież wywołać Paint tego martwego Windows uruchamiając polecenie D:\Windows\system32\mspaint.exe.

 

 

mam

c: /zastrzeżone przez system 100MB

d: /partycja systemowa z windows 430GB

e: /partycja lokalna 500GB

x: /boot 30MB

 

Czyli komenda to:

 

sfc /scannow /offbootdir=C:\ /offwindir=D:\windows

 

Jeśli nadal będą zażalenia "oczekiwań", sprawdź czy są poniższe pliki i je skasuj:

 

D:\Windows\WinSxS\pending.xml

D:\Windows\WinSxS\reboot.xml

 

 

.

[bluedog]

Próbowałem wcześniej, niestety D:\Windows\system32\mspaint.exe się nie odpala - bez komunikatu o jakimkolwiek błędzie.Dobrze, że notatnik śmiga

Musiałem usunąć D:\Windows\WinSxS\pending.xml

 

Skan zakończył się komunikatem "Funkcja ochrona zasobów systemu windows nie znalazła naruszeń integralności"

[bluedog]

odpaliłem ponownie kompa, przez chwilę pojawiło się "nie wyłączaj komputera, trwa konfigurowanie" i wszystko śmiga

 

Dzięki picasso

[picasso]

odpaliłem ponownie kompa, przez chwilę pojawiło się "nie wyłączaj komputera, trwa konfigurowanie" i wszystko śmiga

 

Skoro SFC nic nie znalazło, a zgłosił się komunikat "trwa konfigurowanie", to wnioskuję, że pomógł proces odwracania komendą dism:

 

X:\Sources>dism /image:d: /cleanup-image /revertpendingactions
 
Wersja narzędzia do obsługi obrazu wdrażania
i zarządzania nim: 6.1.7601.17514
 
Wersja obrazu: 6.1.7600.16385
 
Trwa wycofywanie oczekujących akcji z obrazu...
Operacja została wykonana. Wszelkie próby przywrócenia oczekujących akcji zostaną wykonane po ponownym rozruchu.
Operacja ukończona pomyślnie.

 

 

Próbowałem wcześniej, niestety D:\Windows\system32\mspaint.exe się nie odpala - bez komunikatu o jakimkolwiek błędzie.Dobrze, że notatnik śmiga

 

Kiedyś robiłam zrzuty ekranu w WinRE i Paint działał. Sprawdziłam to teraz. Rzeczywiście, nie działa Paint w WinRE Windows 7, za to w WinRE Vista bez problemu:

 

 

 

.

[bluedog]

muszę zmienić aktualizację w windows update na jakieś ręczne bo same się włączyło, tzn. "nie wyłączaj komputera, trwa konfigurowanie", restart i znów ten sam bsod.. ponowne użycie SFC po ponownym usunięciu xml'a i mam:

 

X:\Sources>sfc /scannow /offbootdir=c:\ /offwindir=d:\windows

 

Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu.

 

Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie

może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku

CBS.Log windir\Logs\CBS\CBS.log. Na przykład

C:\Windows\Logs\CBS\CBS.log

 

cbs.log ma 33MB, tu jest w 7zip

[picasso]

Wbrew temu co mówi komunikat, nie dowiesz się nic na temat SFC z tego podejścia i gdzie te "uszkodzone pliki" ani czy są to nagrania istotne. Do tego raportu nagrywa tylko SFC uruchomione spod Windows a nie spod WinRE. Poprzednim razem SFC nic nie robiło, więc ja nie sądzę, że SFC ma tu znaczenie do odblokowania systemu.

