[QUOTE]santy пишет:
блок поисковых критериев применяется только к образу или списку автозапуска, на поиск вредоносов в реестре или на диске в момент создания образа он не влияет.[/QUOTE]
А, если так сделать чтобы влиял ?
т.е.:
[QUOTE]RP55 RP55 пишет:
Предложение/идея. Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям. Но ! В образ добавятся не вся информация "Добавлены в ручную "- а только те, объекты, что попали под определение поискового критерия. т.е. Своего рода Эвристическая проверка системы/списка. + В комплексе - проходит Проверка реестра.[/QUOTE]
По типу эвристика в AVZ.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
На Вопросы программы говорим Да !

[code]

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

uidel MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE
bl 3FE290339B692BDB6583F3D1B5665474 194560
addsgn A7679BF0AA0268264BD4C67156881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CAE3D9FE82BD6D7B0AC69775BAC­CA02A237 8 Carb.379

delall %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

[/code]
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

[QUOTE]santy пишет:
каким образом этот критерий сработает если данный вариант не попадает в образ? [/QUOTE]
Просто для удобства работы.
Да и .exe / может иметь место при обнаружении других угроз.

Теоретический вопрос.
Может ли повлиять наличие блока поисковых критериев "snms" на обнаружение ?
Вроде и нет...
Или всё таки это возможно ?
---------------
Или так:
Новое предложение/идея.
Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям.
Но !
В образ добавятся не вся информация "Добавлены в ручную "- а только  те, объекты, что попали под определение поискового критерия.
т.е. Своего рода Эвристическая проверка системы/списка.
+
В комплексе - проходит Проверка реестра.

Volksik
Все скрипты индивидуальны !

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Можно создать критерий поиска для Win32/Spy.SpyEye.CA.На базе:
Содержит: .exe /q
Или так: .exe /

Дмитрий уже в курсе ситуации ?
То, Carbepr прятался в безопасном искали, теперь Spy.SpyEye.CA прячется.
Кто следующий ?
Да и процесс лечения затягивается.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE
bl 9437ED606EA772B813ECC1673D3E66A0 400408
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE
zoo %SystemDrive%\TEMP\____991.EXE
delall %SystemDrive%\TEMP\____991.EXE
delref HTTP://TOPHITS.WS/
delref HTTP://SIGNUP.WAZZUB.INFO/?LRREF=31998
delref HTTP://WWW.EBESUCHER.DE/SURFBAR/REXUS
delref HTTPS://MAIL.GOOGLE.COM/MAIL/?HL=RU&SHVA=1#INBOX
delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH
regt 14
deltmp
delnfr
czoo
restart

[/code]
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

С ДНЁМ РОЖДЕНИЯ !

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Да !
uVS Может просто создать файл/идентификатор - и сохранить его на HDD.
И всё...

[QUOTE]santy пишет:
Грамотный юзер может адаптировать скрипт к своей проблеме.[/QUOTE]
В том и дело, что грамотный - сам решит проблему.
Или обратиться за помощью - понимая, что некорректное лечение способно вызвать отказ системы.
Предложение по Идентификатору система <-> скрипт.
Позволит, его выполнить - только человеку имеющему некоторые представления по данному вопросу.
Кроме того идентификатор может иметь доп.параметр/ы например sha1 - одного из системных файлов.
+ производитель видео карты.
Или ряд других "постоянных" значеий/параметров.
----------
Идея о подписи...
Идея живёт - тогда когда она востребована !
И кем, она востребована ?