 Jefferson,  17 de setembro de 2010,  manutenção#manutenção
O cliente chamou reportando que o computador ficava inicializando permanentemente. Chegando lá, desativei a inicialização automática e a mensagem de erro era:
Stop: c0000221
A imagem RPCRT4.dll está corrompida
Tentei o Modo de Segurança, mas nem assim entrava.
Dei boot via CD com o "mini XP" do Hiren's, renomeei o arquivo problemático e copiei no seu lugar a cópia de segurança encontrada em %windir%system32 dllcache.
Mesmo problema.
Novo boot com o mini XP. Mandei localizar todas as cópias de rpcrt4.dll no HDD do cliente. Existiam várias, de backups dos patches feitos pela MS. A cópia corrompida era de 07/10 então eu escolhi a cópia mais próxima, de 2009, e coloquei no lugar.
Problema resolvido. Ao menos por enquanto.
Eu chequei o CRC das duas cópias corrompidas de rpcrt4.dll e elas eram idênticas. Os possíveis cenários em que isso pode acontecer são complicados. Se, de alguma maneira, a versão que eu encontrei era legítima mas incompatível (fora de sincronismo) com algo instalado posteriormente, é possível que um futuro update faça o problema voltar.
Não encontrei nenhum indício evidente de vírus. A máquina vai ficar em observação.
Tempo que levei até deixar o Windows operando novamente: 25 minutos. Gastei o resto da hora a que o cliente tinha direito analisando as possíveis causas do problema.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 14 de setembro de 2010, FaltamComentarios, manutenção#manutenção (em andamento)
Meu inquilinos conseguiram fazer algo inédito (para mim) nos dois computadores que instalei para eles.
A reclamação era de que o Live Messenger não funcionava em nenhum dos dois. Chegando lá constatei o seguinte:
PC1:
Conexão de rede desativada
PC2:
WLM dando erro em wldcore.dll e fechando.
Ativei a conexão de rede no PC1 e resolvi o erro em PC2 apagando uma das chaves no Registro que guarda as preferências do WLM. Agora o problema é o mesmo em ambos:
Da primeira vez que clica em "ENTRAR" ele mostra a mensagem "entrando…" por alguns segundos e depois volta para a tela de login.
Da segunda vez em diante, volta imediatamente para a tela de login
Nenhuma mensagem de erro é exibida.
Data/Hora estão certos em ambos;
Identifiquei em cada computador um malware diferente. Removi ambos na munheca;
Já reinstalei o WLM, mandei fazer o reparo (lá em Opções). Nada;
Eles usam a mesma rede que eu, ligados no mesmo switch. E meus PCs acessam o WLM sem problemas;
E para completar, o comando "Pesquisar" em ambos os computadores não funciona.
Eu sei que isso é corrupção provocada por vírus ou uso indevido. Só não consegui ainda descobrir o que é.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 14 de setembro de 2010, manutenção#manutenção
Um cliente me chamou porque depois de uma queda de energia o Windows não queria mais entrar. E ele estava desconfiado de problema no HDD.
Chegando lá, dei boot desativando a reinicialização automática, mas não fez diferença. O sintoma é que pouco antes da hora de exibir o ponteiro do mouse na tela, esta ficava simplesmente escura com o LED do HDD aceso como se houvesse uma atividade frenética do HDD. Talvez se eu esperasse tempo suficiente ele mostrasse uma mensagem de erro, mas baseado no que o cleinte dizia decidi partir para a ação.
Removi e HDD (Samsung HD081GJ de 80GB) e conectei ao notebook. Rodei o HDD Regenerator, que encontrou e recuperou um mísero setor ruim em torno dos 20GB. O teste levou 30 minutos no Windows XP.
Mandei o Regenerator checar novamente em torno da área defeituosa e ele reportou nenhum erro na segunda passada. Boa notícia.
Coloquei o HDD na máquina de novo. Problema resolvido. O Windows XP só reportou ter encontrado um problema no Registro que foi recuperado automaticamente a partir de um backup.
