Журнал событий системы windows 7 коды ошибок - ErrorsMaster.ru - большая энциклопедия ошибок и их решений

Как читать журнал событий Windows ?

Думаю, что каждый из пользователей, который работает с компьютером, сталкивался с проблемами и ошибками. Пора вам научиться читать журнал событий Windows , который отображает сообщения приложений и самой системы: ошибки, информационные сообщения, предупреждения. Здесь содержится информация о событиях, кои система посчитала записать для администратора. Просто так, на всякий пожарный.

В нормально работающей системе пользователь сюда дорогу не знает — просто незачем. Однако при появлении ошибок (лагов) в Windows поводов заглянуть сюда появляется немало, благо отсюда есть что почерпнуть.

Где журнал событий находится?
Как обнаружить нужное событие?
Справка по журналу
Очистка журнала
Тренируемся: что тормозит Windows при включении и выключении?

Где находится Журнал событий?

Самый быстрый способ попасть в него, это набрать в строке поиска после нажатия клавиши WIN слова «журналы событий». И щёлкнуть по соответствующей ссылке:

Или наберите Пуск — команда eventvwr.msc. По умолчанию, Просмотр событий откроет вкладки, в том числе со сводкой административных событий, где перечислена информация по важности для администратора. Важнейшая из них Критический тип события. Погуляйте по разделу Журналы Windows, ключевые директории Приложения и Система. Всё происходящее в системе записывается в нескольких документах. И скорее всего, вы обнаружите там несколько ошибок. Это не значит пока ровным счётом ничего. Если система стабильна, эти ошибки не критичны и не побеспокоят вас никогда. Кстати, можете присмотреться — ошибки сохраняются для программ, которых на компьютере давно уже и нет.

Игра была закрыта с помощью клавиш Alt + F4 — мама, видимо, зашла в комнату.

Теоретически, остальным программам также велено записывать важные и не очень события в Журнал, однако, на моей памяти, они эти почти не занимаются.

Читателю уже может показаться, что внимание к Журналу можно не уделять. Ан нет. Журнал поможет внимательному и думающему пользователю в случаях появления серьёзных сбоев в работе, например, при появлении BSOD или при неожиданных перезагрузках системы. Так, в Журнале легко обнаружиться «погибший» драйвер. Вам нужно лишь внимательно посмотреть на появившиеся красные значки с надписью Критический уровень и удалить указанный драйвер, а может подумать о замене устройства.

Ищем нужные события: процессы и логи результатов

К примеру, после некоторого времени работы мы обнаружили залипание мыши, пропажу некоторых папок и неработающие пути: первый признак появления сбойных секторов на диске. Для работы с ними необходимо последовательно запустить утилиту проверки состояния диска chkdsk /f, которая начнёт работу после перезагрузки, а затем проверим на целостность файловую систему самой Windows sfc /scannow. Так вот, на результаты работы как этих, так и прочих утилит можно посмотреть в том же журнале:

Так как одна из этих утилит запускается системой только перед загрузкой (для тома, который эту систему содержит), есть смысл поискать результаты по флагу Wininit (от Windows Initialisation).

Впрочем, можно не гадать. Microsoft имеет официальную страницу поддержки по сообщениям системы. Если вас интересует конкретное событие, вы можете посетить страницу в сети. Однако, по моему мнению, очень хорошим сервисом, который поможет читать журнал событий Windows , является сервис

http://www.eventid.net/

В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:

Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.

Как всегда, просмотр журнала событий — это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.

Журнал событий Windows — как очистить?

Итак, с проблемами справились, система стабильна. Тогда давайте избавимся от ненужных в Журнале записей: если вы Журнал посещали, некую захламлённость по числу записей в нём наблюдать могли.

Способов очистки существует несколько. Можно это сделать через PowerShell Windows:

Можно через консоль:

Я же предложу вам небольшой скрипт, который вы можете поместить в текстовый документ, сохранить с расширением .bat. Я свой так и назвал Очистка логов (итоговый файл запускайте с правами админа):

Вот скрипт:

Дождитесь окончания работы скрипта, окно консоли само захлопнется:

Читаем журнал событий самостоятельно.

Прямо сейчас вы сможете обнаружить, например, какие службы или программы тормозят ваш компьютер во время загрузки Windows. Или мешают компьютеру побыстрее выключиться. Из строки Выполнить (WIN + R) запускаем Просмотр событий

Выбираем

Журналы приложений и служб — Microsoft — Windows — Diagnostics-Performance — Работает

Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала

В поле Все коды событий введите код 203 (Контроль производительности при выключении):

По выбранному фильтру журнал сгруппирует те события, которые, как посчитала система, привели к задержке при завершении сеанса пользователя…

… с указанием имени службы, точного занимаемого на это времени и т.п. По необходимости вы можете свериться в сети по имени сервиса, за чем он закреплён и по желанию отключить его. Если служба появляется рандомно, беспокоиться, поверьте, оснований нет. Однако в том случае, когда оно и то же имя мелькает частенько и основательно в этом Журнале прописалось, стоит задуматься. Далее. Если предпринятые вами действия возымели результат, проверьте теперь загрузку. Код событий — 103:

Источник

Содержание

10 критически важных event ID для мониторинга
Контроллеры доменов
Вход и выход из системы (Logon/Logoff)
Типы входов в систему (Logon Types)
Коды отказов Kerberos
Коды ошибок NTLM
Журнал событий в Windows 7/10 – где находится и как открыть?
Где находится журнал событий Windows
Как открыть журнал
Как использовать содержимое журнала
Очистка, удаление и отключение журнала
Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
Журнал событий безопасности (Security Log)
Системный монитор (Sysmon)
Журналы Power Shell
Windows PowerShell log
Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)
Журнал событий в Windows: как его открыть и найти информацию об ошибке
Работа с журналом событий (для начинающих)

10 критически важных event ID для мониторинга

Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Источник

Журнал событий в Windows 7/10 – где находится и как открыть?

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Источник

Что полезного можно вытащить из логов рабочей станции на базе ОС Windows

Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.

Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.

Журнал событий безопасности (Security Log)

Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.

Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.

Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.

Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.

Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.

Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.

Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.

Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.

Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:

Системный монитор (Sysmon)

Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.

Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?

Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.

Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.

Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.

Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.

А теперь то, чего в политиках Security Log нет, но есть в Sysmon:

Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.

Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.

Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.

События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\.”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.

Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.

Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.

Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.

Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).

Журналы Power Shell

Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.

Windows PowerShell log

Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.

Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)

Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.

Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.

Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.

Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены. 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

eventvwr — команда для вызова журнала событий

Система и безопасность

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

Службы — журналы событий

Источник

Источник

Небольшие технические трудности. В ближайшее время мы появимся в сети и сайт станет чуточку лучше

Windows – наиболее популярная операционная система, которую используют 92% пользователей компьютеров и ноутбуков.

И каждый из них хотя бы раз сталкивался с одним или несколькими видами системных ошибок.

Системные ошибки Windows – это обобщенное название всех сообщений системы, которые сообщают о любых неполадках в работе ОС.

Так как ошибки в работе системы не редкость, пользователю нужно знать как решить ту или иную проблему, уметь восстанавливать нормальное функционирование системы без негативных последствий.

