Помогите вирус!

[B]Помогите, пожайлуста люди добрые отловить вирус!!![/B]
У нас 2 сервера DNS на основном поднят dhcp (больше в сети ни где dhcp не поднято), на серверах всё в порядке, а вот у конечных пользователей подмениваются ip адреса dns-серверов, (т.е. dhcp раздает ip адерса dns-серверов, а уже на рабочих станциях в реестре ip адреса dns подменяются на 93.92.32.93 и 93.92.31.93 соответственно), причем когда нажимаешь на значке "подключение по локальной сети" команду "исправить" он исправляет на правильные ip адреса, а через какое-то время снова заменяет их на 93.92.32.93 и 93.92.31.93 соответственно, проверка всеми антивирусами ни дает ни каких результатов, не можем отловить вирус, одно ясно грузится через процесс svchost, причем как только инет включаешь для рабочей станции, так сразу начинает рассылку, мы пока на pixe закрыли все порты изнутри наружу для сетки 93.92.32.0, вроде рассылок нет но ip адреса dns до сих пор заменяются, из-за этого нельзя ни печатать ни почту получать ни в инет выходить и т.д., вообщем офис встал, срочно надо что-то делать, приходиться постоянно нажимаешь на значке "подключение по локальной сети" команду "исправить", в инете нигде об этом вирусе ни сказано, по всем поисковикам смотрел, единственный случай похожий только на этом сайте, но человек который задал вопрос ответа так и не получил [URL="[URL]http://virusinfo.info/~virusinf/showthread.php?t=36286"]http://virusinfo.info/~virusinf/showthread.php?t=36286[/URL[/URL]], что посоветуете специлисты?

Удалите Bonjour (см. инструкции в нашем разделе Чаво). В логах ничего подозрительного.

не ставлю всякую гадасть типа Bonjour и т.д., всё что у меня стоит я знаю зачем я поставил и что это за программа, у нас dns сервера 10.х.х.х, которые форвардятся на pix и внешние dns-сервера comstar 83.x.x.x, вирус ставит 93.92.32.93 - какой-то megaton-net.ru (в Google забиваешь выдает кремль), у меня провайдер "Comstar Объедененные телесистемы"

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

проблема не в bonjour, есть ещё один комп с точно таким же диагназом, и у него не стоит bonjour service, папки нет, и при запуске sc delete "bonjour service" выдает: sc deleteservice failed 1072: