RP55, не может знать, значит будет знать что не знает пока как работать с критериями.

судя по скриптам - опыт имеется работы с программой, он не первый день в разделе безопасности.

-------------
далее, to Arkalik
ПРИМЕР 4.
http://rghost.ru/41497153

описать последовательность лечения подобного заражения
+
скрипт лечения.

Arkalik, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1

safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------

Вот, Спасибо safety :)

жалуется, типа вылетают запускаемые приложения с ошибкой "не win32" :).

safety

Я бы в качестве критерия поиска задал значение.
Services\newdriver ( содержит )
И
.sys ( содержит )
Или
Ядра 1 ( содержит )

Задавать конкретное имя не самая лучшая идея = пример.

это визуальный пример: как создавать простые и сложные критерии. а как, и кто будет создавать критерии - это уже должна работать логика, этому труднее научить... этому уже в ВУЗ-ах и колледжах учат на прикладной математике.
---------
(я просто добавил правило: ссылка ~ newdriver)

По этим данным похоже на Sality, но Редактор реестра - Диспетчер задач - Свойства папки не заблокирован и ошибки win32 нету:
По инструкций и по логам RP55.RP55 создал критерий поиска, оцените :D

критерий сделан правильно, имя драйвера здесь необязательно уточнять, достаточно простого правила.
-----------
подсказываю по симптому, файловое заражение есть, но не sality

Так и надо написать.
Вирус меняет своё имя.
Вывод: Задавать критерий поиска по имени нельзя.
В силу того, что при смене/изменении имени критерий не сработает.
что приведёт к пропуску вируса при проверке.
Это относиться и к SHA1 файла.
И привести пример устойчивых значений.
Это:
расширение файла.
отсутствие/наличае цифровой подписи.
тип старта/запуска/приоритета

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.