Я обнаружил, что при подключении флешки на неё автоматически загружался файл под названием "scbatj.exe". При этом установленный антивирусник НОД32 его не видит. Файл обнаруживался при помощи Dr.Web CureIt и просматривался через програму WinRAR.
Применёнными методами я обнаружил в реестре лог с названием "scbatj.exe", который был успешно мной удалён.
Но после перезагрузки системы, на флешке при каждом подключении стали автоматически загружаться файлы с другими разными именами с разширением .ехе, а именно: zjhncl.exe, jqbwvr.exe и другие. При этом размер у этих файлов одинаковый и такой же как и у файла с именем "scbatj.exe", а именно: 496 312 кб. Так же одинаково и время создания этих файлов - 23.09.2008 14:09.
Хочу заметить, что лог с названием "scbatj.exe" в реестре уже не существовал при этом.
Кроме того, при использовании утилиты RootkitRevealer на диске D:\ была обнаружена папка, которая в двух случаях была без имени и адреса, а в третьем с адресом: D:\Илюша. Хочу уточнить, что никакого Илюши пользователя на этом компе не было никогда и данная папка никакими другими програмами не просматривается. При этом в разделе Description указанной програмы данная папка имела значение "Hidden from Windows API". В этой папке также находился целый ряд файлов, которые часто используються. При открытии данной папки путём ввода в строку поиска путя, она открылась, и было выяснено, что в ней хранились папка Windows, Program Files, и др., а также моя личная папка с рабочими файлами под названием IVAN. Я пробовал удалить файлы с данной папки, при этом они удалялись также и с тех местах, где они фактически находились.
Хочу добавить, что на компе установлены две Винды - на диске С:\ и диске D:\.
Что это может быть, я не знаю.
Добавлю, что комп подключен к локальной сети. В некоторое время локальная сеть терялась и не могла работать. Сейчас вроде всё нормально.
Я проделал всё необходимое, как указано в Правилах и инструкции, которую я отдельно скачивал..... Помогите пожалуста!!!!!! Очень не хочеться форматировать диски и ставить новую Винду - очень много важных програм стоит, которые очень долго восстанавливать....
Вот, посмотрите вложения......

- Выполните скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239)


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('E:\MEGA\sudbina.exe,C:\Documents and Settings\ДСА\Application Data\lbisov.exe,E:\DUSKO\svjetlana.exe,explorer.ex e,C:\Documents and Settings\ДСА\Application Data\mmmpc.exe','');
QuarantineFile('E:\MEGA\sudbina.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','') ;
QuarantineFile('C:\WINDOWS\system32\456.tmp','');
DeleteService('MEMSWEEP2');
QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\G TZNFUM.exe','');
QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\H NWAUUC.exe','');
QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\I KXWTC.exe','');
DeleteService('IKXWTC');
DeleteService('HNWAUUC');
DeleteService('GTZNFUM');
DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\IKXWT C.exe');
DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\HNWAU UC.exe');
DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\GTZNF UM.exe');
DeleteFile('C:\WINDOWS\system32\456.tmp');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\RunServices','csrcs') ;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Policies\Explorer\Run ','csrcs');
DeleteFile('E:\MEGA\sudbina.exe,C:\Documents and Settings\ДСА\Application Data\lbisov.exe,E:\DUSKO\svjetlana.exe,explorer.ex e,C:\Documents and Settings\ДСА\Application Data\mmmpc.exe');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('E:\MEGA\sudbina.exe');
DeleteFileMask('E:\MEGA', '*.*', true);
DeleteDirectory('E:\MEGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам (http://virusinfo.info/pravila_old.html) п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- Сделайте лог MBAM (http://virusinfo.info/showpost.php?p=457118&postcount=1)

Всё сделал по Вашей инструкции по порядку.

Забыл добавить, что после проделаных операций, подозрительные файлы на флешку вроде уже не лезут!!!!!!

В AVZ

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\dllcache\iissy nc.exe','');
DeleteFile('D:\WINDOWS\system32\dllcache\iissync.e xe');
QuarantineFile('C:\WINDOWS\system32\iexplore.exe', '');
DeleteFile('C:\WINDOWS\system32\iexplore.exe');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Шлём карантин.
Повторяем пункт 2 диагностики

Всё сделал по Вашим указаниям, но файл quarantine.zip не загружается, выходит сообщение:
Ошибка загрузки. Данный файл уже был загружен

Что делать?
Вот только файл virusinfo_syscheck.zip

Что с проблемами?
В логах ничего подозрительного

Вроде бы всё нормально, екзешные файлы на флешки вроде бы не лезут.
Только папка D:/Илюша всё ещё существует, хотя никакого пользователя с таким именем за этим компом не было. Она просто так не просматривается, даже через WinRAR. Она просматривается при помощи програмы RootkitRevealer. При этом у неё стоит значение Hidden from Windows API и дата создания подозрительная - 01.01.1601 г.
А при вводе в командную строку её путь D:/Илюша, то можно зайти в неё, при этом при входе её имя в левом верхнем углу значиться как обычная точка "."
Ответье пожилуйста, что это за папка может быть и опасна ли она? Кроме неё у меня вроде бы никаких проблем, всё в норме.....
Спасибо Вам большое за помощь, без Вас я бы не справился.....

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:

c:\\windows\\system32\\csrcs.exe - Worm.Win32.AutoIt.xl ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.4 )