[QUOTE]Валентин пишет:
santy,  по умолчанию отключено ведение логов для Device Control, HIPS, Antispam и т.д. Нужно настроить ведение лога в настройках сервера - Server Maintenance - Advanced.[/QUOTE]
да, похоже надо правильно задавать уровень записей.
добился попадания в логи
[QUOTE]Column Name Value
Device Control Id Device Control 5
Client Name A***
Computer Name A***
MAC Address 001966267d38
Primary Server A***
Date Received 2012-06-06 08:37:21
Date Occurred 2012-06-06 08:37:00
[B]Level Diagnostics
[/B]User A***\a***
Group A***\****
Device Class USB storage
Device Vendor: JetFlash, Model: Mass Storage Device, Serial number: 88D7IF1O, Media size: 8036098560
Event read attributes;\Device\Harddisk1\DP(1)0-0+9\AutoR
Action Allowed
[/QUOTE]

[QUOTE]iksp1 пишет:
проверил компьютер этой прогой (tdsskiller) вот что получилось[/QUOTE]
[B]Файл C:\TDSSKiller.***_log.txt приложите в теме. [/B]
+ еще раз образ в безопасном режиме.

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[QUOTE]05.06.2012 18:31:27 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(336) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна BEST-MKSM0P243X\Администратор
[/QUOTE]

выполните сейчас в нормальном режиме сканирование в ESET NOD32 [B]только оперативной памяти.[/B]
лог сканирования добавить на форум.

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

скорее всего файл уже очищен
[QUOTE]01.06.2012 22:55:23 Защита в режиме реального времени файл C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rAv1ltBwUsM.exe Win32/TrojanDownloader.Carberp.AF троянская программа [B]очищен удалением - изолирован[/B] Roman-ПК\Roman Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\System32\WerFault.exe.[/QUOTE]

сделайте дополнительно лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
+ образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
но в безопасном режиме

имхо, пусть останется, пусть route -f тоже будет,
вот только если это не решает проблему, а значит и антивир не может обновиться, тогда лучше запросить ESET sysinspector и uVS
-------
через скрипты uVS по образу это точно [B]все[/B] решается: поскольку мы видим и статические маршруты в образе, и левые драйвера, и настройки DNS, и записи hosts в образе. но и лог ESET sysinspector не помешает для анализа. (в логе ESI нет статических маршрутов)
-------
еще раз перечитал внимательно всю тему и обобщение может быть такое
.....
Если на Вашем ПК не обновляется антивирусная программа ESET NOD32 и при этом недоступны сайты www.esetnod32.ru и www.eset.com , то вероятно Ваш компьютер подвергся вирусной атаке.
[COLOR=#9D0A0F][B]В этом случае создайте отдельную тему на техническом форуме в разделе[/B] [url=http://forum.esetnod32.ru/forum6/] обнаружение вредоносного кода[/url] [B]с кратким описанием проблемы. Добавьте в тему[/B] [url=http://forum.esetnod32.ru/forum9/topic2687/]образ автозапуска в uVS[/url], [B]а так же[/B] [url=http://forum.esetnod32.ru/forum9/topic54/]лог ESET Sysinspector[/url] [B]и ожидайте помощи модераторов[/B],[/COLOR]

Для [COLOR=#9D0A0F][B]самостоятельного[/B][/COLOR] восстановления доступа к сайтам антивирусных вендоров необходимо проделать следующие действия:
.......
и далее по тексту

[QUOTE]Валентин пишет:
santy,  что именно?[/QUOTE]
надо подумать над текстом.

кроме статических маршрутов, которые лечатся route -f,
позже появились сервисы mkdrv, newdriver а-ля qhost, которые так же блокируют обновление антивирусов,
так же Carberp не дается обновиться антивируcу,
сейчас появился smallHTTP, который подменяет DNS на 127.0.0.1 и в принципе, так же может блокировать доступ к антивирусным сайтам.

имхо, эти рекомендации необходимо основательно обновить.
http://forum.esetnod32.ru/forum6/topic315/