Не все ошибки являются критическими и не всегда нужно вызывать мастера, в большинстве случаев можно решить проблему самостоятельно.

Далее мы поговорим об ошибках в работе Windows 7 и Windows 10, их видах и способах решения.

Что такое системный журнал Windows 7

В операционной системе Windows, начиная с 7 версии, есть функция отслеживания важных событий, все они собраны в специальном журнале.

Именно там можно найти информацию обо всех системных ошибках.

Журнал включает в себя информацию обо всех сбоях: программах, которые не запускаются, нарушениях в работе драйвера, а также неправильном подключении устройств.

Журнал сохраняет все события в хронологическом порядке, позволяет осуществлять контроль над системой, проводит диагностику ошибок и, по возможности, устраняет их.

Общий вид системного журнала

Чтобы сохранить все важные данные, нужно периодически просматривать этот журнал и производить настройку компьютера.

Когда служба журнала событий запущена, она собирает и сохраняет в архив все важные изменения и происшествия.

Функции журнала включают в себя:

Возможность просматривать архивные данные.
Создавать подписки определенных происшествий для работы с ними в будущем.
Фильтры событий для применения их в системе.
Настраивать выполнение компьютером определенных действий при появлении ошибки.

Системный журнал есть на любом устройстве, работающем на операционной системе Windows 7 и его правильное использование позволит избежать многих ошибок, в том числе, фатальных.

Как устранить все ошибки на Windows 7

Видео инструкция

Где находится журнал

Чтобы открыть журнал событий, нужно нажать на «Пуск», в левом нижнем углу экрана, затем на «панель управления» и в открывшемся меню выбрать «Администрирование» и «Просмотр событий».

Интерфейс меню «пуск — панель управления»

Интерфейс меню «пуск — панель управления» — «администрирование»

Теперь нажимаете на «просмотр событий» и видите следующий экран:

В операционных системах Windows 7 предусмотрено 2 вида журнала событий: системные архивы и служебный журнал приложений.

В архивах собрана вся информация о происшествиях в системе, а в служебном журнале отметки об их работе в целом.

Чтобы пользователь мог контролировать данные и управлять ими, созданы специальные разделы, вкладка «просмотр» делится на такие пункты:

Приложения, в разделе хранятся события определенной программы. Например, антивирусная программа сохраняет там сведения о найденных проблемах и обезвреженных вирусах, а почтовые службы – историю переписок.
Раздел установка. При установке любого приложения или драйвера, в операционной системе Windows 7 сохраняются некоторые данные, которые в дальнейшем находятся в разделе установки.
Система. В этом разделе данные обо всех событиях в ОС, сбоях в работе приложений, сбоях установки, обновлениях программ и устройств, неправильно подключенных внешних устройствах и так далее.
Безопасность. В разделе информация об использовании прав администратора, хранится история выхода и входа в систему пользователем.

Все ошибки и события, сохраненные в журнале, имеют определенные характеристики: источники, уровень, код событий, время и дата и пользователи.

Источники – это приложения или драйверы, которые повлияли на сбои в системе.

Код событий – набор чисел, который необходим техническим специалистам для устранения проблем. Обычный пользователь ПК не сможет использовать код.

Уровень – это степень серьезности ошибки. Всего 6 уровней опасности: сообщение, предостережение, ошибка, опасная ошибка, мониторинг операций по исправлению ошибок, аудит неудачных действий.

Дата и время – отмечают момент появления сообщения или сбоя.

Пользователи – показывает, какой пользователь мог повлиять на появление ошибки. Это могут быть не только реальные пользователи, но и сторонние серверы, системы и программы.

Для контроля над работой системы Windows 7, пользователю нужно заходить в раздел «Просмотр событий».

Здесь собрана вся информация о состоянии программ, драйверов и системы и отражены все ошибки.

Также представлена таблица, в которой оказаны происшествия и сопутствующие характеристики.

Интерфейс журнала событий

Как пользоваться журналом

Пользователь ПК может самостоятельно предотвратить многие сбои системы, для этого ему время от времени нужно просматривать раздел журнала «Приложения».

В этом разделе можно не только увидеть все программы и недавние изменения, связанные с ними, но и выбрать необходимое действие из предложенных.

В разделе «Приложения» вы увидите информацию обо всех происшествиях, степени их серьезности, типе, а также дате появления и сможете своевременно принять меры, чтобы не усугубить ситуацию.

Найти раздел «Приложения» несложно, он находится в меню журнала слева и называется «журнал приложений», как показано на скриншоте:

Но не нужно переживать – большинство ошибок, зафиксированных в журнале, не критичны и не несут опасности компьютеру.

На некоторые из них можно вовсе не обращать внимания, даже на исправно работающем ПК или ноутбуке система может выдавать ошибки.

Пример ошибки, на которую можно не обращать внимания, так как она не мешает работе компьютера

Может показаться, что журнал событий полезен только системным администраторам, но это не всегда так.

Пока ваш компьютер полностью исправен, журнал действительно не нужен, так как на мелкие сбои в системе обычно никто не обращает внимания.

Но как только начинаются серьезные проблемы, журнал поможет вам найти информацию о причинах их возникновения и устранить ошибки самостоятельно, или с помощью специалиста.

Например, если компьютер стал часто перезагружаться, или выдавать «окно смерти» (о нем мы поговорим подробнее ниже), то необходимо как можно быстрее определить причину.

Вы можете посмотреть записи о неудачных запусках системы или драйверов в журнале и по номеру ID ошибки вы найдете немало информации в интернете.

Пример ошибки, которая требует решения. Стрелка указывает на ID, по которому можно найти информацию в интернете.

В данном случае, чтобы получить справку по этому сбою у Гугл или Яндекс, введите в поисковую строку Event 720_ОШИБКИ и найдете инструкции по ее устранению.

Также журнал событий подскажет, когда ваш компьютер был включен и выключен.

Это поможет избежать несанкционированного доступа к технике, так как вы сможете отслеживать процесс включения.

Какие инструменты нужны для исправления системных ошибок

Чтобы системные ошибки вы могли исправить своевременно, в арсенале должны быть загрузочные диски или флешки с программами.

Желательно иметь в наличии и уметь пользоваться такими инструментами:

1. Диск с Windows 7, 8 или 10, который понадобится в крайнем случае, при необходимости переустановить систему полностью или некоторые потерянные данные.

2. Загрузочный диск с Windows РЕ. В виртуальной среде Windows намного проще исправлять многие системные ошибки и чтобы открыть ее и работать, необходим реаниматор, который вы можете записать на внешний цифровой носитель. Например, на флешку. Мы рекомендуем выбрать реаниматор Alkid Live CD/DVD/USB – это оптимальная сборка и его без труда можно скачать в интернете бесплатно.

3. Флешка или диск, при условии наличия дисковода на вашем ПК, с антивирусным сканером.

Очень важно обновлять антивирус хотя бы раз в год, поэтому лучше записать программу на флешку и обновлять по мере появления новых версий. Антивирус можно выбрать любой, например тот, который вы обычно используете на своем компьютере.

