На ровном месте крашится explorer.exe без автовосстановления, в чём проблема?

Question

[Xander Milonovsky]

Доброго времени суток, с вами я - генератор вопросов и моя очередная проблема.

Крашится explorer.exe, просто падает, без ошибок, без окошек ошибок, без логов и вообще каких либо следов, на 4 разных компах, в одной сети. Всего компов в этой сети - 14.
Что было испробовано: Переустановка винды(чистые ентерпрайс), проверка софта(поштучная установка на проблемные машини и отслеживание реакции), проверка роутера(на посторонее вмешательнство), тесты железа(на износ, ошибки, перегрев),проверка на вирусы всевозможным софтом, контроль реестра и авторана.

После многих манипуляции и попыток, компы перестали вышибать. Мы подумали что всё хорошо и проблема решена, но на следующий день, 2 и 4 компов вышибли всё равно. Попутно было обнулено ещё 3 компа. То-есть по сути у нас есть 7 компов, идентично одинаковых по начинке и по(прямо 1 в 1), но только 2 из них страдают фантомным отвалом explorer.exe. Компы обычные офисные, далеко не слабые. Софт - пакет офиса 2010, скайп, гугел хром, дрова с диска мат. платы, привязка к общей папке, настроенный mstsc(1 шт.), адоб акробат про, ВНС. И ещё есть странность в том что падает он в промежутке с 8 утра до 7 вечера, каждый час, начиная с первого падения. Так же если отваливается то отваливает у всех проблемных, так было и есть до сих пор. Отваливает с делеем в 2-8 секунды. Мы много что, куда смотрели, но найти проблему так и не получилось до конца. Спасибо за варианты и помощь.

Comments

[Xander Milonovsky]

Процесс просто перестаёт существовать и всё. Одновременно на всех больных компах, в данный момент на 2ух.

[hint000]

Xander Milonovsky, на некоторое время оставьте один из больных компов без сети (выдерните кабель). Хоть понять, проблема полностью локальная или связана с сетью.

[Xander Milonovsky]

hint000, проверяли, без сети комп остаётся живым, притом как бы они так синхронно падали без сети.

[hint000]

Xander Milonovsky, запускаете wireshark или tcpdump и ловите момент отвала. Потом анализируете трафик: откуда, куда, и был ли инициатором сам больной комп, или же извне что-то прилетело.
Самая банальная версия - пытается обновиться винда или какая-то из установленных программ.

[Ezhyg]

Xander Milonovsky, ставлю шляпу на отсечение - это банальные черви, эксплуатирующие незакрытые, в ваших дистрибутивах, дыры, заразить не могут, но оболочку "вышибают" в попытках.

Answer 1

[Radjah]

> Крашится explorer.exe, просто падает, без ошибок, без окошек ошибок, без логов и вообще каких либо следов, на 4 разных компах, в одной сети.
Как минимум в системном журнале должна быть запись, если оптимизациями не отключали.
> Переустановка винды(чистые ентерпрайс)
И обновлены до актуального состояния через WU/WSUS?

Comments

[Xander Milonovsky]

Не отключал, не оптимизировал, даже софт качал для чтения логов отдельный чтоб выцепить. Но там пусто, как Припяти. Обнова актуальна на 2018 год не помню какой месяц.

То-есть по сути у нас есть 7 компов, идентично одинаковых по начинке и по(прямо 1 в 1), но только 2 из них страдают фантомным отвалом explorer.exe.

Answer 2

[Михаил Лялин]

странное сочетание: винды(чистые ентерпрайс) и пакет офиса 2010

Comments

[Xander Milonovsky]

Связан с предпочтениями сотрудниц, нас он тоже не устраивает, но как говорит начальство, работать должно быть в первую очередь удобно.

[moropsk]

Тяжко вам, держитесь там.

Answer 3

[KPOBABAK]

Домен есть? к админ учеткам у многих есть доступ?
локальные админы пароли одинаковые на всех?
может кто то по сети запускает скрипт какой.
проверь наличие на компах PsExec64.exe/PsExec.exe

Comments

[Xander Milonovsky]

Домен есть, доступ к админу у 2(один из них я), локальные пароли у всех разные, лишнего ничего нет. Если был бы скрипт, то падали бы все, а не только 2-а компа.

[KPOBABAK]

в чем проблема написать скрипт на убивание проводника на двух компах?