aidez-moi SVP : problem boot fichier manquant ou endommagé

Le
Paul Martin
au démarrage de mon PC, il ma affiché :

"Windows n'a pas pu démarrer car le fichier suivant est manquant ou
endommagé :
windowssystem32configsystem
vous pouvez tenter de réparer ce fichier en démarrant le programme
d'installation de Windows XP avec le CD-Rom originel d'instalation.
Choisissez "R" dans le premier écran pour démarrer la réparation.

J'ai redemarrer avec la console de recupération, puis j'ai fait CHKDISQ /R
aprés 1h15, il m"affiche :
Vérification du système de fichiers sur C:
Le type du système de fichiers est NTFS.
Le nom de volume est HP_PAVILION.
Nettoyage en cours de petites incohérences sur le lecteur.
Nettoyage en cours de 62 entrées d'index inutilisées à partir de l'index
$SII du fichier 0x9.
Nettoyage en cours de 62 entrées d'index inutilisées à partir de l'index
$SDH du fichier 0x9.
Nettoyage en cours de 62 descripteurs de sécurité non utilisés.
CHKDSK est en train de vérifier les données du fichier (étape 4 de 5)
La vérification des données du fichier est terminée.
CHKDSK est en train de vérifier l'espace libre (étape 5 de 5)
La vérification de l'espace libre est terminée.
CHKDSK a découvert de l'espace libre marqué alloué dans la
bitmap de la table de fichiers maîtres (MFT).
Windows a effectué des corrections sur le système de fichiers.
151192439 Ko d'espace disque au total.
40957520 Ko dans 95952 fichiers.
38224 Ko dans 5652 index.
0 Ko dans des secteurs défectueux.
181587 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
110015108 Ko disponibles sur le disque.
4096 octets dans chaque unité d'allocation.
37798109 unités d'allocation au total sur le disque.
27503777 unités d'allocation disponibles sur le disque.


Ensuite j'ai redemarrer et tout était normale.

Il y a 1 mois, j'avais eu exactement le meme probleme, je ne sait pas ce qui
en est la cause,
j'ai verifier le systeme avec un anti-virus, tout est OK.
J'ai regardé dans l' observateur d'evenements / application , il y a un
événement intrigant qui pourrait peut-etre indiquer quelques indices mais je
n'en suis pas sure du tout, il s'est produit juste aprés que j'ai éteint
normalement mon PC hier soir avant que je le rallume ce matin avec ce
probleme de boot, il se produit regulierement 1 fois par jour.

le voici :

Type de l'événement : Avertissement
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID de l'événement : 1517
Date : 25/04/2006
Heure : 00:27:10
Utilisateur : AUTORITE NTSYSTEM
Ordinateur : HP-PAVILLON-T82
Description :
Windows a sauvegardé le Registre utilisateur HP-PAVILLON-T82HP_Propriétaire
alors qu'une application ou un service utilisait toujours le Registre
pendant la fermeture de la session. La mémoire utilisée par le Registre de
l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne
sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte
d'utilisateur, essayez de configurer les services pour s'exécuter dans le
compte service réseau ou service local.
Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp


Je ne sait pas quoi faire,
je suis maintenant constament sous la menace de ce probleme a chaque fois
que j'allumerais mon PC.

Aidez-moi SVP , que dois-je faire ?
Vos réponses Page 1 / 6
Trier par : date / pertinence
Sabrem JORAM
Le #1400547
au démarrage de mon PC, il ma affiché :

"Windows n'a pas pu démarrer car le fichier suivant est manquant ou
endommagé :
windowssystem32configsystem
vous pouvez tenter de réparer ce fichier en démarrant le programme
d'installation de Windows XP avec le CD-Rom originel d'instalation.
Choisissez "R" dans le premier écran pour démarrer la réparation.

J'ai redemarrer avec la console de recupération, puis j'ai fait
CHKDISQ /R
aprés 1h15, il m"affiche :
Vérification du système de fichiers sur C:
Le type du système de fichiers est NTFS.
Le nom de volume est HP_PAVILION.
Nettoyage en cours de petites incohérences sur le lecteur.
Nettoyage en cours de 62 entrées d'index inutilisées à partir de
l'index $SII du fichier 0x9.
Nettoyage en cours de 62 entrées d'index inutilisées à partir de
l'index $SDH du fichier 0x9.
Nettoyage en cours de 62 descripteurs de sécurité non utilisés.
CHKDSK est en train de vérifier les données du fichier (étape 4 de
5)...
La vérification des données du fichier est terminée.
CHKDSK est en train de vérifier l'espace libre (étape 5 de 5)...
La vérification de l'espace libre est terminée.
CHKDSK a découvert de l'espace libre marqué alloué dans la
bitmap de la table de fichiers maîtres (MFT).
Windows a effectué des corrections sur le système de fichiers.
151192439 Ko d'espace disque au total.
40957520 Ko dans 95952 fichiers.
38224 Ko dans 5652 index.
0 Ko dans des secteurs défectueux.
181587 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
110015108 Ko disponibles sur le disque.
4096 octets dans chaque unité d'allocation.
37798109 unités d'allocation au total sur le disque.
27503777 unités d'allocation disponibles sur le disque.



