登录卡在"请稍候" "请等候 User Profile Service"，"禁用驱动程序强制签名"登录正常

开机F8，2个有图形界面的安全模式，能看到登录界面，输入密码后卡在"请等候User Profile Service"，"禁用驱动程序强制签名"输入密码后登录正常，其他选项黑屏看不到登录界面

临时解决办法：https://cloud.tencent.com/developer/article/1930775

根本原因最后分析到了，是1个异常服务导致的，过程如下：

先用安全模式进一下系统，有时候能进去，有时候就卡在"请等候User Profile Service"

然后用"禁用驱动程序强制签名"登录正常，进入系统后分析系统日志，发现有个日志内容很奇怪，这个日志来自这个文件：

C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx 这个evtx显示的全是加载dump_xxxx.sys 有问题，比如dump_TCPIP.sys、dump_PCIIDE.sys、dump_APPID.sys、dump_WS2IFSL.sys、dump_VIOSTOR.sys、dump_UAGP35.sys 、dump_PCMCIA.sys、dump_I8042PRT.sys、dump_TBS.sys等

事件来源：CodeIntegrity、事件ID：3023，这个特征值得记住

去掉前缀dump_，下划线后面的部分，在drivers目录都能找到文件，是系统自带的正常驱动。

比如

c:\Windows\System32\drivers\PCMCIA.sys

c:\Windows\System32\drivers\I8042PRT.sys

c:\Windows\System32\drivers\TBS.sys

不知道为啥会陷入这个奇怪逻辑，加载dump_xxxx.sys 有问题都指向dump_CA4A560E 这个服务，而这个服务在安全模式里是稳定出现的，只要不删就一直在，但在禁用驱动程序强制签名里只能短暂出现一下就没了，刚进入系统执行第一遍sc.exe query dump_CA4A560E 时还有，等执行第二遍时就没有了，如下图

针对该问题，有怀疑病毒木马，但一开始在winpe里用360系统急救箱没查出什么

禁用驱动程序强制签名登录后，部署Process Monitor 抓了一个Process Monitor Boot Log，分析Log，发现卡在"请等候User Profile Service"的过程中，svchost.exe有个非常可疑的动作，一直在读以下几个文件，而以下文件的创建时间也恰巧好，是"请等候User Profile Service"问题发生的时间点

· C:\Windows\apppatch\DBCA4A560EMK.sdb

· C:\Windows\apppatch\TKCA4A560EMS.sdb

· C:\Windows\apppatch\RCCA4A560EMS.sdb

在C:\Windows\apppatch\ 里按时间倒序排列，赫然映入眼帘，最上方的3个就是

用Process Monitor 查看Call Stack，这个行为就是C:\Windows\System32\MsCA4A560EApp.dll去做的

加载dump_xxxx.sys 有问题都指向dump_CA4A560E 这个服务，dump_xxxx.sys、dump_CA4A560E 、MsCA4A560EApp.dll这几个关键词结合在一起，不由得看到一个关键词CA4A560E，

遍历了一遍注册表SYSTEM\ControlSet001\Services\ ，找到了

SYSTEM\ControlSet001\Services\MsCA4A560EApp

SYSTEM\ControlSet001\Services\dump_CA4A560E

MsCA4A560EApp、dump_CA4A560E服务通过调用C:\Windows\apppatch\ 目录的.sdb文件、system32目录的.dll文件，干扰了系统进程，导致要么登录界面黑屏，要么能看到登录界面，输入密码登录时卡在"请等候User Profile Service"

解决方案

救援模式，删除Windows目录下的DBCA4A560EMK.sdb, TKCA4A560EMS.sdb, RCCA4A560EMS.sdb。

然后挂载System注册表，删除SYSTEM\ControlSet001\Services\MsCA4A560EApp

最后删除Windows\System32目录下的MsCA4A560EApp.dll

其实，用360急救箱是可以找到这个异常文件自动清理的

建议通过挂注册表全局搜索关键词CA4A560E和使用Everything全局搜索含有关键词CA4A560E的文件才能彻底清理，建议安装杀毒防护软件。

Registry Workshop真不赖

Everything真好用

纵观这个case，有点类似这篇文档的case ：https://cloud.tencent.com/developer/article/1938502