Fent investigacions al respecte, hem exportar els logs de Visor de Successos en el PC de jefe de recepció del L’Azure, on avui ha tornat a passar.

El resultat passat per la traductora ens indica que possiblement hi ha un procés que té agafat el fitxer NTUSER.DAT al iniciar la sessió, i fa que no la pugui carregar bé.

Hem descarregat a \\192.168.0.252\recursos\Software\SysinternalsSuite tota la suite d’eines de Sysinternals, una d’elles és la HANDLE.EXE, que ens informa de qui té agafat un procés concret, en el nostre cas, la instrucció seria handle.exe ntuser.dat, i ens hauria de donar el nom del procés que el té agafat. Podria ser Windows Defender, WatchGuard, etc…..

 

Dit això, la propera vegada que li passi a algú, seria convenient que dins mateix del perfil temporal generat fem el següent:

 

  1. Copiar el HANDLE.EXE de la ruta \\192.168.0.252\recursos\Software\SysinternalsSuite al PC en qüestió.
  2. Obrir CMD en modo Administrador.
  3. Executar handle.exe ntuser.dat
  4. Veure el procés que el té agafat.


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


 4. Cómo evitar que se rompan los perfiles

  1. Identificar el “culpable” que bloquea el perfil
    • Usa la herramienta Sysinternals Handle:

 

  • Ejecuta justo después de iniciar sesión (como admin). Verás el proceso que lo mantiene abierto.
  • Si es un antivirus (Defender, ESET, etc.), agente de backup (Veeam, Acronis, etc.), o indexador, añade exclusión para:

 

  • Eso evita que interfiera durante el logon.
C:\Users\*\NTUSER.DAT* C:\Users\*\UsrClass.dat* 
handle.exe ntuser.dat
  1. Revisar permisos y herencias
    • Propietario del perfil: el propio usuario.
    • Permisos estándar (SYSTEM y Administradores con control total).
    • Ninguna herencia rota.
  2. Verificar integridad del sistema
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
  1. Desactivar tareas que actúan en el arranque
    • Copias de seguridad programadas justo al inicio.
    • Sincronizadores (OneDrive, agentes RMM) que arranquen antes del login.
  2. Limpiar restos de perfiles temporales
    • En regeditHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
      • Si hay un SID con .bak, renómbralo correctamente (quita el .bak de la buena).
      • Asegura State=0 y RefCount=0.

🧭 5. En resumen

Motivo real (“para tontos”):
Cuando Windows intenta abrir el perfil, otro programa lo está usando, no lo suelta a tiempo, y Windows dice “no puedo abrirlo, hago uno nuevo temporal”.

Qué lo causa:
Antivirus, backup, o proceso que toca ntuser.dat o TileRepository justo al iniciar.

Cómo se evita:
Dejar que Windows cargue el perfil sin interferencias → excluir rutas del AV/backup y revisar permisos.

Si quieres, puedo hacerte ahora un mapa cronológico de qué proceso aparece primero en el momento exacto del fallo (para identificar cuál bloquea el perfil). ¿Quieres que lo genere con estos tres logs? 

Tú dijiste:

Donde esta esa herramienta

ChatGPT Plus

Buena pregunta, Fran 💪
La herramienta que necesitas se llama Handle.exe y forma parte del Sysinternals Suite de Microsoft (100 % oficial y gratuita).
Te explico paso a paso dónde está y cómo usarla:

🧰 1. Dónde descargarla

➡️ Página oficial de Microsoft:
🔗 https://learn.microsoft.com/sysinternals/downloads/handle

O, si prefieres la suite completa (recomendado):
🔗 https://learn.microsoft.com/sysinternals/downloads/sysinternals-suite

Pulsa “Download Handle” o “Download Sysinternals Suite” → se descarga un .zip.

🗜️ 2. Cómo usarla

Opción A – desde PowerShell o CMD

  1. Extrae el .zip (por ejemplo a C:\Sysinternals).
  2. Abre PowerShell o CMD como administrador.
  3. Escribe:

 

  1. Te pedirá aceptar la licencia la primera vez (es de Microsoft, solo hay que pulsar Agree).
cd C:\Sysinternals
handle.exe ntuser.dat

👉 Verás una lista de líneas tipo:


Plain Text
explorer.exe       pid: 4520  type: File  C:\Users\Recepcion6-L'AzureHo.AzureAD\ntuser.dat


Eso te dice qué proceso (y PID) tiene abierto el archivo del perfil.

Opción B – búsqueda interactiva

Para ver en tiempo real:


Plain Text
handle.exe -a C:\Users


O para un filtro más amplio:


Plain Text
handle.exe -u ntuser


🧩 3. Qué hacer con el resultado

  • Si aparece “MsMpEng.exe”, es Windows Defender.
    👉 Añade exclusión:
C:\Users\*\NTUSER.DAT* C:\Users\*\UsrClass.dat*
  • Si aparece “VeeamAgent.exe”, AcronisBackupExec, etc. →
    👉 Configura para no tocar perfiles activos (añadir exclusiones).
  • Si aparece algo como “SearchIndexer.exe” o “OneDrive.exe”, puedes retrasar su inicio o pausar indexación en arranque.

💡 Consejo pro

Puedes guardar el resultado en un archivo para revisarlo:


Plain Text
handle.exe ntuser.dat > C:\Temp\handles.txt


Luego lo abres en Bloc de notas y buscas el proceso que está bloqueando el archivo.