Tempo total do serviço: 1h15min.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 09 de setembro de 2010, manutenção#manutenção
Clonar HDDs com o Windows me dá nos nervos. Quando eu penso que cobri todas as possibilidades de erro, aparece mais alguma coisa.
Eu estou movendo o conteúdo do meu HDD de sistema, com 250GB, para um de 1TB. São três partições de sistema (XP e Seven) e uma de dados.
Removi todos os outros HDDs, fiz a clonagem e, como eu precisava conferir uma coisa, inverti as conexões dos dois HDDs para dar boot pelo de 1TB, mas tendo o original como "escravo" (não literalmente).
Esse foi meu erro.
Tudo parecia estar perfeitamente normal, até eu ir no gerenciador de discos para deletar uma partição no HDD original e perceber que o novo HDD, por onde eu estava dando boot, tinha assumido as letras de G em diante, enquanto o HDD antigo mantinha as letras de C a F. Para completar a bagunça o Gerenciador de Discos indicava que G: tinha o "Sistema" e C: tinha o arquivo de paginação.
No prompt de comando executei o comando SET e encontrei o que eu temia.
WINDIR=G:
O que equivale a procurar encrenca. Se você não quer viver perigosamente, WINDIR tem que apontar para C:
Eu realmente tinha dado boot pelo HDD de 1TB, como eu queria, mas o Windows tinha uma opinião diferente do BIOS sobre qual deveria ser o HDD de boot.
Removi o HDD velho e testei o boot de novo. Como eu imaginava: O menu de escolha dos sistemas operacionais aparecia, mas todas as alternativas diziam que faltava algo. Tudo apontava de alguma forma para o outro HDD.
Como se tratava do meu PC principal eu não tinha tempo para aprender a consertar isso. Apaguei o HDD novo. Repeti a clonagem e desta vez iniciei pelo HDD novo sem o HDD antigo na máquina. Problema resolvido evitado. O HDD novo assumiu todas as letras de unidade corretamente.
Tenho certeza de que isso pode ter um motivo embaraçosamente simples. Mas como eu não tenho certeza do que seja só posso torcer para me lembrar de não inicializar com os dois HDDs na máquina da próxima vez.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 07 de setembro de 2010, manutenção#manutenção
O cliente chamou dizendo que ao abrir qualquer documento no Word ou Excel, o computador travava. Chegando ao local constatei que era apenas a aplicação que travava e não o computador inteiro. Já tinham tentado resolver reinstalado o Office, sem sucesso.
O cenário parecia ruim. Me entregaram anotações dizendo que o Panda antivirus online havia encontrado um monte de virus no computador, incluindo um rootkit (o meu pior inimigo). Já haviam retirado "na munheca" com Live CDs tudo o que puderam, mas o rootkit estava inacessível.
Eu já estava preparado para ter muito trabalho, mas comecei pelo básico. Como a máquina estava muito lenta, olhei no Gerenciador de programas e encontrei spoolsv.exe consumindo 99% de CPU.
Poderia ser um vírus (e teria que ser dos "bons" porque estava rodando sob o usuário SYSTEM), mas também poderia ser que o subsistema de impressão estivesse realmente travado. Dei uma olhada na lista de impressoras (são 14) e a única que tinha trabalhos de impressão pendentes era o "Microsoft Office Document Image Writer". E todos os trabalhos de impressão pendentes tinham vindo do servidor de Terminal Services da empresa. Apaguei todos os trabalhos pendentes e o consumo de CPU caiu a 0%.
Testei de novo a abertura de documentos no Word. Acabaram os travamentos.
Faz sentido. Vocês talvez recordem que o Office mantém uma relação um tanto "paranormal" com drivers de impressão:
https://jefferson-ryan.blogspot.com/2009/08/word-e-powerpoint-2007-erro-parou-de.html
Só que desta vez é o Office 2003 e não o 2007.
