楼主: w99308702
收起左侧

[讨论] C:\Windows\system32\taskeng.exe

[复制链接]
大猫熊
发表于 2013-5-19 20:59:46 | 显示全部楼层
w99308702 发表于 2013-5-19 20:53
呼叫熊猫版主,看了你修改后的
规则名称:R-06 保护Userinit
C:\Windows\system32\**\*.exe,

能贴日志?






    McAfee VirusScan Enterprise 8.8 P3
    Google Chrome beta
    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
    w99308702
     楼主| 发表于 2013-5-19 21:34:24 | 显示全部楼层
    大猫熊 发表于 2013-5-19 20:59
    能贴日志?

    被我清空了,然后加入了排除项,等下次把排除项清空,在把日志贴出来。我想知道下这条规则是限制修改启动项和启动顺序的对吧?
    w99308702
     楼主| 发表于 2013-5-19 21:39:50 | 显示全部楼层
    大猫熊 发表于 2013-5-19 20:59
    能贴日志?

    D:\Program Files\QQMusic\QQMusicExternal.exe        \REGISTRY\MACHINE\Software\Microsoft\Tracing        用户定义的规则:313保护Userinit注册表        已阻止的操作: 写入

    比如这个吧
    大猫熊
    发表于 2013-5-19 21:48:58 | 显示全部楼层
    w99308702 发表于 2013-5-19 21:34
    被我清空了,然后加入了排除项,等下次把排除项清空,在把日志贴出来。我想知道下这条规则是限制修改启动 ...

    Userinit是防止有恶意软件修改,劫持userinit.exe,是一种自启动方式。一般来说不会有第三方软件需要访问这个注册表项目,建议只排除system32里面的程序,然后直接去掉勾选报告即可。
    w99308702
     楼主| 发表于 2013-5-19 22:04:56 | 显示全部楼层
    大猫熊 发表于 2013-5-19 21:48
    Userinit是防止有恶意软件修改,劫持userinit.exe,是一种自启动方式。一般来说不会有第三方软件需要访问 ...

    C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe,
    咖啡的进程呢???
    w99308702
     楼主| 发表于 2013-5-19 22:34:57 | 显示全部楼层
    大猫熊 发表于 2013-5-19 17:39
    恩。

    2013/5/19        21:38:19        将由访问保护规则 (当前不强制执行规则) 禁止         122-PC\122        D:\Program Files\QQMusic\QQMusicExternal.exe        \REGISTRY\MACHINE\Software\Microsoft\Tracing        用户定义的规则:313保护Userinit注册表        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SessionIdHigh        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 创建
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SessionIdLow        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 创建
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\WUClient-SelfUpdate-ActiveX~31bf3856ad364e35~x86~~7.6.7600.256        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SessionIdHigh        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 创建
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SessionIdLow        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 创建
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:36        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\WUClient-SelfUpdate-Aux-TopLevel~31bf3856ad364e35~x86~~7.6.7600.256        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:37        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:37        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SessionIdHigh        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 创建
    2013/5/19        22:33:37        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SessionIdLow        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 创建
    2013/5/19        22:33:37        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:37        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    2013/5/19        22:33:37        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\servicing\TrustedInstaller.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\WUClient-SelfUpdate-Core-TopLevel~31bf3856ad364e35~x86~~7.6.7600.256        用户定义的规则:313保护Userinit注册表—不报告        已阻止的操作: 写入
    影响系统升级
    大猫熊
    发表于 2013-5-19 23:08:33 | 显示全部楼层
    w99308702 发表于 2013-5-19 22:34
    2013/5/19        21:38:19        将由访问保护规则 (当前不强制执行规则) 禁止         122-PC\122        D:\Program Files\QQMusic ...

    这个得排除。。。你暂时禁用这个规则吧。我研究以后再更新。


    另外,系统更新最好还是完全禁用规则。因为有太多的行为我们无法预料。






      McAfee VirusScan Enterprise 8.8 P3
      Google Chrome beta
      Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
      w99308702
       楼主| 发表于 2013-5-19 23:16:06 | 显示全部楼层
      大猫熊 发表于 2013-5-19 23:08
      这个得排除。。。你暂时禁用这个规则吧。我研究以后再更新。

      ok
      ,wo把这规则删了
      大猫熊
      发表于 2013-5-20 00:00:23 | 显示全部楼层
      w99308702 发表于 2013-5-19 23:16
      ok
      ,wo把这规则删了

      我已经找到原因了,之前覆盖的注册表范围有误。新的规则如下:

      包含的进程:*
      排除的进程:无(不添加任何排除)
      注册表地址:HKLM/SOFTWARE/**/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
      类型:值
      操作:所有
      不勾选报告,不排除。

      新的规则将随后发布。

      感谢反馈!






        McAfee VirusScan Enterprise 8.8 P3
        Google Chrome beta
        Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
        w99308702
         楼主| 发表于 2013-5-20 08:29:18 | 显示全部楼层
        大猫熊 发表于 2013-5-20 00:00
        我已经找到原因了,之前覆盖的注册表范围有误。新的规则如下:

        包含的进程:*

        ok已做修改,咖啡区的气氛就是好,每次都有人回答,看到大熊猫还在感觉真好,不过好久都没看到叶版了,也不知道她学业完成如何了
        您需要登录后才可以回帖 登录 | 快速注册

        本版积分规则

        手机版|杀毒软件|软件论坛| 卡饭论坛

        Copyright © KaFan  KaFan.cn All Rights Reserved.

        Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 21:52 , Processed in 0.114889 second(s), 13 queries .

        卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

        快速回复 客服 返回顶部 返回列表