 

CBS.LOG ma za to inne dane, te uchwycone podczas fazy "nie wyłączaj komputera, trwa konfigurowanie". W CBS.LOG zwraca uwagę błąd Failed to pre-stage package z "cannot find file 'dpnet.dll' at path":

 

2012-12-15 00:01:03, Info    CBS    Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-1_neutral_LDR
2012-12-15 00:01:03, Info    CBS    Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-1_neutral_LDR, PinDeployment: amd64_a6f88d1d4c2ac9385c55d8fe69ef7a8d_31bf3856ad364e35_6.1.7601.22150_none_3471de6be9f1e0b8
2012-12-15 00:01:03, Info    CBS    Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-2_neutral_GDR
2012-12-15 00:01:03, Info    CBS    Exec: Staging Package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, Update: 2770660-2_neutral_GDR, PinDeployment: amd64_b24dbef509442257a9c04063ed98ae34_31bf3856ad364e35_6.1.7601.17989_none_0be4f1b1b7a47830
2012-12-15 00:01:03, Info    CBS    Calling client to resolve source, cannot find file 'dpnet.dll' at path: \\?\C:\Windows\SoftwareDistribution\Download\954c1f14441a67fc5808b112dc94bf5f\x86_microsoft-windows-directx-directplay8_31bf3856ad364e35_6.1.7601.22150_none_7b382dad36431856\dpnet.dll
2012-12-15 00:01:03, Error   CBS    Exec: Failed to pre-stage package: Package_1_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, file: dpnet.dll, source: \\?\C:\Windows\SoftwareDistribution\Download\954c1f14441a67fc5808b112dc94bf5f\x86_microsoft-windows-directx-directplay8_31bf3856ad364e35_6.1.7601.22150_none_7b382dad36431856\dpnet.dll, sandbox: (null) [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2012-12-15 00:01:03, Info    CBS    Failed to gather all required files. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2012-12-15 00:01:03, Info    CBS    Failed to gather all missing files for package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2012-12-15 00:01:03, Info    CSI    0000002c@2012/12/14:23:01:03.952 CSI Transaction @0x28e2270 destroyed
2012-12-15 00:01:03, Error   CBS    Failed to pre- stage package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0 [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2012-12-15 00:01:03, Info    CBS    Perf: Stage chain complete.
2012-12-15 00:01:03, Info    CBS    Failed to stage execution chain. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2012-12-15 00:01:03, Error   CBS    Failed to process single phase execution. [hrESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2012-12-15 00:01:03, Info    CBS    WER: Generating failure report for package: Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0, status: 0x800f081f, failure source: Stage, start state: Resolved, target state: Installed, client id: WindowsUpdateAgent

 

Z danych wynika, że łata KB2770660 ma uszkodzone komponenty. Wypróbuj w WinRE komendy usuwania pakietu:

 

dism /Image:D: /remove-package /packagename:Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0

 

 

.

[bluedog]

Operacja zakończona pomyślnie ale po ponownym rozruchu znów ten sam bsod.

Podczas pierwszego udanego rozruchu włączyłem przywracanie systemu i utworzyłem punkt zanim system się zaktualizował. Może spróbować coś zdziałać tam?

 

Po przywróceniu systemu i restarcie na ekranie z logo z windows miałem coś takiego "wykonywanie aktualizacji x z 20861 Registrymachnie..." kiedy doszło do x=20861 pojawił się ten sam bsod. Spróbuję uruchomić system w safe mode po przywróceniu

 

Podczas uruchamiania safe mode ładowanie plików windows zatrzymuje się na classpnp.sys, dysk chwilę mieli i ten sam bsod

[picasso]

Skoro przywróciłeś system, to i przywróciłeś usunięty komponent KB2770660. Wejdź do WinRE i wdróż te komendy ponownie:

 

dism /Image:D: /remove-package /packagename:Package_for_KB2770660~31bf3856ad364e35~amd64~~6.1.1.0

 

+

 

dism /Image:D: /Cleanup-Image /RevertPendingActions

 

Upewnij się, że nie ma żadnego pliku pending.xml. I po tym sprawdź czy do Windows da się wejść.

 

 

 

PS. bluedog proszę używaj opcję Edytuj do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, zamiast post pod postem. Wszystkie posty powyżej sklejam w jeden.

 

 

.

[bluedog]

Wybacz i dzięki za cenne uwagi - bardzo rzadko wypowiadam się na forach..

 

Obie komendy zakończyły się pomyślnie. Niestety po restarcie ten sam bsod

[picasso]

Hmmm, to może mi dorzuć do analizy rejestr. Spod WinRE przekopiuj plik D:\Windows\system32\config\SYSTEM na jakiś nośnik. Zapakuj do ZIP, shostuj gdzieś i wyślij mi link do paczki. Zastrzegam: szybko nie dam rady tego przejrzeć.

