Размышления о жизни i uVS
http://pchelpforum.ru/f26/t94635/2/

http://pchelpforum.ru/showpost.php?p=829462&postcount=25 вот это понравилось http://zalil.ru/33111661 , если бы не было бы вашей базы известных файлов, можно было долго еще проверять все.

nWc
Новые вопросы/идеи/предложения ?

Пока практикуюсь в поиске и удалении вирусов, спасибо.

Возможно, есть идеи по улучшению функционала программы ?
Может чего для работы не хватает ?
Стоит, что оптимизировать ?
* Принимаются любые идеи/предложения !

--------------------------------------------------------
Проверка файлов по хэшу...
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\MSGINA.DLL
Дата: 2011-12-25 [2009-03-26 09:00:12 UTC ( 3 years, 1 month ago )]
Имя: fb5827a8313f950a337014bf71c680ef
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SFC_OS.DLL
Дата: 2012-03-08 [2009-09-08 12:06:16 UTC ( 2 years, 7 months ago )]
Имя: sfc_os.dll
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\TERMSRV.DLL
Дата: 2012-04-23 [2009-05-05 11:40:42 UTC ( 2 years, 11 months ago )]
Имя: cdb13f1e48540e19f4b961e77904f168
Patched Termsrv [McAfee]
Trojan [K7AntiVirus]
Win32/Spy.Ursnif.A [NOD32]
W32/Suspicious_Gen2.UASOS [Norman]
Riskware.Win32.Ursnif!IK [Emsisoft]
Trojan.Win32.Generic!BT [VIPRE]
SPR/Tool.Ursnif.B.19 [AntiVir]
Patched Termsrv [McAfee-GW-Edition]
Trojan/win32.agent.gen [Antiy-AVL]
VirTool:Win32/Ursnif.B [Microsoft]
VirTool.Win32.Ursnif [Ikarus]
Riskware/Patched_Termsrv [Fortinet]
Детектов: 12 из 42
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\CPEXT.DLL
Дата: 2011-03-09 [2009-06-12 06:27:40 UTC ( 2 years, 10 months ago )]
Имя: 5930fe9a4e1657a84e2ed0e1f5be177b
Детектов: 0 из 42
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\DIRSIZE.DLL
Дата: 2012-03-10 [2009-06-12 15:18:45 UTC ( 2 years, 10 months ago )]
Имя: smona131351423387596947989
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\THEMEUI.DLL
Дата: 2009-12-08 [2009-05-05 11:41:04 UTC ( 2 years, 11 months ago )]
Детектов: 0 из 41
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\LAYOUT.DLL
Дата: 2011-02-14 [2010-09-18 16:50:21 UTC ( 1 year, 7 months ago )]
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\PATH2CLIPBOARD.DLL
Дата: 2011-12-11 [2009-06-01 13:20:03 UTC ( 2 years, 10 months ago )]
Имя: Path2Clipboard.dll
Trojan.Win32.Heur.089 [ByteHero]
Детектов: 1 из 42
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\HASHTAB.DLL
Дата: 2012-04-15 [2008-11-12 10:35:13 UTC ( 3 years, 5 months ago )]
Имя: file-3394432_DLL
Детектов: 0 из 42
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\MP3TAGV.DLL
Дата: 2010-12-19 [2009-02-11 07:43:10 UTC ( 3 years, 2 months ago )]
WS.Reputation.1 [Symantec]
Детектов: 1 из 43
--------------------------------------------------------
C:\PROGRAM FILES\K-LITE CODEC PACK\FILTERS\FLVSPLITTER.AX
Дата: 2011-01-26 [2009-07-24 19:30:30 UTC ( 2 years, 9 months ago )]
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\PROGRAM FILES\K-LITE CODEC PACK\FFDSHOW\FFDSHOW.AX
Дата: 2009-09-29 [2009-09-29 07:48:27 UTC ( 2 years, 6 months ago )]
Детектов: 0 из 41
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\LOGONUI.EXE
Дата: 2011-02-14 [2009-10-16 17:47:05 UTC ( 2 years, 6 months ago )]
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\REBUILDI.EXE
Дата: 2012-03-31 [2008-06-04 16:04:15 UTC ( 3 years, 10 months ago )]
Имя: REBUILDI.EXE
Trojan/Menti.phe [Jiangmin]
Детектов: 1 из 42
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\FF_VFW.DLL
Дата: 2011-07-28 [2009-08-22 12:45:53 UTC ( 2 years, 8 months ago )]
Имя: smona131182552270323992133
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\MACROMED\SHOCKWAVE 10\CONTROL.DLL
Дата: 2012-01-08 [2011-01-20 22:46:13 UTC ( 1 year, 3 months ago )]
Имя: Control.dll
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\TARGET.DLL
Дата: 2011-03-09 [2009-07-06 12:54:04 UTC ( 2 years, 9 months ago )]
Имя: 4ae3baf4d9af19a6ebef7d4da4d657cf
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\DLLINFO.DLL
Дата: 2011-02-04 [2009-07-06 13:14:48 UTC ( 2 years, 9 months ago )]
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\INSTALLER\INSTALLSOURCE MSXML\MSXML.CMD
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SFCFILES.DLL
Дата: 2010-02-27 [2010-01-26 18:48:20 UTC ( 2 years, 2 months ago )]
Детектов: 0 из 40
Файл был чист на момент проверки.
--------------------------------------------------------
C:\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE
Дата: 2012-01-22 [2010-09-15 19:44:38 UTC ( 1 year, 7 months ago )]
Имя: KMPlayer.exe
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------
C:\PROGRAM FILES\K-LITE CODEC PACK\MEDIA PLAYER CLASSIC\MPLAYERC.EXE
Дата: 2011-09-05 [2007-12-23 22:07:42 UTC ( 4 years, 4 months ago )]
Имя: file-2745841_exe
Trojan.Malware.Win32.xPack.m [ByteHero]
Детектов: 1 из 44
--------------------------------------------------------
IPL NTFS [D:]
Дата: 2012-04-24 [2011-08-18 07:09:50 UTC ( 8 months, 1 week ago )]
Имя: yxclts
Детектов: 0 из 42
Файл был чист на момент проверки.
--------------------------------------------------------
C:\PROGRAM FILES\FOXIT READER\FOXIT READER.EXE
Дата: 2009-07-13 [2009-04-09 09:51:36 UTC ( 3 years ago )]
Suspicious File [eSafe]
Детектов: 1 из 41
--------------------------------------------------------
C:\PROGRAM FILES\REGCLEANER\REGCLEANR.EXE
Дата: 2012-03-29 [2006-07-30 06:56:52 UTC ( 5 years, 9 months ago )]
Имя: smona130553411677066558492
Детектов: 0 из 42
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\WIAACMGR.EXE
Дата: 2011-01-31 [2009-12-26 05:40:28 UTC ( 2 years, 4 months ago )]
WS.Reputation.1 [Symantec]
Детектов: 1 из 43
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\HAL.DLL
Дата: 2011-01-21 [2009-08-16 01:17:25 UTC ( 2 years, 8 months ago )]
Детектов: 0 из 43
Файл был чист на момент проверки.
--------------------------------------------------------

