У меня постоянно какие-то проблемы.
Компьютер медленно загружается и работает; я отключил установщик модулей виндовс и планировщик заданий, и некоторые другие службы, система начала просто "летать", очень быстро загружалась и реагировала.
Но потом неожиданно компьютер не хотел загружаться, стали выскакивать уведомление, что, мол, ваша копия виндовс не является подлинной, ваш ключ продукта больше не действительный.
Я пытался вводить еще раз код, но не получалось, потому что у меня почему-то по умолчанию русский язык, а код использует английские буквы, которые я не мог напечатать изза отсутствия возможности переключить расскладку клавиатуры.
Потом я както ухитрился ввести их, сначала на экране приветствия и запроса логина и пароля я включил виртуальную клавиатуру, но оказалось, что на ней тоже только русские буквы, потом я запустил справку, пытался найти код английских букв, чтобы ввести их через алт+код, сначала не нашел, но потом нашел и запустил таблицу символов, сначала не получалось скопировать буквы, но потом получилось.
Когда виндовс начала запускаться без окна "ваша копия виндовс не является подлинной", я заметил, что языковой панели так и нет, и что переключать языки не возможно.
Пришлось включить снова Планировщик заданий и Установщик модулей виндовс. Языковая панель появилась.
Потом я начал гуглить, и узнал, что языковую панель можна запустить напрямую из C:\Windows\System32\ctfmon.exe.
У меня этот вирус подменивал собой файл ctfmon.exe, и поэтому я еще раньше отключил автозагрузку файла ctfmon.exe.
Интересно, что такое Ink correction для каждого языка на языковой панеле?
Вы порекомендовали установить все обновления, я пробовал, но на каком-то обновлении процес застрял, и постоянно установливал одно и тоже обновление.
Потом я просто включил автоматическое обновление, но это чревато последствиями.
У меня теперь опять компьютер медленно загружается и работает, даже хотя Планировщик заданий отключен, а Установщик модулей виндовс сам перестал работать изза отсутствия места на диске. И постоянно свободного пространства на диске С нет, хотя я уже и так удалил все, что можна удалить.
C:\Windows\Installer (484 МБ)
C:\Windows\assembly (странная папка-файл, 636 МБ)
C:\Windows\Boot\PXE (странная папка из кучей неиспользуемых языков) 1,37 МБ
C:\Boot (еще одна странная папка из кучей неиспользуемых языков + memtest.exe + BCD) 13,5 МБ
C:\ProgramData 1,24 ГБ (странная папка, дублирует папки "AppData" и "Application Data" в каждом юзере. C:\Users\All Users; C:\Users\Default; C:\Users\Default User
C:\Windows\SoftwareDistribution\Download 2,22 ГБ (дофига папок, которые очень много места занимают)
C:\Windows\winsxs 4,33 ГБ (тоже дофига папок, которые очень много места занимают)
Кстати, есть ли резон посмотреть события?
У меня постоянно повторяются события (ошибки)
Сбой при запуске службы "Parallel port driver" из-за ошибки
Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.
Последнее: 24.11.2011 4:47:22
IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 7, функция 0. Обратитесь к поставщику компьютера за технической поддержкой.
Последнее: 24.11.2011 4:45:21
IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 6, функция 0. Обратитесь к поставщику компьютера за технической поддержкой.
Последнее: 24.11.2011 4:45:20
IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 5, функция 0. Обратитесь к поставщику компьютера за технической поддержкой.
Последнее: 24.11.2011 4:45:20
Регистрация сервера {752073A1-23F2-4396-85F0-8FDB879ED0ED} DCOM не прошла за отведенное время ожидания.
Подача: DistributedCOM; Последнее: 24.11.2011 4:42:38
wuaueng.dll (1832) SUS20ClientDataStore: An attempt to open the file "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" for read / write access failed with system error 32 (0x00000020): "Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ". The open file operation will fail with error -1032 (0xfffffbf
.
