Здравствуйте. При загрузке с и-нета зависает комп. Перезагрузиться получается только через отключение питания. Даже кнопка
перезапуска не помогает. Зависает наглухо.

После перезагрузки в журнале появляются сообщения:

Система перезагрузилась, не завершив полностью работу. Эта ошибка может быть результатом того, что система перестала отвечать,

Произошел критический сбой, или неожиданно отключилось питание.

Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния 1. Необходимо перезагрузить компьютер.

Получено следующее предупреждение о неустранимой ошибке: 40.
Получено следующее предупреждение о неустранимой ошибке: 70.
Подробности:

System

- Provider

[ Name] Schannel
[ Guid] {1F678132-5938-4686-9FDC-C8FF68F15C85}

EventID 36887

Version 0

Level 2

Task 0

Opcode 0

Keywords 0x8000000000000000

- TimeCreated

[ SystemTime] 2020-09-02T17:45:59.168268000Z

EventRecordID 34400

Correlation

- Execution

[ ProcessID] 580
[ ThreadID] 3372

Channel System


[ ProcessID] 580 в диспетчере - lsass.exe
Пробовал найти файл в и-нете, но там или кривые, или непонятно что. На разных сайтах - разные файлы - контрольные суммы разные, содержимое тоже разное.

Как достать файл lsass.exe из образа .wim ?

P.S. chkdsk и scf показываю что ошибок нет. Загрузочная флешка есть. ОС windows 7x64 Максимальная.
Microsoft Windows [Version 6.1.7601]

charon, падение lsass.exe может быть следствием сетевых атак через незакрытые уязвимости (например, DoublePulsar на первом этапе использует EternalBlue, затем инжектирует вредоносный код в процесс lsass.exe).

Убедитесь, что установлены критические обновления в Центре Windows Update.

Как достать файл lsass.exe из образа .wim ?
P.S. chkdsk и scf показываю что ошибок нет.
Не надо доставать файл, с ним всё в порядке (если sfc /scannow выполняется без ошибок). Атаке подвергается системный процесс, а не файл.

падение lsass.exe может быть следствием сетевых атак через незакрытые уязвимости...

Вариант возможный, но маловероятный.
1. Целевая атака исключается. IP динамический, отследить невозможно.
2. Соединение через роутер. Сетевой экран замучаешься обходить.
P.S. Да и на фиг я кому нужен. Ценных данных на компе нет.

Зависание происходит при загрузке игр через веб-загрузчики (MY.GAMES Игровой центр mail.ru, NEXTRP Launcher, Game Center Wargaming.net Game Center). Закачка доходит, например до 5 Гб, дальше зависание, потом продолжается без ошибок еще сколько-то байт, дальше опять глюк. Чтобы загрузить 20-30 Гб приходится раз 5 перегружаться и начинать по-новой.
Все закачки используют .torrent.
Остается предположить что "уважаемые" :) компании атакуют. Нафига им это надо?

Просто я даже не могу предположить что надо засунуть в поток пакетов, чтобы этот код обработался и вызвал зависание.

Убедитесь, что установлены критические обновления в Центре Windows Update. »

Если бы еще знать какое именно обновление нужно. Все подряд устанавливать - не вариант. Сколько раз сталкивался, что после обновления что-то начинает глючить.
Одно ремонтируется, другое ломается. Потому, с тех пор, устанавливаю только те обновления, которые мне действительно требуются.

charon, приведите значения параметров Authentication Packages, Notification Packages, Security Packages в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Сделайте дамп процесса по инструкции
[решено] Ошибка приложения lsass.exe c кодом состояния с0000005 (http://forum.oszone.net/post-2706514.html#post2706514)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
00,73,00,70,00,6b,00,67,00,00,00,70,00,6b,00,75,00,32,00,75,00,00,00,00,00

Для дампа буду ждать ошибку.

P.S. Спасибо что напомнили о SysinternalsSuite. Пересмотрел, много новых утилит появилось. Я думал после покупки Майкрософт Рисинович забросит свой пакет.

charon, в параметре Authentication Packages у вас что-то нездоровое (иероглифы, которых там не должно быть).

Соединение через роутер.
Смотря какой тип подключения к интернету.
Кроме того, проверьте настройки (режим) роутера.
Целевая атака исключается.
Конечно, оно же просто сканирует целые подсети.
Если бы еще знать какое именно обновление нужно. Все подряд устанавливать - не вариант. Сколько раз сталкивался, что после обновления что-то начинает глючить.
И вот сейчас из-за отсутствия критических обновлений вы столкнулись с тем, что какой-то троян (например, использующий алгоритм DoublePulsar и уязвимость EternalBlue) раз за разом пробивает вашу систему.

