Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Выключение компа при загрузке ОС Windows Server 2012 R2 Standard (ошибка 0x800000ff)

Ответить
Настройки темы
2012 R2 - Выключение компа при загрузке ОС Windows Server 2012 R2 Standard (ошибка 0x800000ff)

Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте!

Сразу же после авторизации (ввода логина и пароля) ОС Windows Server 2012 R2 Standart завершает работу и компьютер выключается.

Краткая предыстория.
Стоит ОС Windows Server 2012 R2 Standart.

18.01.2017 в 6:40 согласно журналу событий:
"Процесс C:\Windows\system32\shutdown.exe (WIN-TN71ARLH39G) инициировал действие "Завершить работу" для компьютера WIN-TN71ARLH39G от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Причина не перечислена
Код причины: 0x800000ff
Тип выключения: Завершить работу
Комментарий: ".
Изображение из журнала событий http://rgho.st/6kChhn6Fk

В обед 18.01.2017 обнаружил, что сервер выключен.
Включил и после авторизации (ввода логина и пароля) всплыла ошибка 0xc0000142:
"Компьютер был перезагружен после критической ошибки. Код ошибки 0xc0000142 ...".
Изображение из журнала событий http://rgho.st/7ySnBbJpB
Изображения в программе BlueScreenView http://rgho.st/6YGM94xSj и http://rgho.st/87nVDm9CK
Дам памяти размещен http://rgho.st/7fZCRFgLN

Во время загрузки нажал F8 и выбрал вариант "Последняя удачная конфигурация (дополнительно)".
После этого при загрузке ОС не принимала логин и пароль.
Осуществил сброс пароля способом, указанным здесь https://www.dmosk.ru/miniinstruktion...-reset-windows.
После этого при авторизации стал принимать логи и пароль, но как только появляется рабочий стол ОС завершает работы и комп выключается.
И так все время. Ошибка 0xc0000142 больше не появлялась.
ОС завершает работу только после ввода логина и пароля, само окно, в котором ОС просит вести логин и пароль может работать постоянно.

В журнале событий все время после ввода логина и пароля все время указывается причина 0x800000ff.
Журнал событий раздела "Система" http://rgho.st/8qKndztJR

Выполнил команду sfc /scannow
Команда показывает, что есть нарушения целостности системных файлов.
Изображение в командной строке http://rgho.st/7kpz5M6sm
Файл CBS.log размещен http://rgho.st/8txpwHpKt
До 18.01.2017 также запускал эту команду и так же она показывала нарушения целостности системных файлов, но проблемы с выключением не было.
Пытался два дня восстановить системные файлы, но безуспешно.

К примеру, запускал различные команды (в том числе и DISM /Online /Cleanup-Image /RestoreHealth) при выборе "Устранение неполадок компьютера" при загрузке и нажатии клавиши F8, при загрузке с установочного диска, а также в безопасном режиме.

Логи RSIT http://rgho.st/6pW5vYppx

В итоге, не могу зайти в обычной загрузке в ОС.

При этом в "чистой загрузке" проблема остается (https://support.microsoft.com/ru-ru/...ot-in-windows), а в безопасном режиме ОС работает.

Вирусы исключены, поскольку проверял комп с помощью Dr.Web LiveDisk и Kaspersky Rescue Disk.

Прошу помочь, это сбой системы или последствия обновления ОС? Как исправить ситуация помимо полной переустановки ОС?

Отправлено: 02:35, 20-01-2018

 


Moderator


Сообщения: 53146
Благодарности: 15423

Профиль | Отправить PM | Цитировать


maxkrav, похоже на следы жизнедеятельности вируса:
Цитата:
C:\Windows\tasks\Startup.job - wscript C:\Windows\SoftwareDistribution\DataStore.edb:Zone.Identifier.vbs
C:\Windows\system32\tasks\Maintenance - shutdown.exe /s /f /t 0

O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\Windows\SysWOW64\fsproflt.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MinerGateGui"=C:\Program Files\MinerGate\minergate.exe --auto []
  • Команда shutdown.exe /s /f /t 0 в Планировщике заданий - выключение.
  • Zone.Identifier.vbs - прицепленный к файлу DataStore.edb альтернативный поток NTFS.
  • FSPro Filter Service (fsproflt) - служба для скрытия папок (антивирус её не ловит, потому что она взята из Hide Folders или My Lockbox, но эти программы у вас не установлены).
  • MinerGate - майнинг криптовалют.

