[QUOTE]santy пишет:
Ребята, перепроверяйте скрипт, если есть заминка по ходу лечения.
[/QUOTE]
Santy
Сразу вспоминается фраза: " [S]Пастернака[/S] не читал но осуждаю" :(

[QUOTE]santy пишет:
RP55 , я тебе уже предлагал сменить менторский тон, на участие. будет больше пользы для всех.
[/QUOTE]
Ну вот... :(
"Значит, достаточно доказать, что крокодил скорее шире, чем длиннее. Тогда можно будет заключить, что длинна и ширина равны и, значит, крокодил квадратный.
Это, не тон Ментора это касается: [QUOTE] Маячка для морской навигации... [/QUOTE]
Формально похоже.
Концептуально различно...
Но далеко не всегда правильно. :oops:

[QUOTE]santy пишет:
что касается маячка, то здесь действительно может быть аберация, когда человек называет один симптом,а в действительности их несколько.[/QUOTE]
Я хотел сказать, что причина может быть в программе - не в Операторе ?
т.е. Я - об Эргономике её применении  и uVS !

[QUOTE]Santy пишет:
Все комменты, плиз, в специально отведенном месте.[/QUOTE]
Всё дело в том, что если в теме УЖЕ присутствует ГОТОВЫЙ скрипт лечения, то чаще всего повторную проверку со стороны других Модераторов
образ автозапуска не проходит !
Что и приводит к : " Все надеются на всех" & стремление к [S]экономии[/S] своего рабочего времени.
Чаще всего такой подход верен !
Однако, в случае возникновения затруднений = нетипичного развития сюжетной линии лечения ВСЕГДА необходимо
дополнительно проверять/перепроверять.

Что касается  Маячка для морской навигации... ;)
По критерию поиска: "Appinit_Dll"  он сразу попадает в список.
Однако пропускается он чаще всего.
Должна быть причина - почему так происходит.
И как эту причину можно компенсировать/убрать.

kot3003

Видео урок по uVS:
http://forum.esetnod32.ru/forum8/topic1417/
http://pchelpforum.ru/showpost.php?p=593305&postcount=2

[QUOTE]santy пишет:
например, если необходимо сохранить сигнатуру (но исключить ее временно из работы) можно добавлять статус в базу (активна, неактивна)
скажем, детект по ней показывать, но команда addsign не добавляется при этом в скрипт. (проверка флага - активна, неактивна)
[/QUOTE]
Наиболее  максимально и эффективно применение именно сигнатур/ы.
А не команд: DELREF; DELALL
Поэтому я и говорю прежде всего об АКТИВНОЙ сигнатуре.
-------------
[QUOTE]santy пишет:
в третьих - исключения, может быть и будут полезны, но не в такой редакции (или механизме что ты предлагаешь)
[/QUOTE]
Я и не говорю, что предложение идеально - однако стоит работать в этом направлении.

proxozhii
Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Дело в том, что Microsoft регулярно выпускает обновления.
В сборки включены некоторые из них.
И к чему может привести выборочное сочетание тех, или иных обновлений на разном железе неизвестно.
Коробочная же версия перед её поступлением в продажу проходит ряд тестовых испытаний.
Если в процессе этих испытаний обнаруживают сбой его причину устраняют.

Чего именно я хочу по данному предложению.
1) Сделать так, чтобы - эффективно работал авто. скрипт.
2) В скрипте присутствовала сигнатура - но при этом была возможность временно блокировать её применение по отношению к заданному объекту.
С сохранением длинны сигнатуры = без её корректировки.
3) Чтобы исключение по sha1 - могло применяться в режиме реального времени.

Какие есть/могут быть иные варианты ?
----------------
По поводу "красоты" программного кода - возможно есть, что сказать Арвиду ?
Арвид, как это лучше всего и эффективнее реализовать ?

