Перейти к содержанию

Самопроизвольная перезагрузка процесса explorer.exe


Рекомендуемые сообщения

Доброго времени суток!

 

Прошу вашей помощи в решении проблемы. Уже обращался по ней в другой теме: https://forum.kasperskyclub.ru/index.php?showtopic=48760

 

При установленном интернет-соединении постоянно, примерно каждые 7 секунд, на доли секунды пропадает панель задач и исчезают значки программ из трея (если был открыт проводник, то он тоже закрывается). Система никаких сообщений не выдаёт. Затем панель задач практически мгновенно восстанавливается, значки задач в трее начинают вновь появляться, но на секунду отображается значок разорванного соединения. Перезагружается процесс explorer.exe.

 

Если физически вытащить кабель из сетевой платы, то такое «мигание» панели задач сразу пропадает. Если восстановить соединение снова, то какое-то время обычно всё нормально, затем через несколько минут может повториться.

 

Пробовал делать откат на более раннюю точку восстановления - не помогло. Драйверы на материнскую и сетевую платы обновил, пробовал подключать два разных кабеля, пробовал подключаться через интегрированную сетевую плату и через внешнюю (с отключением интегрированной в биос). В "минимальном" безопасном режиме проблема не наблюдается, как не наблюдается при отключенном интернете. В безопасном режиме с сетью проблема по-прежнему есть. Проверка "sfc /scannow" не выявляет ошибок целостности.

В системе стояла Kaspesky Internet Security 2013, делал полную проверку - всё как будто в норме. Затем обновился до версии KIS 2016 - снова полная проверка, результат тот же. Затем проверял с помощью AVZ (с базами от 5 января), затем ComboFix и Malware Bytes – ничего. Проверился с помощью "Kaspersky Removal Tool". Кроме библиотеки xsht.dll программы xStarter ничего обнаружено не было, но вряд ли дело в нём.

 

Вчера (это на третий день после появления проблемы) Anvir Task Manager сообщил о попытке добавления в автозагрузку трёх программ. Сделал скриншоты окон и содержимого папки Tmp, в которой они были обнаружены. Первую программу я поторопился и удалил, остальные сначала заскриншотил. У первой была иконка с синим щитом, и она очень напоминает китайский антивирус Baidu, с которым я раньше уже сталкивался. На всякий случай прикладываю скриншоты к сообщению. Если нужно - могу отправить архив с этими файлами. Антивирус при проверке эти файлы свободно пропускает.

 

Вот результаты проверки этих файлов на VirusTotal:

 

kinst_1_338.exe: 1/ 55

ESET-NOD32 a variant of Win32/KingSoft.B potentially unwanted 20160108

 

SoHuVA_4.2.0.16-c203950445-run-s-x.exe: 6 / 56

ESET-NOD32 a variant of Win32/Sohuva potentially unwanted 20160108

Ikarus PUA.Sohuva 20160108

McAfee Artemis!718D31E99A92 20160108

McAfee-GW-Edition Artemis 20160108

VBA32 suspected of Trojan.Downloader.gen.h 20160107

Zillya Backdoor.Agent.Win32.57109 20160107

 

ОС: Windows 7 x64.

Материнская плата P8H77-V, сетевая плата интегрированная.

Интернет подключен через роутер D-LINK DIR-120.

 

P. S. Создал в операционной системе новую учётную запись (с правами пользователя), при работе под ней проблема пока не появляется.

 


Прикладываю файл протоколов от программы AutoLogger. Так как в процессе работы запускались браузеры, то подключил интернет, и во время сканирования сбой с explorer'ом повторился. В результате появилось три дампа. Они довольно большие, по 145-152 мегабайта. Если будет нужно - выложу их.

CollectionLog-2016.01.08-12.32.zip

Ссылка на сообщение
Поделиться на другие сайты

проверьте файл 

C:\Windows\System32\MpKslxVqKF.dll

Странно, данный файл отсутствует в каталоге. по Самые ближайшие совпадения - это MpKslJTMiK.dll и MpKslyoBob.dll. На всякий случай включил отображение и защищённых системных файлов, всё равно результата нет. Пробовал также и поиск "MpKs" по каталогу C:\Windows - больше ничего нет.

Ссылка на сообщение
Поделиться на другие сайты

файл после перезагрузки меняет имя.

Проверьте компьютер утилитой TDSSkiller из данной статьи.
Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.
Полученный лог из корня диска С приложите к новому сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

Проверил (вторая проверка - в том числе с загруженными модулями), прикладываю логи и файлы, попавшие в карантин. В карантин поместил сам на всякий случай, утилита предлагала пропустить. В списке найденного только подозрительные объекты.

 

 

P. S. Файлы в каталоге System32 Продолжают переименовываться.

 

Проверку на virustotal.com они проходят и отображаются там как доверенные от корпорации Майкрософт. Вот ссылка на анализ одного файла:

https://www.virustotal.com/ru/file/f627ca4c2c322f15db26152df306bd4f983f0146409b81a4341b9b340c365a16/analysis/

 

На всякий случай переименовал все три (столько их там было в последний раз), вдруг поможет.

