Prohlížeč událostí

Diskuze výhradně o operačním systému Windows 8

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod ROSTULA 30. 1. 2013 11:17

V prohlížeči událostí se mi neustále objevuje hláška a ani po projetí Googlu nejsem z toho chytrý.

Počítač: ROSTULA
Popis:
Systém Windows zjistil, že soubor registru je stále používán jinými aplikacemi nebo službami. Soubor bude nyní uvolněn. Aplikace nebo služby, které soubor registru používají, nemusejí potom fungovat správně.

PODROBNOSTI –
1 user registry handles leaked from \Registry\User\S-1-5-21-888408782-2197530324-3326055002-1001:
Process 384 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-888408782-2197530324-3326055002-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall

Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
<EventID>1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2013-01-29T19:55:13.855424800Z" />
<EventRecordID>3258</EventRecordID>
<Correlation ActivityID="{85A6274B-FE56-0000-A228-A68556FECD01}" />
<Execution ProcessID="936" ThreadID="2108" />
<Channel>Application</Channel>
<Computer>ROSTA</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-888408782-2197530324-3326055002-1001:
Process 384 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-888408782-2197530324-3326055002-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall
</Data>
</EventData>
</Event>
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 12:20

Nesdělil jsi základní info:
viewtopic.php?f=1864&t=1095449
Především verzi OS a nainstalovaný nekompatibilní nízkoúrovňový sw/ovladač.

Příčina hlášky:
Nějaký odinstalační proces nebyl korektně ukončen. Odinstalátor se neustále na pozadí snaží o nápravu -> marně: příslušný klíč v registru je otevřen i při korektním ukončení OS.
Obvykle to zapřičiní nekompatibilní aplikace/služba s danou verzí OS.
V tomto případě se evidentně jedná o nekompatibilní službu, která stále běží i při ukončování OS a zapisuje do registru.
Hláška vznikne, protože OS se pokouší všechny registry korekně uzavřít před ukončením své práce.

Co s tím?
Čistý boot (= ekvivalent nouzového režimu).
Objeví se tato hláška znovu?

Prevence:
potenciálně nekompatibilní sw testovat:
A/ ve zkušebním OS/PC;
B/ ve virtuálu.
Nikdy neinstalovat do provozního OS.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 13:09

Mám upgrade Windows 8 pro 64bit Upgrade z Windows 7 Home premium. Dělal jse již druhou reinstalaci kvůli jinému problému a hláška byla i v tom předchozím.

-- 30. 1. 2013 13:11 --

neexistuje nějaký FixIt ?

-- 30. 1. 2013 13:14 --

Nemůže to souviset z druhou chybou kterou tam mám ? Víc už jich tam fakt nemám.


Název protokolu:System
Zdroj: Microsoft-Windows-Kernel-PnP
Datum: 30. 1. 2013 6:46:00
ID události: 219
Kategorie úlohy:(212)
Úroveň: Upozornění
Klíčová slova:
Uživatel: SYSTEM
Počítač: ROSTULA
Popis:
The driver \Driver\WudfRd failed to load for the device WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC&PROD_USB_SM_READER&REV_1.02#058F312D81B&2#.
Kód XML události:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Kernel-PnP" Guid="{9C205A39-1250-487D-ABD7-E831C6290539}" />
<EventID>219</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>212</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2013-01-30T05:46:00.681502500Z" />
<EventRecordID>2629</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="56" />
<Channel>System</Channel>
<Computer>ROSTA</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="DriverNameLength">117</Data>
<Data Name="DriverName">WpdBusEnumRoot\UMB\2&amp;37c186b&amp;0&amp;STORAGE#VOLUME#_??_USBSTOR#DISK&amp;VEN_GENERIC&amp;PROD_USB_SM_READER&amp;REV_1.02#058F312D81B&amp;2#</Data>
<Data Name="Status">3221226341</Data>
<Data Name="FailureNameLength">14</Data>
<Data Name="FailureName">\Driver\WudfRd</Data>
<Data Name="Version">0</Data>
</EventData>
</Event>
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 13:31

Možná jsi objevil příčinu:
Nekompatibilní legacy ovladač na úrovni jádra OS, asi dovlečený z předchozí verze OS?
(Není nad čistou instalaci OS! ;-) )
Co s tím?
1) Vyhoď příslušný ovladač ze Správce zařízení:
devmgmt.msc
(sekce USB).
2) Restartuj OS.
Pomohlo?
ANO:
OK
NE:
1) Resetuj kompletní USB řadič (-> Odinstalovat).
2) Restartuj OS.
Služba PnP inicializuje automatické doplnění korektní verze ovladače řadiče USB.

Btw:
Ověř v registru:
HKEY_USERS
že daný účet
ROSTULA píše:S-1-5-21-888408782-2197530324-3326055002-1001

je Tvůj.
Mohlo by se jednat o jiný uživatelský účet, který čte z Tvého registru.
Např.:
A/ původní účet, který zhavaroval; vytvořil sis nový, ale původní jsi zapomněl zlikvidovat;
B/ hackerský účet;
C/ apod.
Ověř také, že služba RemoteRegistry je zakázaná.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 13:48

Dělal jsem čistou instalaci tzn. formát a následně instalace. Ve složce USB je 19 ovladačů a všechny jsou funkční a aktualizované.
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 14:00

První chyba = běžná <= zmatek v registru.
Druhá chyba = fatální.
Vyřeš ji.
Nekompatibilní ovladač může vyvolávat kritické chyby => zničení OS.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 14:01

Seš fakt borec kterého uznávám, ale jak to mám vyřešit? proto jsem tady.

-- 30. 1. 2013 14:05 --

Seš fakt borec kterého uznávám, ale jak to mám vyřešit? proto jsem tady.
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 14:06

Díky, jen ajťák > 30 let. :-)
Obecný návod k likvidaci nekompatibilního ovladače USB řadiče/čtečky:
Milanr1 píše:1) Vyhoď příslušný ovladač ze Správce zařízení:
devmgmt.msc
(sekce USB).
2) Restartuj OS.
Pomohlo?
ANO:
OK
NE:
1) Resetuj kompletní USB řadič (-> Odinstalovat).
2) Restartuj OS.
Služba PnP inicializuje automatické doplnění korektní verze ovladače řadiče USB.

Pomůže to jen za předpokladu, že pro daný hw existuje kompatibilní ovladač, jinak OS vrátí původní vadný.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 14:08

Já fakt nevím který ovladač všechny jsou aktualizované čili fungují.
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 14:11

Máš to přesně definované v hlášce:
ROSTULA píše:USBSTOR#DISK&VEN_GENERIC&PROD_USB_SM_READER

=> pravděpodobně nějaká USB čtečka/řadič/mobil/tablet?
Na dálku fakt netuším, jaký používáš hw. ;-)
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 14:13

Jak vložím Screan ?
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 14:15

1) Výstřižky -> Obkroužit -> Sejmout -> Uložit
2) Vložit bitmapu do svého příspěvku:
http://superforum.zive.cz/viewtopic.php ... 3#p6430893
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 14:21

Všechny ovladače po rozkliknutí pracují správně.
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 14:28

Chybné informace v Device Manageru. :-)
MS vydal novou verzi obecného ovladače pro USB čtečky:
http://support.microsoft.com/kb/978977
pro Vistu/W7/WS 2008/R2.
Mrkni se, zda MS už nenabízí totéž pro W8.
Pokud ne: vyčkej.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 14:53

Nenabízí. Všechno pro W 8 je v plenkách.
ROSTULA
Junior

Odeslat příspěvekod Milanr1 30. 1. 2013 15:12

Mrkni se, zda výrobce (MB/čtečky/...) nenabízí novější ovladač pro W8.
Pokud ne: vyčkej.
OS WNT bez SP = v podstatě zkušební beta-verze.
Např. OS WXP/32 byl poprvé použitelný až po vydání SP2 v r. 2005 = 5 let po uvolnění první RTM v r. 2000.
Když sis zvolil nehotový OS, musíš počítat s tím, že jsi v podstatě beta-testerem. ;-)
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 15:30

No jestli testerem, tak špatným.

-- 30. 1. 2013 17:30 --

I tak moc díky.
ROSTULA
Junior

Odeslat příspěvekod MiliNess 30. 1. 2013 23:52

Co se týká té události s otevřeným klíčem registru, není nic jednoduššího, než stáhnout Process Explorer, postupně prohlížet hostitelshé procesy svchost, prohlížet handly typu "Key", které mají právě otevřené a hledat zmíněný klíč. Tak lze zjistit službu, která má ten klíč otevřený.
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod Milanr1 31. 1. 2013 06:40

Process Explorer = silný nástroj od geniálního Marka Russinoviče.
Stahuj vždy od výrobce:
http://technet.microsoft.com/it-it/sysinternals/bb896653(en-us).aspx
Obsahuje obě verze (32 + 64 bit).

// Omlouvám se: opraveno.
Závorky v URL působí problémy. ;-)
Naposledy upravil Milanr1 dne 31. 1. 2013 09:01, celkově upraveno 1
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 31. 1. 2013 08:58

Stránka nebyla nalezena.

-- 31. 1. 2013 09:18 --

Přiznám se bez mučení nevím co to je handl typu key.

-- 31. 1. 2013 09:25 --

Našel jsem tam dva dasHOST.exe a WUDFHost.exe když rozkliknu oba tak je u nich napsáno error opening proces. Co teď s nima jdou v tom programu smazat ?
ROSTULA
Junior

Odeslat příspěvekod MiliNess 31. 1. 2013 10:02

Spusť Process Explorer s právy správce (pravý myšoklik na ikonu PE a Spustit jako správce)

-kliknutím na hlavu sloupce Process zruš stromové zobrazování procesů (srovnají se abecedně)
-stiskni Ctrl+L nebo ikonu Show lower pane (zobrazí spodní panel)
-stiskni Ctrl+H nebo ikonu View Handles (ve spodním panelu zobrazí otevřené handly k objektům jádra)
-klikni na první proces svchost.exe a ve spodním panelu hledej handle typu Key ke klíči
....Software\Microsoft\Windows\CurrentVersion\Uninstall
(celý název klíče bude HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall)
-opakuj to s dalšími procesy svchost.exe
-pokud handle příslušného klíče najdeš, dvojklikni na příslušný svchost.exe a vyber záložku Services.
Tam uvidíš služby, které proces hostí.

Alternativa k hledání otevřeného klíče pomocí Process Exploreru je utilita Handle.
(např. handle -a uninstall -p svchost.exe)

Druhá možnost je udělat si seznam procesů svchost.exe podle ID procesu a vypsat si služby, které hostí.
Po restartu mrkneš do protokolu událostí, podíváš se na
<Execution ProcessID="936" ThreadID="2108" /> v události zapsané při posledním vypnutí.
V seznamu který sis udělal najdeš příslušné ID procesu a víš, které služby to mohly dělat. Pak je budeš postupně zakazovat, až narazíš na příslušnou službu, která si drží otevřený ten klíč.
ID procesů se při každém novém vytvoření procesu mění, takže současné ID svchost procesů nebudou souhlasit s ID před restartem.
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod ROSTULA 31. 1. 2013 10:43

Tak jsem to provedl podle postupu 1. Po rozkliknutí je tam jenom název.

-- 31. 1. 2013 11:01 --

Přílohy
Výstřižek.PNG
ROSTULA
Junior

Odeslat příspěvekod MiliNess 31. 1. 2013 17:44

Spusť konzolu services.msc, Zkus vždy zastavit jednu službu, zakázat její spuštění a restartovat počítač. Pak v process exploreru hledat ten otevřený klíč. Až ho nenajdeš otevřený, trefil jsi tu službu. Pak už jen stránky MS nebo google a hledat způsob opravy.
W8 ještě nemám rozmontované, takže ti neřeknu, jestli je mezi těmi službami i nějaká pro systém životně důležitá.
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod Milanr1 31. 1. 2013 17:52

Služby v OS W8 se nijak zásadně neliší od jiných verzí OS WNT řady 6.
Je to prostě jen ořezaný W7 a hodně ořezaná Vista.
Všechny uvedené služby najdeš v každé verzi 6. řady OS WNT.
Obě chybové hlášky spojuje běžící služba fdpHost.
Nic se nestane, pokud ji na chvilku zastavíš a restartuješ OS.
Samozřejmě za předpokladu, že není právě v provozu Home Group a neběží vzdálené vysílání pomocí Media Center Extender.
Po restartu znovu prohlédni logy.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod oooooooooo 1. 2. 2013 10:10

Spust powershell a tady maš script od Muscata.
Co znamenaji jednotlive barvy maš popsany ve scriptu.Tak jak to je copy - paste - enter
$FgText1 = "DarkGreen"
$FgText2 = "DarkGray"
$FgError="Red"

Write-Host("==============================================================================") -foreground $FgText1;
Write-Host("SvcHost Explorer...") -foreground $FgText1;
Write-Host("==============================================================================") -foreground $FgText1;
Write-Host("");
$ProcessToCheckFor = "'svchost.exe'";
$TotalProcessesCount = 0;
$TotalServicesCount = 0;

# Create a list of process handles which are running on the system
$PidList = @(Get-WmiObject win32_process -Filter "name=$ProcessToCheckFor");
$TotalProcessesCount = $PidList.length;

$PidHandleList = $PidList | Foreach-Object { $_.Handle };

Write-Host("Total {0} Processes Count: {1}" -f $ProcessToCheckFor, $TotalProcessesCount) -foreground $FgText1;

Write-Host("------------------------------------------------------------------------------") -foreground $FgText1;
Write-Host("");
$CurrentPos = 0;

# For every process detected, check which windows services are running under
# that process
foreach ($procid in $PidHandleList){
$CurrentPos +=1;
$ServicesUnderThisPID = @(Get-WmiObject win32_service -Filter "processID = $procid");

if($ServicesUnderThisPID.length -gt 0){
$ShowHeader = $True;
$PossibleMalware = $False;

$ProcGroup = "";