4. Сохраненные на цифровом носители драйвера для материнской платы и остальных аппаратных частей компьютера.

Очень важно устанавливать «заводские» драйвера, так как набор других программ может привести к поломке компьютера или нарушениях в его работе. Установка неподходящих драйвером может даже повлиять на исправные составляющие ПК.

5. Загрузочные флешки или диски с программами для управления разделами жесткого диска. При возникновении сбоев в работе системы, больше всего пользователи переживать за сохранность личных данных. Если ошибки исправить невозможно и восстановить операционную систему уже не получится, то можно спасти данные, скопировав их с жесткого диска С, на который и ставится Виндоус, на диск Д или Е. Для этого подойдет загрузочная флешка или специально разработанная программа Minitools Partition Wizard. Она является бесплатной, поэтому интерфейс не такой удобный, как у платных аналогов. Однако свои функции программа вполне способна выполнить.

Если у вас есть все указанные выше инструменты, вы можете приступать к исправлению любых, даже фатальных.

Виды системных ошибок

Описанное выше приложение создано скорее для работы системных администраторов, однако и обычному пользователю оно может быть полезно. Теперь поговорим о распространенных видах ошибок Виндоус.

Считается, что операционные системы Linux и Mac OS гораздо более устойчивы в работе, чем Windows.

Однако, именно Windows пользуется большая часть населения, при этом далеко не все знают какие могут возникнуть сбои, как от них избавиться и избежать в дальнейшем без переустановки системы.

Квалифицировать системные ошибки можно по разным критериям, так как одна и та же может быть вызвана и выходом из строй составной части системного блока, и сбоем программы или вирусом.

Именно поэтому оптимальным вариантом станет классификация по степени опасности.

В соответствии с ней системные ошибки Windows 7 можно поделить на такие группы:

Системные сообщения – незначительные сбои в работе, которые могут возникать на исправном компьютере.
Ошибки категории «синий экран смерти».
Ошибки на уровне загрузчика.

Зная типы ошибок, а также обладая минимальным количеством знаний и навыков, можно устранить сбои и избежать необходимости перезаписи операционной системы и уничтожения данных.

Системные сообщения – наиболее простой тип ошибок

Системные сообщения появляются постоянно, в журнале ошибок можно найти множество таких отметок каждый день.

Это могут быть внезапные закрытия приложений, невозможность запуска приложения и многое другое, такие сообщения обычно не влияют на качество работы ПК или ноутбука.

Пример системного сообщения

Визуально ошибка выглядит как серое окошко с описанием и кодом, а также кнопками вариантов действий «Ок» и «Отмена».

Всего в системе есть до 900 сообщений, поэтому описывать их все мы не будем – в этом нет необходимости.

Кроме того, большая часть из них возникает очень редко, а другие сообщения вовсе не отображаются пользователю, так как они являются внутренними.

Разделить их можно на такие виды:

Аппаратные. Сообщения относятся к работе мышки и клавиатуры.
Организация окна – это все уведомления, вопросы, подтверждение действий.
Организация интерфейса – вывод меню, курсора.
Завершение работы. Предупреждения о закрытии фоновых программ.
Уведомления о системном ресурсе. Эти сообщения включают в себя уведомления об изменении темы, цветов или шрифтов.
Обмены данными. Уведомления от буфера обмена.
Частные сообщения.
Внутрисистемные, то есть, которые пользователь не видит.

Для примера рассмотрим распространенную ошибку: Ошибка Память не может быть written.

Ошибка Память не может быть written

Ошибка сообщает, что память не может быть записана.

Иногда вместо слова written можно встретить слово read, то есть память не может быть считана.

Это означает, что открытая программа не может корректно работать с оперативной памятью, она не может получать нужные данные или записывать на диск свои.

Причины возникновения такой распространенной ошибки следующие:

Поломанные блоки в оперативной памяти.
Вирус или патч, которые вызывают некорректную работу системы. «Подцепить» вирус можно, скачивая софт с непроверенных сайтов в интернете.
Нарушение во взаимодействии драйверов и программного обеспечение.
Несоответствие драйверов операционной системе.
Проблемы с питанием компьютера или ноутбука.
Установка большого количества противовирусных программ.

Так как причин множество, нужно выявить ту, которая привела к поломке.

Для этого следует исключить все неподходящие варианты и сконцентрироваться на возможных проблемах.

Если программа сразу после установки стала выдавать такую ошибку, то проблема именно в ней или в несовместимости программы с операционной системой.

Возможно она является взломанной версией платного софта, или требует для работы дополнительных сведений и драйверов, или же не совместима с версией операционной системы.

Если программа с самого начала не запускалась без ошибки, можно попробовать запустить ее при помощи режима совместимости с Windows ХР.

Для этого нажмите на свойства исполняемого файла программы, выберите «совместимость» и нажмите на функцию «средство устранения проблем с совместимостью».

Автоматически проблема будет решена и программа начнет запускаться без сбоев.

Запуск программы в режиме совместимости со старой версией Windows

Также причиной может стать несовместимость программ и их компонентов.

Обычно это является причиной в тех ситуациях, когда ранее программа работала исправно и внезапно стала выдавать ошибку.

Возможно вы установили на ПК новый софт, программы, расширения или драйвера и нормальная работа его была нарушена.

Вы можете удалить новые программы и попробовать запустить нужную, выдающую ошибку.

Кстати, удалять программы лучше не просто с диска, а при помощи специального деинсталлятора.

Удаляя папку с загрузочным файлом, вы оставляете на компьютере части программы, которые могут мешать его работе.

А деинсталляторы почистят устройство и от программы, и от созданных ею файлов.

Драйвера лучше удалять стандартными службами системы.

Еще одна распространенная причина появления такой ошибки – активная работа антивируса.

Проверить это легко, просто отключите антивирус и попробуйте запустить программу снова.

Но делать это можно только в том случае, если антивирус не находит опасных файлов в самой программе, то есть предварительно нужно просканировать папку с файлами.

На изображении показано, как отключить антивирус Аваст

Также причиной может служить любая техническая неполадка.

Чтобы это проверить, выключите компьютер и подождите несколько секунд, пока все процессы будут завершены.

Теперь откройте системный блок и аккуратно коснитесь деталей, в частности, платы оперативной памяти.

Если она перегрета, значит в системе сбои и возможно короткое замыкание.

Но это не значит, что плата полностью испорчена и уже не подлежит восстановлению.

Есть вероятность того, что нарушено соединение контактов, в таком случае плату просто переставляют в соседний слот.

Но не все системные сообщения Виндоус выводятся на монитор на русском языке, примерно половина окошек будут заполнены английским текстом.

Это усложняет понимание проблемы, но есть и решение: в окошке всегда написан код ошибки, который представляет собой число в шестнадцатеричной системе счисления. Например, 0х005600b.

Этот код вы можете скопировать и найти информацию и способы решения проблемы в интернете, в специализированных статьях или на форумах, где также можно задавать интересующие вас вопросы.

Описание ошибки «синего экрана смерти» и варианты ее исправления

Понятно, что синий экран является следствием ошибки операционной системы windows 7 и таким способом она пытается донести информацию о поломке до пользователя.

