咖啡豆绝配：墨池McAfee8.8 P2返璞规则（附墨池COMODO 5X通用规则）

墨池

    一直以来，朋友们都希望做一个精简规则。今年工作很忙，没能如愿，见谅！
    《卧龙规则》的确很疯狂，日常应用时绝大多数规则基本不起作用，可谓阵容豪华而浪费颇多，精简是在必然。
    其实，个人已经很久没有用《卧龙规则》，而是一直在咖啡和毛豆默认规则基础上加强的规则，对应用影响很小，但又不失安全。现在有点闲暇，把他们分享出来，供朋友们执教！

一、防御思想：

    1、咖啡豆互补综合防御。
    2、咖啡负责封锁非信任区、管制系统进程、封锁病毒入口、封锁木马联网、检测病毒特征，这些咖啡比毛豆方便而且强大。
    3、毛豆负责“启发式命令分析”、“云基础行为分析”、软件更新及安装的安全保障，这些毛豆比咖啡方便而且强大。
    4、一个程序要想运行，必须过四关：①在咖啡规则的信任区；②系统进程必须在咖啡《管制系统》规则中绝对路径排除；③咖啡检测不是病毒；④毛豆检测为白文件（手动信任也行）。
    5、信任区受到特殊保护：①信任区不能创建可执行文件；②咖啡、毛豆文件和注册表不能修改。
    6、咖啡防不了的毛豆能防，如硬盘炸弹、cpl病毒等；毛豆防不了的咖啡能防，如白加黑等。
    7、如此强大的防御，需要的规则却很少，简约而不简单，流畅而且安全。

二、规则说明：

（一）咖啡规则：
    1、适用咖啡版本：McAfee 8.80 p2，其中使用了“?:\”通配符，不可用于低版本，低版本可以按文字版自己设置。
    2、默认规则：在官方默认规则的基础上，启用以下规则：

《防间谍程序标准保护》

规则名称：保护Internet Explorer收藏夹和设置
要包含的进程：*
要排除的进程：*\Google\Chrome\Application\chrome.exe, *\Google\Update\GoogleUpdate.exe, ?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\Common Files\McAfee\SystemCore\csscan.exe, ?:\Program Files*\Common Files\McAfee\SystemCore\dainstall.exe, ?:\Program Files*\Common Files\McAfee\SystemCore\mcshield.exe, ?:\Program Files*\COMODO\COMODO Internet Security\**.exe, ?:\Program Files*\COMODO\COMODO Internet Security\cmdagent.exe, ?:\Program Files*\Kingsoft\webshield\KSWebShield.exe, ?:\Program Files*\ksafe\KSafeSvc.exe, ?:\Program Files*\ksafe\KSafeTray.exe, ?:\Program Files*\McAfee\Common Framework\McTray.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\mcadmin.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\mcconsol.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\mcupdate.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\restartVSE.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\scan32.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\scncfg32.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\shcfg32.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\shstat.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\vstskmgr.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\x64\scan64.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\system32\rundll32.exe, C:\Windows\SysWOW64\rundll32.exe
----------------------------------------------
     报告：关闭。

《防间谍程序最大保护》

规则名称：禁止所有程序从 Temp 文件夹运行文件
要包含的进程：*
要排除的进程：?:\Program Files*\COMODO\COMODO Internet Security\cfp.exe, ?:\Program Files*\McAfee\Common Framework\McScanCheck.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\system32\Macromed\Flash\FlashUtil*_ActiveX.exe, C:\Windows\SysWOW64\Macromed\Flash\FlashUtil*_ActiveX.exe

规则名称：禁止从 Temp 文件夹执行脚本
要包含的进程：?script.exe
要排除的进程：无

《防病毒标准保护》

规则名称：禁止远程创建自动运行文件
要包含的进程：*
要排除的进程：无

规则名称：禁止伪装 Windows 进程
要包含的进程：*
要排除的进程：无

《防病毒爆发控制》

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\**, C:\Documents and Settings\**\Local Settings\Application Data\Google\Update\**, C:\Users\**\AppData\Local\Google\Chrome\**, C:\Users\**\AppData\Local\Google\Update\**, C:\Windows\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\工具\**, System, ?:\Program Files\**, ?:\Program Files (x86)\**
------------------------------------------------
    ?:\Program Files\**, ?:\Program Files (x86)\**：务必改成自己的实机路径。由于有了这条规则的控制，其它规则就不用修改了。这条规则放在这里似乎速度更快，而且很多防非信任区的规则（例如U盘、临时文件区域等N条）都不需要了。不用实在可惜了。

