Выключение компа при загрузке ОС Windows Server 2012 R2 Standard (ошибка 0x800000ff)
 

Здравствуйте!

Сразу же после авторизации (ввода логина и пароля) ОС Windows Server 2012 R2 Standart завершает работу и компьютер выключается.

Краткая предыстория.
Стоит ОС Windows Server 2012 R2 Standart.

18.01.2017 в 6:40 согласно журналу событий:
"Процесс C:\Windows\system32\shutdown.exe (WIN-TN71ARLH39G) инициировал действие "Завершить работу" для компьютера WIN-TN71ARLH39G от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Причина не перечислена
Код причины: 0x800000ff
Тип выключения: Завершить работу
Комментарий: ".
Изображение из журнала событий http://rgho.st/6kChhn6Fk

В обед 18.01.2017 обнаружил, что сервер выключен.
Включил и после авторизации (ввода логина и пароля) всплыла ошибка 0xc0000142:
"Компьютер был перезагружен после критической ошибки. Код ошибки 0xc0000142 ...".
Изображение из журнала событий http://rgho.st/7ySnBbJpB
Изображения в программе BlueScreenView http://rgho.st/6YGM94xSj и http://rgho.st/87nVDm9CK
Дам памяти размещен http://rgho.st/7fZCRFgLN

Во время загрузки нажал F8 и выбрал вариант "Последняя удачная конфигурация (дополнительно)".
После этого при загрузке ОС не принимала логин и пароль.
Осуществил сброс пароля способом, указанным здесь https://www.dmosk.ru/miniinstruktion...-reset-windows.
После этого при авторизации стал принимать логи и пароль, но как только появляется рабочий стол ОС завершает работы и комп выключается.
И так все время. Ошибка 0xc0000142 больше не появлялась.
ОС завершает работу только после ввода логина и пароля, само окно, в котором ОС просит вести логин и пароль может работать постоянно.

В журнале событий все время после ввода логина и пароля все время указывается причина 0x800000ff.
Журнал событий раздела "Система" http://rgho.st/8qKndztJR

Выполнил команду sfc /scannow
Команда показывает, что есть нарушения целостности системных файлов.
Изображение в командной строке http://rgho.st/7kpz5M6sm
Файл CBS.log размещен http://rgho.st/8txpwHpKt
До 18.01.2017 также запускал эту команду и так же она показывала нарушения целостности системных файлов, но проблемы с выключением не было.
Пытался два дня восстановить системные файлы, но безуспешно.

К примеру, запускал различные команды (в том числе и DISM /Online /Cleanup-Image /RestoreHealth) при выборе "Устранение неполадок компьютера" при загрузке и нажатии клавиши F8, при загрузке с установочного диска, а также в безопасном режиме.

Логи RSIT http://rgho.st/6pW5vYppx

В итоге, не могу зайти в обычной загрузке в ОС.

При этом в "чистой загрузке" проблема остается (https://support.microsoft.com/ru-ru/...ot-in-windows), а в безопасном режиме ОС работает.

Вирусы исключены, поскольку проверял комп с помощью Dr.Web LiveDisk и Kaspersky Rescue Disk.

Прошу помочь, это сбой системы или последствия обновления ОС? Как исправить ситуация помимо полной переустановки ОС?

maxkrav, похоже на следы жизнедеятельности вируса:

• Команда shutdown.exe /s /f /t 0 в Планировщике заданий - выключение.
• Zone.Identifier.vbs - прицепленный к файлу DataStore.edb альтернативный поток NTFS.
• FSPro Filter Service (fsproflt) - служба для скрытия папок (антивирус её не ловит, потому что она взята из Hide Folders или My Lockbox, но эти программы у вас не установлены).
• MinerGate - майнинг криптовалют.

Почистил реестр по ключевым словам ("fspro", "hide folders", "minergate", "maintenance").

Удалил файлы C:\Windows\system32\tasks\Maintenance http://rgho.st/8VsGFz5Kj

Удаленные файлы здесь http://rgho.st/6zCXPrYyx

Также удалил файлы C:\Windows\tasks\Startup.job и C:\Windows\SoftwareDistribution\DataStore.edb

Удалил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018)

Удаленные файлы здесь http://rgho.st/7pkcSLbcJ

Правда, не все удалились. Файл fsproflt.exe удалился, а файл TsWpfWrp.exe не удаляется.

