小白新装红豆组合后的丛丛疑惑

klhp

      安装红豆组合前系统不幸中奖了，下载绿盟网站的TCPZ软件，用其破解XP系统半开连接数增加了4个半开连接，破解后关机前一切正常，但是关机后第二次进入系统就发现一系列异常（想请装虚拟机的高手们帮忙看看这个
链接:http://www.xdowns.com/soft/softdown.asp?softid=47520下下来的TCPZ软件是否有毒？因为当时破解完就把程序从本地硬盘删了，后来扫毒时发现了另外几个木马，不清楚该程序到底是否有危险？）
     首先发现任务栏右边的宽带连接图标在上网后不显示，进入网上邻居--查看网络连接--宽带连接，勾选了“连接后在通知区域显示图标”、“此连接被限制或无连接时通知我”2项仍无果，鼠标点击高级-防火墙-设置，结果发现“设置”进不去，弹出对话框“ICS服务没有启动，是否启动？”点“是”后显示“无法启动ICS服务”，进入控制面板-管理工具-服务里找到Winsows Firewall、Internet Connection Sharing（ICS服务)，状态为“已停止”，点“启动”后弹出 “在本地计算机无法启动Winsows Firewall、Internet Connection Sharing（ICS服务)，错误5：拒绝访问！”  
      
      其次发现系统除了弹出上述提示框时有声音，千千静听打开任何文件都显示“文件无法打开或文件无效”，用射手或暴风影音打开任何视频文件也都没有声音。
      用drweb cureit加强模式快速扫描发现host文件被修改，提示“是否修复，被修改的HOST文件得副本会被移动到隔离区”，点“修复”后，“统计”标签下的“已删除“、”已修复“、”已隔离“后面依然为0，威胁列表也为空，不晓得现在host文件到底修复了没，（这里想请教各位如果drweb cureit清除、删除都不可用隔离了的文件，如这个被隔离的文件不是系统文件是否可以进入隔离区把手动该文件删掉或直接删掉整个隔离文件夹，这样会否导 致系统感染？），此外装着红豆组合且开启的情况下能否用drweb cureit在正常PC模式下加强模式扫描，需不需要先关掉COMODO或小红伞以避免冲突？
      后来drweb cureit加强模式完全扫描清除了几个木马后，控制面板-管理工具-服务里Winsows Firewall、Internet Connection Sharing（ICS服务)，状态仍为“已停止”，点“启动”后依旧弹出 “在本地计算机无法启动Winsows Firewall、Internet Connection Sharing（ICS服务)，错误5：拒绝访问！”（请指点除了病毒导致还可能是什么原因，怎么使其恢复正常？），接着便硬着头皮安装了AviraV12杀软免费版+comodo firewall free， 先装AviraV12杀软免费版后才装comoco firewall free，奇怪的AviraV12免费杀软我并没有装Internet protection但avira主界面该项却显示绿色的对勾，但左边显示该项下都灰色不可用，同时连avira的overview-status和PC protection下的Back up也不可用（如下图，问装Avira antivirus freeV12进行红豆组合的各位这样是否正常，会不会我装红豆时除不装Internet protection外少装了什么组件？）

且奇怪地，comodo并没有显示检测到了已装avira,对照《卡饭安全季第一期》中的文章《新手啃豆》，我没有找到comodo在安装时哪有”最大保护“这项可选，就把选择勾选的方框都勾选上了，试着对两者相互设置排除（如下图1、2，帮忙看下这样设置对不对？主要是PC scanner的排除项我把COMODO的2个文件夹直接加入列表而不是具体某个程序组件因为我不太清楚具体排除comodo哪几个，但是avira排除例外项目左边的括弧里要求Maximum total size of all entires :6000characters有影响吗？）


      装上后默认1）防火墙安全模式、2）D+安全模式、3）D+里的沙盒默认为禁用【请问这3项是否需要修改以加强安全（尤其是sandbox那里的滚动滑块是否应该滑到最上面选“启用”？）】