Из-за синего экрана пользоваться компьютером становится невозможно, но при правильных действиях работоспособность системы вы сможете восстановить.

Синий экран не случайно блокирует работу устройства, это делается с определенной целью: помочь пользователю спасти файлы и все данные в компьютере.

В наиболее простых случаях поможет обычная перезагрузка компьютера.

Это относится к случаям, когда ошибка была вызвана некорректной обработкой данных и сбоем при передаче информации.

Если же перезагрузка не помогла, значит причина может быть в сломанных драйверах, жестком диске или модуле.

Так выглядит синий экран смерти

Понять, что именно произошло, помогут коды, которые отражают номер и название поломки.

Коды — это две первые строки на экране монитора.

Иногда компьютер вовсе не выводит синий экран, а просто произвольно перезагружается.

В таком случае определить причину поломки сложнее.

А произойти это может из-за отключения функции вывода на экран сообщений BSoD.

Чтобы исправить это (если ваш компьютер все же работает после перезагрузки), отключите произвольную перезагрузку системы.

Сделать это можно так:

Зайти в раздел «Мой компьютер».
Зайти в «Свойства».
В выбранном окне нажать на «Дополнительные настройки».
Здесь вы увидите блок восстановления и загрузки системы, в нем нужно убрать галочку напротив пункта «Выполнить автоматическую перезагрузку».

Меню «свойства», показано, в каком поле убрать галочку

После этого система всегда будет выдавать вам экран с записью об ошибке и определить причину поломки будет проще.

Ошибки синего экрана – экрана смерти

Очень часто пользователей интересует как исправить системные ошибки Windows, которые представляют собой синий экран с написанным кодом.

Обычному пользователю такой экран совершенно непонятен, более того, он пугает и настораживает, так как в большинстве случаев, при появлении синего экрана «смерти», компьютер не может работать.

Если система не загружается, а вместо окна загрузки вы видите синий экран с белым кодом, значит вы столкнулись со стоп-ошибкой Windows, которую именуют экраном смерти.

Но не стоит беспокоиться, очень часто даже такая ошибка не является достаточной причиной для переустановки операционной системы или удаления всех данных с компьютера.

Чтобы спасти систему от переустановки, нужно понять, а чем причина ошибки.

Проще всего это сделать, посмотрев на код сбоя, он указан после слова STOP на странице.

По этому коду вы поймете, в чем причина сбоя и сможете быстро и безопасно его ликвидировать.

На скиншоте показан синий экран смерти и указаны код и тип ошибки для ее быстрой классификации и решения

Помимо кода ошибки, на экране появляется имя системного модуля, который вызвал сбой программ и тип неполадки.

На изображении выше эти параметры указаны стрелочками. Для примера рассмотрим ситуацию на изображении.

В данном случае причиной ошибки является драйвер, который не смог правильно взаимодействовать с модулями операционной системы.

Об этом свидетельствует фраза DRIVER_IRQL_NOT_LESS_OR_EQUAL вверху экрана.

В следующих строках указаны стоп слова, которые возникли из-за ошибки, но они несут для нас мало информации.

В нижней строке написано имя драйвера, то есть в нашей ситуации это tcpip.sys, имя интернет-протокола TCP/IP.

Чтобы исправить системную ошибку, не обязательно ставить новую операционную систему.

Достаточно поменять драйвер сетевой платы компьютера на более подходящий.

Выполните следующий порядок действий, чтобы исправить ошибку:

1. Перезагрузите компьютер. Иногда это помогает, так как часто возникают временные сбои. Если появится доступ к Виндоус, то именно с временной проблемой мы и столкнулись и после перезагрузки система начнет работать нормально.

2. Если после перезагрузки синий экран пропал, но в следующий раз появился снова, значит проблема с драйвером, который не соответствует системе. Возможно драйвер обновился и теперь несовместим с системой. В этом случае нужно сделать откат драйвера до предыдущей версии, если ошибка появилась после обновления. Если обновлений не было, а синий экран время от времени появляется при запуске системы, значит драйвера устарели и нуждаются в обновлении. Небольшой совет: проверяйте системные сообщения Windows на предмет обновлений. Не все обновления устанавливаются автоматически, поэтому следует обращать внимание на сообщения в центре поддержки и устанавливать все предложенные обновления. Это поможет также улучшить защиту компьютера от вирусов.

3. Наиболее серьезный случай, когда синий экран появляется при каждом запуске системы. В такой ситуации вам потребуется загрузочный диск или флешка, восстанавливающие компоненты ОС. Найти подробные инструкции можно в интернете, процесс установки компонентов будет зависеть от типа и кода ошибки. Но в большинстве случаев причиной появления синего экрана смерти является сбой загрузки файловой системы. В такой ситуации нужно загрузить систему с загрузочного диска Windows PE и запустить командную строку. Открыть командную строку можно через Пуск. Войдите в меню «Пуск», нажмите на «Выполнить» и «Команда CMD». В открывшейся строке вбиваем chkdsk C: /f и нажимаем на enter. Эта команда сканирует весь диск С на наличие ошибок, и когда находит автоматически их исправляет. После окончания процесса исправления ошибок, вы можете запускать компьютер в нормальном режиме.

Сканирование диска не всегда может спасти компьютер, но очень часто помогает восстановить нормальные параметры системы.

В любом случае провести его нужно, так как такая процедура точно не усугубит проблему и не навредит системе, но может помочь избавиться от ошибок.

Как расшифровать информацию на экране смерти

Обычный пользователь не сможет понять, что показано на экране, оценить код и определить способы исправления ошибки и мы попытаемся помочь вам разобраться.

Общий вид экрана смерти

Теперь рассмотрим, что изображено на экране в общем.

В поле, отмеченном на скриншоте цифрой 1, указано название ошибки.

Если вы умеете справляться с компьютером и знакомы с основами программирования, то исходя из названия уже сможете найти способы решения.

Если же нет, то сможете ввести код в интернет и найти необходимую информацию по ошибке.

Во втором поле, оно более объемное, содержится подробное описание ошибок и предложены способы их решения.

Действуя по инструкции на экране, вы сможете «вылечить» компьютер без переустановки системы.

Зона номер три содержит информацию с кодом ошибки.

Обычному пользователю код будет малополезен, а вот системный администратор с его помощью сможет быстро исправить поломку.

Пользователь лишь может вводить этот код вместе с названием неисправности в строку браузера, чтобы найти достаточное количество информации.

Четвертое поле содержит информацию о параметрах и характеристиках поломки.

Пятое поле — это название драйвера, при включении которого и возникла неисправность.

Внизу экрана, в шестом поле, найдете информацию о специальном адресе ошибки.

При наличии определенных навыков и знаний, используя информацию на экране можно легко исправить любые ошибки самостоятельно и быстро.

Чтобы решить проблему перепишите название и код с экрана и найдите информацию о поломки в сети.

Если знаете английский — выполните действия, которые предлагает система.

В любом случае, даже если перезагрузка не помогает и ошибка, вызвавшая синий экран смерти является фатальной, не всегда приходится переустанавливать операционную систему.

Очень часто достаточно переустановить драйвер, который прописан в поле 5 на скриншоте, так как именно он вызвал ошибку.

