Windows7 перезагружается спустя пару минут после включения, либо после запуска любой программы.

[NickArt 0]

С чего возможно началось:

На компьютере стояла блокировка просмотра видео в сети или сайтов с видео. Как реализована была не знаю. Что-то через "запрет в папках" как мне сказали. 

Один из пользователей поставили какую-то программу для обхода данной проблемы. 

Что за программы узнать у пользователя не удается. Однако, его коллега говорит про некий "True Key" на основании двух фактов:

1. Во время работы 1С может появиться сообщение об ошибке:

Имя окошка:LogonUI.exe - Ошибочный образ

Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку.

Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.

 

2.При нажатие на "Сменить пользователя" в меню Пуск появился новый пользователь "True Key" помимо уже существующего. В Безопасном режиме пользователя "True Key" нету. 

 

На данный момент пользователя "True Key" нету. Кажется, удалил все следы "True Key" из системы, и иной мусор, следуя инструкциям в https://forum.kasperskyclub.ru/index.php?showtopic=59119 .

Проблема осталась. Соответственно перенаправили к вам из темы https://forum.kasperskyclub.ru/index.php?showtopic=59119. В ней же подробное описание всего что сделал до прихода к вам (kvrt, adwcleaner, фиксы в hijack, скрипты в Universal Virus Sniffer), а также логи разного указанного софта.

 

Сделал отчет при помощи GetSystemInfo5.0, как просили в теме где от вирусов лечили. Прикладваю сам отчет и ссылку на его анализ:

https://www.getsysteminfo.com/report/8b36a492c8e3d9fa91c6c098408e7e54

 

Список обновлений полученный при помощи команды wmic qfe list > updatelist.txt && updatelist.txt в cmd.exe. 

Вдруг дело в том, что какое-то обновление, известное тем, что вызывет перезагрузки, обновилось на систему.

GetSystemInfo_KASSA-PC_Kassa_2018_04_19_18_03_39.zip

updatelist.txt

[andrew75 1 418]

1. Удалите Malwarebytes

2. Отключите службу:

Название : LiveUpdate
Файл : C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe

3. Создайте нового пользователя и проверьте проблему под ним.

4. Попробуйте собрать отчет GSI версией 6.2: https://support.kaspersky.ru/general/dumps/3632#block1

[NickArt 0]

Malwarebytes удалил через его же анинсталер. Через CCleaner почистил след в реестре. После перезагрузки удалил папку в Program Files.

 

Я создал нового пользователя с правами Администратора для компьютера принадлежащего рабочей группе по этой инструкции https://support.microsoft.com/ru-ru/help/13951/windows-create-user-account .

Когда заходишь под ним перезагрузки нет. Но, при попытке открыть проводник выскакивает окно:

Имя окна: explorer.exe

Текст: Отказано в доступе к указанному устройству , пути или файлу.Возможно,у вас нет нужных прав доступа к этому объекту.

 

Далее, через "учетные записи пользователей" убедился, что пользователь во вкладке ​«Членство в группах» относится к Администратор (или Администраторы).

 

Из под этого пользователя я собрал отчет GSI версией 6.2.

 

По ссылке https://support.micr...te-user-account .указано, что можно включить такой вариант сбора отчета: 

 

 

 

При необходимости установите флажок Include Windows event logs. В этом случае к отчету будет приложен журнал событий Windows.

 

 

 

 

Я его включил.

 

Его анализ  выглядит не так полно во вкладке Summary/Hosts, как предыдущий. Ссылка на анализ https://www.getsysteminfo.com/report/2b9db054e58a019256868a790d6128e5

 

Сам файл отчета превышает 5 мб, поэтому внешней ссылкой только могу дать https://www70.zippyshare.com/v/PBmsVpBH/file.html

 

 

 

Основной пользователь все также перезагружается в обычном режиме загрузки.

 

Нужен ли отчет в Безопасном режиме? Включать ли флажок Include Windows event logs? 

Забыл указать, что в Безопасном режиме через services.msc отключил службу

Название : LiveUpdate
Файл : C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe

 

Изменено 19 апреля, 2018 пользователем NickArt

[andrew75 1 418]

1. Обязательно создайте точку восстановления. Если не получится в нормальном режиме, попробуйте в безопасном.
2. Скачайте portable версию Windows Repair All in One - http://www.tweaking.com/content/page/windows_repair_all_in_one.html

3. Загрузитесь в безопасном режиме, распакуйте, запустите Repair_Windows.exe

4. В верхнем меню выберите "Repairs - Main". Дальше "Open Repairs".

5. Поставьте галочки на следующих пунктах: 01, 02, 03, 10 и нажмите кнопку "Start Repairs"

6. Когда программа отработает, перезагрузитесь и проверьте проблему.

[NickArt 0]

Большое пасибо за помощь. Вышеперечисленное смогу сделать только завтра, сегодня не могу больше за тем компьютером работать.

