楼主: 墨池
收起左侧

[技术原创] 墨池-McAfee880P1-卧龙规则 + 文字版(1楼 更新规则为正式版)

  [复制链接]
w99308702
发表于 2012-4-24 21:54:18 | 显示全部楼层
2012/4/24        21:52:20        被端口阻挡规则阻挡         c:\program files\common files\thunder network\tp\ver1\1.1.2.116_1111\thunderplatform.exe        用户定义的规则:106 封锁端口_出站        127.0.0.1:8888
2012/4/24        21:52:23        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\PrintIsolationHost.exe        C:\Windows\Prefetch\PRINTISOLATIONHOST.EXE-83C184C4.pf        用户定义的规则:201 保护系统_读写        已阻止的操作: 读取
2012/4/24        21:52:23        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\PrintIsolationHost.exe        C:\Windows\System32\sechost.dll        用户定义的规则:201 保护系统_读写        已阻止的操作: 读取
2012/4/24        21:52:35        被端口阻挡规则阻挡         c:\program files\common files\thunder network\tp\ver1\1.1.2.116_1111\thunderplatform.exe        用户定义的规则:107 封锁端口_入站        113.91.148.37:11487
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\USERS\MINISTRY OF STATE SECURITY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\C7F6.TMP        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\USERS\MINISTRY OF STATE SECURITY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\C807.TMP        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\History Provider Cache        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 写入
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Last Session        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Last Session        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Current Session        用户定义的规则:103 封锁非信任区_文件        已阻止的操作: 读取
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Current Session        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Favicons-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Current Session        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        被端口阻挡规则阻挡         c:\program files\common files\thunder network\tp\ver1\1.1.2.116_1111\thunderplatform.exe        用户定义的规则:106 封锁端口_出站        124.232.148.135:80
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:44        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Favicons-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Favicons-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Favicons-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\Default\Favicons-journal        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 删除
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\USERS\MINISTRY OF STATE SECURITY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\C9EB.TMP        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\USERS\MINISTRY OF STATE SECURITY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\C9EC.TMP        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\USERS\MINISTRY OF STATE SECURITY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\C9ED.TMP        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\User Data\chrome_shutdown_ms.txt        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
2012/4/24        21:52:50        将由访问保护规则 (当前不强制执行规则) 禁止         Ministry of State Security-PC\Ministry of State Security        C:\Windows\Explorer.EXE        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        用户定义的规则:605 封锁exe_Users        已阻止的操作: 读取
2012/4/24        21:52:50        将由访问保护规则 (当前不强制执行规则) 禁止         Ministry of State Security-PC\Ministry of State Security        C:\Windows\System32\svchost.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        用户定义的规则:605 封锁exe_Users        已阻止的操作: 读取
2012/4/24        21:52:50        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Windows\Prefetch\CHROME.EXE-DAD6BDD6.pf        用户定义的规则:201 保护系统_读写        已阻止的操作: 读取
2012/4/24        21:52:50        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Windows\System32\userenv.dll        用户定义的规则:201 保护系统_读写        已阻止的操作: 读取

全开起报告了,我装了迅雷的插件在Google Chrome里
462588842
发表于 2012-4-24 21:57:24 | 显示全部楼层
墨池 发表于 2012-4-24 20:31
晕。。我一直开启所有规则,没有你说的情况!

禁读Exe搞好了!
禁读Cpl,我这里触红系统进程。可否排除?排除后此规则必将大大折扣
墨池
 楼主| 发表于 2012-4-25 07:45:39 | 显示全部楼层
462588842 发表于 2012-4-24 21:57
禁读Exe搞好了!
禁读Cpl,我这里触红系统进程。可否排除?排除后此规则必将大大折扣

可能是Win7的原因,把“809 封锁cpl_Windows”关闭即可,cpl木马已经进入系统目录只是假设,禁用此条规则不影响安全(真的进去了才有危害)。
墨池
 楼主| 发表于 2012-4-25 08:05:21 | 显示全部楼层
w99308702 发表于 2012-4-24 21:54
2012/4/24        21:52:20        被端口阻挡规则阻挡         c:\program files\common files\thunder network\tp\ver1\1.1.2.1 ...