《通用标准保护》

规则名称：Prevent hooking of McAfee processes
要包含的进程：*
要排除的进程：无
----------------------------------------
    禁用。与毛豆冲突。

《通用最大保护》

规则名称：禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe
--------------------------------------------
    白加黑废了一半。

规则名称：禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：?:\Program Files*\McAfee\Common Framework\FrameworkService.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe
--------------------------------------------
    白加黑废了另一半。

规则名称：禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程：*
要排除的进程：无

    其它规则也设置好了，虽然没有必要，但可以根据需要启用。

    3、自定义规则：

规则名称：01 封锁非信任区_注册表
要包含的进程：*
要排除的进程：*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\**, C:\Documents and Settings\**\Local Settings\Application Data\Google\Update\**, C:\Users\**\AppData\Local\Google\Chrome\**, C:\Users\**\AppData\Local\Google\Update\**, C:\Windows\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\工具\**, System, ?:\Program Files\**, ?:\Program Files (x86)\**
要保护的注册表项或注册表值：HKALL /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除
------------------------------------------------
    ?:\Program Files\**, ?:\Program Files (x86)\**：务必改成自己的实机路径。关键时刻有点用！

规则名称：02 封锁端口_所有
要包含的进程：*.*
要排除的进程：cfp.exe, cfpupdat.exe, chrome.exe, cmdagent.exe, FireSvc.exe, FlashPlayerUpdateService.exe, FrameworkService.exe, GoogleUpdate.exe, iexplore.exe, KSafe.exe, KSafeSvc.exe, KSafeTray.exe, ksafevulfix.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, mDNSResponder.exe, QQ.exe, svchost.exe, Thunder.exe, ThunderMini.exe
要阻止的端口：0 -  65535
方向：入站 出站
---------------------------------------------
    目的是禁止木马联网。虽然有毛豆墙，但咖啡这个很直接，很方便。

规则名称：03 管制系统_文件
要包含的进程：C:\Windows\**
要排除的进程：*\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\IME\imjp8_1\IMJPMIG.EXE, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\Windows\Microsoft.NET\**\ngen.exe, C:\Windows\notepad.exe, C:\Windows\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.exe, C:\Windows\splwow64.exe, C:\Windows\system32\aitagent.EXE, C:\Windows\system32\Ati2evxx.exe, C:\Windows\system32\atieclxx.exe, C:\Windows\system32\atiesrxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\system32\ceipdata.exe, C:\Windows\system32\cleanmgr.exe, C:\Windows\System32\cmd.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32\conime.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\csrss.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\DfrgNtfs.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\System32\dinotify.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\drwtsn32.exe, C:\Windows\system32\dumprep.exe, C:\Windows\system32\Dwm.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\hkcmd.exe, C:\Windows\system32\igfxpers.exe, C:\Windows\system32\igfxsrvc.exe, C:\Windows\system32\igfxtray.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE, C:\Windows\system32\lodctr.exe, C:\Windows\system32\logon.scr, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lpremove.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\lsm.exe, C:\Windows\system32\Macromed\Flash\*.exe, C:\Windows\system32\makecab.exe, C:\Windows\System32\mblctr.exe, C:\Windows\system32\mcbuilder.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\mobsync.exe, C:\Windows\system32\MRT.exe, C:\Windows\system32\msconfig.exe, C:\Windows\system32\msdtc.exe, C:\Windows\system32\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\poqexec.exe, C:\Windows\system32\powercfg.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\runonce.exe, C:\Windows\system32\sc.exe, C:\Windows\system32\schtasks.exe, C:\Windows\system32\sdclt.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\ServerManagerLauncher.exe, C:\Windows\system32\services.exe, C:\Windows\system32\smss.exe, C:\Windows\system32\SndVol.exe, C:\Windows\system32\SNDVOL32.EXE, C:\Windows\system32\SnippingTool.exe, C:\Windows\system32\SoundRecorder.exe, C:\Windows\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\systempropertiesadvanced.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\tasklist.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\Windows\system32\usmt\migwiz.exe, C:\Windows\system32\vds.exe, C:\Windows\system32\vdsldr.exe, C:\Windows\system32\verclsid.exe, C:\Windows\system32\vssvc.exe, C:\Windows\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wbengine.exe, C:\Windows\system32\WerFault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\winlogon.exe, C:\Windows\system32\winsat.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\system32\wlrmdr.exe, C:\Windows\system32\wsqmcons.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\ctfmon.exe, C:\Windows\SysWOW64\DllHost.exe, C:\Windows\SysWOW64\Macromed\Flash\*.exe, C:\Windows\SysWOW64\NOTEPAD.EXE, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\tasklist.exe, C:\Windows\SysWOW64\WerFault.exe, System
要阻止的文件或文件夹名：*
要禁止的文件操作：读取 写入 执行 创建 删除
---------------------------------------------
    这个规则很有用，可以精确控制系统进程，毛豆很难不到。Windows系统通用，一般不需要排除了。

