при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Да, всё верно. Добавляя новые методы детекта, совсем выпало из головы за остановку служб. Конечно исправлю.
На счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет, например вирус в системной\програмной папке, удалять вирь и автоматом папку будет не верно ведь. Можно конечно подумать и прикрутить дополнительную проверку на имя папки равно имени файлу без расширения. Будет ли это актуально и эффективно, без фолсов?
Из "косяков" можно условно отнести не раскрутку цепочки по определившемуся несистемному
[SystemFile] c:\windows\syswow64\iexplore\iexplore.exe
Но я умышленно не ставил сохранение MD5 от найденых в этом детекте опасаясь фолсов на системные и прочие. Сейчас вот добавил всего одну строку, перекомпилировал, проверил лог - результат как если в базу хешей добавили ту контрольную сумму.
Ещё раз повторюсь, парсер творение коллективное, в нём аккумулирован опыт многих консультантов. Вместо критики какой он такой-сякой, просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.
За лог спасибо, это конструктивное сообщение.