      但小白我在后面参照文章《新手啃豆》方案2想补强默认规则时遇到了丛丛疑惑，也有文章中有些看不懂怎么添加规则的地方，对不懂处不敢贸然操作特来问问大家：
      1.之前听柯大说comodo firewall free安装后默认用CFS方案，请问在哪里、怎么改成CIS或CPS方案？（是否到更多-管理我的配置-选择ComodoInternet Security或Comodo Proactive Security然后激活，CIS、CPS孰优孰劣，至今尚不敢改，不知道改这个前面comodo默认规则下设置的排除和加强的部分规则是否失效，需要重新改，会否导致冲突？）

     2.文中”打开D+的“计算机应用程序规则”，进行如下操作：a、新添一条规则，引用“杀毒软件”组，配与“windows 操作系统“的权限，把该规则移动到全局规则之上"，我新建了“杀毒软件”文件组编辑路径为C:\ProgramFiles\Avira\AntiVir Desktop*，但不知如何给它配置“windows 操作系统”的权限，D+-计算机安全规则-预定义规则里好像也没有“windows 操作系统“这一项，而且不知道“windows 操作系统“的权限怎么设置，（指如其他预定义规则里已有项目点“编辑”-“自定义”进去后”访问权限“、”保护具体应该怎么设，请教大家给个具体的图文讲解！）尽管前面在“防火墙”-“指定新的可信应用程序”里对avcenter.exe、avconfig.exe、avgnt.exe、 avguard.exe、avscan.exe、sched.exe 和 update.exe都添加进去，D+那里也配置C:\ProgramFiles\Avira\AntiVir Desktop*为“杀毒软件”文件组添加入D+的“计算机应用程序规则”的D+规则但可能“windows 操作系统“的权限那里 配的不好，comoco仍弹出对话框询问是否允许avguard.exe的操作。【还有一些联网后系统的某些进程的请求（如图）
由于我不是很懂PC进程，安全模式下防火墙不断弹出弹窗将选择权交给我回答，不太清楚的进程要求应该怎么选择？（请经验人士指教）】

      3.新建文件组的具体操作步骤应该是怎样的，请给个具体操作顺序和路径的回答？感觉这里自己找不到在哪里快速新建文件组又不影响之前默认有的文件组，被搞得很绕，之前添加“杀毒软件”文件组时不小心把“所有应用程序”这一组给删了，弄得重装comodo，想问下如何在不重装comodo的情况恢复其默认规则？【C:\Program Files\COMODO\COMODO Internet Security下有COMODO - FirewallSecurity.cfgx、COMODO - InternetSecurity.cfgx、
COMODO - Proactive Security.cfgx3个文件，但我不知道恢复默认规则到comoco程序的哪里选择导入？这3个一起导入还是逐个导入？如果要用论坛上的其他规则怎样能在不覆盖原有默认规则（默认规则是指自定义规则吧？）的情况下导入新规则让新导入的几个规则能与默认规则并列排列显示在comodo里并能自由切换规则呢？】

      4.文章《新手啃豆》中“b、修改最后一条全局规则——所有应用程序*，双击打开它，进行如下修改——
⑴ 程序运行——阻止运行的程序：
（引用）开始目录*.com *\format.* *\Fdisk.exe *\ftp.exe *\tftp.exe
?:\autorun.inf ?:\RECYCLER?\* ?:\System Volume Information\*
*\Local Settings\Temporary Internet Files\*
⑵ 受保护的注册表，阻止的注册表是：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*（可以引用或特别制定IE 项来加以阻止）
⑶ 受保护的文件、目录，阻止以下文件的操作：
*.pif ?:\ntldr ?:\boot.ini ?:\NTDETECT.COM %windir%\*.sys
?:\autorun.inf %windir%\win.ini %windir%\*.exe %windir%\*.com
%windir%\*.bat %windir%\*.cmd %windir%\*.ocx %windir%\*.vbs
%windir%\*.vbe %windir%\*.js %windir%\*.jse %windir%\*.wsf
%windir%\*.wsh %windir%\*.scr %windir%\*.vxd %windir%\Help\*
%windir%\Fonts\* %windir%\system32\*.dll %windir%\system.ini （引用）开始目录"【这一段完全看不懂怎么操作补强这些程序，D+规则--“所有应用程序*”下并没有 ”程序运行“、” 受保护的注册表“、”受保护的文件、目录”这几项望大家见谅给点具体的图文讲解？！】