После перезагрузил систему в обычном режиме, также сразу выключается.

Загрузился в безопасном режиме и попробовал открыть планировщик заданий, но не смог http://rgho.st/872m4X8wV и http://rgho.st/8rbslNmx7

Выдает ошибку, что планировщик заданий невозможно запустить в безопасном режиме - ошибка 1084.

Новые логи RSIT http://rgho.st/7YlSV9dFW

Но запись о нём осталась в кэше заданий в реестре. Сначала выясните идентификатор Id этого задания в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

Важно! Не перепутайте задание Maintenance (созданное вирусом) с категорией Maintenance, в которой множество системных записей (их не трогайте).

Затем этот Id поищите и удалите во всех подразделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache
(в частности, в соответствующем подразделе \Tasks в параметре Actions в бинарном виде можете заметить команду shutdown).

Другой вариант: отключить службу "Планировщик заданий", загрузиться в обычном режиме, включить службу, запустить оснастку Планировщика (taskschd.msc) и удалить проблемное задание там. Хотя есть вероятность, что из-за несогласованности кэша заданий с файлами оснастка не запустится, в этом случае надо будет выковыривать из реестра вручную (по первому варианту).

Тут вы переусердствовали, кроме fsproflt.exe я ничего не советовал удалять из этой папки, там же системные файлы.

Удалил папки "Maintenance" в пользователях, папку "Tasks" из C:\Windows и папку "TaskScheduler" из C:\Windows\System32\Tasks\Microsoft\Windows http://rgho.st/8zLxbslSq

Восстановил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018) за исключением fsproflt.exe.

Раздел Schedule из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion удалил. Сделал это до вашего сообщения. Восстановить уже не получиться.

Насчет не перепутать задание Maintenance (созданное вирусом) с категорией Maintenance. Возможно, где-то также перестарался при чистке в реестре.

Но после проделанных действий система стала нормально загружаться без выключения при вводе логина и пароля.

В настоящий момент в службе "Планировщик заданий" как в безопасном режиме, так и в обычной загрузке неактивны какие-либо кнопки. Фото при обычной загрузке http://rgho.st/7sK89CZ5X

Вызывает подозрение, что в службе "Просмотр событий" в событии, связанном с перезагрузкой в качестве "Источника" указывается параметр "User32", а не "Администратор" http://rgho.st/6S7hRZlpk и http://rgho.st/6phkLZfhN. Ведь User32 один из немногих локальных пользователей, а захожу на сервер под пользователем Администратор.

И вообще это уже третья проблема с FSPro Filter Service (fsproflt) и Hide Folders. Первый раз была в сентября 2017 года. Тогда вы мне помогли http://forum.oszone.net/thread-330042-3.html. После где-то в ноябре, тогда справился сам. Теперь в январе 2018 года.

В первых двух случаях обнаруживал этот вирус программа Dr.Web LiveDisk, а программа Kaspersky Rescue Disk не обнаруживала.

В третий раз и Dr.Web LiveDisk не обнаружил этот вирус, поэтому и думал, что проблема в самой системе.

На сервере стоит лицензионный антивирус Kaspersky Small Office Security 5.

Каждый раз попутно страдает ОС (какие-то файлы повреждаются, какие-то удаляю сам в виду переусердствования). Боюсь, что этот вирус опять как-то себя проявит.

Можете дать какие-то советы? Может сменить антивирус? Или где-то в ОС остаются следы этого вируса?

Зачем?
В папке TaskScheduler легитимные системные задачи - верните обратно.
OMG, зачем? Там же более сотни системных задач!
Восстановите содержимое по умолчанию с помощью импорта REG-файла из прикреплённого архива.
Так и должно быть (отключить можно через реестр, но теперь в этом нет необходимости).
Сама оснастка taskschd.msc запускается?
User32 - это не учётная запись, а источник события.
Вероятно, это другой вирус, не связанный с первой проблемой, а служба fsproflt.exe осталась с прошлого раза (тогда был удалён драйвер FSPFltd.sys, но не служба).
Посмотрите, установлен ли патч MS17-010 (закрывающий уязвимости EternalBlue/EternalRomance).
И вообще убедитесь, что установлены последние обновления безопасности.