Спасибо Вам, за ответ! Прочёл, но может быть мне не стоит создавать для этого прям целую отдельную тему, а поместить свой лог из uVS сюда? Ведь большинство вопросов по данной проблеме уже давно обсуждается в этой ветке.

каждая новая проблема - это новая тема. ничего страшного в создании темы нет.
в этой теме не лечим. тут обсуждаем.

RP55, поясни, что ты имеешь ввиду в данном предложении, как uVS это должен выполнять. (не стал офтопить на АМ, чтобы не забивать топик ненужными комментариями.)
-------
допустим добавили данный текст в скрипт и запустили на выполнение на удаленной машине. Что дальше.

uVS - читает команду:
1) addsgn A7679BF0AA024C064BD4C62C24881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92
A2DD78F544E95C0E0C9FE82BD6D7B08C69775BACCA028237 8 Por.exe.Vir.DNS
Происходит проверка списка...
Имеем результат: Под определение сигнатуры попало 3-три объекта.
2) Идёт считывание следующей команды: "exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"
Для объекта с sha1 равной: "BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = BC10B8D00BF12038D180FBBA7FCDF48E1264C6D _ Запрещено ! "

Соответственно автоматически для sha1 = BC10B8D00BF12038D180FBBA7FCDF48E1264C6D
Определяется путь/имя.

В результате: при применении скрипта удаляется 2-ва объекта*.
*При том, что под определение сигнатуры подпадает 3-ри объекта.

Что позволяет работать с сигнатурой без изменения её значения и экономит время.

я так понимаю, что chklst и delvir тоже должны быть в скрипте.

первая команда в скрипте у тебя
и что дальше?
распиши подробнее, что будет делать uVS? перебирать весь список автозапуска, чтобы найти файл с соответствующим sha1, вычислить его путь,
и куда то записать? кто применяет эту политику? система? uVS?

Это подразумевается.
Просто я хотел дать основную информацию,необходимый к пояснению минимум.
Это не имеет значения, что и в какой последовательности прописано в скрипте.
Имеет значение алгоритм обработки команд программой - приоритет команд и их выполнения - логика.
Как пример: ----------------
По следующим пунктам/вопросам.
Ответ можно получить вспомнив порядок работы с uVS.
start.exe > Построение списка активных процессов > считывание данных & sha1
На выходе имеем список типа:
A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0
...
где: "exclude ДЛЯ: D84EB5022EEF9A024311A0C8BDCF45263E7538A0"

И далее действует политика ( внутренняя логика программы разрешений/запретов )
Для объекта с sha1 равной: "D84EB5022EEF9A024311A0C8BDCF45263E7538A0"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "

Под сигнатуру попадают три объекта:
" A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0 "

Однако по ЛЮБОЙ команде на удаление действует выше названный запрет - логическая схема по обработке и применению команд.
Считывание имён/директорий актуально при удалении объектов с идентичными именами - и является прежде всего элементом/этапом
защиты предотвращения ошибочного удаления. ( при работе с реестром )

Кроме того, если команды были раннее добавлены в скрипт - то...
После отдачи команды из контекстного меню - происходит их удаление из тела скрипта.
Остаётся одна команда: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Соответственно, как и было сказано одна команда запускает механизм внутренней логики.
т.е.Последовательную серию команд.

Всё это верно и при работе в реальном времени.
Этапы: Добавление сигнатуры > Проверка списка > Контекстное меню файла и ... ( по необходимости )
"Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "
После чего применяется delvir.

вообщем, понятнее не стало.
одна новая команда добавлена, и уже смену работы всей логики программы подавай.
любые новвоведения актуальны если они базируются на том, что уже есть и работает.

во первых, твой exclude начинает работать после того, как уже считан список и пересчитаны sha1,
это значит, что необходим повторное сканирование списка, и отметка элемента, у которого sha1 сопадает с тем что есть в игнор_листе....
а это выглядит очень некрасиво (в плане программирования - пересканировать весь список и отметить у какого из элементов есть подобный sha)

а далее уже все удаления и очистки delref тоже уже будут выполняться с оглядкой на эту отметку.

и вот это уже полная чушь - если ты определил что данный объект должен быть удален (по сигнатурам) - зачем еще раз делать дополнительные проверки - а не входит ли он в игнор_лист. Спрашивается, зачем тогда помещаешь команду удаления в скрипт - если данный объект входит в игнор_лист?
------------
и удаление из скрипта строки удаления объекта, по которому ты назначил exclude тоже не катит, потому что сейчас нет такой техники, чтобы можно было удалить произвольную команду из скрипта.... есть только полная очистка скрипта.

Зачем пересканировать ?
Речь идёт о поиске по sha1 - по уже генерированному/составленному списку
Составили список > Проверили.
( это как задать временный поисковый критерий на основе выделенной sha1 )

Затем, что Мы говорим об АВТОМАТИЗИРОВАННОМ СКРИПТЕ = Автоматически составленном на основе сигнатур !

Как пример, возьмём работу антивируса: Есть ложное срабатывание, какие есть варианты ?
1 - Удалить сигнатуру - но это не дело, есть же вирус = потенциальное заражение.
2 - Увеличить длину сигнатуры - Вопрос какой длинны она будет и будет ли эффективен на её основе поиск самого вируса/первоисточника.
3- Внести файл/объект в исключение. В данном варианте длинна сигнатуры не изменяется; проводить проверку/работоспособность сигнатуры повторно не требуется - в силу того, что она не изменялась.
Как внести объект в исключение ?
Самый простой вариант это исключить по sha1.
На то оно и предложение...
----------------
Минус в том, что сигнатура после выполнения будет сохранена в базе sgnz - и при повторном выполнении без учёта exclude - это приведёт к спонтанному удалению объекта.
Соответственно при наличие команды типа: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Должна приводиться автоматическая очистка базы сигнатур.*
* Что само по себе актуально и уже предлагалось.

Чего именно я хочу по данному предложению.
1) Сделать так, чтобы - эффективно работал авто. скрипт.
2) В скрипте присутствовала сигнатура - но при этом была возможность временно блокировать её применение по отношению к заданному объекту.
С сохранением длинны сигнатуры = без её корректировки.
3) Чтобы исключение по sha1 - могло применяться в режиме реального времени.

Какие есть/могут быть иные варианты ?
----------------
По поводу "красоты" программного кода - возможно есть, что сказать Арвиду ?
Арвид, как это лучше всего и эффективнее реализовать ?

исключение к автоскрипту имеет косвенное (не прямое) отношение.
во-первых, его еще нет, и все попытки и рассуждения как нам оптимизировать автоскрипт только замедляют его выход.

во-вторых, сейчас предполагается автоматизировать написание скрипта только после ручного согласования сигнатур,
когда все ложные детекты сняты вручную и по сигнатурам, которые добавляют ложные детекты либо увеличена точность, либо они сняты (удалены) из базы.

в третьих - исключения, может быть и будут полезны, но не в такой редакции (или механизме что ты предлагаешь)

например, если необходимо сохранить сигнатуру (но исключить ее временно из работы) можно добавлять статус в базу (активна, неактивна)
скажем, детект по ней показывать, но команда addsign не добавляется при этом в скрипт. (проверка флага - активна, неактивна)
--------

вариант когда сигнатура будет работать на удаление одних файлов, и uVS будет игнорировать удаление других файлов при детекте по данной сигнатуре, может быть и актуален, но не сейчас.
-----------
только после выхода рабочего варианта автоскрипта.