 

На всякий случай сделал отчет GSI версией 6.2 в безопасном режиме без галки напротив Include Windows event logs. Вот его анализ: https://www.getsysteminfo.com/report/6ca55f39d97caed4dfdf119587cc098e

Отчет прикрепляю.

 

Заметил еще такую вещь. Если в Безопасном режиме открыть Панель Управления выскакивает окно "Не найден драйвер guardant!" 

Окно легко закрывается при работе непосредственно за пк, но система становится почти недоступна при работе через TeamViewer. При этом при активном подключении через TeamViewer система становится почти не активна и напрямую. Там у человека все же есть какие-то сводбоды и он смог закрыть все зависшее через диспетчер приложений.

 

Также ненахожу файл pagefile.sys и не создается дамп памяти memory.dmp и минидампы. Хотел посмотреть, но..

Их создание включено, проверил. Места на диске выделено чуть большее чем объем оперативки. Тестировал и создание минадампа и просто дампа.

GSI6_KASSA-PC_Kassa_04_19_2018_21_50_09.zip

[andrew75 1 418]

Там видимо с правами где-то проблемы. Те пункты восстановления, которые я указал, по идее должны их восстановить.

[NickArt 0]

Возможно дело в обновлении KB2952664, оно стоит в больной системе - тут http://osdevice.com/threads/windows-7-perezagruzhaetsja-posle-obnovlenija-ot-15-03-2018.115/и еще в разных местах пишут, что оно может вызвать перезагрузки.

Это то самое, у которого была куча ревизей уже много лет, которое телеметрию подтягивало, а может и подтягивает.

 

Сделаю точку восстановления и попробую его удалить и скрыть.

[regist 617]

@NickArt, раз в безопасном режиме нормально работает, то причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

 

 

 

Если в Безопасном режиме открыть Панель Управления выскакивает окно "Не найден драйвер guardant!"

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему.  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia).

 

 

[andrew75 1 418]

Regist,

Если в Безопасном режиме открыть Панель Управления выскакивает окно "Не найден драйвер guardant!" 

вполне вероятно, что он в безопасном режиме и не должен работать.
И если вспомнить историю с блокировкой видео, я все-таки склонен предполагать, что где-то напортачили с правами.
 
NickArt,
а нельзя временно удалить этот Guardant?

Изменено 20 апреля, 2018 пользователем andrew75

[NickArt 0]

а нельзя временно удалить этот Guardant?

 

Боюсь рисковать, вроде это типа хранилища ключей и возможно оно бывает идет в комплекте с фискальным апаратом. Про конкретно этот не известно, человек на месте сказать не может.

 

 

Не могу создать точку восстановления в безопасном режиме! Не нахожу нужных пунктов в Панеле Управления исходя из этой инструкции https://support.microsoft.com/ru-ru/help/17127/windows-back-up-restore. 

 

 

 

 

Сделайте лог Process Monitor 

При запуске программы оявляется окно:"Unable to load Process Monitor device driver". Программа запускается, но там только кнопки и пустой белый информационный экран.

 

 

 

Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь.

Аналогичным образом можно поступить на вкладке Автозагрузка.

Отключил в службах и программах все, что не Микрософт и Интел.

Удалял KB2952664 в безопасном режиме.

В штатном режиме была перезагрузка.

 

KB2952664 вернулось в список утсановленных обновлений!

 

Пытаюсь отключать службы и автозапуск дальше.

 

Также в списке программ нету всякого софта связанного с IOBit - мне рекомендовали отключить связанную с ним службу. Служба отключена, но хочу удалить все связанное с ним на всякий случай. 

Вижу такие папки: 

C:\Program Files\IObit - в ней еще 4 папки для разного софта.

C:\ProgramDataIObit - в ней одна папка

C:\ProgramData\IObit - в ней три папки и дата.

 

Это можно снести c помощью Revo Uninstaller, добавляя пути к папкам в опцию Tools/Unrecoverable Delete ?

UPD: Выполнил полностью чистую загрузку, отключив все программы в Автозагрузке и все службы не Микрософта. Последовала перезагрузка.

[Friend 1 246]

@NickArt, соберите новый отчет Get System Info 6: https://support.kaspersky.ru/common/diagnostics/3632#block1

[NickArt 0]

Успел произойти существенный сдвиг!

По хронологии:

 

Удалил апрельские обновления:

- Я удалил папку C;\Windows\SoftwareDistribution\Download

- С помощью команды wusa.exe /uninstall /KB:xxxxxx [xxxxxx - номер обновления] удалил все три апрельских обновления, в том числе и KB2952664

 

Помимо уже отключенных служб, оключил три службы Microsoft:

-Центр Обновления Windows

-TeamViewer 12

-Cлужба Microsoft Office ClickToRun - читал, что еще некоторые обновления Office могут перезагружать систему, а это единственное включенная служба связанная с Office.

 

Перезагрузился в штатный режим.

Компьютер перестал перезагружаться!

