вирус? вирус!

[Андрей Николаев]

симптомы - создаешь папку (файл) на диске С, перезагрузка - файла (папки) нет
то же самое для программ филез - коммон филез...

восстановление системы и службу отключил, результата ноль

Malwarebytes ничего не находит, антивирус Нод32 так же

до этого вылетали окна при запуске браузера,
в CCleaner - автозагрузка - запланированные задачи, обнаружилась строчка - точно не помню, но смысл в подмене файла host, после удаления браузеры заработали, сам файл host чистый, но самое интересное показал AVZ, логи прикладываю, надеюсь на помощь.

[Info_bot]

Уважаемый(ая) Андрей Николаев, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(13);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) В антивирусе HIPS случайно не настраивали правила для пути ?

+ Сделайте логи RSIT

[Андрей Николаев]

скрипт выполнил, файлы пропадают

virusinfo_syscheck.ziphijackthis.loginfo.txtlog.txt

[mrak74]

Сделайте полный образ автозапуска uVS

+ Какие файлы/папки создавались имена файлов/папок в каких директориях, 2-3 примера.

[Андрей Николаев]

создаю папку 123 в корне диска С
копирую с другой машины boot.ini
C:\Program Files\Common Files\parus shared\repgen.dll (как-то так)
сбис - установка checkXML (проверка пенсионных отчетов), устанавливается в корень диска

перезагрузка, запуск тоталкомандер, обновление содержимого диска - папки на глазах пропадают, без всякого запроса и т.п.
восстановление системы отключено.

[mrak74]

Очень странно, т.к. папка

2013-09-02 11:52:48 ----D---- C:\rsit

в корне диска С создалась без проблем и не пропала. Далее

2013-08-29 12:07:40 ----D---- C:\Program Files\Common Files\Parus Shared

папка по логу rsit на месте должна быть, + mbam у Вас недавно установлен и никуда не исчез, да и HijackThis, какое то выборочное исчезновение получается ....

Жду лога uVS, запрошенного в пост №5

[Андрей Николаев]

образ

- - - Добавлено - - -

Parus Shared создавалась давно, недавно nod32 стал ругаться на repgen.dll - считает вирусом и удаляет, путь добавляем в исключения антивируса (по рекомендации "Парусников")
так вот этот самый repgen.dll и пропадает при перезагрузке из папки (из-за него собственно и пришлось разбираться...)
C:\rsit и другие папки создаются без проблем, но после перезагрузки пропадают
mbam не исчез, сcleaner тоже обновлялся, остался новый...

ASWBOOT.EXE - что это? смущает...

[Vvvyg]

ASWBOOT.EXE - что это? смущает...

От avast! остаток.
Удалите MBAM и смотрите внимательно логи Eset Smart Security - вероятнее всего, он удаляет.

[mrak74]

внимательно логи Eset Smart Security - вероятнее всего, он удаляет

+ http://virusinfo.info/showthread.php...l=1#post869213 конфигурацию антивируса, запакуйте в архив с паролем произвольным и приложите к теме, пароль к конфигурации сообщите путем личного сообщения, возможно найду ошибку в настройке антивируса.

- - - Добавлено - - -

+

C:\PROGRAM FILES\COMMON FILES\PARUS SHARED\KEYLOGGER.DLL

добавьте в исключения антивируса.

[Андрей Николаев]

в логах антивируса чисто
C:\PROGRAM FILES\COMMON FILES\PARUS SHARED полностью в исключениях

[mrak74]

Удалите антивирус, воспользовавшись http://www.esetnod32.ru/support/know...MENT_ID=852896 утилитой и инструкцией. Множественные ошибки в работе, настройках антивируса, но следов удаления файлов в настройках антивируса нет. Кто использует Ammyy Admin ? После удаления антивируса сделайте повторный лог uVS.

[Андрей Николаев]

антивирус удалил, проблема осталась
Ammyy Admin периодически используется...
создал нового пользователя, результат такой же.

лог не лезет
806.6 Кб of 976.6 Кб Used

[mrak74]

Загрузите на http://rghost.ru/ ссылку прикрепите к следующему сообщению.

[Андрей Николаев]

http://rghost.ru/48545134

[Андрей Николаев]

не цепляет почему-то к форуму, отправил личным сообщением

[mrak74]

Инструкции и утилиты для полного удаления остатков антивирусных продуктов aswclear.exe - через эту утилиту удалите остатки AVAST в логе по прежнему присутствует. Файлы по прежнему пропадают или становятся скрытыми системными ?

[Андрей Николаев]

пропадают
но папка C:\rsit с логами сканирования почему-то осталась

[mrak74]

А папка 123 в корне диска С ?

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref ASWBOOT.EXE
exec MsiExec.exe /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
exec "C:\Program Files\AskBarDis\unins000.exe"
deltmp
restart

На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

Уведомление

Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите Java 6 Update 45 (версия совместима с банк-клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности