При загрузке системы происходит завершение работы компьютера.
 

При включении компьютера происходит вход в систему, появляется Рабочий стол, начинает грузиться автозагрузка, и внезапно происходит Завершение сеанса, Завершение работы Windows и компьютер выключается.

Аппаратные проблемы компьютера полностью исключаются (проверялось многократно).

Вирусы на компьютере были - прогонял разными антивирусами (CureIt и AVP).

Ключи реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced в порядке.

Переустановка Windows противопоказана - на компьютере установлена куча каталогов автозапчастей, дисков от которых нет.

При загрузке в Безопасном режиме - BSOD 0x0000007B, причем ключ реестра HKLM\SYSTEM\ControlSet001\Control\SafeBoot в порядке.

При попытке установить систему "сверху" в режиме восстановления - тот же BSOD 0x0000007B.

Всю папку ProgramFiles пробовал назвать по-другому, результат тот же - следовательно, какая нибудь вредная программа, например Планировщик не мешает.

Автозагрузку отрубал полностью - не помогает.

Все манипуляции проводились с копией оригинального жесткого диска.

P.S. Я на этот компьютер уже смотреть не могу - тошнит. А сделать надо. Может подскажете, хотя бы в каком направлении еще покопать.

ControlSet001 текущий?

Выложи ветку SafeBoot, посмотрим (может, что лишнее).
[решено] не загружается safe mode

Под другой учетной записью пробовал?

Сами файлы Userinit.exe и Explorer.exe менял?

Еще две ветки реестра, где может быть альтернативный Shell:
[решено] Свой Shell для каждого пользователя

То есть, Explorer вроде бы запускается?

Каким способом, система ведь не грузится?
Если бы AutoRuns работал под ERD Commander... А может, работает?

Как узнать текущий ли он? Можно ли их менять?

SafeBoot прикрепил.

Под другой учеткой то же самое.

Файлы не менял, но сравнил побайтово с рабочей системой - одинаковые.

Upd: Explorer запускается, успевал даже нажать Win+R и набрать shutdown /a - не помогает.

Снес в реестре ключ Run.

Upd: SafeBoot вообще пробовал добавить с рабочей системы.

Параметр Current ветки HKLM\SYSTEM\Select

Нет смысла.

Никаких аномалий.

Попробуй AutoRuns запустить под ERD Commander.

AutoRuns работает, но показывает данные реестра самого ERD Commander. Это хорошо видно по путям, ведущим на диск в папку ERDC.

Debugger, по идее, ERD Commander должен цеплять реестр системы (при загрузке спрашивает).

Всего лишь?
В винде огромное количество способов автозагрузки.

Да, это так, но так как это LiveCD, свой реестр у него должен быть по-любому. Похоже, что запуске regedit и других программ он сам подпихивает им реестр целевой ОС, а AutoRuns цепляет реестр ERD напрямую.
Завтра буду рыть дальше.

Мы с Debugger вместе этот комп ковыряем, самое интересное, что крякнул он месяца два назад, на втором разделе обнаружился образ диска С годовой давности, и даже попытка восстановления раздела из этого образа приводит к тем же результатам. Видимо, что-то там поломано гораздо глубже, чем просто автозагрузка. Вопрос только - как это откопать?

Появился свет в конце туннеля - снесли в реестре Shell (Эксплорер) и все работает нормально. Есть ли альтернатива Эксплореру в плане Shell? Пока думаем про Runpad.

Пока играем в отключение служб.

И еще вопрос - что еще может не загружаться если отрубить шелл?

Отлично!
Теперь можно сделать логи и выложить в разделе форума Лечение систем от вредоносных программ

На бэкапе вирусов нет.
От радости забыли и про AVZ, и про AutoRuns и про все остальное :).
Ничего подозрительного в AVZ не нашел.
Продолжение и логи здесь

Мое подозрение падает на:
Пока ничего не удалять.

Пришлите файлы c:\windows\system32\msasm.dll и C:\WINDOWS\Fonts\ARIALUNI.exe на koshkin@rbcmail.ru
Учтите, что последний файл может быть не видно в Проводнике.
Либо сделайте скрипт в AVZ:
Файл quarantine.zip появится в папке с AVZ.
Его необходимо прислать на koshkin@rbcmail.ru
Потом напишу, надо ли что-либо удалять.

Котяра, ушло.
msasm.dll отсылал на virustotal.com - результат нулевой. ARIALUNI.EXE - просто упакованный в SFX шрифт.

Вот еще интересно - попробовал поставить в качестве замены Эксплорера оболочку BlackBox. Эксплорер она не использует вообще (в отличие от Aston например). Результат такой же - выключение :(

Проблема решена.

Помогло удаление c:\windows\system32\msasm.dll.

Я не вижу Вашего письма.
Вирус был это, видимо. И видимо, новый - в Интернете ничего нет. Именно поэтому я писал - "ничего не удалять", хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. Мне очень важен этот файл "msasm.dll" - хочу его изучить.

Письмо перешлю заново.
Ни CureIt, ни AVPTool, ни virustotal.com ничего не нашли.
Компьютер отдавать надо - автосервис уже вешается.
Именно из-за того, что он грузится в трей, не работает ни одна оболочка - ни Эксплорер, ни BlackBox.
Файл msasm.dll и все его записи в реестре вышлю позже. Образ диска я также оставил у себя.

Да, понятно. Я сперва и думал написать - удалите, но потом думаю, а вдруг это не вирус и ценные данные повредятся.

Я все же думаю что вирус. Думаю он пытается маскироваться под msacm.dll.

Вирус и записи из реестра переслал с двух своих разных ящиков. Должно уж прийти.

Я уже писал, что все манипуляции мы проделывали с копией раздела.

Наблюдаю в точности такую же ситуацию - система с кучей каталогов запчастей, с установленным msasm.dll. Но, пока диск с системой грузится в "родном" компьютере - все отлично работает. Стоит переставить диск в другой компьютер - после логина происходит завершение работы. Убрал msasm.dll - перестало завершаться.

Такое впечатление, что компания, продающая диски с каталогами, привязывает диск к аппаратуре. Хотя я звонил в их поддержку - уверяли, что диск к компьютеру не привязан, и должен работать с любым железом. Человек, с которым я говорил, про msasm.dll ничего не знает, но он явно занимается только поддержкой - о деталях может быть и не в курсе.

Самому интересно разобраться с этим msasm.dll - сейчас загнал копию системного раздела с того диска в виртуальную машину, в ней и мучаю, на msasm.dll вышел через отладчик, отслеживая, кто вызывает ExitWindowsEx. Можем объединить усилия. :)

У меня "Цитирование" почему-то не работает - отвечаю "быстрым ответом", с ручным цитированием.

При включении компьютера на мониторе окно "завершение сеанса" как можно включить компьютер?

При загрузке системы происходит завершение работы компъютера

Ирина.Васина@vk, какая у вас операционная система?