本帖最后由 w99308702 于 2012-4-8 13:09 编辑
32位win7旗舰版程序装基本都安装在“D:\ win7旗舰版”文件夹中,部分是默认是在“C:\Program Files”文件夹中,还有就是和360杀毒和360安全卫士(都安装在“D:\ win7旗舰版”文件夹中)一起应该没大问题吧?
取消了读盘。就是打开以便备份是什么用的?看不懂这个默认设置的意思。
更新失败,不知道是不是真的更新了,今天刚装的,不小心点了下回滚,然后有点了更新就这样了
只是在你的1、4、9规则中添加了D:\ win7旗舰版是否可行(红色文字),还有隐私控制17、18的理解是否正确,目前是叶版规则Rule-VI-SP-III的2012.3.18规则,规则什么也没有修改。现在基本什么程序都运行不了,比如qq、word等等。只有关闭访问保护,才得以使用,请叶大版主指教·······本人IE收藏夹以及临时文件,程序的临时文件大都移置F:\“临时文件”文件夹中
我看了以前别人的帖子,有说只要修改规则1就可以了?请解答下,怎么修改才合理,还有排除用那种方法比较好?本人小白
《用户自定义规则》
#I、可执行控制
1、规则名称:The Access Control Of Executable Regions/可执行区域控制
要包含的进程:*
要排除的进程:D:\ win7旗舰版\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:执行
2、规则名称:The Access Control Of Script Files/可执行脚本文件控制
要包含的进程:?script.exe, cmd.exe
要排除的进程:
要阻止的文件或文件夹名:*
要禁止的文件操作:读取
#II、病毒入侵控制
3、规则名称:The Virus-Access Control Of System Processes/系统进程调用控制
要包含的进程:*
要排除的进程:CompMgmtLauncher.exe, conhost.exe, csc.exe, csrss.exe, explorer.exe, lpremove.exe, mscorsvw.exe, rundll32.exe, sdiagnhost.exe, SearchIndexer.exe, services.exe, shstat.exe, smss.exe, svchost.exe, taskhost.exe, TrustedInstaller.exe, userinit.exe, utilman.exe, WerFault.exe, wininit.exe, winlogon.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Windows\**.exe
要禁止的文件操作:执行
4、规则名称:The Virus-Access Control Of User Processes/用户进程调用控制
要包含的进程:*
要排除的进程:explorer.exe, FrameworkService.exe, iexplore.exe, Mctray.exe, rundll32.exe, runonce.exe, services.exe, shstat.exe, svchost.exe, taskeng.exe, taskmgr.exe, UdaterUI.exe, wmplayer.exe, wmpnscfg.exe
要阻止的文件或文件夹名:C:\Program Files*\**.exe ,D:\ win7旗舰版\**.exe
要禁止的文件操作:执行
#III、防病毒爆发控制
5、规则名称:The Virus-Outbreak Control Of File Access/全局文件控制
要包含的进程:*
要排除的进程:consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe
要阻止的文件或文件夹名:*
要禁止的文件操作:创建 写入 删除
6、规则名称:The Virus-Outbreak Control Of Reg Access/全局注册表控制
要包含的进程:*
要排除的进程:aitagent.exe, atieclxx.exe, Audiodg.exe, calc.exe, CompMgmtLauncher.exe, consent.exe, csrss.exe, defrag.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, Dwm.exe, explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, lpremove.exe, lsass.exe, lsm.exe, mcbuilder.exe, McScript_InUse.exe, McTray.exe, mmc.exe, mobsync.exe, msconfig.exe, mscorsvw.exe, mspaint.exe, notepad.exe, perfmon.exe, ping.exe, poqexec.exe, powercfg.exe, regedit.exe, regsvr32.exe, rundll32.exe, runonce.exe, sdclt.exe, sdiagnhost.exe, SearchIndexer.exe, SearchProtocolHost.exe, services.exe, setup_wm.exe, shstat.exe, SndVol.exe, spoolsv.exe, sppsvc.exe, svchost.exe, systempropertiesprotection.exe, taskeng.exe, taskhost.exe, tasklist.exe, taskmgr.exe, TrustedInstaller.exe, UdaterUI.exe, userinit.exe, vds.exe, vssvc.exe, wbengine.exe, WerFault.exe, wermgr.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, wordpad.exe, wsqmcons.exe, wuapp.exe, wuauclt.exe, WUDFHost.exe
要保护的注册表项目或注册表值:/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
7、规则名称:The Virus-Outbreak Control Of Port Access/全局端口控制
要包含的进程:*
要排除的进程:iexplore.exe, McScript_InUse.exe, mscorsvw.exe, rundll32.exe, svchost.exe, WerFault.exe, wermgr.exe
要阻止的端口:0 65536
方向:出站 入站
