Выполнен вредоносный код, приведший к краху

Добрый день!
В результате запуска исполняемого вредоносного файла и последующей перезагрузки произошло следующее (единственная прога которую смог нормально запустить и использовать для сбора инфы - Security Task Manager):
1. KIS7.0.0.125 более не загружается, "данное приложение не является win32".
2. В списке процессов после загрузки системы из папки windows/system32 появились: wintems.exe,hldrrr.sys, и их производные вида хххххх.exe (где хххххх - всегда цифры) в папке windows/system32/drivers/down.
А также подозрителен: checkweb.dll. Первые три из этих процессов периодически самозапускаются и начинают что-то делать (грузят систему)...
3. После загрузки, в Инет шлются запросы на всякие сайты...
4. Установка любых антивирусов бесполезна, т. к. после перезагрузки их невозможно запустить, "данное приложение не является win32".
5. Перезагрузка в безопасный режим приводит к синему экрану смерти.
6. Запуск AVZ.EXE невозможен, "данное приложение не является win32".
7. Запуск HiJackThis.exe приводит к ошибкам.
8. Большинство нужных программ автозапуска не запускаются при старте системы.
Создал KISом загрузочный диск восстановления и просканировал систему - все время находит вирус-червь wintems.exe, но после удаления и перезагрузки опять все по-старому.
Однако некоторые программы и Инет работает ( оно видимо паразитам тоже нужено :) ).
Есть ли у меня возможность восстановить все или единственный выход - переустанавливать систему?

Переименуйте AVZ в 546.pif и делайте логи.

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачать [/URL] в IceSword сделайте логи процессов и сервисов и Kernel Module ... сохраните и прикрепите к сообщению ......

После перезагрузки и перед изготовлением логов удалять с помощью Security Task Manager вредоносные процессы или нет?

делайте логи .... потом будем все удалять

[quote=Maxim;175368]Переименуйте AVZ в 546.pif и делайте логи.[/quote]
Переименование AVZ.EXE в Проводнике невозможно - он подвисает, приходится закрывать...

качайте IceSword ...

[quote=V_Bond;175396]качайте IceSword ...[/quote]
Скачал, ознакомился, запустил Reboot and Monitor. А где смотреть лог этого результата мониторинга?
Далее НЕ ВЫГРУЖАЯ ЗЛОВРЕДОВ сделал все возможные логи. Не все логи сделать получилось... Подскажите, если что не так.... Жду дальнейших указаний... Большое спасибо за участие...

А вот эти подозрительные файлы можете заархивировать с паролем virus и закачать сюда [url]http://virusinfo.info/upload_virus.php?tid=16703[/url] ?

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\down\164453.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
удалите ... IceSword ... (кнопка File находите нужный файл <delete> )

После удаления этих файлов и перезагрузки HLDRRR.EXE появился вновь в списке процессов, создалась папка DOWN и пошел трафик в Инет на всяческие сомнительные сайты. Интересно, как себя восстанавливает этот HLDRRR.EXE? Что и где еще посмотреть?
Поправка: ВСЕ ПРОЦЕССЫ ЗАГРУЖАЮТСЯ ВСЕ РАВНО ПРИ ПЕРЕЗАГРУЗКЕ !!!!
WINTEMS.EXE, HLDRRR.EXE, (123456.EXE и подобные). Я в печали...
И еще: WINTEMS.EXE запускается неким GERMAN.EXE. Последний полезный или его тоже удалить?
Итак, в результате: физич. удаление с диска и записей реестра ни к чему, увы, не приводит...

кроме указанных файлов удалите в IceSword ключи реестра ...

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
german.exe
C:\WINDOWS\system32\wintems.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
drvsyskit
C:\WINDOWS\system32\drivers\hldrrr.exe
удалите все антивирусы ...
попробуйте сделать логи авз ...

1. Удалил все антивирусы.
2. Удалил файлы.
3. Удалил записи реестра.
4. Перезагрузка.
5. Создал логи по новой. Проблема остается.
6. Утилита AVZ.exe переименовал в Проводнике Nero - и это получилось. Запуск 546.pif привел к сообщению: "данное приложение не является win32".
7. Попытки заархивировать файлы и выслать на указанный адрес неудачны, т. к. эти файлы видятся только в IceSword и их нельзя в нем заархивировать - нет такой команды (или не нашел?). Можно правда скопировать куда-либо, но толку?

Прилагаю логи.
И еще вопрос: как мне теперь сделать лог загрузки моего ноута?

в IceSword убиваете процессы (Process -Terminate process)

C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\down\162328.exe
C:\WINDOWS\system32\drivers\hldrrr.exe

удаляете файлы ...
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\down\164453.exe
C:\WINDOWS\system32\drivers\down\162328.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe

ключи реестра ...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
german.exe
C:\WINDOWS\system32\wintems.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
drvsyskit
C:\WINDOWS\system32\drivers\hldrrr.exe

удалите полностью папку ....
C:\WINDOWS\exefq

[quote=V_Bond;175469]удалите полностью папку ....
C:\WINDOWS\exefq[/quote]
Я проделал все действия, правда указанной вами папки не нашел. При перезагрузке все файлы восстанавливаются, их поведение тоже. ИМХО, нет смысла продолжать...

МНЕ УДАЛОСЬ НАЙТИ ИСХОДНЫЙ ЗЛОВРЕДНЫЙ ФАЙЛ КОТОРЫЙ ПРИВЕЛ К ЭТИМ ПЕЧАЛЬНЫМ ПОСЛЕДСТВИЯМ. Я ОТПРАВИЛ ЕГО ВАМ ПО ВЫШЕУКАЗАННОМУ АДРЕСУ ПОД ИМЕНЕМ hldrrrVirus.zip.

С ним надо очень осторожно - начинает плодиться при любом обращении...

Прошу сообщить есть ли смысл бороться дальше или ставить систему заново?

[b]Trojan-Downloader.Win32.Bagle.ik[/b] вот что вы прислали:)

И что мне делать????? Ни один антивирус не поставить, не запустить, удаление вирусных файлов ничего не дает, чистка рееестра тоже. Может есть некая утилитка, заточенная исключительно под данный вирус?

делать тоже самое ..... но не перегружаться .... !!!
после проделанных операций попробуйте запустить свежий Cureit (не перегружаясь) ... и просканировать систему ...

А восстановление системы отключено?