Система загружается с временным профилем
 

Доброго времени суток, прошу Вашей помощи, потому как не знаю уже куда копать.
Суть проблемы есть 2 пк независимых организаций, оба бухгалтерские.
Стоял ESET, на обоих компах Win 7 Pro SP1, все лицензионное.

В один момент слетает у одного пк профиль, загружаетсяс временным, я бился весь день, все советы по переносу восстановлению - не помогают что есть в инете, да и не мой случай в принципе. Я тупо не могу создать новый профиль потому что любой "созданный" считается что его вообще не делали, система постоянно работает только со временным, службы не запускаются практически все системные, зависимости служб просмотреть нельзя - ошибка и все пусто.

Удалил есет, на обоих компах континент ап 3,7 + крипто про v4.

Установил бесплатный каспер - он нашел майнера, полечил удалил все. хз как есет пропустил его... видимо опять становится шлаком.
Но системе это ен помогло, я удалил континент ап, - все тщетно, даже в безопасном режиме система заходит с временным пользователем, и орет
не удалось запустить службу уведомлений windows, хотя помимо этой службы валом других что не работают.

сделал логи gmer, hijackthis, sfc/scannow - ничего толкового нет в них, прилагаю их тоже. Оба компа сходят с ума одинакого, может опять какая то дрянь никому не известная гуляет в сети? бухгалтеры истерят, я ниче не могу сделать, один восстановил путем обновления поверх старой винды - новую, все работало 2 дня и опять умерло таким же делом, уже не знаю куда копать.

jenxp, последовательно:

1. номер раз - болезни подвержены ПК с 7кой любой битности и, судя по всему, лицензионности и автообновления от MS (это в копилку "автообновление гарантирует")
2. номер два - для заболевания ПК достаточно войти в инет - со второй\третьей\N-й перезагрузки он "служба... препятствует входу в... будет... с временным". Наблюдал лично на ПК в сервис центре, где меня встретили фразой "о, как раз ты нам и нужен! Что за хрень, несут и несут и у всех одно и то же, инет ничего не знает, кроме рекомендаций лохматых лет" и практически на обсуждении - "ну вот, это мы только что винду переставили, третья перезагрузка - и вот" указывают на компа, что при мне как раз нарисовал вышеозвученное сообщение.
3. номер три - иногда ПК отпускает "выключением и обесточиванием на минут 5" - ЕМНИП рекомендация с тех.поддержки HP
4. номер четыре - номер три может сработать пару раз и перестать помогать
5. номер пять - сие уже как месяца c три стало обыденностью
6. номер шесть - симптомы:
   • аппаратка разная,
   • программная среда разная - от сборок до лицензии,
   • вредоносов не найдено - повторюсь, происходит и на свежеперебитой ОС
   • утилиты ничего не находят, чекдиски и пр. подтверждают идеальность состояния
7. номер семь - лечить можно восстановлением, но вероятность повтора очень велика. Лечил перебивкой на ОС по-свежее

ЗЫ: это то, что мне известно. С одним компом проковырялся пару часов в попытке разобраться - результат нулевой.
ЗЗЫ: жалоб пока с ПК, на которых стоит мной ставленная 7ка, не получал - либо сами решают либо есть моменты, увеличивающие вероятность сбоя. Подозреваю опять косяк MS и автообновление как причину его появления, но это не точно.

Месяца три назад такое начало происходить из-за обновления microsoft security essentials, но не у всех \

Ошибка с каким кодом?

Сделайте лог Process Monitor следующим образом:

1. запустите Process Monitor;
2. попытайтесь открыть зависимости служб, чтобы получилась ошибка;
3. сохраните лог: меню File -> Save -> PML-формат;
4. заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

Приведите результаты выполнения в командной строке (cmd.exe) от имени Администратора
Дополнительно выложите содержимое (в Regedit -> меню Файл -> Экспорт) разделов реестра:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs

И приведите ошибки из журналов событий -> Журналы Windows -> в разделах Приложение и Система (на ошибках правой кнопкой мыши -> Копировать -> Копировать сведения как текст).

Petya V4sechkin,

при принудительной попытке запустить службы - "ошибка 1053 служба не ответила на запрос своевременно"
если зайти в зависимости служб выскакивает popup окошко в котором написано Win32: служба не ответила на запрос своевременно

спасибо за отклик, как доберусь - сделаю все это обязательно, а сейчас то что мне помогло - сделал откат системы на сутки до этого сбоя, установил каспера, нашел опять файл очень странный, такого в системе не видел никогда (зовется msrareportdatacache32.tlb и сидит в system32), кинул на virustotal, опасения оправдались - некоторые антивири орут майнер, некоторые - производные от "wannacry".

Данный метод пробовал несколько дней назад на другом пк (с откатом системы), проработал 2 суток и опять все упало в такую же ерунду, но там обновок безопасности KB4012212 не было.

НО! Все начинается, как я заметил, после установки "континент ап", есть подозрения что их дистрибутив внутри с вирусом (либо сервер казны с которой они работают используя это ПО - заражен и по впнке сливает на комп вирь), ибо антивири не пускают его ставить, приходил спец с казны и, отключив антивирус, поставил это ПО.
Так же интересен факт что после того как система падает, - от антивируса не остается и следа. Но логи вы видели, там нет намека на то что что-то где то есть, хотя ситуация говорит об обратном.

Короче пока сделал откат системы и накатил обновы от уязвимости в smb по которой влезает эта сволочь.

Вообщем, пардон за "много букв", ситуация интересная, отпишусь позже о результатах.

Доброго дня . Есть мысль - а разве нельзя отписать в казначейство что их дистриб заражен? Разработчикам тама.
Чтоб чистый выложили дистрибутив.

Я все же больше склоняюсь к зараженному серверу казны, нежели дистрибутиву... После выходных проверю, спасибо всем за участие, поглядим чего стоит моя теория :)

Друг там пашет, территориальное расположение -поселок. Если проблемы с ПО Казначейства - пишет им(вышестоящим) емейл, или звонит - что так и так-глюк у вас.. Они разбираются.

Говоришь представителю казночейства, он же должон отреагировать. А не тупо антивирь вырубать-)...

всех приветствую, как я и подозревал, происходило тупо заражение системы, и часть системных файлов пошла в шифровку.
Итого: откат системы + обновление от майкрософт MS17-010 + каспер = решили проблему.

Заражение происходило при подключении по впн к серверу казначейства, позорники блин.

jenxp, благодарен за дальнейшую инфу.
Интересный вопрос у Вас был. И интересно решение было изучить.
Безглючной работы оборудованию.