Skocz do zawartości

Czarny ekran po uruchomieniu


bpm

Rekomendowane odpowiedzi

Dzień dobry,

 

komputer z systemem Windows XP, po uruchomieniu BIOS przeprowadza test prawidłowo, po czym zamiast ekranu bootowania ekran jest czarny. Z informacji jakie dostałem, wynika że system był zainfekowany, dlatego temat jest rozpoczęty w tym dziale.

 

Skan za pomocą Kaspersky Rescue Disk pokazał tylko jedną infekcję trojanem jednak nie dało to nic, ekran nadal pozostawał czarny.

 

Uruchomienie OTLPE w pierwszym momencie wyświetliło błąd:

 

"RunScanner Error

Registry Access Error, ret=1009

The configuration registry database is corrupt"

 

Dokonałem więc podmiany plików: DEFAULT; SAM; SECURITY; SOFTWARE; SYSTEM; z C:\WINDOWS\Repair do C:\WINDOWS\system32\config

 

Po tym system się uruchomił, jest ekran bootowania, a po załadowaniu system woła o aktywację czyli jest efekt. Po tym dało się już zrobić skan z OTLPE, który wklejam oraz proszę o analizę:

 

OTLPE

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Uruchomienie OTLPE w pierwszym momencie wyświetliło błąd:

 

"RunScanner Error

Registry Access Error, ret=1009

The configuration registry database is corrupt"

 

Wnioski: problemem był uszkodzony rejestr i niekoniecznie z winy infekcji (której notabene nie sposób teraz stwierdzić). Może to być pochodna błędów na dysku, bo w raporcie widać odcinki wynikowe pracy checkdisk:

 

[2012/11/27 11:45:00 | 000,000,000 | -HSD | C] -- C:\found.002

 

 

Dokonałem więc podmiany plików: DEFAULT; SAM; SECURITY; SOFTWARE; SYSTEM; z C:\WINDOWS\Repair do C:\WINDOWS\system32\config

 

+

 

Po tym dało się już zrobić skan z OTLPE, który wklejam oraz proszę o analizę:

 

Podstawiłeś cały rejestr czystą kopią zrobioną zaraz po instalacji systemu. Połowa raportu to rejestr, czyli nic z tego się nie dowiem, oglądam dane pochodzące z bardzo dawna. Jedyne dane pochodzące sprzed podmiany rejestru to skan plików na dysku, a tam nie za bardzo widać, by chodziło o "trojany". Do usunięcia tylko te drobne szczątki adware i dziwne zaplanowane zadania:

 

[2012/05/29 07:36:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon

[2012/10/16 13:55:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\bProtectorForWindows

[2012/07/27 09:21:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SweetIM

[2012/07/27 09:24:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer

[2012/12/06 06:30:44 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job

[2012/12/06 06:30:44 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job

[2012/12/06 06:30:44 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job

[2012/12/06 06:30:44 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job

[2012/11/28 15:17:22 | 000,000,262 | ---- | M] () -- C:\WINDOWS\Tasks\SpeedUpMyPC.job

 

Te obiekty nie mogą mieć żadnego związku z usterką zasadniczą, nie ta skala zagadnienia.

 

 

.

Odnośnik do komentarza
Wnioski: problemem był uszkodzony rejestr i niekoniecznie z winy infekcji;

 

Do usunięcia tylko te drobne szczątki adware i dziwne zaplanowane zadania. Te obiekty nie mogą mieć żadnego związku z usterką zasadniczą, nie ta skala zagadnienia.

 

Ok usunięte. Czyli mam rozumieć, że teraz trzeba wykonać opcję naprawy rejestru z Konsoli?

Odnośnik do komentarza
Czyli mam rozumieć, że teraz trzeba wykonać opcję naprawy rejestru z Konsoli?

 

Nie rozumiem o czym mówisz. Przecież pliki rejestru podmieniłeś tymi z Repair (równoznaczne z naprawą rejestru), to co Ty chcesz "naprawiać" (nie ma czego), a to czy ręcznie z OTLPE było zrobione czy z Konsoli Odzyskiwania = nie ma żadnego znaczenia.

