Сапожник без сапог. Создаются файлы в корневых каталогах khw, autorun.inf и подобное

Здравствуйте, глубокоуважаемые коллеги!

Не могу понять. Несколько раз в день создаются файлы kht, khw (0 байт), два исполняемых файла со случайными именами и autorun.inf.

Погуглил пристально, не увидел в интернете применимых к моему компьютеру ситуаций.

Настроил задачу в шедулере для автоматического удаления вновь создаваемых файлов при их появлении. Полная проверка с максимальной эвристикой NOD32 4, CureIt, утилитой Касперского результатов не дала. Сканирование системного винчестера прицепом ко второму компьютеру результатов не дало (теми же тремя утилитами).

Доступ к Сети организуется через выделенную прямую линию Lan+PPPoE, с второй сетевой карты организована локальная сеть с ноутбуком. (встроенный NAT "общий доступ к интернету" Windows 7.

ОС на обоих компьютерах - Windows 7 Ultimate вечно неактивированные, файрволлы встроенные, антивирусы - NOD32 4 Business edition легальные.

>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
- это так надо. на свой компьютер захожу и удаленно из интернету, и порой через Netbios со второго компьютера (он, кстати, не заражен).

Указанные в правилах логи прикрепляю.

[ATTACH]237374[/ATTACH]
[ATTACH]237375[/ATTACH]
[ATTACH]237376[/ATTACH]

С уважением, Александр.

p.s. также из симптомов замечено периодический 100% загруз процессора службами upnphost и ssdp - их останавливаю руками через некоторое время после старта системы, но такое было начиная с бета-сборок семерки и скорее всего следствием вируса не является (система самосборная, "неправильная"). Может будет совет и по этому поводу?

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
DeleteFileMask('C:\Users\Fox\Local Settings\Temp', '*.TMP', false);
QuarantineFile('C:\Users\Fox\AppData\Local\Temp\EGIFW.exe','');
end.[/code]
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Поставьте надежный пароль на учетные записи с правами Администратора.

Пароль на записи с правами Администратора поставить не могу - комп домашний, дети не разберутся) Но у меня запрещен политиками логин по сети, только RDP и разрешен беспарольный вход по netbios для внутренней локальной сети.

Компьютер чист.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]