Модификация URL

Какая-то бяка, которую не видит корпоративный KAV модифицирует вводимый URL в браузерах таким образом, что он, например при вводе в строке адреса www. ozon.ru, приобретает такой вид:
[CODE]http://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=R4l%2BmoExpL01TgdqBALhlFTJbG8wuOC%2FWV6CSSczEanhh2bHX%2F9pG0P9KmluriGPppOXjtT%2Flfg_&r=&u=http%3A//www.ozon.ru/&v=351&0.45872273934859553[/CODE]
Также пытается что-то загрузить, KAV это блокирует:
[CODE]15.11.2011 16:56:30 URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено 15.11.2011 16:56:30 URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:56:51 URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:56:51 URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:56:52 URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:56:52 URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:56:52 URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:56:52 URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:56:54 URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:56:54 URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:56:54 URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:56:54 URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:57:12 URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:57:12 URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован
15.11.2011 16:57:14 URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: обнаружено
15.11.2011 16:57:14 URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=406&id=1877F19A02F5B90B00252298D76C0000&os=5.1.2600.3&av=16&vm=0&al=0&p=128&z=351 База подозрительных веб-адресов: доступ заблокирован [/CODE]
Огромная просьба помочь. Заранее благодарен. Файлы лога согласно инструкции прилагаю.

Уважаемый(ая) [B]thor[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\stofaak.dll','');
DeleteFile('C:\WINDOWS\system32\stofaak.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]


Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

[b]миднайт[/b], спасибо. Проблема устранена. Карантин отослал.

Пожалуйста.
Логи повторите.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\stofaak.dll - [B]Trojan-Ransom.Win32.Cidox.aeu[/B] ( DrWEB: Trojan.Mayachok.550, BitDefender: Gen:Variant.Mayachok.4, AVAST4: Win32:MalOb-IL [Cryp] )[/LIST][/LIST]