Selook - вирус?!

Вечер добрый всем!
Прошу помочь, вот уже три дня как борюсь с этой проблемой.

При входе в систему сразу-же начинает открываться куча окон ИЕксплорера, которые можно остановить только через диспетчер и то если успееш нажать. Причем это происходит в спонтанном порядке в разные интервалы времени. Это может быть сразу после входа в систему, а может быть и через 30 мин.
Все окна имеют этот адрес "http://selook.net/d/i.php?t=1&ver=4&r=179825786". Адрес удалось записать только сделав удачный скриншот, т.к. после закрытия процесса нет ни единой записи в журнале.
В момент запуска процесса, касперский начинает кричать "Попытка запуска браузера с параметрами командной строки -Embedding".
Через ProcessExplorer видно что процесс iexplore.exe запускается через svchost.exe.
Пробовал сканировать как сказано в правилах - ничего не обнаружилось, а после сканирования программой AVZ и перезагрузки - на некоторое время это все прекращается, но потом все заного начинается.
Даже пробовал (незнаю зачем) восстановить систему через мастер восстановления с установочного диска системы. Проблема осталась... Зделал только больше хлопот - на диске была система с SP2, а до этого стояла SP3.
Причем непонятно почему начал именно иэксплорер вылазить. Я им уже года 2 как не пользуюсь. Стоит Opera.

Помогите пожалуста!

Выполните скрипт:

[CODE]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Повторите логи...

Вчера начались галюники с интернетом, а сегодня вообще не могу попасть в систему. Не запускается explorer.exe, а точнее его там вообще нет. Благо есть второй компьютер. Щас попробую скопировать файл на него - может чего-то и выйдет...
-----------
Запустился! Последние пару дней при загрузке было заметное ториожение во время экрана приветствия.
Сделал новые логи.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
DeleteService('Winachcf');
QuarantineFile('C:\WINDOWS\system32\drivers\wzszxdkssiyur.sys','');
QuarantineFile('C:\WINDOWS\system32\wzszxymmwyqxt.dll','');
DeleteFile('C:\WINDOWS\system32\wzszxymmwyqxt.dll');
DeleteFile('C:\WINDOWS\system32\drivers\wzszxdkssiyur.sys');
DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]

Карантин переслал. Получили?
Сделал новые логи. Лог от Gmer не получился. В конце после 5 часового сканирования он завис и выдал BSOD. Попробую еще раз запустить.

А пока вот стандартные логи.

------------------------
Не получается завершить сканирование программой Gmer. В прошлый раз он завис на третьем диске, а щас пробовал по отдельности делать - тоже завис и BSOD в конце сканирования.
Код ошибки: 0x000000c2 (0x00000007, 0x00000cD4, 0x020a005, 0x88Da6450)
Прикрепил файл gmerPred.log это лог предварительного сканирования, которое делает программа при запуске.
В конце там есть запись с файлом который был помещен в карантин.

Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.

[CODE]gmer.exe -del service wzszxserv.sys
gmer.exe -reboot[/CODE]

Эти адреса Вам известны?

[QUOTE]O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21[/QUOTE]

Если нет, то [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите.[/URL]

[QUOTE]wzszxymmwyqxt.dll - [B]Trojan.Win32.Pakes.nnc[/B]
Детектирование файлов будет добавлено в следующее обновление[/QUOTE]

+ к предыдущему совету

Лог gmer попытайтесь сделать в безопасном режиме

Сканирование в обычном режиме длилось всю ночь и еще продолжается, правда в данный момент это смахивает на то что он опять завис. В диспетчере видно что он еще занимает процессорный и оперативный ресурсы. Может так и должно быть? Пока BSOD'a небыло - попробую подождать еще немного.

После выполения скрипта из П.6 в предварительном сканировании в Gmer уже небыло записи с "файлом".

Я пофиксил адреса, т.к. они мне не знакомы.

Постарайтесь доделать все до конца и приложить лог gmer.

Наконецто удалось сделать этот лог. Я его сжал, т.к. он занимал 16,5 мб

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del file "C:\WINDOWS\system32\wzszxnqwenvrx.dat"
gmer.exe -del file "C:\WINDOWS\system32\wzszxtlidwejp.dll"
gmer.exe -del file "C:\WINDOWS\system32\wzszxyfwkqpkp.dll"
gmer.exe -del file "C:\WINDOWS\system32\wzszxymmwyqxt.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\wzszxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wzszxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wzszxserv.sys"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer (из всех дисков отметьте только системный)

Все сделал, но в процессе выскочило пару ошибок. Думаю это в связи с отсутсвием данных файлов.

Нужен лог gmer.

Вот. Правда пришлось удалить предыдущий лог в связи с ограниченным местом.

В логе чисто? Что с проблемой?

Проблема вроде исчезла. Больше ничего не выскакивает, но остался побочный эффект.
Входе в систему все равно занимает больше времени чем это было "до" заражения,а также в процессе работы наблюдаются периодические кратковременные подвисания.

Попробую поставить SP3.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\wzszxdkssiyur.sys - [B]Rootkit.Win32.Agent.lwd[/B] ( DrWEB: Trojan.Packed.2479, BitDefender: Gen:Trojan.Heur.TDSS.207D82B2B2 )[*] c:\windows\system32\wzszxymmwyqxt.dll - [B]Trojan.Win32.Pakes.nnc[/B] ( DrWEB: Trojan.Packed.2463, BitDefender: Gen:Trojan.Heur.Hype.F0B8474747 )[/LIST][/LIST]