# For every windows service, break down the command triggered to ensure of
# proper format
# Typical format: C:\Windows\system32\svchost.exe -k netsvcs

foreach($serv in $ServicesUnderThisPID){
if($ProcGroup -eq("")){
$ProcGroup = $serv.PathName;
$CommandComponents = @($ProcGroup.Split(" "));
if ($CommandComponents.length -eq 3 ){
$ProcGroup = $CommandComponents[2];
}
else{
$ProcGroup = "WARNING: POSSIBLE MALWARE - NON STANDARD RUN COMMAND DETECTED";
$PossibleMalware = $True;
}
}

if($ShowHeader){
if($PossibleMalware){
Write-Host("{0}" -f $ProcGroup);
}
else {
Write-Host("Process {0,2} - (Process ID: {1}) - (Services running under this process: {2})" -f $CurrentPos, $procid, $ServicesUnderThisPID.length) -foreground $FgText1;
Write-Host(" (Group {0})" -f $ProcGroup) -foreground $FgText1;
}
$ShowHeader = $False;
}

Write-Host(" {0}" -f $Serv.Name);
Write-Host(" {0}" -f $Serv.DisplayName) -foreground $FgText2;

$DescriptionProc = $Serv.Description;
$DescriptionProc = @($DescriptionProc.Split(" "));
$TempStr = " ";
foreach($word in $DescriptionProc){
if ($TempStr.length -lt 67){
$TempStr += $Word + " ";
}
else{
Write-Host( "{0}" -f $TempStr) -foreground $FgText2;
$TempStr = " ";
}
}
}
}
else {
Write-Host("WARNING: POTENTIAL MALWARE: NO WINDOWS SERVICE DETECTED") -foreground $FgError;
Write-Host(" AS RUNNING UNDER THIS PROCESS. CAN BE A MALWARE RUNNING") -foreground $FgError;
Write-Host(" UNDER THE NAME {0} TO DISGUISE ITSELF" -f $ProcessToCheckFor) -foreground $FgError;
}
" ";
$TotalServicesCount += $ServicesUnderThisPID.length;
}

Write-Host("------------------------------------------------------------------------------") -foreground $FgText1;
Write-Host("Summary:") -foreground $FgText1;
Write-Host("------------------------------------------------------------------------------") -foreground $FgText1;
Write-Host("Total {0} processes counted: {1}" -f $ProcessToCheckFor, $PidList.length) -foreground $FgText1;
Write-Host("Total services running under these processes: {0}" -f $TotalServicesCount) -foreground $FgText1;
Write-Host("==============================================================================") -foreground $FgText1;
Write-Host("");
Write-Host("");
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 1. 2. 2013 11:51

Je to trestuhodné, vím to, ale nemohl jsem jinak. Prostě jsem W8 odinstaloval a přešel zpět k W 7. Rozcupujte mě. Máte na to právo. Napřed Vás tady okrádám o čas a pak to vzdám.A nejen pro tento problém ale je toho spousta. Jinak řečeno nebudu nedobrovolným testerem. Je to prostě paskvil. K těm sedmičkám. Všechno proběhlo hladce a je funkční, přesto se jedna chybička vloudila. Bude to samozřejmě již v sekci Windows 7.
ROSTULA
Junior

Odeslat příspěvekod oooooooooo 1. 2. 2013 14:35

Bez chyb system neexistuje.Prošel jsem DOS,všechny WIN,všechny podstatne linuxove distribuce,něco z jablečnych akcí..
Jsou ale chyby kdy člověk kouka do eventlogu a tam vidí chybu a potom jsou chyby kdy něco nefunguje - obojí se nemusí krýt,existuje spousta scenařů kdy tě eventlog nemusí zajimat.Mimochodem ted řešim novej chipset pro android - co to děla na Vistach a Seven pokud musiš pracovat s udělatkem ktery je pro chipset dodavaný abys mohl určity věci věci dělat při připojeni k usb je horror.W8 je mrtvy bod uplně.Na XP za jistych podmínek.Na linuxovych distribucich horror na osmou.Vůbec to nevyčitam systemu - mům.Problem je že vyrobce procaků použil osvědčenou taktiku k vyrobě problemů - uplně uzavřenej kod takže na rozdil od konkurence s jinym chipsetem nejde udělatko upravit,driver opravit a navazuje na to milion dalšich problemů.W8 nijak nefandim - považuju to za komickej bastl kvuli dvojimu gui ale za všechno OS nemůže...Pokud prop něj vyrobce někdy nedoda vyladěnou věc tak OS je nahranej pokud je uzavřenej kod.Hm tak nějak škodolibost - posledni roky se MS vrati jeho vlastni medicina.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 1. 2. 2013 14:51

Díky za vysvětlení.
ROSTULA
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků