Журнал доступа в кусте очищен что это
Журнал доступа в кусте очищен что это
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Вопрос
Привет, проблема следующая:
в компании есть компы с вин 8 и 8.1 у всех есть ИБП, но бывает что не спасает от скачков и долгих отключений.
после таких отключений комп начинает грузится просит логин\пароль, при этом фон кастомный и картинка учетки тоже, как только вводишь учетные данные он меняет все на дефолт, пишет «начинаем» (как при первом запуске вобщем дальше все) и загружается в абсолютно чистую систему, ни установленных программ, ни документов, ни точек восстановления. Уже было случаев 5-7 таких. Винда лицензия, ups 500. Журнал событий кстати не сбрасывается, в нем есть событие что отключение было неожиданным код (6008), пропало питание (41), ntfs том работоспособен (98) и далее самые интересные события:
Kernel-General код (16)
Журнал доступа в кусте \SystemRoot\System32\Config\SAM очищен; обновлено разделов: 70; создано измененных страниц: 7.
Журнал доступа в кусте \SystemRoot\System32\Config\SECURITY очищен; обновлено разделов: 100; создано измененных страниц: 6.
Журнал доступа в кусте \SystemRoot\System32\Config\DEFAULT очищен; обновлено разделов: 308; создано измененных страниц: 45.
Журнал доступа в кусте \SystemRoot\System32\Config\SOFTWARE очищен; обновлено разделов: 143229; создано измененных страниц: 12253.
Журнал доступа в кусте \Device\HarddiskVolume1\Boot\BCD очищен; обновлено разделов: 59; создано измененных страниц: 8.
Журнал доступа в кусте \??\C:\WINDOWS\ServiceProfiles\NetworkService\NTUSER.DAT очищен; обновлено разделов: 99; создано измененных страниц: 16.
и далее по всем папкам и веткам реестра он удаляет все! Компы разные, от ASUS P5b* до P8b* на некоторых ССД,
восстанавливать задолбался, если честно (
Как прекратить это безобразие?
Апдэйт, с питанием не связано. Пользователи говорят что либо сам перезагружается либо просит поставить обновления и после перезагрузки все чистит.
неужели только у меня такая проблема? за последнюю неделю еще 3 машины «обнулилилсь»
антивирусник Каспер тотал на всех машинах, лишнего ничего не находит.
Недокументированные возможности Windows: регистрация событий доступа к ключам реестра
Начиная с Windows 8 пользователи операционной системы могут заметить в журнале системных событий такое сообщение: «The access history in hive […] was cleared updating [. ] keys and creating [. ] modified pages». Что же скрывается за этим сообщением?
Если кто-нибудь следил за обновлением структур реестра в отладочных символах, то он мог заметить, что в Windows 8 в структуре, отвечающей за хранение ключа реестра, появилось числовое поле «Access bits» («Биты доступа», если по-русски); соответствующая область памяти была зарезервирована начиная с Windows NT 3.5 и ранее использовалась в Windows NT 3.1 для хранения числового значения «Title index». В описании структуры ниже зарезервированное поле, под именем «Spare», находится по смещению +0x00c, его новое название в Windows 8 — «AccessBits».
Структура nt!_CM_KEY_NODE в Windows 7 (в Windows 8 поле «Spare» стало полем «AccessBits»)
В результате изучения ядра Windows было установлено, что данное поле обновляется при каждом открытии или изменении ключа реестра в большинстве кустов реестра, а процитированное в начале статьи сообщение из журнала свидетельствует об очистке указанного поля у всех ключей реестра в определенном кусте путем записи нулевого значения. Очистка битов доступа происходит при подключении куста реестра, если с момента предыдущей очистки битов доступа у данного куста прошли семь суток.
