Перейти к содержанию

Самопроизвольная перезагрузка процесса explorer.exe


WandererNN

Рекомендуемые сообщения

Доброго времени суток!

 

Прошу вашей помощи в решении проблемы. Уже обращался по ней в другой теме: https://forum.kasperskyclub.ru/index.php?showtopic=48760

 

При установленном интернет-соединении постоянно, примерно каждые 7 секунд, на доли секунды пропадает панель задач и исчезают значки программ из трея (если был открыт проводник, то он тоже закрывается). Система никаких сообщений не выдаёт. Затем панель задач практически мгновенно восстанавливается, значки задач в трее начинают вновь появляться, но на секунду отображается значок разорванного соединения. Перезагружается процесс explorer.exe.

 

Если физически вытащить кабель из сетевой платы, то такое «мигание» панели задач сразу пропадает. Если восстановить соединение снова, то какое-то время обычно всё нормально, затем через несколько минут может повториться.

 

Пробовал делать откат на более раннюю точку восстановления - не помогло. Драйверы на материнскую и сетевую платы обновил, пробовал подключать два разных кабеля, пробовал подключаться через интегрированную сетевую плату и через внешнюю (с отключением интегрированной в биос). В "минимальном" безопасном режиме проблема не наблюдается, как не наблюдается при отключенном интернете. В безопасном режиме с сетью проблема по-прежнему есть. Проверка "sfc /scannow" не выявляет ошибок целостности.

В системе стояла Kaspesky Internet Security 2013, делал полную проверку - всё как будто в норме. Затем обновился до версии KIS 2016 - снова полная проверка, результат тот же. Затем проверял с помощью AVZ (с базами от 5 января), затем ComboFix и Malware Bytes – ничего. Проверился с помощью "Kaspersky Removal Tool". Кроме библиотеки xsht.dll программы xStarter ничего обнаружено не было, но вряд ли дело в нём.

 

Вчера (это на третий день после появления проблемы) Anvir Task Manager сообщил о попытке добавления в автозагрузку трёх программ. Сделал скриншоты окон и содержимого папки Tmp, в которой они были обнаружены. Первую программу я поторопился и удалил, остальные сначала заскриншотил. У первой была иконка с синим щитом, и она очень напоминает китайский антивирус Baidu, с которым я раньше уже сталкивался. На всякий случай прикладываю скриншоты к сообщению. Если нужно - могу отправить архив с этими файлами. Антивирус при проверке эти файлы свободно пропускает.

 

Вот результаты проверки этих файлов на VirusTotal:

 

kinst_1_338.exe: 1/ 55

ESET-NOD32 a variant of Win32/KingSoft.B potentially unwanted 20160108

 

SoHuVA_4.2.0.16-c203950445-run-s-x.exe: 6 / 56

ESET-NOD32 a variant of Win32/Sohuva potentially unwanted 20160108

Ikarus PUA.Sohuva 20160108

McAfee Artemis!718D31E99A92 20160108

McAfee-GW-Edition Artemis 20160108

VBA32 suspected of Trojan.Downloader.gen.h 20160107

Zillya Backdoor.Agent.Win32.57109 20160107

 

ОС: Windows 7 x64.

Материнская плата P8H77-V, сетевая плата интегрированная.

Интернет подключен через роутер D-LINK DIR-120.

 

P. S. Создал в операционной системе новую учётную запись (с правами пользователя), при работе под ней проблема пока не появляется.

 


Прикладываю файл протоколов от программы AutoLogger. Так как в процессе работы запускались браузеры, то подключил интернет, и во время сканирования сбой с explorer'ом повторился. В результате появилось три дампа. Они довольно большие, по 145-152 мегабайта. Если будет нужно - выложу их.

CollectionLog-2016.01.08-12.32.zip

Ссылка на комментарий
Поделиться на другие сайты

проверьте файл 

C:\Windows\System32\MpKslxVqKF.dll

Странно, данный файл отсутствует в каталоге. по Самые ближайшие совпадения - это MpKslJTMiK.dll и MpKslyoBob.dll. На всякий случай включил отображение и защищённых системных файлов, всё равно результата нет. Пробовал также и поиск "MpKs" по каталогу C:\Windows - больше ничего нет.

Ссылка на комментарий
Поделиться на другие сайты

файл после перезагрузки меняет имя.

Проверьте компьютер утилитой TDSSkiller из данной статьи.
Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.
Полученный лог из корня диска С приложите к новому сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Проверил (вторая проверка - в том числе с загруженными модулями), прикладываю логи и файлы, попавшие в карантин. В карантин поместил сам на всякий случай, утилита предлагала пропустить. В списке найденного только подозрительные объекты.

 

 

P. S. Файлы в каталоге System32 Продолжают переименовываться.

 

Проверку на virustotal.com они проходят и отображаются там как доверенные от корпорации Майкрософт. Вот ссылка на анализ одного файла:

https://www.virustotal.com/ru/file/f627ca4c2c322f15db26152df306bd4f983f0146409b81a4341b9b340c365a16/analysis/

 

На всякий случай переименовал все три (столько их там было в последний раз), вдруг поможет.

TDSSKiller.3.1.0.9_08.01.2016_17.52.27_log.txt

TDSSKiller.3.1.0.9_08.01.2016_18.00.02_log.txt

TDSSKiller.3.1.0.9_08.01.2016_18.02.16_log.txt

TDSSKiller_Quarantine.rar

Изменено пользователем WandererNN
Ссылка на комментарий
Поделиться на другие сайты

 

 


отображаются там как доверенные от корпорации Майкрософт.

это драйверы от defender'a 
приложите ссылку на лог GSI
Получение отчета утилиты GetSystemInfo - http://support.kaspersky.ru/smsupport?pid=SMM&qaid=2637
Ссылка на комментарий
Поделиться на другие сайты

 

 


Приложил.

а ссылку? )

 

https://www.getsysteminfo.com/read.php?file=dabce605530a2ca76d1c4f8867f6f7c7


удаляйте 

  => AnVir Task Manager => Malwarebytes Anti-Malware, версия 2.2.0.1024

а также вручную

C:\Users\Victor\AppData\Local\Temp\~nsu.tmp\Au_.exe - Dropbox

1 из ЖД - имеет проблемы.

Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR3.

 

проверьте шлейфы и запустите скандиск для всех разделов.
Harddisk2 - это, похоже,  WDC WD10EZEX-21M2NA0
для WD есть чудесная утилита от производителя для исправления ошибок. 
Windows Data Lifeguard Diagnostics

и напоследок - удаление остатков от антивируса Microsoft'a

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('guarder21', 4);
 StopService('guarder21');
 DeleteService('guarder21');
ExecuteSysClean;
 BC_DeleteSvc('guarder21');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 

приложите новую ссылку на лог GSI
 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

@Roman_Five

Программы удалил, диски проверил (WD с помощью Data Lifeguard Diagnostics, и ещё раз все разделы с помощью "chkdsk c: /f /r", "chkdsk d: /f /r", "chkdsk k: /f /r"), скрипт выполнил.

 

Спасибо, проблема перестала появляться! Хотя в каталоге System32, судя по названиям, dll от defender'а по-прежнему появляются (4 штуки).

 

Ссылка на новый лог GSI:

http://www.getsysteminfo.com/read.php?file=3060b7035fdb3c642346a5639bcba371

Ссылка на комментарий
Поделиться на другие сайты

и в отчете нет уже ошибок ЖД.


Хотя в каталоге System32, судя по названиям, dll от defender'а по-прежнему появляются (4 штуки).


не обращайте внимания

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...