Eu informei a usuária que devia ser um erro de configuração no servidor de Terminal Services, que em vez de mandar as impressões para sua impressora física local está mandando para o Image Writer; e que possivelmente o problema iria acontecer de novo. Mas expliquei como diagnosticar e que eles ligassem para o setor de TI da empresa em SP para consertarem.
Rodei o Rootkit Revealer e encontrei muita coisa estranha. A máquina vai ficar em observação.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 07 de setembro de 2010, hardware, manutenção, wireless #manutenção
Eu fui agora à noite ajudar a mãe de um amigo que está fora do estado a trabalho. Ela me disse que um dos notebooks acessava a rede sem fio sem problemas mas o outro dava "conectividade nula ou limitada".
O roteador é um D-Link DIR-300.
Por telefone, expliquei o que estava ocorrendo ao meu amigo (que também é técnico), que me recomendou deletar a conexão sem fio e fazer de novo, porque ele havia mudado recentemente as configurações de segurança no roteador (e o Windows XP é meio burro ao lidar com disso).
Mas o problema era outro.
Me passaram duas chaves de segurança possíveis, no formato:
abcdef12345
e
abcdef1234567
Quando eu coloquei "abcdef12345", o Windows aceitou, fez a conexão, mas voltou a reportar "conectividade nula ou limitada". Pedi para ver o notebook que funcionava (windows 7). Chegando lá fui na aba de segurança da conexão e pedi para ver a chave.
Era justamente "abcdef1234567"
Eu pensei: "ahhhhhhhhhh…". Fui até o primeiro notebook, deletei a conexão e quando o Windows me pediu novamente a chave, entrei a segunda.
Desta vez funcionou.
Eu tenho a impressão de que isso já ocorreu comigo uma vez. Se você usar uma senha que confere parcialmente, a conexão funciona, mas também parcialmente. E você fica louco tentando descobrir o que está errado, até dar um reset no roteador e começar tudo de novo, desta vez sem risco de não saber a senha toda.
Meu palpite é que seja um bug no roteador, que reporta que a senha está OK em um primeiro estágio da conferência, mas falha em seguida.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de setembro de 2010, manutenção#manutenção
Reinstalando Windows Seven Starter para um cliente. O Windows pediu para ativar de novo (por quê?). Mas quando coloquei a chave, insistiu três vezes que não podia ativar, acusando erro 0x80072F8F.
Eu fiquei seriamente tentado a usar um ativador ilegal, mas fiz uma busca primeiro pelo código de erro. Encontrei o motivo do erro aqui:
http://www.w7forums.com/0x80072f8f-activation-error-t780.html
A data do PC realmente estava alguns dias errada e eu não notara. Corrigi o erro, mas agora em vez de pedir para ativar, o Windows afirma "O Windows não é genuíno" com um link para comprar uma cópia.
%$$@¨%#*… É um computador da Positivo, ainda com os lacres da garantia e com uma etiqueta de licença original do Seven Starter
Nem eu nem o cliente temos tempo a perder com essas frescuras da MS. Resolvi o problema por ora usando um dos ativadores piratas que você encontra na internet.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 31 de agosto de 2010, dealextreme, manutenção
PCI 4-Digit PC Motherboard Repair/Troubleshoot/Diagnostic Card with Mobo Status LEDs
http://www.dealextreme.com/details.dx/sku.11812 [05/2019]: a página não existe mais.
Eu tenho duas dessas placas faz tempo. Funcionam muito bem. Melhor até que as minhas duas SOYO TechAid, que em certos computadores colocam o barramento PCI em curto. E várias vezes superiores às outras xing-ling que eu tenho, que só funcionam quando querem.
Eu as considero 100% confiáveis.
Nunca tive a oportunidade de usar o diagnóstico pela porta paralela. Só usei como placa PCI.
Liked by: Jesusleno Barros Gadêlha
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 29 de agosto de 2010, FaltamComentarios, hardware, manutenção #manutenção
Ontem eu estava diagnosticando o problema em um computador que tinha sido "encostado" por um cliente doméstico. Como a placa de diagnóstico não indicava sinal de vida, decidi arriscar aquela possibilidade pequena, mas sempre existente, de mau contato no processador.