Отправлено: 09:36, 20-01-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Почистил реестр по ключевым словам ("fspro", "hide folders", "minergate", "maintenance").

Удалил файлы C:\Windows\system32\tasks\Maintenance http://rgho.st/8VsGFz5Kj

Удаленные файлы здесь http://rgho.st/6zCXPrYyx

Также удалил файлы C:\Windows\tasks\Startup.job и C:\Windows\SoftwareDistribution\DataStore.edb

Удалил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018)

Удаленные файлы здесь http://rgho.st/7pkcSLbcJ

Правда, не все удалились. Файл fsproflt.exe удалился, а файл TsWpfWrp.exe не удаляется.

После перезагрузил систему в обычном режиме, также сразу выключается.

Загрузился в безопасном режиме и попробовал открыть планировщик заданий, но не смог http://rgho.st/872m4X8wV и http://rgho.st/8rbslNmx7

Выдает ошибку, что планировщик заданий невозможно запустить в безопасном режиме - ошибка 1084.

Новые логи RSIT http://rgho.st/7YlSV9dFW

Отправлено: 15:03, 20-01-2018 | #3



Moderator


Сообщения: 53146
Благодарности: 15423

Профиль | Отправить PM | Цитировать


Цитата maxkrav:
Удалил файлы C:\Windows\system32\tasks\Maintenance
Но запись о нём осталась в кэше заданий в реестре. Сначала выясните идентификатор Id этого задания в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

Важно! Не перепутайте задание Maintenance (созданное вирусом) с категорией Maintenance, в которой множество системных записей (их не трогайте).

Затем этот Id поищите и удалите во всех подразделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache
(в частности, в соответствующем подразделе \Tasks в параметре Actions в бинарном виде можете заметить команду shutdown).

Другой вариант: отключить службу "Планировщик заданий", загрузиться в обычном режиме, включить службу, запустить оснастку Планировщика (taskschd.msc) и удалить проблемное задание там. Хотя есть вероятность, что из-за несогласованности кэша заданий с файлами оснастка не запустится, в этом случае надо будет выковыривать из реестра вручную (по первому варианту).

Цитата maxkrav:
Удалил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018)

Правда, не все удалились. Файл fsproflt.exe удалился, а файл TsWpfWrp.exe не удаляется.
Тут вы переусердствовали, кроме fsproflt.exe я ничего не советовал удалять из этой папки, там же системные файлы.

Последний раз редактировалось Petya V4sechkin, 21-01-2018 в 11:30.


Отправлено: 01:22, 21-01-2018 | #4


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Удалил папки "Maintenance" в пользователях, папку "Tasks" из C:\Windows и папку "TaskScheduler" из C:\Windows\System32\Tasks\Microsoft\Windows http://rgho.st/8zLxbslSq

Восстановил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018) за исключением fsproflt.exe.

Раздел Schedule из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion удалил. Сделал это до вашего сообщения. Восстановить уже не получиться.

Насчет не перепутать задание Maintenance (созданное вирусом) с категорией Maintenance. Возможно, где-то также перестарался при чистке в реестре.

Но после проделанных действий система стала нормально загружаться без выключения при вводе логина и пароля.

В настоящий момент в службе "Планировщик заданий" как в безопасном режиме, так и в обычной загрузке неактивны какие-либо кнопки. Фото при обычной загрузке http://rgho.st/7sK89CZ5X

Вызывает подозрение, что в службе "Просмотр событий" в событии, связанном с перезагрузкой в качестве "Источника" указывается параметр "User32", а не "Администратор" http://rgho.st/6S7hRZlpk и http://rgho.st/6phkLZfhN. Ведь User32 один из немногих локальных пользователей, а захожу на сервер под пользователем Администратор.

