Началось всё с того, что несколько машин стали перезагружаться сразу после запуска с окошком «Компьютер будет перезагружен через 5 секунд». В журналах событий мы нашли следы установки обновлений непосредственно перед перезагрузкой. Тут надо заметить, что в прошедший год налоговые службы перешли в один общероссийский домен. Моё подозрение пало на федеральных администраторов. Ещё десять минут поисков — и я нашёл скрипт.
Скрипт запускался политиками безопасности при загрузке компьютера. Как его обойти? Отключать сеть и включать после загрузки — дело неправильное, люди жаловались, что устали проводить операцию каждое утро, к тому же без сети при загрузке не выполнялись и местные логон-скрипты. Пришлось лезть в скрипт и изучать. Строчка с перезагрузкой нашлась быстро; спустя минуту нашлось и условие ребута — установка патча от вируса Shadow.based. На условии установки патча мы ржали всем отделом.
Дело в том, что скрипт проверял наличие в папке %WINDIR% директории $NtUninstallKB958644$ и ещё нескольких подобных. Логика была железной: нет папок для анинсталла — значит, нет и патча! Когда мы немного успокоились, то нашли и решение: на проблемных машинах эти папки создали вручную. Скрипт поверил, что патчи есть, и машины перезагружать перестал.