       5.文章《新手啃豆》中“防火墙，预定义规则/网页浏览器，修改，外出HTTP 访问：目标端口改为80-83，操作为允许或询问（默认只允许访问80端口，对于华军、天空之类的网站，下载程序时将会错误，因为它们使用82 或83 端口提供下载访问）”【这里不知道怎么修改这一规则？（防火墙--网络安全规则--预定义规则--网络浏览器--编辑--使用自定义规则里点“添加”出来的提示框里并没有HTTP访问这一项可选，实在不懂，虚心请教各位放上图文设置导引给我这个菜鸟看看？！）avira我没装Internet protection，如何利用comodo对浏览器浏览（暂用IE8和firefox，特别询问怎么有效增强IE8使用的安全性)网页和下载提供安全防护,给点TIPS？】

       6.像Unlocker、磁盘整理Defraggler、金山卫士、CCleaner是否需要手动给它们添加进入“防火墙”-“新的可信应用程序”并在D+--“计算机安全规则”-- “D+规则”里新增以上4个软件各自的程序路径后使用“预定义规则”的“可信程序”还是应该到“自定义规则”里手动如何设置“访问权限”和“保护设置”（如果需要对以上4软件分别自定义设置才较安全的话，请各位高手赐教讲解下！）搜狗我没进行设置，仅在其弹出对话框时允许并勾选了“记住我的选择”，迅雷、utorrent、emule我新建了“P2P软件”文件组，D+规则里对该文件组用“预定义规则”的“可信程序”，防火墙那边没设置，这样是否安全或有影响使用的地方，BT下载的文件好像没法自动关联扫描，不知各位有没有什么高招？

     7.由于PC配置落后问题，装了红豆组合后C盘空间很窘迫，为避免上次装了诺顿nis2012oem后C盘空间在一天后陡降为0的窘状，问下各位comodo firewall free使用过程中会否产生含日志文件外的一系列文件形成占用硬盘空间和系统资源的垃圾，可以怎样合理设置以减轻系统的负担？

      啰嗦的说、问了上述问题，还请大家慈悲为怀慈悲为怀、耐心一看，指点迷津，先谢过大家了！~~

klhp

附加文章《《新手啃豆》》的doc给大家对应查看

岁月遐想

说实话，楼主现在的电脑是不是正常的如果还有问题，建议先修复吧，毛豆现在智能了，和以前不一样了，我看楼主还是直接使用cps就好了，沙盘也不用关，都默认，现在的毛豆可以不需要像以前一样导入别人的规则，一方面不熟悉毛豆的话，导入别人规则还是会出很多问题，因为每个人的电脑设置都不一样，很容易误拦，这就很容易出问题，另一方面，想熟悉毛豆是要花时间的，如果楼主想学当然没问题，但是很多人可能会直接加个杀软做辅助更方面简单一点，单奔手动hips还是很麻烦的，就连在电脑增加一个软件都要重新制定规则

fovfinal

klhp 发表于 2012-6-25 14:40
附加文章《《新手啃豆》》的doc给大家对应查看

我来解释一下一点，柯林写的时候大概是5.3到5.5左右的阶段，那时候安装过程中的确有，“最大防护”这句话给你选的

软件规则建议参考footman的

新手一开始有杀毒实时顶着，HIPS不足缺漏，默认规则的毛豆和策略沙盘机制完全可以应付了，要记得安软融入HIPS概念原本不是让它独当一面而是为了补足那些零天威胁。

蓝核

手机党粗略看了一下，貌似你小红伞没问题。因为你的是免费版，只有扫描杀毒等基础功能。其他的功能应该是缺失的，我猜你的主浏览器是ie，因为小红伞对对ie有免费的网络保护。直接默认毛豆，然后根据自己情况在进行微调。当然，要是有恒心学习的话，可以直接把毛豆变成手动hips。其实开沙箱什么都可以了。

