Winlogos.exe, помогите!

Добрый день!
В процессах висят два файла winlogos.exe и еще экзешник с произвольным цифровым именем.
Один из винлогосов жрет проц на 99 процентов. Второй следит чтобы первый был запущен. Убиваем второй, затем первый, затем цифровой.

Компьютер отпускает и все работает неплохо. Гмером, АВЗ, и ХайДжеком вроде вычищаю все, нахожу файлы физически, удаляю. Все чисто, но!
1. Когда втыкаешь флэшку, все папки делаются скрытыми и создаются ярлыки к ним, а так же папка ресайклер с вирусом внутри.
2. После перезагрузки через время та же картина - винлогосы и иже с ними.

Уважаемый(ая) [B]Krat0S[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('C:\1','');
QuarantineFile('C:\Program Files\StRec\StRec.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Program Files\1cv82\common\1cestart.exe','');
QuarantineFile('C:\Np2009w\npw.exe','');
QuarantineFile('C:\Documents and Settings\Krat0S\Application Data\Baxwxx.exe','');
QuarantineFile('C:\DOCUME~1\Krat0S\LOCALS~1\Temp\pxtorpod.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

Выполните скрипт:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин quarantine.zip по красной ссылке [COLOR="#FF0000"]Прислать запрошенный карантин [/COLOR]вверху темы.

Выполнил скрипт, перезагрузился. Полчаса боролся за право распоряжаться ресурсами и загрузкой процесора. Отвоевал.
Взял на себя смелось добавить в Ваш скрипт карантина пути к вновь объявившимся файлам:

[CODE] QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\12.exe','');
QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\13.exe','');
QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\14.exe','');
QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\16.exe','');
QuarantineFile('c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\taskmgr.exe','');
QuarantineFile('c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\stepx2.exe','');
[/CODE]
Сегодня winlogos стал выглядеть как taskmgr, поведение то же самое - висит два штуки, один жрет 100% проца, второй запускает первый если его убьют.
Карантин высылаю.

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Вам легко говорить "установите все новые обновления" :)
С нашим деревенским интернетом - только вчера закончил закачку их :)
Установил, лог МБАМ прилагаю.

P.S. Может кому пригодится - способ не допускать загрузки двух винлогосов, которые вешают систему:
Они самосоздаются после каждой перезагрузки в папке "C:\Documents and Settings\%userprofile%\Start Menu\Programs\Startup\"
На уровне NTFS запретил доступ вообще всем к этой папке.
После перезагрузки самосоздать они смогли там, а вот запуститься... Система запрашивает с чьими правами выполнить их запуск )))))
Жму "Отмена" и радуюсь, хотя бы винлогосы не запускаются и комп не виснет :)

Лог плохого не показал

Что же мне делать?(
Будем считать что с винлогосами справились, но какая сволочь все же трогает флэшку?(делает все папки скрытыми и создает к ним ярлыки)

Флешку подключаете только в этому ПК?
Сделайте лог MBAM с подключенной флешкой.

МБАМ ничего не нашел :(
Простите мою самодеятельность, но я закарантинил самосоздающиеся файлы с флэшки и прикладываю их к теме(как положено через ссылку вверху "Прислать карантин")

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Вот!

Ошибочно удаленные утилитой файлы и записи от 1С восстановите [URL="http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765"]вот так[/URL]

Да черт с ним с 1с, подскажите что с вирусом делать?(
Установил Касперского 2012, пробную версию он на оба вируса внимания не обращает - что на тот который проц грузит и в автозагрузку лезет, что на тот что папки на флэшке прячет... Ключ к Касперскому есть в принципе, но не хочу активировать - смысла не вижу...

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]
KillAll::

File::
c:\windows\Setup1.exe
c:\documents and settings\Krat0S\Application Data\Baxwxx.exe

Driver::
jvcpgu

NetSvc::
jvcpgu

Folder::

Registry::
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Baxwxx"=-

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Повторите логи АВЗ и hijackthis.

Кажется помогло! :)

Файлы прикладываю, а пока потестирую.

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]- Удалите ComboFix[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

- [B]Обновите базы АВЗ[/B] (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите лог [B]virusinfo_syscheck.zip[/B]‎.

Уязвимостей практически не было, только Яву обновить пришлось.

В остальном - все точно получилось! :) Спасибо огромное, да здравствует чистая флэшка :)

Подскажите - во всем виновато было:

[CODE]File::
c:\windows\Setup1.exe
c:\documents and settings\Krat0S\Application Data\Baxwxx.exe

Driver::
jvcpgu

NetSvc::
jvcpgu[/CODE]
?

Чисто.

[CODE]C:\Documents and Settings\Krat0S\Application Data\Baxwxx.exe - [COLOR="#FF0000"]Trojan.Win32.Inject.bwjl[/COLOR]
c:\Documents and Settings\Krat0S\Application Data\12.exe - [COLOR="#FF0000"]Trojan.Win32.Inject.bwhr[/COLOR]
c:\Documents and Settings\Krat0S\Application Data\13.exe - [COLOR="#FF0000"]Trojan.BAT.Miner.i[/COLOR]
c:\Documents and Settings\Krat0S\Application Data\14.exe - [COLOR="#FF0000"]Trojan.Win32.Menti.jbms[/COLOR]
c:\Documents and Settings\Krat0S\Application Data\16.exe - [COLOR="#FF0000"]Trojan.Win32.FakeAv.iqsh[/COLOR]
c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\stepx2.exe - [COLOR="#FF0000"]Trojan.BAT.Miner.i[/COLOR]
c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\taskmgr.exe - [COLOR="#FF0000"]Trojan.Win32.Inject.bwhr[/COLOR][/CODE]

Эти файлы я убивал регулярно, но они снова появлялись(
И флэшку при этом вирусовало все равно...
Вы не можете ткнуть пальцем - какой именно процесс ответственен за их создание?