Fórum Živě.cz

[pavel35]

Problém: Nelze se přihlásit do profilu po bodu obnovení.

Situace: Díky systémovému SSD disku jsem použil mklink na složky:

Kód: Vybrat vše

C:\Users
C:\ProgramData

(výpis složek DIR v C:\ správně hlásí u obou složek JUNCTION)

Kód: Vybrat vše

C:\>dir
Svazek v jednotce C je SSD.
Sériové číslo svazku je D467-6FB5.

Výpis adresáře C:\

17.08.2012  03:51             3 416 bootsqm.dat
14.07.2009  05:20    <DIR>          PerfLogs
17.08.2012  14:50    <DIR>          Program Files
17.08.2012  14:50    <DIR>          Program Files (x86)
15.07.2012  00:46    <JUNCTION>     ProgramData [d:\DataApp\ProgramData]
17.08.2012  04:12    <DIR>          Qoobox
14.07.2012  01:32    <DIR>          Recovery
15.07.2012  00:45    <JUNCTION>     Users [d:\DataApp\Users]
17.08.2012  14:51    <DIR>          Windows


Cíle obou složek jsou na disku D:\. Vše funguje korektně, ale jakmile vytvořím bod obnovení, nemůžu se přihlásit do žádného dříve vytvořeného profilu. Vždy mi to hlásí, že se lze přihlásit pouze dočasným profilem. Stejně tak pokud se vrátím k jakémukoli jinému bodu obnovení.

Hrátky s klíčem registru k ničemu nevedly:

Kód: Vybrat vše

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Pokud vytvořím nový profil a zkopíruji do něj soubory z nedostupného profilu, je to OK, tedy kromě všech nastavení, ale po dalším bodu obnovení je i nově vytvořený profil nedostupný.

Můžete někdo poradit co s tím?

OS: Windows 7 x64 Pro Cz

[Milanr1]

Zapomeň na body obnovení. První záležitost, která se poškodí, první cíl útoků exploitů => praticky ničemu, resp. v Tvém případě jen k zlosti.

Co s tím?
1) Vytvoř zálohu OS:
sdclt
a/ do druhého/třetího/... (nesystémového) fyzického HDD/SSD;
b/ do externího HDD/SSD;
c/ do NAS/...
2) Vytvoř záchranný CD/DVD.
3) Zálohuj Dokumenty/Foto/... libovolným způsobem.
(Věřím, že jsi body 1 - 3 zvládl, ale zcela jistě ne další bod:)
4) Zálohuj nastavení svého pracovního profilu:
reg save HKCU mujprofil.hiv
Tuto zálohu lze použít i mimo běžící OS, když není možno se přihlásit do žádného profilu ani do WRE - viz bod (2).
5) Prověř/oprav stav NTFS:
chkdsk C: /F /R /B /V
+ restart OS.
6) Nastav VSS jen na verzování, tj. především na datovém disku; např. v GUI:
sysdm.cpl
karta Ochrana systému
Konfigurovat
7) Kontroluj pravidelně chybové hlášky v admin logu.
Necitoval jsi ani jedinou.
A věštecké kulky mi momentálně nefungují ....

Btw:
pro příště Ti doporučuji používat standardní postupy pro změnu umístění profilů:
A/ pro jedinou instalaci OS:
definici cesty k profilu uživatele - překvapivě na kartě Profil;
viz FAQ:
viewtopic.php?f=1864&t=1089367
B/ pro více instalací WKS:
odpovědní soubor (unattend.xml) s definicí potřebných proměnných (zde min. %userprofile%) + příslušný .WIM:
http://www.microsoft.com/en-us/download ... en&id=5753
http://technet.microsoft.com/en-us/library/dd349350(v=WS.10).aspx
http://support.microsoft.com/?id=973289
http://pcloadletter.co.uk/2010/07/08/cu ... ttend-xml/
http://support.microsoft.com/kb/929831
http://www.zive.cz/clanky/windows-vista ... fault.aspx

[pavel35]

Ok, příště tedy cestou alternativní zálohy registru, chápu. Tady je výpis protokulu, který mi hlásí při logování chybu:

Kód: Vybrat vše

Název protokolu:Application
Zdroj:         Microsoft-Windows-User Profiles Service
Datum:         17.8.2012 16:38:49
ID události:   1530
Kategorie úlohy:Není
Úroveň:        Upozornění
Klíčová slova:
Uživatel:      SYSTEM
Počítač:       Terra
Popis:
Systém Windows zjistil, že soubor registru je stále používán jinými aplikacemi nebo službami. Soubor bude nyní uvolněn. Aplikace nebo služby, které soubor registru používají, nemusejí potom fungovat správně. 

PODROBNOSTI –
1 user registry handles leaked from \Registry\User\S-1-5-21-1569436129-2476984601-4093854514-1004:
Process 2992 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1004

Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T14:38:49.918052200Z" />
    <EventRecordID>11454</EventRecordID>
    <Correlation ActivityID="{030AEA40-F800-0000-44B9-5981857CCD01}" />
    <Execution ProcessID="936" ThreadID="964" />
    <Channel>Application</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1569436129-2476984601-4093854514-1004:
Process 2992 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1004
</Data>
  </EventData>
</Event>


Název protokolu:Microsoft-Windows-Kernel-EventTracing/Admin
Zdroj:         Microsoft-Windows-Kernel-EventTracing
Datum:         17.8.2012 16:38:59
ID události:   4
Kategorie úlohy:Protokolování
Úroveň:        Upozornění
Klíčová slova: Relace
Uživatel:      SYSTEM
Počítač:       Terra
Popis:
Bylo dosaženo maximální velikosti souboru pro relaci ReadyBoot. Proto mohou být ztraceny (neprotokolovány) události pro soubor C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl. Maximální velikost souborů je aktuálně nastavena na 20971520 bajtů.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Kernel-EventTracing" Guid="{B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}" />
    <EventID>4</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>1</Task>
    <Opcode>10</Opcode>
    <Keywords>0x8000000000000010</Keywords>
    <TimeCreated SystemTime="2012-08-17T14:38:59.075268300Z" />
    <EventRecordID>235</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="152" />
    <Channel>Microsoft-Windows-Kernel-EventTracing/Admin</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="SessionName">ReadyBoot</Data>
    <Data Name="FileName">C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl</Data>
    <Data Name="ErrorCode">3221225864</Data>
    <Data Name="LoggingMode">0</Data>
    <Data Name="MaxFileSize">20971520</Data>
  </EventData>
</Event>


Název protokolu:Application
Zdroj:         Microsoft-Windows-User Profiles Service
Datum:         17.8.2012 16:40:42
ID události:   1515
Kategorie úlohy:Není
Úroveň:        Chyba
Klíčová slova:
Uživatel:      Terra\Pavel
Počítač:       Terra
Popis:
Systém Windows zálohoval profil tohoto uživatele. Systém se automaticky pokusí použít zazálohovaný profil při příštím přihlášení uživatele.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1515</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T14:40:42.212081000Z" />
    <EventRecordID>11472</EventRecordID>
    <Correlation />
    <Execution ProcessID="272" ThreadID="2100" />
    <Channel>Application</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-21-1569436129-2476984601-4093854514-1001" />
  </System>
  <EventData>
  </EventData>
</Event>

Název protokolu:Application
Zdroj:         Microsoft-Windows-User Profiles Service
Datum:         17.8.2012 16:40:42
ID události:   1511
Kategorie úlohy:Není
Úroveň:        Chyba
Klíčová slova:
Uživatel:      Terra\Pavel
Počítač:       Terra
Popis:
Systém Windows nemůže nalézt místní profil. Budete přihlášeni pomocí dočasného profilu. Změny profilu budou při vašem odhlášení ztraceny.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1511</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T14:40:42.222081000Z" />
    <EventRecordID>11473</EventRecordID>
    <Correlation />
    <Execution ProcessID="272" ThreadID="2100" />
    <Channel>Application</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-21-1569436129-2476984601-4093854514-1001" />
  </System>
  <EventData>
  </EventData>
</Event>

Btw:
pro příště Ti doporučuji používat standardní postupy pro změnu umístění profilů:
A/ pro jedinou instalaci OS:
definici cesty k profilu uživatele - překvapivě na kartě Profil;

A v čem je problém použít místo přepisu systémových proměnných Hard link pomocí mklink?

[Milanr1]

Tahle hláška je běžná. Způsobuje ji nějaký zhůvěřilý, ne zcela kompatibilní nízkoúrovňový sw.

A problém jsi právě definoval v dotazu.
Může/nemusí být způsoben poškozeným/neudržovaným NTFS.
To nám snad sdělíš po realizaci bodu (5).

[pavel35]

Disk je v pořádku:

Kód: Vybrat vše

Kontrola systému souboru na C:
Systém souboru je typu NTFS.
Jmenovka svazku je SSD.

Byla naplánována kontrola disku.
Systém nyní zkontroluje disk.                           

Program CHKDSK overuje soubory (fáze 1 z 5)...
  Zpracované záznamy souboru: 250880                                         

Overení souboru dokonceno.
  Pocet zpracovanych záznamu velkych souboru: 318                         

  Zpracované poskozené záznamy souboru: 0                               

  Zpracované záznamy EA: 2                                               

  Zpracované záznamy zmeny zpracování: 4                                 

Program CHKDSK overuje indexy (fáze 2 z 5)...
  Pocet zpracovanych polozek indexu: 298686                                 

Overení rejstríku dokonceno.
  Pocet zpracovanych neindexovanych souboru: 0                         

  Pocet obnovenych neindexovanych souboru: 0                     

Program CHKDSK overuje popisovace zabezpecení (fáze 3 z 5)...
  Zpracované SD/SID souboru: 250880                                       

Systém maze 237 nepouzitych polozek indexu $SII souboru 0x9.
Systém maze 237 nepouzitych polozek indexu $SDH souboru 0x9.
Systém maze 237 nepouzitych popisovacu zabezpecení.
Overení popisovace zabezpecení bylo dokonceno.
  Pocet zpracovanych datovych souboru: 23904                               

Program CHKDSK overuje deník USN...
  Pocet zpracovanych bajtu USN: 35152592                                       

Overení deníku USN bylo dokonceno.
Program CHKDSK overuje data souboru (fáze 4 z 5)...
  Pocet zpracovanych souboru: 250864                                 

Overení dat souboru dokonceno.
Program CHKDSK overuje volné místo (fáze 5 z 5)...
  Zpracované volné clustery: 51640520                                       

Overování volného místa bylo dokonceno.
Program CHKDSK nalezl volné místo oznacené jako pridelené v
bitové mape tabulky MFT.
Systém Windows opravil systém souboru.

249954303 kB místa na disku celkem.
  42970944 kB v 94191 souborech.
     60584 kB v 23905 rejstrících.
         0 kB v chybnych sektorech
    360695 kB pouzíváno systémem
     65536 kB zabírá soubor s protokolem.
206562080 kB na disku je volnych.

      4096 bajtu v kazdé alokacní jednotce
  62488575 alokacních jednotek na disku celkem
  51640520 volnych alokacních jednotek


Zkusil jsem se přihlásit v nouzovém režimu a do profilu jsem se přihlásil v pohodě, ale pokud jsem volil nouzový režim s podporou sítě, opět naběhl dočasný profil.

Co teď? Postupně odinstalovat jednu aplikaci za druhou nebo je nějaké další řešení?

[Milanr1]

Jen fyzicky je v pořádku.
NTFS byl bytelně rozhozený.
Podstatné je info:

Systém Windows opravil systém souboru.

Tahle chyba:

Bylo dosaženo maximální velikosti souboru pro relaci ReadyBoot. Proto mohou být ztraceny (neprotokolovány) události pro soubor C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl. Maximální velikost souborů je aktuálně nastavena na 20 971 520 bajtů.

může opravdu znemožnit přihlášení do profilu.
Co s tím?
1) Zkontroluj chyby v uvedeném logu.
Pokud nebudeš nějaké hlášce rozumět, okopíruj sem.
2) Ulož log.
3) Vymaž všechny události.
4) Proč máš povolenou službu ReadyBoost (jejíž součástí je ReadyBoot)?
5) Zkontroluj v Scheduleru (Plánovači), zda není naplánovaná automatická defragmentace systémového disku. Pokud ano: povol automatickou defragmentaci pouze pro HDD; případně zakaž.