Подача: ESENT; Последнее: 24.11.2011 4:42:38
Интересные события-предупреждение, тоже повторяющиеся
Служба автонастройки беспроводной сети остановлена успешно.
Подача: WLAN-AutoConfig; Дата: 24.11.2011 4:44:22
Ошибка обработки критического события уведомления подписчика уведомлений winlogon <TrustedInstaller>.
Подача: Winlogon; Дата: 24.11.2011 4:43:27
Подписчик уведомлений winlogon <TrustedInstaller> потратил 420 сек. на обработку события уведомления (CreateSession).
Подача: Winlogon; Дата: 24.11.2011 4:43:27
Подписчик уведомлений winlogon <TrustedInstaller> тратит слишком много времени на обработку события уведомления (CreateSession).
Подача: Winlogon; Дата: 24.11.2011 4:37:26
Подписчик уведомлений winlogon <TrustedInstaller> потратил 103 сек. на обработку события уведомления (CreateSession).
24.11.2011 4:32:10
Другие ошибки
Служба "Установщик модулей Windows" завершена из-за ошибки
Недостаточно места на диске.
Подача: Поставщик журнала событий диспетчера управления службами; Дата: 24.11.2011 4:26:58
wuaueng.dll (1560) SUS20ClientDataStore: An attempt to write to the file "C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb" at offset 0 (0x0000000000000000) for 12288 (0x00003000) bytes failed after 0 seconds with system error 112 (0x00000070): "Недостаточно места на диске. ". The write operation will fail with error -1808 (0xfffff8f0). If this error persists then the file may be damaged and may need to be restored from a previous backup.
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы безопасности Windows Vista (KB972270).
Службе Windows Servicing не удалось завершить процесс перевода пакета KB972270 (Security Update) в состояние По умолчанию (Default)
Службе Windows Servicing не удалось завершить процесс перевода пакета KB972270 (Security Update) в состояние Сопоставление (Resolving)
(и так еще 4 раза)
Службе Windows Servicing требуется перезагрузка, чтобы завершить процесс перевода обновления 972270-36_neutral_PACKAGE из пакета KB972270(Security Update) в состояние Сопоставление(Resolving)
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Накопительное обновление для системы безопасности Internet Explorer 7 в составе Windows Vista (KB978207).
Служба Windows Servicing определила, что пакет KB972270(Security Update) не подходит для данной системы
Служба Windows Servicing определила, что пакет KB978207(Update) не подходит для данной системы
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление системы безопасности для ОС Windows Vista (KB953733).
Служба Windows Servicing определила, что пакет KB971468(Security Update) не подходит для данной системы
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Накопительное обновление системы безопасности для Windows Mail для ОС Windows Vista (KB929123).
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы безопасности Windows Vista (KB971657).
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы безопасности Windows Vista (KB956744).
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы Microsoft Office 2007 (KB250895
.
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление системы безопасности для ОС Windows Vista (KB955069).
и так далее
Служба Windows Servicing определила, что пакет KB975929(Hotfix) не подходит для данной системы
Не удалось прочесть раздел реестра для строк счетчиков производительности, определенных для языка с ИД 019. Первое двойное слово DWORD в секции данных содержит код ошибки Win32.
Не удалось прочесть раздел реестра для строк счетчиков производительности, определенных для языка с ИД 009. Первое двойное слово DWORD в секции данных содержит код ошибки Win32.
Системе не удалось очистить данные журнала транзакций. Возможны повреждения данных.
Произошла ошибка определения свойства "SqlRun" продукта "{E09B48B5-E141-427A-AB0C-D3605127224A}" при запросе компонента "{436D7A23-36BE-11D2-ACBB-0080C7FCBB84}"
Произошла ошибка определения компонента "{E7C6EB85-E576-47AA-A5A3-5458A109F4EF}", свойства "SqlRun", продукта "{E09B48B5-E141-427A-AB0C-D3605127224A}". Ресурс "C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe" не существует.
