Santy
Идея с шифрованием - это хорошая теоретическая идея !
Практически же...
Все скрипты будут выглядеть примерно так:?

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

&g<В¦&g%•f_Р“Of_Р— O  fIлвfa_Ў•Г¦^f`fС‘O   f_^OfРЋ>Of¦¦ROf_ZOf¦¦ROf_JOfРЋ0 f0В¶^
fчгf<^JOf%•f_> _Г¦fРЋVOf%•_d _Г¦f%^JOf<^>O^•и>С‰f<ыиQСЏfРЋ>Of>    fв„–    fС”    РёFСЌf>Рђ0"-Of<РЁ^•f<>-OиЫэf<^-Of_?_   0"Р» В¦_¦лрfSf<G>fС‡&VOfPf3Рўf0В¶^
fчуfRРёР¬ f>Рђ0"Р˜С‰f<dVOf0В¶^
fчгfZf¦Вf<^JOf%•_Г¦f0¶¦
f+Р’f;Р‘0+В¦ f<Р‘f%•f+Р˜fZ0"u f¦ВfPf3Рўf0В¶^
fчуfQи' fYf>А0"lщf0¶^
fчгf<^JOf<¦_Г¦f¦¦f;Р0:§ f0¶¦
f;Р-0+В.

Сейчас можно просто посмотреть и увидеть содержание/команды скрипта = принять решение.
А в случае с шифрованием ?
В общем - Я,категорически возражаю !

Schalke
Попробуйте пробную - версию для сервера установить.
Посмотрите, что какой будет результат.
Или систему - в расход !  

Что именно стояло - точное название продукта ?
Может, вы какие научные эксперименты на системе проводили в течении этих 2-х лет ?

Причина в вашей системе.
Ваша система - это сборка.
Антивирусы определяют эту систему,как - "Сервер"
А на Сервер можно устанавливать только Бизнес/Корпоративные версии продуктов.
Так,как у них другая система лицензирования.  

Вы сами ответ написали:
Значит...

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
regt 12
restart

[/code]
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

[QUOTE]santy пишет:
о каком бутките здесь идет речь? о том, что защищает себя от перезаписи? так он детектируется по сигнатурам uVS, или при проверке IPL на VT/Jotti[/QUOTE]

А,я откуда знаю какой ?
Но может это и при других случаях работает...
Кроме того: Одно дело сигнатуры - другое самостоятельное обнаружение/предупреждение от uVS + новая версия зловреда.
и VT/Jotti - могут быть по той или иной причине недоступны.
А так - есть подозрение... Взяли и пролечили на всякий пожарный.
* Увидел - почитал - подумал и написал.
А нет... так нет...  :cry:  ;)

Вот информация.
Насколько это работает ?
Хотя бы - для некоторых зверей ?
Если - работает - то...
Есть смысл предложить для реализации в uVS.
Сам вирус может и не найдёт - но предупредит - даст информацию в логе.
А, кто предупреждён тот...
----------------------------
Trojan.Mayachok.2 – первый VBR-буткит 08.07.2011 10:01 ( Информация Dr Web )

[URL=http://www.hardnsoft.ru/default.asp?trID=239&artID=17992]Подробно - hardnsoft.ru[/URL]
[QUOTE]
При загрузке вирусный драйвера вызывается дважды. При первом вызове он добавляет себя в списки из LOADER_PARAMETER_BLOCK: в LoadOrderList как копия первого модуля в списке (а это ядро ОС) и в BootDriverList как загрузочный драйвер, якобы прописанный в \Registry\Machine\System\CurrentControlSet\Services\null. Таким образом, вредоносная программа имитирует свою загрузку в качестве обычного boot-драйвера. Второй раз драйвер вызывается операционной системой, которая уверена, что сама загрузила его.

Данные манипуляции приводят к некоторым побочным эффектам. Например, в системе появляется драйвер Null, но при более внимательном рассмотрении оказывается, что он был создан ядром (ntoskrnl.exe).

В качестве экспресс-проверки системы на наличие или отсутствие заражения можно использовать простую команду "echo hello >nul", которая на неинфицированной системе успешно выполняется, а на зараженной выдает сообщение об ошибке. [/QUOTE]

ejkeke
Отключите всё оборудование - посмотрите,что будет ?
+
Проверка диска на наличие ошибок.

ejkeke
Какое оборудование подключено к PC - на момент завершения работы ?