Petya V4sechkin
По поводу Журнала событий, вот что обнаружилось:
в разделе System не за долго до остановки сервиса Event log (т.е. непосредственно перед выключением компьютера) появляется штук 16 записей типа Error вот такого содержания:
Код:
Event Type: Error
Event Source: sptd
Event Category: None
Event ID: 4
Date: 03.05.2007
Time: 22:51:55
User: N/A
Computer: PC01
Description:
Driver detected an internal error in its data structures for .
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 01 00 52 00 ......R.
0008: 00 00 00 00 04 00 04 c0 .......A
0010: b3 00 00 00 4f 01 00 c0 ?...O..A
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Все одинаковые. И у всех время появления - в пределах 2-х секунд. Т.е. за 2 секунды прописываются все эти 16 записей. За что отвечает драйвер sptd?
В разделе Application тоже есть кое что интересное, но тут сложней понять где имено была перезагрузка/выключение, поэтому привожу наиболее интересные записи:
Довольно регулярно появляется такая запись типа Warning:
Код:
Event Type: Warning
Event Source: Userenv
Event Category: None
Event ID: 1517
Date: 29.04.2007
Time: 22:01:07
User: NT AUTHORITY\SYSTEM
Computer: PC01
Description:
Windows saved user PC01\Admin registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.
This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Прорсмотрел все сервисы - все абсолютно запускаются либо от Local System либо от Network Service. Это событие наверно случается каждый раз когда происходит вход(выход?) в систему, потому что вместо PC01\Admin бывает и PC01\User (т.е видно что со всеми логинящимися профайлами такое прооисходит).
А вот эти 2 события типа Error проризощли всего лишь 1 раз каждое:
Код:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1081
Date: 04.05.2007
Time: 23:49:46
User: NT AUTHORITY\SYSTEM
Computer: PC01
Description:
Windows cannot impersonate the user. (The handle is invalid. ). Group Policy processing aborted.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Код:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1082
Date: 06.05.2007
Time: 13:35:35
User: NT AUTHORITY\SYSTEM
Computer: PC01
Description:
Windows cannot set the background refresh timer for Group Policy. WaitForMultipleObjects (The handle is invalid. ). Group Policy processing aborted.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
К чему бы это и стоит ли на это обращать внимание?
UserEnvDebugLevel - пока что руки не дошли, но думаю пока пищи для размышлений и так достаточно
Когда включу - опубликую записи из UserEnv.log
Vadikan
Первый раз когда была замечена проблема - на машине тотчно не было ни антивируса ни дефрагментатора (почти свежая винда). Так что врорде с этим не связано. Сейчас правда уже установлен антивирус AVP 6.0, но он всегда отключен в момент завершения работы.
По поводу "ClearRecentDocsOnExit"=dword:00000001 - согласен, как-то слабо верится. На досуге все же попробую отключить для сравнения.
Сервисами пока не занимался, как проверю - напишу.
