Самопроизвольная перезагрузка процесса explorer.exe

[WandererNN 0]

Доброго времени суток!

 

Прошу вашей помощи в решении проблемы. Уже обращался по ней в другой теме: https://forum.kasperskyclub.ru/index.php?showtopic=48760

 

При установленном интернет-соединении постоянно, примерно каждые 7 секунд, на доли секунды пропадает панель задач и исчезают значки программ из трея (если был открыт проводник, то он тоже закрывается). Система никаких сообщений не выдаёт. Затем панель задач практически мгновенно восстанавливается, значки задач в трее начинают вновь появляться, но на секунду отображается значок разорванного соединения. Перезагружается процесс explorer.exe.

 

Если физически вытащить кабель из сетевой платы, то такое «мигание» панели задач сразу пропадает. Если восстановить соединение снова, то какое-то время обычно всё нормально, затем через несколько минут может повториться.

 

Пробовал делать откат на более раннюю точку восстановления - не помогло. Драйверы на материнскую и сетевую платы обновил, пробовал подключать два разных кабеля, пробовал подключаться через интегрированную сетевую плату и через внешнюю (с отключением интегрированной в биос). В "минимальном" безопасном режиме проблема не наблюдается, как не наблюдается при отключенном интернете. В безопасном режиме с сетью проблема по-прежнему есть. Проверка "sfc /scannow" не выявляет ошибок целостности.

В системе стояла Kaspesky Internet Security 2013, делал полную проверку - всё как будто в норме. Затем обновился до версии KIS 2016 - снова полная проверка, результат тот же. Затем проверял с помощью AVZ (с базами от 5 января), затем ComboFix и Malware Bytes – ничего. Проверился с помощью "Kaspersky Removal Tool". Кроме библиотеки xsht.dll программы xStarter ничего обнаружено не было, но вряд ли дело в нём.

 

Вчера (это на третий день после появления проблемы) Anvir Task Manager сообщил о попытке добавления в автозагрузку трёх программ. Сделал скриншоты окон и содержимого папки Tmp, в которой они были обнаружены. Первую программу я поторопился и удалил, остальные сначала заскриншотил. У первой была иконка с синим щитом, и она очень напоминает китайский антивирус Baidu, с которым я раньше уже сталкивался. На всякий случай прикладываю скриншоты к сообщению. Если нужно - могу отправить архив с этими файлами. Антивирус при проверке эти файлы свободно пропускает.

 

Вот результаты проверки этих файлов на VirusTotal:

 

kinst_1_338.exe: 1/ 55

ESET-NOD32 a variant of Win32/KingSoft.B potentially unwanted 20160108

 

SoHuVA_4.2.0.16-c203950445-run-s-x.exe: 6 / 56

ESET-NOD32 a variant of Win32/Sohuva potentially unwanted 20160108

Ikarus PUA.Sohuva 20160108

McAfee Artemis!718D31E99A92 20160108

McAfee-GW-Edition Artemis 20160108

VBA32 suspected of Trojan.Downloader.gen.h 20160107

Zillya Backdoor.Agent.Win32.57109 20160107

 

ОС: Windows 7 x64.

Материнская плата P8H77-V, сетевая плата интегрированная.

Интернет подключен через роутер D-LINK DIR-120.

 

P. S. Создал в операционной системе новую учётную запись (с правами пользователя), при работе под ней проблема пока не появляется.

 

Выполнил рекомендации из данного сообщения: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Прикладываю файл протоколов от программы AutoLogger. Так как в процессе работы запускались браузеры, то подключил интернет, и во время сканирования сбой с explorer'ом повторился. В результате появилось три дампа. Они довольно большие, по 145-152 мегабайта. Если будет нужно - выложу их.