 

 

 

.

Odnośnik do komentarza

No tak ja to rozumiem doskonale że to jest to samo z OTLPE czy z Konsoli, ale to jest chyba dopiero pierwszy krok, żeby wszystko normalnie chodziło. Przecież nie przywrócę z powrotem kopii uszkodzonego rejestru, którą mam zrobioną, tylko trzeba go przywrócić z C:\System Volume Information o to mi właśnie chodzi. Może źle to ująłem, ale przecież wszystko jest tutaj:

 

https://www.fixitpc.pl/topic/48-konsola-odzyskiwania-naprawianie-windows/

Odnośnik do komentarza

O ile Przywracanie systemu było włączone i jest w ogóle punkt starszy niż usterka:

 

1. Zastartuj na ten komputer z płyty OTLPE. Z Pulpitu uruchom My Computer. Wejdź na dysk z Windows do katalogu, gdzie Przywracanie systemu trzyma swoje pliki, czyli C:\System Volume Information.

 

2. W katalogu tym są różne punkty Przywracania, a są zbudowane wg schematu:

 

C:\System Volume Information\_restore{numerki}\RPX\Snapshot

 

Masz wybrać ten punkt Przywracania, który nie jest najnowszy i jest datowany na okres sprzed wystąpienia problemu. W środku są pliki (na pomarańczowo rejestr systemu, na niebiesko rejestr użytkownika):

 

_REGISTRY_USER_.DEFAULT

_REGISTRY_MACHINE_SECURITY

_REGISTRY_MACHINE_SOFTWARE

_REGISTRY_MACHINE_SYSTEM

_REGISTRY_MACHINE_SAM

_REGISTRY_USER_NTUSER_S-1-5-21-bardzo-długi-numerek

 

Skopiuj je do tymczasowo utworzonego folderu np. C:\TMP. Zmień im nazwy korespondująco na: DEFAULT, SECURITY, SOFTWARE, SYSTEM, SAM, NTUSER.DAT

 

3. Plikami pomarańczowymi masz podstawić pliki w C:\WINDOWS\system32\config, zaś niebieskim w C:\Documents and settings\Twoje konto. Wykonaj kopię zapasową plików zastępowanych!

 

4. Resetujesz komputer.

 

 

.

Odnośnik do komentarza

Owszem, nie jest dobrze i świadczy o tym, że nie ma prawidłowego punktu Przywracania systemu (to może też wyjaśniać poprzednie problemy z uruchomieniem systemu = brak części rejestru) i raczej musisz się pogodzić z kopią z Repair. Jeśli wymienisz tylko część plików z System Volume Information, ale nie SYSTEM (konfig sprzętowy) + SAM (baza kont i haseł), rejestr będzie "mieszany" i rozsynchronizowany. Już lepiej zostawić tak jak było na początku po Twojej operacji = tylko pliki z Repair użyte, a po tym po prostu przeinstalować sterowniki i programy.

 

 

PS. Temat przenoszę do działu XP. Tu są dywagacje dalekie od infekcji.

 

 

.

Odnośnik do komentarza

No tak masz rację. Czyli wygląda na to, że temat jest zakończony i do zamknięcia. Dziękuję za pomoc.

 

Z szybkich obserwacji zauważyłem, że lista Dodaj/Usuń programy pozostaje pusta. Nie pomógł też ten sposób:

 

regsvr32 mshtml.dll

regsvr32 shdocvw.dll -i

regsvr32 shell32.dll -i

 

Za pierwszym razem jak go uruchomiłem, wołał o aktywację, zdziwiłem się trochę, że teraz już nie.

Odnośnik do komentarza
Z szybkich obserwacji zauważyłem, że lista Dodaj/Usuń programy pozostaje pusta.

 

No tak, ale czy to nie jest tu normalne? Przecież wstawiłeś plik SOFTWARE z kopii Repair, która nie posiada żadnych wpisów doinstalowanych aplikacji, blank. Po przywróceniu takiego rejestru trzeba zainstalować ponownie: aktualizacje, programy, sterowniki...

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...