[Marat Abdulin]

Цитата Petya V4sechkin:

все нужны, да »

Bootlog. Интервал "загрузки" профиля с правами пользователя (цикл логон-автологофф) 08:25:00-08:25:25. Спасибо

[Petya V4sechkin]

Marat Abdulin, начинаем распутывать: в процессе Userinit.exe никаких подозрительных событий, но сразу вылетает с кодом 0xc0150002 - смотрим события в процессе Csrss.exe - видим:

Цитата:

csrss.exe 600 CreateFile C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.19061_none_2b2 99db671e86e03.manifest ACCESS DENIED Desired Access: Generic Read

На указанном файле правой кнопкой мыши -> Свойства -> вкладка Безопасность -> кнопка Дополнительно -> покажите скриншот.

[Marat Abdulin]

Petya V4sechkin, указанный файл найти - глаза сломаешь поэтому "скрин" из консоли

Код:

C:\Windows\winsxs>icacls C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdi
plus_6595b64144ccf1df_1.1.7601.19061_none_2b299db671e86e03.manifest
C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdiplus_6595b64144ccf1df_1.1
.7601.19061_none_2b299db671e86e03.manifest NT AUTHORITY\система:(F)

                                           BUILTIN\Администраторы:(F)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

Собственно, да. Права недостаточные для обычных пользователей. Посмотрел соседние файлы, там права наследуются от родительской папки Manifests. Сделал сброс

Код:

C:\Windows\winsxs>icacls C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdi
plus_6595b64144ccf1df_1.1.7601.19061_none_2b299db671e86e03.manifest /reset
обработанный файл: C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdiplus_6
595b64144ccf1df_1.1.7601.19061_none_2b299db671e86e03.manifest
Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Windows\winsxs>icacls C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdi
plus_6595b64144ccf1df_1.1.7601.19061_none_2b299db671e86e03.manifest
C:\Windows\winsxs\Manifests\amd64_microsoft.windows.gdiplus_6595b64144ccf1df_1.1
.7601.19061_none_2b299db671e86e03.manifest NT SERVICE\TrustedInstaller:(I)(F)

                                           BUILTIN\Администраторы:(I)(RX)

                                           NT AUTHORITY\система:(I)(RX)

                                           BUILTIN\Пользователи:(I)(RX)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

Однако, это ничего не изменило.

Отфильтровал по ACCESS DENIED другие пойманные монитором файлы. Тоже сбросил им права доступа. После этого уже перестал происходить автоматический выход из системы, но стал отображаться пустой рабочий стол без explorer'a. Диспетчер задач также не запускался. Собрав новый бутлог монитором обнаружил ещё несколько файлов с ACCESS DENIED из winsxs и такими же обрезанными правами только для для Системы и Администраторов. Поступил радикально

Код:

psexec.exe -d -i -s cmd.exe
icacls c:\windows\winsxs\*.* /reset /t /q /c

Возможно, это повлечёт негативные последствия в будущем (хотелось бы услышать авторитетное мнение на этот счёт), но в данный момент загрузка всех профилей стала происходить нормально.

Спасибо за помощь!

[Petya V4sechkin]

Marat Abdulin, насколько я вижу, после reset нормальные разрешения.