|
explorer.exe вылетает с интервалом в 1 час
Приветствую всех!
Может кто помочь в проблеме? Не могу разобраться почему explorer.exe вылетает с интервалом в 1 час. При этом Файерволл регистрирует попытку доступа explorer.exe к 104.31.82.243. Приходится наблюдать раз в час такую картину (панели задач нету из-за вылетевшего эксплорера):  sfc.exe никаких проблем не нашла. В системном журнале событий по explorer.exe нет. IP адрес всегда тот же. Ничего такого не установлено:  На вирусы сканил Dr.Web CireIt с загрузочной флешки - он ничего не нашёл. Но это явно вирусня. Как выяснить, где собака зарыта? |
|
Вложений: 1
Логи собрал.
|
Файлы
Цитата:
Remote Manipulator System - ставили самостоятельно? |
Файлы Loader*.bat - мои, используются для автоматического запуска программ.
RMS - тоже я ставил, для удалённого управления компом. |
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
beginПовторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите свежий CollectionLog. |
Вложений: 1
Готово
|
Скачайте Malwarebytes' Anti-Malware. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. |
Вложений: 1
Готово
|
Удалите (поместите в карантин) эти файлы:
Цитата:
|
Вложений: 1
Да ничего.
Это прога написана мной "reboot" для перезагрузки. В прицепе оба эти файла и исходник программы. Никаких троянов в них нет. |
Цитата:
Цитата:
Проверьте наблюдается ли проблема в безопасном режиме. |
Цитата:
В безопасном пока нет возможности час бездействовать - это рабочая машина. Пока решил проблему автозапуском s0m-скрипта:  Скрипт текстом:
Имя файла скрипта: explorer_loader.s0m
1 Установить режим обработки сообщений в ядре скрипта Не обрабатывать N/A 2 Управление выводом отладочных сообщений выключено N/A 3 Переход к метке (условный/безусловный) 1 без условия 4 Метка 0 N/A 5 Запустить программу explorer.exe N/A 6 Вставить задержку 1,0 сек. N/A 7 Найти окно по имени класса и тексту в заголовке окна CabinetWClass Библиотеки 8 Проверить, есть ли окна в списке найденных окон N/A N/A 9 Переход к метке (условный/безусловный) 1 если ЛОЖЬ 10 Послать окну сообщение "Закрыть" N/A N/A 11 Метка 1 N/A 12 Найти окно по имени класса и тексту в заголовке окна Shell_TrayWnd 13 Проверить, есть ли окна в списке найденных окон N/A N/A 14 Вызов подпрограммы (условный/безусловный) 0 если ЛОЖЬ 15 Вставить задержку 1,0 сек. N/A 16 Переход к метке (условный/безусловный) 1 без условия Параметры скрипта: Режим предотвращения конфликтов с другими скриптами Режим "невидимости" для других скриптов Не показывать окно скрипта Делать директорию, в которой находится скрипт, текущей Запускать только одну копию скрипта |
До сегодняшнего дня explorer.exe так и вылетал раз в час (и автоматически тут же перезапускался explorer_loader-ом).
Полез я гуглить, почему у меня время от времени создаётся папка "D:\tmp\Autologger" и как от неё избавиться. Ответа не смог найти, зато наткнулся на тему, где упомянули утилиту FileActivityWatch. Скачал, запустил, повесил мониторить обращение к файлам. Как только наступило время очередного вылета explorer-а и автоматического его перезапуска, полез смотреть логи программы (начал смотреть с конца). И увидел обращение к какому-то файлу, в имени которого было что-то типа sidebar gadget (файл лежал в WinSxS). Тут мне пришла в голову мысль посетить Sidebar рабочего стола и посмотреть есть ли там какие-либо виджеты (я сам ничего не устанавливал из виджетов, но за компом бывает работает ещё 1 человек), хотя на рабочем столе никаких виджетов не просматривалось. Открыл Sidebar, а там пара тройка всякого неподребства (погода, календарь, загрузка CPU, ...) - удалил все виджеты. И чудо таки произошло - больше explorer.exe не вылетает. |
Цитата:
|
Да. Последний лог был по WhatsApp-у: скрэшился.
|
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
var PathAutoLogger : string; |
Выполнил, благодарю!
|
Проверьте уязвимые места:
|
Вложений: 1
Готово.
|
------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.16540 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3177467 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4474419 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4512486 Внимание! Скачать обновления HotFix KB4530734 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.5 v.4.5.50710 Внимание! Скачать обновления K-Lite Codec Pack 12.1.5 Full v.12.1.5 Внимание! Скачать обновления На заметку - Рекомендации после лечения. |
| Время: 04:07. |
Время: 04:07.
© OSzone.net 2001-