Btw:
používáš nějaký sw pro RAMdisk?
Je povolena hibernace?

[pavel35]

Díky za trpělivost...

Co se týká C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl, nedaří se mi ho otevřít (binární formát)

ReadyBoost jsem nikdy nepoužívat, ani neaktivoval. Maximálně jsem zakázal po instalaci Win na SSD službu SuperFetch, ale nevím, nakolik jsou tyhle služby propojené. Když jsem teď službu SuperFetch spustil, hlásí mi to po spuštění v protokolu, že nemůže nalézt uvedený soubor, jen mi není jasné, jaký soubor má na mysli:

Kód: Vybrat vše

Název protokolu:System
Zdroj:         Service Control Manager
Datum:         17.8.2012 21:55:15
ID události:   7023
Kategorie úlohy:Není
Úroveň:        Chyba
Klíčová slova: Klasické nastavení
Uživatel:      Není k dispozici
Počítač:       Terra
Popis:
Služba Superfetch byla ukončena s následující chybou:
Systém nemůže nalézt uvedený soubor.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
    <EventID Qualifiers="49152">7023</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T19:55:15.083460700Z" />
    <EventRecordID>25630</EventRecordID>
    <Correlation />
    <Execution ProcessID="512" ThreadID="4764" />
    <Channel>System</Channel>
    <Computer>Terra</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="param1">Superfetch</Data>
    <Data Name="param2">%%2</Data>
  </EventData>
</Event>

Název protokolu:System
Zdroj:         Service Control Manager
Datum:         17.8.2012 21:55:35
ID události:   7023
Kategorie úlohy:Není
Úroveň:        Chyba
Klíčová slova: Klasické nastavení
Uživatel:      Není k dispozici
Počítač:       Terra
Popis:
Služba Superfetch byla ukončena s následující chybou:
Systém nemůže nalézt uvedený soubor.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
    <EventID Qualifiers="49152">7023</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T19:55:35.156696000Z" />
    <EventRecordID>25633</EventRecordID>
    <Correlation />
    <Execution ProcessID="512" ThreadID="4764" />
    <Channel>System</Channel>
    <Computer>Terra</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="param1">Superfetch</Data>
    <Data Name="param2">%%2</Data>
  </EventData>
</Event>

Název protokolu:Application
Zdroj:         Microsoft-Windows-User Profiles Service
Datum:         17.8.2012 21:56:12
ID události:   1530
Kategorie úlohy:Není
Úroveň:        Upozornění
Klíčová slova:
Uživatel:      SYSTEM
Počítač:       Terra
Popis:
Systém Windows zjistil, že soubor registru je stále používán jinými aplikacemi nebo službami. Soubor bude nyní uvolněn. Aplikace nebo služby, které soubor registru používají, nemusejí potom fungovat správně. 

PODROBNOSTI –
6 user registry handles leaked from \Registry\User\S-1-5-21-1569436129-2476984601-4093854514-1001:
Process 1112 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001\Software\Microsoft\SystemCertificates\My
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001\Software\Microsoft\SystemCertificates\CA
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001\Software\Microsoft\SystemCertificates\Disallowed

Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T19:56:12.610173900Z" />
    <EventRecordID>12311</EventRecordID>
    <Correlation ActivityID="{03112A40-F800-0000-8646-A609B17CCD01}" />
    <Execution ProcessID="1256" ThreadID="4012" />
    <Channel>Application</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">6 user registry handles leaked from \Registry\User\S-1-5-21-1569436129-2476984601-4093854514-1001:
Process 1112 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001\Software\Microsoft\SystemCertificates\My
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001\Software\Microsoft\SystemCertificates\CA
Process 676 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1569436129-2476984601-4093854514-1001\Software\Microsoft\SystemCertificates\Disallowed
</Data>
  </EventData>
</Event>

