[QUOTE]santy пишет:
каким образом этот критерий сработает если данный вариант не попадает в образ? [/QUOTE]
Просто для удобства работы.
Да и .exe / может иметь место при обнаружении других угроз.

Теоретический вопрос.
Может ли повлиять наличие блока поисковых критериев "snms" на обнаружение ?
Вроде и нет...
Или всё таки это возможно ?
---------------
Или так:
Новое предложение/идея.
Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям.
Но !
В образ добавятся не вся информация "Добавлены в ручную "- а только  те, объекты, что попали под определение поискового критерия.
т.е. Своего рода Эвристическая проверка системы/списка.
+
В комплексе - проходит Проверка реестра.

Volksik
Все скрипты индивидуальны !

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Можно создать критерий поиска для Win32/Spy.SpyEye.CA.На базе:
Содержит: .exe /q
Или так: .exe /

Дмитрий уже в курсе ситуации ?
То, Carbepr прятался в безопасном искали, теперь Spy.SpyEye.CA прячется.
Кто следующий ?
Да и процесс лечения затягивается.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE
bl 9437ED606EA772B813ECC1673D3E66A0 400408
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE
zoo %SystemDrive%\TEMP\____991.EXE
delall %SystemDrive%\TEMP\____991.EXE
delref HTTP://TOPHITS.WS/
delref HTTP://SIGNUP.WAZZUB.INFO/?LRREF=31998
delref HTTP://WWW.EBESUCHER.DE/SURFBAR/REXUS
delref HTTPS://MAIL.GOOGLE.COM/MAIL/?HL=RU&SHVA=1#INBOX
delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH
regt 14
deltmp
delnfr
czoo
restart

[/code]
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

С ДНЁМ РОЖДЕНИЯ !

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Да !
uVS Может просто создать файл/идентификатор - и сохранить его на HDD.
И всё...

[QUOTE]santy пишет:
Грамотный юзер может адаптировать скрипт к своей проблеме.[/QUOTE]
В том и дело, что грамотный - сам решит проблему.
Или обратиться за помощью - понимая, что некорректное лечение способно вызвать отказ системы.
Предложение по Идентификатору система <-> скрипт.
Позволит, его выполнить - только человеку имеющему некоторые представления по данному вопросу.
Кроме того идентификатор может иметь доп.параметр/ы например sha1 - одного из системных файлов.
+ производитель видео карты.
Или ряд других "постоянных" значеий/параметров.
----------
Идея о подписи...
Идея живёт - тогда когда она востребована !
И кем, она востребована ?

Правильная карта мира.
В Школах Австралии !

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref %SystemDrive%\PROGRA~2\PPDATA\LOCAL\TEMP\MACROM~1\SWFUPD~1\S­WFUPDATE.DLL
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\2A8IA63TCOC.EXE
bl B917885799623514BE39D28D8D3A868F 184832
addsgn A7679B19B93E26B0E30788B1644BD6017603B916DF711ABC6A81C5D45056­29854B17792463BDD9622B80075B4E4123BB1778825EBD7D962C2DF46023­AF06E92E 8 Carb.364

addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 16 Praetorian

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\2A8IA63TCOC.EXE
chklst
delvir
delref F:\AUTORUN.EXE
deltmp
delnfr
czoo
restart

[/code]
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.