O cooler pareceu estranhamente difícil de remover e, quando finalmente saiu, a surpresa: o processador veio junto!
Eu nunca tinha visto isso acontecer. O soquete estava lá fechadinho e o processador estava grudado no fundo do cooler. Cheguei a pensar que estivesse mesmo grudado (alguém por burrice ou malícia tivesse posto pasta térmica adesiva), mas saiu com facilidade.
O processador era um Sempron 2500+ daqueles que tem uma área de dissipação enorme. Limpei toda a pasta, coloquei nova e e instalei de novo. O computador voltou à vida.
Seria possível alguém colocar o processador no lugar com o soquete fechado, empurrar o cooler em cima e não entortar nenhum pino? Ou a adesão da pasta térmica foi tão grande que me permitiu extrair o processador de dentro do soquete fechado sem quebrar nada?
Realmente, ainda não sei o que aconteceu. E qualquer experimento nesse sentido poderia pôr a máquina em risco ;-)
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 21 de agosto de 2010, manutençãoHoje me chamaram numa das empresas que atendo porque vários funcionários não conseguiam mais acessar seus arquivos no servidor. Todos os arquivos que testei eram planilhas do Excel e este (Excel XP) exibia o seguinte erro ao tentar abri-los:
“O documento pode ser somente leitura ou estar criptografado ”
Bem… ser “somente leitura” não deveria impedir o excel de abrir o documento, não é mesmo?
Restou a “criptografia”. Cheguei a imaginar o pior: corrupção de todo o sistema de arquivos. Mas depois constatei que os usuários diretores, que tinham permissão máxima sobre os arquivos, abriam normalmente todos eles. Só quem estava com problemas eram os usuários que tinham permissões limitadas.
Fui conferir as permissões e o problema era esse mesmo. Algo aconteceu no servidor, apagando as entradas de permissão para os usuários comuns, apenas naquele diretório.
Essa é uma daquelas situações em que a mensagem de erro, apesar de detalhada, mais atrapalha do que ajuda. Pois te indica uma direção completamente errada.
Liked by: Glauco Heitor, Julio Cesar Sys
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Num caso como esse eu testaria o HD com o software do fabricante, pois já vi coisa parecida ser causada por cluster defeituoso (o cliente tinha a velha mania de desligar o computador na marra, sem ser pelo sistema operacional). O HDD Regenerator (como o Jefferson já comentou) pode resolver o problema, se for o HD mesmo.
Wagner, duas cópias distintas do mesmo arquivo deram o mesmo CRC. A probabilidade disso ocorrer por problema no HDD é, para todos os efeitos práticos, zero.
E, como eu suspeitava, o problema aconteceu de novo. O cliente disse que estava trabalhando e o PC voltou a reiniciar em loop.
Chegando lá constatei que minha modificação tinha sido revertida. Tanto a cópia de rpcrt4.dll em %windir%system32 quanto o seu backup em %windir%system32dllcache tinham voltado a ser as com data de 2010. Coloquei de novo as versões de 2009 e o PC voltou a iniciar normalmente.
No primeiro boot bem sucedido, apareceu uma mensagem dizendo que uma atualização importante havia sido instalada que havia requerido o reinício automático do sistema. Conferi a configuração e esse PC estava programado para baixar a atualizações e aplicar automaticamente todo dia às 15h. O cliente me ligara por volta das 15h30m.
Confirmado. O problema estava sendo provocado pelas atualizações automáticas. O novo rpcrt4.dll está conflitando com outra coisa instalada no PC. Não está descartada a hipóstese do conflito ser com um malware.
Deliguei as atualizações, claro. Não gosto delas mesmo.
https://jefferson-ryan.blogspot.com/2008/12/por-que-no-gosto-de-atualizaes.html
A hipótese de malware ganha força:
rpcrt4.dll causando problemas
Tamanho: 590.848
Data: 22/07/2010
CRC32: 4DF6EEE0
Compactado com Winzip fica com 589 bytes (WTF!!!!).
