Перейти к содержанию

Windows 7 не выключается используется файл реестра Касперским


Рекомендуемые сообщения

При завершении работы Windows 7 Pro х86 SP1 через кнопку пуск через раз компьютер до конца не выключается. Программы закрываются, появляется синий экран "завершение работы", монитор гаснет, а системный блок работает, вентиляторы в нем крутятся. В журнале ошибка "предыдущее завершение было неожиданным". Помогает только выключение из розетки, но это не дело.

Как исправить?

 

Kaspersky Endpoint 12.0.0.465

 

Вот данные журнала вчера.


 

 

Имя журнала:   Application
Источник:      Microsoft-Windows-User Profiles Service
Дата:          10.11.2023 16:43:55
Код события:   1530
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:
Пользователь:  система
Компьютер:     27-411-1-Inet
Описание:
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-1387213892-1585320254-2128981358-1000:
Process 5344 (\Device\HarddiskVolume2\Program Files\Kaspersky Lab\KES.12.0.0\avpsus.exe) has opened key \REGISTRY\USER\S-1-5-21-1387213892-1585320254-2128981358-1000

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2023-11-10T12:43:55.493842400Z" />
    <EventRecordID>71968</EventRecordID>
    <Correlation />
    <Execution ProcessID="964" ThreadID="5468" />
    <Channel>Application</Channel>
    <Computer>27-411-1-Inet</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1387213892-1585320254-2128981358-1000:
Process 5344 (\Device\HarddiskVolume2\Program Files\Kaspersky Lab\KES.12.0.0\avpsus.exe) has opened key \REGISTRY\USER\S-1-5-21-1387213892-1585320254-2128981358-1000
</Data>
  </EventData>
</Event>

 

 

Вот данные журнала недавно.

 

Цитата

Имя журнала:   Application
Источник:      Microsoft-Windows-User Profiles Service
Дата:          08.11.2023 16:39:31
Код события:   1530
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:
Пользователь:  система
Компьютер:     27-411-1-Inet
Описание:
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО -
 1 user registry handles leaked from \Registry\User\S-1-5-21-1387213892-1585320254-2128981358-1000:
Process 5832 (\Device\HarddiskVolume2\Program Files\Kaspersky Lab\KES.12.0.0\avpsus.exe) has opened key \REGISTRY\USER\S-1-5-21-1387213892-1585320254-2128981358-1000

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2023-11-08T12:39:31.276404100Z" />
    <EventRecordID>71915</EventRecordID>
    <Correlation />
    <Execution ProcessID="980" ThreadID="4800" />
    <Channel>Application</Channel>
    <Computer>27-411-1-Inet</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1387213892-1585320254-2128981358-1000:
Process 5832 (\Device\HarddiskVolume2\Program Files\Kaspersky Lab\KES.12.0.0\avpsus.exe) has opened key \REGISTRY\USER\S-1-5-21-1387213892-1585320254-2128981358-1000
</Data>
  </EventData>
</Event>

 

 

Ссылка на комментарий
Поделиться на другие сайты

9 минут назад, sergey12 сказал:

Как исправить?

Нужно смотреть отчеты. Можете собрать и поделиться этим отчетом.

Установлены все обновления системы Windows 7? Все драйвера устройств обновлены до последних версий?

Если временно отключить самозащиту антивируса, ситуация будет воспроизводится?

Ссылка на комментарий
Поделиться на другие сайты

и чаще проявляется эта ошибка, если комп отправлялся в спящий режим.

 

7 часов назад, Friend сказал:

Если временно отключить самозащиту антивируса, ситуация будет воспроизводится?

Отключил защиту антивируса. Комп нормально отключился..