Причины появление экрана смерти

Все причины появления экрана смерти можно разделить на 2 категории: к первой категории относятся поломки, которые возникли после установки программного обеспечения или драйверов.

Вторая категория — это поломки аппаратной части или сбой в работе операционной системы.

К первой группе причин отнесем установку новых, несовместимых с системой драйверов, подключение нового оборудования: установка видеокарты, смена жесткого диска и другое.

Также ошибку может вызвать переустановка Windows, обновление Windows или обновление драйверов.

Ко второй категории относят такие причины как поломка цифровых элементов техники, электронно-вычислительных комплектующих, нарушение соответствия между драйвером и модулем, а также неправильный контакт узлов в процессоре.

Ошибка может возникнуть и из-за сброса процессором частоты и напряжения.

Это возникает из-за перегрева самого процессора и приводит к невозможности работы устройства.

В числе других поломок аппаратной части, которые могут вызвать синий экран смерти, следующие:

Работа взаимоисключающих программ. Самый яркий пример — работа двух антивирусников, которые блокируют друг друга.
Нет памяти на винчестере.
Неправильная работа BIOS.
Разгон процессора, видеокарты или оперативной памяти, который также был выполнен неправильно.
Опасные вирусы в системе.

Кстати, вызвать экран BSOD можно самостоятельно, чтобы проверить состояние компьютера и выявить проблемы своевременно.

Чтобы вызывать этот экран нужно совершить двойное нажатие SCROLL LOSK при зажатии CTRL при включенной опции.

Какие ошибки синего экрана смерти существуют

Мы перечислим все системные ошибки Windows 10 или Windows 7 и 8. Они также могут встречаться в операционной системе Виста.

1. Код ошибки: 0x00000001: APC_INDEX_MISMATCH. Это внутренний сбой одного из ядер. Может возникнуть из-за несоответствия KeEnterCricticalRegion и KeLeaveCriticalRegion в системе файлов. Также причиной ее появление становится слишком большое число повторных вызовов системы. Это одна из наиболее распространенных проблем.

2. Ошибка 0x0000000A: IRQL_NOT_LESS_OR_EQUAL. Означает, что пользователь (или система), пыталась затронуть внутреннюю память на процессоре, из-за чего система и сбилась. Обычно возникает в том случае, если драйвер устройства использует неправильный адрес. Параметрами ошибки является адрес обращения драйвера, тип операции — операция чтения осуществлялась системой, или операция записи, а также адрес инструкции, которая обнаружила неправильный адрес драйвера. В 9 случаях из 10 возникает из-за установки нелицензионных драйверов Виндоус.

3. 0x00000005: INVALID_PROCESS_ATTACH_ATTEMPT — ошибка свидетельствует об отсутствии доступа к серверу и невозможности запуска операционной системы.

4. 0x0000000D: MUTEX_LEVEL_NUMBER_VIOLATION. Ошибка показывает, что точки взаимодействия получают доступ к системе вне правильной очереди. Найти, какие точки взаимодействия стали причиной сбоя можно с помощью файла заголовков NTOSEXEXLEVELS.H.

5. Очень распространенная ошибка — 0x00000012: TRAP_CAUSE_UNKNOWN. Она показывает, что в системе произошел сбой, но причина не определена. Чтобы выяснить причину и исправить работу компьютера, необходимо отследить, при каких условиях возникла данная ошибка.

6. 0x0000001E: KMODE_EXCEPTION_NOT_HANDLED, также распространенная ошибка. В этом случае обычно появление стоп-экрана вызвано поломанным или исключенным драйвером. Нужно обращать внимание и на тип самого драйвера, и на путь доступа к нему. Эта ошибка не несет особой опасности устройству если она не повторяется слишком часто. В противном случае необходимо будет провести диагностику системы. Иногда причиной ошибки является кэширование процессора и если она возникла повторно, необходимо связаться с производителями этой детали и получить консультацию у них.

7. 0x00000023: FAT_FILE_SYSTEM — указывает на повреждение файловой системы FAT16 или FAT32. Проблема может быть в нарушении работы диска, или с Interrupt Request Packet пакетом.

8. 0x00000020: KERNEL_APC_PENDING_DURING_EXIT. Возникает при повреждении или отключении АРС счетчика. Диагностировать причину легко: если АРС счетчик показывает значение выше 0, то причина именно в нем. Причиной сбоя в работе счетчика может быть неправильная настройка драйверов, которая вызвала неравное количество перезапусков файловых систем.

9. 0x00000024: NTFS_FILE_SYSTEM — ошибка указывает на проблему с чтением определенного драйвера, чтения или записи. Также причиной может служить неправильная работа программного обеспечения, чрезмерная активность антивируса или перегрузка дисков.

10. Ошибка 0x0000002A: INCONSISTENT_IRP указывает на несоответствие состояний IRP. Иногда IRP, который уже выполнил загрузку, система принимает как ожидающий загрузки и наоборот. Из-за этого появляется синий экран.

11. 0x0000002B: PANIC_STACK_SWITCH — ошибка показывает, что область стека ядра переполнена. Обычно причиной является либо ошибка в ядре, либо большой вес драйвера.

12. 0x0000002E: DATA_BUS_ERROR — ошибка памяти системы, возникает когда драйвер обращается к источнику памяти, который уже не существует.

13. 0x00000031: PHASE0_INITIALIZATION_FAILED — появляется в случае, когда система не прошла инициализацию на ранней стадии. Информации этот код практически не дает, поэтому требуется дополнительная диагностика системы.

14. Ошибка с кодом 0x00000025: NPFS_FILE_SYSTEM свидетельствует о том, что память компьютера переполнена и устройство не может нормально работать. В этом случае необходимо увеличить память на жестком диске.

15. Еще один часто встречающийся вариант: 0x00000026: CDFS_FILE_SYSTEM. Показывает, что повреждена файловая система компьютера, есть битые сектора или новый драйвер не совместим с системой. Чтобы исправить ошибку, нужно провести диагностику устройства, ликвидировать битые сектора и добавить объем оперативной памяти.

Это основные ошибки, вызывающие синий экран смерти.

Перечислять все виды сбоев не нужно, так как разобраться в коде обычному пользователю очень сложно и решить проблему самостоятельно ему не удастся.

Диагностика компьютера для поиска поврежденной утилиты

Наиболее часто встречающаяся проблема, вызывающая экран BSOD, это установка нового драйвера или гарнитуры, которые приводят к нехватке незаменимых программных файлов.

Сначала следует провести диагностику внутренних деталей.

Возможно причина в некачественном креплении кабелей или соединений внутри системного блока.

Ваша задача: проверить правильность установки карт и подключения проводов, а также разъемы и их надежность.

Вид системного блока изнутри

Если проблема не обнаружена, нужно проверить температурный режим.

Перегрев внутри системного блока опасен, он может вывести из строя и видеокарту, и сам процессор, что ведет к дополнительным тратам.

Проверить температуру можно в разделе мониторинга BIOS или специальной программой, которую нужно загрузить в операционную систему.

Такие программы покажут, где именно происходит перегрев.

