observateur d'evenement ID even 1517

Le
Asimov
Bonjour,
Lorsque je fais un "démarrer/arrêter l'ordinateur/redémarrer" et
seulement dans ce cas de redémarrage j'ai un ID 1517 dans l'observateur
d'évènement dans le volet application avec la description "Windows a
sauvegarde le registre utilisateur PC Principal alors qu'une
application ou un service utilisait toujours le registre pendant la
fermeture de la session.La mémoire utilisée par le registre de
l'utilisateur n'a pas été libérée. Le registre sera déchargé lorsqu'il
ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte
utilisateur, essayez de configurer les services pour s'exécuter dans le
compte service réseau ou service local."
Le fichier qui semble être mis en cause et userenv.dll.

Dois-je considérer ce message comme inquiétant ?
Une réparation ou un réglage est il nécessaire ?

Merci

--
Cordialement :-)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ascadix
Le #1140700
Bonjour,
Lorsque je fais un "démarrer/arrêter l'ordinateur/redémarrer" et
seulement dans ce cas de redémarrage j'ai un ID 1517 dans l'observateur
d'évènement dans le volet application avec la description "Windows a
sauvegarde le registre utilisateur PC......... Principal alors qu'une
application ou un service utilisait toujours le registre pendant la
fermeture de la session.La mémoire utilisée par le registre de
l'utilisateur n'a pas été libérée. Le registre sera déchargé lorsqu'il
ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte
utilisateur, essayez de configurer les services pour s'exécuter dans le
compte service réseau ou service local."
Le fichier qui semble être mis en cause et userenv.dll.

Dois-je considérer ce message comme inquiétant ?
Une réparation ou un réglage est il nécessaire ?

Merci



Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en forçant les
applis récalcitrante à "lacher prise" mais en plus, ça va te noter dans
l'obs evenements quelle applis était bloquante



--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.

Alain Naigeon
Le #1140699
"Ascadix" 47728a29$0$880$
Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en forçant les
applis récalcitrante à "lacher prise"


Ok :-)

mais en plus, ça va te noter dans l'obs evenements quelle applis était
bloquante


Ah ?... t'es pistonné chez MS, toi ! :-)

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - - Oberhoffen/Moder, France

Asimov
Le #1140428
Bonjour,
Ascadix nous a écrit,

Bonjour,
Lorsque je fais un "démarrer/arrêter l'ordinateur/redémarrer" et
seulement dans ce cas de redémarrage j'ai un ID 1517 dans
l'observateur d'évènement dans le volet application avec la
description "Windows a sauvegarde le registre utilisateur
PC......... Principal alors qu'une application ou un service
utilisait toujours le registre pendant la fermeture de la session.La
mémoire utilisée par le registre de l'utilisateur n'a pas été
libérée. Le registre sera déchargé lorsqu'il ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que
compte utilisateur, essayez de configurer les services pour
s'exécuter dans le compte service réseau ou service local."
Le fichier qui semble être mis en cause et userenv.dll.

Dois-je considérer ce message comme inquiétant ?
Une réparation ou un réglage est il nécessaire ?

Merci



Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en forçant
les applis récalcitrante à "lacher prise" mais en plus, ça va te
noter dans l'obs evenements quelle applis était bloquante


Merci

--
Cordialement :-)


Ascadix
Le #1139884
"Ascadix" 47728a29$0$880$
Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en forçant les
applis récalcitrante à "lacher prise"


Ok :-)

mais en plus, ça va te noter dans l'obs evenements quelle applis était
bloquante


Ah ?... t'es pistonné chez MS, toi ! :-)



Hein ?
J'comprend pas trop là ?
UPHClean log le nom et l'ID du process à qui il à remappé qq handles.

Si tu veut savoir les 3 coupables les plus fréquents que j'ai constaté:

- 80 % - NAV / SAC /NIS ( la famille "Narton" )
- 10 % - MsMpEng.exe ( WindowsDefender )
- 10 % - svchost.exe ( services divers )

et de temps en temps, on peut trouver d'autres AV ( BitDefender par ex )
ou des softs de "Backup" +/- à chaud


Pour le coup du piston ..je vois toujours pas ... ça doit être le
brouillard des fêtes ?

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.


