При включении компьютера происходит вход в систему, появляется Рабочий стол, начинает грузиться автозагрузка, и внезапно происходит Завершение сеанса, Завершение работы Windows и компьютер выключается.

Аппаратные проблемы компьютера полностью исключаются (проверялось многократно).

Вирусы на компьютере были - прогонял разными антивирусами (CureIt и AVP).

Ключи реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced в порядке.

Переустановка Windows противопоказана - на компьютере установлена куча каталогов автозапчастей, дисков от которых нет.

При загрузке в Безопасном режиме - BSOD 0x0000007B, причем ключ реестра HKLM\SYSTEM\ControlSet001\Control\SafeBoot в порядке.

При попытке установить систему "сверху" в режиме восстановления - тот же BSOD 0x0000007B.

Всю папку ProgramFiles пробовал назвать по-другому, результат тот же - следовательно, какая нибудь вредная программа, например Планировщик не мешает.

Автозагрузку отрубал полностью - не помогает.

Все манипуляции проводились с копией оригинального жесткого диска.

P.S. Я на этот компьютер уже смотреть не могу - тошнит. А сделать надо. Может подскажете, хотя бы в каком направлении еще покопать.

При загрузке в Безопасном режиме - BSOD 0x0000007B, причем ключ реестра HKLM\SYSTEM\ControlSet001\Control\SafeBoot в порядке.
ControlSet001 текущий?

Выложи ветку SafeBoot, посмотрим (может, что лишнее).
[решено] не загружается safe mode (http://forum.oszone.net/thread-141856.html)

Под другой учетной записью пробовал?

Ключи реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced в порядке.
Сами файлы Userinit.exe и Explorer.exe менял?

Еще две ветки реестра, где может быть альтернативный Shell:
[решено] Свой Shell для каждого пользователя (http://forum.oszone.net/thread-131686.html)

появляется Рабочий стол, начинает грузиться автозагрузка
То есть, Explorer вроде бы запускается?

Автозагрузку отрубал полностью - не помогает.
Каким способом, система ведь не грузится?
Если бы AutoRuns работал под ERD Commander... А может, работает?

ControlSet001 текущий? »
Как узнать текущий ли он? Можно ли их менять?

SafeBoot прикрепил.

Под другой учеткой то же самое.

Файлы не менял, но сравнил побайтово с рабочей системой - одинаковые.

Upd: Explorer запускается, успевал даже нажать Win+R и набрать shutdown /a - не помогает.

Снес в реестре ключ Run.

Upd: SafeBoot вообще пробовал добавить с рабочей системы.

Как узнать текущий ли он?
Параметр Current ветки HKLM\SYSTEM\Select

Можно ли их менять?
Нет смысла.

SafeBoot прикрепил.
Никаких аномалий.

Попробуй AutoRuns запустить под ERD Commander.

Попробуй AutoRuns запустить под ERD Commander. »
AutoRuns работает, но показывает данные реестра самого ERD Commander. Это хорошо видно по путям, ведущим на диск в папку ERDC.

Debugger, по идее, ERD Commander должен цеплять реестр системы (при загрузке спрашивает).

Снес в реестре ключ Run.
Всего лишь?
В винде огромное количество (http://www.saule-spb.ru/library/autorun.html) способов автозагрузки.

по идее, ERD Commander должен цеплять реестр системы (при загрузке спрашивает). »
Да, это так, но так как это LiveCD, свой реестр у него должен быть по-любому. Похоже, что запуске regedit и других программ он сам подпихивает им реестр целевой ОС, а AutoRuns цепляет реестр ERD напрямую.
В винде огромное количество способов автозагрузки. »
Завтра буду рыть дальше.

Мы с Debugger вместе этот комп ковыряем, самое интересное, что крякнул он месяца два назад, на втором разделе обнаружился образ диска С годовой давности, и даже попытка восстановления раздела из этого образа приводит к тем же результатам. Видимо, что-то там поломано гораздо глубже, чем просто автозагрузка. Вопрос только - как это откопать?

Появился свет в конце туннеля - снесли в реестре Shell (Эксплорер) и все работает нормально. Есть ли альтернатива Эксплореру в плане Shell? Пока думаем про Runpad.

Пока играем в отключение служб.

И еще вопрос - что еще может не загружаться если отрубить шелл?