Поле «Access bits» обновляется путем записи в него значения в соответствии со следующими битовыми масками:
| Битовая маска | Описание |
|---|---|
| 0x1 | Доступ к ключу реестра происходил до инициализации реестра вызовом функции NtInitializeRegistry() во время загрузки |
| 0x2 | Доступ к ключу реестра происходил после инициализации реестра вызовом функции NtInitializeRegistry() во время загрузки |
Поддерживаемые битовые маски
Вызов функции NtInitializeRegistry(), производящий смену текущей битовой маски (с 0x1 на 0x2), записываемой в ключи реестра при их открытии или изменении, происходит после того, как операционная система посчитает процесс загрузки успешным. Таким образом, ключи реестра, например, открытые сервисами в процессе их запуска во время загрузки операционной системы, будут иметь биты доступа с установленной битовой маской 0x1. Кроме того, если ключ реестра ничем не открывался с момента очистки битов доступа, то этот ключ будет иметь нулевое значение в данном поле.
Эта информация может быть использована для выборки ключей реестра, которые могли открываться вредоносной программой (или любой другой), работающей как сервис, или открывались вообще в недавнее время, а равно для отсеивания неиспользуемых ключей реестра.
Следует отметить, что в ядре Windows нет ни одной функции, позволяющей получить текущее значение битов доступа для какого-либо ключа реестра, что наталкивает на мысль об отладочном характере битов доступа.
Демонстрация
В качестве примера рассмотрим в шестнадцатеричном редакторе структуру реестра, описывающую ключ «\ControlSet001\Services\RServer3» (куст реестра «SYSTEM») непосредственно после установки программного обеспечения Radmin, до перезагрузки, и после перезагрузки операционной системы.
Структура ключа реестра (до перезагрузки)
Структура ключа реестра (после перезагрузки)
На иллюстрациях выше красным подчеркнут байт поля «Access bits», который изменился при перезагрузке операционной системы (значение 3 указывает на то, что установлены битовые маски 0x1 и 0x2).
Выводы
Биты доступа — это небольшая недокументированная функциональность Windows, созданная, скорее всего, для целей отладки, которая может быть использована для отслеживания неиспользуемых ключей реестра и для отслеживания ключей реестра, открываемых на этапах до и после завершения запуска сервисов операционной системы во время ее загрузки.
К сожалению, в настоящее время большинство программ для просмотра неактивного реестра не поддерживают обработку и визуализацию значений битов доступа.
Журнал доступа в кусте очищен что это
Вот снова после очередного обновления
Дата: 11.10.2013 3:00:17
«Требуется перезагрузка: для завершения установки следующих обновлений компьютер будет перезагружен в течение 15 мин:
— Обновление для Windows Server 2012 (KB2871777)»
после перезагрузки сервера произошло тоже самое но только для части пользователей.
папки пользователей в C:\Users\ исчезли
после логона пользователя у которого исчез профиль:
Дата: 11.10.2013 7:59:20
«Журнал доступа в кусте \??\C:\Users\NemikinaO\ntuser.dat очищен; обновлено разделов: 45; создано измененных страниц: 6.»
«Журнал доступа в кусте \??\C:\Users\MalihinaL\ntuser.dat очищен; обновлено разделов: 45; создано измененных страниц: 6.»
у половины профили остались целы.
Что происходит не могу понять?
в C:\Users\ живет «MSSQL$MICROSOFT##WID» кто это откуда взялся и зачем? sql server я не ставил. Является внутренней базой данных Windows, удалить или отключить можно без последствий?
постоянно гадит в журнал подобным:
«Значительная часть памяти процессов SQL Server выгружена на диск. Это может привести к снижению производительности. Длительность (сек): 28839. Рабочий набор (КБ): 158240, выделено памяти (КБ): 376636, использование памяти: 42%%.»
Вот еще Предупреждение от Microsoft-Windows-User Profile Service
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл сейчас будет выгружен, после чего приложения или службы, которые его используют, могут начать работать неправильно.
