Все нормальные антивирусы давно отказались от этой схемы работы и используют перехват трафика.

пробовать 2012 получается ?   был вариант
чето не сработало - вывел вложения в BAT в отдельную папку - ложаться туда проверил
отметил галкой пункт "Сканировать при закрытии" (при записи на диск) в AVG - не проверяет файлы на тесте eicar в папке вложений
хотя окно проверки почты AVG вылазит при принятии почты
если напрямую папку проверить - антивирь работает а через почту нет - не проверяет получается папку
 
поставил KIS13 - и проверяет почту и расширения требуемые удаляет и плагин к бату есть (в KIS14-15 вер нет плагина и в почтовых настройках почти ничего нет)   только больше чем AVG грузит машину
а на работе машины слабые

Вообще пытаюсь решить проблему борьбы с вирусами типа encoder - вот здесь про них толково написано http://vmartyanov.ru/
Вирус попадает в почту путем вложения в виде архива *.rar или *.zip - а внутри файл с двойным расширением типа *.doc.js или *xls.js или подобное на запуск скрипта

Пока вижу 2 пути путем скрещивания TheBat и KIS13
1. средствами KIS13 - В TheBat файлы вложений сделать - прикрепленные файлы в каталоге отдельно от писем - тогда файловый антивирус при записи на диск может поймать - но

рисково ..
В почтовом антивирусе KIS13 можно прописать фильтр вложений по расширению, которые удаляются. Но как прописать расширение файла, вложенного в архив типа *.rar ...*.doc.js
чтоб сработало ??

2. средствами TheBat -  Ящик-Настройка сортировщика писем-Правило-Файл соответствующий маске -например *.js - Удалять письма
Но опять - как прописать расширение файла, вложенного в архив типа *.rar ...*.doc.js ??

Тема актуальна - у нас на работе уже 2 компа за неделю посыпалось - открывают вложения - махом пролетает вирус - все файлы офиса и pdf на всех дисках шифрует
и вложения с текстом типа резюме или "у вас задолженность ..." и пр от доверенных адресов
те путь - сразу удалять такие файлы чтоб пользователь не лез

Какие мысли у кого по этому поводу и как прописать расширения в архивах ?

Надо подумать хоть не знаю надумаю ли что путное.
Это да.

И использовать встроенный в Бат HTML viewer вместо IE.
И не открывать сразу аттачи из письма, а сохранять и после сканировать. Простите за банальность.

Вообще не открывать. Сразу удалять и не мучаться дурью.
Сканирование не помогает. Криптеры изменить ОЧЕНЬ просто. А отследить исключительно сложно. Ибо там не используется никакого сомнительного с системной точки зрения кода. Все используемые в процессе программы абсолютно легитимны.
Простой пример. Активный, регулярно (раз в полчаса) обновляемый др.веб. Не в меру ретивый менеджер. Письмо с аттачем. Менеджер открыла аттач и потеряла все документы на локальном компьютере и примонтированном сетевом диске. Обновление, детектящее конкретно этот криптер, пришло через 15 минут.
Если бы она проявила хоть КАПЛЮ внимательности, ничего этого бы не случилось.

Ну так и оказалось - если включить TLS/SSL, то KIS 2015 молчит с максимально жёсткими настройками и не важно с воткнутым или нет bav-плагином.
Время bav и впрямь прошло. Плагин сторонний к ClamAv тоже ума не даёт. Хотя надо попробовать обычное соединение.

Да, я помню. Я тогда KIS 2013 накрутил (чтобы всё проверял), так он стал падать. А Жека и Ко гарантируют непадучесть только с дефолтными настройками.

В WinRAR есть настройка - типы файлов, запрещённые к извлечению.
Вот только не знаю, влияет ли она, если пытаются директивно открыть запрещённый файл.

Легко перевести столбик в строчку в Notepad++ или Sublime Text заменой \s на пусто. С включёнными регэкспами.

Знаете, ваш подход "про совместимость" мне до ужаса напоминает Артемия Лебедева.
Вся эта "совместимость с Windows 8", если это не драйвер или системный сервис - это миф.
Если программа не древняя, как дерьмо мамонта (т.е. написана как минимум с учётом Vista), должна нормально работать.

Сейчас ссылка уже не работает.

Двойных расширений не бывает. Не надо повторять глупости за идиотами.