Ensuite j'ai redemarrer et tout était normale.

Il y a 1 mois, j'avais eu exactement le meme probleme, je ne sait pas
ce qui en est la cause,
j'ai verifier le systeme avec un anti-virus, tout est OK.
J'ai regardé dans l' observateur d'evenements / application , il y a
un événement intrigant qui pourrait peut-etre indiquer quelques
indices mais je n'en suis pas sure du tout, il s'est produit juste
aprés que j'ai éteint normalement mon PC hier soir avant que je le
rallume ce matin avec ce probleme de boot, il se produit
regulierement 1 fois par jour.

le voici :

Type de l'événement : Avertissement
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID de l'événement : 1517
Date : 25/04/2006
Heure : 00:27:10
Utilisateur : AUTORITE NTSYSTEM
Ordinateur : HP-PAVILLON-T82
Description :
Windows a sauvegardé le Registre utilisateur
HP-PAVILLON-T82HP_Propriétaire alors qu'une application ou un
service utilisait toujours le Registre pendant la fermeture de la
session. La mémoire utilisée par le Registre de l'utilisateur n'a pas
été libérée. le Registre sera déchargé lorsqu'il ne sera plus
utilisé.
Cela est souvent causé par des services s'exécutant en tant que
compte d'utilisateur, essayez de configurer les services pour
s'exécuter dans le compte service réseau ou service local.
Pour plus d'informations, consultez le centre Aide et support à
l'adresse
http://go.microsoft.com/fwlink/events.asp



Je ne sait pas quoi faire,
je suis maintenant constament sous la menace de ce probleme a chaque
fois que j'allumerais mon PC.

Aidez-moi SVP , que dois-je faire ?


Bonjour,

C'est un avertissement et ce n'est pas bien grave...

Pour régler ceci : installer UPHCLEAN

http://www.d2i.ch/pn/az/r.html#r015

Pour le reste, défragmenter régulièrement vos partitions (disons une
fois par semaine) ; s'il y a suspicion de secteurs défectueux,
l'utilitaire de défragmentation vous demandera de vérifier vos
partitions avec CHKDSK ainsi que vous l'avez utilisé...

cordialement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)

Paul Martin
Le #1400297
Merci pour la réponse mais mon problème est assez grave tout de même car je
suis maintenant constamment sous la menace d'un refus de démarrer a chaque
fois que j'allumerais mon PC.

J'ai un autre indice, dans l' observateur d' événements/système , il y a un
événement qui se produit à chaque fois 7 secondes avant l' événement de
Userenv qui lui ce produit presque à chaque fois que j'etteint mon PC :

Type de l'événement : Informations
Source de l'événement : Service Control Manager
Catégorie de l'événement : Aucun
ID de l'événement : 7036
Date : 25/04/2006
Heure : 00:27:03
Utilisateur : N/A
Ordinateur : HP-PAVILLON-T82
Description :
Le service iPod Service est entré dans l'état : arrêté.

c'est peut-être Le service iPod le coupable en supposant que a force de
faire l'erreur système reporté par l' événement de Userenv , il fini par
provoquer une erreur Disque sur le fichier system de la base de registre.

Que la défragmentation résout ce problème, je ne sait pas mais je peux
essayer....à tout hasard.

Ceux ne sont que des suppositions, je ne suis sure de rien, je vais
installer UPHCLEAN et continuer d'investiguer...


Continuez à m'aidez SVP, si vous avez une idée,
je suis déprimé par ce problème.


















"Sabrem JORAM" de news:

Bonjour,

C'est un avertissement et ce n'est pas bien grave...

Pour régler ceci : installer UPHCLEAN

http://www.d2i.ch/pn/az/r.html#r015

Pour le reste, défragmenter régulièrement vos partitions (disons une fois
par semaine) ; s'il y a suspicion de secteurs défectueux, l'utilitaire de
défragmentation vous demandera de vérifier vos partitions avec CHKDSK
ainsi que vous l'avez utilisé...

cordialement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)




Sabrem JORAM
Le #1400267
Bonjour,


Merci pour la réponse mais mon problème est assez grave tout de
même car je suis maintenant constamment sous la menace d'un refus
de démarrer a chaque fois que j'allumerais mon PC.

