Здравствуйте.

На терминальном серваке появилась проблема.

При входе в локальные пользователи и группы происходит подвисание, а за ним следует сообщение:

Всплывающее окно приложения: Завершение работы системы : Система завершает работу. Сохраните результаты выполняемых задач и выполните выход из системы. Любые несохраненные изменения в данных будут потеряны. Это завершение работы инициировано пользователем NT AUTHORITY\SYSTEM. Завершение работы начнется через 51 сек. Сообщение завершения работы: Неожиданно завершен системный процесс "C:\WINDOWS\system32\lsass.exe" с кодом состояния -1073741819. Будет произведена перезагрузка системы..

После следует перезагрузка.

в отличии от ситуации http://forum.oszone.net/thread-272505.html окно перезагрузки всплывает только при условии входа в локальные пользователи и группы или же свойствам безопасность к папке, т.е. загружается нормально, можно подключится и работать, но недоступны сетевые ресурсы.

Заплатки от вирусняков стоят....

stasgunner@vk, сделайте DMP-файл (дамп процесса) и/или лог Process Monitor, как указано в той теме.

ProcDump ничего не выходит, а у Process Monito вес файла выходит больше гигабайта

а у Process Monito вес файла выходит больше гигабайта
заархивируйте и выложите на любой файлообменник, например http://rghost.ru

http://www.ex.ua/512497267804 log

stasgunner@vk, к ex.ua нет доступа.

http://dropmefiles.com/z6OkQ

stasgunner@vk, ошибка выдается после:
21:11:43,3961155 lsass.exe 460 RegQueryValue HKLM\SAM\SAM\Domains\Account\Users\000003EB\F NAME NOT FOUND

- отсутствует ключ F (флаги учетной записи).
Чтобы посмотреть содержимое этого раздела, можно запустить Regedit от имени SYSTEM с помощью PsExec (https://technet.microsoft.com/ru-ru/sysinternals/bb897553) (пример внизу страницы).

Petya V4sechkin, у меня сервак не в домне или это неважно?

Так, просмотрел я ветку, при попытке зайти HKLM\SAM\SAM\Domains\Account\Users\000003EB выдает "Не удается отобразить "": Ошибка при чтении содержимого значения параметра", после нажатия Ок заходит туда, но F отсуцтвует(по умолчанию и V есть).

Ее удалять(папку) или попробовать создать F или какие дальнейшие действия..

stasgunner@vk, 3EB - десятичное 1003 - это RID учетной записи admin (судя по логу).
Попробуйте в командной строке (cmd.exe) удалить:
net user admin /delete
Если не получится, будем в SAM ковырять.

Petya V4sechkin, Не получается, системная ошибка 1726 и перезагрузка....

или попробовать создать F
Попробуйте.
Тип параметра REG_BINARY.

Petya V4sechkin, а поле значение оставить пустым? да именно админ(

а поле значение оставить пустым?
Для эксперимента можно и пустое.

Petya V4sechkin, Ключи PsExec оставить прежние? и как вариант с удалением?

Ключи PsExec оставить прежние?
Ну да.
и как вариант с удалением?
Потом, если не прокатит.

Petya V4sechkin, через часика полтора отпишусь, когда людей на серваке меньше будет

Petya V4sechkin, значит продолжим, попытка восстановления(путем добавления ключа F) результата не дала. Далее следовало удаление папки реестра с данным именем. После перезагрузки появился положительные моменты, а именно: после захождения в локальный пользователи и группы сервер не перезагружается и появилась возможность заходить в сетевые папки, но в локальных пользователях не отображается ни одного пользователя, а в при входе в группы произошла следующая ошибка при попытке чтения группы: не найдено имя группы и так несколько раз(после нажатия ок) и потом произошла следующая ошибка при попытке чтения группы: указанная локальная группа не существует.....короче что-то с веткой реестра отвечающее за них...при попытке создать группу в ручную пишет такая группа ...подскажите плиз что дальше...

stasgunner@vk, там несколько веток:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\admin
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-xxxx\000003EB
и поищите по коду 000003EB в ветке HKEY_LOCAL_MACHINE\SAM\SAM (не осталось ли "хвостов", типа членства в группах).

Petya V4sechkin, да уже сам понял и сделал))) но теперь нет ни одного пользователя с админскими правами(если что в пм напишу как вышел этот бок если интересно), теперь нужно восстановить права админа...