ПОДРОБНО —
3 user registry handles leaked from \Registry\User\S-1-5-21-3004592886-3268659784-2076953131-1204:
Process 840 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3004592886-3268659784-2076953131-1204
Process 840 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3004592886-3268659784-2076953131-1204\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
Process 1788 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3004592886-3268659784-2076953131-1204\Printers\DevModePerUser
возможно связанно с перенаправлением принтеров пользователей easyprint
Заметаем следы. Как заставить Windows удалить историю, логи, кеши и все забыть
Содержание статьи
Списки открытых файлов и подключенных по USB устройств, история браузера, кеш DNS — все это помогает узнать, что делал пользователь. Мы составили пошаговую инструкцию, как убрать следы своей деятельности в разных версиях Windows, Office и популярных браузерах. В конце статьи ты найдешь несколько скриптов, которые помогут тебе автоматически поддерживать чистоту на своей машине.
1. Очистка списков недавних мест и программ
Начнем уборку со списков недавних мест и программ. Список недавних (в Windows 10 — часто используемых) программ находится в главном меню, а список недавних мест — в проводнике.
Xakep #208. Атака на сигналку
Как отключить это безобразие? В Windows 7 — щелкнуть правой кнопкой мыши на кнопке «Пуск», выбрать «Свойства» и в появившемся окне снять обе галочки в разделе «Конфиденциальность».
Отключаем хранение списка последних программ в Windows 7
Далее эти строчки пригодятся нам, когда будем писать собственный скрипт для очистки системы от следов нашего пребывания в ней.
Чтобы последние файлы очищались автоматически при выходе, нужно включить политику «Очищать журнал недавно открывавшихся документов при выходе», которая находится в разделе «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач».
Теперь переходим к Windows 10. Отключить список недавно добавленных и часто используемых приложений можно через окно «Параметры». Открой его и перейди в раздел «Персонализация», пункт «Пуск». Отключи все, что там есть.
Отключение хранения списка программ в Windows 10
Кажется, что проблема решена, но это, увы, не совсем так. Если включить эти параметры снова, то все списки в таком же составе появятся вновь. Поэтому придется отключать эту фичу через групповую политику. Открой gpedit.msc и перейди в раздел «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач». Включи следующие политики:
Очистить недавние места в Windows 10 проще, чем в «семерке». Открой проводник, перейди на вкладку «Вид» и нажми кнопку «Параметры». В появившемся окне отключи параметры «Показывать недавно использовавшиеся файлы на панели быстрого доступа» и «Показывать часто используемые папки на панели быстрого доступа». Не забудь нажать кнопку «Очистить».
Параметры папок Windows 10
Как видишь, у такой простой задачи, как очистка последних объектов, довольно непростое решение. Без редактирования групповых политик — никуда.
2. Очистка списка USB-накопителей
На некоторых режимных объектах к компьютеру разрешено подключать только флешки, зарегистрированные в журнале. Причем, как водится, журнал самый что ни на есть обычный — бумажный. То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей. Не ограничивает, зато протоколирует! И если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы.
Мы ни в коем случае не советуем тебе пытаться украсть военные секреты, но умение очищать список недавно подключавшихся накопителей может пригодиться и в других жизненных ситуациях. Чтобы сделать это, загляни в следующие разделы реестра:
Вот они — все накопители, которые ты подключал к своему компу.
Раздел реестра с историей подключения накопителей
Казалось бы, нужно просто взять и все почистить. Но не тут-то было! Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в «семерке», не говоря уже о «десятке».
Во-вторых, назначать права и разрешения вручную долго, особенно если накопителей много. В-третьих, права админа не помогут. Скриншот выше был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов, нужно почистить еще длинный список разделов. Причем их нужно не просто удалять, а грамотно редактировать.
Если тебе по каким-то причинам понадобится сделать все вручную, то ищи по ключевым словам MountPoints, MountedDevices DeviceClasses и RemovableMedia. Но куда проще использовать готовую программу, которая сделает все за тебя. На некоторых форумах для этого рекомендуют USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не из всех нужных разделов. USBSTOR и USB продолжают содержать информацию о подключавшихся носителях.
Программа не только чистит реестр, но и выводит подробный лог своих действий (см. ниже). Когда она завершит работу, не останется никаких упоминаний о подключении накопителей к компьютеру.