Authentication Packages у вас что-то нездоровое (иероглифы, которых там не должно быть) »

Отображается как msv1_0 тип reg_multi_sz

Смотря какой тип подключения к интернету. »
- Type: Ethernet
- Protocol: PPPoE

NAT Setup Enable Network Address Translation

из-за отсутствия критических обновлений вы столкнулись с тем, что какой-то троян ... раз за разом пробивает вашу систему. »
Все это так. Не спорю.
Но кто ж мог подумать что игровые центры используют вирусную технологию. Потому как был запущен только их клиент.
А с обновлениями своего мнения не изменил: ставить только если "припрет".
Потому что...
Вот только что установил финальные обновления для 7-ки KB4534310 и KB4534314. Вроде как финальные, все, багов не должно быть. И тут же читаю:
Известные проблемы, связанные с этим обновлением
После установки KB4534310 обои рабочего стола могут отображаться черными, если выбрано значение Растянуть.
Обходное решение
Эта проблема устранена в KB4539601, если вы используете ежемесячные накопительные пакеты. Если вы используете обновления только для системы безопасности, см. статью KB4539602. Эти обновления доступны для всех клиентов, использующих Windows 7 SP1 и Windows Server 2008 R2 SP1.
Смотрю дальше.
Обновление для Windows 7 для систем на базе процессоров x64 (KB4539602), 01.2020

Аннотация
Это обновление устраняет описанную ниже проблему.
В этой папке рассматриваются проблемы, которые могут привести к тому, что в качестве фонового рисунка будет выбрано значение " растянуть ".

Важно! Прежде чем приступить к установке этого обновления, ознакомьтесь с разделом "необходимые условия".
Известные проблемы, которые возникают в этом обновлении

В настоящее время мы не осведомлены о проблемах, влияющих на данное обновление.

Как получить это обновление
Каталог Центра обновления Майкрософт

Чтобы получить доступ к отдельному пакету для этого обновления, перейдите на веб-сайткаталога Центра обновления Майкрософт .
Предварительные условия

Перед установкой этого обновления на компьютере должны быть установлены указанные ниже обновления. При использовании центра обновления Windows эти обновления будут предлагаться автоматически по мере необходимости.

Необходимо установить Обновление SHA-2 (KB4474419), выпущенное 23 сентября, 2019 или более поздней версии, а затем перезапустить устройство, прежде чем приступить к установке этого обновления. Если вы используете Windows Update, вам будет предложено установить Последнее обновление SHA-2 автоматически. Дополнительные сведения об обновлениях SHA-2 можно найти в статьях требования поддержки подписывания кода SHA-2 для Windows и WSUS. 2019
Необходимо установить обновление стека обслуживания (SSU) (KB4490628) от 12 марта 2019 г. или более поздней версии для обновления SSU. Более подробную информацию о последних обновлениях SSU можно найти в статьяхADV990001 | Последние обновления стеков обслуживания.


Т.е. чтобы исправить одну ошибку пришлось установить KB4534310, KB4534314, а чтобы их установить надо установить KB4490628 и KB4474419, а чтобы исправить то что исправило обновление надо установить KB4539602. Чтобы установить KB4539602 там тоже есть предварительные условия. Уже не стал читать. И после всех установок ... после установки KB4534310 или KB4534314 корпорация Microsoft также рекомендует установить обновление служебного стека (KB4536952).

Слава богу хоть на KB4536952 цепочка закончилась.

Чтобы исправить 1 баг пришлось установить 6 (ШЕСТЬ) обновлений. И это не полная цепочка. Начни читать все описания обновлений и все выполнять - только этим и будешь заниматься. Им там хорошо - их много, а у меня голова одна.

P.S. Пока буду ждать. Может действительно обновления помогут.

Может действительно обновления помогут »
Помогли частично. Теперь не подвешивается ОС, а делает рестарт. В журнале инфа та же. Дамп lsass пока сделать не получилось - трудно момент поймать.
P.S. Спасибо хоть ОС стала перегружаться, а не висеть. Уже как-то легче.

Дамп lsass пока сделать не получилось - трудно момент поймать.
В смысле - поймать?
Запустить cmd от имени Администратора, там запустить procdump, а он будет ждать сбоя (сколько потребуется). Только окно cmd не закрывайте.

Protocol: PPPoE
Покажите результат:
ipconfig /all
ОС стала перегружаться
Включите запись дампов памяти (http://forum.oszone.net/thread-275050.html).
Если DMP-файлы уже есть в папке \Windows\Minidump, выложите свежие.

И приведите версию файла \Windows\System32\drivers\srv.sys (в свойствах -> вкладка Подробно).

