Вот можно создать критерий поиска для Котика ( Carbepr )
http://forum.esetnod32.ru/forum6/topic5265/
Посмотрите - какие данные указаны _Информация_
Проверяем Атрибуты файла: Скрытый/Системный...
Данные могут быть в ряде случаев указаны и вполне легитимные.
Так, что не стоит всё брать на веру.

[QUOTE]felix2604 пишет:
С критерием поиска хорошо, базу нужно будет создать (snms), а своей базой не поделитесь?)[/QUOTE]
А.База- snms - создаётся автоматически - в момент формирования первого поискового критерия.
Если Вы хотите научиться работать с uVS - ( Я написал _научиться_ ) - То формируем критерии самостоятельно.
Это и будет обучением.
Копирование базы не даст вам понимания - что, как и для чего было проделано/сформировано.
Грубо говоря - Вы хотите научится играть на Фортепьяно - без знания/понимания нот.
Что Некорректно по своей сути...
[QUOTE]nWc пишет:
NOD - при попытки переустановить - исправить - выдает ошибк[/QUOTE]
*Для это, есть поиск по форуму - с кучей готовых примеров/решений.
[URL=http://esetnod32.ru/.support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=413&ELEMENT_ID=6823]Удаление NOD32[/URL]

[QUOTE]nWc пишет:
C:\WINDOWS\SYSTEM32\BASECSP.DLL [/QUOTE]
Файл чист.
Ситуация Когда есть информация по типу: "НАРУШЕНА, файл модифицирован или заражён"
Периодически присутствует в образе.
Сами по себе эти данные не о чём не говорят.
[QUOTE]nWc пишет:
И на какие подписи при поиске вируса и поврежденных файлов стоит обращать внимание?[/QUOTE]
Проверять: 1) По базе проверенных файлов по Sha1 ( проверка по F4 )
Базу можно скачать здесь: http://dsrt.dyndns.org/
Базу распаковать в \uvs_v374\SHA
2.Если файла  нет в базе.
Проверяем его по Sha1 на V.T или http://virusscan.jotti.org/ru
Обращаем внимание на дату первой и крайней проверки !
Пример >
Дата: 2012-04-15 [2008-07-30 21:03:55 UTC ( 3 years, 8 months ago )]
Соответственно - проверяем её результат.  
Смотрим путь до файла. ( И думаем - в том он месте лежит или нет )
-----------
И вообще: Путь до файла; Схожесть имени файла с именем известных системных фалов; Расширение проверяем.( exe;dll...)
Одинарное это расширение или двойное.Есть цифровая подпись или нет.
Приведённую/полученную информацию - Имя файла,Производитель, описание продукта.
КАК ЭТО НАПИСАНО !!!
Например:
Имя файла: Ncvjpwpmid.exe
Производитель: fhgkjllkh
Продукт: ualjgvbgfj
И сразу ясно, что это зверёк.
Проверяем по времени создание файла ( В меню есть настройка/отсев по дате и времени )
* Ряд вирусов может изменить время своего создание на диске !!!
Или может использовать краденную цифровую подпись. ( Сбросить результат проверки по цифровой подписи можно в меню: Подпись/Хеш
т.е. Если есть сомнение - Сбросили, результат проверки и далее - чтобы сократить/минимизировать список/объём проверки жмём F4

Если точно  известно  какой вирус в системе ( например по результатам сканирования штатным Антивирусов ) то...
Ищем/смотрим информацию по этому вирусу.
Что о нём есть.
В какой директории  размещается файл/тело вируса.
Какие ключи реестра изменяет - как стартует при запуске системы.
И на основании этих данных производим поиск/отсев данных в системе/образе.

brudra

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

[QUOTE]nWc пишет:
Интересно , а сколько места на системном диске?[/QUOTE]

uVS = Alt+L = Свободно на системном диске: 6,5GB

[QUOTE]nWc пишет:
Ух ты на всю ночь хватит изучать [/QUOTE]
:o

Поисковый критерий на основе:
Win32/Spy.Shiz.NCE
http://forum.esetnod32.ru/messages/forum6/topic3298/message27791/#message27791

[QUOTE]nWc пишет:
зачем лишние[/QUOTE]
"Кролика Видишь ?
Нет !
А он там есть !"
Или волне может быть.

Например можно ВЫБОРОЧНО очистить: C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка
Через атрибуты файлов.

S - Системные.
R - Только для чтения.
H - Скрытые.

igfxtray.dat - В образе вообще не сохраняется.*
В силу того, что сохраняется информация только по исполняемым файлам.
Зато - нам известен путь до файла и значит мы его можно удалить.

Алгоритм поиска - основан на данных по вирусу.
Которые можно заранее посмотреть например здесь: http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en

[QUOTE]nWc пишет:
Ну также указать какие виды модификаций ловят, а какие нет - которые можно найти уже с помощью. того же Malwarebytes и TDSSKiller.[/QUOTE]
С помощью uVS - можно найти всё.
Вопрос только в применяемой тактике/методах обнаружения.
Единственно над чем не властна программа это файловые вирусы.
Malwarebytes - применяют для зачистки - так, как, если бы она эффектно чистила систему от активных угроз сама по себе - то и uVS  стала бы не нужна.
TDSSKiller - Что ловит, что нет - это к разработчику данной программы.

[QUOTE]nWc пишет:
вирус-банер [/QUOTE]
К урокам по uVS отношения не имеет...

[QUOTE]nWc пишет:
6. Побольше рассказать про базу поисковых критериев. Привести пример борьбы с руткитами.[/QUOTE]
Работа с руткитами.
Работа с загрузчиками есть в DOC = "Удаление руткитов.txt"
Я пишу - то чего нет в справке к программе !
И то что относиться именно к работе с uVS - а не: " Общие вопросы лечения "

ПРИМЕР: № 4.1

;uVS v3.71 script [http://dsrt.dyndns.org]

sreg
delref %SystemRoot%\Fox.SYS
areg

_______________________________________________

С виртуализацией & Zoo*
*Где Zoo это помещение файла в карантин  :) & ;)

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\Fox.SYS
sreg
delref %SystemRoot%\Fox.SYS
areg
_________________________________________________


;uVS v3.71 script [http://dsrt.dyndns.org]

delref %SystemRoot%\ZUDVA.Sys
restart
_________________________________________________

* При удаленни Актиных/Внедряемых Dll - применяются команды вида: delref

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref %SystemRoot%\ZUDVA.Dll
restart
--------------------------------------------------
Комбинированные:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

sreg
delref %SystemRoot%\ZUDVA.Dll
areg
Альтернатива: Удаление в безопасном режиме.