c:\PROGRA~2\mcafee\SITEAD~1\saUpd.exe无法排除

rlx

2012/10/3        20:04:17        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        c:\PROGRA~2\mcafee\SITEAD~1\saUpd.exe        C:\Program Files (x86)\McAfee\SiteAdvisor\Download\s220.b.exe        通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件        已阻止的操作: 创建

这个问题已经很久了  添加排除后无法排除  目测是我单独安装的咖啡的网页防护插件   貌似路径很诡异

类似『C:\Windows\SERVIC~2\NETWOR~1\AppData\Local\Temp\mpam-eefc34b1.exe』的日志触犯进程路径，排除需用完整的路径：C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\mpam-eefc34b1.exe

摘自：咖啡区_企业资源综合，语法部分

使用本地完整路径：C:\Program Files (x86)\McAfee\SiteAdvisor\saUpd.exe

rlx

storyhare 发表于 2012-10-3 23:00
摘自：咖啡区_企业资源综合，语法部分

使用本地完整路径：C:\Program Files (x86)\McAfee\SiteAdvisor ...

2012/10/4        2:21:54        已由访问保护规则禁止         rlx-PC\rlx        C:\windows\Explorer.EXE        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2012/10/4        2:21:54        已由访问保护规则禁止         rlx-PC\rlx        C:\windows\Explorer.EXE        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Qecs        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2012/10/4        2:22:06        已由访问保护规则禁止         rlx-PC\rlx        C:\windows\AsScrPro.exe        C:\windows\SysWOW64\Macromed\Flash\Flash9f.ocx        用户定义的规则:926 封锁入口_ocx        已阻止的操作: 创建

还有这几个触红也是 实在不会了

rlx 发表于 2012-10-4 02:31
2012/10/4        2:21:54        已由访问保护规则禁止         rlx-PC\rlx        C:\windows\Explorer.EXE        \REGISTRY\MACHINE\Syste ...

---

---

---

1、

C:\windows\Explorer.EXE        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建

这个实在无奈，如果不胜其烦，只有排除：C:\windows\Explorer.EXE


2、

C:\windows\AsScrPro.exe        C:\windows\SysWOW64\Macromed\Flash\Flash9f.ocx        用户定义的规则:926 封锁入口_ocx        已阻止的操作: 创建

这个应该勉强算是正常行为（AsScrPro.exe，是华硕自带的软件进程吧～）；对于【有名有姓】的进程，只要其行为不是很离谱，便也排除吧～

rlx

storyhare 发表于 2012-10-4 10:43

---

---

---

恩  AsScrPro.exe是华硕自带的屏幕保护程序    C:\windows\Explorer.EXE这个排除了会不会死的很惨

Savoor

rlx 发表于 2012-10-4 10:46
恩  AsScrPro.exe是华硕自带的屏幕保护程序    C:\windows\Explorer.EXE这个排除了会不会死的很惨

并不是每个拦截都要排除.如果不影响使用,可以不排除.  

对于这种注册服务的拦截,可以在日志中取消记录.

rlx 发表于 2012-10-4 10:46
恩  AsScrPro.exe是华硕自带的屏幕保护程序    C:\windows\Explorer.EXE这个排除了会不会死的很惨

这个问题，很久之前就很墨池他们讨论过；的确看上去是一个头疼的问题：

每次开机时，explorer.exe都会触犯，但其行为却仅仅只有那么一两个（而且无足轻重）；排除似乎很没有必要，而且排除后危险性增大～～而不排除，则会被烦死。

----

关于建议：我是排除的！ 因为相信我的规则。

rlx

storyhare 发表于 2012-10-4 10:57
这个问题，很久之前就很墨池他们讨论过；的确看上去是一个头疼的问题：

每次开机时，explorer.exe都会 ...

恩  我还是不排除了  没啥影响  调了几天的毛豆纯墙规则 总算好了 咖啡也进一步完善了下  准备关闭报告了

rlx

Savoor 发表于 2012-10-4 10:56
并不是每个拦截都要排除.如果不影响使用,可以不排除.  

对于这种注册服务的拦截,可以在日志中取消记录 ...

恩 偶也是这么想的 除了安全类软件用人不疑 全部排出外  其他的不影响就不排了