 

 

 

.

[bluedog]

Domyślam się, że nie jest to prosta sprawa i podziwiam..

Będę bardzo wdzięczny jeśli uda się uchronić system przed reinstalacją. Link do paczki ślę na PM

[picasso]

Niestety z rejestru nic nie wynika. Podaj spis wystąpień plików specyfikowanych w kluczu KnownDLLs, jakie mają sumy kontrolne. Uruchom z poziomu WinRE FRST x64. W linii Search wpisz tę długą listę (pliki rozdziela średnik i nie ma spacji nigdzie):

 

clbcatq.dll;ole32.dll;advapi32.dll;COMDLG32.dll;gdi32.dll;IERTUTIL.dll;IMAGEHLP.dll;IMM32.dll;kernel32.dll;LPK.dll;MSCTF.dll;MSVCRT.dll;NORMALIZ.dll;NSI.dll;OLEAUT32.dll;PSAPI.DLL;rpcrt4.dll;sechost.dll;Setupapi.dll;SHELL32.dll;SHLWAPI.dll;URLMON.dll;user32.dll;USP10.dll;WININET.dll;WLDAP32.dll;WS2_32.dll;difxapi.dll

 

Klik w Search File(s). Przedstaw wynikowy log Search.txt utworzony w tym samym katalogu z którego uruchamiano FRST.

 

Drobna uwaga: FRST tymczasowo przemapowuje litery i Windows poprzednio na D będzie widziany na C. Ale to tylko tymczasowe. Reset kompa i już wszystko wróci do stanu początkowego.

 

 

 

.

[bluedog]

Zrobię to jak tylko będę miał chwilę. Mam nową informację co do scenariusza przed wystąpieniem bsod'a: zasilanie komputera zostało wyłączone podczas instalowania aktualizacji przed zamknięciem systemu.

 

Przy próbie przeklepania w polu tekstowym mieści mi się tylko w całości do IERTUTIL.dll

[picasso]

Przy próbie przeklepania w polu tekstowym mieści mi się tylko w całości do IERTUTIL.dll

 

To podziel skan na części, tyle ile się zmieści maksymalnie za każdym podejściem. FRST nadpisze logi, więc po każdym skanie kopiuj raport w inne miejsce.

 

 

 

.

[bluedog]

logi spakowane tu

[picasso]

Ale to są złe logi. Zrobiłeś 5 identycznych raportów z opcji Scan, a miałeś w oknie wpisać warunki do szukania i kliknąć w Search File(s).

 

Na razie z tych 5 logów to mam potwierdzenie modyfikacji tych plików KnownDLLs:

 

==================== Known DLLs (Whitelisted) =================
 
[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () C:\Windows\System32\IERTUTIL.dll
[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () C:\Windows\SysWOW64\IERTUTIL.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () C:\Windows\System32\URLMON.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () C:\Windows\SysWOW64\URLMON.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () C:\Windows\System32\WININET.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () C:\Windows\SysWOW64\WININET.dll

 

Oraz, że jest większa ilość plików świeżo utworzonych bez sygnatury MS:

 

==================== One Month Created Files and Folders ========
 
2012-12-13 18:32 - 2012-11-14 07:04 - 01392128 ____A C:\Windows\System32\wininet.dll
2012-12-13 18:32 - 2012-11-14 07:04 - 01346048 ____A C:\Windows\System32\urlmon.dll
2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll
2012-12-13 18:32 - 2012-11-14 06:55 - 02144768 ____A C:\Windows\System32\iertutil.dll
2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl
2012-12-13 18:32 - 2012-11-14 02:57 - 01129472 ____A C:\Windows\SysWOW64\wininet.dll
2012-12-13 18:32 - 2012-11-14 02:57 - 01103872 ____A C:\Windows\SysWOW64\urlmon.dll
2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll
2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll
2012-12-13 18:32 - 2012-11-14 02:46 - 01793024 ____A C:\Windows\SysWOW64\iertutil.dll

 

 

 

.

