Неудаляемый вирус, который переименовывается

[ya10]

Я обнаружил, что при подключении флешки на неё автоматически загружался файл под названием "scbatj.exe". При этом установленный антивирусник НОД32 его не видит. Файл обнаруживался при помощи Dr.Web CureIt и просматривался через програму WinRAR.
Применёнными методами я обнаружил в реестре лог с названием "scbatj.exe", который был успешно мной удалён.
Но после перезагрузки системы, на флешке при каждом подключении стали автоматически загружаться файлы с другими разными именами с разширением .ехе, а именно: zjhncl.exe, jqbwvr.exe и другие. При этом размер у этих файлов одинаковый и такой же как и у файла с именем "scbatj.exe", а именно: 496 312 кб. Так же одинаково и время создания этих файлов - 23.09.2008 14:09.
Хочу заметить, что лог с названием "scbatj.exe" в реестре уже не существовал при этом.
Кроме того, при использовании утилиты RootkitRevealer на диске D:\ была обнаружена папка, которая в двух случаях была без имени и адреса, а в третьем с адресом: D:\Илюша. Хочу уточнить, что никакого Илюши пользователя на этом компе не было никогда и данная папка никакими другими програмами не просматривается. При этом в разделе Description указанной програмы данная папка имела значение "Hidden from Windows API". В этой папке также находился целый ряд файлов, которые часто используються. При открытии данной папки путём ввода в строку поиска путя, она открылась, и было выяснено, что в ней хранились папка Windows, Program Files, и др., а также моя личная папка с рабочими файлами под названием IVAN. Я пробовал удалить файлы с данной папки, при этом они удалялись также и с тех местах, где они фактически находились.
Хочу добавить, что на компе установлены две Винды - на диске С:\ и диске D:\.
Что это может быть, я не знаю.
Добавлю, что комп подключен к локальной сети. В некоторое время локальная сеть терялась и не могла работать. Сейчас вроде всё нормально.
Я проделал всё необходимое, как указано в Правилах и инструкции, которую я отдельно скачивал..... Помогите пожалуста!!!!!! Очень не хочеться форматировать диски и ставить новую Винду - очень много важных програм стоит, которые очень долго восстанавливать....
Вот, посмотрите вложения......

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  QuarantineFile('Explorer.exe csrcs.exe','');
 QuarantineFile('E:\MEGA\sudbina.exe,C:\Documents and Settings\ДСА\Application Data\lbisov.exe,E:\DUSKO\svjetlana.exe,explorer.exe,C:\Documents and Settings\ДСА\Application Data\mmmpc.exe','');
 QuarantineFile('E:\MEGA\sudbina.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\456.tmp','');
 DeleteService('MEMSWEEP2');
 QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\GTZNFUM.exe','');
 QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\HNWAUUC.exe','');
 QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\IKXWTC.exe','');
 DeleteService('IKXWTC');
 DeleteService('HNWAUUC');
 DeleteService('GTZNFUM');
 DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\IKXWTC.exe');
 DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\HNWAUUC.exe');
 DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\GTZNFUM.exe');
 DeleteFile('C:\WINDOWS\system32\456.tmp');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 DeleteFile('E:\MEGA\sudbina.exe,C:\Documents and Settings\ДСА\Application Data\lbisov.exe,E:\DUSKO\svjetlana.exe,explorer.exe,C:\Documents and Settings\ДСА\Application Data\mmmpc.exe');
 DeleteFile('Explorer.exe csrcs.exe');
 DeleteFile('E:\MEGA\sudbina.exe');
 DeleteFileMask('E:\MEGA', '*.*', true);
 DeleteDirectory('E:\MEGA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[ya10]

Всё сделал по Вашей инструкции по порядку.

[ya10]

Забыл добавить, что после проделаных операций, подозрительные файлы на флешку вроде уже не лезут!!!!!!

[light59]

В AVZ

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\dllcache\iissync.exe','');
DeleteFile('D:\WINDOWS\system32\dllcache\iissync.exe');
QuarantineFile('C:\WINDOWS\system32\iexplore.exe','');
DeleteFile('C:\WINDOWS\system32\iexplore.exe');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Шлём карантин.
Повторяем пункт 2 диагностики

[ya10]

Всё сделал по Вашим указаниям, но файл quarantine.zip не загружается, выходит сообщение:
Ошибка загрузки. Данный файл уже был загружен

Что делать?
Вот только файл virusinfo_syscheck.zip

[light59]

Что с проблемами?
В логах ничего подозрительного

[ya10]

Вроде бы всё нормально, екзешные файлы на флешки вроде бы не лезут.
Только папка D:/Илюша всё ещё существует, хотя никакого пользователя с таким именем за этим компом не было. Она просто так не просматривается, даже через WinRAR. Она просматривается при помощи програмы RootkitRevealer. При этом у неё стоит значение Hidden from Windows API и дата создания подозрительная - 01.01.1601 г.
А при вводе в командную строку её путь D:/Илюша, то можно зайти в неё, при этом при входе её имя в левом верхнем углу значиться как обычная точка "."
Ответье пожилуйста, что это за папка может быть и опасна ли она? Кроме неё у меня вроде бы никаких проблем, всё в норме.....
Спасибо Вам большое за помощь, без Вас я бы не справился.....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\csrcs.exe - Worm.Win32.AutoIt.xl ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.4 )