Долгое завершение сеанса и работы Windows XP SP3
 

В это время (примерно одна минута) индикатор HDD с периодичностью примерно 1 сек. мигает весь период.
Перекопал весь (или не весь?) Инет и пытался решить проблему следующими способами:

1) Реестр (считаю эти способы неверными, т.к. нужно искать источник причины, а не убивать саму причину, вводя нестабильность в работу системы):
- уменьшал время ожидания процесса до его убиения (WaitToKillServiceTimeout и HungAppTimeout);
- очистка ФП при отключении системы отключена;


2) Софт и настройки:
- виртуальных приводов нет;
- MS UPH CleanUp не помогает;
- смотрел msconfig, делал чистую загрузку, HKLM...Run и т.п. - ничего лишнего, тем более система загружается, не побоюсь этого слова, мгновенно, под любым профайлом;
- проверял на вирусы ДРвэбом при загрузке с LiveOS, на ПК установлен MSE;
- в журнале ошибок ничего нет, связанного с выключением ПК и выгрузкой служб/приложений;
- все лишние службы отключены, система почти девственная, за исключением FineReader и MS Office;
- делал дфраг, чекдиск, чистил вручную все логи и темпы, смотрел работающие процессы через Process Explorer, ничего подозрительного и лишнего;
- проверял политики по этой теме: http://forum.oszone.net/thread-83518.html;
- выключал вручную все службы и тормозил процессы (кроме критических) и следил за этим - все завершались быстро, кроме "Диспетчера подключений удаленного доступа", которую я впоследствии вообще отключил за ненадобностью, но даже когда он отключен ничего не изменилось;
- делал sfc /scannow, не помогло;
- переустанавливал систему "сверху" - не помогло.

3) Железо:
Отключал сеть, удалял сетевуху даже, делал netsh ip int reset и netsh winsock reset, после этого загружался в режиме защиты без сетевых дров - система летает, но выключается так же очень долго, даже под локальным админом. Из железа установлен сетевой принтер Xerox Phaser 3300, но с ним у другого десятка машин проблем пока не было. Мышь и клава стандартные USB, другого ничего нет (видюха - встроенная логика).

Внимательно изучил вот это, пока ничего подходящего не нашел, но продолжу работать по этому мануалу.

Если логин был произведен, то вначале минуту висит завершение сеанса, потом минуту висит завершение работы - т.е. винда завершает работу долго даже если не входить в систему, а выключить ее сразу после загрузки при вводе CTRL+ALT+Del.

Я бы хотел какую-нить прогу, которая может в реальном времени показывать, или хотя бы логировать, что происходить при выключении ПК и выгрузке профайла. Нужна помощь, в общем, и просьба пока исключить полную переустановку системы.

Ибо мне нужно узнать в чем дело (возможно дрова/железо/службы). Продолжаю "ковыряться", если что решу, сразу отпишусь.

Переустановка SP3 не помогла (кому-то помогала, поэтому решил переустановить).

Сборка?
Автоочистка файла подкачки случаем не включена? Это может очень тормозить отключение.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Если значение параметра //ClearPageFileAtShutdown// (тип dword) равно 1 - включено, 0 - отключено

Mitrios, наблюдается ли проблема в безопасном режиме?

yurfed, Petya V4sechkin, прочитайте еще раз мой первый пост, только повнимательнее. Винда лицензионная.

Mitrios, насколько подробная информация вам нужна? Не знаю как сделать это через реестр, но в том же Auslogic boostspeed есть функция которая предоставляет немного более подробную информацию при входе и выходе , а также создает довольно подробный журнал.

Не стоит на людей огрызаться, даже если они несут казалось бы чушь, они вам бесплатно помочь пытаются в меру возможностей:)

А никто не огрызается, ни в коем случае! Я всего-лишь (в очередной раз) попросил, чтобы до конца и полностью читали сообщения, чтобы не задавать вопросов, на которые уже есть ответы. Потому что потом могут пойти еще подобные вопросы, и мне придется свой первый пост переписывать по частям на несколько страниц ветки. Такое часто встречается, в т.ч. на этом форуме, да и я иногда пропускаю строки. Это не страшно, ничего личного :)

Всем спасибо за внимание, надеюсь вместе все исправим. На счет bootspeed спасибо, попробую, особенно если он делает логи - это то, что мне нужно.