J'ai un autre indice, dans l' observateur d' événements/système ,
il y a un événement qui se produit à chaque fois 7 secondes avant
l' événement de Userenv qui lui ce produit presque à chaque fois
que j'etteint mon PC :

Type de l'événement : Informations
Source de l'événement : Service Control Manager
Catégorie de l'événement : Aucun
ID de l'événement : 7036
Date : 25/04/2006
Heure : 00:27:03
Utilisateur : N/A
Ordinateur : HP-PAVILLON-T82
Description :
Le service iPod Service est entré dans l'état : arrêté.


Ainsi que le type l'indique, il s'agit uniquement d'une information et
ce n'est qu'un "témoignage" de XP sur ce qui se passe.

Seules les types "Erreur" et éventuellement certains "Avertissements"
méritent que l'on prenne des mesures.

Ici, le service nécessaire à l'exploitation de votre baladeur numérique
est chargé, constate que l'on n'a pas besoin de ses services et
s'arrête... seulement une information...

c'est peut-être Le service iPod le coupable en supposant que a
force de faire l'erreur système reporté par l' événement de Userenv
, il fini par provoquer une erreur Disque sur le fichier system de
la base de registre.


Il est innocent ; ou alors il est coupable d'exister... laissez-le
vivre... :-)

Que la défragmentation résout ce problème, je ne sait pas mais je
peux essayer....à tout hasard.


Il n'y a pas de problème tel que vous exposez la situation... La
défragmentation est à effectuer régulièrement selon une fréquence qui
varie selon l'usage que vous faites de votre système ; plus vous
créerez, effacerez de fichiers, plus vous installerez, désinstallerez
de programmes, plus fréquente elle devra être... pour conserver un
système réactif... La défragmentation ne répare rien, elle optimise la
répartition des fichiers (en juxtaposant les morceaux des fichiers qui
seraient éparpillés) afin d'en accélérer l'accès et donc le
chargement... Une partition très fragmentée laissera le système
fonctionnel (bien que pouvant théoriquement engendrer des erreurs liées
à des "retards" de chargement de fichiers système)... il sera seulement
théoriquement plus lent... J'ai lu sur ces forums que des partitions
système jamais ou rarement défragmentées fonctionnaient sans problème
(apparemment)...

http://www.bellamyjc.org/fr/systeme.html#defragmentation

Ceux ne sont que des suppositions, je ne suis sure de rien, je vais
installer UPHCLEAN et continuer d'investiguer...


Oui... et vous réglerez le "problème" abordé dans le premier message
(avertissement 1517)

Continuez à m'aidez SVP, si vous avez une idée,
je suis déprimé par ce problème.


Pour le premier problème que vous avez rencontré (non démarrage car
corruption de fichiers nécessaires à ce dernier), dans le pire des cas
il faudra comme demandé passer par la réparation par boot sur le CD :

http://www.bellamyjc.org/fr/windows2000.html#repair

Pour être plus serein, il vous faut savoir

- sauvegarder vos données et le faire régulièrement : sur CD/DVD ou
mieux sur un disque externe
- cloner une partition

http://www.commentcamarche.net/faq/sujet-304-creation-d-image-systeme-ghost

Ceci est à étudier car un jour ou l'autre un disque tombe en panne (il
s'use comme tous les autres composants de votre PC et même un peu plus
vite que les autres ; il devrait même logiquement être le premier
composant à subir les outrages du temps)

Surveillez la santé de votre disque dur et de votre système, ainsi que
vous l'avez fait, en allant faire un tour de temps en temps dans
l'observateur d'évènements ; ici, seules les erreurs méritent une
réflexion approfondie et une recherche de solution... Les erreurs
disque sont du même nom (DISK)

Des pistes intéressantes peuvent être obtenues en collant le numéro et
la source de l'erreur ici :

http://www.eventid.net/search.asp

... ce qui donne pour votre message d'information par exemple :

http://www.eventid.net/display.asp?eventidp36&eventno29&source=Service%20Control%20Manager&phase=1

Entretien/ménage :

http://www.d2i.ch/pn/procedures/cure_de_jouvence.html

http://a.vouillon.free.fr/maintenance.htm

Cordialement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)

JF
Le #1400266
*Bonjour Paul Martin* ! (et salut Pascal) Tu disais, dans le message
news:4450b2c2$0$2627$

| Merci pour la réponse mais mon problème est assez grave
| tout de même car je suis maintenant constamment sous
| la menace d'un refus de démarrer a chaque fois
| que j'allumerais mon PC.
|
| J'ai un autre indice, dans l' observateur d'événements/système,
| il y a un événement qui se produit à chaque fois 7 secondes
| avant l' événement de Userenv qui lui ce produit presque
| à chaque fois que j'etteint mon PC :
|
| Type de l'événement : Informations
| Source de l'événement : Service Control Manager
| Catégorie de l'événement : Aucun
| ID de l'événement : 7036
| Date : 25/04/2006
| Heure : 00:27:03
| Utilisateur : N/A
| Ordinateur : HP-PAVILLON-T82
| Description :
| Le service iPod Service est entré dans l'état : arrêté.
|
| c'est peut-être Le service iPod le coupable en supposant
| que a force de faire l'erreur système reporté par l'événement
| de Userenv , il fini par provoquer une erreur Disque sur le
| fichier system de la base de registre.

