Странная ситуация - сервер по терминалу доступен, с сервера недоступно ничего. Видимо недолечил.

Представлюсь в начале - Александр, вольный системный администратор.
Мои удаленные работодатели не так давно отказались от моих услуг, через два месяца обратились ко мне снова. Ситуация была такая - упал напрочь прокси-сервер Usergate, сервер начал "дико тормозить".

У клиента установлена лицензионная win2003, OpenOffice, Usergate 4.0, установлен виртуальный Com-Port для аппаратного шаринга фискального регистратора (Tibbo), стоит 1c торговля и склад (лицензия), мною был настроен нативный терминальный сервер win2003. Антивирус - NOD32 4.

Мною были предприняты следующие действия.
1. Загрузившись в безопасном режиме, пролечил компьютер последним Cure-It, были выявлены вредоносные файлы svchost.exe (В каталоге c:\program files\common files\microsoft shared, запускался от аккаунтов пользователей, c:\windows\system32\wmisrvc.exe - удалены.
2. Далее был запущен последний avz, был вычислен файл svchost.exe.exe, убран из автозапуска, на диске найти не смог, дисковым редактором лезть побоялся.
3. Было вычислено отсутствие файла стандартного winsock-провайдера microsoft, положен на весьма странный путь (\documents and settings\admin\windows\system32) из дистрибутива оригинальный.
4. выполнены
netsh winsock reset
ipconfig /release
ipconfig /renew
ipconfig /flushdns
файл hosts заменен на эквивалентный дефолтному.

После перезагрузки наблюдается следующее:
Сервер заработал нормально, люди работают в 1с, печатают по сети и из терминала. Но Usergate так же не стартует с ошибкой 1053 (их саппорт не говорит ничего внятного - буду переустанавливать после решения проблемы), dns-серверы провайдера пингуются, но dns-имена сайтов не ресолвятся, внешние адреса не пингуются, при попытке "исправить подключение" система пишет еггог что не может сбросить ARP, arp.exe -a не выдает ничего подозрительного (маки компов локальной сети и шлюза провайдера), при этом сервер в ТЕРМИНАЛЕ извне ДОСТУПЕН и пингуется.

Включение/выключение брандмауэра не помогает
Отключение NOD32 не помогает, драйверы нода не повреждены

Помогите, ибо встал в ступор. При этом всем avz находит присутствие svchost.exe.exe в потоках Ntfs но что с этим делать КОРРЕКТНО, я не знаю.

Гуглом и яндексом пользоваться умею, данную ситуацию за 14 лет одминства вижу впервые.

Да, файла virusinfo_syscure.zip avz4 НЕ СОЗДАЛ.

В сущности проблема ясна - лечение и прочие операции производились с консоли или из терминальной сесии ? AVZ например однозначно запущен из терминалки - что недопустимо. Все операции по лечению необходимо делать исключительно с консоли !! (логи как следствие следует переделать). На шаге 3 "странные пути" как раз из-а запуска AVZ из терминального сеанса.
Действия:
1. Искать у AVZ в его рабочем каталоге reg-файлы для отката - там обычно создается каталог Backup с ними, в имени нужного REG файла будет что-то типа *SPI*. Если таковой есть - то импортировать его в реестр и перезагрузиться
2. Переделать логи, запустив AVZ с консоли

Так. Рекомендациям последовал. Прикрепляю.

Самое интересное что несмотря на запуск АВЗ из консоли, "странные" пути в отчете не исчезли. Возможно это следствие самого наличия запущенного терминал сервера и подключившихся рабочих станций?

Так! Запуск winsockxpfix помог восстановить работоспособность и usergate и доступа к dns, соответственно интернет заработал на сервере и рабочих станциях, но в остальном ничего не трогал, хотелось бы дочистить заразу если таковая еще осталась. Но уже, в любом случае, спасибо за наведение на нужный ход мыслей.

Все плохо ( Доступ к сети восстанавливается только на короткое время, потом пропадает, возвращается через загрузку last known good configuration. Так что хелп (

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.