Fiz uma busca por cópias de rpcrt4.dll no meu PC principal. Encontrei uma de mesma data no backup de uma cliente.
Tamanho: 590.848
Data: 22/07/2010
CRC32: 1EA9F5C4
Compactado com Winzip fica com 345.680 bytes (normal).
Minha teoria no momento é que um malware está interceptando o update e substituindo o rpcrt4.dll por um "stub" de mesmo tamanho e data para não chamar atenção, que por sua vez executa o resto do malware.
Submeti o arquivo suspeito ao Virustotal, que reportou 0/42 (0%).
Muito estranho.
Além das duas cópias usuais, ainda haviam duas cópias do mesmo arquivo (mesmo CRC) em
%windir%$hf_mig$KB982802SP3QFE
%windir%SoftwareDistributionDownload79205212168b6b30197dc7641f8b512dsp3gdr
%windir%SoftwareDistributionDownload79205212168b6b30197dc7641f8b512dsp3qfe
Seria possível que a cópia em %windir%$hf_mig$KB982802SP3QFE esteja corrompida e o Windows esteja tentando reaplicá-la a cada atualização? Não sei o suficiente sobre o mecanismo de atualizações para determinar isso, mas ou o Windows está fazendo isso ou há um malware bem esperto nesta máquina.
A propósito, KB982802 é descrita aqui:
http://support.microsoft.com/kb/982802
Curiosamente, a MS cita toda a árvore genealógica de cada arquivo mas esquece de dizer o CRC.
O download do patch está aqui:
http://www.microsoft.com/downloads/details.aspx?familyid=7AD0F2CF-03DC-49A0-A16E-17FED0C01CC6&displaylang=pt-br
Apliquei manualmente o patch KB982802 e reiniciei. Nenhum problema.
Verifiquei o CRC32 do arquivo instalado: CBF3B501
Note que isso nem corresponde ao arquivo corrompido, nem ao arquivo que encontrei em meu PC. Além disso, data é ligeiramente diferente: 23/07/2010. É como se a MS tivesse feito uma correção de KB982802 um dia depois. Se você olhar com cuidado a descrição do patch verá que essa data corresponde ao "service branch" SP3QFE
Curiosamente, mesmo após o patch as cópias em
%windir%$hf_mig$KB982802SP3QFE
%windir%SoftwareDistributionDownload79205212168b6b30197dc7641f8b512dsp3gdr
%windir%SoftwareDistributionDownload79205212168b6b30197dc7641f8b512dsp3qfe
Continuaram sendo as corrompidas (4DF6EEE0)
Então o problema poderia voltar?
É importante notar que o fato do patch ter funcionado quando aplicado manualmente pode ter outra explicação. Eu precisei, por um motivo diferente, reinstalar o XP SP3 nesta máquina. Isso pode ter eliminado o possível malware que estivesse aqui.
Status do problema: ainda um mistério. Vou parar a análise por enquanto, até que apareça um fato novo.
Eu tenho a mania "feia" de testar HD e memórias RAM toda vez que pego um micro, mesmo que seja para fazer uma simples modificação no sistema operacional. Mas nesse caso realmente é estranho ele copiar novamente o arquivo no lugar do outro que tu copiou. Dependendo do cliente (e do uso do micro), eu levaria a máquina pra casa e rodaria uns dois ou três anti-vírus de uma máquina minha e por fim o Spybot e o Spyware Terminator (recomendo). Além dos habituais ComboFix, SmitFraudFix e BankerFix. Essa reinstalação do SP3 em máquinas que removi alguns vírus, também já resolveu problemas pra mim.
Um duvida que fiquei, se ele tava reiniciando sem parar como você desabilitou a reinicialização automática?
Se você der F8 para entrar no menu de inicialização, uma das opções é "desativar reinicialização…"
Só funciona por um boot. Você tem que ficar repetindo, se necessário. Mas na primeira vez que eu consigo entrar no Windows já desativo permanentemente.
Valeu, essa eu não conhecia.