Ce n'est pas une erreur, mais une information.
Le service est fermé, très normalement, avant l'arrêt de l'ordinateur.

Pour être sûr de toujours pouvoir récupérer un Registre défectueux,
utiliser Erunt.
En effet, l'erreur que tu as reporté au début de ton premier post...
==>
"Windows n'a pas pu démarrer car le fichier suivant est manquant ou
endommagé :
windowssystem32configsystem
vous pouvez tenter de réparer ce fichier en démarrant le programme
d'installation de Windows XP avec le CD-Rom originel d'instalation.
Choisissez "R" dans le premier écran pour démarrer la réparation.
<= ...est bien connue et est traitée ici:
%systemroot%system32configsoftware manquant ou corrompu
%systemroot%system32configsystem.ced manquant ou corrompu
www.d2i.ch/pn/az/symb.html#symb003
http://support.microsoft.com/kb/822705
Je l'ai prévue dans cette CDR pour ceux qui n'ont pas installé Erunt:
http://fspsa.free.fr/cdr.htm
Mais cette manip compliquée est inutile avec Erunt:
http://fspsa.free.fr/erunt.htm

Il faut cependant te poser la question pourquoi cette erreur grave et
exceptionnelle arrive si souvent. On peut espérer que UPHCLEAN règle le
problème, à suivre donc.

Je suggère d'acheter un disque externe et un logiciel de sauvegarde de
disque.
Tu serais plus tranquille. Avec ça et Erunt, ceinture et bretelles.
www.microapp.com/logiciel_pc_cloneur_7450.html
--
1- Salutations, Jean-François :o)
2- Index du site de PN : www.d2i.ch/pn/az
3- Montrez vos copies d'écrans http://cjoint.com ou www.imageshack.us
4- Outlook Express: Suivez vos fils avec [CTL+H]
Paul Martin
Le #1400107
Merci de vos aides.

J'ai desactivé la fonctionnalité "Activer le cache d'écriture sur le disque"
sur le disque ou est installé Windows pour plus de securité.

j'ai installé UPHCLEAN et redemarer,
l' observateur d'evenements m'indique que l' evenement "Userenv" ne s'est
pas produit juste au moment de la fermeture de WinXP comme il le faisait
avant.
Peu-etre que c'est grace à UPHCLEAN... mais j'en suit pas sure.

D'aprés la page http://support.microsoft.com/kb/822705 ,
le plus probable est que c'est un processus qui accede à la base de registre
pendant que WinXP est en train de la sauvegarder avant la fermeture de
Windows et creé de cette facon des interférences d'ecritures disque.
Je voudrait indentifier ce processus coupable mais je ne sait pas comment,
avez-vous une idée ?

Je continue mon investigation....
JF
Le #1400070
*Bonjour Paul Martin* ! Tu disais, dans le message
news:445258f5$0$9656$

| Merci de vos aides.
|
| J'ai desactivé la fonctionnalité "Activer le cache d'écriture sur le
disque"
| sur le disque ou est installé Windows pour plus de securité.

Ah oui c'est une idée ça. ==>
Perte de données possible après activation de la fonctionnalité
« Cache en écriture activée »
http://support.microsoft.com/kb/281672


| j'ai installé UPHCLEAN et redemarer,
| l' observateur d'evenements m'indique que l' evenement "Userenv" ne
s'est
| pas produit juste au moment de la fermeture de WinXP comme il le
faisait
| avant.
| Peu-etre que c'est grace à UPHCLEAN... mais j'en suit pas sure.
|
| D'aprés la page http://support.microsoft.com/kb/822705 ,
| le plus probable est que c'est un processus qui accede à la base de
registre
| pendant que WinXP est en train de la sauvegarder avant la fermeture de
| Windows et creé de cette facon des interférences d'ecritures disque.
| Je voudrait indentifier ce processus coupable mais je ne sait pas
comment,
| avez-vous une idée ?
|
| Je continue mon investigation....

Il est probable que UPHCLEAN protège à présent suffisamment le Registre
et que le problème ne réapparaisse plus.
L'histoire du cache également.
Tu as ERUNT maintenant qui est une bonne bouée de secours.
Grâce à lui, l'étape n°1 du paragraphe *Solution* de la KB822705 est
facile.
Reste l'étape 2, qui consiste à vérifier qu'on n'a pas augmenté la
vitesse du processeur dans le BIOS, surveiller l'observateur
d'évènements, et faire des mises à jour des pilotes et des firmwares.
Je passe sur le chkdsk /R qui a été fait.
Reste à croiser les doigts. (et à défragmenter).
Bonne continuation...
--
1- Salutations, Jean-François :o)
2- Index du site de PN : www.d2i.ch/pn/az
3- Montrez vos copies d'écrans http://cjoint.com ou www.imageshack.us
4- Outlook Express: Suivez vos fils avec [CTL+H]
Sabrem JORAM
Le #1400069
Bonjour,


Merci de vos aides.

