http://pchelpforum.ru/f26/t86101/
тут Carberp с нормальной инфой, а не абракадаброй

Арвид, прав в том, что Carberp с маркировкой AF (не только Carberp.A) может содержать бутовый компонент.
http://pchelpforum.ru/f26/t86153/

По теме uVS; Д. и лечения.
Применение AVZ и uVS.

4pda.ru/forum/index.php?showuser=590295

sonikelf.com/virusy-i-spyware/

adminplanet.ru/f62/

И кстати говоря - если будут попадаться форумы, где применяется программа - то можно здесь оставлять ссылки и затем их просматривать.
Обсуждать ничего не будем.

на Админ_планете работают близко по методе pchelpforum. весьма оперативно лечат.

Есть предложение по uVS.
Какие будут мнения ?
Альтернативные предложения/варианты ?

1. При работе с uVS в ряде случаев имеет место ложное срабатывание/определеннее по сигнатуре.
Принципиально решить вопрос нельзя - однако какие могут быть варианты решения ?

Предлагаю к наименованию вируса - или в раздел комментария к нему - Автоматически- добавлять отметку/комментарий
с информацией по типу расширения - файла: exe; dll; sys...
Что это даёт ?
При срабатывание/определение по сигнатур - появляется возможность сделать сравнение - из какого Типа файлов она была извлечена.
Например:

addsgn A7679B19B96E1B24380669F498C812052501A10ADA921F7885C39FEE9793­8D4C2317C3DC63A9CEB63E04F4DF46B598EB3ADF527355DAB07E9777A42F­C78DF820 8 Vir.Spy.77.EXE

А сработала она к примеру на  Giraffa.SYS
Таким образом, мы практически с вероятность в 100% имеем дело с ложным обнаружением !
Значит - мы получили нужную информацию - и теперь можем уверенно принять решение по данному файлу < > сигнатуре.

А то пишу отсебятину...
А так глядишь будет не отсебятина.  :D

ну а если вирусная библиотека приняла другое расширение? tmp или как у Corkow - отсебятина
лучше немного по другому сделать - чтоб под сигнатуру не попадали сертифицированные системные файлы

Ясно, что данное предложение не панацея - но в ряде случаев можно будет отследить явное не соответствие.
Да и потом - речь прежде всего идёт о стандартных/известных расширениях.

А как именно ?
Какие можешь предложить варианты контроля ?

ну просто чтоб программа проверяла есть ли у файла цифровая подпись - если да, то под сигнатуру чтоб не попадало
хотя тоже не панацея - у того же Спай.Шиза последних модификаций была подпись. и лично у меня не мало подписанных файлов в сигнатурах имеются - типа всяких Праеторианов

Куча системных файлов не имеет подписи...
Так, что номер не пройдёт...
Да и после лечения от:Win32/Expiro; Win32/Jeefo.A; Neshta
Цифровая подпись будет нарушена.

Праеториан - не вирус а защитник.
Но вред от него есть - а вот польза сомнительна ( но это уже не по теме )
---------
Что можно предложить - это полный отказ от удаления системных файлов по сигнатуре.
И опора на тезис - "Удаление возможно только по прямому пути "
Где анализируется - путь и имя файла ( по принципу: какой у файла статус - есть ли файл в списке известных;цифр.подпись)
А вообще - есть вариант - Это база с сигнатурами в которую включены сигнатуры всех известных/системных файлов.*
*Я так понимаю, частично это реализовано.
Но с образами не работает...
И при совпадении сигнатур - команда на удаление не будет приниматься.
Желательно иметь данную функцию и при работе/разборе образов.
Значит, нужна изолированная база: sys.sgnz - которая будет входить в комплект поставки uVS
Без возможности добавления в неё своих/левых файлах.
Или же данная возможность будет подключаться опционально !
** Возможно стоит добавить функцию проверки - т.е. перед "реальным" выполнением скрипт прогоняется в тестовом режиме и оператор
видит результат/следствие его выполнения - какие файлы "реально" были затронуты при его выполнении.
*** Или же требовать/выдавать спец.запрос на выполнение операции по типу:
В скрипт добавлена команда: uidel "C:\MERCURY-8\UNINS000.EXE"
С требованием подтверждения. Да/Нет
Подходит предварительная проверка - с выводом возможного/вероятного результата.

Так как ?

А если системный файл полностью подменен, как в случае Winlock - перезаписан userinit.exe, taskmgr.exe и обнаруживается это заражение только по сигнатуре локера?