по файлу сверки (полная проверка) отличий нет.

похоже,
тот случай Corkow (Win7), который мы обсуждали, когда троян не попадал в образ автозапуска.
http://forum.esetnod32.ru/forum6/topic4249/

до обновления uVS

да, до версии 3.74.

Саш, хотел спросить у тебя - зачем во все скрипты для лечения добавляешь сигнатуры (именно в текст скрипта)? Даже если там обычный Carberp или Spy.Shiz. Иногда еще проверяешь добавляешь chklst - delvir. Смысла вроде как нету. И еще в любых случаях архивируешь вирусы которые еще с того года детектятся - думаю это лишняя работа как для пользователя, так и для ZloyDi с вирлабом

Тут такое дело.
1. во первых чтобы сигнатуру добавить в свою базу, а значит, она автоматически попадает в скрипт,
поскольку у меня автоматом настроено: Addsgn + ZOO.
2. chklst&delvir не всегда можно применить, потому как иногда еще и delref идет для исключения файла из автозапуска.
3. сигнатура, возможно кому-то не помешает, поскольку RP55 внес рац. предложение : импорт сигнатур из скрипта.
4. иногда перестраховываешься:
и удаляешь двумя способами: через chklst&delvir (нужны сигнатуры) + dellall (по прямому пути)
(были непонятные случаи - когда при удалении по сигнатурам файл  выживал, а про прямому удалению - нет. удалялся.
--------
по архивированию - тут, да.... не додумал до конца, как сделать так чтобы не все файлы попадали в архив с ZOO.

дело в том, что при автоматическом детекте по сигнатурам у меня автоматическая реакция работает:
добавление в скрипт addsgn + ZOO. поэтому.
-------
для пользователя лишним никогда не будет дополнительно заархивировать папку (как полезное упражнение),
а для вирлаба - да, те файлы что детектируются не нужны.

Нужно еще раз обдумать и связать в предложение вариант, когда в список детектирования на VT входит и не входит детект NOD32.

Арвид, а каким должен быть идеальный скрипт с твоей точки зрения?

и да, встречный тебе вопрос.
какой видишь смысл в лишении файла статуса исполняемого?
(может и "взбрыкнуться" из активной системы, если есть самозащита).

просто пару раз натыкался на случаи что файл не удалялся по нужной команде, потом попробовать лишить статуса - во всяком случае вирус не запустился
но думаю что это лишнее конечно, как и bl - все равно применится эта функция только после перезагрузки, так что одного delall достаточно, нам ведь надо файл сразу удалить, а не после ребута

да,
это скорее всего команда нужна в каких то особых случаях... по моему она была до виртуализации введена. в автоматические реакции ее, имхо, не надо добавлять, а в особых случаях можно применять, если другие варианты избавления не помогают.