Указанную деталь обязательно нужно заменить или отремонтировать.

Также нужно обязательно проверить состояние оперативной памяти, так как причиной ошибки бывает поломка платы оперативной памяти.

Наличие поломки можно понять благодаря неправильным показателям ячейки памяти, когда она показывает больше (или меньше), чем на самом деле.

Из-за таких поломок работа операционной системы становится нестабильной.

Диагностировать оперативную память можно с помощью специальных утилит, но перед запуском программы следует перезагрузить систему.

Например, можно использовать утилиту Memtest.

Следующий этап — это диагностика жесткого диска.

Для этого откройте «Мой компьютер», выберите программный диск и проведите левой кнопкой мыши нажмите на него.

В появившемся меню выберите «Свойства» и система откроет такое окно:

Диагностика жесткого диска поможет сохранить винчестер, так как очень часто именно он вызывает экраны смерти.

Для запуска тестирования в окне «Свойства» выбирайте «Сервис» и нажмите на «Выполнить проверку».

Компьютер автоматически перезагрузится, а затем начнет сканирование.

Еще один метод — восстановление исходных настроек компьютера.

Система восстановления возвращает состояние компьютера к исходному на определенный участок времени, который вы выставляете самостоятельно.

Помогает устранить ошибку, если она была вызвана присоединенными деталями или установленными недавно программами.

Аппаратная диагностика также поможет проверить состояние компьютера: подключить монитор в специальный разъем на материнской плате, который предназначен для видеокарты, а остальные составляющие части отключить вовсе.

То есть у вас должны быть только процессор, оперативная память, блок питания, клавиатура, винчестер, монитор и материнская плата. Все остальные составляющие отключаются.

Если при наличии только монитора и материнской платы компьютер запускается, нужно начать поочередно присоединять оставшиеся детали до тех пор, пока система не выдаст ошибку.

Именно та деталь, на которой при загрузке появился синий экран, является его причиной.

Правда аппаратный метод можно использовать только с компьютером, так как разобрать ноутбук не получится.

Исключение составляют ноутбуки, которые уже оснащены встроенной программой для аппаратной диагностики.

Еще один способ исправления ошибки, это освобождение свободного места на винчестере.

Чтобы компьютер работал нормально, быстро и без сбоев, на винчестере должно быть не менее 50% свободной памяти диска.

Для нормальной работы системы можно добавить жесткие диски или расширить память на них, если удалять уже нечего.

Если на диске нет места из-за его ограниченной емкости, можно сжать его для экономии памяти или удалить кэшированные данные, загрузки и устаревшие программы.

Для этого войдите в «Мой компьютер» и нажмите на название диска правой кнопкой мыши. появившемся окне выберите «Свойства».

Так выглядят свойства диска

Вы можете нажать на очистку диска, это безопасный метод освободить память, система удалит устаревшие файлы и данные из интернета, в том числе, остатки просмотренных видео и прослушанных аудио.

Функцией «Сжатие диска» пользоваться нужно аккуратно, так как есть вероятность того, что система сожмет файлы, которые отвечают за ее загрузку и в такой ситуации останется только переустанавливать Виндоус.

Также нужно проверить исправность комплектующих, но процедуру ремонта лучше доверить специалисту.

Резюмируем, как вылечить экран смерти

Так как самая распространенная причина появления синего экрана удаление нужных системных файлов или ПО, то нужно уметь пользоваться функцией «Восстановление системы».

Эта функция вернет компьютер в состояние, в котором он находился до удаления нужного файла.

Чтобы выполнить восстановление системы, необходимо:

Перейти в меню «Пуск» и набрать в строке поиска «восстановление системы».
Открыть файл двойным нажатием мыши.
Установить точку даты восстановления, то есть время до удаления нужного файла или установки неподходящего драйвера. Именно к этому времени будет восстановлен Windows.
Подождите пока процесс завершится и перезагрузите компьютер, синий экран должен пропасть.

Если же вы не удаляли никаких файлов в последнее время и не устанавливали нового оборудования, вам необходимо прочесть на экране смерти, какая программа вызывает такую ошибку. Понять это можно из кода вверху страницы.

Теперь, зная имя файла, отыщите его через «Панель управления», и нажмите на «Удаление программы».

Совет! Загружать программы, файлы и драйвера лучше только с проверенных, лицензионных сайтов, чтобы избежать таких поломок.

В крайнем случае вы можете переустановить систему полностью, так как в процессе переустановки зайдествован обычно только программный диск, то данные на остальных сохранятся.

Для установки новой Windows нужно иметь загрузочный носитель с официальной версией этой операционной системы.

Инструкция по избавлению от ошибок

На примере операционной системы Windows 7 мы расскажем, как «вылечить» ваш ПК быстро и безболезненно.

Итак, когда на мониторе синий экран с кодом, нужно запустить загрузку компьютера в безопасном режиме.

Для этого нажимайте клавишу F8 до тех пор, пока не появится меню загрузки. Выглядит оно вот так:

На этом экране выбираем, используя стрелочки на клавиатуре, пункт «Безопасный режим с загрузкой сетевых драйверов».

Этот режим предоставляет ограниченный доступ к функциям компьютера, но в нем вы можете воспользоваться интернетом и найти инструкции по избавлению от ошибки или другую нужную информацию.

Здесь же, в безопасном режиме, запустите полное сканирование антивирусом.

Эта программа в фоновом режиме работает постоянно, но иногда и она пропускает «червей» и более опасные вирусные угрозы.

В любом антивируснике функция глубокой проверки предусмотрена, можно воспользоваться ее, или запросить сканирование при загрузке операционной системы и перезагрузить компьютер.

Теперь, если вирусов нет, или программа смогла их обезвредить, нужно обновить Windows 7.

Разработчики Windows постоянно присылают обновления, которые делают использование программы более удобным и расширяют ее функции, но не всегда пользователь их замечает и устанавливает.

И из-за этого также часто возникают системные ошибки разного рода, поэтому все обновления Windows нужно устанавливать: проверять системные сообщения или настроить автоматическую загрузку обновлений.

Но если синий экран уже появился, обычная установка обновлений не поможет решить проблему.

Для этого нужно выполнить обновление всей системы, это альтернатива переустановки программного обеспечения.

Для этого вам нужен загрузочный диск с Windows 7 (или загрузочная флешка), gри этом программа удалит старые файлы и файлы, вызывающие ошибку, и заменит их новыми.

Окно установки Виндоус, выбираем «обновления»

Как не допустить появления «экрана смерти»?

Вам удалось избавиться от такой ошибки, но не хотелось бы ее повторения. Для этого соблюдайте простые правила:

Проводите глубокое сканирование системы хотя бы раз в 2-3 месяца.
Устанавливайте обновления Windows и читайте системные сообщения.
Чистите системный блок от пыли, а клавиатуру от крошек.
Проверяйте работу вентилятора.
Своевременно меняйте термопасту.

Ошибки при запуске системы

Самый опасный и сложный тип ошибок появляется вовсе не на синем, а на черном экране.

Это ошибки запуска системы. Обычно они появляются в случае, когда произошел серьезный сбой и исправить ситуацию вряд ли удастся — единственным выходом становится перезагрузка системы.

