登录卡在"请稍候" "请等候 User Profile Service"，"禁用驱动程序强制签名"登录正常

Windows技术交流 • 2023-01-02 • 云技术社区 • 472 阅读

开机F8，2个有图形界面的安全模式，能看到登录界面，输入密码后卡在"请等候User Profile Service"，"禁用驱动程序强制签名"输入密码后登录正常，其他选项黑屏看不到登录界面

临时解决办法：https://cloud.tencent.com/developer/article/1930775

根本原因最后分析到了，是1个异常服务导致的，过程如下：

先用安全模式进一下系统，有时候能进去，有时候就卡在"请等候User Profile Service"

然后用"禁用驱动程序强制签名"登录正常，进入系统后分析系统日志，发现有个日志内容很奇怪，这个日志来自这个文件：

C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-CodeIntegrity%4Operational.evtx 这个evtx显示的全是加载dump_xxxx.sys 有问题，比如dump_TCPIP.sys、dump_PCIIDE.sys、dump_APPID.sys、dump_WS2IFSL.sys、dump_VIOSTOR.sys、dump_UAGP35.sys 、dump_PCMCIA.sys、dump_I8042PRT.sys、dump_TBS.sys等

事件来源：CodeIntegrity、事件ID：3023，这个特征值得记住

去掉前缀dump_，下划线后面的部分，在drivers目录都能找到文件，是系统自带的正常驱动。

比如

c:\\Windows\\System32\\drivers\\PCMCIA.sys

c:\\Windows\\System32\\drivers\\I8042PRT.sys

c:\\Windows\\System32\\drivers\\TBS.sys

不知道为啥会陷入这个奇怪逻辑，加载dump_xxxx.sys 有问题都指向dump_CA4A560E 这个服务，而这个服务在安全模式里是稳定出现的，只要不删就一直在，但在禁用驱动程序强制签名里只能短暂出现一下就没了，刚进入系统执行第一遍sc.exe query dump_CA4A560E 时还有，等执行第二遍时就没有了，如下图

针对该问题，有怀疑病毒木马，但一开始在winpe里用360系统急救箱没查出什么

禁用驱动程序强制签名登录后，部署Process Monitor 抓了一个Process Monitor Boot Log，分析Log，发现卡在"请等候User Profile Service"的过程中，svchost.exe有个非常可疑的动作，一直在读以下几个文件，而以下文件的创建时间也恰巧好，是"请等候User Profile Service"问题发生的时间点

· C:\\Windows\\apppatch\\DBCA4A560EMK.sdb

· C:\\Windows\\apppatch\\TKCA4A560EMS.sdb

· C:\\Windows\\apppatch\\RCCA4A560EMS.sdb

在C:\\Windows\\apppatch\\ 里按时间倒序排列，赫然映入眼帘，最上方的3个就是

用Process Monitor 查看Call Stack，这个行为就是C:\\Windows\\System32\\MsCA4A560EApp.dll去做的

加载dump_xxxx.sys 有问题都指向dump_CA4A560E 这个服务，dump_xxxx.sys、dump_CA4A560E 、MsCA4A560EApp.dll这几个关键词结合在一起，不由得看到一个关键词CA4A560E，

遍历了一遍注册表SYSTEM\\ControlSet001\\Services\\ ，找到了

SYSTEM\\ControlSet001\\Services\\MsCA4A560EApp

SYSTEM\\ControlSet001\\Services\\dump_CA4A560E

MsCA4A560EApp、dump_CA4A560E服务通过调用C:\\Windows\\apppatch\\ 目录的.sdb文件、system32目录的.dll文件，干扰了系统进程，导致要么登录界面黑屏，要么能看到登录界面，输入密码登录时卡在"请等候User Profile Service"