USB Oblivion в действии
3. Очистка кеша и истории браузеров
Третий пункт в нашем туду — очистка кеша и журнала браузеров. Тут сложностей никаких — каждый браузер позволяет сбросить список недавно посещенных сайтов.
Edge. Очистить список загруженных файлов и все журналы можно с помощью «Концентратора». Просто щелкни соответствующие ссылки. При очистке журнала нужно выбрать все чекбоксы и нажать кнопку «Очистить».
«Концентратор» 
Генеральная уборка в Edge
Firefox. Открой настройки, перейди в раздел «Приватность», нажми ссылку «Удалить вашу недавнюю историю», выбери «Все», нажми кнопку «Удалить сейчас».
Chrome. Нажми Ctrl + Shift + Del, на появившейся странице выбери очистку за все время, отметь все чекбоксы и нажми кнопку «Очистить историю».
Opera. Выбери «Меню (Opera) → Настройки → Удалить личные данные». Принцип тот же — выбираем все, нажимаем кнопку «Удалить».
IE. Да кто его использует? Если что, рекомендации ты найдешь на сайте Microsoft.
В результате ты не только сотрешь следы, но и слегка освободишь диск. Чтобы не чистить заново, можешь продолжить пользоваться браузером в режиме инкогнито. Конечно, админ при желании заметит лог на шлюзе, но на твоем компьютере все будет чисто. Оптимальное решение — использовать Tor. В этом случае даже админ не увидит, какие сайты ты посещаешь (при условии, что за твоей спиной нет камеры наблюдения).
Если ты используешь не один браузер, а несколько и чистить нужно периодически, то можно использовать одну из специализированных утилит. Я протестировал Free History Eraser, и результат оказался средним: что-то почищено, что-то нет (журнал Edge, к примеру, остался нетронутым). Так что в важных случаях не забывай проверить вручную.
Free History Eraser
4. Удаляем записи DNS
5. Очистка Flash Cookies
За тобой следят все кому не лень. Даже Flash — и тот отслеживает твои посещения. Flash Cookies собираются в каталоге %appdata%\Macromedia\Flash Player#SharedObjects. Что с ним сделать, ты уже догадался — удалять к такой-то матери. Для скриптования этого процесса пригодятся вот эти две строчки:
6. Удаление списка последних документов Microsoft Office
Для удобства пользователей список последних документов хранят все программы офисного пакета. Чтобы пресечь это безобразие, в новых версиях Office нужно в параметрах перейти в раздел «Дополнительно», установить число последних документов равным единице (обрати внимание — на скриншоте есть два параметра, которые нужно поменять на единицу). Значение 0 программа установить не позволит, поэтому последним нужно будет открыть какой-нибудь безобидный файл.
Параметры Word 2016
7. Автоматизируем очистку с помощью спецсофта
Обрати внимание, что нам нужна именно версия CCleaner Desktop, а не CCleaner Cloud. Последняя стоит денег, и ее набор функций значительно шире, чем нам нужно. Переходим по ссылке и выбираем версию Free.
Чем мне нравится CCleaner — так это тем, что он:
Пользоваться программой проще простого — выбери те элементы, которые хочешь очистить, и нажми кнопку «Очистка».
Есть и еще одна программа для очистки всей системы — Windows Cleaner. Правда, на ее сайте указано, что она поддерживает только системы до Windows 8 включительно. Действительно, в Windows 10 программа не работала так, как нужно (во всяком случае, с очисткой журнала Edge она не справилась). Но на более старых «Окнах» она вполне имеет право на существование.
8. Реальное удаление файлов
Все мы знаем, что при удалении файл на самом деле не стирается. Удаляется только запись о нем, а сами данные все еще продолжают существовать где-то на диске. Поэтому для полного удаления информации нужно использовать специальные утилиты, которые затирают свободное пространство диска нулями или случайными данными. После этого восстановить файлы не получится. В предыдущих шагах мы уже много чего удаляли, поэтому самое время затереть свободное пространство, чтобы нельзя было восстановить вообще ничего.
