Dr.Web обнаружил и удалил backdoor.generic.1138, но нет доступа к regedit

Добрый Вам день, хотя для меня он не очень добрый.

Прошу помощи и совета.

Вот предыстория:
принес на флешке инфу (взятую из дома - интересно вирус там тоже?) на работу, когда подключил - Dr.web (со свежайшей базой) ругнулся и нашел несколько файлов. Я нажимал "лечить" (во всплывающих окнах). Потом посмотрел содержимое флешки - там была (помимо прочих) одна неизвестная мне папка (имя уже забыл) с расширением exe (т.е. она выглядела как картинка-папка, но имя содержало в конце ".exe"). Т.к. я считал, что все лишнее DrWeb уже вылечил - я кликнул по ней - открылось окно проводника в папке "Мои рисунки". Мне это не понравилось - я запустил DrWeb на сканирование флешки - он опять нашел несколько файлов, которые идентифицировал как backdoor.generic.1138, которые я удалил. Потом мне стало любопытно - что это было. Вышел на страницу [URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=121383"]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=121383[/URL], после прочтения попытался запустить regedit - и получил "замечательное" сообщение, что редактирование реестра запрещено администратором системы, также нет доступа к изменению свойств папки.

Т.е. видимо DrWeb либо совсем не исправил либо не полностью исправил ситуацию.

Подскажите, пожалуйста, как это лечиться?

Файлы полученные с помощью AVZ и hijackthis прилагаю.

1. Пришлите для анализа файлы:
C:\DOCUME~1\FE66~1\LOCALS~1\Temp\er28660546.exe
C:\Documents and Settings\Виктор\Главное меню\Программы\Автозагрузка\RS.exe

2. AVZ, Файл/Восстановление системы, там отметить "Удаление всех Policies (ограничений) текущего пользователя" и нажать кнопку "выполнить отмеченные операции", после чего перезагрузиться. После этого regedit должен заработать

Добрый день, Олег.

Большое спасибо за внимание, поразительную оперативность и реальную помощь.
А помощь уже действительно оказана - после запуска скрипта AVZ стал доступен реестр и свойства папки :) - огромное спасибо.

Что касается файлов:
- я не смог найти файл "C:\DOCUME~1\FE66~1\LOCALS~1\Temp\er28660546.exe" - с помощью поиска в проводнике смог найти только "ER28660546.EXE-1B013EA9.pf" в папке "C:\WINDOWS\Prefetch" - высылаю его.
- файл "C:\Documents and Settings\Виктор\Главное меню\Программы\Автозагрузка\RS.exe" - нашел, отправляю. Вообще то это программа, которая переводит сумму из цифренного формата в текстовый и не раз мне пригождалась - будет очень жаль, если она вредоносная...

Кстати, сейчас еще раз проверил С диск и флешку DrWeb'ом - он ничего не нашел. Да и доступ теперь есть ко всему.

Есть ли еще вероятность присутствия вируса?

Еще раз большое спасибо Вам, Олег.

[QUOTE=Becar]
....
Есть ли еще вероятность присутствия вируса?
[/QUOTE]
Видимо, DrWeb убил зловреда, но не почистил реестр после его удаления.
RS.exe проверен - он не опасен.

Зайцев Олег, объявляю Вам огромную благодарность за профессионализм и оперативность.

Обязуюсь рассказать эту happy end'овскую историю всем своим друзьям и знакомым - так что если Вам будет икаться - не пугайтесь это я Вас буду расхваливать.

Надеюсь, что Ваша деятельность не будет держаться только на вызывающем уважение безвозмездном альтруизме, а найдет хорошую материальную поддержку - желаю, чтоб Ваш AVZ как минимум вышел в тройку наилучших антивирусов и приносил Вам достойную прибыль.

Большое спасибо.
Виктор.