none
Windows XP no arranca y se reinicia tras el logo

    Question

  • stoy peleándome con un PC algo viejo que no consigo reparar. Os cuento la historia para situaros (en cursiva).

    Me llamó un amigo que su PC no arrancaba a ver si le podía echar un ojo. Resulto ser un virus (no se cual en concreto) que creaba ficheros *.sys con nombres aleatorios de 0kb de tamaño en la carpeta WINDOWS/system32/drivers. El ordenador se colgaba en el arranque y tuve que borrar los ficheros del virus + restituir algunos *.sys del sistema con la consola recuperación.

    Una vez conseguimos arrancarlo, pasé MalwareBytes y Avira (elimine cientos de ficheros infectados en MBAM). Quise también actualizarlo ya que tenía las actualizaciones desactivadas desde hace años y seguía en XP, sin ningún SP instalado. Por esto, no me dejaba instalar MS Essentials, así que pensé en actualizarlo más adelante ya que me quedaba sin tiempo. Lo dejé y me marché.

    Al día siguiente me dice que ha funcionado bien un par de veces pero que no arranca otra vez. Voy para allá. Y aquí empieza el problema actual :).

    En modo normal, Windows carga y se reinicia después de salir el logotipo, parpadea el monitor un par de veces, y vuelve a la carga de la BIOS. En modo a prueba de fallos, no arranca. Se queda un rato con un guión blanco a la izquierda y se reinicia de nuevo.

    Os cuento lo que he probado y el resultado. La solución de formatear no me vale ya que dentro del ordenador hay un par de programas viejos con sus licencias que no se podrían recuperar, más datos de Contaplus de una versión 2003 o algo así, que serían difíciles de recuperar.

    - Desde la consola de recuperación: fixboot y fixmbr + bootcfg rebuild, aunque el PC llegaba a cargar Windows, por lo que ya me esperaba que no diera resultados. También desactive unos cuantos servicios que salían de inicio (listsvc) y que tenían nombres sospechosos tipo cpjjiix.

    - Arranque Windows en registro de inicio. En el fichero de log que se crea, dice que carga todo correctamente excepto 4 ó 5 ficheros *.sys. No se si esto sería un problema.

    - He intentado restaurar el sistema de un live ERD pero no me deja si no es SP2. Desde él mismo, he desinstalado las dos últimas actualizaciones/hotfix de Windows instalados, que los instalé yo después de la última reparación. El resto de actualizaciones eran de 2007/2008 así que los únicos problemáticos podrían ser esos dos últimos.

    - He revisado C: y no veo ficheros sospechosos ni nada raro.

    - He seteado la BIOS a los valores por defecto y desactivado todos los dispositivos excepto el hdd del SO.

    - He pasado chkdsk en todas sus variantes

    - He pasado un antivirus en modo live de Kaspersky y ha detectado alguna cosa, pero la mayoría adware y cookies del navegador.

    - He editado el registro desde un live y eliminado un par de entradas sospechosas en "Run" que se ejecutaban al inicio.


    Y ya se me han acabado las ideas.

    A ver que me podéis recomendar y si se os ocurre algo. Mañana volveré a la carga a ver si saca algo en claro.

    ¡Gracias!
    Friday, February 25, 2011 11:19 PM

Answers

  • Gracias Jesús.

     

    Ya he estado concienciando a mi amigo de que el formateo es inevitable. Lo malo es que la tarea de recuperar los datos también va a mi cargo :).

     

    Un saludo y gracias a todos por la ayuda.

    Monday, February 28, 2011 4:07 PM

All replies

  • Por cierto, ¿me valdría de algo el modo depuración? Tengo algunos cable COM que quizás se puedan usar luego con ¿Hyperterminal? No se como funciona pero quizás me arrojara un poco de luz sobre el problema.
    Friday, February 25, 2011 11:20 PM
  • <JorgeSpain> escribió en el mensaje  news:e2362c33-cacf-4378-ad0c-1de0236891c0@communitybridge.codeplex.com...

    Por cierto, ¿me valdría de algo el modo depuración?  Tengo algunos cable COM que quizás se puedan usar luego con  ¿Hyperterminal? No se como funciona pero quizás me arrojara un  poco de luz sobre el problema.

