ユーザープロファイル破損の原因について

https://answers.microsoft.com/ja-jp/windows/forum/windows_7-update/%e6%9b%b4%e6%96%b0%e3%83%97%e3%83%ad%e3%82%b0/3b3bb1c3-a759-4c48-9216-b923c7f8a13d

これと同じ事象ですが、原因の特定には至っていません。

Acer の PC の可能性があるようですが、該当するでしょうか。

起きている件数からしても多くはないようなので、モデル起因などはあるかもしれません。

ご回答ありがとうございます。

機種はDellのVostro 3268 デスクトップです。
Windows Updateがなんらかの原因との書き込みも見かけますが特定はできておりません。

KB4099950 がトリガーになっている可能性はありますが、

すべての人で起きているわけではないので環境要因の可能性が高いです。

Dell で発生したのであれば機種ではないですね。

ご指摘いただいたKB4099950を確認しましたが、残念ながら更新の一覧には

存在しておりませんでした。

なお、今回の現象が発生する直前(3/26)の更新はKB4090914で、その後何度か
再起動した際には問題なく起動できていましたが、これも何らかの影響を
及ぼす可能性はあるのでしょうか。

基本的には、ログイン可能になったからといってすぐにログインしないことが予防になります。ストレージのアクセスランプが確認できるのであれば、アクセスランプの点滅が落ち着いてからログインすることをお勧めします。

ログインできるようになっても、バックグラウンドで動作しているサービスの起動動作がすべて完了したわけではないので、ユーザープロファイルの管理や同期を行っているサービスが起動する前に強引にログインしてしまうと、ユーザープロファイルを破壊してしまうことがあるようです。自動ログイン設定にするなどは、結果としてユーザプロファイルを破壊してくれと言っているようなものです。

私の取引先でも同じような症状が多発していますが、私自身もしくは周辺にある環境では一切発生せず対策に苦慮しております。共通項はWindows7にMicrosoft Security Essentialsをインストールしていることです。

現象が繰り返し発生している方、以下の点を教えてください。

・UACのオンオフ状態→オフだった場合はオンにすると改善するか。

・FWのオンオフ状態→オフだった場合はオンにすると改善するか。

・環境変数TEMPのパス→デフォルト以外ならデフォルトに戻すと改善するか。%USERPROFILE%\AppData\Local\Temp

・タスクスケジューラーが破損していないか。修復はRepairTasks.exe(https://repairtasks.codeplex.com/)

それでも改善しないときは、MSEのリアルタイム保護のオフで改善するかも試していただけると助かります。

よろしくお願いします。

同様の現象で苦慮しております。
当方ではＮＥＣと東芝のＰＣおよび自作のＰＣでも発生しております。
基本的には　プロファイルが読み込めませんでした。
ということですがデータ自体は残っています。
再起動を繰り返して　戻ったケース。

再起動でもダメで、復元（４月９日くらい）にすると復活したケース。

ただ、再発するＰＣもあったりします。

Microsoft Security Essentialsなのでしょうか？ESETのＰＣには症状は出ていません。

すべてのＰＣをESETに変更する予定です。
参考になれば。

ご返信ありがとうございます。

データ自体は残っているとのことですが、当方でもCドライブの「ユーザー」フォルダにはすべてではありませんがデータが残っており、消えてしまったソフトを入れ直してデスクトップにショートカットを作成しても、再起動するたびにアイコンが消えてしまう状態です。

また今回不具合が発生したPCではMicrosoft Security Essentialsはインストールしておらず、ESET Internet Security のバージョン11.0.159.0を使用しています。ちなみにWindows Defenderは無効化はしておりません。

確かにWindows7 Pro SP1でMSEを使用している取引先でも同じ現象が出ておりましたので、こちらはシステムの復元で修復できたのですがMSEが影響している可能性はあるかもしれません。

なおデスクトップアイコンが消えてしまうということなので、コントロールパネルの
トラブルシューティングで「起動時にトラブルシューティングが自動的に開始されるようにする」のチェックも外してみましたがやはり効果はありませんでした。

よろしくお願いいたします。

私の方でこれまでに把握していることを報告します。

事象はいずれも、Windows(ほとんどがwin7)のログオン時にデスクトップのアイコンが無くなったり、壁紙が黒単色になってしまうなどのユーザープロファイルの破損ですが、これはプロファイル自体が破損しているのではなく、一時プロファイルでログオンされた状態になっています。

ネット上に情報が出ていますが、プロファイルのレジストリ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\

以下にある正しいプロファイルキーの名前に「.bak」が付加されて、代わりにプロファイルパスとして「C:\USERS\TEMP」などのダミーが設定された一時プロファイルキーを利用してログオンしているためで、キー名の入れ替えと「RefCount」および「State」の値を０にしてからログオンしなおすことで回復できます。

『User Profile Service サービスによるログオンの処理に失敗しました』と表示されて一時プロファイルでもログオンできないこともあり、この場合はセーフモードでログオンする、あるいは復元ポイントで回復するなどが必要になります。

前の返信でも書きましたが、UACを有効にする、FWを有効にする、環境変数TEMP/TMPのパスをデフォルトにすることで事象を軽減できそうですが、これらを行っても再発してしまう事例も確認しています。

原因ですが、Microsoft Malware Protection Engine（MPE）の脆弱性CVE-2018-0986の対策が影響していることでほぼ間違いないと踏んでいます。

この脆弱性の対策で、マルウェアエンジンのバージョンが1.1.14700.5になりますが、このアップデートはWindowsUpdateが行うのではなく、Microsoft Security Essentialsのウイルス定義更新と同時に行われることを確認しており、WUの停止やMSEの再インストールをしても再発することを確認しています。

またログオン中に別ユーザーのプロファイルキーを操作することもあり、リアルタイム保護や定時スキャンなどMsMpEng.exeが動作するときの挙動が怪しいです。

KB4093118（2018-04マンスリーロールアップ）の適用後にOS再起動ループになってしまう事例と混同されている方もいますが、KB4093118のアンインストールやWUの非表示をしてもプロファイル破損現象は再発します。