 

Но, при попытке запустить например msconfig, или teamviewer (ага, служба отключена), или дойти до создания точки восстановления, где-то по пути, появляется окно (точно не ручаюсь, со слов человека на месте):

Имя окна:Безопасность Windows

Текст: Параметры безопасности интернета не позволили открыть один или несколько файлов

 

Через ctrl-alt-del можно доползти до диспетчера устройств, перейти во вкладку Службы, но при правом клике на службу все опции бледно серого цвета и не активны.

 

И тут человек на месте, сумел уточнить примерную хронологию событий до поломки:

-Включили Родительский контроль (непонятно как, если пользователь единственный)

-В апреле сотрудник поставил прогу обхода, кажется, это было 5 апреля. 

-В первый день после установки сумели еще кое-как запустить 1С.

-И дальше компьютер стал умирать, как именно не уточнили, кроме того, что иногда при загрузке при попытке открыть любые программы стало выскакивать описанное выше окно:

Имя окна:Безопасность Windows

Текст: Параметры безопасности интернета не позволили открыть один или несколько файлов

помогала перезагрузка - то есть оно могло накрыть всю сессию, а могло и нет

-По логу обновлений вижу, что 6 апреля упало KB4099950, про его зловредность ничего не знаю, но вот рядом, могло поспособствовать

-И 15 апреля пришли KB4093118 и KB2952664 после установки которых (или недоустановки, может бесконечный цикл установки запустили) система возможно начала постоянно перезагружаться. Но дата постоянных перезагрузок не точна - могло произойти и 16-17 апреля.

 

Под вторым пользователем все без изменений - при попытке открыть проводник выскакивает окно:

Имя окна: explorer.exe

Текст: Отказано в доступе к указанному устройству , пути или файлу.Возможно,у вас нет нужных прав доступа к этому объекту.

 

Что делать дальше? Сборка нового отчета актуальна или другие приоритеты? 

Пока перезагружусь с включенным:

-TeamViewer 12

-Cлужба Microsoft Office ClickToRun - читал, что еще некоторые обновления Office могут перезагружать систему, а это единственное включенная служба связанная с Office.

UPD: Вошел в систему, запустили Team Viewer, сделали точку восстановления, пока никаких окон и перезагрузок.  

         Родительского контроля не наблюдается. 

         Пытаюсь посмотреть C:\Windows\System32\drivers\hosts , надо назначить чем открывать, при этом неактивна опция "Использовать выбранную программу для всех файлов такого типа".

         Ага, они через хост запретили сайты.

UPD2: Как бы в целом все работает, но как будто не хватает прав. Буду пытаться через твикер по схеме выше. Пока попробую накатить обновления по одному. 

Изменено 20 апреля, 2018 пользователем NickArt

[Friend 1 246]

@NickArt, новый отчет не помешает.

[andrew75 1 418]

UPD2: Как бы в целом все работает, но как будто не хватает прав. Буду пытаться через твикер по схеме выше. Пока попробую накатить обновления по одному. 

не связывайтесь вы сейчас с обновлениями, их можно поставить когда все заработает.

Попробуйте права восстановить для начала.

[NickArt 0]

Умудрился потереть отчет за день. На память.

 

Почистил при помощи Revo Uninstaller от IOBit разного, Uninstaller Tool, еще некоторых следов Avira и McAfee.

 

Поставил обновление KB4093118 и система ушла в цикл перезагрузок.

В безопасном режиме обнаружил, что так же подтянулось обновление KB2952664, которое я скрыл.

Удалил оба вместе с папкой C:\Windows\SoftwareDistribution\Download , которую я и дальше всегда буду удалять при удалениях обновлений.

Вошел в нормальный режим - все в порядке.

 

Поставил необязательное обновление Предварительная версия набора исправлений качества системы для систем Windows 7 на базе процессоров x64 (KB4093113), 04 2018 г. 

Снова появилось Окно Параметры безопасности интернета не позволили открыть один или несколько файлов. 

В безопасном режиме обнаружил, что опять подтянулось и KB2952664. Снес оба.

В нормальном режиме Окно сохранилось.

 

Дальше все в тумане.

Отключал и включал службу Центра Обновления Windows. 

Успело само подтянуться еще одно обновление апрельское. Возможно у меня у Центра Обновления Windows слетают настройки после отключения службы.

 

Далее помню последние действия.

В безопасном режиме удалил обновление и отключил службу. Запустил Твикер и выполнил инструкцию по возврату прав из поста номер 4.

В нормальном режиме TeamViewer толи запустился или его запустил человек на месте, а  Get System Info 6 выдало Окно. 

 

 

К сожалению, не успел сделать отчет с помошью Get System Info 6 после твика и посмотреть состояние обновлений, служб и настроек Центра Обновлений после очередного удаления обновлений и выключения.

 

Заметил такие закономерности, кажется:

- обновление KB4093118 запускает цикл перезагрузок.

- любые другие поставленные апрельские обновления вызывают Окно Параметры безопасности интернета не позволили открыть один или несколько файлов.

 

Cпасибо всем за консультации!

Изменено 20 апреля, 2018 пользователем NickArt