本帖最后由 jxfaiu 于 2013-5-13 07:34 编辑
hjg2000 发表于 2013-5-12 22:08
我也感觉中了木马,日志还提示想创建一些文件
2013-5-12 21:34:59 已由访问保护规则禁止 PCOS-04242008\A ...
加规则:导出规则时须停用此规则
规则名称:访问控制-脚本文件(全局)
要包含的进程:?attrib.exe, at.exe, Cacls.exe, cmd.exe, cscript.exe, debug.exe, diskpart.exe, ftp.exe, mmc.exe, mshta.exe, ntoskrnl.exe, ntvdm.exe, regedit.exe, regsvr32.exe, replace.exe, runas.exe, sc.exe, schtasks.exe, script.exe, taskkill.exe, tasklist.exe, telnet.exe, tftp.exe, Tskill.exe, user.exe
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件操作:读取 执行
阻挡
再加些入口规则:
规则名称:入侵控制-bat(全局)
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**.bat
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-cmd(全局)
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**.cmd
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-com(全局)
要包含的进程:*
要排除的进程: 无
要阻止的文件或文件夹名:**.com
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-cpl(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.cpl
要禁止的文件操作:写入 创建
规则名称:入侵控制-dll(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名:**.dll
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-drv(全局)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.drv
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-exe(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名:**.exe
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-htm(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.htm
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-html(全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻挡的文件或文件名:**.html
要阻止的文件操作:创建 写入
阻挡
规则名称:入侵控制-IE文件(全局)
要包含的进程:*
要排除的进程:无
要阻挡的文件或文件名:**\Internet Explorer*\**
要阻止的文件操作:创建 写入
阻挡
规则名称:入侵控制-inf(非全局)
要包含的进程:*
要排除的进程: C:\WINDOWS\system32\services.exe, C:\Windows\System32\svchost.exe
要阻止的文件或文件夹名:**.inf
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-js(非全局)
要包含的进程:*
要排除的进程: C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.exe,
要阻止的文件或文件夹名:**.js
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-msc(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.msc
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-msi(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名:**.msi
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-msp(全局)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.msp
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-ocx(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.ocx
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-pif(全局)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.pif
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-scr(全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.scr
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-sys(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.sys
要禁止的文件操作:写入 创建
阻挡
规则名称:入侵控制-vbs(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**.vbs
要禁止的文件操作:写入 创建
阻挡 |