[bluedog]

Sorki, nie doczytałem sumy kontrolne spakowane tu

[picasso]

Uszkodzone są komponenty Internet Explorer w wersjach 9.4.8112.16457 + 9.4.8112.20565 i to wszystkie wystąpienia, dlatego SFC pada (nie ma plików w repozytorium do zamiany):

 

[codeplain]C:\Windows\System32\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3

C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3

C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 04:54] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3

C:\Windows\SysWOW64\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF

C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF

C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll
[2012-12-13 18:32] - [2012-11-14 02:27] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF


C:\Windows\System32\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA

C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA

C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 05:01] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA

C:\Windows\SysWOW64\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823

C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823

C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll
[2012-12-13 18:32] - [2012-11-14 02:34] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823


C:\Windows\System32\wininet.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll
[2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll
[2012-12-13 18:32] - [2012-11-14 05:01] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944

C:\Windows\SysWOW64\wininet.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61

C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll
[2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61

C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll
[2012-12-13 18:32] - [2012-11-14 02:33] - 1129472 ____A () BAF0E76D30D3A0E7BE5508D36F95A89E[/codeplain]

Dla porównania układ z mojego systemu x64 i ten będę wzorować:

[codeplain]========== Filefind ==========

Searching for "IERTUTIL.dll"
C:\Windows\System32\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [05:55 14/11/2012] A0F52880DDD164F968BE903C1FECD27E
C:\Windows\SysWOW64\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:46 14/11/2012] 780E80E5502015EDAEC91DC0A0C96A79

C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [05:55 14/11/2012] A0F52880DDD164F968BE903C1FECD27E
C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll --a---- 2144768 bytes [22:53 13/12/2012] [03:54 14/11/2012] B44FC029AAEEB5043A75A5E865BA1B11
C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:46 14/11/2012] 780E80E5502015EDAEC91DC0A0C96A79
C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll --a---- 1793024 bytes [22:53 13/12/2012] [01:27 14/11/2012] 9B35FC2316CBF198E5EEA405D96777F2

Searching for "URLMON.dll"
C:\Windows\System32\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [06:04 14/11/2012] 1DBA462CF92D890D8F8E6472E7E8B4B4
C:\Windows\SysWOW64\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:57 14/11/2012] 4266A3230981DD4434C55957F6DD497D

C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [06:04 14/11/2012] 1DBA462CF92D890D8F8E6472E7E8B4B4
C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll --a---- 1346048 bytes [22:53 13/12/2012] [04:01 14/11/2012] 11E2F7523DC8E38A341577AA367EFEC0
C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:57 14/11/2012] 4266A3230981DD4434C55957F6DD497D
C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll --a---- 1103872 bytes [22:53 13/12/2012] [01:34 14/11/2012] 9AAC0C7C0640CC09DC970F4D4C723119

Searching for "WININET.dll"
C:\Windows\System32\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [06:04 14/11/2012] 5121DB613E10A46A3C5085B479026AA7
C:\Windows\SysWOW64\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:57 14/11/2012] 7FA3A810F383588D46220967DE8B64FF

C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [06:04 14/11/2012] 5121DB613E10A46A3C5085B479026AA7
C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll --a---- 1392128 bytes [22:53 13/12/2012] [04:01 14/11/2012] 5CAF48F12E8CBD96D520F4EFD5B97F76
C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:57 14/11/2012] 7FA3A810F383588D46220967DE8B64FF
C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll --a---- 1129472 bytes [22:53 13/12/2012] [01:33 14/11/2012] 0635D714351F842D43EA184E75C4A3FF[/codeplain]

1. Przesyłam paczkę plików: KLIK. Jest ona rozparcelowana wedle bitów i wersji komponentów. Nie zmieniaj tego układu, bo to do skryptu idzie. Folder z tej paczki z poziomu WinRE wstaw wprost na dysk z Windows, czyli D:\. Ma być dostępna spod WinRE ścieżka D:\Pliki z układem jaki tam zaplanowałam.

