[QUOTE]RP55 RP55 пишет:
Тема - развивается...
В возможности точечного наведения на цель - при том, что сигнатура сработала на 2-ва файла.
*Один из них системный, а второй вирус.
И нет возможности увеличить длину сигнатуры - "сигнатуры идентичны"
Если задать доп.параметр ( например размер файла 570 )
То из двух файлов - будет удалён  только файл = 570kb ! = вирус !
А системный будет цел !
И это при том, что он изначально попадал под действие сигнатуры...
Иначе говоря УЖЕ можно как удалять файл по доп.критериям  - так и спасти его от ложного срабатывания.


В меню uVS опция:
"Задайте файл исключение по имени;размеру;хешу;дате создания;производителю;подписи;пути;
В общем я размышляю...       [/QUOTE]
все это можно реализовать по технологии селектированных записей (которые формируются в том числе и по составному запросу.)
если это будет реализовано, тогда можно думать и развивать дальше, какие действия можно выполнить над селектированными записями.

удалите в МБАМ
[QUOTE]Обнаруженные файлы: 1
C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
[/QUOTE]
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/

здесь
http://forum.esetnod32.ru/forum6/topic3974/

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B956F48A0BD4AEDB51A2046F8D62B9EC89FA9CBC89902D804AD6­711A4989A9BDD66787492B034097AE3C53FA7D8882683F9ADA42C569BE2F­C785E67F 8 a variant of Win32/Kryptik.ZZY [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4XOO5A1ZZXQ.EXE
bl 28E287401BDA6ACCBB4155CF1F2786B2 171520
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4XOO5A1ZZXQ.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

удалите в мбам все найденное кроме
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
перезагрузка системы,
повторите сканирование в мбам

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B93AF6C20BD4AE3A69C4A047256283D489FA4C128EA9A0D6A03E­356F23174093323FC9A190A1849FC5D24DACC522147255B04346A71D7D45­6BEE8752 8 a variant of Win32/Kryptik.ZZY [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4CICL70YL7C.EXE
bl ACD064D57081D867C42B45DE6D2B84AC 174592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4CICL70YL7C.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart
[/code]
перезагрузка,
пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

код возможно будет другой, но метод прежний.
от вас - описание проблемы, образ автозапуска, логи сканирования и добросовестное выполнение рекомендаций.
от нас - скрипты и чуткое руководство. :)

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\IFVEIEI.EXE
addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3­291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347B­C7504A85 8 Spy.Shiz

bl 2C92DFCA006DE3B354C9D77A5295DA0D 264704
delall %SystemRoot%\APPPATCH\IFVEIEI.EXE
chklst
delvir
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка,
пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

удалите все найденное в МБАМ кроме:
[QUOTE]HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
далее,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

нужен образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/