При запуске Win2k сообщение «Неожиданно завершен системный процесс SERVICES.EXE»

[smaxus]

Здравствуйте.

1. При загрузке WIN2K SP3 появляется:
Система завершает работу... через 60 сек. отключение системы вызвано NT_AUTHORITY\SYSTEM Неожиданно завершен процесс SERVICES.EXE с кодом состояния 128.
2. Машина в домене. Стоял KAV6 базы на момент сбоя свежие.
3. При попытке загрузки в SAFE MODE ведет себя аналогично.
4. Shutdown –a ввести не удается, до этого просто не доходит, при обычной загрузке нет возможности даже ввести логин и пароль. В safe mode с поддержкой командной строки при «логоне» локальным админом (успеваю ввести учетные данные), но 60 сек не хватает – уходит в ребут.
5. Винт на чистой машине KAV6 свежие базы и CURE_IT ничего не показали.
6. Было подозрение на lovesan и sasser – утилиты kaspersky и НОД скачанные с сайтов производителей программ не показали наличие вируса при снятом винте и анализе на чистой машине.
7. Прописал shutdown –a в autorun реестра HKLM _ software _ Microsoft _ Windows _ Current Version _ Run Даже в win.ini как run параметр в разделе windows Результат остается неизменым.
8. Еще делал согласно рекомендациям kb 318447 http://support.microsoft.com/kb/318447
«При запуске Windows 2000 появляется сообщение об ошибке «Неожиданно завершен системный процесс SERVICES.EXE с кодом состояния 128» Такое поведение наблюдается, когда указанный ниже раздел реестра содержит недействительные ссылки на общие папки. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Lanmanserver\Shares Кроме того, эта проблема возникает, если в следующем разделе сохранился параметр безопасности для общего ресурса, который больше не существует. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\Shares\Security

Эти разделы реестра пустые.

ВОПРОС:
А. Как остановить цикличную перезагрузку системы?
Б. В чем причина такого поведения?
Заранее спасибо.

[pig]

shutdown.exe по умолчанию отсутствует в составе Win2K. Возьмите его из Resource Kit или WinXP и положите в system32, тогда должно сработать.

Это однозначно не Lovesan и не Sasser, они другие службы валят, причём не при запуске системы, а атакуя извне.

[Pili]

Попробуйте в свойствах службы "Удаленный вызов процедур (RPC)" во вкладке "Восстановление" поставить перезапуск службы при первом, втором и последующих сбоях и там же посмотрите, есть кн. "Параметры перезагрузки компьютера", можете увеличить время до перезагрузки.
WIN2K SP3 это что-то, надо ставить SP4 и все остальные обновления.

[smaxus]

Попробуйте в свойствах службы "Удаленный вызов процедур (RPC)" во вкладке "Восстановление"...

обязательно попробую, как только смогу войти в систему
"...
4. Shutdown –a ввести не удается, до этого просто не доходит, при обычной загрузке нет возможности даже ввести логин и пароль. В safe mode с поддержкой командной строки при «логоне» локальным админом (успеваю ввести учетные данные), но 60 сек не хватает – уходит в ребут.
...
"

Добавлено через 20 минут

shutdown.exe по умолчанию отсутствует в составе Win2K. Возьмите его из Resource Kit или WinXP и положите в system32, тогда должно сработать.

добавил shutdown.exe в system32. safe mode также уходит ребут при входе локальным админом при условии п.7 :
"...
7. Прописал shutdown –a в AUTORUN реестра HKLM _ software _ Microsoft _ Windows _ Current Version _ Run Даже в win.ini как run параметр в разделе windows Результат остается неизменным.
..."

Как остановить перезагрузку и залогонится в системе?
Какие есть варианты добится этого?

[Virtual]

попробуй отключить все службы и драйверы КАВ, в реестре. после загрузится.
А. доступ к реестру извне (тоесть загрузка с СД или на другой машине)
Б. служба (драйвер) отключено, старт=4
и еще чуть не забыл, сетевой кабель должен быть отключен!

[Pili]

обязательно попробую, как только смогу войти в систему

Можно отредактировать реестр, загрузившись с CD
Для рестарта службы RPC параметр реестра FailureActions

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,49,00,4e,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00

В реестре своего компьютера можете поменять только последнюю строчку, например,

Код:

00,02,00,00,00,60,ea,00,00,02,00,00,00,60,ea,00,00,02,00,00,00,60,ea,00,00

меняется на

Код:

00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00

т.е. меняете 02 на 01
Для информации, Worm/Feebs.AG удалет из реестра служб значение FailureActions
Сохраните ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs прежде чем вносить изменения.