Alain Naigeon
Le #1139879
"Ascadix" 4773d3c3$0$892$

"Ascadix" 47728a29$0$880$
Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en forçant les
applis récalcitrante à "lacher prise"


Ok :-)

mais en plus, ça va te noter dans l'obs evenements quelle applis était
bloquante


Ah ?... t'es pistonné chez MS, toi ! :-)



Hein ?
J'comprend pas trop là ?
UPHClean log le nom et l'ID du process à qui il à remappé qq handles.


Bon, je sens que tu vas m'apprendre quelque chose...
Le problème se situe en sortie de session, on est bien d'accord ?
Donc je lis le log une fois la session terminée, sous une autre session.
Mais alors les n°s de process ont changé ! Tu as un truc pour passer
outre ce gros hic ?

Si tu veut savoir les 3 coupables les plus fréquents que j'ai constaté:

- 80 % - NAV / SAC /NIS ( la famille "Narton" )


Ne me concerne pas.

- 10 % - MsMpEng.exe ( WindowsDefender )


Ca je crois pas non plus (ça ne me dit rien)

- 10 % - svchost.exe ( services divers )


Ben voilà... et ça c'est encore plus bordélique qu'un sac à main
féminin :-) Donc c'est des innombrables trucs hébergés par svchost,
et là tu sauras jamais quoi, sauf à charger une mégafloppée de mégas
de symboles et autres gadgets de déboguage, sans compter le boulot
pour tout "désassembler", remonter aux adresses, puis aux process fils,
et enfin au coupable, et pour t'apercevoir en fin de compte que tu n'as
aucune prise sur la décision d'y porter remède (et il y a gros à parier
qu'un truc hébergé par svchost, tu ne pourras pas te résoudre à t'en
passer).
Alors en fin de compte....
(mais bon, si c'est pour le plasir de la connaissance - que je partage
souvent - tu as raison !)

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - - Oberhoffen/Moder, France



Asimov
Le #1139744
Bonjour,
Alain Naigeon nous a écrit,

"Ascadix" 4773d3c3$0$892$

"Ascadix" 47728a29$0$880$
Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en
forçant les applis récalcitrante à "lacher prise"


Ok :-)

mais en plus, ça va te noter dans l'obs evenements quelle applis
était bloquante


Ah ?... t'es pistonné chez MS, toi ! :-)



Hein ?
J'comprend pas trop là ?
UPHClean log le nom et l'ID du process à qui il à remappé qq handles.


Bon, je sens que tu vas m'apprendre quelque chose...
Le problème se situe en sortie de session, on est bien d'accord ?
Donc je lis le log une fois la session terminée, sous une autre
session. Mais alors les n°s de process ont changé ! Tu as un truc
pour passer outre ce gros hic ?

Si tu veut savoir les 3 coupables les plus fréquents que j'ai
constaté: - 80 % - NAV / SAC /NIS ( la famille "Narton" )


Ne me concerne pas.

- 10 % - MsMpEng.exe ( WindowsDefender )


Ca je crois pas non plus (ça ne me dit rien)

- 10 % - svchost.exe ( services divers )


Ben voilà... et ça c'est encore plus bordélique qu'un sac à main
féminin :-) Donc c'est des innombrables trucs hébergés par svchost,
et là tu sauras jamais quoi, sauf à charger une mégafloppée de mégas
de symboles et autres gadgets de déboguage, sans compter le boulot
pour tout "désassembler", remonter aux adresses, puis aux process
fils, et enfin au coupable, et pour t'apercevoir en fin de compte que
tu n'as aucune prise sur la décision d'y porter remède (et il y a
gros à parier qu'un truc hébergé par svchost, tu ne pourras pas te
résoudre à t'en passer).
Alors en fin de compte....
(mais bon, si c'est pour le plasir de la connaissance - que je partage
souvent - tu as raison !)


Au total, quelle est la gravité de cet avertissement ?

Merci


--
Cordialement :-)




Ascadix
Le #1139743
"Ascadix" 4773d3c3$0$892$

"Ascadix" 47728a29$0$880$
Va chercher "UPHCLEAN" chez MS ( gratos )

Install-le, non seulement ça aode à décharger le registre en forçant les
applis récalcitrante à "lacher prise"
Ok :-)


mais en plus, ça va te noter dans l'obs evenements quelle applis était
bloquante
Ah ?... t'es pistonné chez MS, toi ! :-)


Hein ?

J'comprend pas trop là ?
UPHClean log le nom et l'ID du process à qui il à remappé qq handles.


