Flavius

Rzeczywiście ten cmdlet działa dobrze dla poszczególnych sekcji dziennika,natomiast jest błąd w komendzie czyszczącym cały dziennik,niemniej poszłem dalej i znalazłem modyfikację tego skryptu który będzie już to robił bez żadnych zarzutów Function Global:Clear-Winevent ( $Logname ) { <# .SYNOPSIS Given a specific Logname from the GET-WINEVENT Commandlet it will clear the Contents of that log .DESCRIPTION Cmdlet used to clear the Windows Event logs from Windows 7 Windows Vista, Server 2008 and Server 2008 R2 .EXAMPLE CLEAR-WINEVENT -Logname Setup .EXAMPLE Get-WinEvent -listlog * | foreach { clear-winevent -logname $_.Logname } Clear all Windows Event Logs .NOTES This is a Cmdlet that is not presently in Powershell 2.0 although there IS a GET-WINEVENT Command to list the Contents of the logs. You can utilize this instead of WEVTUTIL.EXE to clear out Logs. Special thanks to Shay Levy (@shaylevy on Twitter) for pointing out the needed code #> [system.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog("$Logname") } czyli prawidłowa komenda czyszcząca caly dziennik po zaimplentowaniu tego cmdleta będzie następująca Get-WinEvent -listlog * | foreach { clear-winevent -logname $_.Logname } źródło http://social.technet.microsoft.com/Forums/en/ITCG/thread/a6f0786b-fe04-4887-aa3a-07f8e5bfa1d9 a equivalent dla oficjalnego poradnika z MS Technet do czyszczenia całego dziennika będzie następująca funkcja (oczywiście będzie też dopiero działać po zaimplementowaniu cmdleta clear-winevent) function clear-all-event-logs ($computerName="localhost") { get-winevent -computername $computername -listlog * | foreach {clear-winevent -comp $computername -logname $_.Logname} get-winevent -computername $computername -listlog * } clear-all-event-logs -comp <nazwa komputera> to tyle jeśli chodzi o PS

Odtworzy - czyściłem już pliki dziennika zdarzeń z poziomu WinRE ,ważne tylko aby nie naruszyć struktury katalogów bo inaczej rzeczywiście dziennik nie będzie działał https://www.fixitpc.pl/topic/1753-brak-podgladu-zdarzen-blad-4201-uslugi-dziennika-zdarzen/ ...ale komenda wevtutil też czyści dziennik - system nawet po wyczyszczeniu zawsze będzie rekonstruował puste pliki dziennika czy by robić taką czy inną metodą... Co do PS to jest cmdlet get-winevent który w pełni odczytuje dziennik ale też tylko odczytuje,cmdlet clear-eventlog też nie obsługuje "Dzienniki aplikacji i usług\Microsoft\Windows"

Eh..już ci kiedyś mówiłem na PW na starych śmieciach (choć dawno) że nie ugryzie to sekcji "Dzienniki aplikacji i usług\Microsoft\Windows" Pokażę ci zresztą coś w PS Jak widać polecenie nie widzi sekcji "Dziennik aplikacji i usług" Podejrzewam że zarówno cmdlet w PS jak i VBS odwołują się do komend WMI więc źródło problemu we wszytkich tych metodach jest wspólne Tak na marginesie to znalazłem skrypt w PS który wyczyści dziennik zdarzeń ale tylko względem w/w sekcji: Czyli dokładnie co wasze metody Fakt nie zauważyłem tego - mozna go zmodyfikować: SC STOP Schedule SC STOP Wecsvc SC STOP Eventlog del C:\Winodows\System32\winevt\Logs\* SC START Eventlog SC START Wecsv SC START Schedule przez co będzie bardziej brutalny ...i jedna ważna uwaga trzeba go uruchomić z poziomu konta SYSTEM bo nie da się z poziomu admina zatrzymać Harmonogramu zadań.Więc skrypt z wevtutil wydaje się najbardziej optymalny...

