Приветствую всех!
Может кто помочь в проблеме?
Не могу разобраться почему explorer.exe вылетает с интервалом в 1 час.
При этом Файерволл регистрирует попытку доступа explorer.exe к 104.31.82.243.
Приходится наблюдать раз в час такую картину (панели задач нету из-за вылетевшего эксплорера):
https://www.imageup.ru/img218/thumb/rms_screenshot_2019-09-01_00-16-593464757.jpg (https://www.imageup.ru/img218/3464757/rms_screenshot_2019-09-01_00-16-59.png.html)
sfc.exe никаких проблем не нашла.
В системном журнале событий по explorer.exe нет. IP адрес всегда тот же.
Ничего такого не установлено:
https://www.imageup.ru/img71/thumb/screenshot_2019-09-02_1510363465133.jpg (https://www.imageup.ru/img71/3465133/screenshot_2019-09-02_151036.png.html)
На вирусы сканил Dr.Web CireIt с загрузочной флешки - он ничего не нашёл.
Но это явно вирусня.
Как выяснить, где собака зарыта?

http://forum.oszone.net/thread-98169.html

Логи собрал.

Файлы

D:\Soft\_Settings\System\Loader\Loader_call.bat
D:\Soft\_Settings\System\Loader\Loader_Work.bat

вам известны?

Remote Manipulator System - ставили самостоятельно?

Файлы Loader*.bat - мои, используются для автоматического запуска программ.
RMS - тоже я ставил, для удалённого управления компом.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteRepair(1);
ExecuteRepair(9);
RebootWindows(false);
end.



Компьютер перезагрузится.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Готово

Скачайте Malwarebytes' Anti-Malware (https://downloads.malwarebytes.com/file/mb3/). Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/28958/)

Готово

Удалите (поместите в карантин) эти файлы:
Файл: 2
Trojan.Crypt, D:\DESKTOP\_reboot2.lnk, Проигнорировано пользователем, [4118], [88613],1.0.12303
Trojan.Crypt, D:\_REBOOT2.EXE, Проигнорировано пользователем, [4118], [88613],1.0.12303
и сообщите что с проблемой.

Да ничего.
Это прога написана мной "reboot" для перезагрузки.
В прицепе оба эти файла и исходник программы. Никаких троянов в них нет.

Это прога написана мной »
Понятно.

Да ничего »
В смысле - ничего не изменилось?

Проверьте наблюдается ли проблема в безопасном режиме (https://safezone.cc/threads/kak-zagruzit-windows-v-bezopasnom-rezhime-safe-mode.19645/).

В смысле - ничего не изменилось? »
Да.
В безопасном пока нет возможности час бездействовать - это рабочая машина.
Пока решил проблему автозапуском s0m (http://forum.ru-board.com/topic.cgi?forum=5&topic=3683&start=500)-скрипта:
https://imageup.ru/img56/thumb/screenshot_2019-09-17_0156103475789.jpg (https://imageup.ru/img56/3475789/screenshot_2019-09-17_015610.png.html)
Имя файла скрипта: explorer_loader.s0m

1 Установить режим обработки сообщений в ядре скрипта Не обрабатывать N/A
2 Управление выводом отладочных сообщений выключено N/A
3 Переход к метке (условный/безусловный) 1 без условия
4 Метка 0 N/A
5 Запустить программу explorer.exe N/A
6 Вставить задержку 1,0 сек. N/A
7 Найти окно по имени класса и тексту в заголовке окна CabinetWClass Библиотеки
8 Проверить, есть ли окна в списке найденных окон N/A N/A
9 Переход к метке (условный/безусловный) 1 если ЛОЖЬ
10 Послать окну сообщение "Закрыть" N/A N/A
11 Метка 1 N/A
12 Найти окно по имени класса и тексту в заголовке окна Shell_TrayWnd
13 Проверить, есть ли окна в списке найденных окон N/A N/A
14 Вызов подпрограммы (условный/безусловный) 0 если ЛОЖЬ
15 Вставить задержку 1,0 сек. N/A
16 Переход к метке (условный/безусловный) 1 без условия

Параметры скрипта:
Режим предотвращения конфликтов с другими скриптами
Режим "невидимости" для других скриптов
Не показывать окно скрипта
Делать директорию, в которой находится скрипт, текущей
Запускать только одну копию скрипта

До сегодняшнего дня explorer.exe так и вылетал раз в час (и автоматически тут же перезапускался explorer_loader-ом).
Полез я гуглить, почему у меня время от времени создаётся папка "D:\tmp\Autologger" и как от неё избавиться. Ответа не смог найти, зато наткнулся на тему (http://forum.oszone.net/nextnewesttothread-334502.html), где упомянули утилиту FileActivityWatch (https://www.nirsoft.net/utils/file_activity_watch.html).
Скачал, запустил, повесил мониторить обращение к файлам. Как только наступило время очередного вылета explorer-а и автоматического его перезапуска, полез смотреть логи программы (начал смотреть с конца). И увидел обращение к какому-то файлу, в имени которого было что-то типа sidebar gadget (файл лежал в WinSxS). Тут мне пришла в голову мысль посетить Sidebar рабочего стола и посмотреть есть ли там какие-либо виджеты (я сам ничего не устанавливал из виджетов, но за компом бывает работает ещё 1 человек), хотя на рабочем столе никаких виджетов не просматривалось. Открыл Sidebar, а там пара тройка всякого неподребства (погода, календарь, загрузка CPU, ...) - удалил все виджеты. И чудо таки произошло - больше explorer.exe не вылетает.

время от времени создаётся папка "D:\tmp\Autologger" »
Это всё ещё происходит?

Да. Последний лог был по WhatsApp-у: скрэшился.

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
var PathAutoLogger : string;
begin
clearlog;
if IsWOW64 then SetupAVZ('X64R=NX');
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger);
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps');
RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI');
SaveLog(PathAutoLogger+'report.log');
RebootWindows(false);
end.

Выполнил, благодарю!

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Готово.