и все работает нормально.
Отлично!
Теперь можно сделать логи (http://forum.oszone.net/thread-98169.html) и выложить в разделе форума Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html)

Вирусы на компьютере были - прогонял разными антивирусами (CureIt и AVP). »
на втором разделе обнаружился образ диска С годовой давности »
На бэкапе вирусов нет.
Теперь можно сделать логи»
От радости забыли и про AVZ, и про AutoRuns и про все остальное :).
Ничего подозрительного в AVZ не нашел.
Продолжение и логи здесь (http://forum.oszone.net/post-1176516.html#post1176516)

Мое подозрение падает на:

O21 - SSODL: SysTray - {52BB1629-74E9-4D1D-9697-70A18C9ED9FB} - c:\windows\system32\msasm.dll


Пока ничего не удалять.

Пришлите файлы c:\windows\system32\msasm.dll и C:\WINDOWS\Fonts\ARIALUNI.exe на koshkin@rbcmail.ru
Учтите, что последний файл может быть не видно в Проводнике.
Либо сделайте скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\msasm.dll', '');
QuarantineFile('C:\WINDOWS\Fonts\ARIALUNI.exe', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip появится в папке с AVZ.
Его необходимо прислать на koshkin@rbcmail.ru
Потом напишу, надо ли что-либо удалять.

Котяра, ушло.
msasm.dll отсылал на virustotal.com - результат нулевой. ARIALUNI.EXE - просто упакованный в SFX шрифт.

Появился свет в конце туннеля - снесли в реестре Shell (Эксплорер) и все работает нормально. Есть ли альтернатива Эксплореру в плане Shell? Пока думаем про Runpad. »
Вот еще интересно - попробовал поставить в качестве замены Эксплорера оболочку BlackBox. Эксплорер она не использует вообще (в отличие от Aston например). Результат такой же - выключение :(

Проблема решена.

Помогло удаление c:\windows\system32\msasm.dll.

Котяра, ушло. »
Я не вижу Вашего письма.
Помогло удаление c:\windows\system32\msasm.dll. »
Вирус был это, видимо. И видимо, новый - в Интернете ничего нет. Именно поэтому я писал - "ничего не удалять", хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. Мне очень важен этот файл "msasm.dll" - хочу его изучить.

Я не вижу Вашего письма. »
Письмо перешлю заново.
И видимо, новый - в Интернете ничего нет. »
Ни CureIt, ни AVPTool, ни virustotal.com ничего не нашли.
Именно поэтому я писал - "ничего не удалять" »
Компьютер отдавать надо - автосервис уже вешается.
хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. »
Именно из-за того, что он грузится в трей, не работает ни одна оболочка - ни Эксплорер, ни BlackBox.
Мне очень важен этот файл "msasm.dll" - хочу его изучить. »
Файл msasm.dll и все его записи в реестре вышлю позже. Образ диска я также оставил у себя.

Компьютер отдавать надо - автосервис уже вешается. »
Да, понятно. Я сперва и думал написать - удалите, но потом думаю, а вдруг это не вирус и ценные данные повредятся.

а вдруг это не вирус и ценные данные повредятся. »
Я все же думаю что вирус. Думаю он пытается маскироваться под msacm.dll.

Вирус и записи из реестра переслал с двух своих разных ящиков. Должно уж прийти.

а вдруг это не вирус и ценные данные повредятся. »
Я уже писал, что все манипуляции мы проделывали с копией раздела.

Вирус был это, видимо. И видимо, новый - в Интернете ничего нет. Именно поэтому я писал - "ничего не удалять", хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. Мне очень важен этот файл "msasm.dll" - хочу его изучить.

Наблюдаю в точности такую же ситуацию - система с кучей каталогов запчастей, с установленным msasm.dll. Но, пока диск с системой грузится в "родном" компьютере - все отлично работает. Стоит переставить диск в другой компьютер - после логина происходит завершение работы. Убрал msasm.dll - перестало завершаться.

Такое впечатление, что компания, продающая диски с каталогами, привязывает диск к аппаратуре. Хотя я звонил в их поддержку - уверяли, что диск к компьютеру не привязан, и должен работать с любым железом. Человек, с которым я говорил, про msasm.dll ничего не знает, но он явно занимается только поддержкой - о деталях может быть и не в курсе.

Самому интересно разобраться с этим msasm.dll - сейчас загнал копию системного раздела с того диска в виртуальную машину, в ней и мучаю, на msasm.dll вышел через отладчик, отслеживая, кто вызывает ExitWindowsEx. Можем объединить усилия. :)

У меня "Цитирование" почему-то не работает - отвечаю "быстрым ответом", с ручным цитированием.

При включении компьютера на мониторе окно "завершение сеанса" как можно включить компьютер?

При загрузке системы происходит завершение работы компъютера