Skocz do zawartości

BSOD po odinstalowaniu IE9


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pierwsze co zrobiłem to właśnie sprawdziłem kości, ponadto obie wyjąłem i wsadziłem "nową" z innego źródła. Później test dysku, hdd regenerator nic nie znalazł. W wersji Live Linuxy się uruchamiają, Hire Boot również. Partycja dysku nie jest uszkodzona, można normalnie ją przeglądać. Ze zdobytych informacji od znajomego po części użytkownika komputera mówił, że odinstalował IE9, bo żona nie mogła się połapać w nowej przeglądarce.

Odnośnik do komentarza
został odinstalowany IE9, ponowne uruchomienie i wyskakuje BSOD z błędem 0x000000050 PAGE_FAULT_IN_NONPAGED_AREA.

Tryb awaryjny, ostatnia dobra konfiguracja to samo. Uda się go jakoś ożywić bez reinstalacji?

 

+

 

Pierwsze co zrobiłem to właśnie sprawdziłem kości, ponadto obie wyjąłem i wsadziłem "nową" z innego źródła. Później test dysku, hdd regenerator nic nie znalazł.

 

Ja tu bym spróbowała jeszcze najprostszej opcji w świecie: Przywracanie systemu uruchomione z poziomu WinRE. O ile oczywiście Przywracanie było włączone i jest punkt sprzed akcji ....

 

 

PS. HDD Regenerator nie jest tu polecany (KLIK). Od tego jest MHDD.

 

 

 

.

Odnośnik do komentarza

Proponuję z poziomu PEImg wylistować zainstalowane pakiet (oczywiście PEImg odpalane z winPE/winRE).

A może byś wyjaśnił jaśniej jak on ma to zrobić? Nie ma możliwości listowania czy tym bardziej modyfikacji zdalnej zainstalowanych systemów tak się to robi z obrazami *.wim - nie da się.Ani PEImg czy DISM czy cokolwiek innego nie da się użyć zdalnie na zainstalowany system - można go użyć albo na lokalny system albo na obraz (uprzednio podmontowany).

Odnośnik do komentarza

Dla systemu lokalnego służy oczywiście przełącznik /online tego programu.

Natomiast zaręczam Ci, że z poziomu WinPE (i z innego zainstalowanego na danej maszynie lokalnego systemu oprócz "obrabianego" pewnie też) możesz obsłużyć zainstalowany system w sposób identyczny jak podmontowany wim (czyli jak to określiłeś zdalnie), u siebie właśnie w ten sposób integrowałem IE9 (przy okazji usuwając resztki po IE8) bez najmniejszych problemów.

Żeby nie wyszło, że robię z gęby cholewę oto zrzut z takiej operacji zrobiony przed momentem na maszynie wirtualnej:

 

wynik użycia komendy:

 

dism /image:c: /get-packages /format:table

 

 

windows720110701200634.th.png

 

 

Ale oczywiście nie dam sobie głowy uciąć, że taką możliwość dawał też peimg (nie mam Visty pod ręką), na pewno Dism nie obsłuży pod tym względem Visty natomiast ja z PEImg bym spróbował.

 

pzdr

 

edit

ok. mój błąd - jak @picasso zauważyła "zżarło" mi slasha -> poprawiono

Odnośnik do komentarza

Wspomnę jeszcze, że badany sprzęt to laptop z systemem MS Vista.

@picasso - log w załączniku

@Flavius - z wywiadu wiem, że system nie był modyfikowany optymalizatorami, ale za to może być zainfekowany/zaśmiecony

 

Uruchomiłem ponownie WinRE i jeszcze raz spróbowałem funkcji "napraw system automatycznie". Po chwili zwrotna informacja, że system został naprawiony. Restart. Uruchomienie w trybie normalnym systemu. Zamiast BSOD po pasku ładowania mam tylko czarny ekran. Próba uruchomienia w trybie awaryjnym/linii komend daje podobny rezultat (czarny ekran) z tym, że mam widoczny i aktywny kursor myszki.

OTL.Txt

Odnośnik do komentarza

Flavius

 

Bo z poziomu płyty instalacyjnej w WinRE taki jest o to finał:

 

Zreplikowany błąd w komendzie. Zabrakło /image:d:. Wyniki z poziomu bootującej płyty WinRE:

 

winredism.th.png

 

 

kosa351

 

W OTLPE "najgrubsza" rzecz oparta na sterownikach rzucająca się w oczy to Kaspersky. Rozważam próbną deaktywację sterowników Kasperskiego z poziomy WinRE. Ale:

 

z wywiadu wiem, że system nie był modyfikowany optymalizatorami, ale za to może być zainfekowany/zaśmiecony

 

Jakie są podstawy, by tak sądzić?

