Есть идеи ?

что значит есть идеи? ты предлагаешь идею, ты ее аргументируй, как она должна работать в случае разных если.

А поддержать !!!  

Значит ЭТОГО системного файла уже нет... и беспокоиться о нём нет необходимости ( в определённом смысле )
Но - под данную сигнатуру, могут попасть и другие файлы...

Здесь ключевое слово: Обнаруживается...
Речь же идёт об удалении...
Детект/определение зловреда по сигнатуре - а удаление ?...
Значит, удаление будет на основе комплекса критериев - имя; размер; дата создания ; производитель;версия.
т.е возвращаюсь к своему же "старому" предложению  - "удаление объектов по ряду критериев"
uVS - сравнивает заданные параметры ( + путь до файла ) - считывает у всех файлов директории ? параметры - сопоставляет/сравнивает с  
заданным критерием ( или группой критериев ) и приводит удаление.

Или комплексный подход: Сигнатура + "удаление объектов по ряду критериев"
т.е. ОДНОВРЕМЕННОЕ совпадение группы критериев.
И если сигнатура находит 2-ва файла/объекта и по одному из них есть дополнительное совпадение - ( по заданным параметрам ) -
 например точный размер& дата создания )
Тогда удаляется только один файл.
+ Эвристический  анализ - например язык программирования на котором написан объект.
т.е. Добавить "фактор контроля исполнения"

Что еще пропустил?

И потом несколько от темы отклонились...
Есть ли смысл "Производить маркировку добавляемой в базу сигнатуры - то типу расширения".
В качестве параметра позволяющего более надёжно идентифицировать объект и вероятно избежать проведения некорректных действий
в отношении данного объекта.

А в чем принципиальная разница в удалении известного файла по сигнатуре или по прямому пути? ты ведь все равно видишь все файлы в списке подозрительные и вирусы. И должен проанализировать - ложное это срабатывание, или действительно файл заражен.
В каком случае это (предполагаемое нововведение) может сработать?
---------
как говорят в научном мире - укажи или опиши область применимости данного предложения. .
(это я все по первому, второе совсем не понял.)

Я на данный момент уже говорю о комплексном применении и работе с сигнатурой !
Тема - развивается...
В возможности точечного наведения на цель - при том, что сигнатура сработала на 2-ва файла.
*Один из них системный, а второй вирус.
И нет возможности увеличить длину сигнатуры - "сигнатуры идентичны"
Если задать доп.параметр ( например размер файла 570 )
То из двух файлов - будет удалён  только файл = 570kb ! = вирус !
А системный будет цел !
И это при том, что он изначально попадал под действие сигнатуры...
Иначе говоря УЖЕ можно как удалять файл по доп.критериям  - так и спасти его от ложного срабатывания.
" Мы добавили сигнатуру > отдали команду delvir > и при этот ограничили её действие ( в данном случае это был размер файла )
> ликвидировали вирус.
Двойное наведение на цель...

В меню uVS опция:
"Задайте файл исключение по имени;размеру;хешу;дате создания;производителю;подписи;пути;
В общем я размышляю...     8)

Вот например удаление по имени файла принято и используется.
Что такое имя ?
Это набор символов их определённая последовательность.
Что такое "параметр производитель" - тот же набор символов.
Прочитали имя - удалили файл.
Прочитали производителя и удалили...
Имя файла может измениться...
Да и наименование производителя тоже...
Однако - от удаления по имени в связи с этим не отказываются...  

Кстати говоря дальше рассуждать будем или всё затираю - в силу невостребованности ?

Обновил базу проверенных файлов.
База проверенных sha1

все это можно реализовать по технологии селектированных записей (которые формируются в том числе и по составному запросу.)
если это будет реализовано, тогда можно думать и развивать дальше, какие действия можно выполнить над селектированными записями.

Есть подвижки в этом направлении ?

подвижки думаю будут - год впереди.
----
неплохо бы статистику какую-то вести, сколько чего пролечено за период, хотя бы по этому (2012г )году.
Spy.SpyEye
Spy.Shiz
Carberp
Dorkbot
Winlock
MBRlock
Corkow
Spy.Banker
и другие.