вирус? вирус!

симптомы - создаешь папку (файл) на диске С, перезагрузка - файла (папки) нет
то же самое для программ филез - коммон филез...

восстановление системы и службу отключил, результата ноль

Malwarebytes ничего не находит, антивирус Нод32 так же

до этого вылетали окна при запуске браузера,
в CCleaner - автозагрузка - запланированные задачи, обнаружилась строчка - точно не помню, но смысл в подмене файла host, после удаления браузеры заработали, сам файл host чистый, но самое интересное показал AVZ, логи прикладываю, надеюсь на помощь.

Уважаемый(ая) [B]Андрей Николаев[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) В антивирусе HIPS случайно не настраивали правила для пути ?

+ Сделайте логи [URL="http://virusinfo.info/showthread.php?t=115256&p=859292#post859292"][B]RSIT[/B][/URL]

скрипт выполнил, файлы пропадают

[ATTACH]434089[/ATTACH][ATTACH]434090[/ATTACH][ATTACH]434091[/ATTACH][ATTACH]434092[/ATTACH]

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]

+ Какие файлы/папки создавались имена файлов/папок в каких директориях, 2-3 примера.

создаю папку 123 в корне диска С
копирую с другой машины boot.ini
C:\Program Files\Common Files\parus shared\repgen.dll (как-то так)
сбис - установка checkXML (проверка пенсионных отчетов), устанавливается в корень диска

перезагрузка, запуск тоталкомандер, обновление содержимого диска - папки на глазах пропадают, без всякого запроса и т.п.
восстановление системы отключено.

Очень странно, т.к. папка [QUOTE]2013-09-02 11:52:48 ----D---- C:\rsit[/QUOTE] в корне диска С создалась без проблем и не пропала. Далее [QUOTE]2013-08-29 12:07:40 ----D---- C:\Program Files\Common Files\Parus Shared[/QUOTE] папка по логу rsit на месте должна быть, + mbam у Вас недавно установлен и никуда не исчез, да и HijackThis, какое то выборочное исчезновение получается ....

Жду лога uVS, запрошенного в пост №5

образ

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Parus Shared создавалась давно, недавно nod32 стал ругаться на repgen.dll - считает вирусом и удаляет, путь добавляем в исключения антивируса (по рекомендации "Парусников")
так вот этот самый repgen.dll и пропадает при перезагрузке из папки (из-за него собственно и пришлось разбираться...)
C:\rsit и другие папки создаются без проблем, но после перезагрузки пропадают
mbam не исчез, сcleaner тоже обновлялся, остался новый...

ASWBOOT.EXE - что это? смущает...

[QUOTE=Андрей Николаев;1034358]ASWBOOT.EXE - что это? смущает...[/QUOTE]От avast! остаток.
Удалите MBAM и смотрите внимательно логи Eset Smart Security - вероятнее всего, он удаляет.

[quote="Vvvyg;1034372"]внимательно логи Eset Smart Security - вероятнее всего, он удаляет[/quote]
+ [url]http://virusinfo.info/showthread.php?t=5262&page=58&p=869213&viewfull=1#post869213[/url] конфигурацию антивируса, запакуйте в архив с паролем произвольным и приложите к теме, пароль к конфигурации сообщите путем личного сообщения, возможно найду ошибку в настройке антивируса.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ [QUOTE]C:\PROGRAM FILES\COMMON FILES\PARUS SHARED\KEYLOGGER.DLL[/QUOTE] добавьте в исключения антивируса.

в логах антивируса чисто
C:\PROGRAM FILES\COMMON FILES\PARUS SHARED полностью в исключениях

Удалите антивирус, воспользовавшись [url]http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896[/url] утилитой и инструкцией. Множественные ошибки в работе, настройках антивируса, но следов удаления файлов в настройках антивируса нет. Кто использует Ammyy Admin ? После удаления антивируса сделайте повторный лог uVS.

антивирус удалил, проблема осталась
Ammyy Admin периодически используется...
создал нового пользователя, результат такой же.

лог не лезет
806.6 Кб of 976.6 Кб Used

Загрузите на [url]http://rghost.ru/[/url] ссылку прикрепите к следующему сообщению.

[url]http://rghost.ru/48545134[/url]

не цепляет почему-то к форуму, отправил личным сообщением

[URL="http://virusinfo.info/showthread.php?t=16646"][I]Инструкции и утилиты для полного удаления остатков антивирусных продуктов[/I][/URL] aswclear.exe - через эту утилиту удалите остатки AVAST в логе по прежнему присутствует. Файлы по прежнему пропадают или становятся скрытыми системными ?

пропадают
но папка C:\rsit с логами сканирования почему-то осталась

А папка 123 в корне диска С ?

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref ASWBOOT.EXE
exec MsiExec.exe /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
exec "C:\Program Files\AskBarDis\unins000.exe"
deltmp
restart[/code]На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

[NOTICE]Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите [URL="http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-javase6-419409.html#jre-6u45-oth-JPR"]Java 6 Update 45[/URL] (версия совместима с банк-клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности[/NOTICE]