"Proces hosta dla usług systemu Windows - zatrzymano działanie i zamknięto" i inne problemy

[remiks73]

Witam.

System operacyjny Windows Vista Home Basic 32 bit SP2.Podczas pracy komutera pojawiaja się czasami komunikaty "proces hosta dla usługi systemu windows zatrzymano działanie i zamknięto"  'dziennik zdarzeń systemu windows zamknieto" lub "usługa windows antimalware została zamknieta" Zauważalny objawa to często zanik dźwięków czy to na stronach internetowych czy podczas gry { League of Legend }. Dodatkowo samoczynnie następuje zamknięcie i wyłaczenie programów skype lub ccleaner oraz LoLclient.exe. Dodatkowo podczas w/w gry ostanio uciążliwe stało się straszne spowalnianie działania programu które wcześniej nie miało miejsca. Podczas przeglądania stron internetowych za pomocą przeglądarki Firefox równiez następuje zamknięcie usługi for Firefox uruchom ponownie. Problemem jest równiez czasami restart komutera kiedy to pojawia się niebieski ekran zapisany wraz z szybko lecącym licznikiem od zera do stu, jedynie co zdązyłem do tej pory zauważyć i odczytać to że dotyczy pamięci, czasami również pojawia się komunikat że system windows napotkał problem krytyczny i nastąpi jego ponowne uruchomienie w przeciągu minuty. do tej pory wykonałem sprawdzanie dysków oraz usuwanie błędów za pomoca dostępnych narzędzi systemowych. Pozdrawiam Remigiusz Sitek i proszę o pomoc

Logów wykonanycg za pomocą programu gmer nie mogłem dołączyć gdyz pojawiał sie komunikat nie masz uprawnień do wysyłania tego typu plików

Addition_20-03-2015_10-30-20.txt

FRST_20-03-2015_10-30-31.txt

[Rucek]

jak GMER skończy skanować to musisz utworzyć plik tekstowy na pulpicie, w programie GMER wcisnać przycisk KOPIUJ (po prawej stronie) i wkleić wynik do pliku tekstowego, wtego normalnie dołączysz tak jak skany FRST. Brakuje jeszcze pliku Shortcut.txt z FRST.

Tutaj masz szczegółowe info:

https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

GMER: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318

[picasso]

Temat przenoszę do działu Vista, brak oznak czynnej infekcji. Dostarczony zestaw logów niekompletny, o czym prawi Rucek. Plik FRST Addition jest na dodatek urwany, a jest to kwestia miejsca skąd kopiowano pliki. Zaś nazwy podanych tu logów FRST wskazują, że zostały wyciągnięte z folderu C:\FRST\Logs - tam się nie grzebie, to archiwum logów. Bieżące logi FRST powstają zawsze tam skąd uruchamiano narzędzie, w tym przypadku jest to folder Pobrane.

 

 

Podczas pracy komutera pojawiaja się czasami komunikaty "proces hosta dla usługi systemu windows zatrzymano działanie i zamknięto" 'dziennik zdarzeń systemu windows zamknieto" lub "usługa windows antimalware została zamknieta" Zauważalny objawa to często zanik dźwięków czy to na stronach internetowych czy podczas gry { League of Legend }. Dodatkowo samoczynnie następuje zamknięcie i wyłaczenie programów skype lub ccleaner oraz LoLclient.exe. Dodatkowo podczas w/w gry ostanio uciążliwe stało się straszne spowalnianie działania programu które wcześniej nie miało miejsca. Podczas przeglądania stron internetowych za pomocą przeglądarki Firefox równiez następuje zamknięcie usługi for Firefox uruchom ponownie. Problemem jest równiez czasami restart komutera kiedy to pojawia się niebieski ekran zapisany wraz z szybko lecącym licznikiem od zera do stu, jedynie co zdązyłem do tej pory zauważyć i odczytać to że dotyczy pamięci, czasami również pojawia się komunikat że system windows napotkał problem krytyczny i nastąpi jego ponowne uruchomienie w przeciągu minuty. do tej pory wykonałem sprawdzanie dysków oraz usuwanie błędów za pomoca dostępnych narzędzi systemowych.

W Dzienniku zdarzeń widać następującą grupę błędów:

 

 

 

Application errors:

==================

Error: (03/20/2015 09:54:19 AM) (Source: Application Hang) (EventID: 1002) (User: )

Description: Program League of Legends.exe w wersji 5.5.0.278 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania raportami i rozwiązaniami problemów.

Identyfikator procesu: 9e8

Godzina rozpoczęcia: 01d062e5645272af

Godzina zakończenia: 76
 

Error: (03/20/2015 08:05:02 AM) (Source: EventSystem) (EventID: 4609) (User: )

Description: d:\longhorn\com\complus\src\events\tier1\eventsystemobj.cpp458007043c
 

Error: (03/20/2015 01:28:45 AM) (Source: Application Hang) (EventID: 1002) (User: )

Description: Program League of Legends.exe w wersji 5.5.0.278 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania raportami i rozwiązaniami problemów.

Identyfikator procesu: d5c

Godzina rozpoczęcia: 01d062a1af42c1db

Godzina zakończenia: 79
 

Error: (03/20/2015 00:58:52 AM) (Source: Wininit) (EventID: 1015) (User: )

Description: Błąd krytycznego procesu systemowego C:\Windows\system32\lsass.exe z kodem stanu c000001d. Komputer musi być ponownie uruchomiony.
 