Обновление KB4012212 стоит на компе? И попробуйте проверить компьютер актуальным kvrt, обратив внимание на проверку системной памяти.

ipconfig /all »
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : p5k
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : citycom.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : citycom.ru
Описание. . . . . . . . . . . . . : Контроллер Atheros L1 Gigabit Ethernet 10/100/1000Base-T
Физический адрес. . . . . . . . . : 00-1E-8C-B4-3F-B6
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::8848:e8fd:cfb9:3bca%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.33(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 8 сентября 2020 г. 11:52:35
Срок аренды истекает. . . . . . . . . . : 11 сентября 2020 г. 11:52:39
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 234888844
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-26-A1-9A-F0-00-1E-8C-B4-3F-B6
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.citycom.ru:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : citycom.ru
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

charon, 192.168.1.1 - ваш роутер? К нему ничего больше не подключено?

Тут нет активного PPP-соединения.

192.168.1.1 - ваш роутер? »
Верно. Вот информация с роутера.

System Name: NBG334WEE
Firmware Version: V3.60(AMW.5)_20111019 | 10/19/2017:35:29
WAN Information
- Type: Ethernet
- 802.1x: Disabled
- Protocol: PPPoE
- LinkDuo: Enabled
- MAC Address: 40:4a:03:ad:4d:07
- IP Address: 5.145.243.31 динамический IP адрес
- IP Subnet Mask: 255.255.255.255
- IP Address(PHY): 10.22.43.187 - коммутатор провайдера
- IP Subnet Mask(PHY): 255.255.252.0
LAN Information:
- MAC Address: 40:4a:03:ad:4d:06
- IP Address: 192.168.1.1
- IP Subnet Mask: 255.255.255.0
- DHCP: Server
WLAN Information:
- MAC Address: 40:4a:03:ad:4d:06
- Name(SSID): ZyXEL
- Channel: 13
- Operating Channel: 13
- Security Mode: WPA2-PSK
- 802.11 Mode: 802.11b/g
- WPS: Unconfigured

Network > DHCP Server > Client List
LAN DHCP Setup
IP Address Host Name MAC Address Reserve
1 192.168.1.33 p5k 00:1e:8c:b4:3f:b6 + комп
2 192.168.1.35 40:a1:08:20:e6:cf смартфон
3 192.168.1.36 android-ef4ff38c4e3f59b9 84:8e:df:10:4b:73 планшет

Network > NAT > Application
# Name External port Server IP Address Internal port
1 uTorrent 16183 192.168. 1. 33 16183
2 World_of_Tanks 6881 192.168. 1. 33 6881

Сетевой адаптер подключен только один

Сейчас очистил все журналы Windows. Выключил комп. Подождал ~ час.
После включения в журнале появились такие записи об ошибках: См.
http://forum.oszone.net/attachment.php?attachmentid=162375&stc=1&d=1599570891

Кроме того в Autoruns показывает что не найдены 2 драйвера.
hwinterface: File not found: System32\Drivers\hwinterface.sys
VGPU VGPU: File not found: System32\drivers\rdvgkmd.sys


hwinterface.sys нашелся в c:\Windows\SysWOW64\drivers\

rdvgkmd.sys в C:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral_38033e4d5530b5af
C:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral_dd691eae66f3032d
C:\Windows\winsxs\amd64_rdvgwddm.inf_31bf3856ad364e35_6.1.7601.17514_none_cd55b5e46cdceae1
C:\Windows\winsxs\amd64_rdvgwddm.inf_31bf3856ad364e35_6.1.7601.24306_none_cdebd92585f0f6d6

В реестре записи
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hwinterface
Название класса: <Класс отсутствует>
Последнее время записи: 21.07.2020 - 13:20
Параметр 0
Название: Type
Тип: REG_DWORD
Значение: 0x1

Параметр 1
Название: Start
Тип: REG_DWORD
Значение: 0x1

Параметр 2
Название: ErrorControl
Тип: REG_DWORD
Значение: 0x1

Параметр 3
Название: ImagePath
Тип: REG_EXPAND_SZ
Значение: System32\Drivers\hwinterface.sys

Параметр 4
Название: DisplayName
Тип: REG_SZ
Значение: hwinterface

Параметр 5
Название: WOW64
Тип: REG_DWORD
Значение: 0x1

Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VGPU
Название класса: <Класс отсутствует>
Последнее время записи: 21.11.2010 - 15:39
Параметр 0
Название: DisplayName
Тип: REG_SZ
Значение:

Параметр 1
Название: ErrorControl
Тип: REG_DWORD
Значение: 0x1

Параметр 2
Название: ImagePath
Тип: REG_EXPAND_SZ
Значение: System32\drivers\rdvgkmd.sys

Параметр 3
Название: Start
Тип: REG_DWORD
Значение: 0x3

Параметр 4
Название: Type
Тип: REG_DWORD
Значение: 0x1

Т.е. сами файлы присутствуют, но лежат не там. При попытке

C:\Users\vic>sfc /SCANFILE=c:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral
_38033e4d5530b5af\c:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral_38033e4d
5530b5af\rdvgkmd.sys

Пишет Защита ресурсов Windows не может выполнить запрошенную операцию.
В свойствах файлов, в безопасности доступ для системы полный.