2. Skrypt zamieniający pliki. Skrypt ma ścieżki C, bo FRST przemontowuje litery. Do Notatnika wklej:

CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\System32\iertutil.dll
CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll
CMD: copy /y C:\Pliki\x64\20565\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll
CMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\System32\urlmon.dll
CMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll
CMD: copy /y C:\Pliki\x64\20565\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll
CMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\System32\wininet.dll
CMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll
CMD: copy /y C:\Pliki\x64\20565\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll
CMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\SysWOW64\iertutil.dll
CMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll
CMD: copy /y C:\Pliki\x86\20565\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll
CMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\SysWOW64\urlmon.dll
CMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll
CMD: copy /y C:\Pliki\x86\20565\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll
CMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\SysWOW64\wininet.dll
CMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll
CMD: copy /y C:\Pliki\x86\20565\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll

Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.

3. Uruchom FRST i w narzędziu wybierz opcję Fix. Zostanie przetworzony skrypt i powstanie log fixlog.txt. Zaprezentuj go. Jeśli wszystko się wykona w skrypcie, start systemu powinien zostać odblokowany.

4. Pozostaje sprawa innych uszkodzonych plików, spoza KnownDLLs, bo wg głównego loga FRST jeszcze te pliki zostały zmodyfikowane:

[codeplain]2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll
2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl
2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll
2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll[/codeplain]

Dodaj szukanie na warunek:

jsproxy.dll;inetcpl.cpl;url.dll

 

 

 

.

[bluedog]

fixlog.txt

Search.txt

 

Start systemu przywitał mnie komunikatem:

"Niepowodzenie konfiguracji aktualizacji. Trwa wycofywanie zmian.."

 

Potem pojawił się panel wyboru użytkowników

 

Po zalogowaniu komunikat o "Odzyskaniu sprawności po poważnym będzie" (w szczegółach jest blue screen i ścieżka do minidumpa)

[picasso]

Kolejne pliki wykazują ten sam typ uszkodzeń:

 

C:\Windows\SysWOW64\inetcpl.cpl
[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346
 
C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl
[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346
 
C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl
[2012-12-13 18:32] - [2012-11-14 02:33] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346
 
C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl
[2012-12-13 18:32] - [2012-11-14 04:59] - 1494528 ____A () 2CE9B5379279DB37CEE6C216735F39AD
 
 
C:\Windows\SysWOW64\jsproxy.dll
[2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69
 
C:\Windows\System32\jsproxy.dll
[2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158
 
C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll
[2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69
 
C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll
[2012-12-13 18:32] - [2012-11-14 02:31] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69
 
C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll
[2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158
 
C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll
[2012-12-13 18:32] - [2012-11-14 04:57] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158
 
 
C:\Windows\SysWOW64\url.dll
[2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE
 
C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll
[2012-12-13 18:32] - [2012-11-14 02:32] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE
 
C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll
[2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE
 
C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll
[2012-12-13 18:32] - [2012-11-14 04:59] - 0237056 ____A () 625E3E643559D386D809FC1F29B94496

 

Runda poprawkowa:

 

1. Kolejna paczka: KLIK. Jak poprzednio D:\Pliki.

 

2. Skrypt do FRST uruchomiony w ten sam sposób:

 

CMD: copy /y C:\Pliki\x64\20565\inetcpl.cpl C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl
CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\System32\jsproxy.dll
CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll
CMD: copy /y C:\Pliki\x64\20565\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll
CMD: copy /y C:\Pliki\x64\20565\url.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll
CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\SysWOW64\inetcpl.cpl
CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl
CMD: copy /y C:\Pliki\x86\20565\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl
CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\SysWOW64\jsproxy.dll
CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll
CMD: copy /y C:\Pliki\x86\20565\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll
CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\SysWOW64\url.dll
CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll
CMD: copy /y C:\Pliki\x86\20565\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll

 

 

Jeśli zadania się wykonają, myślę że to koniec zmagań i temat rozwiązany. W dalszej kolejności zrób zapasowy punkt Przywracania systemu, a następnie zapuść wyszukiwanie + instalację aktualizacji. Poprzednio mieszał użytkownik doprowadzając do uszkodzenia plików na dysku:

 

Mam nową informację co do scenariusza przed wystąpieniem bsod'a: zasilanie komputera zostało wyłączone podczas instalowania aktualizacji przed zamknięciem systemu.

 

 

.