Здравствуйте, подскажите, пожалуйста, как восстановить систему после следующей ошибки:
STOP: c000021a {Fatal system error}
The verification of a KnownDLL failed. System process terminated unexpectedly with a status of 0xc000012f (0x00bebbf0 0x00000000). The system has been shut down.

Безопасный режим и последняя удачная конфигурация не грузятся, точек восстановления нет. Chkdsk ошибок не находит. Пробовал из среды восстановления запустить sfc /scannow /offbootdir=C:\ /offwindir=C:\windows но требует перезагрузку и после перезагрузки аналогично, соответственно, запустить sfc не удалось. Также пробовал проверить с помощью Live CD Dr.Web - тоже пусто. Ветки реестра SYSTEM и SOFTWARE восстановил из RegBack, безрезультатно.
Прикрепляю ntbtlog.txt, выгрузки кустов реестра HKEY_LOCAL_MACHINE\ControlSet001\Control\Session Manager\KnownDLLs и HKEY_LOCAL_MACHINE\ControlSet002\Control\Session Manager\KnownDLLs (форум не позволяет прикрепить такие больше txt файлы, поэтому всё в архиве).

snpru, вариантов особо не вижу, можно попробовать тупо заменить все по списку в KnownDLLs из дистрибутива:
Извлечение файлов Windows 7 из дистрибутива (http://www.wseven.info/mount-dism/)

вариантов особо не вижу, можно попробовать тупо заменить все по списку в KnownDLLs из дистрибутива: »
Заменил всё по списку, без изменений, что весьма странно...

Досталась машина из организации, а там была XP со вторым пакетом обновления.. Я скачал с сайта майкрософт SP3, он установился, после перезагрузки мне появляется: c0000021a
В безопасном режиме всё изумительно работает.....
Подскажите что может быть виной?.... ну понятно что sp3 и что-то несовместимое, но как это выследить?

DimonNT, попробуйте рекомендации
Как определить, является проблема системной или вызвана сторонним приложением/службой (http://www.outsidethebox.ms/10368/)

Petya V4sechkin, Забыл сказать, победил заразу, оказался драйвер от крипто-про, и что сделал? Да вот что:
1 - Переименовал файл: cproctrl.sys в cproctrl.sys.bak, и система стартанула как миленькая
2 - Переименовал обратно, и загрузился компьютер идеально)) бред какой-то...

Здравствуйте.
Помогите, пожалуйста, восстановить систему.
При загрузке Win 7 Ultimate 32b получал BSOD:
STOP: c00021a Fatal System Error
The verification of a knowndll failed.
Перепробовал много всего.
В knowndll нашел 2 файла 0 размера (urlmon и msctf). Поменял. В корне System32 нашел ещё один 0й dll с датой последнего успешного запуска ОС (vssapi). Поменял.
Теперь BSOD нет. Система запускается, но с массой ошибок.
Мало что работает, службы и приложения не запускаются.
Ругается на iertutil.dll.
Запускаю установщик IE11, говорит уже установлен. Включение/отключение компонентов Windows не запускается.
Пробовал накатить обновления с помощью WSUS Offline, процесс стопорится после первой перезагрузки на этапе проверки ID обновлений.
SFC не помогает. DISM выдает ошибку (пробовал много вариантов параметров, все не припомню конкретно).
Точек восстановления нет. Был только regbackup, но он не помог. Видимо винда сильно побита.
Запуск установки поверх предлагает онлайн обновить систему, но обновления не скачиваются.

Что ещё можно попробовать?

r760ee, в командной строке (cmd.exe) от имени Администратора (http://www.oszone.net/4331#5) выполните:
sfc /scannow
Перезагрузитесь и выложите лог \Windows\Logs\CBS\CBS.log в архиве.

