santy

И там ещё это нужно удалить: C:\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\TOR.EXE
так как:
26.08.2016 в 22:29:25
-------
C:\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
26.08.2016 в 22:28:14

там ошибка с версией программы.
ТС использует 3.87, а в скрипте используется команда BP, которая добавлена уже в бетку 3.87.3 или 4.

Уже забыл, что команда: BP недавно реализована.

Связка  TOR +  интересная.
Команду: BP из скрипта убрал

не  факт что TOR здесь работает в связке с трояном. тем более он не в автозапуске, хотя время создания файлов, да, указывает на связь.

Уважаемые, вопрос: неужели защитное ПО не в состоянии извести трой самостоятельно?

Николай,
наверное точно так же как полиция не может извести преступность, а правительство - коррупцию.
инструменты работают лишь в опытных руках.

santy

всё по той же теме...
Сигнатуры то в скрипт были добавлены однако для чего...  

RP55,
тут не о чем говорить.
объективно, модель удаления по сигнатурам, предложенная demkd, эффективнее той, которую долгое время ты вынашиваешь. через удаление файлов по абсолютному пути.

Что-то меня это напрягло.
У разработчиков вообще все в порядке с...
-------------

Полное имя                  C:\PROGRAM FILES\COMMON FILES\AV\ESET SMART SECURITY 5.2\UPGRADE.EXE
Имя файла                   UPGRADE.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
TASK-S - ЗАДАЧА, ДЛЯ ФАЙЛА БЕЗ ПОДПИСИ.( ~ \TASK)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [skip (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     57BF0A4C59000
Linker                      12.0
Размер                      361312 байт
Создан                      05.08.2015 в 08:30:05
Изменен                     30.08.2016 в 12:42:41
                           
TimeStamp                   25.08.2016 в 15:10:04
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Версия файла                1.10.0.0
Версия продукта             1.10.0.0
Описание                    ESET Update Tool
Продукт                     ESET Update Tool
Copyright                   Copyright © ESET, spol. s r.o. 1992-2016. All rights reserved.
Производитель               ESET
                           
Доп. информация             на момент обновления списка
SHA1                        ADDAE7BC70E8202E95F21A08A381052C92398F12
MD5                         6106117AE5746F5E304B34D2170987BF
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ESET WINDOWS 10 UPGRADE – REFRESH SETTINGS
-------
Как можно не подписывать файл, да ещё запускать его через задачу ?
Да ещё с разными директориями  запуска.

C:\Program Files\ESET\ESET NOD32 Antivirus\UPGRADE.EXE
C:\PROGRAM FILES\COMMON FILES\AV\ESET SMART SECURITY 5.2\UPGRADE.EXE