Процесс c windows system32 shutdown exe инициировал действие перезапустить

Всех приветствую на страницах блога, сегодня рассмотрим ситуацию, что у вас без вашего ведома перезагрузился компьютер. Перезагрузился не как в Windows 10 с постоянной перезагрузкой, в виде алерта в просмотре событий, а якобы плановая команда от имени системы с кодом 0x80020002. Рассмотрим почему и как это исправить и как этого избежать в будущем, так как не хорошо если это случится с сервером.

Вообще если бы это был обычный офисный компьютер или еще какой я бы не придал этому значения, но тут был мой рабочий админский комп и плюс компьютер одного безопасника. Первым делом как и нормальный человек я стал смотреть, события, как смотреть логи Windows я подробно рассказывал. Первое что я искал это сообщение с кодом

Процесс C:\Windows\system32\svchost.exe (ADM999) инициировал действие «Перезапустить» для компьютера ADM999 от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Операционная система: восстановление (запланированное)
Код причины: 0x80020002
Тип выключения: Перезапустить
Комментарий:

Как видно из лога, было штатное завершение системы с кодом 0x80020002, и инициировала его система. Следующим шагом я подумал, что наверно это из за обновлений, идем далее в журнал Установка и начинаем смотреть. В моем случае было сообщений 10 с кодом 4, в которых писалось о том, что Чтобы изменить состояние пакета KB3146723 на Установлено, необходимо выполнить перезагрузку. Как видите была, установка.

Я точно знал, что ранее на моем компе стояла политика,что все обновления Windows ставлю в ручную. Начинаем смотреть групповую политику. Пробегитесь по структуре OU в GP проверьте все политики. Еще на компьютере можно открыть командную строку от имени администратора и воспользваться командой, которая покажет вам все политики примененные к нему.

Начнется создание отчета

В итоге у меня будет создан на диске C файл с названием gp.html и его с легкостью можно открыть в браузере и посмотреть его содержимое.

если у вас нет Active Directory, то зайдите в пуск > Панель управления > Центр обновления Windows, это для всех ос, кроме Windows 10, в ней немного в другом месте устанавливаются обновления.

Далее нажимаете настройка параметров.

И выберите параметр Искать обновления, но решение и установка принимается мной.

Как происходит в windows 10 получение обновлений, читайте по ссылке слева. Я думаю вы теперь знаете откуда и по какой причине появляется 0x80020002 и нештатная перезагрузка компьютера.

Самопроизвольное выключение компьютера.

Автор PitBuLL,
30 декабря, 2020 в Компьютерная помощь

Рекомендуемые сообщения

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

1600 об/мин ± 10%. (обычно у таких кулеров скорость вращения вентилятора от 600 об/мин).

При включении ПК на экране — CPU Fan Error, и предлагается нажать F1.
При нажатии F1 oткрывается BIOS.
В BIOS вижу, что (по умолчанию) для вентилятора процесса стоит минимальное значение 600 RPM. Но здесь же вижу, показание (красным выделено) скорости вращения вентилятора и на данный момент они: 585-590 RPM.
Получается, при включении ПК процессор холодный, вентилятор кулера сначала вращается со скоростью ниже 600 об/мин, и из-за этого ошибка CPU Fan Error, т.к. в BIOS выставлено минимальное значение 600 RPM.?
И почему именно в BIOS минимальное значение по умолчанию стоит 600 RPM что для кулера процессора, что для корпусных больших (230 x 230) вентиляторов?
Хотя вроде при включении ПК вентилятор процессора должен сначала на полную мощность включиться на несколько секунд, а затем снизить обороты, или это не так?

Например, большие корпусные три вентилятора, при включении ПК на несколько секунд начинают вращаться на полную мощность (это заметно и слышно), затем стихают и вращаются со скоростью примерно 375 RPM, 485 RPM, 495 RPM. Но в BIOS, для них, так же по умолчанию выставлено минимальное значение 600 RPM.

