Новый участник
Сообщения: 19
Благодарности: 0
|
Профиль
|
Отправить PM
| Цитировать
Лог sfc /scannow прикрепил.
В журнале событий такие записи при попытке логиниться:
Журнал Windows / Приложения
Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 6003
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
<EventID Qualifiers="32768">6003</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361887</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>Sens</Data>
<Binary>D9060000</Binary>
</EventData>
</Event>
Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 4101
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Лицензия Windows проверена.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="16384">4101</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361888</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>0x00000000</Data>
<Data>0x00000001</Data>
</EventData>
</Event>
Имя журнала: Application
Подача: Microsoft-Windows-CertificateServicesClient
Дата: 15.11.2017 14:42:01
Код события: 1
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:
Пользователь: TERMSERV\test
Компьютер: termserv
Описание:
Клиент служб сертификации запущен.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CertificateServicesClient" Guid="{73370bd6-85e5-430b-b60a-fea1285808a7}" />
<EventID>1</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.553Z" />
<EventRecordID>1361890</EventRecordID>
<Correlation />
<Execution ProcessID="4112" ThreadID="3604" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-21-1061663024-2165433620-2390536110-1045" />
</System>
<EventData>
</EventData>
</Event>
После появления ошибки при логине и нажатии кнопки ОК, происходит отлогинивания юзера и запись в журнал двух событий:
Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:46
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
ПОДРОБНОСТИ -
1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:46.000Z" />
<EventRecordID>1361892</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser
</Data>
</EventData>
</Event>
Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:47
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
ПОДРОБНОСТИ -
3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:47.000Z" />
<EventRecordID>1361893</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID
</Data>
</EventData>
</Event>
В других журналах ничего нет о логине.
|
Отправлено: 15:51, 15-11-2017
| #3
|