Petya V4sechkin,
Из работающей системы ошибка: защите ресурсов windows не удается запустить службу восстановления.
Из среды восстановления пишет, что не может восстановить некоторые файлы.
Оба результата в архиве.

r760ee, повреждены:
C:\Windows\System32\adsldp.dll
C:\Windows\System32\wbengine.exe
C:\Windows\System32\diagperf.dll
C:\Windows\System32\calc.exe
C:\Windows\System32\xolehlp.dll
C:\Windows\System32\ole2.dll
C:\Windows\System32\dxdiagn.dll
C:\Windows\System32\devenum.dll
C:\Windows\System32\FntCache.dll
C:\Windows\System32\d3d10core.dll
C:\Windows\System32\FXSXP32.dll
C:\Windows\System32\ActionCenter.dll
C:\Windows\System32\urlmon.dll
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\iertutil.dll
C:\Windows\System32\ie4uinit.exe
C:\Windows\System32\msiexec.exe
C:\Windows\System32\mctadmin.exe
C:\Program Files\Common Files\System\ado\msjro.dll
C:\Windows\System32\msvbvm60.dll
C:\Windows\System32\msvcirt.dll
C:\Windows\System32\NlsData0026.dll
C:\Windows\System32\xmlprovi.dll
C:\Windows\System32\lltdsvc.dll
C:\Windows\System32\notepad.exe
C:\Windows\System32\pla.dll
C:\Windows\System32\PeerDistSvc.dll
C:\Windows\System32\RacEngn.dll
C:\Windows\System32\wscui.cpl
C:\Windows\System32\sysmain.dll
C:\Windows\System32\sqlceqp30.dll
C:\Windows\System32\wsqmcons.exe
C:\Windows\System32\msctf.dll
C:\Windows\System32\schedsvc.dll
C:\Windows\System32\w32tm.exe
C:\Windows\System32\VSSVC.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\wwancfg.dll
C:\Windows\System32\XpsFilt.dll
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe
C:\Program Files\Windows Defender\MpSvc.dll
mscorlib.resources.dll
segoescb.ttf
CbsCore.dll
vssapi.dll
mfc80.dll
comctl32.dll
I386\CNBP_340.DLL

Можете заменить вручную:
взять файлы, например из дистрибутива:
Извлечение файлов Windows 7 из дистрибутива (http://www.wseven.info/mount-dism/)
получить доступ (http://forum.oszone.net/thread-129646.html) и скопировать.

Petya V4sechkin,
Заменил почти все за исключением тех, что в конце списка.
Ошибок меньше. Но на iertutil.dll также ругается (очень много всего завязано на эту dll), обновление не работает, IE не открывается, поверх система не ставится, sfc и dism не отрабатывают.

что-то ещё можно предпринять?

может есть какой скрипт восстановления/перерегистрации компонентов IE?

Доброго времени!

Проблема:
STOP: C000021A
The Session Manager faied to create protected prefixes system process terminated enexpectedly with a status of 0xc000003a (0x00000000 0x000000000).
The system has been shot down.

Конфигурация:
Win7 x64 Pro, около 5 лет, уже как год обновления отключены, актуальных точек восстановления нет. Переустанавливать не могу, очень много установленных программ.

История:
Из за специфики работы, часто приходилось не выключать, а усыплять систему (максимум неделю без перезагрузки). В один из таких циклов стал замечать визуальные проблемы в работе Explorer, а после перезагрузки система стала виснуть на логотипе.

В Безопасном режиме загрузка останавливалась на одном из *.sys. Через вторую новую Win7 обнаружил, что не хватает около 30 таких драйверов. Особого значения этому не придал, скопировал недостающие. Загрузка чуть продвинулась, но после логотипа непременно стал появлялся BSOD с000021a.

Еще пару раз в режиме восстановления погонял SFC и CHKDSK, после чего скопировал все данные с диска на новый и продолжил работать уже с копией (CrystalDisk показал что оригинальный диск имеет некоторые риски). Через MSDART попробовал восстановить систему. Подменял и возвращал обратно реестр через RegBack. Пробовал записать дамп, но т.к. в системе был запрещен файл подкачки, получить его не смог. Так же и CBS.log не обновлялся с момента последней удачной загрузки.

Вычитал что одно из решений - загрузка с отключением проверки цифровой подписи. Данный режим до этого почему то игнорировал, но именно этот способ помог хоть как то со скрипом загрузиться. Сразу после загрузки Windows мне напомнил, что пользуюсь неактивированной версией (до этого Win7 был сломан через Windows Loader by Daz). Поставил актуальные обновления. Утилитой sigverif.exe выяснил что помимо потерянных *.sys еще отсутствуют почти все файлы в папке DriverStore/FileRepository, а подписи имеют лишь некоторые из драйверов. Попробовал скопировать FileRepository с рабочей, но так же безуспешно, видимо из за того что хеш значения в названии папок отличаются от записанных в реестре.