    No creo, lo unico que se me ocurre es que realizes una reparacion del  sistema ya que un formato no es opcion. Es seguro que el virus haya  destruido archivos del sistema y tal vez asi arranque.

    Hace poco me toco un equipo con una infeccion masiva como esa y encontre  virus en todos lados, a pesar de eliminar a mano y con ayuda de un  antivirus, la instalacion estaba inestable y se colgaba continuamente,  mas aun, la mayoria de los programas estaban dañados y ninguno se  ejecutaba, al revisar veo que el virus habia sustituido los ejecutables  de cada programa por los suyos. Aunque el propietario de la PC se negaba  a que reinstalara, tuve que demostrarle la inutilidad de cualquier otra  opcion, aparte que mi tiempo tambien vale.
    Asi que ese amigo se puede ir despidiendo de ese Contaplus y los demas  programas.


    Saludos cordiales. Ivan
    Saturday, February 26, 2011 12:02 AM
  • Gracias Ivan.

     

    El problema no es tanto el Contaplus si no los datos fiscales de varios años que están guardados dentro. Al ser una versión vieja no me valdrían de nada los ficheros en bruto del disco.

     

    Reparar el sistema es una opción pero me da un poco de miedo al tener pegatina de licencia pero no discos, no vaya a ser que al ser OEM o alguna version especial, reinstale con un CD diferente y me lo cargue más.

     

    Un saludo

    Saturday, February 26, 2011 12:52 AM
  • <JorgeSpain> escribió en el mensaje  news:7b4ea415-13ed-46e3-a9cd-6a9701653942@communitybridge.codeplex.com...

    Gracias Ivan.



    El problema no es tanto el Contaplus si no los datos fiscales de  varios años que están guardados dentro. Al ser una  versión vieja no me valdrían de nada los ficheros en bruto del  disco.



    Reparar el sistema es una opción pero me da un poco de miedo al  tener pegatina de licencia pero no discos, no vaya a ser que al ser OEM  o alguna version especial, reinstale con un CD diferente y me lo cargue  más.



    Un saludo

    Entiendo, no me gustaria estar en tus zapatos en este momento, amigo,  vaya paquete que te ha tocado.
    El tema de la licencia te lo deberia aclarar el propietario para poder  proceder.


    Saludos cordiales. Ivan
    Saturday, February 26, 2011 1:50 AM
  • El usuario solo sabe que compró el equipo y poco más, como para decirme que tipo de licencia tiene. Solo sé que es un XP Home y que tiene pegatina de licencia en la torre. No tiene discos ni más información. Tengo el equipo en casa, así que a ver que consigo.

     

    Un saludo y gracias.

    Saturday, February 26, 2011 12:55 PM
  • He conseguido desactivar el reinicio automático editando el registro desde un live.

     

    En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl he puesto la variable Autoreboot a 0.

     

    Ahora ya tengo pantalla de error con la siguiente información:

     

    STOP: c000021a {Error grave del sistema}

    El proceso del sistema Windows Logon Process terminó inesperadamente con un estado de 0x00000080 (0x00000000 0x00000000).

    Se ha apagado el sistema

     

    Creo que alguna vez ya he tenido algún equipo con este error. Voy a googlear que hay bastante info al respecto.

    Saturday, February 26, 2011 3:02 PM
  • Yo sigo aquí peleando... :P.

     

    Tras el error anterior, restauré desde la consola de recuperación los ficheros csrss y winlogon. Ahora obtengo el mismo error pero con estado 0xc000236.

     

    Si algún alma caritativa quiere interesarse por mi problema, he subido el log de DrWatson y el fichero dmp para que le eché un ojo alguien. Yo ni idea de como leer el dmp o sacar nada en claro.

     

    http://dl.dropbox.com/u/2477282/watson.rar

     

    ¡Gracias!

    Saturday, February 26, 2011 5:39 PM
  • <JorgeSpain> escribió en el mensaje  news:19e4bc46-d79e-475b-98ed-9a7aef9e9b94@communitybridge.codeplex.com...

    Yo sigo aquí peleando... :P.



    Tras el error anterior, restauré desde la consola de  recuperación los ficheros csrss y winlogon. Ahora obtengo el mismo  error pero con estado 0xc000236.