 

 

Прикладываю GSI6 https://cloud.mail.ru/public/sXyw/FDtbpBNcZ

Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, sergey12 сказал:

Прикладываю GSI6

Судя по отчету у вас стоит аж три версии:

    Kaspersky Endpoint Security for Windows (11.12.0.465)
    Kaspersky Endpoint Security для Windows (12.2.0.462)
    Kaspersky Endpoint Security для Windows (12.0.0.465)

Рекомендую удалить стандартным образом: https://support.kaspersky.ru/common/uninstall/12783#block2

Потом воспользоваться утилитой и удалить версию Kaspersky Endpoint Security для Windows (12.2.0.462)

Перезагрузить компьютер и установить актуальную версию Kaspersky Endpoint Security.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

11.11.2023 в 20:45, Friend сказал:

сегодня загрузил комп. в папке program files/kaspersky lab теперь один 12.3))

по совету выше, установил 12.3 (видимо он и удалил остатки), до этого каспер обновлялся сам, видимо и оставлял свои версии.

 

пока полет нормальный%)

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...

Ошибочка повторилась:
 

"Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО -
 1 user registry handles leaked from \Registry\User\S-1-5-21-1387213892-1585320254-2128981358-1000:
Process 5808 (\Device\HarddiskVolume2\Program Files\Kaspersky Lab\KES.12.3.0\avpsus.exe) has opened key \REGISTRY\USER\S-1-5-21-1387213892-1585320254-2128981358-1000"

 

Ещё есть:

Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: 
klim6
klwfp



- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" /> 
  <EventID Qualifiers="49152">7026</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8080000000000000</Keywords> 
  <TimeCreated SystemTime="2023-12-02T08:58:03.678061800Z" /> 
  <EventRecordID>337273</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="552" ThreadID="556" /> 
  <Channel>System</Channel> 
  <Computer>27-411-1-Inet</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="param1">klim6 klwfp</Data> 
  </EventData>
  </Event>

 

Ссылка на комментарий
Поделиться на другие сайты

02.12.2023 в 12:08, sergey12 сказал:

Ошибочка повторилась:

По возможности попробуйте обновить все сетевые драйвера устройств до самых актуальных.

Если не используете их, то временно отключите сетевые карты и понаблюдайте за ситуацией.
Есть подозрение, что проблема связана с устаревшими драйверами сетевых устройств (Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller).

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Первый шаг на пути к успеху для киберпреступников при проведении почтовой атаки — добиться того, чтобы их письма попались на глаза потенциальным жертвам. Недавно мы уже рассказывали, как мошенники используют для этого уведомления от вполне легитимного сервиса для отправки больших файлов GetShared. Сегодня мы рассмотрим еще один вариант доставки вредоносных сообщений: в этой схеме злоумышленники научились добавлять свои сообщения в настоящие письма с благодарностью за оформление бизнес-подписки на Microsoft 365.
      Вполне легитимное письмо от Microsoft с сюрпризом
      Атака начинается с настоящего письма от Microsoft, в котором получателя благодарят за покупку подписки Microsoft 365 Apps for Business. Это письмо действительно отправляется с настоящего адреса компании microsoft-noreply@microsoft.com. Почтовый адрес с более надежной репутацией, чем этот, сложно себе представить, поэтому письмо без проблем проходит проверки любых почтовых сервисов.
      Еще раз — само письмо абсолютно настоящее. Его содержание соответствует стандартному уведомлению о совершении покупки. В случае с письмом со скриншота ниже Microsoft благодарит получателя за оформление 55 подписок на бизнес-приложения Microsoft 365 на общую сумму $587,95.
      Пример бизнес-уведомления от Microsoft, в котором злоумышленники вставили свое сообщение в разделе данных для выставления счета (Billing information)
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • Vestlot
      Автор Vestlot
      Скачал фикс на дискорд, думаю, что там и поймал вирус, помогите пожалуйста!
    • Sgorick
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • jangur
      Автор jangur
      Добрый день. У меня взломали сервер  с 1С.  Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием
      FRST.zip зашифриТребование.zip
×
×
  • Создать...