 

 

.

Odnośnik do komentarza

Jakie są podstawy, by tak sądzić?

Opiera to tylko na informacjach, które dostałem czyli: od zakupu nic nie było robione (czytaj ze 2 lata), a użytkuje go osoba, która nie dba o konserwację, bezpieczeństwo i czystość systemu. Ponadto standardowa regułka a ostatnim czasy jakoś tak wolno chodził, długo się wszystko uruchamia. Są więc i podstawy, że system mógł ulec jakiejś infekcji.

Odnośnik do komentarza
Są więc i podstawy, że system mógł ulec jakiejś infekcji.

 

W logu nie widzę ani śladu infekcji, tylko MBR nie jest sprawdzone.

 

Na próbę tego KIS wyłączmy w części stricte usługowej (+ zdjęcie filtra z myszki, w logu jest klmouflt Kasperskiego filtrujący urządzenie), to zawsze będzie można odkręcić. Na razie nie ruszę zapisów rejestru późniejszej fazy (Winlogon / AppInit_DLLs / Run). Pobierz narzędzie FRST, zapisz na pendrive razem z plikiem o nazwie fixlist.txt o następującej zawartości:

 

DisableService: KLIF
DisableService: klbg
DisableService: klmouflt
DisableService: KLIM6
DisableService: kl1
DisableService: AVP
Reg: REG ADD HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f

 

Startujesz do WinRE, uruchamiasz FRST i klik w Fix. Na pendrive powstanie log. Jeśli wszystkie komendy będą mieć oznaczenie pomyślności, spróbuj wejść do Windows....

 

 

 

.

Odnośnik do komentarza

Witam. Próba podjęta. Dalej czarny ekran. Log:

 

Fix result of Farbars's Recovery Tool (FRST written by farbar Version 2.1.2)

Ran by SYSTEM at 2011-06-19 10:05:42 R:1

Running from F:\

 

==============================================

 

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KLIF was disabled

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\klbg was disabled

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\klmouflt was disabled

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KLIM6 was disabled

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kl1 was disabled

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AVP was disabled

 

========= REG ADD HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f =========

 

The operation completed successfully.

 

 

========= End of Reg: =========

Odnośnik do komentarza

Sprawdź system pod kątem rootkitów w MBR https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__view__findpost__p__6814

 

Ponadto sprawdź czy masz takie pliki *.DMP

 

C:\Windows\MEMORY.DMP

C:\Windows\Minidump\*.DMP

 

Cokolwiek o rozszerzeniu *.DMP.Jeśli tak to spakuj plikuj,shostuj gdzieś i wklej linka do shostowanych plików.

 

 

PS.No cóż co do komendy DISM to zarówno poprzednio jak i teraz musiałem coś źle robić i dlatego nie mi nie wychodziło :lol: .

Odnośnik do komentarza

Spróbujmy inaczej .Spróbuj jeszcze raz uruchomić system,przy starcie wcisnąć F8 i wybrać opcję śledzenia bootowania (w angielskiej wersji tj "Enable boot logging" - nie pamiętam jak to jest napolskiej) http://www.vistax64.com/tutorials/88009-advanced-boot-options.html

 

Chyba w ten sposób powinno się udać wygenerować plik ntbtlog.txt w folderze C:\Windows ,jesli tak to dostarcz ten plik.

Odnośnik do komentarza
Uruchomienie w trybie normalnym systemu. Zamiast BSOD po pasku ładowania mam tylko czarny ekran. Próba uruchomienia w trybie awaryjnym/linii komend daje podobny rezultat (czarny ekran) z tym, że mam widoczny i aktywny kursor myszki.

 

Czyli przechodzi boot screen. Jeszcze jedno mi się nasunęło, tzn. możliwa wada usługi RpcSs. Co dopiero rozwiązywałam podobną sprawę dla kogoś (czarny ekran z kursorem po użyciu narzędzi usuwających malware, występujący po boot screenie i ekran logowania się nie zgłasza). Ten szczególny defekt polegał na całkowitym braku uprawnień do podklucza Parameters punktującego moduł usługi. To nie jedyne co może w kluczu tej usługi generować czarny ekran (też błędne konto systemowego etc.). W związku z tym może pokaż nam po prostu rejestr w całości, łatwiej będzie sprawdzić koncepcję.

 

Z poziomu WinRE / OTLPE skopiuj z katalogu C:\Windows\system32\config pliki SYSTEM i SOFTWARE, zapakuj do ZIP i podeślij tu nam.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...