这条规则问题出在哪里？

Frankiec

U盘为I盘，但出现这种情况，日志如下：
2007-12-23 AM 12:45:46 已由访问保护规则禁止  **\RUNDLL32.EXE C:\WINDOWS\Prefetch\RUNDLL32.EXE-6E8D4657.pf 用户定义的规则:禁止U盘文件执行 已阻止的操作: 读取
2007-12-23 AM 12:46:06 已由访问保护规则禁止  **\NOTEPAD.EXE C:\WINDOWS\Prefetch\NOTEPAD.EXE-2F2D61E1.pf 用户定义的规则:禁止U盘文件执行 已阻止的操作: 读取
2007-12-23 AM 1:04:04 已由访问保护规则禁止  NT AUTHORITY\SYSTEM **\LOGONUI.EXE C:\WINDOWS\Prefetch\LOGONUI.EXE-312BE1BF.pf 用户定义的规则:禁止U盘文件执行 已阻止的操作: 读取
2007-12-23 PM 9:28:06 已由访问保护规则禁止  NT AUTHORITY\LOCAL SERVICE **\ALG.EXE C:\WINDOWS\Prefetch\ALG.EXE-275708CF.pf 用户定义的规则:禁止U盘文件执行 已阻止的操作: 读取
2007-12-23 PM 9:28:10 已由访问保护规则禁止  NT AUTHORITY\SYSTEM **\SVCHOST.EXE C:\WINDOWS\Prefetch\SVCHOST.EXE-2D5FBD18.pf 用户定义的规则:禁止U盘文件执行 已阻止的操作: 读取
2007-12-23 PM 9:28:34 已由访问保护规则禁止  NT AUTHORITY\SYSTEM **\WUAUCLT.EXE C:\WINDOWS\Prefetch\WUAUCLT.EXE-1360D60A.pf 用户定义的规则:禁止U盘文件执行 已阻止的操作: 读取

触发规则的父进程都是系统盘的，但规则中包含进程只是I盘的，为什么会这样的？

可以利用论坛搜索功能，好像有U盘病毒的加强规则，呵呵

whhpp

看了觉得不对吧，应该是最下面的那一行填I:\**

深红的雪

出现楼主的情况的具体原因未明。

不过可以用以下的方法解决：
1.打上patch4补丁
2.在排除项里添加  **\windows\**    即可

Frankiec

原帖由 whhpp 于 2007-12-26 13:52 发表
看了觉得不对吧，应该是最下面的那一行填I:\**

I:\** 和I:\**\*是一样的

苗条的猪

第2行填：*
第4行填：I:\**\*

o(∩_∩)o...呵呵! 楼主填反了！

深红的雪

并没有填反。只是你没有理解这样的用意罢了。

我说一下这两种写法的区别：
规则1：
要包含的进程：I:\**
要阻止的文件：*
文件操作：全选

规则2：
要包含的进程：*
要阻止的文件：I:\**
文件操作：全选

首先，规则1的作用是“禁止I盘的文件对本地文件进行任何操作”，简单说，就是即使I盘的程序运行了，它也不能对本地干任何事。

规则2的作用是“禁止所有程序读取I盘的文件”，也就是说，I盘的文本文档也无法打开了！

对比规则1和规则2，就能发现，规则1比规则2要优越。这是从不影响正常使用的角度来考虑的。在规则1下，我们可以对I盘文件进行操作，例如读取word文档、打开txt文件等等，还能运行部分无害的可执行程序。
但规则2就什么都干不了了！

不过，如果规则2要阻止的文件操作不选取“读取”的话，还是一条可以考虑的规则。

dier

首先，规则1的作用是“禁止I盘的文件对本地文件进行任何操作”，简单说，就是即使I盘的程序运行了，它也不能对本地干任何事。

U盘程序本身不直接对本地文件操作，而是调用诸如explorer,regedit之类的来做坏事呢？

深红的雪

我倒是反问一句：

既然都禁止U盘程序“读取、执行、修改、新建、删除”任何文件了，那它还能“调用诸如explorer,regedit”吗？

苗条的猪

如果每一项都勾选了，那还要用U盘干什么呢？