J'ai desactivé la fonctionnalité "Activer le cache d'écriture sur le
disque" sur le disque ou est installé Windows pour plus de securité.


C'est votre droit... mais c'est vous priver à coup sûr de performances
optima...

j'ai installé UPHCLEAN et redemarer,
l' observateur d'evenements m'indique que l' evenement "Userenv" ne
s'est pas produit juste au moment de la fermeture de WinXP comme il
le faisait avant.
Peu-etre que c'est grace à UPHCLEAN... mais j'en suit pas sure.


Moi si : quasiment... c'est bien pour cela que je vous l'ai indiqué...
Ce problème est connu et trouve ici une solution officielle...

D'aprés la page http://support.microsoft.com/kb/822705 ,
le plus probable est que c'est un processus qui accede à la base de
registre pendant que WinXP est en train de la sauvegarder avant la
fermeture de Windows et creé de cette facon des interférences
d'ecritures disque.


Oui, à peu près :

http://www.windowsitpro.com/Article/ArticleID/42257/42257.html

http://www.microsoft.com/downloads/details.aspx?familyid286E6D-8912-4E18-B570-42470E2F3582&displaylang=en#QuickInfoContainer

Je voudrait indentifier ce processus coupable mais je ne sait pas
comment,
avez-vous une idée ?


http://www.d2i.ch/pn/depannage/lenteurs_arrets_demarrages.html#arret_7

soit

[Début de citation]

Microsoft a mis au point un service afin de faciliter la détection de
l'application ou du pilote responsable du message Registre Utilisateur
non enregistré pour cause de mémoire non libérée signalé au
redémarrage: User Profile Hive Cleanup Service. Cet outil peut
également servir à détecter la cause d'une lenteur suspecte à l'arrêt
de l'ordinateur.

Une fois le service installé, l'Observateur d'événements répertoriera
des événements spécifiques sur les applications ou pilotes qui gênent
l'enregistrement du Registre à la fermeture de session

[Fin de citation]

Ce que fait UPHCLEAN pourquoi/quand il faut l'installer :

http://download.microsoft.com/download/a/8/7/a87b3d05-cd04-4743-a23b-b16645e075ac/readme.txt

Je continue mon investigation....


Bonne chasse ! Mais il me semble que votre problème est ici résolu...

Cordialement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)

JF
Le #1400059
*Bonjour Sabrem JORAM* ! Tu disais, dans le message
news:

En passant j'ai retrouvé ça :
Questions à propos de UPHClean
http://groups.google.com/groups?threadmBce6147$0$3136$8fcfb975%40news.wanadoo.fr
Jack suggère de vérifier que ces trois services sont bien en Compte
Système Local.
- Emplacement protégé (*)
- Gestionnaire des comptes de sécurité
- Services IPSEC

(*) Cocher aussi Autoriser le service à interagir avec le bureau.

Il doit savoir pourquoi il faut faire comme ça.
Je l'ignore.
J'ignore aussi ce que recouvre cette notion d'interaction avec le bureau
:o)
--
1- Salutations, Jean-François :o)
2- Index du site de PN : www.d2i.ch/pn/az
3- Montrez vos copies d'écrans http://cjoint.com ou www.imageshack.us
4- Outlook Express: Suivez vos fils avec [CTL+H]
Paul Martin
Le #1399354
Comme indiqué dans
http://groups.google.com/group/microsoft.public.fr.windowsxp/browse_frm/thread/e4afbe1855afaf6d/57f253e2291cbcc6#57f253e2291cbcc6
j'ai modifié les propriété des service "Gestionnaire des comptes de
sécurité"
et "Services IPSEC" : j'ai cocher en plus "Autoriser le servie à interagir
avec le bureau" qui n'était pas coché, on vera bien ce que ca changera dans
mes prochains demarages de WinXP.


D'aprés
http://www.clubic.com/forum/avertissement-dans-journal-des-evenements-t186018.html
apparement UPHCLEAN résoud effectivement le type de probleme que j'ai mais
je voudrais identifier le procecus en cause.

-29 avr2006 15h , j'ai demarer en mode sans echec pour pouvoir acceder à
C:System Volume Information
en y configurant les droit d"acces pour le profil "HP_Propriétaire" que
j'utilise habituellement, comme ça je pourait recopier les fichiers de la
base de registre dans C:WINDOWSsystem32config
depuis ce repertoire qui contient toujours des copies de ces fichiers assez
récents.
Une fois redemarer WinXP normalement, l' observateur d' événements m'indique
que l'évenement "Userenv" habituel s'est produit juste au moment ou j'ai
redamarer précedement, bien que le service UPHClean était en execution.
Donc, apparement UPHClean ne joue pas son role quand on est en mode sans
echec.


-30 avr2006 à 10h50, l'évenement "Userenv" ne s"est pas produit la veille
au soir à la fermeture de WinXP
et à la place il y avait le message :
Type de l'événement : Informations
Source de l'événement : UPHClean
Catégorie de l'événement : Aucun
ID de l'événement : 1401
Date : 29/04/2006
Heure : 23:26:33
Utilisateur : HP-PAVILLON-T82HP_Propriétaire
Ordinateur : HP-PAVILLON-T82
Description :The following handles in user profile hive
HP-PAVILLON-T82HP_Propriétaire
(S-1-5-21-1993279678-2970623561-4094221005-1007)
have been remapped because they were preventing the profile from unloading
successfully:
svchost.exe (888)
HKCU (0x24c) le lendemain c'était "HKCU
(0x37c)"

Donc maintenant je sait que le processus coupable est "svchost.exe", c'est
ce qui sert à lancer les services, mais comment identifier le service en
cause alors qu'il y en a 36 lancés par svchost.exe qui sont en execution sur
mon PC ?
que veux dire "(888)" devant "svchost.exe" ?
et comment localiser la clé de registre en cause avec "HKCU (0x24c)" ?

d'aprés
http://groups.google.fr/group/microsoft.public.windows.server.sbs/browse_thread/thread/d5ec111c4ba01ce9/c1929c36f5fcf365?lnk=st&q=Event+ID%3A+1401+UPHClean&rnum=2&hl=fr#c1929c36f5fcf365
ca veux dire : HKCUSoftwareClasses (0x24c)
la seule chose un peu suspecte dans cette clé est relatif à "HP Software
Update", je ne sait pas quoi en penser.


j'ai en tache de fond 6 processus svchost.exe :
-nom d'utilisateur "system" ; utilisation memoireS28 ko
-nom d'utilisateur "system" ; utilisation memoireB84 ko
-nom d'utilisateur "system" ; utilisation memoire 960 ko
-nom d'utilisateur "service réseau" ; utilisation memoireF08 ko
-nom d'utilisateur "service réseau" ; utilisation memoireB80 ko
-nom d'utilisateur "service locale" ; utilisation memoireE28 ko


liste des Services "svchost" sur mon PC :

Nom complet Nom État Mode de démarrage Type de service Chemin
Contrôle_erreur Nom de démarrage ID de balise

Acquisition d'image Windows (WIA) stisvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k imgsvc Normal
LocalSystem 0
Lanceur de processus serveur DCOM DcomLaunch En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost -k dcomlaunch
Normal LocalSystem 0
Services Terminal Server TermService En cours d'exécution Manuel Processus
de partage c:windowssystem32svchost -k dcomlaunch Normal LocalSystem 0
HTTP SSL HTTPFilter Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k httpfilter Normal LocalSystem 0
Service d'application d'assistance IPv6 6to4 En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0
Gestion d'applications AppMgmt Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Audio Windows AudioSrv En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Service de transfert intelligent en arrière-plan BITS Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Explorateur d'ordinateur Browser En cours d'exécution Automatique Processus
de partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0
Services de cryptographie CryptSvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Client DHCP Dhcp En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Gestionnaire de disque logique dmserver Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Service de rapport d'erreurs ERSvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Ignorer
LocalSystem 0
Système d'événements de COM+ EventSystem En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Compatibilité avec le Changement rapide d'utilisateur
FastUserSwitchingCompatibility En cours d'exécution Manuel Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Aide et support helpsvc En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Accès du périphérique d'interface utilisateur HidServ Arrêté Désactivé
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Écouteur RIP Iprip En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Serveur lanmanserver En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Station de travail lanmanworkstation En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Affichage des messages Messenger Arrêté Désactivé Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Connexions réseau Netman En cours d'exécution Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
NLA (Network Location Awareness) Nla En cours d'exécution Manuel Processus
de partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0
Stockage amovible NtmsSvc Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Gestionnaire de connexion automatique d'accès distant RasAuto Arrêté
Désactivé Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0
Gestionnaire de connexions d'accès distant RasMan En cours d'exécution
Manuel Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0
Routage et accès distant RemoteAccess Arrêté Désactivé Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Planificateur de tâches Schedule En cours d'exécution Automatique Processus
de partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0
Connexion secondaire seclogon En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Ignorer LocalSystem 0
Notification d'événement système SENS En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Pare-feu Windows / Partage de connexion Internet SharedAccess En cours
d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Détection matériel noyau ShellHWDetection En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Ignorer
LocalSystem 0
Service de restauration système srservice En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Téléphonie TapiSrv En cours d'exécution Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Thèmes Themes En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Client de suivi de lien distribué TrkWks En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Horloge Windows W32Time En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Infrastructure de gestion Windows winmgmt En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Ignorer
LocalSystem 0
Service de numéro de série du lecteur multimédia portable WmdmPmSN Arrêté
Manuel Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0
Centre de sécurité wscsvc En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Mises à jour automatiques wuauserv En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Configuration automatique sans fil WZCSVC En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0
Service d'approvisionnement réseau xmlprov Arrêté Manuel Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0
Appel de procédure distante (RPC) RpcSs En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost -k rpcss Normal NT
AUTHORITYNetworkService 0
Authentification de groupe réseau homologue p2pgasvc Arrêté Manuel Processus
de partage c:windowssystem32svchost.exe -k p2psvc Normal NT
AUTHORITYLocalService 0
Gestionnaire d'identité réseau homologue p2pimsvc Arrêté Manuel Processus de
partage c:windowssystem32svchost.exe -k p2psvc Normal NT
AUTHORITYLocalService 0
Réseau homologue p2psvc Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k p2psvc Normal NT AUTHORITYLocalService 0
Protocole de résolution de noms d'homologues PNRPSvc Arrêté Manuel Processus
de partage c:windowssystem32svchost.exe -k p2psvc Normal NT
AUTHORITYLocalService 0
Client DNS Dnscache En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k networkservice Normal NT
AUTHORITYNetworkService 0
Avertissement Alerter Arrêté Désactivé Processus de partage
c:windowssystem32svchost.exe -k localservice Normal NT
AUTHORITYLocalService 0
Assistance TCP/IP NetBIOS LmHosts En cours d'exécution Automatique Processus
de partage c:windowssystem32svchost.exe -k localservice Normal NT
AUTHORITYLocalService 0
Service de découvertes SSDP SSDPSRV En cours d'exécution Manuel Processus de
partage c:windowssystem32svchost.exe -k localservice Normal NT
AUTHORITYLocalService 0
Hôte de périphérique universel Plug-and-Play upnphost Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k localservice
Normal NT AUTHORITYLocalService 0
WebClient WebClient En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k localservice Normal NT
AUTHORITYLocalService 0





