WINLOGON, rar.exe и все, все, все

Что то интересное стало твориться на машине дома. Заметил в диспетчере задач что постоянно то запускается, то закрывается процесс rar.exe (Из D:\Programm files\WinRAR). Программой, которая отслеживает обащения к файловой системе выяснил что процесс обращается к файлам %WINDIR%\System32\__rar_00.000 и %WINDIR%\System32\%MS%HCopy.tmp. Причем постоянно то пишет в них, то читает. Файлов __rar_ было несколько с расширением разных номеров (типа как у многотомного архива). На проверку оба файла оказались действительно rar-архивами, перименовал расширение, открыл архиватором, в архиве оказалось выборочно структура содержимого соседнего диска. Переименовал rar.exe в rar.exe.bak и удалил все его файлы из system32, после перезагрузки машина вошла в такой ступор, что загрузка винды заняла 2 часа, а процесс winlogon занимал 100% процессорного времени. (Ксати недавно приносили ноутбук с такими же симптомами, но там просили переставить винду, я и переставил... видать от него и заразился... флешку втыкал, пытался скинуть антивирь). Дождался пока запустится диспетчер задач (на это ушло 2,5 часа) понизил приоритет процесса winlogon до минимального, после этого на машине хоть что-то можно было делать... Затем той же программой сканирования обращения к файлам увидел что процесс winlogon пытается обратиться к файлам rar.exe и rar.exe.exe только почему то уже ищет их в %WINDIR%\System32, на что ессно получает "File not found" и этими обращениями завешивает все на свете. Перименовал rar.exe.bak обратно и скопировал в system32, после этого система "ожила", winlogon перестал отъедать процессорное время, появились новые файлы в system32, стал опять запускаться rar.exe. Вот и что это за зараза? в инете ничего не нашел по этому вопросу...

И еще... тот вирус, что передается через флешки, создавая autorun.inf в корне, папку Recycler с autorun.exe внутри чем лечить? на этой же машине...

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINXP\system32\kernel32.sys','');
QuarantineFile('d:\program files\winrar\rar.exe','');
QuarantineFile('D:\WINXP\system32\ati2sgag.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Файлы карантина пришлите согласно приложению 3 правил.

[QUOTE=FireBall;109758]Заметил в диспетчере задач что постоянно то запускается, то закрывается процесс rar.exe (Из D:\Programm files\WinRAR). [/QUOTE]
Что-то знакомое. Пару дней назад был такой клиент в [URL="http://www.trojaner-board.de"]ТБ[/URL]: он получил WinRAR в "подарок" от приятеля - вместе с кряком ;) . Так этот кряк и пытался позвонить домой.

Карантин отправил..

[B]2 Rene-gad:[/B] система стоит уже давно, winrar ставился сразу после установки винды и сразу же ломался, а эта канитель началась недавно..

Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINXP\system32\kernel32.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
файл Worm.Win32.Agent.o
После перезагрузки новые логи.

Залечил, файл удалился. прикрепляю новые логи

Пофиксите.
[QUOTE]O20 - AppInit_DLLs: kernel32.sys[/QUOTE]
А вообще, имейте совесть, читайте правила - логи надо делать отключив все лишнее, браузер включить. А то логи километровые. Уважайте труд хелперов.
А также [QUOTE]Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\winxp\\system32\\kernel32.sys - [B]Worm.Win32.Agent.o[/B] (DrWEB: Trojan.MulDrop.4601)[/LIST][/LIST]