Был заблокирован Windows

С неделю назад при переходе с Оперы в Эксплорер поймала вирус-вылезло окно о том,что заблокирован Windows и что надо прислать смс по указанному номеру.С подсказки зашла через безопасный режим,нашла Ваш сайт,выполнила все рекомендации (DrWeb нашел целую кучу вирусов-и червей и троянов.Почти все вылечил,а те,что не смог не уверенна,что не вернулись обратно.Правда,последующая проверка Касперским выявила,что вирусы "помещены в карантин DrWeb).К тому времени окно вылезать перестало,но закапризничал NOD32-никакое сканирование не делает,выдает "NOD32-on-demand scanner-обнаружена ошибка".Значок антивируса присутствует, обновление было. Помогите,пожалуйста!

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Eset\nod32r.dll','');
QuarantineFile('C:\Documents and Settings\Diana\DoctorWeb\Quarantine\A0160966.exe','');
DeleteFile('C:\Documents and Settings\Diana\DoctorWeb\Quarantine\A0160966.exe');
DeleteFile('C:\Documents and Settings\Diana\DoctorWeb\Quarantine\A0160974.exe');
DeleteFile('C:\Documents and Settings\Diana\DoctorWeb\Quarantine\A0160981.exe');
DeleteFile('C:\Documents and Settings\Diana\DoctorWeb\Quarantine\A0165251.exe');
DeleteFile('C:\WINDOWS\system32\drivers\qqplkn.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=44516[/url]

3. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]

4. Повторите логи.

Не удалось выполнить п.3. Сделала reg-файл. В ответ пишется:"не удалось импортировать.Не все данные были записаны в реестр.Некоторые разделы были заняты системой или другими процессами".А с regedit'ом я не знакома.

[QUOTE=Диана1;393406]А с regedit'ом я не знакома.[/QUOTE]
Пуск -> Выполнить -> regedit

Дальше все подробно расписано. Спрашивайте если возникнут вопросы.

Исправить в regedit не получилось. В ответ: "Ошибка при записи нового значения параметра".

Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\system32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\system32\svchost.exe -k netsvcs');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.

Ошибка:Not enough actual parameters в позиции 3:17.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\system32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\system32\svchost.exe -k netsvcs');
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!

Повторите логи.

После перезагрузки появился мастер настройки нового оборудования и запросил диск или выход в интернет. В regedit по-прежнему стоит %fystemRoot...

Ждем новые логи!

Высылаю новые логи.

В логах ничего подозрительного не видно.
На Мастер оборудования не обращайте внимания, это из-за драйверов AVZ, чуть позже удалим. Очень интересно, почему же не удается исправить этот [I]fystemroot[/I]. Заархивируйте файл [B]C:\WINDOWS\system32\config\SYSTEM [/B](который без расширения) и загрузите по ссылке для карантина.

У меня в config стоит systemprofile (просто system нет). Присылать его?

Плохо искали.
[B]systemprofile [/B]- это папка, а нужен файл [B]system[/B].
Он там есть, его не может не быть.

Нашла,только архивировать не получается-"процесс не может получить доступ к файлу, так как этот файл занят другим процессом".

Да, действительно, так просто не получается... Ну хорошо, попробуйте в regedit посмотреть разрешения для подраздела, в котором исправляете параметр (bits, wuauserv). Должен быть включен полный доступ группе администраторов.

Нет. Там в окошках "полного доступа" не проставлены галочки ни на "разрешить", ни на "запретить". И на "чтении" тоже.

Значит нужно поставить разрешение.

Получилось исправить fystemroot. NOD теперь будет нормально сканировать или эти изменения касаются только самой системы?

Теперь будет работать автообновление Windows, если оно у вас включено. К Ноду эти службы отношения не имеют.

Сделайте полный комплект логов по [URL="http://virusinfo.info/pravila.html"]правилам.[/URL]

А что тогда делать с Нодом?Сканирование не запускается. Переустановить?

Да, его можно переустановить.

Благодарю за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\diana\doctorweb\quarantine\a0160966.exe - [B]Trojan.Win32.Autoit.xp[/B] ( DrWEB: Win32.HLLW.Autohit.6656, BitDefender: Trojan.Heur.AutoIT.1 )[/LIST][/LIST]