Постоянно создаются на флешке скрытые папки RECYCLER, NADFOLDER и autorun.inf

Цитирую переписку с Вирусной лаболаторией Касперского (ВЛК), описывающую суть проблемы:

[B]Я:[/B] Принесли проверить ноутбук. На своем рабочем компьютере под защитой КАВ 6.0.3.837 я скопировал на флешку утилиты AVZ, HiJackThis последние версии и Kaspersky Virus Removal Tool последнюю версию.
Далее работал с флешкой на зараженной машине. После этого вставил флешку обратно в свой компьютер.
Касперский сработал, нашел вирус, удалил. Далее несколько раз сработал повторно, нескалько раз удалил один и тот же файл. После этого замолчал.Флешку на моем компьютере форматировать не дает, на флешке после удаления постоянно появляются папки, как на скрине flash.jpg.

[B]ВЛК:[/B] Здравствуйте,
autorun.inf - Worm.Win32.AutoRun.dui
Этот файл определяется антивирусом. Обновите антивирусные базы. Так же проведите полную проверку компьютера нашим антивирусов.
[FONT=System]Desktop.ini, sndrv.exe_[/FONT]
Вредоносный код в файлах не обнаружен.
Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

[B]Я:[/B] А я и не спорю, что не определяется.
Почему при подключении чистой, только что отформатированной флешки в другом компьютере, к моему системнику на ней сразу же появляются три объекта в корне (два первых скрытых):
[FONT=System]RECYCLER[/FONT]
[FONT=System]NADFOLDER[/FONT]
[FONT=System]autorun.inf[/FONT]
Антивирусные базы от 20.04.2009 4.04, обновляются через Admin Kit server.
Полное сканирование выполнено, вредоносных объектов 0.
Флешку отформатировать я не могу.
Это нормальное поведение системы?
Удаление данных папок ни к чему не приводит.
Кста, содержимое папки NADFOLDER, переименованной в NADFOLDER2222 в прикреплениях.

[B]ВЛК:[/B] Здравствуйте,
Потому что флешка содержит файл autorun.inf. Который служит способом распространения вируса.
[FONT=System] Desktop.ini[/FONT]
Вредоносный код в файле не обнаружен.

[B]Я:[/B] Проблема в том, что моя система заражена, а не флешка. И антивирус не видит симптомов и говорит что все чисто.На любой флешке, которую воткнуть в мой комп, появляются эти папки. Как мне мой компьютер вылечить?
Я не присылал Вам desktop.ini. Я прислал вам заархивированный NATFOLDER2222, в которой содержатся файлы autorun.exe и desktop.ini
И файл в корне флешки autorun.inf следующего содержания:
[FONT=System][autorun][/FONT]
[FONT=System]open=NADFOLDER\autorun.exe[/FONT]
[FONT=System]icon=%SystemRoot%\system32\SHELL32.dll,4[/FONT]
[FONT=System]action=Open folder to view files[/FONT]
[FONT=System]shell\open=Open[/FONT]
[FONT=System]shell\open\command=NADFOLDER\autorun.exe[/FONT]
[FONT=System]shell\open\default=1[/FONT]
А Вы мне говорите что все OK, антивирус говорит ВСЕ ОК, И desktop.ini - вредоносный код в файле не обнаружен.
Да как то всеравно, безобидный это код или нет,
Но это - "НЕ ОК".
Как вылечить это Вы можете посоветовать или нет?

[B]ВЛК:[/B] Здравствуйте,
поишите подозрительные файлы по дате создания и пришлте их нам на анализ

*******
Логи согласно Правил в приложениях, так же там скрин корня флешки после форматирования на другом компьютере и подключенной к подопытному.

Помогите, пожалуйста решить проблему.
Спасибо.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Выполнил действия.
Новые логи.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9883647784-4605559625-576213112-8991\wingn.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9883647784-4605559625-576213112-8991\wingn.exe');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Скрипт выполнил..

Сегодня после включения компьютера появился процесс sxs.exe, сам исполняемый файл лежал в корневой папке моего пользователя в Documents&Settings, появился он там вчера.
Так же во временных файлах IE обнаружились два экзешника ups.exe и sxs.exe, дата создания 20.04.2009, загруженных с ресурсов [url]moderated[/url] и [url]moderated[/url] соответсвенно...
sxs я удалил, предварительно поместив копию в архив, временные файлы все удалил.. и вообще много чего удалил.
Папку AVZ тоже случайно удалил. С карантинами вчерашними..

Скачал AVZ, скрипты выполнил по новой. Логи прилагаю.
Проблема осталась прежней. При подключении флешки Касперский начинает удалять файл autorun.inf, файл появляется вновь... процесс повторяется.

Проясните, пожалуйста, ситуацию.. что за зловред то поселился у меня?
Какова вероятность заражения других компьютеров через сеть?
Мой акк имеет полные права на запись и удаленную установку в домене.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Выполнил все действия...

:(

Ничего подозрительного не видно.
- Установите ИЕ 8

Да, Вы правы.
С флешкой все впорядке, вроде.
После форматирования новых файлов не появляется.
sxs.exe, который появлялся в папке пользователя и был в процессах - сейчас его нет, но почему касперский на него не реагировал?
И что было с системой?

Спасибо за оказанную помощь!

PS: ноутбук, с которого я заразился, скрипты подойдут для лечения?

Забыл добавить, что перед последними сканированиями установил заплатку от MS WindowsXP-KB958687-x86-RUS.exe для SP3.
(__http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)

[QUOTE=Artaios;390649]
И что было с системой?[/QUOTE]
sndrv.exe_ - Worm.Win32.AutoRun.fpt
[QUOTE]ноутбук, с которого я заразился, скрипты подойдут для лечения?[/QUOTE]Нет. Создайте отдельную тему по правилам

Проблема решена.

Спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe - [B]Worm.Win32.AutoRun.fpt[/B] ( DrWEB: BackDoor.IRC.Flood.8, BitDefender: Trojan.Downloader.JJRI )[/LIST][/LIST]