Windows host process (Rundll32) przestał działać

[Barny3]

Witam

Od jakiegoś czasu na pasku, obok ikonki Aviry mam Windows security alerts. Przy próbie otworzenia go dostaje informacje jak w temacie. Panel sterowania też nie działa, taki sam efekt. Skan Avirą nic nie znajduje. Szukałem w sieci ale znalezione metody nie zadziałały, m.in. scf /scanfile znajduje błędy ale nie potrafi naprawić, naprawa przy uruchomieniu systemu też nie pomogła.

System Vista 32

Załączam logi z OTL

OTL.Txt

Extras.Txt

[picasso]

Temat przenoszę z działu Software do właściwego działu Windows Vista.

 

 

Od jakiegoś czasu na pasku, obok ikonki Aviry mam Windows security alerts. Przy próbie otworzenia go dostaje informacje jak w temacie. Panel sterowania też nie działa, taki sam efekt.

 

Na patelni podejrzany (rozwiązywałam kiedyś taki przypadek na Vista z Panelem sterowania): Firebird (instaluje aplet w Panelu sterowania). To jest bardzo stara wersja z roku 2004, nie należy się spodziewać zgodności z platformą Vista:

 

SRV - [2004-12-13 01:05:20 | 001,527,893 | ---- | M] (The Firebird Project) [On_Demand | Running] -- C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe -- (FirebirdServerDefaultInstance)
SRV - [2004-12-13 01:05:20 | 000,065,536 | ---- | M] (The Firebird Project) [Auto | Running] -- C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance)

 

Odinstaluj kompletnie + restart systemu i zobaczymy. Panel sterowania nie działa, toteż do wyboru: wejście do apletu deinstalacji bez pośrednictwa Panelu sterowania, Tryb awaryjny Windows lub bezpośrednie uruchomienie deinstalatora Firebird (w jego katalogu powinien być plik unins000.exe).

 

 

m.in. scf /scanfile znajduje błędy ale nie potrafi naprawić

 

Nie zaprezentowałeś wyników, toteż nie można ocenić na ile warte to zainteresowania. Bazując na instrukcji przefiltruj CBS.LOG do wystąpień znaczników [sR] i podaj wynikowy log: KLIK.

 

 

---

Dodatkowe uwagi spoza. Śmieci w systemie. Przeprowadź następujące operacje:

 

- Skasuj z dysku te pliki:

• C:\Program Files\mozilla firefox\searchplugins\babylon.xml
  
• C:\Program Files\mozilla firefox\searchplugins\fcmdSrchstonicla.xml
  
• C:\Users\Robert\AppData\Local\Temp*.html (to śmieci GG10, sporo plików o takim modelu jest nabite na dysku)
  

- Przekonfiguruj stronę startową Internet Eplorer ze szkodliwego startsear.ch na pustą lub jakąś wybraną przez siebie.

- Odinstaluj adware: Conduit Engine, uTorrentBar Toolbar, facemoods Toolbar, Sopcast Ask Toolbar.

- Uruchom AD-Remover w trybie Clean.

- Na koniec zrób do oceny raport z AD-Remover z trybu Scan.

 

 

.

[Barny3]

Dzięki za pomoc.

Zrobiłem wszystko, panel sterowania już działa. Pozostała ikona "Windows security alert" na pasku. Daje przefiltrowany CBS.LOG i raport z AD-Remover z trybu Scan.

sfc-LOG_po_SR.txt

Ad-Report-SCAN1.txt

[picasso]

Pozostała ikona "Windows security alert" na pasku.

 

Co widać po kliknięciu na nią / jaki komunikat?

 

 

scf /scanfile znajduje błędy ale nie potrafi naprawić

 

Raport twierdzi, że błędy zostały naprawione:

 

2011-10-13 20:49:16, Info                  CSI    000001bf [sR] Repairing corrupted file [ml:520{260},l:82{41}]"\??\C:\Windows\System32\LogFiles\Firewall"\[l:20{10}]"mpssvc.dat" from store
2011-10-13 20:49:17, Info                  CSI    000001c6 [sR] Verify and Repair Transaction completed. All files and registry keys listed in this transaction  have been successfully repaired

 

Czy to znaczy, że po uruchomieniu sfc /scannow za każdym razem pokazuje się dokładnie to samo w kółko "naprawiane"?

 

 

raport z AD-Remover z trybu Scan

 

Czy na pewno odinstalowałeś uTorrentBar Toolbar? Za dużo wpisów widocznych jak na deinstalację. Wyskoczył też nowy element, którego nie było w poprzednim logu: Dealplay.

 

1. Odinstaluj Dealplay i uTorrentBar Toolbar, o ile to nie zostało tu przeprowadzone.

 

2. Ładuj poprawkę usuwającą szczątki śmieci. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=-
"{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=-
"{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EE3BE3F5-9CDD-422C-A85C-AF79C0477D43}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7E2C5872-2E57-4A64-B1E3-FC1EA8C8575D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}]

 

Klik w Wykonaj skrypt.

 

 

.

[Barny3]

Wykonałem skrypt w OTL.

Co do tego Toolbar uTorrenta to go odinstalowałem, ale pozostał w Programach, myślałem że to tylko jakies pozostałości i AD-remover je usunie, ale widać nie. Teraz już nie wiem jak to wywalić, screen z próby usuwania w załączeniu.

Dealplay usunąłem, coś tam instalowałem żeby ten Rundll32 naprawić i musiało się coś przyplątać.

Co do tego scf /scanfile to pisałem że nie usuwa błędów bo cały czas miałem problem z tym Rundll32, nie wiedziałem jak log czytać.

Daje screen po kliknięciu na Windows security alert.

10162011_172927.txt

[picasso]

Co do tego Toolbar uTorrenta to go odinstalowałem, ale pozostał w Programach, myślałem że to tylko jakies pozostałości i AD-remover je usunie, ale widać nie.

 

Start > wpolu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar

 

Dodatkowo - nie zauważyłam tego wcześniej - i ten:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin

 

Następnie przez SHIFT+DEL skasuj z dysku cały folder tego paska.

 

 

Daje screen po kliknięciu na Windows security alert.

 

Rzecz naturalna w rozumieniu typu alertu. A to, że nie odpowiada on stanowi faktycznemu, czyli Centrum nie wykrywa antywirusa już zainstalowanego, to się zdarza. Wykonaj uzgadnianie repozytorium WMI wg metody 2 (komenda winmgmt /salvagerepository) z tego artykułu: KLIK.

 

 

 

.

[Barny3]

Start > wpolu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar

 

Dodatkowo - nie zauważyłam tego wcześniej - i ten:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin

 

Następnie przez SHIFT+DEL skasuj z dysku cały folder tego paska.

Wykonane

 

Po wpisaniu komendy winmgmt /salvagerepository komunikat: WMI repository is consistent

Potem reset wg instrukcji i dalej wszystko tak samo tzn. Windows security alert pojawia się w dalszym ciągu.

Mam się do tego przyzwyczaić czy coś robie nie tak?

[picasso]

Skoro taki zwrot z repozytorium, spróbuj po prostu przeinstalować Avirę, co być może spowoduje, że Centrum ją zobaczy.

[Barny3]

Dzisiaj dostałem propozycję upgradu od Aviry, dobrze się złożyło, może pomoże.

Dzięki za pomoc, można zamknąć wątek.

Pozdawiam