[ok]

Проблема в следующем.
Есть зараженная машина.

Симптомы следующие - при загрузке винды процесс svchost.exe, запущенный из под LOCAL SERVICE начинает отжирать системные ресурсы - особенно ЦП до 97-98 процентов и при kill процесса сам себя восстанавливает, и снова занимает все ресурсы.
Если через ProcessExplorer найти этот процесс и повнимательнее на него посмотреть, то получается, что все системные ресурсы жрет dll - alcomt.dll. Если сделать через ProcessExplorer - kill этой dll по какое то время машина работает нормально, но примерно через сутки все повторяется.

Через проверку avz получил такую информацию -

Прямое чтение C:\WINDOWS\system32\alcom.sys
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

и

7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\smsicvic.dll"
Проверка завершена

При этом выяснилось два интересных момента - утилита avz.exe запускается только из SafeMode - в противном случае машина не видит файл avz.exe, даже если тот лежит на сетевом диске, закрытом от записи, и базы антивируса последний раз обновлялись с сервера (используется Symantec Antivirus Corporate Edition 9.0.3.1000 - в режиме сервер-клиенты) 08.02.2008 (даже в SafeMode c поддержкой сетевых подключений), хотя на сервере база от 29.02.2008

В результате прибить файлы alcom.sys и alcomt.dll не получается - проблема в том, что они защищины от записи.
Возникает вопрос - что это за импортная дрянь такая и как бы ее так прибить бы. А то систему переставлять не хочется.