电脑0:33便自动重启

a82687932

loms126 发表于 2013-3-2 16:53
请参考suz_anne和我的回答，看能否通过修改时间重复出来重启的现象。有精力鼓捣的话，上HIPS，拦截很有效 ...

非常感谢鼎立相助.不过修改时间无重复出现重启现象.准备晚上到时候守着开着任务进程慢慢守候

a82687932

loms126 发表于 2013-3-2 16:53
请参考suz_anne和我的回答，看能否通过修改时间重复出来重启的现象。有精力鼓捣的话，上HIPS，拦截很有效 ...

昨晚首了一下还是在0:3分 电脑自动重启 附两张自动重启前拍下来的系统所有的进程 麻烦帮忙诊断一下

loms126

a82687932 发表于 2013-3-4 08:47
昨晚首了一下还是在0:3分 电脑自动重启 附两张自动重启前拍下来的系统所有的进程 麻烦帮忙诊断一下

很有帮助，谢谢！原来用的是笔记本，可以排除电压不稳了。
1.上次说的“修改时间”的方法，有断网吗？并且提前了几分钟吗？比如改到11：59。
2.昨天试验时有联网吗？      
3.检查“计划任务项”时（7楼的回复），请打开下面的子文件夹逐个检查，注意每一项“属性”中的“动作”含shutdown字样的。
我正在写COMODO的设置过程，希望有所帮助。

loms126

a82687932 发表于 2013-3-4 08:47
昨晚首了一下还是在0:3分 电脑自动重启 附两张自动重启前拍下来的系统所有的进程 麻烦帮忙诊断一下

请照如下配置过程，找出第15步在0：3调用LocalSecurityAuthority.Shutdown接口的进程。
拦截特权COM接口，LocalSecurityAuthority.Shutdown和LocalSecurityAuthority.Restart，实现拦截系统关机。

1.打开COMODO主界面，点击“任务”。

2.点击“高级任务” -> “打开高级设置”。

3.（这一步用来保存当前配置以便最后一步恢复，思路清晰的同学可以跳过至第6步，之后手动恢复。）点击“配置”，选择当前的活动配置，打开下方工具栏，选择“导出”，如弹出如图对话框，选择“是”，选择一个目录，保存当前程序配置。也可以直接右击活动配置进行导出。

4.点“导入”，选择刚刚保存的配置，在文本框中改个名字，“确定”。（disable拼写错了 ，惭愧）

5.右击刚导入的配置，点“活动”，激活配置。

6.展开到“安全设置”->“Defense+”->“HIPS”->"HIPS设置"，确认已启用HIPS.

7.切换到“HIPS规则”，右击“所有应用程序”，选择“配置”。

8.弹出的对话框中选“使用自定义规则”，点击COM接口后的“修改”。

9.选择“阻止的COM接口”，空白处右击，添加”COM组件“。

10.添加新项目 ， LocalSecurityAuthority.Shutdown  ，点右侧的加号，此时 shutdown接口出现在右侧列表框内，“确定”。

11.重复上一步，添加接口 LocalSecurityAuthority.Restart，之后点“确定”。

12.选中”所有应用程序“，利用右键菜单或工具栏中的上移命令，将其放在第一个，否前之前的允许规则可能导致无法拦截。点”确定“，关闭高级设置。

13.点”常规任务“，”查看日志“。

14.打开下拉列表，选”Defense+“事件。

15.等待关机时间发生，刷新视图。如图，事件A、B分别是对调用开始菜单中的关机、重启的拦截，C是对cmd中调用shutdown的拦截，D是对拦截自己写的关机exe的拦截。通过进程名可以找出背地里关机的黑手。

16.最后请将配置还原，右击原来使用的配置，选择”活动“。否则无法正常关机。

a82687932

loms126 发表于 2013-3-4 11:14
很有帮助，谢谢！原来用的是笔记本，可以排除电压不稳了。
1.上次说的“修改时间”的方法，有断网吗？并 ...

修改时间的是在断网状态下.昨天晚上是在联网状态下任务计划没有shutdown命令的操作计划.在最近任务里面找到一条在31分的一个任务.不知道是什么

a82687932

loms126 发表于 2013-3-4 13:03
请照如下配置过程，找出第15步在0：3调用LocalSecurityAuthority.Shutdown接口的进程。
拦截特权COM接口 ...

不好意思补充一下.以前只是调整了系统时间.未调整日期.刚刚测试把日期也调整了在联网和未联网环境下系统均自动重启

loms126

a82687932 发表于 2013-3-4 13:19
修改时间的是在断网状态下.昨天晚上是在联网状态下任务计划没有shutdown命令的操作计划.在最近任务里面找 ...

ehrec是Media Center的录制计划，看截图已经被禁用了，应该与重启无关。Resolutionhost是为Diagnostic Service Host服务提供交互式分析，具体作用不祥。
现在可以排除网络以及外界的影响。倾向于认为与计划任务的某一项有关。排除方法：
1.禁用掉Resolutionhost计划任务和Diagnostic Service Host服务，按之前成功重现重启现象的步骤，修改时间，看是否是Diagnostic Service Host在捣鬼。
2.逐个右击运行怀疑的那几个计划任务，观察一段，看是否重启（相当于手动触发动作）。
3.用HIPS揪出导致重启的进程，如果是恶意软件的话，找工具杀掉，如果是系统的进程，再分析它的调用途径。

PS:如果楼主工作忙无心折腾的话，用COMODO屏蔽掉元凶对那个COM接口的访问即可，对毛豆也心生厌倦的话，也许重装能让你摆脱这些烦恼。祝早日解决问题！

a82687932

loms126 发表于 2013-3-4 14:37
ehrec是Media Center的录制计划，看截图已经被禁用了，应该与重启无关。Resolutionhost是为Diagnostic Se ...

设置好毛豆之后系统在断网下还是照常自动重启.只不过日期的必须递延.比方设置5号了.那下次再设置5号就无效.设置成6号就重启了

loms126

a82687932 发表于 2013-3-4 14:48
设置好毛豆之后系统在断网下还是照常自动重启.只不过日期的必须递延.比方设置5号了.那下次再设置5号就无效 ...

记得开启HIPS，默认好象是关闭的。还有就是“所有应用程序”要放在最前面。如果设置正确的话，点开始菜单中的的“关机”是不会执行的。

a82687932

loms126 发表于 2013-3-4 15:06
记得开启HIPS，默认好象是关闭的。还有就是“所有应用程序”要放在最前面。如果设置正确的话，点开始菜单 ...

我是64位Win7可以的吗?弄了几次按关机都变成关机了.可以上传一份你的规则让我导入应该也可以用吧