Skrypt @maggreg czyści tylko 3 sekcje... i wogóle jest problem z wywoływaniem komend WMI dla subsekcji w "Dzienniki aplikacji i usług\Microsoft\Windows" ,propozycja @OldBonifacy jest o wiele dokładniejsza ale jest też niedokładna bo sekcje dziennika zdarzeń mogą się nieco różnić w zależności od wersji systemu i od zainstalowanych programów Ja proponuję coś takiego - plik BAT z takim kodem SC STOP Eventlog del C:\Winodows\System32\winevt\Logs\* SC START Eventlog EDIT Z linku Bonifacego w komentarzach jest też inny skrypt postowany przez który też to robi pernamentnie -oryginał http://www.wilderssecurity.com/showpost.php?p=1613265&postcount=8

Marne szanse widzę dla ciebie...gdyby to był system z płyty to zaleciłbym reparację za pomocą Vista SP2 KLIK ale jeśli to system z recovery to nie da się tego zrobić. Uruchom cmd.exe i wbij takie komendy cd /d C:\Windows\System32\en-us wciśnij ENTER dir /s >%userprofile%\Desktop\log1.txt wciśnij ENTER cd /d C:\Windows\System32\pl-pl wciśnij ENTER dir /s >%userprofile%\Desktop\log2.txt wciśnij ENTER Przedstaw wygenerowane logi (znajdziesz je na pulpicie)

1.Sporządź status usług za pomocą narzędzia VistaSysInfo http://www.vistax64.com/tutorials/176785-vistaforums-sysinfo-tool.html -tak łatwiej sprawdzić status usług ,w opcji programu zaznacz tylko usługi 2.Odinstaluj Pandę i zobacz co to da.

Nie wierzę żeby Google Chrome mógł zapchać 4GB pamięci - myślę że to jakiś wadliwy sterownik powoduje zapchanie pamięci W WDK http://www.microsoft.com/whdc/devtools/WDK/default.mspx jest konsolowe narzędzie o nazwie poolmon które umożliwa odczyt zużycia pamięci przez sterowniki -to wielgachne monstrum a potrzebujesz tylko jedno małe narzędzie -dlatogo shostuję ci je tutaj:http://www.speedyshare.com/files/26325669/pooltag.zip Oba pliki poolmon.exe i pooltag.txt umieść w folderze C:\Windows\System32 Następnie uruchom konsolę w trybie admina (prawoklik na cmd.exe jako admin) i wklep kom poolmon -g -b -r -n %userprofile%\Desktop\log.txt Na pulpicie pojawi się log - załącz go tutaj

Sysnative to rodzaj 32 bitowej zmiennej,aliasu przekierowujące 32 bitowe aplikację do folderu C:\Windows\System32 w systemie 64bit.Domyślnie nakierowanie 32 bitowej aplikacji na folder C:\Windows\System32 np. 32 bitowy menadżer plików będzie tak naprawdę pokazywal zawartość folderu C:\Windows\SysWOW64 chociaż będzie informował że to folder C:\Windows\System32 - błąd bardzo często popełniany przez użytkowników ale i co ciekawe przez wielu ludzi z certyfikatami i MVP-owców .Zmienna ta istnieje tylko w 32 bitowym wymiarze,nie istnieje ona dla aplikacji 64 bitowych dodatkowa lektura http://www.nynaeve.net/?p=133 a tu dodatkowo instrukcja dla TC na 64bit maszynie http://www.ghisler.ch/wiki/index.php/On_64-bit_Windows_versions,_some_files_and_folders_shown_by_Windows_Explorer_are_not_shown_by_Total_Commander!

wyłączenie UAC nie jest tu rozwiązaniem Z mojego doświadczenia wiem że takie coś może być spowodowane uszkodzeniem konta admina na poziomie SAM Proszę utwórz nowe konto i sprawdź zachowanie UAC przy domyślnych ustawieniach na nowym koncie.Jeśli niemożliwe jest także stworzenie nowego konta i brak jest mozliwości włączenia wbudowanego admina to tu jest tutorial jak to zrobić https://www.fixitpc.pl/topic/1231-zdegradowani-administratorzy/ (zaznacz wszystko w narzedziu) Czy działa ci poglad zdarzeń? Otwórz edytor rejestru i wyeksportuj zawartośc kluczy (w formacie txt) HKLM\System\CurrentControlSet\Services\eventlog oraz HKLM\System\CurrentControlSet\Services\Schedule

Możliwe że miałeś jakieś problemy z łatą KB2454826 - czasami instalacja tej łaty może skutkować podobnymi problemami jakie miałeś http://social.answers.microsoft.com/Forums/en/vistawu/thread/44354a12-370b-4d48-ac46-39b462f2f212

Jedna uwaga techniczna z mojej strony:GMER nie działa na systemach 64bit!

