проверил на [B]Win7 & ESS 8b[/B], так же работает правило с двойным слэшем.
все приложения (конечный файл (через слэш), конечное приложение (через слэш))

[QUOTE]26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test hips Delete file
26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test hips Delete file[/QUOTE]

+
на ESS 8 работает правило с масками

[QUOTE]Source applications:
for all

Target files:
c:\users\\appdata\local\temp\pubring.tmp

Target applications:
c:\users\\appdata\local\temp\test_*.*[/QUOTE]
--------------------
26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to
file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test_hips.bat Delete file
26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to
file C:\Users\**\AppData\Local\Temp\pubring.tmp some access
blocked test_hips.bat Delete file

+
такое работает в ESS 8, маска для конечных приложений. *.bat например.

[QUOTE]26.09.2014 16:07:55 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked    test_hips.bat    Delete file
26.09.2014 16:07:55    C:\Windows\System32\cmd.exe    Get access to file    C:\Users\***\AppData\Local\Temp\pubring.tmp    some access
blocked    test_hips.bat    Delete file[/QUOTE]
----------
Source applications:
   for all

Target files:
   c:\users\\appdata\local\temp\pubring.tmp

Target applications:
 [B] c:\users\\appdata\local\temp\*.bat[/B]

проверил для 8.1, действительно это правило (все исходные, конечный файл, конечное приложение) работает с двумя слэшами для конечного файла и для конечного приложения.

[QUOTE]26.09.2014 10:05:46 C:\Windows\System32\cmd.exe Получить доступ к файлу C:\Users\***\AppData\Local\Temp\pubring.tmp определенный доступ заблокирован block bat-encoder Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:03:26    C:\Program Files\Far\Far.exe    Получить доступ к файлу  C:\Users\***\AppData\Local\Temp\pubring.gpg    определенный доступ заблокирован    block bat-encoder    Выполнить запись в файл [/QUOTE]

cmd-ник делал копию файла pubring.tmp в pubring.tmp.old и пытался удалить pubring.tmp
действительно, не хватает правила на конечные файлы и конечные приложения  по маске,
чтобы задавать например конечное приложение как [B]*.cmd[/B]

видимо, это должно работать и для Win7.
(для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)

скачайте [URL=http://rghost.ru/58059515]актуальную версию uVS 3.83.1[/URL], потому что при выполнении скрипта в uVS 3.83 может быть ошибка.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C82555­4CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB­42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DIGITALSIT­E\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF45E4595AE592435ECFA164AA99E85B55E78E13CF5D8D9F6­C9144F56C3ED1E1ADC49C3FB6861B99574A2119EE87220D508744136A495­F7496373 9 tr

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62­D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALS\BONANZADEALSIE.DLL
addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D956B2A906CC47E1649C9BD9F6307595F4659214E916F­F807327C 64 Win32/DealPly.G [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7­330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2C­F4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD927­4CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\GOOPDATE.DLL
addsgn 79132211B9E9317E0AA1AB59229C1205DAFFF47DC4EA942D892B2942AF29­2811E11BC33D323D95EF21986C807B16497108D76D8421AF33118901AF37­C4736119 64 Win32/DealPly.L [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEHANDLER.EXE
addsgn 1AFE2C9A5583E88CF42BC4BD0CF0034725629BFB89FA75766DABC7BC508F­F229DF17482236DED34DAE49F0B0E7E27EB87D65184517DA3969C9F2645B­D63F2A06 8 serv1

del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1007319037-4219963268-17152214-500\$IX126Z1.EXE
delref FILES\BONANZADEALS\BONANZADEALSUPDATE.EXE
hide %SystemDrive%\PROGRAM FILES\UNLOCKER\UNINST.EXE
hide %SystemDrive%\PROGRAM FILES\COMMON FILES\ESTELAR - EXCEL TO VCARD & OUTLOOK\ESTELAR-VCARD-CONVERTER.EXE
hide %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDSOLUTI­ONS\COPYTRANSCONTROLCENTER\APPLICATIONS\COPYTRANSCONTROLCENT­ER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\836D~1\APPDATA\ROAMING\DIGITA~2\UPDATE~1­\UPDATE~1.EXE

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

; Bonanza Deals (remove only)
exec C:\Program Files\BonanzaDeals\uninst.exe" /uninstall
; Complitly
exec C:\Program Files\Complitly\unins000.exe

deldirex %SystemDrive%\PROGRAM FILES\BONANZADEALS

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

маска на .gpg здесь особенно не нужна. все равно ключи при их создании gpg.exe будут с именами pubring.gpg, secring.gpg
это если касается данного типа шифровальщиков. в других случаях это скорее всего было бы полезным.
----------
C:\DOCUME~1\\Application Data\gnupg\*  эту папку нет необходимости жестко защищать, или надо настраивать, кому с ней разрешено работать, поскольку это рабочая папка для GnuPG,  если человек им пользуется. в ней могут создаваться новые ключи, эти ключи импортироваться в связки публичных и секретных ключей.
(хотя хранить в ней секретные ключи конечно не нужно. уведут.)

можно прямо в фаре открыть папку ТЕМП (очистить предварительно) и следить за ней, откопировать, то что успеешь  :)  потому что по завершении шифрования все лишнее будет удалено. остаются только KEY.PRIVATE, KEY.UNIQUE и еще несколько файлов_доков, объявлений.

разумеется, тестировать на виртуалке.

пока все темп разворачивается, как дальше будет - неизвестно.
нет хороших разведчиков на диком ЗАпаде. :)

бат-энкодер удаляет или переименовывает папку gnupg с ключами, если находит ее на диске,
далее все разворачивается в папке %temp%

вот фрагмент бат-энкодера

[QUOTE]cd "%TEMP%"
if exist "%temp%\paycrpt.bin" goto autoreply
echo paycrypt> "%temp%\paycrpt.bin"
cd "%appdata%"
rename "%APPDATA%\gnupg" gnupg_old%random%
attrib -s -h -r "%appdata%\gnupg\*.*"
attrib -s -h -r "%appdata%\gnupg"
del /f /q "%appdata%\gnupg\*.*"
rmdir /s /q "%appdata%\gnupg"
rename "%temp%\day.btc" iconv.dll
cd "%temp%"
[/QUOTE]

он свои модули для шифрования подкачивает. в общем то нужны два. gpg.exe и iconv.dll
это чистые файлы из GnuPG версии 1.4.18

Gpg4win использует версию GnuPG 2.0.26
http://www.gpg4win.org/
https://www.gnupg.org/download/index.html

по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла,  для всех конечных приложений) и два слэша работают в этом правиле.

но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений.
чем больше тестов тем лучше.

да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%,
в данном случае достаточно только защитить пересоздание ключа pubring.gpg.

если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.

http://chklst.ru/forum/discussion/532/bat-encoder

если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом.
---------
но надо проверить.
---------
(батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)

Виктор, получается что на [B]семерке (системе)[/B] правило работает если путь непрямой и для конечных файлов и для конечных приложений одновременно?

а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы
при запуске из фара, тотала.

[QUOTE]25.09.2014 17:10:25 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp
определенный доступ заблокирован    block run cmd    Удалить файл[/QUOTE]

а если просто пытаться изменить (переименовать) файл  из тотала или фара, то будет работать путь через \\
------------