规则名称：04 管制系统_注册表
要包含的进程：C:\Windows\**
要排除的进程：排除同上
要保护的注册表项或注册表值：HKALL /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除
--------------------------------------------
    关键时刻有点用！

规则名称：05 保护根目录_C盘
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：C:\*
要禁止的文件操作：写入 创建 删除
---------------------------------------
    这个毛豆也实现困难。

规则名称：06 封锁exe
要包含的进程：*
要排除的进程：?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\McAfee\Common Framework\FrameworkService.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, ?:\Program Files*\Thunder Network\MiniThunder\Bin\ThunderMini.exe, ?:\Program Files*\Thunder Network\Thunder\Program\Thunder.exe, ?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe, C:\Windows\system32\svchost.exe
要阻止的文件或文件夹名：*.exe
要禁止的文件操作：写入 创建
----------------------------------------
    这里完全可以排除浏览器。个人习惯下载exe文件时临时关闭。

规则名称：07 封锁dll
要包含的进程：*
要排除的进程：?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\McAfee\Common Framework\FrameworkService.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\scan32.exe, ?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe, C:\Windows\Microsoft.NET\Framework64\*\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\*\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe, C:\Windows\System32\svchost.exe
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：写入 创建
--------------------------------------------
    白加黑彻底废了。

规则名称：08 封锁com
要包含的进程：*
要排除的进程：?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe
要阻止的文件或文件夹名：*.com
要禁止的文件操作：写入 创建
------------------------------------------
    似乎一般都没用，心理安慰罢了！

规则名称：09 封锁sys
要包含的进程：*
要排除的进程：?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe, C:\Windows\System32\svchost.exe
要阻止的文件或文件夹名：*.sys
要禁止的文件操作：写入 创建
------------------------------------------
    似乎一般都没用，心理安慰罢了！

    从防病毒的角度看，其它规则不需要了。防流氓的话，咖啡不在行，毛豆也非常复杂，不管也罢。

（二）毛豆规则

    1、适用毛豆版本：5.8至5.12    1、D+：CPS安全模式，无法识别的文件—阻止（防毒绝招，非得运行需要手动信任），受保护的文件和文件夹—添加?:\*|，受保护的注册表键—添加“McAfee键”，添加“软件更新”和“软件安装”规则（自己添加文件或文件夹），“所有应用程序”规则添加注册表和信任区可执行文件拦截（咖啡规则关闭时安全性不减），全部做了通配符处理。
    2、防火墙：自定义模式，添加“杀毒软件”—只允许外连，添加拦截—IPv4 单个地址：95.163.88.209，其它默认，所有程序联网都会弹窗询问。
    3、做了细致的通用修改，Windows XP及以上版本32、64位操作系统通用，真正的完美兼容。
    4、这个规则本人用5.10在XP系统下单奔了几个月，没中过毒。

