本帖最后由 墨池 于 2013-1-16 23:00 编辑
如题,如下:
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:
P2:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp, System
---------------------------------------------------------------------------------------------------------
P3:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
---------------------------------------------------------------------------------------------------------
P3除掉了System。
2013/1/16 20:43:58 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System \Registry\Machine\System\CurrentControlSet\Services\VSS\Diag\VolSnap 通用最大保护:禁止将程序注册为服务 已阻止的操作: 创建
------------------------------------------------------------------------------------------------------------
建议不排除。还是那句话,系统进程,官方没有排除的,尽量不要排除!
同时:
2013/1/16 20:14:11 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\system32\svchost.exe C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe 通用标准保护:防止终止 McAfee 进程 已阻止的操作: 终止
----------------------------------------------------------------------------------------------------------
Svhost.exe默认没有排除,没变。试过了,不排除没有任何影响。
这说明,P3的下架主要不是规则的原因,如果与规则相关,应该是内部语法。具体原因只有官方知道。
|