Сейчас параллельно работая с копией пытаюсь восстановить потерянное с оригинального диска, но пока все программы восстановления мне говорят что папка FileRepository была и до этого почти пуста.

Возможно в моём случае можно отказаться от проверки подписей по умолчанию, но хотелось бы вернуть систему к полноценной работе. Есть ли смысл пытаться восстановить систему через DISM или другие автоматические способы восстановления из папки winsxs? Есть ли смысл пытаться восстановить подписи вручную копируя из Win7? Есть ли шансы?

Буду благодарен за любую помощь.

Загрузившись через отключения цифровой подписи, внутри системы успешно выполнил DISM /Online /Cleanup-image /Scanhealth. После три раза прогнал SFC /Scannow, проверяя результата перезагрузкой, все три раза результат один и тот же:

Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить
некоторые из них.

Выкладываю чистый лог последнего /scannow:

ЯД CBS.log (https://yadi.sk/i/URwEOznY3X4kMC)

По словам "failed","corrupted","cannot" ничего подозрительного не находит.
Также вот содержание PendingFileRenameOperations в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager, читал что это важно:

\??\C:\ProgramData\Doctor Web\DWS\white_dwffse.dws.delete-later-827491

The Session Manager faied to create protected prefixes system process terminated enexpectedly with a status of 0xc000003a
Код 0xc000003a упоминается в статье
Operating system comes up with Blue Screen Error: Stop c000021a (https://blogs.technet.microsoft.com/askcore/2011/08/09/operating-system-comes-up-with-blue-screen-error-stop-c000021a/)

Код 0xc000003a упоминается в статье
Operating system comes up with Blue Screen Error: Stop c000021a »

Спасибо за ссылку. Выполнил как там, хотя такой переменной NoAutoMount у меня и не было. Не помогло. Также попробовал удалить всю ветку MountedDevices , при перезагрузке список устройств обновился, но так же безуспешно.

Попробую поменять весь куст SYSTEM (бред, так делать не надо, неправильно понял статью), но мне кажется что пока проблема всё же в отсутсвии цифр. подписей у некоторых важных драйверов.

Если sigverif выдаёт не подписанными несколько драйверов (SIGVERIF.txt прикрепляю)

https://s15.postimg.cc/4hr4fl6vb/15559252_662018.jpg (https://postimg.cc/image/4hr4fl6vb/)

то Autoruns выявляет суть проблемы:

https://s15.postimg.cc/dzqvfjkt3/1545324_662018.jpg (https://postimg.cc/image/dzqvfjkt3/)

а причина, как видно, в том что в реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services пути до драйверов начинаются с system32\..., а не с %SystemRoot%\system32\... Кто же их так покалечил? Сами *.sys файлы на месте. Проверил самый старый доступный RegBack от 9 мая (отдельно сохранил), там тоже самое, многие пути начинаются с system32\....

152851

UPDATE:

Проверил реестр свежей Win7, там так же в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services многие подписи ссылаются на system32\.... Однако если в ней же запустить Autoruns то все пути нормально находятся. Ничего не понимаю. :(

https://s15.postimg.cc/js06e31nr/15555755_662018.jpg (https://postimg.cc/image/js06e31nr/)

Вычитал что одно из решений - загрузка с отключением проверки цифровой подписи. Данный режим до этого почему то игнорировал, но именно этот способ помог хоть как то со скрипом загрузиться. Сразу после загрузки Windows мне напомнил, что пользуюсь неактивированной версией (до этого Win7 был сломан через Windows Loader by Daz).
Может быть, проблема как раз в стороннем загрузчике (xOsLoad или что у вас там).

Также вот содержание PendingFileRenameOperations в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager, читал что это важно:
\??\C:\ProgramData\Doctor Web\DWS\white_dwffse.dws.delete-later-827491
Ну а если удалить PendingFileRenameOperations?

