Решена - Trojan.Win32.Ddox.ci

После безуспешной борьбы с этой заразой решил обратится к вам.
Пробовал и AVP Tool, и AVZ, и DrWebCure it. Не каждая программа его видела и многое приходилось удалять вручную. Но все решения помогают лишь временно, после очередной перезагрузки вирус снова возвращается.
IE не пользуюсь, в качестве браузера работает OPERA. Антивирусник - NOD32 v.4.
Лог hijackthis
Логи AVZ

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\windows\vm_sti.exe');
 StopService('catchme');
 DeleteFile('c:\windows\vm_sti.exe');
 DeleteFile('C:\WINDOWS\system32\jegaqgk.dll');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');
 DeleteFile('C:\DelFin\Vers.exe');
 DeleteFile('C:\Program Files\Common Files\msadco40.tlr');
 DeleteFile('h:\eeba6724fc2b339f17f63bb5cd0290\wgasetup.exe');
 DeleteFile('C:\System Volume Information\_restore{91ECC31F-1521-43DC-A3FA-20F796D04443}\RP54\A0015532.dll');
 DeleteFile('C:\Program.exe');
 DeleteFile('C:\WINDOWS\system32\dllcache\userinit.exe');
 DelCLSID('XCShInfo');
 DeleteService('catchme');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.ask.com/?l=dis&o=15430
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.westbyte.com/dm/
R3 - URLSearchHook: UrlSearchHook Class -  {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program  Files\Ask.com\GenericAskToolbar.dll
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O20 - AppInit_DLLs: C:\WINDOWS\system32\jegaqgk.dll
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

 

Выполнил все действия, вот логи после выполнения:
Лог hijackthis
Логи AVZ
Логи MBAM.
Только MBAM после сканирования обнаружил вредоносцев в папке Оперы и временных файлов. После обновил IE до 8 версии. При фиксе в HijackThis не было только следующей строчки:

Пока проявлений вирусной активности более обнаружено не было, но так как вирус проявлял себя и по прошествии трех-четырех перезагрузок, думаю можно понаблюдать еще пару дней.
Но за помощь спасибо.