三、规则分享：

    1、咖啡规则
               32位：
               64位：
    2、毛豆规则
               

四、使用须知：

    1、务必注意软件、系统版本的对应关系，切不可失误。
    2、必须先导入咖啡规则，后导入毛豆规则。如果先导入了毛豆规则，必须临时关闭D+，然后导入咖啡规则，否则无法导入。
    3、毛豆规则导入前建议先修改：用记事本打开规则，按Ctrl+H组合键，把?:\Program Files*\COMODO\COMODO Internet Security\全部替换成实机路径（如C:\Program Files (x86)\COMODO\COMODO Internet Security\），以及?:\Program Files*\COMODO*全部替换成实机路径（如：C:\Program Files (x86)\COMODO*），保存。这样安全性更高。
    4、系统更新、安装软件（自己添加文件或文件夹）、软件更新（自己添加文件或文件夹）时，必须临时关闭咖啡规则，而且联网进行。某些软件实在不能安装的话（要谨慎了，很可能含有流氓行为了），把规则切换到默认的“COMODO - Proactive Security”模式，装完后再切换回来（这样切换不需要重启，很方便）。
    5、规则为日常应用之用，不建议实机测试病毒样本。但是，欢迎提供能过这个组合的病毒样本，供完善规则之用。
    6、分享规则只为交流切磋，使用中出现任何风险和损失，责任请自行承担，与规则设置与分享者没有任何关系。

五、老生常谈：

    转载请注明：

        作者——墨池
        出处——卡饭论坛：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1407137&extra=

                                                                                                       墨池顿首

墨池

这是qpzmggg999朋友在Win8下的系统进程排除，希望对大家有帮助：

自定义规则 05 管制系统文件

包含 C:\Windows\**

排除 *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\IME\imjp8_1\IMJPMIG.EXE, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\Windows\Microsoft.NET\**\ngen.exe, C:\Windows\notepad.exe, C:\Windows\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.exe, C:\Windows\splwow64.exe, C:\Windows\system32\aitagent.EXE, C:\Windows\system32\Ati2evxx.exe, C:\Windows\system32\atieclxx.exe, C:\Windows\system32\atiesrxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\system32\ceipdata.exe, C:\Windows\system32\cleanmgr.exe, C:\Windows\System32\cmd.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32\conime.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\csrss.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\DfrgNtfs.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\System32\dinotify.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\drwtsn32.exe, C:\Windows\system32\dumprep.exe, C:\Windows\system32\Dwm.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\hkcmd.exe, C:\Windows\system32\igfxpers.exe, C:\Windows\system32\igfxsrvc.exe, C:\Windows\system32\igfxtray.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE, C:\Windows\system32\lodctr.exe, C:\Windows\system32\logon.scr, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lpremove.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\lsm.exe, C:\Windows\system32\Macromed\Flash\*.exe, C:\Windows\system32\makecab.exe, C:\Windows\System32\mblctr.exe, C:\Windows\system32\mcbuilder.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\mobsync.exe, C:\Windows\system32\MRT.exe, C:\Windows\system32\msconfig.exe, C:\Windows\system32\msdtc.exe, C:\Windows\system32\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\poqexec.exe, C:\Windows\system32\powercfg.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\runonce.exe, C:\Windows\system32\sc.exe, C:\Windows\system32\schtasks.exe, C:\Windows\system32\sdclt.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\ServerManagerLauncher.exe, C:\Windows\system32\services.exe, C:\Windows\system32\smss.exe, C:\Windows\system32\SndVol.exe, C:\Windows\system32\SNDVOL32.EXE, C:\Windows\system32\SnippingTool.exe, C:\Windows\system32\SoundRecorder.exe, C:\Windows\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\systempropertiesadvanced.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\tasklist.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\Windows\system32\usmt\migwiz.exe, C:\Windows\system32\vds.exe, C:\Windows\system32\vdsldr.exe, C:\Windows\system32\verclsid.exe, C:\Windows\system32\vssvc.exe, C:\Windows\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wbengine.exe, C:\Windows\system32\WerFault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\winlogon.exe, C:\Windows\system32\winsat.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\system32\wlrmdr.exe, C:\Windows\system32\wsqmcons.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\ctfmon.exe, C:\Windows\SysWOW64\DllHost.exe, C:\Windows\SysWOW64\Macromed\Flash\*.exe, C:\Windows\SysWOW64\NOTEPAD.EXE, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\tasklist.exe, C:\Windows\SysWOW64\WerFault.exe, launchtm.exe, nvvsvc.exe, RuntimeBroker.exe, System, taskhostex.exe, ThumbnailExtractionHost.exe
------------------------------------------------------
    aunchtm.exe, nvvsvc.exe, RuntimeBroker.exe, taskhostex.exe, ThumbnailExtractionHost.exe为文件名排除，改成全路径更好！