Дополнительно можете сделать лог Process Monitor (https://technet.microsoft.com/ru-ru/sysinternals/processmonitor) следующим образом:
запустите Process Monitor;
меню Options -> включите флажок Enable Boot Logging;
перезагрузитесь;
запустите Process Monitor и сохраните лог в PML-формате;
заархивируйте (там будет несколько PML-файлов) и выложите на любой файлообменник, например dropmefiles.com.

Petya V4sechkin

Отправил в ЛС!

Ну а если удалить PendingFileRenameOperations? »
Удалил у всех ControlSet, перезагрузился, не помогло. Заметил, что содержимое поменялось, видимо после обновлений которые недавно ставил.

Может быть, проблема как раз в стороннем загрузчике (xOsLoad или что у вас там). »

Думал что из за него (хотя 5 лет проработал без проблем), особенно когда активация слетела, но когда поставил заново, проблема не исчезла.

nonamenoname, для эксперимента удалите Dr.Web.

Выложите C:\Windows\PFRO.log.

Приведите ошибки из журнала событий (http://www.oszone.net/10680) -> Журналы Windows -> в разделах Приложение и Система при загрузке (на ошибках правой кнопкой мыши -> Копировать -> Копировать сведения как текст).

Petya V4sechkin

Ок, вот PFRO.log:
https://dropmefiles.com/Wpn46

DrWeb удалил, перезагрузился в обычном режиме, не помогло, BSOD и в событиях данная загрузка не отразилась. Перезагрузился с откл. цифр. подписей. Привожу все ошибки:


1)(Первая при загрузке) Загрузка \SystemRoot\SysWow64\drivers\prodrv06.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера.

2)Сбой при запуске службы "AdvancedSearchXL" из-за ошибки
Служба не ответила на запрос своевременно.
Превышение времени ожидания (30000 мс) при ожидании подключения службы "AdvancedSearchXL".

3)HAXM can't work on system with VT disabled

4)Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-сервера с CLSID
{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}
и APPID
{344ED43D-D086-4961-86A6-1106F4ACAD9B}
пользователю NT AUTHORITY\система с SID (S-1-5-18) и адресом LocalHost (с использованием LRPC). Это разрешение безопасности можно изменить с помощью служебной программы управления службами компонентов.

5)Слишком много неудачных попыток службы браузера сети загрузить резервный список с помощью транспорта \Device\NetBT_Tcpip_{DA4D3CEE-EE04-493B-A8DF-C81A4882A4C4}. Резервный браузер сети остановлен.

6)Превышение времени ожидания (30000 мс) при ожидании подключения службы "VRED Cluster Daemon".
Сбой при запуске службы "VRED Cluster Daemon" из-за ошибки
Служба не ответила на запрос своевременно.

7)Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
cdrom prodrv06 prohlp02 sfhlp01



1)Имя сбойного приложения: lmgrd.foundry.exe, версия: 10.8.7.0, отметка времени: 0x47fe34e0
Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000
Идентификатор сбойного процесса: 0x9f0
Время запуска сбойного приложения: 0x01d3fdeee3092ccd
Путь сбойного приложения: C:\Program Files (x86)\The Foundry\LicensingTools7.0\bin\FLEXlm\lmgrd.foundry.exe

2)Невозможно запустить службу. System.InvalidOperationException: Служба "TdmService.TdmService" не имеет конечных точек приложения (не инфраструктурных). Это может быть связано с тем, что для данного приложения не найден файл конфигурации или в файле конфигурации не удалось найти элементы службы, соответствующие данному имени службы, или конечные точки не были определены в элементе службы.
в System.ServiceModel.Description.DispatcherBuilder.EnsureThereAreApplicationEndpoints(ServiceDescript ion description)
в System.ServiceModel.Description.DispatcherBuilder.InitializeServiceHost(ServiceDescription description, ServiceHostBase serviceHost)
в System.ServiceModel.ServiceHostBase.InitializeRuntime()

3)SQL Server Native Client 11.0: Unable to load sqlnclir11.rll due to either missing file or version mismatch. The application cannot continue.

4)Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

5)OpenSQLServerInstanceRegKey:GetRegKeyAccessMask failed (reason: 2).
SQL Server Native Client 11.0: Unable to load sqlnclir11.rll due to either missing file or version mismatch. The application cannot continue.



UPDATE:
Службу FLEXlm остановил, проблемный драйвер из SySWoW64 убрал, не помогло.