Warum wurde Windows gerade zurückgesetzt?

Ich benutze KDE auf einer Debian-basierten Linux-Distribution. Ich führe Windows 7 in einer virtuellen Maschine auf einem sekundären Desktop aus. Oft höre ich tagsüber den Windows-Startsound. Ich möchte wissen, warum Windows sich gerade selbst zurücksetzt. Ich verwende die VM hauptsächlich für die Softwareentwicklung. Außer MS Security Essentials, Firefox, Anki und Visual Studio ist keine andere Software auf dem Computer installiert.

Gibt es eine Art Protokoll, das ich überprüfen kann, um festzustellen, warum der letzte Reset durchgeführt wurde? Die VM ist mit dem Internet verbunden, sodass Systemaktualisierungen möglich sind. Ich halte Malware jedoch für äußerst unwahrscheinlich.

BEARBEITEN: Im Systemprotokoll wird kein Protokolleintrag für das Herunterfahren angezeigt. Erst nach dem Neustart wird dies im Systemprotokoll angezeigt:

The previous system shutdown at 11:17:48 AM on ‎5/‎18/‎2012 was unexpected.

Die Einträge davor sind etwa eine Viertelstunde früher datiert, wenn ich die VM einschalte. Was auch immer das Zurücksetzen verursacht, gibt dem Betriebssystem keine Zeit, in die Protokolle zu schreiben. Ich würde die Macht vermuten, aber das ist eine virtuelle Maschine!

windows virtual-machine reset dotancohen
quelle

Es hört sich so an, als würde Windows versuchen, den "Computer" in den Ruhezustand zu versetzen. Wenn es mit dem Internet verbunden ist, ist Malware genauso wahrscheinlich wie jeder andere anfällige Computer mit Internetzugang.

Ramhound

Antworten:

Es ist wahrscheinlich nur das Herunterladen und Installieren von Updates, Windows macht dies standardmäßig. Wenn Sie das Systemprotokoll der Ereignisanzeige (eventvwr.msc) überprüfen und nach Ereignis 6006 filtern (letztes Protokoll vor dem Herunterfahren / Energiesparmodus / Neustart), sollten Sie in der Lage sein, die Ereignisse zu überprüfen, bevor sie protokolliert werden. Außerdem protokolliert die automatische Aktualisierung Ereignis 18. Sie können einfach nach Ereignis 18 suchen und dann überprüfen, ob es anschließend neu gestartet wird.

Wenn es sich um automatische Updates handelt, die einen Neustart verursachen, können Sie die Zeiten und Einstellungen unter Systemsteuerung> Windows-Updates> Einstellungen ändern ändern.

Supercereal
quelle

EventID 6006 ist nur das Anhalten des Ereignisprotokolldienstes. Ereignis 1074 (Quelle USER32) gibt tatsächlich Auskunft darüber, was das Herunterfahren oder den Neustart ausgelöst hat und warum.

Indrek

@Indrek Angenommen, es wurde heruntergefahren oder neu gestartet. Ereignis 6006 wird direkt nach dem Neustart / Herunterfahren und nach dem Ruhezustand / Ruhezustand angezeigt. Er ist sich nicht einmal sicher, ob es tatsächlich heruntergefahren wird, daher sollte dies vorerst alle Möglichkeiten abdecken. Ich werde die Antwort später mit diesen Informationen aktualisieren, wenn sich herausstellt, dass es sich um ein Herunterfahren / Neustarten handelt.

Supercereal

Fair genug. Obwohl das OP mehrmals "reset" erwähnt, scheint dies auf einen Neustart hinzudeuten. Außerdem bin ich mir ziemlich sicher, dass der Windows-Startsound nicht abgespielt wird, wenn der Computer aus dem Energiesparmodus oder Ruhezustand zurückkehrt.

Indrek

Vielen Dank. Es sieht so aus, als ob der gesamte 6000-Block das ist, wonach ich suchen muss, um eine Diagnose zu stellen. Wenn ich die 1074-Codes betrachte, sehe ich, dass manchmal winlogin.exe und manchmal EXPLORER.exe das Herunterfahren initialisieren.

Dotancohen

Danke, Kyle, ich habe die Frage jetzt mit Informationen aus dem Protokoll aktualisiert.

Dotancohen

Mehrere Neustarts pro Tag werden kaum durch Windows Update oder Microsoft Update verursacht, da Updates normalerweise nur einmal pro Monat durchgeführt werden. Überprüfen Sie Ihr Ereignisprotokoll auf Hinweise zu Neustarts, indem Sie die Zeitstempel unmittelbar vor dem Neustart überprüfen. Wahrscheinlich ist die wahrscheinlichste Ursache ein Blue Screen of Death.

Gurken Papst
quelle