Název protokolu:Application
Zdroj:         Microsoft-Windows-User Profiles Service
Datum:         17.8.2012 21:59:49
ID události:   1515
Kategorie úlohy:Není
Úroveň:        Chyba
Klíčová slova:
Uživatel:      Terra\Pavel
Počítač:       Terra
Popis:
Systém Windows zálohoval profil tohoto uživatele. Systém se automaticky pokusí použít zazálohovaný profil při příštím přihlášení uživatele.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1515</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T19:59:49.136934500Z" />
    <EventRecordID>12354</EventRecordID>
    <Correlation ActivityID="{030B6A48-F800-0001-8702-476FB27CCD01}" />
    <Execution ProcessID="1280" ThreadID="1772" />
    <Channel>Application</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-21-1569436129-2476984601-4093854514-1001" />
  </System>
  <EventData>
  </EventData>
</Event>

Název protokolu:Application
Zdroj:         Microsoft-Windows-User Profiles Service
Datum:         17.8.2012 21:59:49
ID události:   1511
Kategorie úlohy:Není
Úroveň:        Chyba
Klíčová slova:
Uživatel:      Terra\Pavel
Počítač:       Terra
Popis:
Systém Windows nemůže nalézt místní profil. Budete přihlášeni pomocí dočasného profilu. Změny profilu budou při vašem odhlášení ztraceny.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1511</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-08-17T19:59:49.152534500Z" />
    <EventRecordID>12355</EventRecordID>
    <Correlation ActivityID="{030B6A48-F800-0001-8702-476FB27CCD01}" />
    <Execution ProcessID="1280" ThreadID="1772" />
    <Channel>Application</Channel>
    <Computer>Terra</Computer>
    <Security UserID="S-1-5-21-1569436129-2476984601-4093854514-1001" />
  </System>
  <EventData>
  </EventData>
</Event>


* Defragmentaci mám na SSD zakázanou
* V plánovači nemám žádnou událost pro defragmentaci.
* Na ram disk nic nepoužívám
* indexování mám zakázané
* hibernaci nepoužívám, max. spánek

Snažil jsem se vypnout vše, co by škodilo SSD disku

[Milanr1]

Díky za upřesnění!
Logy se otevírají příslušným nástrojem:
eventvwr.msc

Ověř funkčnost služby Superfetch:
cmd
sc query sysmain
Odpověď?

Dále bys měl zjistit, který nízkoúrovňový sw blokuje registr při odhlášení uživatele|ukončení OS.

[pavel35]

Pane jo, tak tomu říkám puzzle... Podařilo se mi otevřít ten ReadyBoost.etl log a opakuje se tam tato informace:

Kód: Vybrat vše

Název protokolu:
Zdroj:         Microsoft-Windows-FileInfoMinifilter
Datum:         17.8.2012 22:27:18
ID události:   1
Kategorie úlohy:(1)
Úroveň:        Informace
Klíčová slova: (65536)
Uživatel:      Není k dispozici
Počítač:       Terra
Popis:
Popis ID události 1 ze zdroje Microsoft-Windows-FileInfoMinifilter nebyl nalezen. Součást, která tuto událost vyvolává, buď není v místním počítači nainstalována, nebo je její instalace porušená. Můžete tuto součást opravit nebo nainstalovat do místního počítače.

Pokud událost pochází z jiného počítače, byly s událostí uloženy také informace potřebné pro zobrazení.

K události byly připojeny následující informace:

18446735965020616448
52
\Device\HarddiskVolume2\Windows\System32\C_20880.NLS

Nelze nalézt ID požadované zprávy

Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-FileInfoMinifilter" Guid="{a319d300-015c-48be-acdb-47746e154751}" />
    <EventID>1</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>1</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000010000</Keywords>
    <TimeCreated SystemTime="2012-08-17T20:27:18.424784700Z" />
    <EventRecordID>25793</EventRecordID>
    <Correlation />
    <Execution ProcessID="4292" ThreadID="3576" ProcessorID="0" KernelTime="35" UserTime="19" />
    <Channel>
    </Channel>
    <Computer>Terra</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="FileObject">0xfffff8a00c79f700</Data>
    <Data Name="PathLength">52</Data>
    <Data Name="Path">\Device\HarddiskVolume2\Windows\System32\C_20880.NLS</Data>
  </EventData>
</Event>


Dále bys měl zjistit, který nízkoúrovňový sw blokuje registr při odhlášení uživatele|ukončení OS.