klhp

但是我没装小红伞的网络保护，刚才手一滑右键点了comodo防火墙配置的CPS方案，结果提示已激活需重启，我重启后发现系统变得很卡，而且任务栏和系统打开我的电脑后的底色都变成如下图这样跟中毒那天一样，可是我之前用ESS5正常模式下全盘扫不到任何病毒，用金山卫士打了4个补丁后卸了金山卫士（不知道现在是否需要重新安装金山卫士），drweb完全扫描出的3个木马我都已经删除了重复再扫一次也没发现病毒，只好把comodo 的对话远程协助组件卸载了（英文的好像，有谁用过吗，卸掉没事吧），开了sandbox,防火墙选了自定义规则，但是进入comodo界面的D+里发现之前手动在CFS方案下设置的部分都不见了，只好重新加入，其中我新建了“杀毒软件”文件组（引用路径：C:\Program Files\Avira\AntiVir Desktop*）、“P2P软件”文件组（引用路径：C:\Program Files\Thunder Network\Thunder*和C:\Program Files\uTorrent*）、“清理软件”文件组（引用路径：C:\Program Files\Unlocker*和C:\CCsetup.319zip(ccleaner的zip))并引用以上3个文件组添加到防火墙的“指定新的可信应用程序”，不知道这样设置是否需要做哪些修改以确保安全性？尤其迅雷好像很多人说不太安全，同时搜狗程序的一些进程也很古怪，我至今不敢对其进行设置，经常弹出弹窗说与搜狗有关的某组件或进程正在访问内存、磁盘底层、将修改注册列表、连接DNS服务器等，我勾选了“拦截该请求”、“记住选择”、“提交COMODO分析”等后仍反复有弹窗出来，大家是怎么选择的？（如图，附件：【虽然我已经把清理垃圾这个bat指定为“可信程序”但一运行还是被sandbox部分限制所以放上来请大家看看记事本下其内容是否安全，可否让沙盒排除它】还有我补强默认规则时对于《新手啃豆》中“b、修改最后一条全局规则——所有应用程序*，双击打开它，进行如下修改——
⑴ 程序运行——阻止运行的程序：
（引用）开始目录*.com *\format.* *\Fdisk.exe *\ftp.exe *\tftp.exe
?:\autorun.inf ?:\RECYCLER?\* ?:\System Volume Information\*
*\Local Settings\Temporary Internet Files\*
⑵ 受保护的注册表，阻止的注册表是：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*（可以引用或特别制定IE 项来加以阻止）
⑶ 受保护的文件、目录，阻止以下文件的操作：
*.pif ?:\ntldr ?:\boot.ini ?:\NTDETECT.COM %windir%\*.sys
?:\autorun.inf %windir%\win.ini %windir%\*.exe %windir%\*.com
%windir%\*.bat %windir%\*.cmd %windir%\*.ocx %windir%\*.vbs
%windir%\*.vbe %windir%\*.js %windir%\*.jse %windir%\*.wsf
%windir%\*.wsh %windir%\*.scr %windir%\*.vxd %windir%\Help\*
%windir%\Fonts\* %windir%\system32\*.dll %windir%\system.ini （引用）开始目录"这一段还是不知道怎么操作，大家给点图示吧，有朋友回复规则看footman的，请好心贴个具体的帖子链接过来或者讲解一下上面这一段怎弄，现在真心没什么安全感

柯林

klhp 发表于 2012-6-25 20:16
但是我没装小红伞的网络保护，刚才手一滑右键点了comodo防火墙配置的CPS方案，结果提示已激活需重启，我重启 ...

你装的东太多太杂，自己都把自己弄得残废了

建议重装系统，选择一个你好用的安全组合

原本很不容易中毒，自己弄得乱了，没毒也变成了“有毒”

klhp

我估计是那个TCPZ的问题，实在不想重装，哎，要是真有什么我觉得好用的组合我也不用装防火墙了

细细的票根

不是很懂,就套论坛里简单点的规则,拿来就能通用那种..

jxfaiu

klhp 发表于 2012-6-25 20:34
我估计是那个TCPZ的问题，实在不想重装，哎，要是真有什么我觉得好用的组合我也不用装防火墙了

就你这样滥用破解，对不了解的程序瞎装，系统不残才怪，想使用什么安软，先要了解清楚性能，设置，估计自己能掌控制它，再安装使用。有个别不清楚之处多到专区发帖，虚心请教大大们指点，自己的使用才有提高。