также,
проверьте возможность подключения клиентов к серверу ERA, поменяв в настройках администрирования сервер подключения:
указать либо DNS.name хоста где установлен сервер ERA,
указать IP хоста, где установлен сервер ERA.

во-первых, мы так и не увидели журнал обнаруженных угроз, с компьютеров, которые подверглись атаке Virut,
во вторых, возможно в локальной сети - проходной двор для сетевых вирусов - расшарены ресурсы для записи, слабые админские пароли, благодаря чему Virut может подключиться через админские шары и заражать исполняемые файлы очень быстро, так что файловый монитор не успеет за ним излечивать заражение.

[QUOTE]id35200937 пишет:
Устарели базы сигнатур, так как не происходит обновление.[/QUOTE]
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic683/

Версия 3.62

[QUOTE]o Улучшена функция добавления в список плагинов браузеров Opera/Firefox.
(для "portable" версий браузеров).

o Новая горячая клавиша:
Alt+Enter - Открыть свойства файла.

o Оптимизирован альтернативный режим сканирования.

o Проверка на наличие каталогов для временных файлов.

o Расширен набор известных файлов принудительно добавляемых в список.

o Расширен список известных файлов при отсутствии которых в лог выдается предупреждение.

[/QUOTE]

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=130829

[QUOTE]marshal64 пишет:
Абсолютно правильно. Жаль только, что, скорее всего, не учтется ряд однозначно необходимых предложений по расширению функциональности нода. Открываешь тему заражений, а там постоянно не менее 70%-в однотипных заражений. [/QUOTE]
собственно, да. Если бы кто-нибудь аккуратно и детально проанализировал все темы заражений в этом разделе, то можно было получить хорошую информацию для предложений разработчикам Eset. Имеет смысл для новой версии EAV/ESS5 проанализировать зараженные компы со статическими маршрутами в Persistent routes, чтобы увидеть - как разработчики отреагировали на предложение поместить этот ключ в лог Eset sysinspector, или выдавать сообщение в журнал обнаруженных угроз или критических событий - ведь, кому как не им знать в первую очередь ip серверов для обновления.

[QUOTE]ban21 пишет:
...компы от сети отключить категорически запрещено!(это уже можно сказать политический вопрос, работа встанет) Уж давно бы так сделал. Да и в реестре он не прописывается, он получает неплохую прописку в mbr и для того что бы хотя бы вылечить одну машинку, вылечить нормально, нужно почистить загрузочную область.[/QUOTE]
что то первый раз слышу, что Вирут прописывается в mbr.
[CODE]Исполняемый файл инфекции
Вирус ищет исполняемые файлы с одним из следующих расширений:
   . EXE
   . SCR
Исполняемые инфицированы путем добавления кода вируса в последнем разделе.
...Размер вставлен код составляет 19 КБ.[/CODE]
заражение компьютеров в локальной сети вирусами типа Sality/Sector, Virut - это ЧП, и руководство организации должно быть немедленно извещено об этом, с тем чтобы предоставить админам чрезвычайные полномочия по ликвидации заражения в сети.
если же будете лечиться от Вирута "на ходу, на бегу, в рабочем режиме", то можете получить перманентную ситуацию с заражением в сети? затухнет, вспыхнет неожиданно с новой силой и т.п.

выполните reg-файл из архива, который должен восстановить ассоциацию на exe-файлы.

как лечить файловый вирус, видимо лучше с Live.CD просканировать систему.
http://forum.esetnod32.ru/forum9/topic1144/

[QUOTE]16.05.2011 0:22:14 Защита в режиме реального времени файл C:\Windows\svchost.com Win32/Neshta.A вирус Ошибка при очистка HEATON\Asus Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.[/QUOTE]
судя по логу, файл вируса активен, и не был удален антивирусом.

[QUOTE]В системном реестре создается следующая запись: [HKCR\exefile\shell\open\command]@="%WINDIR%\svchost.com \"%1\" %*"
Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.[/QUOTE]