06 管制系统注册表

包含 C:\Windows\**

排除 *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\IME\imjp8_1\IMJPMIG.EXE, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\Windows\Microsoft.NET\**\ngen.exe, C:\Windows\notepad.exe, C:\Windows\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.exe, C:\Windows\splwow64.exe, C:\Windows\system32\aitagent.EXE, C:\Windows\system32\Ati2evxx.exe, C:\Windows\system32\atieclxx.exe, C:\Windows\system32\atiesrxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\system32\ceipdata.exe, C:\Windows\system32\cleanmgr.exe, C:\Windows\System32\cmd.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32\conime.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\csrss.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\DfrgNtfs.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\System32\dinotify.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\drwtsn32.exe, C:\Windows\system32\dumprep.exe, C:\Windows\system32\Dwm.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\hkcmd.exe, C:\Windows\system32\igfxpers.exe, C:\Windows\system32\igfxsrvc.exe, C:\Windows\system32\igfxtray.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE, C:\Windows\system32\lodctr.exe, C:\Windows\system32\logon.scr, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lpremove.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\lsm.exe, C:\Windows\system32\Macromed\Flash\*.exe, C:\Windows\system32\makecab.exe, C:\Windows\System32\mblctr.exe, C:\Windows\system32\mcbuilder.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\mobsync.exe, C:\Windows\system32\MRT.exe, C:\Windows\system32\msconfig.exe, C:\Windows\system32\msdtc.exe, C:\Windows\system32\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\poqexec.exe, C:\Windows\system32\powercfg.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\runonce.exe, C:\Windows\system32\sc.exe, C:\Windows\system32\schtasks.exe, C:\Windows\system32\sdclt.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\ServerManagerLauncher.exe, C:\Windows\system32\services.exe, C:\Windows\system32\smss.exe, C:\Windows\system32\SndVol.exe, C:\Windows\system32\SNDVOL32.EXE, C:\Windows\system32\SnippingTool.exe, C:\Windows\system32\SoundRecorder.exe, C:\Windows\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\systempropertiesadvanced.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\tasklist.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\Windows\system32\usmt\migwiz.exe, C:\Windows\system32\vds.exe, C:\Windows\system32\vdsldr.exe, C:\Windows\system32\verclsid.exe, C:\Windows\system32\vssvc.exe, C:\Windows\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wbengine.exe, C:\Windows\system32\WerFault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\winlogon.exe, C:\Windows\system32\winsat.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\system32\wlrmdr.exe, C:\Windows\system32\wsqmcons.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\ctfmon.exe, C:\Windows\SysWOW64\DllHost.exe, C:\Windows\SysWOW64\Macromed\Flash\*.exe, C:\Windows\SysWOW64\NOTEPAD.EXE, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\tasklist.exe, C:\Windows\SysWOW64\WerFault.exe, System, taskhostex.exe
------------------------------------------------------
    排除应该与05一样。

感谢qpzmggg999。

dehuar

地板！感谢分享！哈哈，开始新的一轮更新了哦！

Tomin2009

支持，辛苦了

墨池

dehuar 发表于 2012-11-8 19:02
地板！感谢分享！哈哈，开始新的一轮更新了哦！

感谢支持！

墨池

Tomin2009 发表于 2012-11-8 19:07
支持，辛苦了

感谢支持，欢迎小折腾！

hanshuo827

近段关注咖啡，来支持下墨大

zixiang5288

感谢墨池又给我们带来新规则

wozhendeaini

感谢分享   这个很喜欢   支持墨大

rlx

支持墨池 支持咖啡豆