Самопроизвольно завершается процесс Explorer.exe на компьютерах в локальной сети

**ironbizon** · 07.08.2018, 11:47

Добрый день!

- Имеется небольшая локальная сеть (все компьютеры находятся в одной подсети).
- На всех компьютерах установлена ОС Windows 7 (на всех отключены автоматические обновления).
- На всех компьютерах установлен Eset Nod32 Антивирус (антивирусные базы актуальны).

Недавно в локальную сеть подключили заражённый компьютер (постоянно падал в BSOD). Одновременно с этим начались проблемы на трёх компьютерах в этой локальной сети, а именно:
- на двух компьютерах антивирусы регистрируют обращения

Код:

HTTP: http://newscommer.com/41qilngy38303743/app.exe
Процесс: Explorer.exe
IP: 104.27.161.5

- на этих же двух компьютерах регулярно без ошибок завершается процесс "Explorer.exe"
- третий компьютер стал падать в BSOD

Eset32, Dr.Web и AdwCleaner при проверке вирусов и червей не находят.
Адреса, указанные выше, заблокировали на Микротике, обращения соответственно исчезли, но проблемы с компами остались.

Во вложении собрана информация с одного из первых двух компьютеров, на которых завершается процесс.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.08.2018, 11:48

Уважаемый(ая) ironbizon, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 07.08.2018, 20:27

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: "C: [command] = (no file) (2016/09/12)
O4 - MSConfig\startupreg: DAEMON Tools Lite [command] = C:\Program Files\DAEMON Tools Lite\DTLite.exe -autorun (file missing) (HKCU) (2016/09/12)
O4 - MSConfig\startupreg: wind [command] = C:\Windows\system32\wscript.exe //B "C:\Users\mservice\AppData\Local\Temp\wind.vbs" (HKCU) (2018/08/06)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**ironbizon** · 08.08.2018, 11:19

Всё выполнил.

**Vvvyg** · 08.08.2018, 12:03

Выделите и скопируйте в буфер обмена следующий код:

Код:

CreateRestorePoint:
HKLM\...\Run: [] => [X]
2016-08-20 12:22 - 1998-04-30 14:56 - 000129024 _____ () C:\Users\mservice\AppData\Local\Temp\GLB1A2B.EXE
2016-07-23 18:25 - 2016-07-23 18:25 - 000741440 _____ (Oracle Corporation) C:\Users\mservice\AppData\Local\Temp\jre-8u101-windows-au.exe
2015-10-24 16:24 - 2015-10-24 16:24 - 000585824 _____ (Oracle Corporation) C:\Users\mservice\AppData\Local\Temp\jre-8u65-windows-au.exe
2015-11-21 17:25 - 2015-11-21 17:25 - 000585824 _____ (Oracle Corporation) C:\Users\mservice\AppData\Local\Temp\jre-8u66-windows-au.exe
2016-02-06 18:25 - 2016-02-06 18:25 - 000736352 _____ (Oracle Corporation) C:\Users\mservice\AppData\Local\Temp\jre-8u73-windows-au.exe
2016-04-23 18:25 - 2016-06-25 18:25 - 000739904 _____ (Oracle Corporation) C:\Users\mservice\AppData\Local\Temp\jre-8u91-windows-au.exe
Reboot:

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Классический случай: пиратка с отключенными обновлениями, даже хотфикс KB4012212, при отсутствии которого с системой можно удалённо делать всё, что угодно, не установлен. Устанавливайте:

HotFix KB4012212 Внимание! Скачать обновления

По хорошему, нужно бы и остальные критические обновления ставить из списка в SecurityCheck.txt - но есть ненулевая вероятность, что одно из них может убить систему, ставьте пока одно это.

Проверьте сеть утилитой ETERNAL BLUES, все найденные компьютеры с уязвимостью также надо обновлять.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**ironbizon** · 08.08.2018, 13:21

Вы совершенно правы. До обращения к Вам, я запускал полное обновление ОС на этих компьютерах, каждый из них после этого упал в BSOD. Восстановил откатом системы.

Все указания выполнил. Прикладываю отчёты.

**Vvvyg** · 08.08.2018, 13:48

Чисто. Сообщите, после обновления что-то поменялось в лучшую сторону?

**ironbizon** · 09.08.2018, 11:20

Полёт нормальный! Никаких проблем на вылеченном компе замечено не было.

По второму больному с той же симптоматикой, поставил это же обновление "HotFix KB4012212", после чего система легла. Восстановил откатом.

По нему отдельную тему создать или тут же выложить его "CollectionLog"?

**Vvvyg** · 09.08.2018, 11:30

Один компьютер - одна тема.
Без KB4012212 придётся отключать протокол SMB версии 1.

**ironbizon** · 09.08.2018, 11:51

Значит эту тему можно считать решённой. Спасибо большое!

**Vvvyg** · 09.08.2018, 14:48

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Самопроизвольно завершается процесс Explorer.exe на компьютерах в локальной сети (заявка № 219855)

Опции темы