Artykuł MS o naprawie sektora rozruchowego systemu http://support.microsoft.com/kb/927392 ale wątpię aby to w czymś pomogło.To wygląda jakby pliki rejestru systemu uległy uszkodzeniu lub są bady na partycji - chociaż menadżer partycji nie informuje o błędach na partycji to do końca bym nie dowierzał i przeskanował go czymś np. narzędziem producenta -na Hiren Boot CD są też narzędzia producentów,dodatkowa lektura odnośnie SMART dysków https://www.fixitpc.pl/topic/881-podstawowa-diagnostyka-dysku-twardego-smart/ Jeśli jednak to nie bady to spróbuj takiej sztuczki: 1.Zbootuj jakiegoś live CD i idź do partycji gdzie jest twój system (u ciebie E:) 2.Wejdź do folderu E:\Windows\System32\config i zmień nazwy plików: SOFTWARE->SOFTWARE.OLD SYSTEM ->SYSTEM.OLD SAM ->SAM.OLD SECURITY ->SECURITY.OLD DEFAULT ->DEFAULT.OLD 3.Następnie wejdź do folderu E:\Windows\System32\config\RegBack i skopiuj stamtąd wszystkie pliki do folderu E:\Windows\System32\config 4.Spróbuj ponownie uruchomić system -przynajmniej awaryjny powinien zadziałać i użyj przywracania systemu.

Jak UAC jest włączony to na pewno nie zadziała z powodu braku uprawnień.Spróbuj użyć harmonogram zadań w tym celu - wybierz uruchamianie skryptu z poziomu konta SYSTEM oraz uruachamianie skryptu przy uruchamianiu systemu lub w trakcie logowania każdego użytkownika.

Z tych linków co dał ci Dawid -rozwiązania na to prawdopodobnie wciąż nie ma -jako obejście problemu proponuje się wyłączenie w ESET funkcji skanowania w tle -tutaj jest najbogatsza dyskusja http://www.wilderssecurity.com/showthread.php?t=278935&page=2 ....lub zmienić soft ochronny Ten program net-log tworzy na dysku C: raport net-log.txt -dostarcz go tu.

Proponuję najpierw usunąć Malwarebytes oraz Acer eDataSecurity Management Bonjour też bym wywalił: -usuń folder C:\Program Files\Bonjour -uruchom cmd.exe w trybie administratora (prawoklik na cmd.exe i wybierz "uruchom jako administrator") i wklep netsh winsock reset catalog wcisnąc enter netsh int ip reset reset.log + restart

Odpowiedź na to pytanie masz już w w moim poście 33 - który to program go dołożył to trudno powiedzieć ale chyba nie Nero.Co do statusu reszty sterowników to odpowiemy jutro.

Filtrami sprzętowymi nie jest tak prosto.Sądząc po zdjęciu masz tam całą armię ofensywnych programów do nagrywania,tworzenia obrazów itp.Najprościej pozbyć się tych filtrów poprzez deinstalację tego typu softów - nie powinno być problemu a w razie czego to ponownie uruchomić fix.Oczywiście można wywalić ręcznie te sterowniki ale: -trzeba to zrobić umiejętnie ręcznie np. dla PxHelp20.sys to i ja miałem na Viście https://www.fixitpc.pl/topic/930-problemy-z-dvd-w-systemach-vistawindows-7/ Czytaj PROBLEM 2 ale sądząc z twego rysunku masz zmodyfikowane też inne frazy w kluczu HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} ,niestety nie mam XP-ka a z Vista/7 nie chcę tego klucza porównywać choć zapewne są bardzo podobne - nawet gdy usuniesz prawidłowo te filtry to niektóre programy które to używają mogą przestać działać - więc chyba lepiej od razu te softy odinstalować... tylko cdrom.sys jest jedynym naturalnym sterownikiem - reszta to filtry jakiś programów chociaż brak błędów rozumowanych przez automat.

Błąd 39 to błąd filtra sprzętowego - jakiś program do nagrywania czy wirtualizacji napędów podmontował swój sterownik pod DVD (nałożył filtr) ów program został odinstalowany ale błąd programisty w instalatorze spowodował że pozostał wpis po doczepionym sterowniku którego już nie ma i dlatego DVD nie działa.Lekarstwo jest tutaj http://support.microsoft.com/kb/982116 -najprościej uruchomić tam załączony "Fix it"

