Короткий ответ — причин может быть несколько: файлы могут удалять/карантинить антивирус (включая встроенный Windows Defender), недружелюбная/маскирующаяся вредоносная программа, повреждённый диск/память (файлы «портились» и ОС/AV их удалял), либо какой‑то автозапуск/скрипт/утилита на системе. Поскольку вы уже пробовали отключать службы и чистить планировщик, дальше надо диагностировать источник удаления — ниже пошагово что проверить и как найти/устранить проблему.
Быстрая проверка (сделать первой)
1. Проверьте историю защиты Windows Defender (если нет стороннего AV — Defender работает по умолчанию):
- Пуск → Windows Security → Virus & threat protection → Protection history (История защиты).
Если файлы в карантине — восстановите/исключите нужные .exe (временно) и посмотрите, какое название детектора/описание.
2. Проверьте Корзину — удаляются ли файлы в корзину или окончательно.
3. Сделайте полное офлайн-сканирование:
- Windows Defender Offline (через Windows Security) или загрузите загрузочный сканер (Kaspersky Rescue Disk, ESET Rescue) и просканируйте с загрузочного носителя. Это исключит скрытый малварь, который активен в работе ОС.
Диагностика — кто именно удаляет файл
4. Procmon (Sysinternals) — основной инструмент:
- Скачайте Process Monitor (procmon.exe).
- Настройте фильтр: Path ends with .exe OR Operation is DeleteFile (или фильтрация по интересующей папке/файлу).
- Запустите монитор до момента удаления и дождитесь события. В строке будет видно, какой процесс выполнил операцию удаления/SetDisposition — это даст конкретное имя процесса.
- Если файл удаляется уже при запуске/загрузке до старта Procmon — используйте Procmon Boot Logging (File → Enable Boot Logging).
5. Sysmon + конфиг для аудита: установите Sysmon (из Sysinternals) с конфигом, который логирует создание процессов и удаление файлов (Event ID для FileDelete). Логи идут в Windows Event Log → Applications and Services Logs → Microsoft → Windows → Sysmon. Это удобно для отлова событий, которые происходят до того, как вы запускаете интерактивный мониторинг.
6. Включите аудит файловой системы (если Procmon/Sysmon не помогают):
- secpol.msc → Local Policies → Audit Policy / Advanced Audit Policy → Object Access → Audit File System (Success/Failure).
- На папке/файле → Properties → Security → Advanced → Auditing добавьте правило для Everyone: Audit Delete/Write/Read.
- После удаления смотрите Security log — там будет Event ID 4663 (кому принадлежит, какой процесс/токен и т. д.).
Проверка железа и целостности диска
7. SMART / chkdsk:
- Проверьте SMART диска (CrystalDiskInfo или smartctl).
- chkdsk C: /f /r (согласитесь на перезагрузку). Плохие сектора/повреждения файловой таблицы могут «ломать» файлы так, что они становятся нечитаемыми/удаляются.
8. Проверка ОЗУ:
- MemTest86 (загрузочный тест) или Windows Memory Diagnostic, чтобы исключить битые модули RAM. Повреждённая память может портить файлы при записи.
9. SFC/DISM:
- sfc /scannow
- DISM /Online /Cleanup-Image /RestoreHealth
Доп. проверки
10. Autoruns (Sysinternals) — посмотрите все автозапуски, драйверы, сервисы, планировщик задач — там часто видно скрытые/нестандартные элементы.
11. Проверить планировщик задач ещё раз через Autoruns/Task Scheduler (есть скрытые задачи с SYSTEM, которые не видны в обычном представлении).
12. Проверьте сторонние утилиты производителя (Asus AI Suite, оптимизаторы) — отключите/удалите их временно.
13. Проверьте наличие rootkit/стелс-малвари: HitmanPro, TDSSKiller, Kaspersky Anti-Rootkit.
14. Сделайте бэкап важных данных (на всякий случай).
Если выяснится, что удаляет Windows Defender
- Восстановите файл из защиты → добавьте исключение для папки/файла. После этого отправьте файл в сервис проверки (VirusTotal) и/или обновите сигнатуры/отправьте пробу в MS для анализа.
Если удаляет сторонний процесс/скрипт
- Procmon/Sysmon покажут имя процесса и путь — удалите/удалите его автозапуск, просканируйте/удалите программу, проверьте ключи реестра автозапуска, задачи, службы.
Если проблема аппаратная
- Замена диска/модуля RAM и восстановление системы/чистой установкой Windows. Если проблема повторяется на разных сборках Windows на той же плате/накопителе/OЗУ — вероятно железо.
Порядок действий (рекомендую)
1) Посмотреть Protection history Windows Defender.
2) Сделать offline-сканирование загрузочным AV-сканером.
3) Запустить Procmon с фильтром на удаляемый .exe и дождаться удаления (или включить Boot Logging).
4) Если не поймали, поставить Sysmon/включить аудит файлов и повторить.
5) Одновременно проверить SMART и запустить MemTest86.
6) На основании найденного — удалить/исключить/заменить виновника или заменить железо и восстановить из бэкапа.
Если хотите, могу:
- прислать точные команды и фильтры для Procmon/Sysmon и пример конфигурации Sysmon;
- помочь интерпретировать логи, если вы пришлёте запись Procmon или события из журнала безопасности/Sysmon.
Скажите, как именно проявляется удаление: файл исчезает сразу после создания/запуска, через какое‑то время, после перезагрузки, появляется ли запись в защите Windows, удаляется ли в корзину или безвозвратно — и я подскажу конкретные фильтры и дальнейшие шаги.