Как быть?

Не могу выполнить ни одно из Ваших требований. Ни AVZ, ни [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] не запускаются. Переименованный [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] начинает выполнение, но, по-моему, не доводит до конца и лог не создает. Ни одна из антивирусных программ также не запускается. On-line проверка (Kaspersky On-line scanner, Bitdefender) показывает наличие вирусов в системной области. Попытка зпустить CureIt блокируется: нажимаю Пуск и окно программы исчезает. Такое чувство, что какой-то вирус, зная названия антивирусов, просто бокирует их работу. Например, попытка запуска ранее установленных KIS7 и Spybot Search&Destroy дает сообщение "не является приложением Win", а попытка установки новой версии Spybot Search&Destroy - "не могу создать процесс". Что можно сделать?
P.S. В безопасном режиме система (у меня WinXP SP2) не запускается, восстановление также выполнить не могу. Повторная установка Win (в режиме восстановления) также ничего не дала.

Скачайте переименованный [url=http://ifolder.ru/6196702]IceSword[/url] (его exe-файл в hockey.pif)
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.

Громадное спасибо, думаю, что направление правильное, но... "Instilized Failed..." Не получается. Файл srosa.sys дважды упоминался при появлении синего экрана, а wintems.exe Bitdefender определял как вирус.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 1 минуту[/I][/B][/color][/size]

Вручную удаляю ключ реестра HKEY_CURRENT_USER\Software\FirstRRRun, перезапускаю, загрузка CPU становится нормальной (за последние сутки она все время 100%), но через некоторое время синий экран. Помогите, пожалуйста, а то проблемы идут по нарастающей. Может я неправильно запускаю hockey.pif?Пробовал и из командной строки, и из проводника.
Других ключей вручную с помощью regedit не обнаружил

Запустите IceSword.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.

[quote=wise-wistful;221802]Скачайте переименованный [URL="http://ifolder.ru/6196702"]IceSword[/URL] (его exe-файл в hockey.pif)
Запустите его...[/quote]
Он не запускается, ошибка инициализации

Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: [url]http://swandog46.geekstogo.com/avenger2/download.php[/url]
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):

[code]
Comment:
Script to delete the Bagle worm

Drivers to disable:
srosa

Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
c:\windows\system32\hidr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld[/code]


Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (он здесь: C:\avenger.txt )

Ни Win, ни FAR, ни WinCMD не выполняют команду по переименованию файла. Может можно где-то скачать переименованный?

Сейчас переименую и залью куда нибудь.

Нет слов для благодарности. Спасибо-слишком мало!

Переименованный [url=http://ifolder.ru/6367408]Avenger[/url]
Если Avenger не запустится, тогда скачайте этот [url=http://ifolder.ru/6366326]файл[/url]. запустите рег файл, разрешите внести изменния в реестр. перезагрузитесь в безопасном режиме. Если не успели с первого раза перезагрузиться, тогда снова запустите рег файл.
Выполните рекомендованный скрипт для Avenger.

Ну никак! Переименованный avenger на 2-3 сек запускается и все. А с файлом safe_boot_XPSP2Pro делаю так: двойной щелчок, предупреждение о внесении изменений в рееестр, нажимаю ОК, сообщение об успешном завершении, нажимаю RESET, F8, выбираю безопасный режим, начинается запуск, через некоторое время до входа в безопасный режим происходит рестарт. И все!!! Пробовал уже в DOS удалить папку Download и srosa.sys. Все бестолку. Ну что еще попробовать? Неужели не добьем эту заразу?

Попробуйте ещё этот [url=http://ifolder.ru/6367793]файл [/url] а потом попробуйте войти в безопасный режим.

Спасибо, что Вы еще боритесь. Сейчас попробую.

Попробуйте еще такой переименованный Avenger [url]http://www.megaupload.com/ru/?d=OUCJ5J9F[/url] (он уже распакован и переименован в football.pif ). Он запустится?

[quote=wise-wistful;221918]Попробуйте ещё этот [URL="http://ifolder.ru/6367793"]файл [/URL]а потом попробуйте войти в безопасный режим.[/quote]
Пока безрезультатно: в безопасном не грузится. Продолжаю пробовать

Сейчас перевожу одну инструкцию попробуем ещё один метод, если метод предложенный [b]kps[/b] не сработает.