И вообще это уже третья проблема с FSPro Filter Service (fsproflt) и Hide Folders. Первый раз была в сентября 2017 года. Тогда вы мне помогли http://forum.oszone.net/thread-330042-3.html. После где-то в ноябре, тогда справился сам. Теперь в январе 2018 года.

В первых двух случаях обнаруживал этот вирус программа Dr.Web LiveDisk, а программа Kaspersky Rescue Disk не обнаруживала.

В третий раз и Dr.Web LiveDisk не обнаружил этот вирус, поэтому и думал, что проблема в самой системе.

На сервере стоит лицензионный антивирус Kaspersky Small Office Security 5.

Каждый раз попутно страдает ОС (какие-то файлы повреждаются, какие-то удаляю сам в виду переусердствования). Боюсь, что этот вирус опять как-то себя проявит.

Можете дать какие-то советы? Может сменить антивирус? Или где-то в ОС остаются следы этого вируса?

Отправлено: 12:54, 21-01-2018 | #5



Moderator


Сообщения: 53146
Благодарности: 15423

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: 7z Schedule_srv2012r2std.7z
(22.9 Kb, 2 просмотров)

Цитата maxkrav:
Удалил папки "Maintenance" в пользователях, папку "Tasks" из C:\Windows и папку "TaskScheduler" из C:\Windows\System32\Tasks\Microsoft\Windows
Зачем?
В папке TaskScheduler легитимные системные задачи - верните обратно.
Цитата maxkrav:
Раздел Schedule из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion удалил. Сделал это до вашего сообщения. Восстановить уже не получиться.
OMG, зачем? Там же более сотни системных задач!
Восстановите содержимое по умолчанию с помощью импорта REG-файла из прикреплённого архива.
Цитата maxkrav:
В настоящий момент в службе "Планировщик заданий" как в безопасном режиме, так и в обычной загрузке неактивны какие-либо кнопки.
Так и должно быть (отключить можно через реестр, но теперь в этом нет необходимости).
Сама оснастка taskschd.msc запускается?
Цитата maxkrav:
Вызывает подозрение, что в службе "Просмотр событий" в событии, связанном с перезагрузкой в качестве "Источника" указывается параметр "User32", а не "Администратор"
User32 - это не учётная запись, а источник события.
Цитата maxkrav:
Боюсь, что этот вирус опять как-то себя проявит.
Вероятно, это другой вирус, не связанный с первой проблемой, а служба fsproflt.exe осталась с прошлого раза (тогда был удалён драйвер FSPFltd.sys, но не служба).
Цитата maxkrav:
Можете дать какие-то советы?
Посмотрите, установлен ли патч MS17-010 (закрывающий уязвимости EternalBlue/EternalRomance).
И вообще убедитесь, что установлены последние обновления безопасности.

Отправлено: 16:06, 21-01-2018 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Выключение компа при загрузке ОС Windows Server 2012 R2 Standard (ошибка 0x800000ff)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2012 R2 - [решено] Проблема с работой ОС Windows Server 2012 R2 Standart maxkrav Windows Server 2012/2012 R2 28 27-09-2017 10:05
2012 R2 - [решено] Машины не подключатся к windows server 2012 r2 standard через сетевое окружение Styflerlexx Windows Server 2012/2012 R2 9 06-09-2017 16:43
2012 R2 - Windows Server 2012 r2 ошибка установки и удаления обновлений, компонентов. xcompnet Windows Server 2012/2012 R2 2 15-08-2016 07:53
2012 R2 - Ошибка службы WinRM в логах - Windows Server 2012 R2 x64 Standart tgrisha72 Windows Server 2012/2012 R2 2 07-09-2015 20:29
2008 R2 - Проблемы при миграции DC с windows server 2008 r2 на windows server 2012 r2 Grug Windows Server 2008/2008 R2 3 01-03-2015 00:19




 
Переход