Как быть?

Не могу выполнить ни одно из Ваших требований. Ни AVZ, ни [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] не запускаются. Переименованный [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] начинает выполнение, но, по-моему, не доводит до конца и лог не создает. Ни одна из антивирусных программ также не запускается. On-line проверка (Kaspersky On-line scanner, Bitdefender) показывает наличие вирусов в системной области. Попытка зпустить CureIt блокируется: нажимаю Пуск и окно программы исчезает. Такое чувство, что какой-то вирус, зная названия антивирусов, просто бокирует их работу. Например, попытка запуска ранее установленных KIS7 и Spybot Search&Destroy дает сообщение "не является приложением Win", а попытка установки новой версии Spybot Search&Destroy - "не могу создать процесс". Что можно сделать?
P.S. В безопасном режиме система (у меня WinXP SP2) не запускается, восстановление также выполнить не могу. Повторная установка Win (в режиме восстановления) также ничего не дала.

Скачайте переименованный [url=http://ifolder.ru/6196702]IceSword[/url] (его exe-файл в hockey.pif)
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.

Громадное спасибо, думаю, что направление правильное, но... "Instilized Failed..." Не получается. Файл srosa.sys дважды упоминался при появлении синего экрана, а wintems.exe Bitdefender определял как вирус.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 1 минуту[/I][/B][/color][/size]

Вручную удаляю ключ реестра HKEY_CURRENT_USER\Software\FirstRRRun, перезапускаю, загрузка CPU становится нормальной (за последние сутки она все время 100%), но через некоторое время синий экран. Помогите, пожалуйста, а то проблемы идут по нарастающей. Может я неправильно запускаю hockey.pif?Пробовал и из командной строки, и из проводника.
Других ключей вручную с помощью regedit не обнаружил

Запустите IceSword.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.

[quote=wise-wistful;221802]Скачайте переименованный [URL="http://ifolder.ru/6196702"]IceSword[/URL] (его exe-файл в hockey.pif)
Запустите его...[/quote]
Он не запускается, ошибка инициализации

Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: [url]http://swandog46.geekstogo.com/avenger2/download.php[/url]
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):

[code]
Comment:
Script to delete the Bagle worm

Drivers to disable:
srosa

Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
c:\windows\system32\hidr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld[/code]


Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (он здесь: C:\avenger.txt )

Ни Win, ни FAR, ни WinCMD не выполняют команду по переименованию файла. Может можно где-то скачать переименованный?

Сейчас переименую и залью куда нибудь.

Нет слов для благодарности. Спасибо-слишком мало!

Переименованный [url=http://ifolder.ru/6367408]Avenger[/url]
Если Avenger не запустится, тогда скачайте этот [url=http://ifolder.ru/6366326]файл[/url]. запустите рег файл, разрешите внести изменния в реестр. перезагрузитесь в безопасном режиме. Если не успели с первого раза перезагрузиться, тогда снова запустите рег файл.
Выполните рекомендованный скрипт для Avenger.

Ну никак! Переименованный avenger на 2-3 сек запускается и все. А с файлом safe_boot_XPSP2Pro делаю так: двойной щелчок, предупреждение о внесении изменений в рееестр, нажимаю ОК, сообщение об успешном завершении, нажимаю RESET, F8, выбираю безопасный режим, начинается запуск, через некоторое время до входа в безопасный режим происходит рестарт. И все!!! Пробовал уже в DOS удалить папку Download и srosa.sys. Все бестолку. Ну что еще попробовать? Неужели не добьем эту заразу?

Попробуйте ещё этот [url=http://ifolder.ru/6367793]файл [/url] а потом попробуйте войти в безопасный режим.

Спасибо, что Вы еще боритесь. Сейчас попробую.

Попробуйте еще такой переименованный Avenger [url]http://www.megaupload.com/ru/?d=OUCJ5J9F[/url] (он уже распакован и переименован в football.pif ). Он запустится?

[quote=wise-wistful;221918]Попробуйте ещё этот [URL="http://ifolder.ru/6367793"]файл [/URL]а потом попробуйте войти в безопасный режим.[/quote]
Пока безрезультатно: в безопасном не грузится. Продолжаю пробовать

Сейчас перевожу одну инструкцию попробуем ещё один метод, если метод предложенный [b]kps[/b] не сработает.

[quote=kps;221932]Попробуйте еще такой переименованный Avenger [URL]http://www.megaupload.com/ru/?d=OUCJ5J9F[/URL] (он уже распакован и переименован в football.pif ). Он запустится?[/quote]
Запускается, но так быстро закрывается, что толком ничего не успеваю. При попытке вставке текста скрипта, полученного путем копированием из Вашего сообщения, вижу, что вставляется не то, что копировал. Вот так. Попытка записать текст скрипта, а затем его загрузить безрезультатна в силу ограниченности по времени (программа быстрей закрывается, чем я успеваю сделать это)

У Вас e-mail есть? Напишите его здесь или мне в личку, я Вам кое-что скину.

Отправил в личку. Пробовал удалить с помощью MiniLiveCD. Удалил все, что мог, а результат прежний

avenger удалось запустить. Вот лог. Эти файлы я удалял из MiniLiveCD, наверно поэтому он и не смог выполнить скрипт