наткнулся на вирус-банер  C:\USERS\NWC\APPDATA\LOCAL\TEMP\124KKK290347.EXE  фотку с сотового сделал , щя даже скину ссылку на сайт с которого получил. Вылечил только через liveCD, сейчас ребутнусь и скопирую ссылку через автономный режим
http://muz-zona.at.ua/load/udalenie_sinego_bannera_blokirovan_kompjuter_ne_prob­lema/1-1-0-7

Странно, что проверка сайте ничего не дала через  https://www.virustotal.com/url/3041cbe713127b1072f79e2376a5bbf41845ec8e540a12ee6a13­867ee7b3905d/analysis/1334655497/    
  заразится, что ли снова   Чувствую переадресация была.

Работа с руткитами.
Работа с загрузчиками есть в DOC = "Удаление руткитов.txt"
Я пишу - то чего нет в справке к программе !
И то что относиться именно к работе с uVS - а не: " Общие вопросы лечения "

ПРИМЕР: № 4.1

;uVS v3.71 script [http://dsrt.dyndns.org]

sreg
delref %SystemRoot%\Fox.SYS
areg

_______________________________________________

С виртуализацией & Zoo*
*Где Zoo это помещение файла в карантин   &

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\Fox.SYS
sreg
delref %SystemRoot%\Fox.SYS
areg
_________________________________________________


;uVS v3.71 script [http://dsrt.dyndns.org]

delref %SystemRoot%\ZUDVA.Sys
restart
_________________________________________________

* При удаленни Актиных/Внедряемых Dll - применяются команды вида: delref

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref %SystemRoot%\ZUDVA.Dll
restart
--------------------------------------------------
Комбинированные:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

sreg
delref %SystemRoot%\ZUDVA.Dll
areg
Альтернатива: Удаление в безопасном режиме.

К урокам по uVS отношения не имеет...

С помощью uVS - можно найти всё.
Вопрос только в применяемой тактике/методах обнаружения.
Единственно над чем не властна программа это файловые вирусы.
Malwarebytes - применяют для зачистки - так, как, если бы она эффектно чистила систему от активных угроз сама по себе - то и uVS  стала бы не нужна.
TDSSKiller - Что ловит, что нет - это к разработчику данной программы.

"Кролика Видишь ?
Нет !
А он там есть !"
Или волне может быть.

Например можно ВЫБОРОЧНО очистить: C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка
Через атрибуты файлов.

S - Системные.
R - Только для чтения.
H - Скрытые.

igfxtray.dat - В образе вообще не сохраняется.*
В силу того, что сохраняется информация только по исполняемым файлам.
Зато - нам известен путь до файла и значит мы его можно удалить.

Алгоритм поиска - основан на данных по вирусу.
Которые можно заранее посмотреть например здесь: http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en

Ух ты на всю ночь хватит изучать  

Поисковый критерий на основе:
Win32/Spy.Shiz.NCE
http://forum.esetnod32.ru/messages/forum6/topic3298/message27791/#message27791

С критерием поиска хорошо, базу нужно будет создать (snms), а своей базой не поделитесь?). А при проверки подписей , к примеру сегодня столкнулся http://zalil.ru/33094061 , хотя и не сегодня частенько.  Что связь с интернетом пропадает, пинги , аська работает. Браузеры нет. Сразу начинаются проблемы с NOD - при попытки переустановить - исправить - выдает ошибку что файлы заменить невозможно  (повреждены, после перезагрузки все дает и инет сразу работает)

Так вот думал вирус, но в образе ничего не увидел. Зато в подписи у файла C:\WINDOWS\SYSTEM32\BASECSP.DLL  стоит НАРУШЕНА, файл модифицирован или заражен. Так вот стоит ли его заменять другим с чистой системы или нет или это нормальное явление? И на какие подписи при поиске вируса и поврежденных файлов стоит обращать внимание?

Убил аналогичный баннер с субботу с liveCD, если интересно, то могу скинуть исходник.