#IV、文件控制
8、规则名称:The File Control Of System Area/系统区域文件控制
要包含的进程:*
要排除的进程:DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:创建 写入 删除
9、规则名称:The File Control Of Program Area/程序区域文件控制
要包含的进程:*
要排除的进程:FrameworkService.exe, poqexec.exe, TrustedInstaller.exe
要阻止的文件或文件夹名:C:\Program Files*\**,D:\ win7旗舰版\**
要禁止的文件操作:创建 写入 删除
10、规则名称:The File Control Of ProData Area/程序存档区域文件控制
要包含的进程:*
要排除的进程:FrameworkService.exe, mmc.exe, NotePad.exe, powercfg.exe, SearchIndexer.exe, svchost.exe, taskhost.exe, WerFault.exe, wermgr.exe, wmplayer.exe, wmpnetwk.exe
要阻止的文件或文件夹名:C:\ProgramData\**
要禁止的文件操作:创建 写入 删除
11、规则名称:The File Control Of Profiles Area/用户配置区域文件控制
要包含的进程:*
要排除的进程:consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, explorer.exe, FlashUtil*ActiveX.exe, iexplore.exe, lsass.exe, McTray.exe, mmc.exe, mspaint.exe, Notepad.exe, perfmon.exe, regedit.exe, regsvr32.exe, rundll32.exe, runonce.exe, setup_wm.exe, svchost.exe, UdaterUI.exe, WerFault.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Users\**
要禁止的文件操作:创建 写入 删除
#V、注册表控制
12、规则名称:The Reg Control Of Config Area/配置区域注册表控制
要包含的进程:*
要排除的进程:aitagent.exe, Audiodg.exe, CompMgmtLauncher.exe, consent.exe, csrss.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, Explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, mmc.exe, mobsync.exe, mspaint.exe, Notepad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, regsvr32.exe, rundll32.exe, sdclt.exe, sdiagnhost.exe, SearchIndexer.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, systempropertiesprotection.exe, taskeng.exe, taskhost.exe, taskmgr.exe, TrustedInstaller.exe, UdaterUI.exe, userinit.exe, wbengine.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, WordPad.exe, wuapp.exe, wuauclt.exe, WUDFHost.exe
要保护的注册表项目或注册表值:HKULM/Software/**/Microsoft/Windows*/CurrentVersion/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
13、规则名称:The Reg Control Of System Area/系统设置注册表控制
要包含的进程:*
要排除的进程:aitagent.exe, DllHost.exe, DrvInst.exe, Explorer.exe, FrameworkService.exe, lpremove.exe, lsass.exe, mcbuilder.exe, McScript_InUse.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, perfmon.exe, ping.exe, poqexec.exe, rundll32.exe, sdiagnhost.exe, SearchIndexer.exe, services.exe, SndVol.exe, spoolsv.exe, svchost.exe, systempropertiesprotection.exe, taskhost.exe, TrustedInstaller.exe, vds.exe, vssvc.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe
要保护的注册表项目或注册表值:HKCCS /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
#VI、监听控制
14、规则名称:The Monitor Control Of ExFile Area-DLL/DLL文件监听控制(仅报告,不启用)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入
15、规则名称:The Monitor Control Of ExFile Area-EXE/EXE文件监听控制(仅报告,不启用)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*.exe(可根据需要,自行添加“*.bat, *.cmd, *.com, *.cpl, *.js, *.jse, *.msc, *.msi, *.msp, *.vbs, *.vbe, *.wsf, *.wsh”)
要禁止的文件操作:创建 写入
16、规则名称:The Monitor Control Of SeReg Area/系统服务监听控制(仅报告,不启用;该规则监听“禁止将程序注册为服务”)
要包含的进程:*
要排除的进程:
要保护的注册表项目或注册表值:HKCCS/Services/*(如有需要,可添加其他监听位置)
要保护的注册表项或注册表值:项
要阻止的注册表:创建
##该规则一旦启用监听,将产生大量日志!!