    Si algún alma caritativa quiere interesarse por mi problema, he  subido el log de DrWatson y el fichero dmp para que le eché un ojo  alguien. Yo ni idea de como leer el dmp o sacar nada en claro.



    http://dl.dropbox.com/u/2477282/watson.rar



    ¡Gracias!

    El resultado del analisis es bastante malo, se refiere a svchost.exe,  este es un lanzador del sistema y detras de el pueden estar multiples  programas y en un Pc que no arranca es imposible determinar los  responsables. "La memoria no se puede read" es un error tipico depues de una  infeccion. Estou buscando informacion sobre este STACKIMMUNE pero no veo  nada.
    De todas formas lo pongo aqui, a ver si algun compañero ve algo que  se me haya pasado por alto:

    Comment: 'Dr. Watson generated MiniDump'
    Symbol search path is:  SRV*d:\websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is: Windows XP Version 2600 (Service Pack 1) UP Free x86 compatible
    Product: WinNt, suite: SingleUserTS
    Machine Name:
    Debug session time: Mon Jan 31 04:42:04.000 2011 (UTC - 5:30)
    System Uptime: not available
    Process Uptime: 0 days 0:01:49.000
    ................................................................
    ................................................................
    ...........................
    This dump file has an exception of interest stored in it.
    The stored exception information can be accessed via .ecxr.
    (330.344): Access violation - code c0000005 (first/second chance not  available)
    eax=b6bdbe97 ebx=00000000 ecx=0065e8e0 edx=04720129  esi=00000824 edi=00000000
    eip=00191ed8 esp=0065e8dc ebp=006500f9 iopl=0         nv up ei  pl zr na pe nc
    cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000              efl=00000246
    00191ed8 ff7508          push    dword ptr [ebp+8]     ss:0023:00650101=????????
    0:002> !analyze -v
    *********************************************************************** ****
    *                                                                              *
    *                        Exception Analysis                                    *
    *                                                                              *
    *********************************************************************** ****

    * WARNING: Unable to verify timestamp for ws2_32.dll
    GetPageUrlData failed, server returned HTTP status 404
    URL requested:  http://watson.microsoft.com/StageOne/svchost_exe/5_1_2600_0/unknown/0_0_0 _0/00191ed8.htm?Retriage=1

    FAULTING_IP: +c
    00191ed8 ff7508          push    dword ptr [ebp+8]

    EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
    ExceptionAddress: 00191ed8
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000000
       Parameter[1]: 00650101
    Attempt to read from address 00650101

    PROCESS_NAME:  svchost.exe

    ERROR_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace  referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace  referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    EXCEPTION_PARAMETER1:  00000000

    EXCEPTION_PARAMETER2:  00650101

    READ_ADDRESS:  00650101
    FOLLOWUP_IP: +c
    00191ed8 ff7508          push    dword ptr [ebp+8]

    FAILED_INSTRUCTION_ADDRESS: +c
    00191ed8 ff7508          push    dword ptr [ebp+8]

    MOD_LIST: <ANALYSIS/>

    IP_ON_HEAP:  00191ed8

    ADDITIONAL_DEBUG_TEXT:  Followup set based on attribute  [Is_ChosenCrashFollowupThread] from Frame:[0] on thread:[PSEUDO_THREAD]

    LAST_CONTROL_TRANSFER:  from 00000000 to 00191ed8

    FAULTING_THREAD:  ffffffff

    DEFAULT_BUCKET_ID:  STACKIMMUNE

    PRIMARY_PROBLEM_CLASS:  STACKIMMUNE

    BUGCHECK_STR:   APPLICATION_FAULT_STACKIMMUNE_BAD_INSTRUCTION_PTR_INVALID_POINTER_READ

    STACK_TEXT:  00000000 00000000 svchost.exe+0x0

    SYMBOL_NAME:  svchost.exe

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: svchost

    IMAGE_NAME:  svchost.exe

    DEBUG_FLR_IMAGE_TIMESTAMP:  3b7de4c5

    STACK_COMMAND:  ** Pseudo Context ** ; kb

    FAILURE_BUCKET_ID:  STACKIMMUNE_c0000005_svchost.exe!Unknown

    BUCKET_ID:   APPLICATION_FAULT_STACKIMMUNE_BAD_INSTRUCTION_PTR_INVALID_POINTER_READ_BA D_IP_svchost.exe

    WATSON_STAGEONE_URL:   http://watson.microsoft.com/StageOne/svchost_exe/5_1_2600_0/3b7de4c5/unkn own/0_0_0_0/bbbbbbb4/c0000005/00191ed8.htm?Retriage=1

    Followup: MachineOwner


    Saludos cordiales. Ivan
    Saturday, February 26, 2011 10:54 PM
  • Gracias por tu ayuda Iván.