Bon, je sens que tu vas m'apprendre quelque chose...
Le problème se situe en sortie de session, on est bien d'accord ?


ya

Donc je lis le log une fois la session terminée, sous une autre session.


ya

Mais alors les n°s de process ont changé !


Seulement pour les process "user" pas pour les service, les process
systèmes ou ceux lancés sous une autre sessions en arriere-plan

Tu as un truc pour passer
outre ce gros hic ?


Oui

Déjà la plupart du temps, ce sont des process genre service et rarement
des process user qui coincent ( assez logique ..en ferment la session,
les process user sont fermées ou tués ) donc pour les process service,
tu réouvre immédiatement une session ..et tu les a toujours là, avec le
même PID

Sinon, si tu veut traquer un process user, tu enregistre un état des
process avec Process Explorer avant de fermer ta session, et t'as plus
qu'a relire ça ( simple fichier texte) et comparer avec le PID enegistré
par UPHClean


Si tu veut savoir les 3 coupables les plus fréquents que j'ai constaté:

- 80 % - NAV / SAC /NIS ( la famille "Narton" )


Ne me concerne pas.

- 10 % - MsMpEng.exe ( WindowsDefender )


Ca je crois pas non plus (ça ne me dit rien)

- 10 % - svchost.exe ( services divers )


Ben voilà... et ça c'est encore plus bordélique qu'un sac à main
féminin :-) Donc c'est des innombrables trucs hébergés par svchost,
et là tu sauras jamais quoi, sauf à charger une mégafloppée de mégas
de symboles et autres gadgets de déboguage, sans compter le boulot
pour tout "désassembler", remonter aux adresses, puis aux process fils,
et enfin au coupable, et pour t'apercevoir en fin de compte que tu n'as
aucune prise sur la décision d'y porter remède (et il y a gros à parier
qu'un truc hébergé par svchost, tu ne pourras pas te résoudre à t'en
passer).


Avec le PID, tu choppe le process
Dans le log tu trouve le nom de la clef
si ça revient souvent avec la même clef t ueput aller voir en live avec
Process Explorer et/ou Process Monitor à quel occasion ce process se
permet d'aller taper là-bas, voir fouiller un peu dans différents KB/FAQ
voir si cette clef n'est pas connue /censée contenir qqchose de
particulier ...

M'enfin, c'est juste une autre méthode, je m'en sert pas souvent, faut
vraiment en avoir besoin


Alors en fin de compte....
(mais bon, si c'est pour le plasir de la connaissance - que je partage
souvent - tu as raison !)


+1


--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.




Alain Naigeon
Le #1136332
"Ascadix" 47740a72$0$882$

[ concernait : interprétation des infos données par UPHCLEAN ]

Mais alors les n°s de process ont changé !


Seulement pour les process "user" pas pour les service, les process
systèmes ou ceux lancés sous une autre sessions en arriere-plan


Ah oui, ça c'est vrai !

Tu as un truc pour passer
outre ce gros hic ?


Oui

Déjà la plupart du temps, ce sont des process genre service et rarement
des process user qui coincent ( assez logique ..en ferment la session, les
process user sont fermées ou tués ) donc pour les process service, tu
réouvre immédiatement une session ..et tu les a toujours là, avec le même
PID


OK, compris pour les services système.

Sinon, si tu veut traquer un process user, tu enregistre un état des
process avec Process Explorer avant de fermer ta session, et t'as plus
qu'a relire ça ( simple fichier texte) et comparer avec le PID enegistré
par UPHClean


OK, je l'ai le process exploreur :-)

[...]
- 10 % - svchost.exe ( services divers )




[...]
Avec le PID, tu choppe le process
Dans le log tu trouve le nom de la clef
si ça revient souvent avec la même clef t ueput aller voir en live avec
Process Explorer et/ou Process Monitor à quel occasion ce process se
permet d'aller taper là-bas, voir fouiller un peu dans différents KB/FAQ
voir si cette clef n'est pas connue /censée contenir qqchose de
particulier ...

M'enfin, c'est juste une autre méthode, je m'en sert pas souvent, faut
vraiment en avoir besoin


Comme tu dis... Par "clé", tu veux dire "handle", c'est ça ?

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - - Oberhoffen/Moder, France



Publicité
Poster une réponse
Anonyme