[QUOTE]santy пишет:
А это выглядит очень некрасиво (в плане программирования - пересканировать весь список и отметить у какого из элементов есть подобный sha)
[/QUOTE]
Зачем пересканировать ?
Речь идёт о поиске по sha1 - по уже генерированному/составленному списку
Составили список > Проверили.
( это как задать временный поисковый критерий на основе выделенной sha1 )

[QUOTE]santy пишет:
И вот это уже полная чушь - если ты определил что данный объект должен быть удален (по сигнатурам) - зачем еще раз делать дополнительные проверки - а не входит ли он в игнор_лист. Спрашивается, зачем тогда помещаешь команду удаления в скрипт - если данный объект входит в игнор_лист?
[/QUOTE]
Затем, что Мы говорим об АВТОМАТИЗИРОВАННОМ СКРИПТЕ = Автоматически составленном на основе сигнатур !

Как пример, возьмём работу антивируса: Есть ложное срабатывание, какие есть варианты ?
1 - Удалить сигнатуру - но это не дело, есть же вирус = потенциальное заражение.
2 - Увеличить длину сигнатуры - Вопрос какой длинны она будет и будет ли эффективен на её основе поиск самого вируса/первоисточника.
3- Внести файл/объект в исключение. В данном варианте длинна сигнатуры не изменяется; проводить проверку/работоспособность сигнатуры повторно не требуется - в силу того, что она не изменялась.
Как внести объект в исключение ?
Самый простой вариант это исключить по sha1.
[QUOTE]santy пишет:
И удаление из скрипта строки удаления объекта, по которому ты назначил exclude тоже не катит, потому что сейчас нет такой техники, чтобы можно было удалить произвольную команду из скрипта.... есть только полная очистка скрипта.[/QUOTE]
На то оно и предложение...
----------------
Минус в том, что сигнатура после выполнения будет сохранена в базе sgnz - и при повторном выполнении без учёта exclude - это приведёт к спонтанному удалению объекта.
Соответственно при наличие команды типа: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Должна приводиться автоматическая очистка базы сигнатур.*
* Что само по себе актуально и уже предлагалось.

[QUOTE]santy пишет:
я так понимаю, что chklst и delvir тоже должны быть в скрипте.
[/QUOTE]
Это подразумевается.
Просто я хотел дать основную информацию,необходимый к пояснению минимум.
[QUOTE]santy пишет:
первая команда в скрипте у тебя...
[/QUOTE]
Это не имеет значения, что и в какой последовательности прописано в скрипте.
Имеет значение алгоритм обработки команд программой - приоритет команд и их выполнения - логика.
Как пример: [QUOTE]RESTART
Перезагрузить, команда выполняется всегда после исполнения остального скрипта.[/QUOTE]
----------------
По следующим пунктам/вопросам.
Ответ можно получить вспомнив порядок работы с uVS.
start.exe > Построение списка активных процессов > считывание данных & sha1
На выходе имеем список типа:
A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0
...
где: "exclude ДЛЯ: D84EB5022EEF9A024311A0C8BDCF45263E7538A0"

И далее действует политика ( внутренняя логика программы разрешений/запретов )
Для объекта с sha1 равной: "D84EB5022EEF9A024311A0C8BDCF45263E7538A0"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "

Под сигнатуру попадают три объекта:
" A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0 "

Однако по ЛЮБОЙ команде на удаление действует выше названный запрет - логическая схема по обработке и применению команд.
Считывание имён/директорий актуально при удалении объектов с идентичными именами - и является прежде всего элементом/этапом
защиты предотвращения ошибочного удаления. ( при работе с реестром )

Кроме того, если команды были раннее добавлены в скрипт - то...
После отдачи команды из контекстного меню - происходит их удаление из тела скрипта.
Остаётся одна команда: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Соответственно, как и было сказано одна команда запускает механизм внутренней логики.
т.е.Последовательную серию команд.

Всё это верно и при работе в реальном времени.
Этапы: Добавление сигнатуры > Проверка списка > Контекстное меню файла и ... ( по необходимости )
"Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "
После чего применяется delvir.