au point ou j'en suis, la seule solution que je vois pour identifier le
processus en cause est de terminer ces services un par un avant d'etteindre
le PC et de voir si le lendemaint, quand on demarre le PC, il y a toujours
l'évenement "UPHClean" que j'ai indiqué précedement.

Voyez-vous une autre methode ? SVP
Ypoons
Le #1399324
[...]
-29 avr2006 15h , j'ai demarer en mode sans echec pour pouvoir acceder à
C:System Volume Information
en y configurant les droit d"acces pour le profil "HP_Propriétaire" que
j'utilise habituellement, comme ça je pourait recopier les fichiers de la
base de registre dans C:WINDOWSsystem32config
depuis ce repertoire qui contient toujours des copies de ces fichiers assez
récents.
Une fois redemarer WinXP normalement, l' observateur d' événements m'indique
que l'évenement "Userenv" habituel s'est produit juste au moment ou j'ai
redamarer précedement, bien que le service UPHClean était en execution.
Donc, apparement UPHClean ne joue pas son role quand on est en mode sans
echec.
[...]

Donc maintenant je sait que le processus coupable est "svchost.exe", c'est
ce qui sert à lancer les services, mais comment identifier le service en
cause alors qu'il y en a 36 lancés par svchost.exe qui sont en execution sur
mon PC ?
que veux dire "(888)" devant "svchost.exe" ?
et comment localiser la clé de registre en cause avec "HKCU (0x24c)" ?
[...]

liste des Services "svchost" sur mon PC :
[...]

au point ou j'en suis, la seule solution que je vois pour identifier le
processus en cause est de terminer ces services un par un avant d'etteindre
le PC et de voir si le lendemaint, quand on demarre le PC, il y a toujours
l'évenement "UPHClean" que j'ai indiqué précedement.