Не нашёл - отключено ли индексирование. Если да, то я бы пробовал заменить шлейфы, пробовать на другом компе.

Индексирование было включено, отключил, не помогло. Хотя у меня есть привычка отключать его всегда.

Кажется нашел. После установки буста система начала писать чего делает в окне завершения работы. Очень долго висит:

Выполнение c:\windows\system32\cryptnet.dll

Какие мысли?!

Mitrios, у вас что-то зашифровано в системе? Установлены программы шифрования данных?
ничего отключать и/или удалять не надо. Это системная библиотека Windows.
предлагаю вам корректно удалить КриптоПРО: скачать дистрибутив, установить его, а затем удалить стандартным способом через апплет Установка/Удаление программ.

Нет, но возможно когда-то была установлена КриптоПРО, и после остались следы. Я не нашел пока точной инфы что пользует эту библиотеку и можно ли ее отключить. Если кто знает, подскажите. Диск не зашифрован, программ шифрования нет, в общем система почти девственная, скорее всего "следы" чего-то удаленного.

Узнал что библиотеку использует некто Microsoft Crypto Network Related API Module

Да это понятно... Только после этих InstallShield приходится вручную реестр чистить, или анинсталлеры использовать, стандартные средства почти никогда нормально программы не удаляют. Крипто про это ведь мое предположение, завтра проверю). И скорее всего шпиона установлю, чтобы выявить какой софт использует библиотеку. Спасибо за помощь, о результатах отпишусь.

Разузнать, что это за шифровальщик. А пока, я бы попробовал не дать его найти, например переименовать и посмотреть, что получится. Но для этого, хорошо бы иметь вторую ОС, что бы в случае чего восстановить файл обратно. У меня жесткие методы, вероятно.

Так и сделаю и иногда так делаю. Если система в результате не загрузится - это вообще проблемой не считаю.

Каким еще методом можно воспользоваться, что бы восстановить самим изменённый файл?

Пока ничего хорошего. Исключение cryptnet.dll приводит к той же проблеме, только уже с crypt32.dll, а исключение последнего к сбою при загрузке системы. Ничего шифровального из софта не обнаружил, в т.ч. Крипто ПРО не был установлен. Еще есть один момент (прикреплен скриншнот)...

Да, и еще - проверил файлы DLL - они оригинальные.

Чуть не забыл - все это происходит когда завершается сеанс юзера, а когда происходит завершение работы Windows, то система висит на:

Применение групповых политик компьютера завершено...

Mitrios, выложите логи RSIT.

Petya V4sechkin, готово (attached).

я обновил лог, т.к. в первый раз HiJackThis не сработал.

Я удалил все файлы (7 штук) с именем crypto*.dll из %SYSTEM%, DLLCACHE и восстановил их с дистрибутива винды (вручную распаковывал), ничего не изменилось. И еще вот с групповыми политиками вопрос появился... Буду ковыряться дальше уже в понедельник.

Mitrios, вот еще библиотека:
неизвестно к какому ПО относится.
И вы не ответили на вопрос:

И не жалко столько времени убить ради выяснения.. ))))
Могу еще подкинуть 2 простых варианта...
1- загрузись с LiveCD и сделай завершение работы. (можно еще с виртуальной попробовать тоже самое).
2- Установи новую винду для теста. Нет нет, старая останется.. )) Просто из под LiveCD перемести каталоги относящиеся к винде в любой созданный, и после можно установить новую. Можно попробывать на новую все теже дрова накатить и потом софт и посмотреть что будет. Потестишь, после можно легко вернуть все назад.

просто он попутал названия.. )

Petya V4sechkin, LANotify проверю, что-то не понятное, не известный процесс, попробую убить, спасибо за подсказку.

SergAS70, с LiveCD работает отлично, уже проверено. А на счет попутал названия в каком смысле? Режим защиты от сбоев и Безопасный режим суть одно и то же.
На счет переустановить систему - у меня на нескольких машинах в организации та же проблема и поэтому я хочу выявить проблему.

Проще сделать образ раздела и потом восстановить.

Пытаясь найти решение этой проблемы в инете, я часто наталкивался на информацию о некоем вирусе LANotify.dll, но я не обращал внимания, т.к. эта библиотека не фигурировала при выгрузке и три антивируса молчали как рыба. А зря. Petya V4sechkin, спасибо большое, убиение этой библиотеки решило проблему.

Всем спасибо за помощь и участие.