На сколько следует верить этой проверки ?
Выходит вирусы:

Вот сам скрин поля все (показано правда не все) -

Верный скрипт? Сомнительно по MPLAYERC.EXE, 3D WINDOWS XP.SCR - экранная заставка и FOXIT READER.EXE,  WIAACMGR.EXE - Мастер работы со сканером или цифровой камерой не стал добавлять в скрипт их
C:\WINDOWS\SYSTEM32\TERMSRV.DLL оставил , в скрипте Детектов: 12 из 42. Хотя по идее вещей он не вирус, отвечает за сервер терминалов. На домашнем удаление этой библиотеки  будет не существенно.
Удалял *.EXE по bl и delall или нужно было убивать с добавлением сигнатур?
Я бы предложил бы добавить отдельно каким способом нужно удалять разные файлы exe, dll, sys. Особо отметить при работе с сигнатурой addsgn не применимо по удалению файлов находящихся C:\WINDOWS ; C:\WINDOWS\system32) Какие файлы удалять только путем блокировки bl и удаления далее вирусы по прямому пути к примеру *.exe, а какие только delref - *.DLL. Если *.sys и он активный, то добавляем reg 21. Ну в таком духе.
з.ы. конечно это все где то есть, но проще когда это все в одном месте. А так, на какие файлы стоит особо обратить внимание и что применительно именно к ним)

nWc,
то все нормальные файлы
и еще - после актуализации реестра (areg) компьютер автоматически перезагрузится, так что следующие за нею команды не будут выполнены

То есть скрипт верный или нет? или нормальные файлы, те которые я не внес? areg поставил в конец;)