%username%\WINDOWS\system32\smss.exe

Как показывает AVZ большинство системных файлов и драйверов загружаются из %username%\WINDOWS\system32\
Но эта папка не видна даже из-под live-cd. При попытке карантина файла
в AVZ вылетает ошибка прямого чтения
Проводник запускается откуда положено, хотя дата создания совсем свежая, но проверка файла на вирус virustotal показывает 0
Узнать бы хотя бы что это за зверь такой, уже легче будет бороться

PS: Запуск avz.exe и hijackthis.exe заблокирован, запускал с расширением pif
Доступа в интернет нет

Это особенность логов в Platform: Windows 2003 SP2 (WinNT 5.02.3790)

[QUOTE=PavelA;629647]Это особенность логов в Platform: Windows 2003 SP2 (WinNT 5.02.3790)[/QUOTE]
не уловил, а какая именно особенность?

%username%\WINDOWS\system32\smss.exe - таким образом показывать системные файлы. Они все до одного так выглядят в логе.

ясно, значит они запускаются откуда надо, а маскировка в логах, это тоже нормально?
Извиняюсь что сразу не написал, но решил что учитывая текущую ситуацию, это уже не важно, в начале первая проблема была - периодически перезагружался с ошибкой 7f, после массовой чистки загружаемых компонентов и восстановления запуска менеджера задач(был C:\RECYCLER\.......\hdav.exe) перезагрузки пропали.
Сейчас при загрузке вылетает сообщение "не удалось загрузить одну или несколько служб, просмотрите журнал" - там "Драйвер IPSec перешел в режим блокировки". и руками не запускается
Проверка sfc показывает что все в порядке
а интернета так и нет

Наверное, в AVZ политики сбрасывали? Надо настройки IPSec взять с живой системы. Где-то даже было, только сейчас навскидку не найду :(

[QUOTE='groob;629684']маскировка в логах, это тоже нормально?[/QUOTE]
Особенности терминального сервера.

[QUOTE=pig;629840]Наверное, в AVZ политики сбрасывали?
[/QUOTE]
Все верно, видимо не стоило:?
С настройками IPSec разберусь
Всем большая благодарность за разъяснения и советы, тему можно закрывать:)