да,
это скорее всего команда нужна в каких то особых случаях... по моему она была [B]до виртуализации[/B] введена. в автоматические реакции ее, имхо, не надо добавлять, а в особых случаях можно применять, если другие варианты избавления не помогают.

то что НОД убивает файлы из карантина, это неплохо... значит детектирует их и значит они не нужны в вирлабе.
----------
по логу мбам,
можно все удалить,
и повторить быстрое сканирование.
если все будет чисто,
тогда выполните наши рекомендации по безопасной работе.
http://forum.esetnod32.ru/forum9/topic3998/

и да, встречный тебе вопрос.
какой видишь смысл в лишении файла статуса исполняемого?
(может и "взбрыкнуться" из активной системы, если есть самозащита).

[QUOTE]Арвид пишет:
Саш, хотел спросить у тебя - зачем во все скрипты для лечения добавляешь сигнатуры (именно в текст скрипта)? Даже если там обычный Carberp или Spy.Shiz. Иногда еще проверяешь добавляешь chklst - delvir. Смысла вроде как нету. И еще в любых случаях архивируешь вирусы которые еще с того года детектятся - думаю это лишняя работа как для пользователя, так и для  ZloyDi  с вирлабом[/QUOTE]
Арвид, а каким должен быть идеальный скрипт с твоей точки зрения?

Тут такое дело.
1. во первых чтобы сигнатуру добавить в свою базу, а значит, она автоматически попадает в скрипт,
поскольку у меня автоматом настроено: Addsgn + ZOO.
2. chklst&delvir не всегда можно применить, потому как иногда еще и delref идет для исключения файла из автозапуска.
3. сигнатура, возможно кому-то не помешает, поскольку RP55 внес рац. предложение : импорт сигнатур из скрипта.
4. иногда перестраховываешься:
и удаляешь двумя способами: через chklst&delvir (нужны сигнатуры) + dellall (по прямому пути)
(были непонятные случаи - когда при удалении по сигнатурам файл  выживал, а про прямому удалению - нет. удалялся.
--------
по архивированию - тут, да.... не додумал до конца, как сделать так чтобы не все файлы попадали в архив с ZOO.

дело в том, что при автоматическом детекте по сигнатурам у меня автоматическая реакция работает:
добавление в скрипт addsgn + ZOO. поэтому.
-------
для пользователя лишним никогда не будет дополнительно заархивировать папку (как полезное упражнение),
а для вирлаба - да, те файлы что детектируются не нужны.

Нужно еще раз обдумать и связать в предложение вариант, когда в список детектирования на VT входит и не входит детект NOD32.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\MAMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
addsgn 925277CA146AC1CC0B14504E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4­D985CC8F 8 tr.Carberp
zoo %SystemRoot%\UATIR.SYS
addsgn A76D8B9A556ACC01FA8C2F4B82F80964506DF9F288FA1E90C243C5BC51C3­60593212C25209C70C589C27859E4715E15864DEE96340CBB52D28B8AD8B­9B372372 8 Win32/Rootkit.Kryptik.EN [NOD32]
deltmp
delnfr
bl 27218683DF121B896CDAC9B217C224CC 211456
delall %SystemDrive%\USERS\MAMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
delref HTTP://SEARCH.BABYLON.COM/?AF=100789&BABSRC=HP_SS&MNTRID=C21E70A70000000000000013E8241A­B5
delref HTTP://SEARCH.QIP.RU
sreg
delref %SystemRoot%\UATIR.SYS
areg
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

у меня тривиальный вариант:
черный банер, черный банер, чтож ты вьешься надо мной,
в MBR ты не прорвешься, черный банер я не твой.
:).

придумать вариант песни под названием "Черный банер"
(возможно защитит систему от MBRLock если напевать ее в момент загрузки системы). :).
-----
на основе казачьей народной песни
------
[QUOTE]Черный ворон,черный ворон,
Что ты вьешься надо мной?
Ты добычи не добьешься,
Черный ворон, я не твой!

Что ж ты когти распускаешь
Над моею головой?
Иль добычу себе чаешь?
Черный ворон, я не твой!
Иль добычу себе чаешь?
Черный ворон, я не твой!

Завяжу смертельну рану
Подарённым мне платком,
А потом с тобой я стану
Говорить всё об одном.

Полети в мою сторонку,
Скажи маменьке моей,
Ей скажи, моей любезной,
Что за Родину я пал.

Отнеси платок кровавый
К милой любушке моей.
Ей скажи — она свободна,
Я женился на другой.
Ей скажи — она свободна,
Я женился на другой.

Взял невесту тиху-скромну
В чистом поле под кустом,
Остра шашка была свашкой,—
Штык булатный был дружком.

Калена стрела венчала
Среди битвы роковой.
Вижу, смерть моя приходит, —
Черный ворон, я не твой!
Вижу, смерть моя приходит, —
Черный ворон, весь я твой...[/QUOTE]

если у вас семерка, то скачивайте сразу IE 9 и устанавливайте.
(обновления возможно микрософт не отдает (из-за проверки системы))

сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
если не получается в нормальном режиме, сделайте в безопасном режиме. можно сделать образ без проверки цифровых подписей.