Сбойное приложение Explorer.EXE, версия 6.0.6000.16386, штамп времени 0x4549b091, сбойный модуль ntdll.dll, версия 6.0.6000.16386, штамп времени 0x4549bdc9, код исключения 0xc0000005, смещение ошибки 0x000620e3, ИД процесса 0xe7c, время запуска приложения 0x01cca9fc9eb79cb3.
Интересные другие события
Сбойное приложение Explorer.EXE, версия 6.0.6000.16386, штамп времени 0x4549b091, сбойный модуль ntdll.dll, версия 6.0.6000.16386, штамп времени 0x4549bdc9, код исключения 0xc0000005, смещение ошибки 0x000620e3, ИД процесса 0xe7c, время запуска приложения 0x01cca9fc9eb79cb3.
Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\*.*. Это было сделано для подписчика WUA.
Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\34659b581c42c4ee6099085481cc8599\*.*. Это было сделано для подписчика WUA.
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\AVGIDSEH.sys
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\AVGIDSDriver.sys
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Program Files\AVG\AVG2012\Drivers\ErHrVx86\AVGIDSEH.sys
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Program Files\AVG\AVG2012\Drivers\Vista\AVGIDSDriver.sys
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.18311_none_b3144862666d6db3\tcpip.sys
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\uji5ndc3.sys
Повторяющиеся событие
Брандмауэру Windows не удалось уведомить пользователя о том, что прием входящих сетевых подключений для приложения заблокирован. 24.11.2011 4:47:11
Но в 4:47:11 я спал, меня не зачем было уведомлять о том, что прием входящих сетевых подключений для приложения заблокирован.
Что за
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x2f9ac
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Дата: 24.11.2011 4:47:05
Я ведь в 4:47:05 не входил в систему и вообще, по-моему, отключил анонимный вход, как это событие могло произойти?
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: SYSTEM
Имя учетной записи: MAMA2NOTEBOOK$
Домен учетной записи: MSHOME
Код входа: 0x3e7
Тип входа: 5
Новый вход:
ИД безопасности: SYSTEM
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x384
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект:
ИД безопасности: SYSTEM
Имя учетной записи: MAMA2NOTEBOOK$
Домен учетной записи: MSHOME
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Были использованы учетные данные следующей учетной записи:
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
GUID входа: {00000000-0000-0000-0000-000000000000}
Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost
Сведения о процессе:
Идентификатор процесса: 0x384
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Сетевой адрес: -
Порт: -
Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например назначенных задач, или выполнении команды RUNAS.
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
А что значит значение 5 в поле "Тип входа"???
Интересно: в 23.11.2011 18:17:14 такое событие:
Выход, запрошенный пользователем:
Субъект:
ИД безопасности: MAMA2NOTEBOOK\Богдан
Имя учетной записи: Богдан
Домен учетной записи: MAMA2NOTEBOOK
Код входа: 0x2c62a
Данное событие возникает, когда выход начат, но значение счетчика ссылок на маркер не равно нулю и сеанс входа уничтожить нельзя. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
А после этого: в 23.11.2011 18:18:05 такое событие: (но я ведь отключил анонимный вход???? У меня стоит значение 2 в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA в параметре RestrictAnonymous)
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x27f80
Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Системное время изменено.
Субъект:
ИД безопасности: LOCAL SERVICE
Имя учетной записи: LOCAL SERVICE
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e5
Сведения о процессе:
Идентификатор процесса: 0x63c
Имя: C:\Windows\System32\svchost.exe
Предыдущее время: 18:18:03 23.11.2011
Новое время: 18:18:03 23.11.2011
Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 0
Новый вход:
ИД безопасности: SYSTEM
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: -
Пакет проверки подлинности: -
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
DCOM запустил службу netman с аргументами "", чтобы запустить сервер:
{BA126AD1-2166-11D1-B1D0-00805FC1270E}
Скрыть