[quote=kps;221932]Попробуйте еще такой переименованный Avenger [URL]http://www.megaupload.com/ru/?d=OUCJ5J9F[/URL] (он уже распакован и переименован в football.pif ). Он запустится?[/quote]
Запускается, но так быстро закрывается, что толком ничего не успеваю. При попытке вставке текста скрипта, полученного путем копированием из Вашего сообщения, вижу, что вставляется не то, что копировал. Вот так. Попытка записать текст скрипта, а затем его загрузить безрезультатна в силу ограниченности по времени (программа быстрей закрывается, чем я успеваю сделать это)

У Вас e-mail есть? Напишите его здесь или мне в личку, я Вам кое-что скину.

Отправил в личку. Пробовал удалить с помощью MiniLiveCD. Удалил все, что мог, а результат прежний

avenger удалось запустить. Вот лог. Эти файлы я удалял из MiniLiveCD, наверно поэтому он и не смог выполнить скрипт

Давайте ещё сделаем вот так.

Скачайте ComboFix по одной из ссылок [url=http://subs.geekstogo.com/ComboFix.exe]ссылка1[/url], [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка 3[/url]

Скачивать прийдётся дважды. Один раз не переименовывая, второй раз переименовывая.
Во время загрузки, когда Вам предложат сохранить файл переименуйте Combofix в Combo-Fix. Очень важно что бы Вы переименовали именно перед сохранением файла на диске а не после.

Не переименовывайте Combofix во что либо иное.

Теперь нужно установить Консоль восстановления. Загрузите с Microsoft's website => [url]http://support.microsoft.com/kb/310994[/url]

Для загрузки выбирете Вашу операционную систему чистая XP, XP Service Pack 1, Service Pack 2

Сохраните файл под тем именем под которым он будет загружаться. после этого переместите Combofix.exe, Combo-Fix.exe и файл содержащий консоль восстановления в корень диска С (это необходимо так как пути содержащие кирилицу не поддерживаются).

Выгрузите все антивирусные и анти-вредоносные программамы, чтобы они не нарушали работу ComboFix.
Теперь закройте все окна и программы, а затем перетащите установку пакета на ComboFix.exe и положите сверху на него.
[IMG]http://img.photobucket.com/albums/v666/sUBs/rc1.gif[/IMG]
Следуйте инструкциям, примите договор о Лицензионном соглашении конечного пользователя для установки Консоли восстановления Microsoft.
Когда установка консоли будет завершена, закройте все открытые браузеры.

Дважды щелкните на Combo-Fix.exe и следуйте инструкциям на экране.
После окончания сканирования, он должен создать лог. Сохраните этот лог на рабочем столе в Combofix.txt и прикрипите его в Вашему следующему сообщению. (Лог также можно найти по адресу C: \ Combofix.txt)

Ну вот, почти победа!!! Жалко, что Вы, мужики, далеко. Я бы Вас обнял и крепко пожал Ваши руки. Запустился и IceSword. Почистил реестр. Попытки запустить установленные ранее CureIt и KIS выдали сообщение "не является приложением Win", но по новой KIS установился, чего ранее делать не хотел. Как мне теперь быть, запускать ли ComboFix?

Похоже, У Вас активного Багла уже нет. Combofix уже не надо. Удалите AVZ, скачайте заново и сделайте логи по правилам.

Лог ComboFix'a приложите к следующему сообщению.

Сделал логи. Лог ComboFix'a будет в следующем.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\winstart.bat','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22264[/url]

Логи Combofix

Карантин отправил. Получили?

Карантин получили ждём ответа аналитиков по поводу файлов - вредоносы или нет.

Отлично, буду ждать и я.

ckldrv.sys, winstart.bat_

Вредоносный код в файлах не обнаружен.

Громадное спасибо за помощь!!!

После лечения от червя Вам хорошо бы выполнить на всякий случай пункт 2 правил (CureIt! надо скачать заново).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]