В работе - Зацепила Trojan.Win32.Ddox.ci логи сделала

Антивирус ничего не находит, браузеры все время выдают наличие Trojan.Win32.Ddox.ci, в нете работать невозможно, сайты открываются криво.

Логи:
http://webfile.ru/5406082
http://webfile.ru/5406091

Очень нужна помощь!

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\user\local  settings\application  data\mail.ru\gamedownloader\gamecenter@mail.ru.exe');
 SetServiceStart('Seekeen Service', 4);
 StopService('Seekeen Service');
 DeleteFile('c:\documents and settings\user\local settings\application data\mail.ru\gamedownloader\gamecenter@mail.ru.exe');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\GameDownloader\devil.dll');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\GameDownloader\libcurl.dll');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\GameDownloader\libeay32.dll');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\GameDownloader\libssl32.dll');
 DeleteFile('C:\WINDOWS\system32\qwgsysn.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Seekeen\seekeen140.exe');
 DeleteService('Seekeen Service');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =  Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl;  ValueType: string; ValueName: '; ValueData: '; Flags:  createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKCU\..\Run: [AdVantage] C:\Documents and Settings\User\Application Data\advantage\AdVantage.exe
O4 - HKCU\..\Run: [Xmas Tree] C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX01.312\ЁЛКИ\Xmas.ex e
O4 - HKCU\..\Run: [DesktopXmasTree]  C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX03.921\ЁЛКИ\Xmas1.e  xe
O4 - HKCU\..\Run: [GameCenterMailRu] "C:\Documents  and Settings\User\Local Settings\Application  Data\Mail.Ru\GameDownloader\GameCenter@Mail.Ru.exe" -autostart
O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics  Installer Class) - file:///C:/DOCUME~1/User/LOCALS~1/Temp/o3d865.tmp.cab
O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913}  (ParallelGraphics PlanEditor Control) -  file:///C:/DOCUME~1/User/LOCALS~1/Temp/o3dD5.tmp.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\qwgsysn.dll

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Для предотвращения повторного заражения рекомендую:

- Обязательно обновите браузер Internet Explorer до последней версии '8', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).