Voyez-vous une autre methode ? SVP


Salut Paul

Oui, il y a plus simple (mais en fait ça ne fait que reculer le
point de compréhension).
D'abord identifier le service en cause :
- si tu as XP Home, télécharger le fichier tasklist.exe ici :
http://www.computerhope.com/download/winxp.htm
Le placer dans C:windowssystem32 *et* dans
C:windowssystem32dllcache
- si tu as XP Pro, il est déjà présent.
- ouvrir le gestionnaire des tâches (ALT+CTRL+SUPPR)
- Menu "Affichage" -> "Sélectionner les colonnes..." cocher la
colonne "PID" (c'est le Processus IDentifier, le numéro du
processus - ce numéro peut changer d'une ouverture de session à
l'autre). Ce réglage restera permanent (jusqu'à ce que tu le
changes).
- lire le fichier readme.txt qui accompagne UPHClean (le
télécharger si tu ne l'as déjà fait) pour configurer le service
UPHClean en mode "verbose" (valeur CALLSTACK_LOG mise à 1).
- créer un fichier texte vide (où tu veux sur le disque - par
exemple dans C:Test - avec le nom que tu veux - par exemple
uphclean.txt - ici je l'appellerai <nom_de_fichier>).
- à chaque démarrage de la machine, ouvrir une fenêtre de
commandes (sorry, je ne sais comment automatiser cette partie) et
taper l'ordre
tasklist /svc /FI "IMAGENAME eq svchost.exe" >> <nom_de_fichier>
(il faut mettre le nom du fichier avec son chemin complet - ex:
C:Testuphclean.txt)
Tu auras comme résultat la liste des svchost actifs, leur PID et
les services qui sont démarrés par chaque svchost, et cette liste
sera automatiquement sauvegardée dans le fichier <nom_de_fichier>
à la suite des autres listes (une par exécution de la commande).
Ça te permettra de savoir (avec les renseignements précédents)
quel service exact est mis en cause dans la non-libération des
handles qui empêche la ruche de se fermer correctement.

C'est là que ça reste compliqué, car pour la suite il faut savoir
utiliser "Symbols" (voir dans le readme.txt).

J'ai (comme beaucoup d'autres) été obligé d'utiliser UPHClean. À
l'heure actuelle, presque à chaque fermeture de session, j'ai une
information 1401 UPHClean dans l'observateur d'événements (avant
c'était un avertissement 1517) qui me dit qu'il a fait son boulot
et que la ruche a été correctement déchargée et fermée. Voici le
descriptif chez moi :
-------------
The following handles in user profile hive XXXXXXxxxxx
(S-1-5-21-XXXXXX) have been remapped because they were preventing
the profile from unloading successfully:

svchost.exe (1556)
HKCU (0x330)
0x77e0b4b7 ADVAPI32!<no symbol>
0x77dd72b1 ADVAPI32!IsTextUnicode+0x9cb4
0x77da6b20 ADVAPI32!RegOpenKeyExW+0xa8
0x77da773e ADVAPI32!RegOpenKeyW+0x2f
0x77dab2dc ADVAPI32!SaferComputeTokenFromLevel+0x587
0x77dab296 ADVAPI32!SaferComputeTokenFromLevel+0x541
0x77da9e9e ADVAPI32!IdentifyCodeAuthzLevelW+0xd9
0x7c819653 kernel32!BasepCheckWinSaferRestrictions+0x17e
0x7c818d2c kernel32!GetNlsSectionName+0x10cb
0x77dc7838 ADVAPI32!CreateProcessAsUserW+0xc3
0x76883acd rpcss!<no symbol>
0x76883849 rpcss!<no symbol>
0x77e59dc9 RPCRT4!CheckVerificationTrailer+0x75
0x77ed321a RPCRT4!NdrStubCall2+0x215
0x77ed36ee RPCRT4!NdrServerCall2+0x19
0x77e5988c RPCRT4!NdrGetTypeFlags+0x1c9
0x77e597f1 RPCRT4!NdrGetTypeFlags+0x12e
0x77e5971d RPCRT4!NdrGetTypeFlags+0x5a
0x77e5bd0d RPCRT4!NdrConformantArrayFree+0x42e
0x77e5bb6a RPCRT4!NdrConformantArrayFree+0x28b
0x77e56784 RPCRT4!I_RpcBCacheFree+0x14c
0x77e56c22 RPCRT4!I_RpcBCacheFree+0x5ea
0x77e56a3b RPCRT4!I_RpcBCacheFree+0x403
0x77e56c0a RPCRT4!I_RpcBCacheFree+0x5d2
0x7c80b50b kernel32!GetModuleFileNameA+0x1b4


Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.
-------------
Je sais que le svchost.exe de PID 1556 lançait à ce moment les
services suivants : DcomLaunch, TermService

Me reste à savoir pourquoi l'un de ces deux services (essentiels
à Windows) refuse de se fermer quand Windows le lui demande...

Amicalement,

P.S. : il est surprenant que chez toi, en démarrant en mode sans
échec, un avertissement 1517 ait été inscrit dans l'observateur
d'événements : si UPHClean était en activité comme tu dis, il
aurait dû faire son boulot...

Re P.S. : C'est une très mauvaise idée que tu as eue de vouloir
octroyer à ton compte habituel les droits de lecture/écriture sur
le dossier "System Volume Information" (qui contient les points
de restauration). Si toi tu y as accès, les virus et malwares y
auront accès aussi... Cette manip n'est à faire que
ponctuellement, pour test - ensuite il faut revenir à la
situation "normale" : seul l'utilisateur "System" doit pouvoir y
accéder.

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Publicité
Poster une réponse
Anonyme