Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Показать сообщение отдельно

Новый участник


Сообщения: 19
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar CBS.rar
(392.0 Kb, 2 просмотров)

Лог sfc /scannow прикрепил.

В журнале событий такие записи при попытке логиниться:
Журнал Windows / Приложения

Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 6003
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>.


Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
<EventID Qualifiers="32768">6003</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361887</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>Sens</Data>
<Binary>D9060000</Binary>
</EventData>
</Event>



Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 4101
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Лицензия Windows проверена.

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="16384">4101</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361888</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>0x00000000</Data>
<Data>0x00000001</Data>
</EventData>
</Event>



Имя журнала: Application
Подача: Microsoft-Windows-CertificateServicesClient
Дата: 15.11.2017 14:42:01
Код события: 1
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:
Пользователь: TERMSERV\test
Компьютер: termserv
Описание:
Клиент служб сертификации запущен.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CertificateServicesClient" Guid="{73370bd6-85e5-430b-b60a-fea1285808a7}" />
<EventID>1</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.553Z" />
<EventRecordID>1361890</EventRecordID>
<Correlation />
<Execution ProcessID="4112" ThreadID="3604" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-21-1061663024-2165433620-2390536110-1045" />
</System>
<EventData>
</EventData>
</Event>


После появления ошибки при логине и нажатии кнопки ОК, происходит отлогинивания юзера и запись в журнал двух событий:

Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:46
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:46.000Z" />
<EventRecordID>1361892</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser
</Data>
</EventData>
</Event>



Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:47
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:47.000Z" />
<EventRecordID>1361893</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID
</Data>
</EventData>
</Event>




В других журналах ничего нет о логине.

Отправлено: 15:51, 15-11-2017 | #3