НИКАК НЕ УДАЕТСЯ ВЫЛЕЧИТЬ ОТ trojan.win32.monderc

Здраствуйте,

Надеюсь вы поможете мне вылечить то что я по-неосторожно натворил -

ПРОБЛЕМЫ:

1.Периодически открывается окно IE и пытается загрузить сайт

[url]http://sanitardiska.com/sanitardiska/?[/url]

gai=nm_othridmm2_wowm&gli=&gff=nm_156957_fda4ccc241d011ddbde6156957cfffff_3a46cca6fbb5418c8344983

6e9d24155&cmpnamegeo=rugeogdc&4=&cmpname=null&rff=file%3A%2F%2F%2FE%3A%2FVIRUSINFO.RU%

2Frules&tmn=vmmtkwron&aid=nm_othridmm2_wowm&lid=&affid=nm_156957_fda4ccc241d011ddbde6156957cfffff

_3a46cca6fbb5418c83449836e9d24155&ex=1&ed=2&h=10&j=1&mt_info=6031_0_14894%

3A4675_0_17950:4673_0_2747&rdr=2&cmpnamegeo=null&4858530607&mt_info=6031_0_14894:4675_0_17950:467

3_0_2747

2. IE и Mozilla заметно виснут и тормозят, при попытке загрузить какую-либо страницу -

explorer.exe вызвало ошибку и будет закрыто

3. KIS каждый раз при загрузке системы находит .dll файлы с трояном Trojan.Win32.Monderc.a в

с:\windows\system32 (типа: xucqwbor.dll xrxhfysm.dll) Также при загрузке открывается окно ошибки:

Не найден указанный модуль c:\windows\system32\fhobuiia.dll

(До этого при сканировании были еще найдены -

удалено: троянская программа Trojan.Win32.Monder.aen Файл:

C:\Users\alexei.oleynik\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\7BSWK1J9\kb456456[1]
удалено: рекламная программа not-a-virus:AdWare.Win32.Virtumonde.zic Файл:

C:\Users\alexei.oleynik\AppData\Local\Temp\tmp0001990e
удалено: троянская программа Backdoor.Win32.Rbot.jrs Файл: E:\SOFTWARE\CorelDRAW Graphics

Suite X4 14.0 FULL\CorelDRAWGraphicsSuiteX4Installer_EN.exe//#//Armadillo
удалено: троянская программа Trojan.Win32.Monderc.gen Файл:

E:\SOFTWARE\Nero_Ultra_Edition_8.3.2.1b\Nero-8.3.2.1b.exe//data0000.cab/is156957.exe
обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\Windows\Explorer.EXE
удалено: троянская программа Trojan.Win32.Monderc.a Файл: C:\Windows\System32\woiuxlwd.dll
удалено: рекламная программа not-a-virus:AdWare.Win32.Virtumonde.zji Файл:

C:\Windows\System32\xekdxdpn.dll
удалено: троянская программа Trojan.Win32.Monderc.a Файл: C:\Windows\System32\xucqwbor.dll
удалено: троянская программа Trojan.Win32.Monderc.a Файл: C:\Windows\System32\xrxhfysm.dll

)

4.Еще KIS показывает что C:\Windows\Explorer.EXE периодически пытается прописать какого-то

троянца в реестре, ну или как-то так...

01.07.2008 11:47:30 C:\Windows\Explorer.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3c69fec6

rundll32.exe "C:\Windows\system32\btaiqdiy.dll",b Строка Unicode, заканчивающаяся нулем

Изменение обнаружен

и IE тоже пытается что-то прописать, видимо связанное с каким-то нехорошим плагином/аддоном

01.07.2008 11:47:31 C:\Program Files\Internet Explorer\iexplore.exe HKEY_USERS\S-1-5-21-

281039192-1470627282-1347242591-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

ITBar7Layout 13 00 00 00 00 00 00 00 00 00 00 00 30 00 00 00 10 00 01 00 17 00 00 00 01 00 00

00 00 07 00 00 64 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 be c0 2e 18 10 51 c8

49 a0 62 be b1 d0 2a 22 0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Free form binary

Изменение обнаружен

5. Время от времени компьютер зависает полностью, ипри этом картиинка на экране становиться

откровенно сглючившейся (если можно так сказать)

Заранее спасибо.

Запускайте AVZ право кнопкой через "от имени Администратора".
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\fhobuiia.dll','');
QuarantineFile('C:\Windows\system32\byXOeBrO.dll','');
QuarantineFile('C:\Windows\system32\btaiqdiy.dll','');
DeleteFile('C:\Windows\system32\btaiqdiy.dll');
DeleteFile('C:\Windows\system32\byXOeBrO.dll');
DeleteFile('C:\Windows\system32\fhobuiia.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25676[/url]).
Сделайте новые логи, начиная с п.10 правил.

СПАСИБО ЗА ПОМОЩЬ, ВОТ НОВЫЕ ЛОГИ -

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {52E67A72-5CC5-4E4B-A5F7-53C73E59E78E} - C:\Windows\system32\byXOeBrO.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
Больше ничего плохого не видно.
Какие-то проблемы остались?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\btaiqdiy.dll - [B]Trojan.Win32.Monderc.gen[/B] (DrWEB: Trojan.Virtumod.443)[*] c:\\windows\\system32\\byxoebro.dll - [B]Trojan.Win32.Monderc.gen[/B] (DrWEB: Trojan.Virtumod.based.21)[/LIST][/LIST]