Hm, kde to hledat? V události správy nic takového nevidím. Ještě tam je jedna varující zpráva, ale nevím, jestli má v tomto případě nějaký vliv na vzniklou situaci:

Hodnota řetězce vysvětlujícího textu čítače výkonu v registru je nesprávně naformátovaná. Chybně vytvořený řetězec je . První hodnota DWORD v datové oblasti obsahuje hodnotu indexu chybně vytvořeného řetězce, zatímco druhá a třetí hodnota DWORD v datové oblasti obsahují poslední platné hodnoty indexu.

sc query sysmain...

Kód: Vybrat vše

C:\>sc query sysmain

Název_služby: sysmain
        Typ                     : 20  WIN32_SHARE_PROCESS
        Stav                    : 1  STOPPED
        Ukončovací_kód_WIN32    : 1077  (0x435)
        Ukončovací_kód_služby   : 0  (0x0)
        Kontrolní_bod           : 0x0
        Nápověda_při_čekání     : 0x0

C:\>


[Milanr1]

Z nějakého důvodu, který z dosavadních informací není zřejmý (kolize z jiným sw?), havaruje služba Superfetch.
S rychlým SSD postrádá tato služba reálný smysl.
Co s tím?
Pokud jsi ji dosud nezakázal, zakaž dodatečně:
admin konzole cmd
sc config sysmain start= disabled #mezera za rovnítkem je povinná

Nezapomeň:
uložit, vymazat a nastavit max. velikost logu

C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl.
Maximální velikost souborů je aktuálně nastavena na 20 971 520 bajtů.

Předpokládám, že po zákazu služby se nebude tak rychle plnit.

Tahle hláška

Nelze nalézt ID požadované zprávy

ovšem sděluje, že se v OS vyskytují fatální chyby.
Co s tím dál?
1) Pátrej v admin logu.
2) Zkontroluj (ve spolupráci s kouzelníkem appwiz.cpl), jaký nekompatibilní nízkoúrovňový sw admin nainstaloval.

Btw:
Těší mě, že jsi tak pokročilý. Nepracuješ jako ajťák?

[pavel35]

Protokoly ve Win naprosto nepoužitelné. Nic neříkající hlášení, nad kterýma může uživatel kroutit hlavou a dohadovat se, co by tedy problém mělo způsobovat. Naprosto nepovedené audity. A přitom stačí přihodit alespoň seznam služeb a PID aplikací, které běží v okamžiku chyby. Mazec!

Vzal jsem to od podlahy. Půl dne jsem pro jistotu skenoval disk D:, na kterém mám uložená data a ten je v pořádku. Tedy uninstall jedné aplikace po druhé až mi nakonec zbyl v PC jen Avast. Pak jsem se vrhl na služby a díky SysInternals jsem se dobral k výsledku, že už mi jede jen Avast a Acronis, který jsem instalovat dodatečně pro zálohu hdd.

V předchozím jsem zmiňoval, že se mi podařilo v režimu nouze profil v pohodě spustit, jenže pak už se mi to nepovedlo. A pak mě trklo, že před tím jsem taky zkoušel Avast odinstalovat, ale byly s tím problémy. Takže opět uninstall Avast, ale mám problém, že se pak nepřihlásím do žádného profilu. Hned po přihlášení mě automaticky odhlásí. Jedině, kam se můžu přihlásit je nouzový režim, ve kterém jsem zkoušel i reinstalaci Avastu, odinstalaci a nevím co všechno, ale výsledek je pořád stejnej: automatický logout po loginu.

Teď zkouším nahodit zpátky obraz disku a zkusím si s tím ještě pohrát, ale nenapadá tě jak ten automatickej logout obejít? Nebo co by to mohlo způsobovat?

[Milanr1]

Většinou rootkit či jiný exploit.
Předpokládám, že admin vytvořil zálohu OS.
Vrať stav OS ze zálohy z doby bezvadného stavu:
sdclt

[pavel35]

Jo, to bych ji musel mít Ten obraz jsem udělal, až po tvé reakci. Mě vůbec nenapadlo, že by Bod obnovení mohl způsobit takový problémy. Než sem se vrhl sem do fóra, prohnal jsem to vším možným, včetně combofixu a žádnou veteš to "nenašlo".