Error: (03/20/2015 00:58:44 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd lsass.exe, wersja 6.0.6002.18541, sygnatura czasowa 0x4ec3c4c9, moduł powodujący błąd scecli.dll, wersja 6.0.6002.18005, sygnatura czasowa 0x49e037ec, kod wyjątku 0xc000001d, przesunięcie błędu 0x0000161e,

identyfikator procesu 0x288, godzina rozpoczęcia aplikacji 0xlsass.exe0.
 

Error: (03/20/2015 00:57:03 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd MsMpEng.exe, wersja 4.7.205.0, sygnatura czasowa 0x54cb2053, moduł powodujący błąd mpengine.dll, wersja 1.1.11400.0, sygnatura czasowa 0x54ca003f, kod wyjątku 0xc0000005, przesunięcie błędu 0x00150339,

identyfikator procesu 0xa84, godzina rozpoczęcia aplikacji 0xMsMpEng.exe0.
 

Error: (03/20/2015 00:56:28 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd MsMpEng.exe, wersja 4.7.205.0, sygnatura czasowa 0x54cb2053, moduł powodujący błąd mpengine.dll, wersja 1.1.11400.0, sygnatura czasowa 0x54ca003f, kod wyjątku 0xc0000005, przesunięcie błędu 0x0012bda5,

identyfikator procesu 0x3d8, godzina rozpoczęcia aplikacji 0xMsMpEng.exe0.
 

Error: (03/20/2015 00:18:03 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd LogonUI.exe, wersja 6.0.6001.18000, sygnatura czasowa 0x47918daf, moduł powodujący błąd ole32.dll, wersja 6.0.6002.18277, sygnatura czasowa 0x4c28d53e, kod wyjątku 0xc0000005, przesunięcie błędu 0x0003c81d,

identyfikator procesu 0xfc0, godzina rozpoczęcia aplikacji 0xLogonUI.exe0.
 

Error: (03/20/2015 00:18:01 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd LogonUI.exe, wersja 6.0.6001.18000, sygnatura czasowa 0x47918daf, moduł powodujący błąd ole32.dll, wersja 6.0.6002.18277, sygnatura czasowa 0x4c28d53e, kod wyjątku 0xc0000005, przesunięcie błędu 0x0003c81d,

identyfikator procesu 0x414, godzina rozpoczęcia aplikacji 0xLogonUI.exe0.
 

Error: (03/20/2015 00:17:57 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Aplikacja powodująca błąd svchost.exe_Netman, wersja 6.0.6001.18000, sygnatura czasowa 0x47918b89, moduł powodujący błąd ole32.dll, wersja 6.0.6002.18277, sygnatura czasowa 0x4c28d53e, kod wyjątku 0xc0000005, przesunięcie błędu 0x0003c81d,

identyfikator procesu 0xe14, godzina rozpoczęcia aplikacji 0xsvchost.exe_Netman0.
 
 

System errors:

=============

Error: (03/20/2015 08:27:54 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 3winmgmt{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 

Error: (03/20/2015 08:27:33 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 3winmgmt{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 

Error: (03/20/2015 08:27:01 AM) (Source: Microsoft-Windows-Kernel-Processor-Power) (EventID: 6) (User: ZARZĄDZANIE NT)

Description:
 

Error: (03/20/2015 08:07:43 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 3winmgmt{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 

Error: (03/20/2015 08:05:13 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 3winmgmt{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 

Error: (03/20/2015 08:05:07 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 1084WSearch{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}
 

Error: (03/20/2015 08:05:07 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 1084WSearch{9E175B6D-F52A-11D8-B9A5-505054503030}
 

Error: (03/20/2015 08:05:02 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 1084EventSystem{1BE1F766-5536-11D1-B726-00C04FB926AF}
 

Error: (03/20/2015 08:04:56 AM) (Source: DCOM) (EventID: 10005) (User: )

Description: 1084ShellHWDetection{DD522ACC-F821-461A-A407-50B198B896DC}
 

Error: (03/20/2015 08:04:55 AM) (Source: Microsoft Antimalware) (EventID: 2004) (User: )

Description: Produkt %60 napotkał błąd podczas próby załadowania podpisów i podejmie próbę powrotu do znanego zestawu dobrych podpisów.
 

Podpisy objęte próbą: %24
 

Kod błędu: 0x8050800c
 

Opis błędu: Wystąpił nieoczekiwany problem. Zainstaluj dostępne aktualizacje, a następnie spróbuj ponownie uruchomić program. Aby uzyskać informacje na temat instalowania aktualizacji, zobacz Pomoc i obsługę techniczną.
 

Wersja podpisu: 1.193.3192.0;1.193.3192.0
 

Wersja aparatu: %600

 

 

 

 

1. Notuję uszkodzoną usługę Instrumentacji zarządzania Windows, co odpowiada części błędów sekcji System.

 

S2 Winmgmt; No ImagePath

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

 

 

2. Pod kątem błędów typu "moduł powodujący błąd mpengine.dll, ole32.dll, scecli.dll" wykonaj podstawowe sprawdzanie poprawności plików systemowych:

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie, w cmd wklej kolejną:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >C:\Users\r\Desktop\sfc.txt

 

Na Pulpicie powstanie plik sfc.txt, dołącz go tutaj.

[remiks73]

Zalączam jeszcze raz te pliki

gmer.txt

FRST.txt

Shortcut.txt

[remiks73]

wykonałem scalenie i przeprowadziłem zalecany scan w którym pisze że "Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie
może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku
CBS.Log windir\Logs\CBS\CBS.log. Na przykład
C:\Windows\Logs\CBS\CBS.log" Oczywiście załączam utworzony plik txt ze scanu

sfc.txt