经常报的一个被阻止项，不知道是什么东西，请教大家。

显示全部楼层 · 发表于 2007-8-23 10:02:45

每天开机咖啡都会报警，内容如下：
2007-8-23 9:32:31 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\WINNT\System32\svchost.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc\Config\Standalone 通用最大保护:禁止将程序注册为服务已阻止的操作: 创建

不知道是阻止的什么，我怎么才能查到咖啡阻止的是哪个程序？
怎么查到是哪个程序想创建服务呢？

显示全部楼层 · 发表于 2007-8-23 10:15:03

C:\WINNT\System32\svchost.exe

显示全部楼层 · 发表于 2007-8-23 10:17:29

咖啡阻止的是svchost.exe的行为，但我想知道svchost.exe本身想把哪个程序注册为服务项？

显示全部楼层 · 发表于 2007-8-23 12:51:13

光这一条日志看不出来，需要看注册表的拦截情况，咖啡不是专业的HIPS软件，默认的规则看不出来svchost.exe注册哪个程序为服务的

显示全部楼层 · 发表于 2007-8-23 13:15:13

我的是经常出现这个
C:\WINDOWS\system32\svchost.exe C:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll 用户定义的规则:禁止在计算机中创建新的.dll文件已阻止的操作: 写入

这主要是在打开WMP的时候经常出现 ......

显示全部楼层 · 发表于 2007-8-23 20:16:00

不知道，等專業人士

显示全部楼层 · 发表于 2007-9-4 00:16:43

我的svchost.exe 也总被拦截