Teď bych se potřeboval zbavit toho Avastu, zatím to vypadá, že ten je zdrojem mých problémů.

V podstatě jsem smířenej s tím, že mě čeká nová čistá instalace systému, ale rád bych tomu přišel na kloub, aby se to do budoucna neopakovalo. S automatickým odhlášením po loginu jsem se ještě nesetkal. To se blbě obchází.

[Milanr1]

Nízkoúrovňový sw nelze nikdy zcela odinstalovat.
Můžeš v nouzovém režimu aspoň zastavit/zakázat jeho služby, např. pohodlně v GUI:
services.msc
Kdybys znal názvy služeb, můžeš je přímo smazat, např. v admin konzoli cmd:
sc delete [služba]
nebo v přímo v registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Před hrátkami s registrem zálohuj příslušnou větev.

[pavel35]

Tak mám konečně jasno. Nakonec nebyl problém s žádnou službou ani sw, ale s tím, co jsem uváděl v prvním příspěvku: mklink.

On tedy není problém s prolinkováním obou složek, ale Win 7 má jednu velkou slabinu, že neumí linkovat na číslo jednotky, ale pouze na přiřazené písmeno. Kámen úrazu je v tom, že při obnovení z bodu v čase tyto informace nejsou přeneseny a disky se řadí k písmenům v úplně jiném pořadí. Tedy z mého disku D se stal disk E.

Za zmínku stojí, že systém nepřiřazuje písmena podle zapojení v MB (vše SATA), ale podle nějaké zvláštní (ne)logiky. Zkoušel jsem několikrát bootovat do konzole z DVD a jednou se mi disk s daty zobrazil pod D: jindy pod E:

Tedy prolinkování složek je velmi šikovná věc, ale má to jistá úskalí. Jedním z nich je to, že před obnovením systému je nezbytné prolinkování zrušit a přenést data zpět do původních složek, v mém případě tedy pro úplnost:

Kód: Vybrat vše

# odstranění prolinkování/propojení složek
# pozor, pouze v konzoli v rámci instalačního média !

robocopy D:\DataApp\Users D:\DataApp\Users_bak /MIR /XJ /COPYALL
robocopy D:\DataApp\ProgramData D:\DataApp\ProgramData_bak /MIR /XJ /COPYALL

rmdir D:\DataApp\Users /S /Q
rmdir D:\DataApp\ProgramData /S /Q

rmdir C:\Users /S /Q
rmdir C:\ProgramData /S /Q

robocopy D:\DataApp\Users_bak C:\Users /MIR /XJ /COPYALL
robocopy D:\DataApp\ProgramData_bak C:\ProgramData /MIR /XJ /COPYALL

Poznámka: písmena jednotek se mohou v konzole lišit!


Asi by stačil i tento následující postup, ale netestoval jsem ho:

Kód: Vybrat vše

rmdir C:\Users /S /Q
rmdir C:\ProgramData /S /Q

robocopy D:\DataApp\Users C:\Users /MIR /XJ /COPYALL
robocopy D:\DataApp\ProgramData C:\ProgramData /MIR /XJ /COPYALL

rmdir D:\DataApp\Users /S /Q
rmdir D:\DataApp\ProgramData /S /Q

Poznámka: písmena jednotek se mohou v konzole lišit!


A až po těchto předchozích krocích provést recovery.

Důvody, proč přesouvat celou složku C:\Users a C:\ProgramData jsou diskutabilní a dost individuální, ale v mém případě je to jediná možnost, jak zbytečně nezatěžovat SSD (oproti běžnému uživateli velice často zapisuji na disk v obou složkách).

Hledal jsem i jiná řešení, ale překvapivě žádné není ideální a každé má své pro a proti. Je s podivem, že tak banalní věc není schopen OS ošetřit.

Milanr1: Tobě chci poděkovat za snahu pomoci. Je fajn vědět, že se najdou týpci, co maj chuť věci přijít na kloub. Aspoň jsem se konečně dostal k protokolům. Teď už si to mašíruju na čisté instalaci, ale tentokrát s obrazem