Существует много утилит для затирания информации. Но мы будем использовать то, что уже у нас есть, а именно CCleaner. Зайди в «Сервис → Стирание дисков», выбери диск, который хочешь очистить от недобитых файлов, укажи стирать «Только свободное место» и задай способ стирания. Приложение поддерживает несколько стандартов стирания — от самого простого, подразумевающего одну перезапись, до метода Гутмана (35 проходов).
Стирание свободного места
Из конкурентов CCleaner интересна, к примеру, программа BCWipe — она может не только стирать свободное пространство, но и удалять файл подкачки, который также может содержать конфиденциальную информацию. BCWipe стоит денег, но для одноразового стирания подойдет и trial-версия.
9. Создаем bat-файл для очистки всего
Теперь попытаемся автоматизировать некоторые описанные ранее операции. Начнем с удаления файлов из каталога Recent. Удалять командой del, как было показано выше, можно, но лучше сразу использовать CCleaner для безопасного удаления.
К сожалению, CCleaner нельзя вызвать так, чтобы он почистил в режиме командной строки все свободное пространство, поэтому придется удалять файлы через него, а не командой del или же использовать команду del, а потом вручную запустить его и вызвать очистку свободного пространства. Последний параметр (1) означает удаление с тремя проходами. Это оптимальный режим, поскольку с одним проходом (0) — слишком просто, а все остальные — слишком долго. С полным перечнем параметров командной строки CCleaner можно ознакомиться на сайте разработчиков.
Из командной строки можно чистить и список USB-накопителей при помощи USB Oblivion:
Далее нужно запустить CCleaner с параметром /AUTO для автоматической очистки по умолчанию. Это не очистит кеш DNS, так что придется сделать это вручную:
В итоге у нас получился вот такой сценарий:
10. Создаем AutoHotkey-скрипт для очистки всего
Теперь напишем еще один скрипт. Он будет открывать браузер Chrome в режиме инкогнито, а после окончания сессии (будет задан WinWaitClose) запускать CCleaner для автоматической очистки — будет удален кеш браузера и временные файлы. После этого очистим еще и кеш DNS.
Журнал доступа в кусте очищен что это
Вот снова после очередного обновления
Дата: 11.10.2013 3:00:17
«Требуется перезагрузка: для завершения установки следующих обновлений компьютер будет перезагружен в течение 15 мин:
— Обновление для Windows Server 2012 (KB2871777)»
после перезагрузки сервера произошло тоже самое но только для части пользователей.
папки пользователей в C:\Users\ исчезли
после логона пользователя у которого исчез профиль:
Дата: 11.10.2013 7:59:20
«Журнал доступа в кусте \??\C:\Users\NemikinaO\ntuser.dat очищен; обновлено разделов: 45; создано измененных страниц: 6.»
«Журнал доступа в кусте \??\C:\Users\MalihinaL\ntuser.dat очищен; обновлено разделов: 45; создано измененных страниц: 6.»
у половины профили остались целы.
Что происходит не могу понять?
в C:\Users\ живет «MSSQL$MICROSOFT##WID» кто это откуда взялся и зачем? sql server я не ставил. Является внутренней базой данных Windows, удалить или отключить можно без последствий?
постоянно гадит в журнал подобным:
«Значительная часть памяти процессов SQL Server выгружена на диск. Это может привести к снижению производительности. Длительность (сек): 28839. Рабочий набор (КБ): 158240, выделено памяти (КБ): 376636, использование памяти: 42%%.»
Вот еще Предупреждение от Microsoft-Windows-User Profile Service
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл сейчас будет выгружен, после чего приложения или службы, которые его используют, могут начать работать неправильно.
ПОДРОБНО —
3 user registry handles leaked from \Registry\User\S-1-5-21-3004592886-3268659784-2076953131-1204:
Process 840 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3004592886-3268659784-2076953131-1204
Process 840 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3004592886-3268659784-2076953131-1204\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
Process 1788 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3004592886-3268659784-2076953131-1204\Printers\DevModePerUser
возможно связанно с перенаправлением принтеров пользователей easyprint