Dobra mam ten wpis Instrukcja: 1/Pobierz narzędzie PsTools http://technet.microsoft.com/en-us/sysinternals/bb896649,z paczki wyekstraktuj plik psexec.exe i umieść go w folderze C:\Windows\System32 2.Pobierz fix do rejestru Fix.reg i wypakuj gdziekolwiek np. na pulpicie 3.Uruchom cmd.exe w trybie administratora (prawoklik na cmd.exe i wybierz "uruchom jako administrator ) i wklep komendę psexec -s -i -d regedit //powyższa komenda uruchomi edytor rejestru z poziomu konta SYSTEM a nie twoje konta - to trochę ułatwi import rejestru// 4. W rejestrze odnajdź klucz HKEY_LOCALE_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages ,prawoklik na ten klucz,właściwości>>zabezpieczenia i daj kontu SYSTEM pełną kontrolę (trzeba zaptaszkować opcję pokazaną na rysunku) 5. W edytorze rejestru munu Plik>>Importuj i odszukaj lokalizację gdzie masz przechowany mój plik Fix.reg wybierz ten plik i zatwierdź Edytor rejestru powiadomi cię przebiegu importu fiksu,jeśli zwróci błąd to daj mi znać, jeśli nie zwróci błędu to zrestartuj komputer i spróbuj jeszcze raz zainstalować problematyczne łaty PS.Mam nadzieję że jeszcze grubo przed zabawą syslwestrową pozbędziesz się tego problemu.Ja również życzę Szczęśliwego ,Pomyślnego Nowego Roku

Masz uszkodzone wpisy w kluczu HKLM\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages np. Ozncza że uszkodzony jest klucz HKLM\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_1_for_KB979099~31bf3856ad364e35~x86~~6.0.1.1 i poderzewam na podstawie swoich doświadczeń że cały klucz jest usunięty a nie tylko ciągi CurrentState i Visibility analogiczne błędy dla Te cztery klucze trzeba zrekonstruować pozostałe błędy narzędzie naprawiło automatycznie: Co do brakujących kluczy to niestety chwilowo nie mam systemu z zainstalowaną łatą Kb979099 także wykołowanie tych wpisów zajmie mi trochę czasu....

Skoro były restarty to prawdopodobnie także wytworzzyły się pliki zrzutów pamięci: folder C:\Windows\Minidump oraz plik C:\Windows\Memory.dmp - jeśli masz coś takiego to spakuj to czymś i shostuj na jakiś serwer.

No niestety tak się zdarza ...musisz czekać aż samo się wywoła lub będzie trzeba znaleźć inny program na diagnozowanie... Nie wiem jak ci idzie z eksperymentowaniem wpisów w autostarcie....w lagach co teraz mi dałeś nie widzę nic złego. dodatkowo warto co nieco powyłączać: 1.Wejdź w Panel Sterowania>>Dźwięk i sprawdź co masz w sekcji "odtwarzanie" Jeśli oprócz zwykłych głośników jest coś jeszcze to wyłącz to 2.Otwórz harmonogram zadań Start>>Uruchom>>taskschd.msc i powyłączaj kilka zadań: Games: zadanie UpdateCheck<twoj SID> Microsoft\windows\MobilePC:zadanie HotStart Microsoft\Windows\Windows Media Sharing:zadanie Update Library

Jeśli teraz widnieje tylko ten błąd to źle bo to może oznaczać uszkodzenie w folderach Packages i w WinSxS... Odnajdź w pasku zadań zegar i zweryfikuj online datę i czas. Jaki serwer z listy wybierzesz to nie ma znaczenia ważne żeby ten czas zaktualizował +restart komputera ale jeśli nic nie pomoże to bardzo proszę shostować zawartość folderu C:\Windows\Logs\CBS jak to było wcześniej mówione.

O ile wiem to każdy kolejny program co zmienia zmienną środowiskową dokłada po kolei swoją ścieżkę, niektóre programy celowo modyfikują zmienne środowiskowe poprzez dokładanie do ścieżki czy też inne zmienne - tak mają zaprogramowany instalator.Twojego błędu w ścieżce jednakże to nie tłumaczy i raczej podejrzewam że któś się tam bawił ...

To nie jest błąd zmiennych środowiskowych - albo soft ochronny blokuje mmc albo coś jest schrzanione w ustawieniach NET Frameworka. Wypróbuj ponizsze kroki po kolei - nie pomaga to przechodź do następnego 1.Odinstalować wszystkie softy ochronne 2.Wejdź do folderu C:\Windows\Microsoft.NET\Framework\v2.0.50727 i sprawdź czy masz plik mmc.exe.config jeśli tak zmień nazwę na mmc.exe.config.old +restart,jeśli wogóle nie masz tego pliku to OK. 3.Ciężka analiza - ostateczne rozwiazanie gdy nic nie pomaga http://blogs.msdn.com/b/ntdebugging/archive/2009/02/16/easily-resolving-an-event-viewer-error-using-a-process-memory-dump.aspx