查看: 6261|回复: 21
收起左侧

[讨论] C:\Windows\system32\taskeng.exe

[复制链接]
w99308702
发表于 2013-5-19 11:09:25 | 显示全部楼层 |阅读模式
本帖最后由 w99308702 于 2013-5-19 11:11 编辑

2013/5/19        11:06:00        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\taskeng.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Handshake\{15258EC2-DB46-4291-8914-B557206205DB}        用户定义的规则:313保护Userinit注册表        已阻止的操作: 写入
2013/5/19        11:06:00        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\taskeng.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Handshake\{15258EC2-DB46-4291-8914-B557206205DB}\data        用户定义的规则:313保护Userinit注册表        已阻止的操作: 创建
2013/5/19        11:06:41        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\SearchIndexer.exe        \REGISTRY\MACHINE\Software\Microsoft\Windows Search        用户定义的规则:313保护Userinit注册表        已阻止的操作: 写入


C:\Windows\system32\DllHost.exe        \REGISTRY\MACHINE\Software\Microsoft\IdentityStore\Cache\S-1-5-21-4145674496-2037727796-2704784797-1000        用户定义的规则:313保护Userinit注册表        已阻止的操作: 写入




要排除不

评分

参与人数 1人气 +1 收起 理由
大猫熊 + 1 感谢反馈:)

查看全部评分

大猫熊
发表于 2013-5-19 11:55:57 | 显示全部楼层
这条规则内容是什么?






    McAfee VirusScan Enterprise 8.8 P3
    Google Chrome beta
    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
    w99308702
     楼主| 发表于 2013-5-19 14:18:31 | 显示全部楼层
    大猫熊 发表于 2013-5-19 11:55
    这条规则内容是什么?

    313保护Userinit注册表、
    包含**
    排除C:\Program Files\alipay\alieditplus\AlipaySecSvc.exe, C:\Program Files\alipay\alieditplus\AlipayUA.exe, C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, C:\Program Files\StarSoftComm\StarCenter\BIN\scupdate.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\system32\csrss.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wininit.exe, D:\Program Files\Game\**\*.exe, D:\Program Files\Tencent\QQ\bin\QQ.exe

    hklm/Software/**/Microsoft/**

    全部
    大猫熊
    发表于 2013-5-19 16:18:21 | 显示全部楼层
    本帖最后由 大猫熊 于 2013-5-19 16:20 编辑

    建议排除C:\Windows\system32\**,配合windows可执行文件写入保护已经伪装系统进程防护。






      McAfee VirusScan Enterprise 8.8 P3
      Google Chrome beta
      Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36

      评分

      参与人数 1经验 +5 收起 理由
      心跳回忆 + 5 感谢解答: )

      查看全部评分

      w99308702
       楼主| 发表于 2013-5-19 17:01:42 | 显示全部楼层
      大猫熊 发表于 2013-5-19 16:18
      建议排除C:\Windows\system32\**,配合windows可执行文件写入保护已经伪装系统进程防护。

      配合windows可执行文件写入保护已经伪装系统进程防护??  是怎么我用的是墨池的伪封笔+你的部分规则,
      大猫熊
      发表于 2013-5-19 17:39:06 | 显示全部楼层
      w99308702 发表于 2013-5-19 17:01
      配合windows可执行文件写入保护已经伪装系统进程防护??  是怎么我用的是墨池的伪封笔+你的部分规则,

      恩。

      28. Hijacking: Userinit
      What does it do ? Tries to modify “Userinit” key in registry in order to take the place of userinit.exe, the process responsible for initialization of the user data after the logon.
      What is the risk ? The malware is going to have itself automatically started every time Windows starts. The fact that this key is not a common startup key that an average diagnostics utility would look for, increases the chance of malware survival.


      这条规则的防范范围较宽,容易引起其他问题。所以建议排除整个系统区进程。我的规则里面相应规则也需要修改。






        McAfee VirusScan Enterprise 8.8 P3
        Google Chrome beta
        Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36

        评分

        参与人数 1人气 +1 收起 理由
        w99308702 + 1 感谢解答: )

        查看全部评分

        w99308702
         楼主| 发表于 2013-5-19 18:00:18 | 显示全部楼层
        大猫熊 发表于 2013-5-19 17:39
        恩。

        已经排除整个文件夹
        jml521m
        发表于 2013-5-19 20:31:43 | 显示全部楼层
        感觉规则多余了...
        w99308702
         楼主| 发表于 2013-5-19 20:53:40 | 显示全部楼层
        大猫熊 发表于 2013-5-19 17:39
        恩。


        呼叫熊猫版主,看了你修改后的
        规则名称:R-06 保护Userinit
        C:\Windows\system32\**\*.exe,
        阻挡用不报告
        但是我这边C:\Program Files\alipay\alieditplus\AlipaySecSvc.exe, C:\Program Files\alipay\alieditplus\AlipayUA.exe, C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, C:\Program Files\StarSoftComm\StarCenter\BIN\scupdate.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\**\*.exe, D:\Program Files\Game\**\*.exe, D:\Program Files\Tencent\QQ\bin\QQ.exe, D:\Program Files\Thunder Network\Xmp\Program\XMP.exe
        有以上这些都触红难道也不用排除吗,就只要排除C:\Windows\system32\**\*.exe,我看到咖啡自己的进程也阻止了,还有好多程序的
        w99308702
         楼主| 发表于 2013-5-19 20:54:16 | 显示全部楼层
        jml521m 发表于 2013-5-19 20:31
        感觉规则多余了...

        怎么说??
        您需要登录后才可以回帖 登录 | 快速注册

        本版积分规则

        手机版|杀毒软件|软件论坛| 卡饭论坛

        Copyright © KaFan  KaFan.cn All Rights Reserved.

        Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:12 , Processed in 0.113888 second(s), 17 queries .

        卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

        快速回复 客服 返回顶部 返回列表