чего то подозрительного в логе hj нет,
выполните быстрое сканирование malwarebytes, лог запостите на форум.

Найти файлы
[quote]
C:\WINDOWS\system32\28471c48.exe,
C:\WINDOWS\system32\bxtffg.exe,
[/quote]
Поместить файлы в архив с паролем infected и отправить на [email protected], [email protected]
Удалить данные файлы

После в программе hijackthis пофикстить следующие строки
[quote]
F2 - REG:system.ini: Shell=Explorer.exe IEXPLOREi.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\28471c48.exe,C:\WINDOWS\system32\bxtffg.exe,
[/quote]

далее,
после нажать Пуск - выполнить
[quote]route -f
[/quote]
и нажать Enter

перезагрузить ПК

Обновить антивирус

далее, (продолжаем лечение)

скачайте отсюда uVS, http://soft.oszone.net/program/8729/U...iffer_uVS/
распаковать в папку,
запустить файл start.exe
создать полный образ автозапуска,
заархиваровать файл образа в rar архив,
файл архива прикрепить в тему.

вот еще такое наблюдение:
1. Steganos Safe контейнер монтируется как съемный диск, для него нормально работают исключения после перемонтирования.
2. TrueCrypt контейнер монтируется как локальный диск, для него нормально работают исключения после перемонтирования.
3. BestCrypt (установил новую версию 8.20.7) контейнер монтируется и как локальный диск, и как съемный диск - НЕ РАБОТАЮТ ИСКЛЮЧЕНИЯ после перемонтирования. :).

повторите лог hj
используйте обновленную версию hj 2.04
http://www.trendmicro.com/ftp/product...ckThis.exe

а доступ есть к рабочим столам? если есть, то надо глянуть в окне "установка_удаление программ", если будет опция - "только изменить", значит - непорядок, удалить антивир можно будет только в безопасном режиме с помощью штатной утилиты uninstaller.

c 4.* - проблема, если заглючит на рабочей станции, тем более на сервере, то деинсталлировать приходится в безопасном режиме, самозащита  - хорошо, а деинсталлировать на удаленной машине - плохо. По конфигу, конечно, неясно, в чем проблема. Возможно, ненормально деинсталлировался антивирус версии 2.7, и в сочетании с 4.2 родился новый гибрид, с модифицированным интерфейсом. Тут бы официальной техподдержке взять слово. На официальном форуме Eset рекомендовали после деинсталлляции версии 2.7 выполнять перезагрузку системы, затем уже ставить антивирус версий 3, 4. По крайней мере, на серверах я так делал.

выполните приложенный скрипт (uVS - файл - выполнить скрипт)
перегрузить систему
выполнить полное сканирование системы обновленным антивирусом
повторите логи hj, и uvs

странно наличие в записях служб вот таких записей,
[quote]
O23 - Service: Служба регистрации ошибок ERSvcSamSs (ERSvcSamSs) - Unknown owner - .exe (file missing)
[/quote]
с указанием на файл .exe,
файл левый и отсутствует, но как при этом службы работают, неизвестно.
возможно, ошибочный лог,
используйте обновленную версию hj 2.04
http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe

[QUOTE]Виктор пишет:
Лог ROUTE.TXT отправьте на форум.
[/QUOTE]
скорее всего, здесь дело не в статических маршрутах, а в зараженном драйвере,
который пытается достучаться до известных ему сайтов.
изначально симптом был TDSS/Olmarik

что-то совсем пустой конфиг установочного пакета.
[quote]
<?xml version="1.0" encoding="utf-8"?>
<ESET>
</ESET>
[/quote]
с проблемного сервера можете экспортировать файл cfg и запостить на форум?