Ошибка запуска с текстом press and key to start, возникающая при загрузке операционной системы может изрядно напугать, но на самом деле она требует лишь нажать любую кнопку для продолжения.

Это распространенный сбой запуска и появляется он как раз-таки на черном экране, но никакой опасности не несет.

Но есть и более весомые причины, которые не дают Виндоус нормально загружаться.

К ним относят ошибки в реестре, повреждения системных файлов и жесткого диска.

Если речь идет о повреждении системных файлов, то страдают обычно hal, dll, ntdetect и ntldr.

В таком случае на черном экране вы увидите надпись «windows could not start because the following file is missing or corrupt».

Далее указан потерянный файл, то есть вся информация есть на экране.

При такой ошибке помочь можно переустановкой операционной системы, если у вас есть резервная копия записанная заранее, или просто загрузочный диск.

Способы исправления системных ошибок

Чаще всего проблемы с загрузкой ПК появляются как следствие проникновения вируса в компьютер, установки неправильных драйверов или программ, а также некорректное завершение работы компьютера, перебои в электросети и удаление нужных файлов или программ.

Есть 3 основных способа ис правления системных ошибок Windows 7: это восстановление системы (мы рассматривали этот метод, как средство «лечения» синего экрана смерти), ручное исправление при использовании командной строки или применение CCleаner — программы для чистки дисков.

Все способы рассмотрим подробно.

1. Восстановление системы. Это стандартная функция, которая есть во всех версиях Windows и создана специально для нормализации работы. Для запуска функции откройте меню «Пуск» в левом нижнем углу экрана. Затем перейдите в «Панель управления». Выбираем раздел «Система и безопасность» и в открывшемся меню нажимаем на «Архивация и сброс», как на скриншоте.

Вам откроется такое окно:

Нажмите на «Запуск восстановления» и выберите точку, к которой система осуществит откат.

Нажмите на кнопку «начать», а после окончания процесса компьютер должен быть перезагружен.

Это может помочь вернуть его работоспособность и восстановить нормальное функционирование без сбоев, так как будут устранены ошибки реестра и драйверов.

2. Ручная настройка. Подойдет, если у вас в компьютере не зафиксированы последние точки отката. В такой ситуации приходится проводить настройку вручную. Но понадобится консоль Windows — встроенная программа с мощным функционалом и без графического интерфейса.Обычные пользователи не работают в консоли Windows и такая перспектива их пугает, но ничего сложного в этой задаче нет. Вам нужно вызвать диалоговое окно для дальнейшей работы, нажмите Win и R одновременно. Появится окно с шапкой «выполнить». Введите в поле

cmd

как показано на изображении и нажмите «ок».

Вам откроется черное окно, которое и является консолью операционной системы.

Теперь нужно проверить наличие ошибок в работе жесткого диска. Для этого введите в поле команду chkdsk c: /f /r, на изображении ниже показано, куда нужно ввести команду и нажать enter.

Когда проверка закончится, просканируйте компьютер с помощью команды « sfc /scannow» на предмет ошибок в состоянии системных файлов.

3. Использовать утилиту CCleaner. Это удобная программа, которой следует пользоваться не только в критических ситуациях, но и при повседневной работе с компьютером. Она позволяет удалять программы с устройства полностью, включая остаточные файлы, раскиданные по разным папкам, чистить интернет-историю и многое другое. С ее помощью можно удалить программу и откорректировать реестр для нормальной работы ПК. Но нас интересует другая функция — инструмент, позволяющий автоматически выявить и исправить ошибки в записях реестра. Запустите программу, в левом меню нажмите на «Реестр». Теперь выделите все пункты в меню и нажмите на поиск проблем, система автоматически выявит несоответствия данных. Для удаления неполадок нажмите «исправить».

Интерфейс программы в разделе реестра

Как исправить ошибки Windows с помощью программы СCleaner

Видео урок

Не загружается операционная система

Вы включили компьютер, появилось окно загрузки, но система не может начать работать полноценно.

Она либо перезагружается, либо зависает, либо выдает непонятные символы и всплывающие окна.

В такой ситуации вам также понадобится функция восстановления системы, но провести ее указанными выше способами не получится, так как устройство не загружается.

Чтобы исправить такую ошибку, вам нужен установочный диск или флешка с выбранной версией операционной системы.

Порядок действий такой:

Флешку подключают к компьютеру и перезагружают устройство.
Когда появится окно перезагрузки, нажмите одну из клавиш, которая переведет вас в bios. Это F2—F12 и delete, в зависимости от модели. Обычно помогает кнопка delete или F8.
В системе bios нужно выставить по умолчанию загрузку с CD/DVD-диска или USB-устройства, в зависимости от типа носителя, на котором у вас записан Виндовс.
Перезагрузите компьютер.

Окно установки windows 7

Теперь выбирайте язык установки и нажимайте «Далее». Вы увидите такое окно, окно установки операционной системы:

Нажимаем на «Восстановление системы», как показано на скриншоте.

Очень важно! Установочный диск с версией Виндоус должен соответствовать вашей старой версии, в противном случае восстановление системы невозможно.

На экране вы увидите все установленные системы, выбираем Windows 7 и ставим галочку напротив названия, нажимаем «Далее».

Система автоматически просканирует компьютер на предмет неисправностей и попытается ликвидировать ошибки. Затем она сделает откат ОС к точке восстановления.

Нужно отметить, что этот способ не всегда является эффективным, и если он не помог — искать проблему нужно по коду или аппаратной диагностике.

Системная ошибка 5: отказ в допуске Windows

Поговорим еще об одной ошибке, ошибке 5, которая не дает доступа к Виндоус и возникает на этапе загрузки.

Ошибка возникает при попытке запуска определенной программы или нескольких программ операционной системы. Выглядит она так:

Найти инструкции по избавлению от ошибки бывает непросто, но мы приведем порядок последовательных действий.

Нужно оговорить, что вряд ли существует один метод исправления этой ошибки, скорее всего действия будут меняться в зависимости от компьютера, драйверов и так далее.

Приведем обобщенную инструкцию, которая поможет в большинстве случаев:

Как избавиться от ошибки, если она возникает при запуске системных действий

Очень часто на компьютерах ограничен полный доступ к диску С, даже если вы пользуетесь ПК как администратор.

Обычно установлен параметр «Только чтение» для всех учетных записей, но эту проблему легко решить.

Чтобы открыть права на все действия с диском, откройте «Мой компьютер», нажмите на диск С, выберите «Свойства» и выберите вкладку «Безопасность».

Нажав на «Безопасность» вы увидите следующее окно:

Вам необходимо нажать на кнопку «Изменить» и в следующем окне нажать на «добавить», как показано на скриншоте:

В открывшемся окне вручную напишите «Все» в пустой строке, это откроет доступ ко всем системным программам и действиям любому пользователю. Теперь нажимаем на кнопку слева, «Проверить имя».

Если проблемы нет и система не против открыть доступ, написанное вами слово «Все» будет подчеркнуто черной линией, как на изображении ниже. После этого нажимаем «Ок».

