Зависание при загурзке
 

Здравствуйте. При загрузке с и-нета зависает комп. Перезагрузиться получается только через отключение питания. Даже кнопка
перезапуска не помогает. Зависает наглухо.

После перезагрузки в журнале появляются сообщения:

Система перезагрузилась, не завершив полностью работу. Эта ошибка может быть результатом того, что система перестала отвечать,

Произошел критический сбой, или неожиданно отключилось питание.

Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния 1. Необходимо перезагрузить компьютер.

Получено следующее предупреждение о неустранимой ошибке: 40.
Получено следующее предупреждение о неустранимой ошибке: 70.
Подробности:

System

- Provider

[ Name] Schannel
[ Guid] {1F678132-5938-4686-9FDC-C8FF68F15C85}

EventID 36887

Version 0

Level 2

Task 0

Opcode 0

Keywords 0x8000000000000000

- TimeCreated

[ SystemTime] 2020-09-02T17:45:59.168268000Z

EventRecordID 34400

Correlation

- Execution

[ ProcessID] 580
[ ThreadID] 3372

Channel System


[ ProcessID] 580 в диспетчере - lsass.exe
Пробовал найти файл в и-нете, но там или кривые, или непонятно что. На разных сайтах - разные файлы - контрольные суммы разные, содержимое тоже разное.

Как достать файл lsass.exe из образа .wim ?

P.S. chkdsk и scf показываю что ошибок нет. Загрузочная флешка есть. ОС windows 7x64 Максимальная.
Microsoft Windows [Version 6.1.7601]

charon, падение lsass.exe может быть следствием сетевых атак через незакрытые уязвимости (например, DoublePulsar на первом этапе использует EternalBlue, затем инжектирует вредоносный код в процесс lsass.exe).

Убедитесь, что установлены критические обновления в Центре Windows Update.

Не надо доставать файл, с ним всё в порядке (если sfc /scannow выполняется без ошибок). Атаке подвергается системный процесс, а не файл.

Вариант возможный, но маловероятный.
1. Целевая атака исключается. IP динамический, отследить невозможно.
2. Соединение через роутер. Сетевой экран замучаешься обходить.
P.S. Да и на фиг я кому нужен. Ценных данных на компе нет.

Зависание происходит при загрузке игр через веб-загрузчики (MY.GAMES Игровой центр mail.ru, NEXTRP Launcher, Game Center Wargaming.net Game Center). Закачка доходит, например до 5 Гб, дальше зависание, потом продолжается без ошибок еще сколько-то байт, дальше опять глюк. Чтобы загрузить 20-30 Гб приходится раз 5 перегружаться и начинать по-новой.
Все закачки используют .torrent.
Остается предположить что "уважаемые" :) компании атакуют. Нафига им это надо?

Просто я даже не могу предположить что надо засунуть в поток пакетов, чтобы этот код обработался и вызвал зависание.

Если бы еще знать какое именно обновление нужно. Все подряд устанавливать - не вариант. Сколько раз сталкивался, что после обновления что-то начинает глючить.
Одно ремонтируется, другое ломается. Потому, с тех пор, устанавливаю только те обновления, которые мне действительно требуются.

charon, приведите значения параметров Authentication Packages, Notification Packages, Security Packages в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Сделайте дамп процесса по инструкции
[решено] Ошибка приложения lsass.exe c кодом состояния с0000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
00,73,00,70,00,6b,00,67,00,00,00,70,00,6b,00,75,00,32,00,75,00,00,00,00,00

Для дампа буду ждать ошибку.

P.S. Спасибо что напомнили о SysinternalsSuite. Пересмотрел, много новых утилит появилось. Я думал после покупки Майкрософт Рисинович забросит свой пакет.

charon, в параметре Authentication Packages у вас что-то нездоровое (иероглифы, которых там не должно быть).

Смотря какой тип подключения к интернету.
Кроме того, проверьте настройки (режим) роутера.
Конечно, оно же просто сканирует целые подсети.
И вот сейчас из-за отсутствия критических обновлений вы столкнулись с тем, что какой-то троян (например, использующий алгоритм DoublePulsar и уязвимость EternalBlue) раз за разом пробивает вашу систему.

Отображается как msv1_0 тип reg_multi_sz

- Type: Ethernet
- Protocol: PPPoE

NAT Setup Enable Network Address Translation

Все это так. Не спорю.
Но кто ж мог подумать что игровые центры используют вирусную технологию. Потому как был запущен только их клиент.
А с обновлениями своего мнения не изменил: ставить только если "припрет".
Потому что...
Вот только что установил финальные обновления для 7-ки KB4534310 и KB4534314. Вроде как финальные, все, багов не должно быть. И тут же читаю:
Смотрю дальше.
Обновление для Windows 7 для систем на базе процессоров x64 (KB4539602), 01.2020
Т.е. чтобы исправить одну ошибку пришлось установить KB4534310, KB4534314, а чтобы их установить надо установить KB4490628 и KB4474419, а чтобы исправить то что исправило обновление надо установить KB4539602. Чтобы установить KB4539602 там тоже есть предварительные условия. Уже не стал читать. И после всех установок Слава богу хоть на KB4536952 цепочка закончилась.

Чтобы исправить 1 баг пришлось установить 6 (ШЕСТЬ) обновлений. И это не полная цепочка. Начни читать все описания обновлений и все выполнять - только этим и будешь заниматься. Им там хорошо - их много, а у меня голова одна.

P.S. Пока буду ждать. Может действительно обновления помогут.

Помогли частично. Теперь не подвешивается ОС, а делает рестарт. В журнале инфа та же. Дамп lsass пока сделать не получилось - трудно момент поймать.
P.S. Спасибо хоть ОС стала перегружаться, а не висеть. Уже как-то легче.