Выставил (выбрал из доступных) в BIOS минимальное значение 500 RPM вместо 600 RPM. Выключил ПК, включил через 15 минут — ошибки CPU Fan Error не было.

Как в консоли (CMD) узнать, было ли инициировано завершение работы системы?

Здравствуйте!
С помощью программы shutdown.exe можно инициировать перезагрузку/выключение компьютера.
Вопрос в том: как узнать, на когда запланировано выключение/перезагрузка, и что запланировано, перезагрузка/выключение?

Например, я вызвал shutdown.exe с такими ключами -r -f -t 6000, как теперь в консоли узнать, когда произойдет перезагрузка? И перезагрузка ли это будет, а вдруг выключение?

Для чего? Хочу проверку в забиксе сделать.

• Вопрос задан более трёх лет назад
• 1738 просмотров

Простого API для получения такой информации не существует.

— Можно узнать, что в системе запущен отложенный shutdown/restart:
EventLog ID 1074 (STATUS_SHUTDOWN_CLEAN) — событие о плановом рестарте (включая отложенные)
EventLog ID 1074 (WARNING_ISSE_SHUTDOWN_CANCELLED) — событие об отмене рестарта (включая отложенные)

Откладывание рестарта через shutdown /t время вызывает процесс wlmdr.exe, который рисует бабл про «Ваш сеанс работы будет прекращен. Работа Windows будет завершена через 111 мин«.

Наличие свежего EventLog по ID 1074 и наличие wlmdr.exe в процессах может указывать на запланированный shutdown/restart. На этих двух условиях можно построить триггер.

— Можно узнать, что именно будет запущено:
EventLog ID 1074 содержит строчку «Тип выключения» (Shutdown Type), в которой будет «Перезапустить» или «Выключение питания» (на англ.: reboot или shutdown).

— Низкоуровневый способ узнать и состояние и время:
Можно проверять состояние «ShutdownInProgress» и «ShutdownTime» отладчиком, подключившись к winlogon.exe.

Конечно это значительно более тяжёлый путь, который не очень подходит для массового выполнения заббиксом на рабочих станциях сотрудников.

Win 7 перезагружается

переиодически
выскакивает окно что компьютер будет перезагружен через 1 минуту, в журнале такая запись

has initiated the restart of for the following reason: No title for this reason could be found.
Minor Reason:
Shutdown Type:
English: This information is only available to subscribers. An example of English, please!
Comments:
EventID.Net
As a general statement, this event records a system shutdown or restart in order for the administrators of that system to have a better understanding on how often and for what reasons the computer is shutdown or restarted. The event contains details about the process (the program) that performed this task, the computer that was affected and when applicable, the reason for the restart or shutdown. Also, the type of operation is recorded: restart when a user or an application initiates a system restart, shutdown when the system is sent a shutdown request or power off when the power button is pressed (and that initiates a shutdown).

The process listed in the event provides an important clue as to who or what initiated the shutdown or the restart. Processes related the user’s environment such as Exlorer.exe or Winlogon indicate that the shutdown was initiated by a user while other type of processes such as svchost.exe.

The comment shown in the event description is something that can be specified by the process that initiates the shutdown. For example, if an application is installed and the installer script requires a restart one may see a comment like «The Windows Installer initiated a system restart to complete or continue the configuration of «. Users of shutdown.exe command can also specify a text to be recorded as comment.
Click if the comment is good! x 11

Anonymous
— Proccess: Lsass.exe — In my case, M818080 helped me solve the problem.
Click if the comment is good!

EventID.Net
— Process: Lsass.exe — See M897648, M911185 and M915335 for three hotfixes applicable to Microsoft Windows Server 2003.
Click if the comment is good! x 1

EventID.Net
— Reason: 0x2 — I received this event after the automatic installation of KB900485 through Windows Update Agent. Therefore, this can be translated to: updates that require reboot were installed.
Click if the comment is good! x 4

Anonymous
I am using Microsoft SUS (Software Update Services) to push Windows updates and this message is generated when a machine is automatically rebooted, once an update that requires a reboot is installed.
Click if the comment is good! x 1

Why bother deciphering Event logs when GFI EventsManager can do everything for you? Free trial here!

