咖啡防入口通用型规则包【7月19更新】

freesoft00

A35 禁止执行的后缀  应该加入SYSTEM才不报的。

下面是日志：  


2008-7-25        11:14:33        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\WINDOWS\system32\drivers\ntfs.sys        用户定义的规则:A35 禁止执行的后缀        已阻止的操作: 执行
2008-7-25        11:14:33        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\WINDOWS\system32\drivers\fastfat.sys        用户定义的规则:A35 禁止执行的后缀        已阻止的操作: 执行




/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**/shell/**的注册表锁定确实象你说的有些u盘病毒也不能防住。

我在一台机器上禁用了自动运行，设置了autorun.inf免疫，MountPoints2锁定，但有个病毒还是防不住，它不靠autorun.inf来运行，而是靠desktop.ini文件和floder.htt文件配合运行病毒的，病毒的名是winfile.exe，windows.exe，ghost.bat，还有个htm文件。病毒运行后会在好多目录中生成和目录同名的一个exe文件，而且图标是文件夹图标。而且病毒主体运行后，不能到其目录复制其样本，打开其目录后，病毒主体的进程自动结束，并删除自身，随机建立文件名后再在其它目录运行。好象是不让复制。

[ 本帖最后由 freesoft00 于 2008-7-30 19:20 编辑 ]

深红的雪

确实忘了SYSTEM，会尽快加上

另外你提到的那个U盘病毒，应该是desktop.ini->.htt + 诱骗点击运行的方法
可以提供样本么？

[ 本帖最后由 rappar 于 2008-7-29 13:53 编辑 ]

haohao110

慢慢消化！

jiuzhege

原帖由 rappar 于 2008-7-29 13:51 发表
确实忘了SYSTEM，会尽快加上

另外你提到的那个U盘病毒，应该是desktop.ini->.htt + 诱骗点击运行的方法
可以提供样本么？

换头像了啊。。。

深红的雪

换了有几天了

smackdown

这里原来别有天地


人生处处有惊喜啊

eaufavor

好复杂

dzy

我们懒人的福音 下载 修改

smackdown

刚下载用了

有一点点
本来禁止保护 再注入新规则
但是注入新规则后 保护还是禁止
重新打开保护

也许习惯以前了

wccs

哈哈又更新了，谢谢楼主！