В смысле - поймать?
Запустить cmd от имени Администратора, там запустить procdump, а он будет ждать сбоя (сколько потребуется). Только окно cmd не закрывайте.

Покажите результат:
Включите запись дампов памяти.
Если DMP-файлы уже есть в папке \Windows\Minidump, выложите свежие.

И приведите версию файла \Windows\System32\drivers\srv.sys (в свойствах -> вкладка Подробно).

Обновление KB4012212 стоит на компе? И попробуйте проверить компьютер актуальным kvrt, обратив внимание на проверку системной памяти.

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : p5k
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : citycom.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : citycom.ru
Описание. . . . . . . . . . . . . : Контроллер Atheros L1 Gigabit Ethernet 10/100/1000Base-T
Физический адрес. . . . . . . . . : 00-1E-8C-B4-3F-B6
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::8848:e8fd:cfb9:3bca%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.33(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 8 сентября 2020 г. 11:52:35
Срок аренды истекает. . . . . . . . . . : 11 сентября 2020 г. 11:52:39
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 234888844
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-26-A1-9A-F0-00-1E-8C-B4-3F-B6
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.citycom.ru:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : citycom.ru
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

charon, 192.168.1.1 - ваш роутер? К нему ничего больше не подключено?

Тут нет активного PPP-соединения.

Верно. Вот информация с роутера.

System Name: NBG334WEE
Firmware Version: V3.60(AMW.5)_20111019 | 10/19/2017:35:29
WAN Information
- Type: Ethernet
- 802.1x: Disabled
- Protocol: PPPoE
- LinkDuo: Enabled
- MAC Address: 40:4a:03:ad:4d:07
- IP Address: 5.145.243.31 динамический IP адрес
- IP Subnet Mask: 255.255.255.255
- IP Address(PHY): 10.22.43.187 - коммутатор провайдера
- IP Subnet Mask(PHY): 255.255.252.0
LAN Information:
- MAC Address: 40:4a:03:ad:4d:06
- IP Address: 192.168.1.1
- IP Subnet Mask: 255.255.255.0
- DHCP: Server
WLAN Information:
- MAC Address: 40:4a:03:ad:4d:06
- Name(SSID): ZyXEL
- Channel: 13
- Operating Channel: 13
- Security Mode: WPA2-PSK
- 802.11 Mode: 802.11b/g
- WPS: Unconfigured

Network > DHCP Server > Client List
LAN DHCP Setup
IP Address Host Name MAC Address Reserve
1 192.168.1.33 p5k 00:1e:8c:b4:3f:b6 + комп
2 192.168.1.35 40:a1:08:20:e6:cf смартфон
3 192.168.1.36 android-ef4ff38c4e3f59b9 84:8e:df:10:4b:73 планшет

Network > NAT > Application
# Name External port Server IP Address Internal port
1 uTorrent 16183 192.168. 1. 33 16183
2 World_of_Tanks 6881 192.168. 1. 33 6881

Сетевой адаптер подключен только один

Сейчас очистил все журналы Windows. Выключил комп. Подождал ~ час.
После включения в журнале появились такие записи об ошибках: См.
http://forum.oszone.net/attachment.p...1&d=1599570891

Кроме того в Autoruns показывает что не найдены 2 драйвера.
hwinterface: File not found: System32\Drivers\hwinterface.sys
VGPU VGPU: File not found: System32\drivers\rdvgkmd.sys


hwinterface.sys нашелся в c:\Windows\SysWOW64\drivers\

rdvgkmd.sys в C:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral_38033e4d5530b5af
C:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral_dd691eae66f3032d
C:\Windows\winsxs\amd64_rdvgwddm.inf_31bf3856ad364e35_6.1.7601.17514_none_cd55b5e46cdceae1
C:\Windows\winsxs\amd64_rdvgwddm.inf_31bf3856ad364e35_6.1.7601.24306_none_cdebd92585f0f6d6

В реестре записи
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hwinterface
Название класса: <Класс отсутствует>
Последнее время записи: 21.07.2020 - 13:20
Параметр 0
Название: Type
Тип: REG_DWORD
Значение: 0x1

Параметр 1
Название: Start
Тип: REG_DWORD
Значение: 0x1

Параметр 2
Название: ErrorControl
Тип: REG_DWORD
Значение: 0x1

Параметр 3
Название: ImagePath
Тип: REG_EXPAND_SZ
Значение: System32\Drivers\hwinterface.sys

Параметр 4
Название: DisplayName
Тип: REG_SZ
Значение: hwinterface

Параметр 5
Название: WOW64
Тип: REG_DWORD
Значение: 0x1

Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VGPU
Название класса: <Класс отсутствует>
Последнее время записи: 21.11.2010 - 15:39
Параметр 0
Название: DisplayName
Тип: REG_SZ
Значение:

Параметр 1
Название: ErrorControl
Тип: REG_DWORD
Значение: 0x1

Параметр 2
Название: ImagePath
Тип: REG_EXPAND_SZ
Значение: System32\drivers\rdvgkmd.sys

Параметр 3
Название: Start
Тип: REG_DWORD
Значение: 0x3

Параметр 4
Название: Type
Тип: REG_DWORD
Значение: 0x1

Т.е. сами файлы присутствуют, но лежат не там. При попытке

C:\Users\vic>sfc /SCANFILE=c:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral
_38033e4d5530b5af\c:\Windows\System32\DriverStore\FileRepository\rdvgwddm.inf_amd64_neutral_38033e4d
5530b5af\rdvgkmd.sys

Пишет Защита ресурсов Windows не может выполнить запрошенную операцию.
В свойствах файлов, в безопасности доступ для системы полный.