Anne Jan Elsinga
This also happens when you manually kill the process «Remote Procedure Calls» also know as svchost.
Click if the comment is good! x 2

EventID.Net
— Process: Explorer.exe — As per Microsoft: «Shutdown Event Tracker is a Microsoft Windows Server 2003 and Microsoft Windows XP feature that you can use to consistently track the reason for system shutdowns. You can then use this information to analyze shutdowns and to develop a more comprehensive understanding of your system environment. Shutdown Event Tracker logs events that are similar to this one in the system event log». See M293814 and MSW2KDB for more details.
Click if the comment is good!

Brendan Stephens
This error may be contributed to security issue identified, or virus known as W32.Blaster.Worm. The Virus brodcasts from the local machine, and may cause a buffer overrun in RPC, allowing code execution, or RCP may terminate unexpectedly.

See the link to the Symantec Virus information and removal tool, MS03-026 and RPC DCOM WORM (MSBLASTER).
Click if the comment is good! x 6

Команда Shutdown: выключение и перезагрузка Windows из командной строки

Утилита командной строки shutdown является встроенной командой Windows, которая позволяет перезагрузить, выключить компьютер, перевести его в спящий режим или завершить сеанс пользователя. В этой инструкции мы покажем основные примеры использования команды shutdown в Windows (все рассмотренные команды запускаются в окне Выполнить — Win+R ->, в командной строке cmd.exe или в консоли PowerShell).

Команда shutdown имеет следующий синтаксис:

shutdown [/i | /l | /s | /sg | /r | /g | /a | /p | /h | /e | /o] [/hybrid] [/soft] [/fw] [/f] [/m \\компьютер][/t xxx][/d [p|u]xx:yy [/c «комментарий»]]

Как вы видите, у команды довольно много опций, а также есть возможность выполнять операции выключения/перезагрузки на удаленном компьютере.

Выключение Windows командой Shutdown

Для выключения ОС Windows и компьютера необходимо использовать команду shutdown с ключом /s.

Перезагрузка Windows

Чтобы перезагрузить компьютер, необходимо добавить параметр /r. После выполнения этой команды Windows корректно перезагрузится.

Завершение сеанса пользователя

Чтобы завершить текущую сессию пользователя (logout), нужно выполнить команду:

Эта команда аналогично выполнению команды logoff.

Перевод компьютера в режим гибернации

Для перевода компьютер в режим гибернации (в этом режиме все содержимое памяти записывается в файл hyberfil.sys на диск и компьютер переходит в спящий режим с пониженным электропотреблением), выполните команду:

Перезагрузка компьютера с сообщением пользователям

Вы можете предупредить всех пользователей Windows о предстоящем выключении / перезагрузки компьютера или сервера, отправив сообщение во все активные сессии (как правило эта возможность используется на терминальных RDS серверах, за которыми одновременно работают несколько пользователей, каждый в своей собственной RDP сессии).

shutdown /r /c “Этот сервер будет перезагружен через 60 секунд.”

Отложенное выключение / перезагрузка компьютера

Можно выключить или перезагрузить компьютер с определенной задержкой (по таймеру). С помощью опции /t можно указать интервал времени (в секундах), через который ПК/сервер будет перезагружен или выключен. Тем самым вы можете предоставить пользователям дополнительное время для того, чтобы успеть сохранить открытые файлы и корректно закрыть приложения. Эту опцию удобно использовать совместно с отправкой сообщения. В этом примере мы указываем, что Windows будет выключена через 10 минут (600 секунд) и информируем пользователей сообщением.

shutdown /s /t 600 /c «Сервер будет выключен через 10 минут. Сохраните свои документы!»