TDSSKiller.3.1.0.9_08.01.2016_17.52.27_log.txt

TDSSKiller.3.1.0.9_08.01.2016_18.00.02_log.txt

TDSSKiller.3.1.0.9_08.01.2016_18.02.16_log.txt

TDSSKiller_Quarantine.rar

Изменено пользователем WandererNN
Ссылка на сообщение
Поделиться на другие сайты

 

 


отображаются там как доверенные от корпорации Майкрософт.

это драйверы от defender'a 
приложите ссылку на лог GSI
Получение отчета утилиты GetSystemInfo - http://support.kaspersky.ru/smsupport?pid=SMM&qaid=2637
Ссылка на сообщение
Поделиться на другие сайты

 

 


Приложил.

а ссылку? )

 

https://www.getsysteminfo.com/read.php?file=dabce605530a2ca76d1c4f8867f6f7c7


удаляйте 

  => AnVir Task Manager => Malwarebytes Anti-Malware, версия 2.2.0.1024

а также вручную

C:\Users\Victor\AppData\Local\Temp\~nsu.tmp\Au_.exe - Dropbox

1 из ЖД - имеет проблемы.

Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR3.

 

проверьте шлейфы и запустите скандиск для всех разделов.
Harddisk2 - это, похоже,  WDC WD10EZEX-21M2NA0
для WD есть чудесная утилита от производителя для исправления ошибок. 
Windows Data Lifeguard Diagnostics

и напоследок - удаление остатков от антивируса Microsoft'a

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('guarder21', 4);
 StopService('guarder21');
 DeleteService('guarder21');
ExecuteSysClean;
 BC_DeleteSvc('guarder21');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 

приложите новую ссылку на лог GSI
 
Ссылка на сообщение
Поделиться на другие сайты

@Roman_Five

Программы удалил, диски проверил (WD с помощью Data Lifeguard Diagnostics, и ещё раз все разделы с помощью "chkdsk c: /f /r", "chkdsk d: /f /r", "chkdsk k: /f /r"), скрипт выполнил.

 

Спасибо, проблема перестала появляться! Хотя в каталоге System32, судя по названиям, dll от defender'а по-прежнему появляются (4 штуки).

 

Ссылка на новый лог GSI:

http://www.getsysteminfo.com/read.php?file=3060b7035fdb3c642346a5639bcba371

Ссылка на сообщение
Поделиться на другие сайты

и в отчете нет уже ошибок ЖД.


Хотя в каталоге System32, судя по названиям, dll от defender'а по-прежнему появляются (4 штуки).


не обращайте внимания

Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Sophie Auguste
      Кроме любой сети, к которой подключен ноутбук, в списке «текущее подключение» появляется «неопознанная сеть». Даже когда к интернету есть доступ с известной мне сети, подключение самого компьютера к нему отсутствует. Я включила ноутбук после долгого перерыва, но до этого такого не было.

    • От cornsnake
      Добрый день! Компьютер сильно тормозит. Судя по монитору ресурсов, проблема в антивирусе. Нагружает ЦП до 50-60% . Прошу помочь разобраться, как уменьшить нагрузку на процессор.
      Скрины с характеристиками системы и монитора ресурсов прилагаются.


    • От Crooker
      Здравствуйте. Сегодня заметил, что у меня не работает KIS 21.1.15.500. Пытался запустить вручную - после попытки загрузки ничего не происходит. Перезагрузил компьютер, опять вручную запустил - эффект нулевой. Просто пытается долго загрузиться и тупо выгружается из памяти, как будто его там и не было. Переустановка поможет? Но это же бред. 8 лет система засиралась, и все работало без проблем. Год назад сбросил винду, установил все обновления, а сейчас такой сюрприз. Месяц назад всё работало, хотя, помню, не всегда срабатывал автозапуск каспера. Приходилось запускать вручную
       
      Если придется переустанавливать, как перенести настройки профиля?

    • От PitBuLL
      С выходом новых версий K-Lite Codec Pack Full, всегда устанавливаю свежие, на двух ПК (с Windows 10 и с Windows 7).
      Установил сначала (накатил поверх старой версии) K-Lite Codec Pack Full 15.9.0 на компьютер с Windows 10 - всё нормально. Перезагрузки ПК не потребовалось, и тем более ПК сам не ушел в перезагрузку после установки K-Lite Codec Pack Full 15.9.0.
      Установил (накатил поверх старой версии) K-Lite Codec Pack Full 15.9.0 на компьютер с Windows 7, по окончании установки (завершить), ПК ушел в перезагрузку. Это нормально? Раньше ни когда ПК в перезагрузку не уходил по окончании установки K-Lite Codec Pack Ful (тем более без каких-либо предупреждений, что нужно перезагрузить ПК). Раньше, по окончании установки K-Lite Codec Pack Ful, только открывался сайт http://www.codecguide.com/ в браузере.
    • От Sophie Auguste
      Есть легальная, приобретённая довольно давно с ноутбуком Windows 7. Есть код активации с наклейки на днище ноутбука. Когда по инструкции на сайте Microsoft я выбираю Windows - Компьютер - Свойства, то в открывающемся окне нет пункта "Активировать Windows сейчас" и выглядит оно так:

       
      Что это может быть и что нужно делать в таком случае?
×
×
  • Создать...