Вчера обсуждалась возможность поиска в реестре.
А, что, если искать в реестре не по имени, а по пути.

%SystemRoot%\APPPATCH\NUINICY.EXE
%SystemDrive%\SYSTEMHOST\24FC2AE3DDB.EXE

В приведённом примере это "значение содержит": APPPATCH ; SYSTEMHOST
т.е. Не просто поиск, а добавление найденных объектов в категорию "Добавлены вручную" = Образ.
В uVS закладывается поисковый алгоритм и осуществляется поиск.
Это будет на порядок быстрее.

Мнение ?

Bamsi
По адресу
C:\Documents and Settings\KAKAXA\Application Data\Malwarebytes\Malwarebytes' Anti-Malware

Есть папка: Quarantine
Папку в Архив.
Если есть возможность загрузите архив на http://rghost.ru
Ссылку дайте сюда в тему.

[QUOTE]Bamsi пишет:
спасибо всё сделал,,что нужно выложить ?[/QUOTE]
Как там вирус ?

Выполните: лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
Скачать здесь: http://rghost.ru/36261478

Создайте лог в uVS в безопасном режиме !
http://forum.esetnod32.ru/forum9/topic2687/

Подробно запуск PC - безопасный режим.
http://pchelpforum.ru/f34/t31305/
+
Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Вирус Прибили.  :)
Нужно немного подчистить мусор:

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
[code]

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 86C46645E719F74EEB2A4C0654658A0A 1182088
delref %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL
delref %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATETASK.EXE
deltmp
delnfr
restart

[/code]


Далее ! (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

[QUOTE]santy пишет:
а если ссылка содержит mkdrv - то искать по всему реестру? [/QUOTE]
И что ?
Это так долго ?
В конце концов uVS может скопировать файлы реестра и работать уже с копиией.
Что должно позволить сократить время проверки/поиска.

[QUOTE]santy пишет:
ИМЯ ФАЙЛА=CSRCS.EXE

где должен uVS искать этот файл: по все дискам?[/QUOTE]
Возможно так:
Быстрый поиск данных и файлов на NTFS разделах без использования индексирования.
Скорость достигается за счет прямой работы с таблицей MFT раздела.

Или через ADDDIR ( с предварительным отключением A.V. Монитора )
Это минут 10 + - .

Rexus
После удаления вируса Вы почистили - Кэш обновлений.
После этого NOD обновился.
Ждём лог Malwarebytes !

[QUOTE]santy пишет:
блок поисковых критериев применяется только к образу или списку автозапуска, на поиск вредоносов в реестре или на диске в момент создания образа он не влияет.[/QUOTE]
А, если так сделать чтобы влиял ?
т.е.:
[QUOTE]RP55 RP55 пишет:
Предложение/идея. Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям. Но ! В образ добавятся не вся информация "Добавлены в ручную "- а только те, объекты, что попали под определение поискового критерия. т.е. Своего рода Эвристическая проверка системы/списка. + В комплексе - проходит Проверка реестра.[/QUOTE]
По типу эвристика в AVZ.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
На Вопросы программы говорим Да !

[code]

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

uidel MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE
bl 3FE290339B692BDB6583F3D1B5665474 194560
addsgn A7679BF0AA0268264BD4C67156881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CAE3D9FE82BD6D7B0AC69775BAC­CA02A237 8 Carb.379

delall %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

[/code]
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.