#VII、隐私控制
17、规则名称:The Control Of Privacy Area-Access/隐私区域访问控制
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:E:\个人文件夹\**(“E/个人文件夹”不让别人看,不知道可不可以新增文件)
要禁止的文件操作:读取 删除
##该规则,保护范围:防止访问隐私区域文件
18、规则名称:The Control Of Privacy Area-Modify/个人存档防删除控制
要包含的进程:*
要排除的进程:wmplayer.exe
要阻止的文件或文件夹名:F:\音乐\**(“F/音乐”文件夹不让别人删除,不知道可不可新增文件)
要禁止的文件操作:删除
##该规则,保护范围:防止个人文件,被删除(如必要,可分为多个规则保护)
#IIX、病毒爆发控制
19、规则名称:The Control Of Virus-Outbreak/病毒爆发控制(紧急时用规则;非必要不启用)
要包含的进程:*
要排除的进程:atieclxx.exe, atiesrxx.exe, AUDIODG.EXE, conhost.exe, consent.exe, csrss.exe, Dllhost.exe, DrvInst.exe, Dwm.exe, EntVUtil.EXE, explorer.exe, FrameworkService.exe, LogonUI.exe, lsass.exe, lsm.exe, mcconsol.exe, McScanCheck.exe, McScript_InUse.exe, McTray.exe, MCUPDATE.EXE, mmc.exe, msconfig.exe, mspaint.exe, notepad.exe, perfmon.exe, PING.EXE, regedit.exe, SCAN64.EXE, ScnCfg32.Exe, services.exe, shcfg32.exe, shstat.exe, smss.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, taskmgr.exe, UdaterUI.exe, userinit.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, WORDPAD.EXE, wuauclt.exe, WUDFHost.exe
要阻止的文件或文件夹名:*
要禁止的文件操作:读取
##——规则原理:规则使用目前最严格控制,仅排除少部分系统常驻进程(使系统能够正常运行,且拥有部分控制功能),使其他任何程序无法运行(包含病毒);而后在仅有系统进程运行的环境下,清理中毒计算机!
##——工作方式:开启该规则,立即重新启动计算机
##——注意事项:此为,备用规则,未启用
#IX、补丁规则
20、可执行+病毒入侵,控制系列补丁
详见:可执行全面控制规则
________________________________________
《默认规则部分》
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:explorer.exe, iexplore.exe, mmc.exe, poqexec.exe, rundll32.exe, runonce.exe, sdiagnhost.exe, svchost.exe, taskmgr.exe, TrustedInstaller.exe, wmplayer.exe
《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:自行添加清理软件进程
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:mscorsvw.exe, wmplayer.exe, McScanCheck.exe
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无
规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:lsass.exe, svchost.exe
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:system:remote
要排除的进程:无
规则名称:禁止远程创建自动运行文件
要包含的进程:system:remote
要排除的进程:无
规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:无
规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:poqexec.exe, svchost.exe, TrustedInstaller.exe
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:无
规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:无
规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无
《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:DllHost.exe, explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, rasautou.exe, rundll32.exe, svchost.exe, wmplayer.exe
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:explorer.exe
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:DllHost.exe, explorer.exe, FrameworkService.exe, helppane.exe, iexplore.exe, McScanCheck.exe, mmc.exe, powercfg.exe, rundll32.exe, svchost.exe, TrustedInstaller.exe, UdaterUI.exe, wmplayer.exe, wmpnetwk.exe
《防病毒爆发控制》
规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
规则名称:阻止对所有共享资源的读写访问
要包含的进程:system:remote
要排除的进程:无
《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:FrameworkService.exe, services.exe
规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:FrameworkService.exe, services.exe
规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:FrameworkService.exe
规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:
规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:iexplore.exe
规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:自行添加清理软件进程
规则名称:保护网络设置
要包含的进程:*
要排除的进程:svchost.exe
规则名称:禁止公用程序从 Temp 文件夹运行文件(仅报告,不启用;监听“禁止所有程序从 Temp 文件夹运行文件”)
要包含的进程:mscorsvw.exe, wmplayer.exe, McScanCheck.exe(该部分,同步“禁止所有程序从 Temp 文件夹运行文件”的排除)
规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
规则名称:Prevent hooking of McAfee processes
要包含的进程:*
要排除的进程:无
规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:FrameworkService.exe, lsm.exe
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:winsat.exe
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:DllHost.exe, DrvInst.exe, explorer.exe, mmc.exe, SearchIndexer.exe, services.exe, sppsvc.exe, svchost.exe, TrustedInstaller.exe, vssvc.exe, wbengine.exe
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:mscorsvw.exe, poqexec.exe, taskhost.exe, TrustedInstaller.exe
规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:FrameworkService.exe, poqexec.exe, TrustedInstaller.exe
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:iexplore.exe
要排除的进程:
规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:McScript_InUse.exe
规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:iexplore.exe, McScript_InUse.exe, mscorsvw.exe, rundll32.exe, svchost.exe, WerFault.exe, wermgr.exe
|
发表于 2012-4-8 11:07:12
你把报告打开,不开阻止,只开报告,看看为什么触红,然后依次进行调试和修改,用别人的规则很容易出问题的。
楼主
收到,谢谢叶大版主的指导,我现在修改下,在试试,叶版主威武