     

    He intentado reparar la instalación y ahora me dice da un error 0x0000007B con el segundo parámetro 0x00000034, que según leo hace referencia a un problema de disco. Por si acaso he cambiado el cable y pasado el HDAT2 (dos sectores corregidos) y ahora está el HDDRegenerator.

     

    Supongo que más que un problema de disco debe ser que hay algún fichero del sistema corrompido y que al reparar la instalación no se sobreescribe y se mantiene igual.

     

    Gracias por tu interés otra vez.

    Saturday, February 26, 2011 11:07 PM
  • <JorgeSpain> escribió en el mensaje  news:2634fb08-d6bf-4999-991b-0b6328cf4079@communitybridge.codeplex.com...

    Gracias por tu ayuda Iván.



    He intentado reparar la instalación y ahora me dice da un error  0x0000007B con el segundo parámetro 0x00000034, que según leo  hace referencia a un problema de disco. Por si acaso he cambiado el  cable y pasado el HDAT2 (dos sectores corregidos) y ahora está el  HDDRegenerator.



    Supongo que más que un problema de disco debe ser que hay  algún fichero del sistema corrompido y que al reparar la  instalación no se sobreescribe y se mantiene igual.



    Gracias por tu interés otra vez.

    Eso es bastante logico.
    Las ultimas PC con virus que me han tocado me daban errores aleatorios,  cada pantallazo señalaba un error y un archivo distinto.
    Lamentablemente casi todos los MVP andan de viaje a la reunion anual en  USA. A ver si alguno de los que no viajo mete el ojo por aqui y da  alguna idea.


    Saludos cordiales. Ivan
    Sunday, February 27, 2011 1:43 AM
  • Saludos JorgeSpain! , despues de tantas cosas esa instalacion, ya esta como perdida!, sea por virus que corrompen el sistema(incluyendo modificaciones de claves en el registro, dll's,etc) NO queda otra que formatear e instalar el sistema nuevamente, si bien no es la respuesta que quieres escuchar, es la unica que reciviras por aqui. Y mas no estando actualizado  ese Windows, se cataloga por aqui como discontinuado e incluso muchos no darian su opinion.

    Solucion especifica no existe, a exepcion de formatear e instalar NUEVAMENTE, no vale una REINSTALACION.

    Pero como una pequena ayuda podrias clonar ese disco con alguna herramienta para realizar dicha tarea, como por eje. ACRONIS...  y luego formatear e ir agregando los programas especificos. En cuanto a las licencias de dichos programas, antiguamente sean algun archivo con extencion .DAT ubicado donde este instalado el programa. con un poco de paciencia se podria llegar a obtenerla.

    Solo es cuestion de ir depacito probando... de la misma manera igual con los archivos de los datos que tienes peligro de perder.

    Suerte!


    njguibert.wordpress.com
    Monday, February 28, 2011 11:11 AM
    Moderator
  • Gracias Jesús.

     

    Ya he estado concienciando a mi amigo de que el formateo es inevitable. Lo malo es que la tarea de recuperar los datos también va a mi cargo :).

     

    Un saludo y gracias a todos por la ayuda.

    Monday, February 28, 2011 4:07 PM
  • Porque no extraes el disco duro y lo conectas a otra PC (internamente o por cable USB) y asi extraes todos los archivos que necesites, ya que yo también tengo ese problema pero me paso por clonar el disco (porno querer formatear la compu) ahora solo tengo los archivos en mi pc y la formateare como dios manda y listo, licencias hay muchas en la red no veo cual se la preocupación.
    Thursday, April 07, 2011 11:28 PM