Проблема с работой ОС Windows Server 2012 R2 Standart
 

Проблема с работой ОС Windows Server 2012 R2 Standart.
К сожалению, более точно описать проблему не могу.

Краткая предыстория.
Стоит ОС Windows Server 2012 R2 Standart, которая используется для доступа других компов по интернету по удаленным рабочим столам для работы.
На ней был установлен лицензионный Kaspersky Small Office Security. Примерно месяц назад стал замечать на локальных компах прерывание сеансов удаленного доступа.
24.09.2017 решил проверить в чем проблема. Обнаружил, что Kaspersky Small Office Security удален.
Попытался установить - не получается. Всплывает "Ошибка 1310. Ошибка записи в файл".
Cкачал CureIT, запустил. Он нашел много вирусов, но полечил или удалил не все. Также запускал программы AVZ и KVRT. Данные проги запускаются только со съемного диска.
Программа AutoLogger.exe также не запускалась с жесткого диска. Смог запустить только со съемного.

По этой ссылке https://forum.kasperskyclub.ru/index...57127&p=841759 мне помогали, но в итоге сказали, что дело либо в настройках сервера, либо в последствиях удаления программы Kaspersky Small Office Security.

При этом не открываются некоторые программы, например, торрент, AVZ, KVRT.
Или не работают некоторые службы, например, gpedit.msc.

Сегодня выполнил команду sfc /scannow
Файл CBS.log размещен http://rgho.st/8kwqgdyBW

После запустил команду DISM /Online /Cleanup-Image /RestoreHealth
но она не была выполнена
Файл dism.log размещен http://rgho.st/7J9zYF4Gm

В итоге, не могу установить Kaspersky Small Office Security, а пользователи не могут подключаться к серверу по удаленным рабочим столам.

Прошу помочь, это вирусы, сбой системы или последствиях удаления программы Kaspersky Small Office Security?

Там на скриншоте указан путь к папке - на ней правой кнопкой мыши -> Свойства -> вкладка Безопасность -> кнопка Дополнительно -> покажите скриншот.

Скриншот по ссылке http://rgho.st/925G2fQn6

Это как? Пользователи на нем лазают в интернет?

Пользователи через интернет по RDP получают доступ к серверу для работы на нем.

maxkrav, можете сделать лог Process Monitor следующим образом:

1. запустите Process Monitor;
2. попытайтесь запустить установку Касперского и дождитесь ошибки;
3. сохраните лог: меню File -> Save -> PML-формат;
4. заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

Выполнил.

Лог-файл Process Monitor http://dropmefiles.com/SQl80

maxkrav, посмотрите, существуют ли разделы реестра:

• HKLM\System\CurrentControlSet\Services\klhk
• HKLM\System\CurrentControlSet\Services\klflt
• HKLM\System\CurrentControlSet\Services\KLIF

и соответствующие файлы klhk.sys, klflt.sys, KLIF.sys в папке C:\Windows\System32\Drivers.

Могли остаться "хвосты" от предыдущей установки, блокирующие новую.

Разделы реестра существуют http://rgho.st/8sgRQtksm

Файлов klhk.sys, klflt.sys, KLIF.sys в папке C:\Windows\System32\Drivers нет http://rgho.st/75vxS4CNx

Мне удалить разделы реестра и попытаться установить Касперский?

Попробуйте удалить и перезагрузиться.

Удалил, перезагрузился и попытался снова установить Касперский, но та же проблема.

Новый лог-файл Process Monitor http://dropmefiles.com/gt88p

Может проблема в каком-то сбое ОС, а невозможность установки антивируса следствие?
Не зря же выполнение команды sfc /scannow обнаружила поврежденные файлы, не может запуститься программа торрент http://rgho.st/8ZxgZr9Bb или служба gpedit.msc

maxkrav, во всех этих случаях ошибки "Отказано в доступе".
Но разрешения в норме. Значит, какой-то драйвер или процесс блокирует доступ.

Попробуйте рекомендации
Поиск и устранение проблем путём "чистой" загрузки

Попробовал, но в "чистой" загрузке те же проблемы.

Может в Windows Server 2012 R2 Standart есть что-то типа контрольных точек восстановления системы? Тогда можно было бы откатиться на пару месяцев назад.

Или стоит как-то восстановить некие поврежденные файлы, о которых говорит выполнение команды sfc /scannow?

maxkrav, попробуйте запустить gpedit.msc в безопасном режиме.

Запускал gpedit.msc в безопасном режиме - результат тот же http://rgho.st/6ZYJBQrHt и http://rgho.st/88D8Qn8VN
Интересно, что на вкладке "автозагрузка" Конфигурации системы ничего недоступно http://rgho.st/6T2GvdYdR

maxkrav, выложите логи RSIT.

Логи RSIT http://rgho.st/6FY8J6PkR

maxkrav, этого файла 91071387.sys тоже нет?

А эта команда что выдаст?
Система на активацию не жалуется?

Система лицензионная. На активацию не жалуется.

Результат выполнения команды whoami /groups http://rgho.st/6PZLkKX4G

В папке C:\Windows\System32\Drivers файла 91071387.sys нет http://rgho.st/7McyxGt2Z

Поиск также показывает, что файла 91071387.sys нет http://rgho.st/6NXGBK6gS

maxkrav, на всякий случай проверьте с диска Dr.Web LiveDisk.

Вчера проверял сервер с помощью Kaspersky Rescue Disk.

maxkrav, ну Касперским у вас же не полностью проверилось.

хорошо, щас проверю.

Вы были правы проверил с помощью программы Dr.Web LiveDisk.

Он нашел какую-то дрянь под названием FSPFltd.sys (Tool.HideFolders.1) http://rgho.st/6J6ylvrZb и http://rgho.st/8D55rx9nV

Интересно, что FSPFltd.sys работал в безопасном режиме.

После удаления заработал торрент, служба gpedit.msc и смог установить Касперский.

Спасибо большое.

Перечень того, чему можно работать в безопасном режиме работы Windows, задаётся в реестре (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, раздел Minimal — безопасный режим, раздел Network — плюс поддержка сети). Я там иногда временно разрешал запуск службы Windows Installer (msiserver), когда требовалось.