Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
При каждой загрузке фиксируется ошибка:
Событие 1530, User Profile Servis
Имя журнала:   Application
Источник:      Microsoft-Windows-User Profiles Service
Дата:          31.10.2016 23:52:22
Код события:   1530
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:
Пользователь:  система
Компьютер:     СТАРЫЙ-ПК
Описание:
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  
 
 ПОДРОБНО - 
 21 user registry handles leaked from \Registry\User\S-1-5-21-613228218-2750389096-1502945478-1000:
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\trust
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\Root
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\My
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\CA
 
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2016-10-31T16:52:22.396344600Z" />
    <EventRecordID>243192</EventRecordID>
    <Correlation ActivityID="{03100C40-F800-0000-2338-76F98F33D201}" />
    <Execution ProcessID="1116" ThreadID="1832" />
    <Channel>Application</Channel>
    <Computer>СТАРЫЙ-ПК</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">21 user registry handles leaked from \Registry\User\S-1-5-21-613228218-2750389096-1502945478-1000:
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\trust
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\Root
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Policies\Microsoft\SystemCertificates
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\My
Process 1880 (\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe) has opened key \REGISTRY\USER\S-1-5-21-613228218-2750389096-1502945478-1000\Software\Microsoft\SystemCertificates\CA
</Data>
  </EventData>
</Event>

Как у вас?

Опубликовано (изменено)

@sputnikk, Прошу напишите подробнее, что вы делал с KIS? Сканировал ее на файлы? Или что-то там делал? Вы можете создать отчет GSI?.

Изменено пользователем wumbo12
Опубликовано

что вы делал с KIS

установил и пользуюсь. Вопрос в следующем:

 

 

 

Как у вас?

 

На всякий случай написал в т.п. Интересно, сколько отписок получу от т.п. первого уровня, прежде, чем предложат конкретное решение.

Опубликовано (изменено)

sputnikk,

какими-нибудь оптимизаторами недавно не пользовались?

Возможно у вас уменьшен таймаут завершения процессов и Касперский не успевает выгружаться.

Изменено пользователем andrew75
Опубликовано

 

 


не успевает выгружаться.
при загрузке ОС?
Опубликовано (изменено)

@sputnikk,  Ну, если у вас оперативка слабая, касперский будет долго выгружать при загрузке ОС, если оперативка мощная тогда касперский быстро выгружат из ОС(например диcк SSD) и 8 ОЗу и 4 ядер и i7-больше чем от 4*** до 7*** и 3 циферки -например .

Изменено пользователем wumbo12
  • Нет слов 1
Опубликовано

@sputnikk, сам антивирус работает то? Дампы падения здесь есть: C:\ProgramData\Kaspersky Lab ?

Вы же вроде антивирус на обычный жесткий диск установили, а не на системный SSD?

Опубликовано (изменено)

касперский будет долго выгружать при загрузке ОС

при загрузке ЗАгружается )

 

 

Дампы падения здесь есть: C:\ProgramData\Kaspersky Lab ?

Он не падает ) В журнале событий Винды фиксируется предупреждение. По иному никак не проявляется. С КИС 2016 такого не было. Система на SSD.

 

Вы же вроде антивирус на обычный жесткий диск установили, а не на системный SSD?

А, забил. Не удалось создать жёсткую ссылку на папку с журналами КИС. Стоит в обычном месте. 

 

Если верить статье - https://support.microsoft.com/en-us/kb/947238- то это поведение by design (Microsoft).

"Данное поведение является особенностью." Похоже неизбежное зло.

 

Итак, опрос продолжается:

 

 

Как у вас?

Изменено пользователем sputnikk
Опубликовано

На висте проблема имеет место быть. Воспроизводится рандомно. Последний раз воспроизвелась 28.10.2016.

 

  • Согласен 1
Опубликовано

Дабы снять подозрение с мощности железа. SSD 50'000 IOPS, i5-3470, 8 gb DDR3.

post-22080-0-76043400-1477998910_thumb.jpg

Опубликовано (изменено)

Вы случайно драйвера не обновляли snappy drivers installer

Изменено пользователем ska79
Опубликовано

 

 


Как у вас?
а у нас в квартире газ. у себя события 1530 не нашел в Журналах

Windows 10 x64
версия 1607
построение 14393.351

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Foxnight
      Автор Foxnight
      Добрый день, появился вопрос по поводу событий которые хранятся в журнале Безопасность Windows.
      По коду событий 5140 можно определить кто пытался подключиться к шаре (с какого компа в сети и под чей УЗ)
      очень много событий при подключении к общему ресурсу IPC$

      в основном такие запросы идут от сервера KSC 
      как я понимаю это или опрос сети или мониторинг активности или инвентаризация сети ...,
      но так же они поступаю и от других ПК в сети на которых установлен KES 11.11-12.6 версии +агент администрирования 15.0 , возможно они работают как точки распространения в KSC
       
      т.к. сканирование этого ресурса можно сопоставить с работой червя, которого мб по какой то причине каспер не смог уловить, как можно фильтрануть эти события и отсеять работу Касперского от левых подключений?
       
       
    • dsa
      Автор dsa
      Добрый день!
      Подскажите пожалуйста, в результате чего на сервере KSC создается следующее информационное сообщение:
      Аудит (модификация объектов)
      Важность: Информационное событие
      Программа: Сервер администрирования
      Устройство: Сервер администрирования
      Группа: Группа устройства, на котором добавлена задача
      Описание: "Активные угрозы": пользователь "DOMAIN\Admin_account" добавил задачу "Проверить" для объектов на устройстве "Имя устройства".
       
      Администратор не добавлял никаких задач. Как произошло событие? Что за задача "Проверить"?
    • Vadya
      Автор Vadya
      процесс User Feed Synchronization ломится в инет. и в планировщике заданий появилась задание с таким же именем. я конечно же из планировщика его сращу же удалил. но теперь надо проверить комп на вирусню. касперский как всегда ничего не находит, ессет сканер тоже. 
      CollectionLog-2024.01.12-18.47.zip
    • Дмитро
      Автор Дмитро
      KSC 14.2 из-под win настроена политика для пользовательских машин и в ней для сетевого экрана добавлено правило, в котором идет запись в отчет.
      По факту нужно отследить отработку это правила из под отчета.
      Какой корректно выбрать отчет (ну или построить свой), где возможно было увидеть статистику по добавленному правилу сетевого экрана?
      облазил офф документации но ясности нет а ждать ответа неимоверно долго
    • MicroSkittles
      Автор MicroSkittles
      Добрый день.
      В ksc 14 в политике настроен параметр веб-контроль с доступом по белым адресам, все работает идеально, однако события устройства забиваются уведомлением доступ запрещен задача веб-контроль, можно ли исключить это из списка события?
      В настройках уведомлений в политике отключить всё напротив параметра веб-контроль, где еще проверить?

       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам
×
×
  • Создать...