Теперь, когда все пользователи компьютера имеют доступ к в функциям, если хотите открыть полный доступ, нужно указать это в меню. Для этого просто установите галочки напротив каждого пункта в окне.

Изображение на котором показано, где устанавливать галочки для полного доступа к управлению

Такой способ подойдет для всех, кто пользуется windows 7,8 10, vista.

Для пользователей windows хр нужен несколько другой подход, который мы также расскажем.

Проблема в том, что по умолчанию в интерфейсе windows хр не отображается вкладка «Безопасность» (в свойствах диска С), но эту вкладку можно вернуть всего в несколько действий.

Откройте любую папку.
Нажмите на «Сервис», кнопка расположена сверху.
Нажмите на «Свойства папки».
Теперь нажмите на «Вид».
Напротив дополнительных параметров убираем отметку возле «Упрощенный общий доступ», именно включение этой функции и не дает полноценно управлять системой.

После этого вкладка «безопасность» в свойствах диска С появится и вы должны выполнить все указанные выше действия, как и в случае с работой в более поздних программах Виндоус. Ошибка 5 должна исчезнуть после выполненного алгоритма.

Специалисты компании Майкрософт предлагают другой способ избавления от ошибки 5.

Он также эффективен, но требует немного больше действий и является более сложным.

Откройте командную строку от имени администратора. Вам потребуется открыть командную строку с помощью команды cmd. Как перейти в этот режим мы обсуждали выше, в теме избавления от синего экрана смерти.
В появившейся командной строке нужно написать следующее:
```
net localgroup Администратор /add networkservice
```
для русскоязычной системы, и
```
net localgroup Administrator /add networkservice
```
для англоязычной системы. Нажимаем на Enter
Затем в следующем поле прописываем
```
net localgroup Администраторы /add localservice
```
или (Administrators) в английской версии.

Командная строка

Теперь закрываем командную строку и перезагружайте устройство.

Если вы все сделали верно, то ошибка 5 исчезнет и вы получите доступ ко всем службам системы.

Есть еще один способ, который позволит убрать ошибку через реестр операционной системы.

Но для этого обязательно нужно знать название службы, которая ограничивает доступ.

Для этого откройте в списке служб свойства нужной службы и посмотрите имя. Затем можно перейти к работе с реестром.

Ниже приведен пример, в котором имя сетевой службы Netman.

Теперь рассмотрим, как запустить реестр. Расскажем о стандартном способе запуска.

Для этого нужно нужно запустить командное окно, нажмите клавиши Win+R или просто зайти в «Пуск» и с правой стороны и всплывающего окна выберите команду «Выполнить».

В открывшемся окне введите команду

regedit

и нажимаем enter, как показано на скриншоте.

Нажмите ОК и откроется окно редактирования реестра, куда можно внести данные об изменении операционной системы и открытии доступа.

Также запустить меню реестров можно просто через Пуск.

Откройте «Пуск» и в нижней строке поиска пропишите команду

regedit

В найденных файлах вы увидите regedit.exe и перейдите в настройки реестра. Запускаем его и продолжаем исправлять ошибки.

В окне реестра переходим по ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices и в открывшемся списке служб ищем нужную нам по имени, которое мы уже посмотрели в ее свойствах.

Нашли службу и нажимаем на нее правой кнопкой мыши, выбираем пункт «разрешения».

Проверяем, какие функции открыты для администратора, а какие для пользователя и выставляем напротив администратора все галочки. Этот процесс мы уже описывали в первом пункте.

Если вы не хотите разбираться в системе, можно попробовать переустановить антивирусную программу, возможно она блокирует доступ.

Некоторые антивирусные программы берут на себя права использования определенных программ и автоматически могут ограничить доступ пользователя.

Для начала попробуйте просто выключить программу и попробовать запустить службу, которая выдает ошибку 5.

В крайнем случае, когда указанные выше способы не помогают и оказались неэффективными, вы всегда можете переустановить операционную систему.

Не слишком правильно делать это лишь для того, чтобы избавиться от ошибки 5, но если у вас есть и другие проблемы с Виндоус, проще и эффективнее всего будет его переустановка.

Выводы

Из статьи понятно, что от системных ошибок Windows уберечься не получится, и, как и любую болезнь, ошибки проще предотвратить, чем лечить.

Подводя итог скажем, что ошибки обычно возникают в следствие последствий вирусов, нарушения работы драйверов, установки нелицензионных или неподходящих программ, а также сбоев в аппаратной части компьютера.

Итак, сократить шанс появления системной ошибки, можно путем установки лицензионных программ, своевременной установки обновлений, регулярного сканирования антивирусом.

Также не забывайте удалять пыль из кулера и менять термопасту по мере надобности.

Поиск и устранение всех ошибок Windows. Как исправить ошибку?

Видео урок

Источник

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

Просмотр событий

Вариант 2

сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

Система и безопасность
далее необходимо перейти в раздел «Администрирование»;

Администрирование
после кликнуть мышкой по ярлыку «Просмотр событий».

Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

❷

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

«Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
«Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
«Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

Отключена — остановить

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

Видео-Монтаж

Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!

Ускоритель компьютера

Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Источник

Как читать журнал событий Windows ?

В нормально работающей системе пользователь сюда дорогу не знает – просто незачем. Однако при появлении ошибок (лагов) в Windows поводов заглянуть сюда появляется немало, благо отсюда есть что почерпнуть.

Где находится Журнал событий?

Или наберите Пуск – команда eventvwr.msc. По умолчанию, Просмотр событий откроет вкладки, в том числе со сводкой административных событий, где перечислена информация по важности для администратора. Важнейшая из них Критический тип события. Погуляйте по разделу Журналы Windows, ключевые директории Приложения и Система. Всё происходящее в системе записывается в нескольких документах. И скорее всего, вы обнаружите там несколько ошибок. Это не значит пока ровным счётом ничего. Если система стабильна, эти ошибки не критичны и не побеспокоят вас никогда. Кстати, можете присмотреться – ошибки сохраняются для программ, которых на компьютере давно уже и нет.

Игра была закрыта с помощью клавиш Alt + F4 – мама, видимо, зашла в комнату.

ничего страшного ещё не произошло

а здесь уже всё серьёзно: компьютер отключался

Ищем нужные события: процессы и логи результатов

Как научиться читать журнал событий windows ?

Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.

Журнал событий Windows – как очистить?

Способов очистки существует несколько. Можно это сделать через PowerShell Windows:

Можно через консоль:

Дождитесь окончания работы скрипта, окно консоли само захлопнется:

Читаем журнал событий самостоятельно.

Журналы приложений и служб – Microsoft – Windows – Diagnostics-Performance – Работает

Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала

В поле Все коды событий введите код 203 (Контроль производительности при выключении):

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

«Система и безопасность»

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Журналы Windows

«Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
«Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
«Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Можно ли отключить журналы событий

Для отключения журналов событий нужно:

Win+R

services.msc

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Источник

Журнал событий в Windows 7/10 – где находится и как открыть?

Где находится журнал событий Windows

Как открыть журнал

Как использовать содержимое журнала

Очистка, удаление и отключение журнала

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

wevtutil el | Foreach-Object

Источник