говорю же нормальные файлы. не надо их сносить. результаты на VT от двух до пяти летней годичности
надо просто знать что эти файлы нормальные, смотреть их описание

Эх а я хотел уже развернутся=)
Нашел кстати вирус, uvs не показала тока его или он был не активный - DotNet30.exe
и какой то KeyChanger.exe в system32 лежал явно не место ему там

не знаю как удалить сообщение, так что будет смайлик

это от фреймворка по идее

C:\WINDOWS\DotNet30.exe - вероятно модифицированный Win32/Agent.LUSLEHN троянская программа - очищен удалением - изолирован
25.04.2012 14:18:45    Защита в режиме реального времени    файл    C:\WINDOWS\system32\KeyChanger.exe    вероятно модифицированный Win32/Agent.CLHGOPD троянская программа    очищен удалением - изолирован    HOME1\User    Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.
не нашел описания тут, http://www.eset.eu/buxus/generate_page.php?page_id=276&lng=en, что делает вирус этот  Win32/Agent.LUSLEHN, ну и этот тоже походу Win32/Agent.CLHGOPD

Можно еще добавить расшифровку:
attrib [{+r|-r}] [{+a|-a}] [{+s|-s}] [{+h|-h}] [[диск:][путь] имя_файла] [/s[/d]]
+r Установка атрибута «Только чтение». -r Снятие атрибута «Только чтение». +a Установка атрибута «Архивный». -a Снятие атрибута «Архивный». +s Установка атрибута «Системный». -s Снятие атрибута «Системный». +h Установка атрибута «Скрытый». -h Снятие атрибута «Скрытый». [диск:][путь] имя_файла Задание местонахождения и имени каталога, файла или набора файлов, атрибуты которых требуется просмотреть или изменить. Для обработки группы файлов допускается применение подстановочных знаков (? и *) в параметре имя_файла. /s Выполнение команды attrib и всех параметров командной строки для соответствующих файлов в текущем каталоге и всех его подкаталогах. /d Выполнение команды attrib и всех параметров командной строки для каталогов. /? Отображение справки в командной строке.
Используется в exec

deltmp - команда работает с файлами, а не с реестром.
Все команды после sreg - должны относиться к реестру !
areg - после неё автоматически следует "restart"
Поэтому прописывать команду в скрипт не нужно.

"
deltmp
delnfr
sreg
delref %SystemRoot%\
delref %SystemRoot%
delref %SystemRoot%\
areg

"
?- почему- ?
Потому, что очистка temp- может занять значительное время.
И ненужно всё сваливать в один стог сена !

Всё необходимое есть в уроках.
Нужно только почитать и подумать.
Все команды приведены.
По сигнатуре удалять можно !
Для этого есть проверка: " проверить список "
Проверили - посмотрели, что попало под определение.
Скорректировали длину сигнатуры - ( если есть ложное срабатывание )
И можно удалять.

"Команда: chklst
Смотрим, какие файлы определены, как вирусы - и нет ли среди них системных файлов или чего другого лишнего !!!
Оставляем - то, что следует удалить -
( путём корректировки/изменения длинны сигнатуры для тех файлов которые ложно попали под неё ) "

Добавление к работе с uVS.
---------------------------------------------------
В случае когда тип вируса, тип его расширения известен...
Можно минимизировать объём  информации подлежащий проверке/анализу.*
Выбираем фильтрующий поиск.
*Настройка  > Режим поиска и автоматизация > Фильтрующий.
Пример:
Нам известно, что все вирусы данной группы имеют расширение: .exe
Где - Точка !
Соответственно, задаём в окне поиска тип.
И на выходе получаем сокращённый список.
**Сброс запроса: Esc
В ряде случаев, данный подход позволяет на порядок минимизировать/сократить список.
***При поиске следует учитывать возможность того, что PC заражён несколькими типами угроз единовременно.


Команды по типу:
uidel C:\PROGRAM FILES (X86)\SD8TOOLBAR\SD8UNTOOLBAR.EXE

Следует помещать в начало скрипта.
С тем, чтобы человек не отвлекался на запросы.
т.е. Сказал: Да... и далее скрипт выполняется - без вмешательства/участия пользователя !
* Речь идёт об удалении установленных программ имеющих статус: Adware и т.д.
Команда: Delete

Ну сократить список можно при имеющей базе, а то он стока exe выдаст незнакомых и подозрительных