Вообще эта эвристика какая-то странная... Толи она есть, толи ее нет... За все время пользования Вебом всего раза три (!!!) видел это сообщение... 8-/Эвристика - это "возможно, инфицирован". То есть, ещё не факт. IMHO, даже origin может налажать в лечении, если похожесть неверно определится.
Ну блин, самому не смешно? Если мы уже знаем (а мы знаем - я ведь говорю про те файлы, которые статистика вирустотал показывает) что userinit.exe это вирус - чего там разбирать? Рассказываю суперсложный аглоритм: прибиваем файл с вирусом (userinit.exe) и берем оригинальный файл из dllcache. По желанию можно взять его из userini.exe, если он есть рядом.Так надо ж разобраться! userinit или нет, переименовывает или берёт из DllCache и т.д. А вы предлагаете сразу сигнатуру в базу.
Вы хоть раз вирустоталом пользовались? Чего "дожидаться", провера длится максимум пару-тройку минут. А где лежат описания вирусов - тоже давно известно. Да и ведь у многих поведение одинаковое. И что такое "час", когда файло (я ведь опять это припомню :-)) со статистикой 29/33 "обрабатывается" третью неделю!!!Мда. Это точно ещё тормознее будет - дождаться результатов проверки, потом искать описания по именам, а описаний может и не быть, а для новья скорее всего и нет... Час времени улетел впустую.
Так вот непохоже, что робот... 8-/ Какое там вскрытие, распаковку сделать да функции внутри посмотреть? Это и на вирустотале один из антивирей делает, прям в онлайне...Первичное вскрытие наверняка делает робот, будьте уверены. Вручную обрабатывать такое количество тел, какое попадает в вирлаб, нереально.