CollectionLog-2016.01.08-12.32.zip

[Roman_Five 598]

проверьте файл 

C:\Windows\System32\MpKslxVqKF.dll

 на virustotal.com

ссылку на результат проверки приложите

[WandererNN 0]

проверьте файл 

C:\Windows\System32\MpKslxVqKF.dll

Странно, данный файл отсутствует в каталоге. по Самые ближайшие совпадения - это MpKslJTMiK.dll и MpKslyoBob.dll. На всякий случай включил отображение и защищённых системных файлов, всё равно результата нет. Пробовал также и поиск "MpKs" по каталогу C:\Windows - больше ничего нет.

[Roman_Five 598]

файл после перезагрузки меняет имя.

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

 

[WandererNN 0]

Проверил (вторая проверка - в том числе с загруженными модулями), прикладываю логи и файлы, попавшие в карантин. В карантин поместил сам на всякий случай, утилита предлагала пропустить. В списке найденного только подозрительные объекты.

 

 

P. S. Файлы в каталоге System32 Продолжают переименовываться.

 

Проверку на virustotal.com они проходят и отображаются там как доверенные от корпорации Майкрософт. Вот ссылка на анализ одного файла:

https://www.virustotal.com/ru/file/f627ca4c2c322f15db26152df306bd4f983f0146409b81a4341b9b340c365a16/analysis/

 

На всякий случай переименовал все три (столько их там было в последний раз), вдруг поможет.

TDSSKiller.3.1.0.9_08.01.2016_17.52.27_log.txt

TDSSKiller.3.1.0.9_08.01.2016_18.00.02_log.txt

TDSSKiller.3.1.0.9_08.01.2016_18.02.16_log.txt

TDSSKiller_Quarantine.rar

Изменено 8 января, 2016 пользователем WandererNN

[Roman_Five 598]

 

 

отображаются там как доверенные от корпорации Майкрософт.

это драйверы от defender'a 

приложите ссылку на лог GSI

Получение отчета утилиты GetSystemInfo - http://support.kaspersky.ru/smsupport?pid=SMM&qaid=2637

[WandererNN 0]

Приложил.

Изменено 9 января, 2016 пользователем WandererNN

[Roman_Five 598]

 

 

Приложил.

а ссылку? )

 

https://www.getsysteminfo.com/read.php?file=dabce605530a2ca76d1c4f8867f6f7c7

удаляйте 

  => AnVir Task Manager => Malwarebytes Anti-Malware, версия 2.2.0.1024

а также вручную

C:\Users\Victor\AppData\Local\Temp\~nsu.tmp\Au_.exe - Dropbox

1 из ЖД - имеет проблемы.

Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR3.

 

проверьте шлейфы и запустите скандиск для всех разделов.
Harddisk2 - это, похоже,  WDC WD10EZEX-21M2NA0
для WD есть чудесная утилита от производителя для исправления ошибок. 
Windows Data Lifeguard Diagnostics

и напоследок - удаление остатков от антивируса Microsoft'a
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('guarder21', 4);
 StopService('guarder21');
 DeleteService('guarder21');
ExecuteSysClean;
 BC_DeleteSvc('guarder21');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

приложите новую ссылку на лог GSI
 

[WandererNN 0]

а ссылку? )

Прошу прощения, не разобрался как следует.

 

Всё сделаю, как закончу - отпишусь.

[WandererNN 0]

@Roman_Five

Программы удалил, диски проверил (WD с помощью Data Lifeguard Diagnostics, и ещё раз все разделы с помощью "chkdsk c: /f /r", "chkdsk d: /f /r", "chkdsk k: /f /r"), скрипт выполнил.

 

Спасибо, проблема перестала появляться! Хотя в каталоге System32, судя по названиям, dll от defender'а по-прежнему появляются (4 штуки).

 

Ссылка на новый лог GSI:

http://www.getsysteminfo.com/read.php?file=3060b7035fdb3c642346a5639bcba371

[Roman_Five 598]

и в отчете нет уже ошибок ЖД.

Хотя в каталоге System32, судя по названиям, dll от defender'а по-прежнему появляются (4 штуки).

не обращайте внимания

Изменено 10 января, 2016 пользователем Roman_Five