Непонятный процесс после зависания компьютера

Компьютер завис, после перезагрузки была запущена утилита GMER (последняя перезагрузка перед этим была более двух месяцев назад), сразу возник вопрос о взломе.
В списке работающих процессов и модулей найдены случайноназванные бессмысленным набором знаков и отсутствующие физически на диске файлы. Имена меняются каждый раз при перезагрузке.
Тотчас же жесткий диск был отключен и через USB-переходник подключен к другому, запущены CureIt! (полное сканирование), следом полностью просканирован GMER-ом и AVZ. Никто ничего не нашёл.
Работа идет из под ограниченной учётки.

Уважаемый(ая) [B]The_Unbeliever[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

После установки SP3 система ушла в глухой BSOD на старте. Лишь спустя неделю получилось сделать откат в рабочее состояние из резервной копии. Удалось c помощью AVZ сделать дамп подозрительного процесса и "копию" в карантин. GMER утверждает, что перехват функций осуществляется по \driver\atapi\device\ide\*; \driver\nvgts\device\scsi\*; \driver\имяпроцесса\device\scsi\*; \filesystem\ntfs\ntfs

Драйвера с меняющимся названием типа a*******.sys - от родного эмулятора ATAPI/IDE от Microsoft

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Драйвер на первом скриншоте - от CureIt

Благодарю за помощь. Успокоили. Хотя MS могло бы и предупредить.
Закрывайте тему.