DLL Appdata faltante
fabul Mensajes publicados 42056 Fecha de registro Estado Moderador Última intervención -
Hola,
Desde la última actualización de W11 (KB5058405), tengo este panel que aparece continuamente:
He intentado varias cosas, pero nada funciona (chkdsk, scannow, reparación de Windows).
¿Tienen alguna idea?
Gracias de antemano
8 respuestas
Hola,
No entendemos por qué tal actualización en lugar de otra iniciaría al arrancar tal programa desde la carpeta Local, que además, la mayor parte de las veces, contendrá más a menudo archivos de configuración o de informes que dll. Para añadir a la curiosidad, no se entiende, salvo quizás si la ruta es demasiado larga, que se llame en modo 8+3.
La primera pregunta que hay que hacerse es qué programa, seguramente mencionado en el mismo lugar, corresponde a esta dll o su ausencia y por qué se inicia con la computadora.
Hola,
abre un terminal en administrador y copia y pega esto y luego presiona enter:
$Busqueda = '1.dll' (Get-EventLog -LogName system -after (Get-Date).AddDays(-1000) | Select-Object -Property Category,Index,TimeGenerated, EntryType,Source,InstanceID,Message) -match $Busqueda | Format-Table -AutoSize | Out-String -width 9999 | Out-File $env:USERPROFILE\Desktop\Eventos_sistema_1_dll.txt ; $Busqueda = '1.dll' (Get-EventLog -LogName application -after (Get-Date).AddDays(-1000) | Select-Object -Property Category,Index,TimeGenerated, EntryType,Source,InstanceID,Message) -match $Busqueda | Format-Table -AutoSize | Out-String -width 9999 | Out-File $env:USERPROFILE\Desktop\Eventos_aplicacion_1_dll.txt
2 archivos de texto estarán en el escritorio, intentaremos averiguar a qué corresponden con los informes del observador de eventos de Windows.
Los 2 archivos serán Eventos_aplicacion_1_dll.txt y Eventos_sistema_1_dll.txt
comparte estos archivos aquí.
Hola, después de copiar y pegar en PowerShell, esto es lo que resulta:
Cabe mencionar que entre tanto he hecho la actualización de W11 24H2, y este panel sigue apareciendo.
Gracias
Sí, en Windows 11 normalmente en el menú de inicio debes buscar terminal.
Si no, intenta buscarlo con esto, pero no dirá más a menos que lo encuentre. everything
Atención a no eliminar nada, solo haz una búsqueda.
Y vuelve a lanzar estos comandos en Terminal como administrador. Mira en tu escritorio si no están allí.
Hola,
Haz un escaneo con RegRun Reanimator
La sección RunDLL se encuentra en la pestaña general "Servicios" (creo)
Pero ten cuidado de no eliminar elementos legítimos, solo lo digo por si acaso.
https://greatis.com/security/reanimator.htm
Si tienes capturas jpg de lo que encuentre, (Usar Greenshot si es necesario)
https://getgreenshot.org/downloads/
En las pestañas "Programas de inicio" y "Servicios" sobre todo.
Allí se muestran los elementos potencialmente dañinos o desconocidos en los inicios automáticos.
Si no muestra lo que deseas detectar, para afinar tu búsqueda, usa el Filtro de Conjunto o Modo de Inspección y Filtro de Conjunto y seleccionar "Mostrar todo pero excluir firmados por Microsoft/Google/Greatis"
Marca menos falsos positivos, pero aun así, hay que asegurarse de que es malo o innecesario antes de eliminar.
Puedes mostrar los archivos ocultos, para analizarlos con VirusTotal en caso de duda, puede ayudar.
https://www.virustotal.com/gui/home/upload
-
O como se mencionó anteriormente, usar Autoruns para limitar los inicios automáticos de programas que no sean conocidos de Microsoft.
Si deseas inspeccionar y hacer limpieza en los procesos innecesarios en el inicio automático con Autoruns y Services.msc
Descarga Autoruns aquí, extrae todo en una nueva carpeta en cualquier lugar y ejecútalo como administrador.
https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
Si hay mensajes de error, intenta la versión 13.98
https://filehippo.com/fr/download_autoruns/13.98/
Mira todos los detalles, investiga si es necesario.
En las pestañas "Inicio de sesión" (Registro Run, Inicio) y "Tareas programadas", desactiva o elimina del inicio automático los elementos de terceros innecesarios que no sean de Microsoft o Windows importantes, ya sea desmarcándolos o haciendo clic derecho > Eliminar.
Mira la pestaña "Servicios", pero no los desactives si a veces son útiles, es mejor ponerlos en modo "Manual" (A demanda) con services.msc de Windows, haciendo clic derecho en el botón de inicio > Ejecutar: services.msc
Con Autoruns se tiene la lista de servicios No-Windows, eso ayuda.
Los cambios se tomarán en cuenta al reiniciar Windows.
Después, con Process Explorer ejecutado como administrador, no deberías ver casi más que procesos de Microsoft
https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
Hola, ¿cómo saber qué programa? Gracias
Ver (si no ha desaparecido) en la carpeta Local (es una carpeta oculta, hay que haber marcado la opción de mostrar archivos ocultos) qué hay en la carpeta que comienza por CARDRE y eventualmente su subcarpeta que comienza por BROYSE.
Un archivo puede hacer referencia explícita al nombre del programa o implícitamente, ya sea que figure en un archivo de Log o de script (cmd...), o que esté en clic derecho, propiedades, detalles y firma de un archivo de programa y por extensión una dll.
En términos generales, un malware no puede ser excluido, pero sucede que incluso un programa legítimo escriba dll en carpetas locales, lo cual es una mala programación porque es más fácil escribir ahí que obtener permisos de escritura en las carpetas de Programas (donde también se puede buscar un programa que se parezca a los nombres mencionados).
Si esta dll se llama al inicio de Windows, es porque un programa la lanza.
Una utilidad como Autoruns permite, en las secciones de Inicio, destacarlas.
Si se lanza de manera episódica, podemos estar tratando con un servicio automático (explorar services.msc en busca de lo que pueda parecer no Windows y extraño) o bien con una tarea programada (lo mismo, buscar un posible intruso que también normalmente es detectado por Autoruns).
Está bien, gracias.
Voy a ver con autoruns, no hay ningún CARDRE en local...
Siempre en las curiosidades, KB5058405 solo concierne a 23H2 y a algunas ediciones de 22H2 (empresa y educación, ¿qué pintan aquí?), ¿por qué el ordenador no está en 24H2?
A menos que sea en el último caso, puede que la fecha de final de soporte haya pasado, y por lo tanto sea necesario actualizar a 24H2 desde un ISO.
No vemos qué tiene que ver una actualización de Windows en el problema, salvo claro que un parche de seguridad haya censurado un contenido considerado dañino o si ha tenido como efecto vaciar la carpeta Local, lo que explicaría por qué su hija está muda.