Пользователю будет выдано предупреждение о запланированном выключении: Ваш сеанс будет завершен.

Если задержка очень длительная, например, 100 минут (6000 секунд), то вместо предупреждающего окна появляется всплывающее сообщение в нижнем правом углу экрана: «Ваш сеанс будет завершен. Работа Windows будет завершена через 100 мин».

Отмена выключения / перезагрузки компьютера

После запуска команды выключения или перезагрузки Windows, по умолчанию утилита shutdown ожидает 60 секунд, не выполняя никаких действия. Администратора может отменить перезагрузку или выключение устройства, если в течении этого времени успеет выполнить команду:

После отмены выключения появится всплывающее сообщение в нижнем правом углу экрана: «Выход из системы отменен. Запланировано завершение работы отменено».

Перезагрузить компьютер немедленно

Чтобы выключить или перезагрузить компьютер немедленно, не ожидая стандартные 60 секунд, нужно указать значение 0 для параметра /t. Например, для немедленной перезагрузки компьютера:

Очень важный ключ /f. Я использую его практически всегда при выключении или перезагрузки серверов Windows. Данный атрибут обеспечивает принудительное завершение всех запущенных программ и процессов, не ожидая подтверждения от пользователя (не будем же мы ждать подтверждения закрытия программ от всех пользователей на терминальном сервере, его можно просто не дождаться).

Следующая команда выполнит перезагрузку компьютера с автоматическим запуском всех зарегистрированных приложений после перезагрузки (имеются в виду приложения, зарегистрированные в системе с использованием функции API RegisterApplicationRestart).

Запуск команды shutdown на удаленных компьютерах

Вы можете перезагрузить удаленный компьютер по сети, для этого у вас должен быть к нему сетевой доступ, а учетная запись, из-под которой запускается команда shutdown должна входить в группу локальных администраторов на удаленном компьютере (сервере):

shutdown /r /t 120 /m \\192.168.1.100

Если все указанные условия выполняются, но при выполнении команды shutdown появляется ошибка ”Отказано в доступе (5)”, на удаленном компьютере нужно разрешить удаленный доступ к административным ресурсам (C$, ADMIN$), изменив значение параметра LocalAccountTokenFilterPolicy на 1.

reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System» /v «LocalAccountTokenFilterPolicy» /t REG_DWORD /d 1 /f

Если вам необходимо удаленно перезагрузить множество компьютеров, их список можно сохранить в текстовый файл и запустить удаленную перезагрузку всех компьютеров с помощью такого PowerShell скрипта:

$sh_msg = «Ваш компьютер будет автоматически перезагружен через 10 минут. Сохраните свои файлы и закройте запущенные программы»
$sh_delay = 600 # секунд
$computers = gc C:\PS\PC-list.txt
foreach ($comp in $computers)
<
& ‘C:\Windows\System32\SHUTDOWN.exe’ «-m \\$comp -r -c $sh_msg -t $sh_delay»
>

Графический интерфейс команды shutdown

Для тех, кому не комфортно работать в командной строке, есть графический интерфейс для команды shutdown, чтобы его вызвать, наберите:

Как вы видите, в диалоге удаленного завершения работы вы можете добавить несколько компьютеров, которые нужно перезагрузить/выключить, указать текст уведомления и задать причину выключения для сохранения в журнале Windows.

Ярлык для перезагрузки компьютера

Для удобства пользователей вы можете создать на рабочем столе ярлыки для выключения или перезагрузки компьютера с нужными настройками. Такой ярлык может быть полезен для выполнения перезагрузки из RDP сессии, когда отсутствуют кнопки перезагрузки/завершения работы компьютера в меню Пуск.

Если вы хотите, чтобы ваш компьютер или сервер всегда выключался / перезагружался в определенное время, вы можете добавить команду shutdown с определенными параметрами в планировщик заданий Windows taskschd.msc.

Например, следующее задание планировщика будет ежедневно перезагружать компьютер ночью в 0:00.