2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\USERS\MINISTRY OF STATE SECURITY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\C9EC.TMP        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 创建
-----------------------------------------
必须排除。

2012/4/24        21:52:50        将由访问保护规则 (当前不强制执行规则) 禁止         Ministry of State Security-PC\Ministry of State Security        C:\Windows\Explorer.EXE        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        用户定义的规则:605 封锁exe_Users        已阻止的操作: 读取
2012/4/24        21:52:50        将由访问保护规则 (当前不强制执行规则) 禁止         Ministry of State Security-PC\Ministry of State Security        C:\Windows\System32\svchost.exe        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        用户定义的规则:605 封锁exe_Users        已阻止的操作: 读取
--------------------------------------------
把规则改成:605 封锁exe_Users\Local\**\Temp\**.exe
加上一条:610 封锁exe_Users\Local\**\Temporary Internet Files\**.exe

2012/4/24        21:52:50        已由访问保护规则禁止         Ministry of State Security-PC\Ministry of State Security        C:\Users\Ministry of State Security\AppData\Local\Google\Chrome\Application\chrome.exe        C:\Windows\Prefetch\CHROME.EXE-DAD6BDD6.pf        用户定义的规则:201 保护系统_读写        已阻止的操作: 读取
------------------------------------------------
可以排除,启动预读而已,不排除也没问题吧。

2012/4/24        21:52:44        被端口阻挡规则阻挡         c:\program files\common files\thunder network\tp\ver1\1.1.2.116_1111\thunderplatform.exe        用户定义的规则:106 封锁端口_出站        124.232.148.135:80
--------------------------------------------------
排除:thunderplatform.exe

    照此办理吧!
    谷歌浏览器安装目录如此另类,麻烦呀!我的为什么在Program Files下呢?安装最新CCleaner时,忘了去掉选项自动下载安装的,装完就在C:\Program Files下,不知是什么版本,非常好用。
w99308702
发表于 2012-4-25 08:18:30 | 显示全部楼层
墨池 发表于 2012-4-25 08:05
2012/4/24        21:52:45        已由访问保护规则禁止         Ministry of State Security-PC\Minist ...

我也是在goole上下载的,自动安装的,安装完后就这样了,郁闷啊,要是能在Program Files也好啊。我的在c盘里。CCleaner我自定义到D;\Program Files里了,觉得你的规则太多了,我还是暂时改用叶版的开发版那个规则少,排除也少点,期待你下个规则
墨池
 楼主| 发表于 2012-4-25 08:22:20 | 显示全部楼层
w99308702 发表于 2012-4-25 08:18
我也是在goole上下载的,自动安装的,安装完后就这样了,郁闷啊,要是能在Program Files也好啊。我的在c盘 ...

嗯,是多,还在膨胀!叶版的规则真心不错!
w99308702
发表于 2012-4-25 09:09:57 | 显示全部楼层
墨池 发表于 2012-4-25 08:22
嗯,是多,还在膨胀!叶版的规则真心不错!

南部小城
发表于 2012-4-26 19:57:50 | 显示全部楼层
墨池 发表于 2012-4-13 16:37
感谢支持!

请问出现这个情况该怎么办?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨池
 楼主| 发表于 2012-4-27 08:27:24 | 显示全部楼层
南部小城 发表于 2012-4-26 19:57
请问出现这个情况该怎么办?

先关闭“访问保护”即规则保护,再导入规则。
南部小城
发表于 2012-4-27 10:03:09 | 显示全部楼层
墨池 发表于 2012-4-27 08:27
先关闭“访问保护”即规则保护,再导入规则。

成功了   但是重启电脑后   麦咖啡自己都打不开了  其他软件也点不开 还卸不掉。。只能进入安全模式把麦咖啡先卸了。。  现在暂时用默认规则顶着,,你的规则前面写要排除是什么意思啊  排除一些常用软件? 求大神教教我
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:15 , Processed in 0.091951 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表