В автозагрузке неудаляемый процесс monoca32.exe (заявка №26579)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
На компьютере c XP SP2 в автозагрузке появился файл monoca32.exe. Процесс svchost.exe потребляет около 50% ресурсов процессора. У другого пользователя на этом же компьютере этот вирус в автозагрузке отсутствует. Что это за вирус?
--------------------------------------------------------------------------------

Удаление ссылок из реестра не помогает, процесс появляется снова. Подозрительной сетевой активности нет.
Не помогло выполнение скрипта от Olejah найденного по ссылке http://216.246.90.119/showthread.php?t=84332 и выполненного в AVZ в безопасном режиме

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Поиск файла на диске ничего не дал. Очень прошу помочь.
Дата обращения: 02.08.2010 5:07:26
Номер заявки: 26579

[CyberHelper]

02.08.2010 23:30:23 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\save2pc_light.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 1682432 байт
   • дата файла: 22.08.2009 2:31:38
   • версия: "3.5.5.0"
2. C:\thumbs.db - подозрительный, обрабатывается вирлабом
   
   • размер: 5632 байт
   • дата файла: 11.05.2010 0:53:14
3. C:\Documents and Settings\ilia\Local Settings\Application Data\Google\Chrome\Application\5.0.375.125\rlz.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 111672 байт
   • дата файла: 23.07.2010 2:02:16
4. C:\Documents and Settings\ilia\Главное меню\Программы\Автозагрузка\monoca32.exe - Packed.Win32.Krap.ao
   
   • размер: 26112 байт
   • дата файла: 17.08.2004 12:05:06
   • версия: "1, 0, 0, 1"
   • копирайты: "Copyright (C) 2010"
   • детект других антивирусов: BitDefender: Зловред Gen:Trojan.Heur.FU.bC0@aOd2wIii; Avast4: Зловред Win32:Crypt-HCS [Drp]
5. C:\WINXP\Installer\{5058B085-AA79-41E5-A726-681B4C4B846E}\ACDSeeDesktopShortcut.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 61440 байт
   • дата файла: 29.07.2006 19:02:42
   • версия: "8.0.158"
   • копирайты: "Copyright © 2000"
6. C:\Documents and Settings\ilia\Application Data\Microsoft\Internet Explorer\Quick Launch\mp3DirectCut.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 66080 байт
   • дата файла: 10.04.2009 19:54:22
   • версия: "2.1.1.0"
   • копирайты: "Copyright (c) 2000-2009 Martin Pesch"
7. C:\thumbs.db - подозрительный, обрабатывается вирлабом
   
   • размер: 5632 байт
8. C:\Documents and Settings\ilia\Главное меню\Программы\Автозагрузка\monoca32.exe - Packed.Win32.Krap.ao
   
   • размер: 26112 байт
   • версия: "1, 0, 0, 1"
   • копирайты: "Copyright (C) 2010"
   • детект других антивирусов: BitDefender: Зловред Gen:Trojan.Heur.FU.bC0@aOd2wIii; Avast4: Зловред Win32:Crypt-HCS [Drp]

[CyberHelper]

02.08.2010 23:30:33 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\save2pc_light.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 1682432 байт
   • дата файла: 22.08.2009 2:31:38
   • версия: "3.5.5.0"
2. C:\thumbs.db - подозрительный, обрабатывается вирлабом
   
   • размер: 5632 байт
   • дата файла: 11.05.2010 0:53:14
3. C:\Documents and Settings\ilia\Local Settings\Application Data\Google\Chrome\Application\5.0.375.125\rlz.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 111672 байт
   • дата файла: 23.07.2010 2:02:16
4. C:\Documents and Settings\ilia\Главное меню\Программы\Автозагрузка\monoca32.exe - Packed.Win32.Krap.ao
   
   • размер: 26112 байт
   • дата файла: 17.08.2004 12:05:06
   • версия: "1, 0, 0, 1"
   • копирайты: "Copyright (C) 2010"
   • детект других антивирусов: BitDefender: Зловред Gen:Trojan.Heur.FU.bC0@aOd2wIii; Avast4: Зловред Win32:Crypt-HCS [Drp]
5. C:\WINXP\Installer\{5058B085-AA79-41E5-A726-681B4C4B846E}\ACDSeeDesktopShortcut.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 61440 байт
   • дата файла: 29.07.2006 19:02:42
   • версия: "8.0.158"
   • копирайты: "Copyright © 2000"
6. C:\Documents and Settings\ilia\Application Data\Microsoft\Internet Explorer\Quick Launch\mp3DirectCut.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 66080 байт
   • дата файла: 10.04.2009 19:54:22
   • версия: "2.1.1.0"
   • копирайты: "Copyright (c) 2000-2009 Martin Pesch"
7. C:\thumbs.db - подозрительный, обрабатывается вирлабом
   
   • размер: 5632 байт
8. C:\Documents and Settings\ilia\Главное меню\Программы\Автозагрузка\monoca32.exe - Packed.Win32.Krap.ao
   
   • размер: 26112 байт
   • версия: "1, 0, 0, 1"
   • копирайты: "Copyright (C) 2010"
   • детект других антивирусов: BitDefender: Зловред Gen:Trojan.Heur.FU.bC0@aOd2wIii; Avast4: Зловред Win32:Crypt-HCS [Drp]

[CyberHelper]

03.08.2010 11:40:37 лечение успешно завершено