（菜鸟懒虫）初级简单规则

柯林

zpf94 发表于 2015-5-15 23:21
柯大有Win7 32位的规则吗？附件里的64位导入不了

改下规则里的路径就可以了。你导出自己机子的规则来，用记事本打开看下，路径是不是：
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
是的话，用它代替[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]

有时间打开规则看下，把里面一些*\Program Files (x86)\**之类的排除项删掉，不删也可以，删了纯粹点

zpf94

柯林 发表于 2015-5-16 08:37
改下规则里的路径就可以了。你导出自己机子的规则来，用记事本打开看下，路径是不是：
[HKEY_LOCAL_MACH ...

好的,已导入成功,请问下面这个规则为什么全路径排除后依然触红啊?
被端口阻挡规则阻挡         C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe        用户定义的规则:( 联网控制 )禁止非授权程序访问网络        192.168.72.2:53

柯林

zpf94 发表于 2015-5-16 09:02
好的,已导入成功,请问下面这个规则为什么全路径排除后依然触红啊?
被端口阻挡规则阻挡         C:\Program File ...

端口规则，全路径无效，只能写程序名

paul_guo

勇者无敌 发表于 2015-4-16 10:57
现在用什么？

你现在在用啥。。。。。。。。

勇者无敌

paul_guo 发表于 2015-5-16 23:25
你现在在用啥。。。。。。。。

不是VSE就是在用小红伞
外加SSF或者OP
现在是这个


你换得比我勤多了

paul_guo

勇者无敌 发表于 2015-5-16 23:39
不是VSE就是在用小红伞
外加SSF或者OP
现在是这个

我现在挂着的是SSF+FS。。。。。。
我觉得DG那玩意非黑即白，是可以搭配SSF的

iccil

2015/5/13        20:34:59        将由访问保护规则 (当前不强制执行规则) 禁止         C:\7Mindset\Moz\Firefox\firefox.exe        C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2015/5/13        20:35:57        将由访问保护规则 (当前不强制执行规则) 禁止         C:\7Mindset\Moz\Firefox\firefox.exe        C:\Windows\System32\config\SYSTEMPROFILE\AppData\Local\MICROSOFT\Windows\TEMPORARY INTERNET FILES\Content.IE5\desktop.ini        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2015/5/13        20:35:57        将由访问保护规则 (当前不强制执行规则) 禁止         C:\7Mindset\Moz\Firefox\firefox.exe        C:\Users\username\AppData\Local\MICROSOFT\Windows\TEMPORARY INTERNET FILES\Content.IE5\index.dat        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2015/5/16        20:22:42        已由访问保护规则禁止         C:\Windows\TEMP\IE1A13E.tmp\IE11-support\ienrcore.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2015/5/16        20:22:44        已由访问保护规则禁止         C:\Windows\TEMP\IE1A13E.tmp\IE11-support\ienrcore.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2015/5/16        20:22:44        已由访问保护规则禁止         C:\Windows\TEMP\IE1A13E.tmp\IE11-support\ienrcore.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2015/5/17        9:38:37        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\mfevtps.exe        C:\Program Files\Common Files\McAfee\SystemCore\vtp_catcache        通用标准保护:禁止修改 McAfee 文件和设置        已阻止的操作: 写入
2015/5/17        9:43:25        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\mfevtps.exe        C:\Program Files\Common Files\McAfee\SystemCore\vtp_catcache        通用标准保护:禁止修改 McAfee 文件和设置        已阻止的操作: 写入
2015/5/17        9:55:24        将由访问保护规则 (当前不强制执行规则) 禁止         C:\7Mindset\Moz\Firefox\firefox.exe         C:\Users\username\AppData\Local\MICROSOFT\Windows\TEMPORARY INTERNET FILES\Content.IE5\index.dat        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2015/5/17        9:55:25        将由访问保护规则 (当前不强制执行规则) 禁止         C:\7Mindset\Moz\Firefox\firefox.exe        C:\Windows\System32\config\SYSTEMPROFILE\AppData\Local\MICROSOFT\Windows\TEMPORARY INTERNET FILES\Content.IE5\desktop.ini        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行

运行火狐触红是否是因为火狐不在program file(x86)目录下？

柯林

iccil 发表于 2015-5-17 10:33
运行火狐触红是否是因为火狐不在program file(x86)目录下？

跟program file(x86)路径关系不大。
禁止公用程序从临时目录运行程序，这条是默认的，无视记录即可，或者禁用报告也行。
mfevtps.exe修改咖啡设置，是出现在咖啡更新过程中？这条规则咖啡自带的，排除名单里没有mfevtps.exe，我这里也没出现过这个的日志。
C:\Windows\TEMP\IE1A13E.tmp\IE11-support\ienrcore.exe  这个是什么时候出现的？系统更新IE时？略有可疑

以后贴日志，请把日志里的用户名去掉。

iccil

柯林 发表于 2015-5-17 11:02
跟program file(x86)路径关系不大。
禁止公用程序从临时目录运行程序，这条是默认的，无视记录即可， ...

1 的确是有更新IE11。因为刚刚把笔记本的系统从GHOST WIN7 X86 换成 MSDN WIN7 X64。
2 因为每次启动火狐的时候就比较卡，触红。。。所以才问是否跟program file(x86)路径相关。
3 柯大的规则只下载 McAfee杀毒辅助规则（64位）就OK了吧？？

柯林

iccil 发表于 2015-5-17 14:41
1 的确是有更新IE11。因为刚刚把笔记本的系统从GHOST WIN7 X86 换成 MSDN WIN7 X64。
2 因为每次启动 ...

临时目录运行文件这条，只是提供个日志进行参考，看看有时候是否运行了什么可疑的东东，也就这个作用，一般情况下关了也没啥，毕竟入口防御的简单规则管好入口就行了。（前两个规则都可以关闭这条；而杀毒辅助规则，对于临时目录执行文件的限制，我采用自定义的方式制作了一条，谨慎排除为宜）

规则导入一样的，禁用访问保护，双击规则文件导入即可（如果是32位系统注意下操作说明）。如果只是用VSE+系统墙，导入就可以用了，个别软件按日志排除下；如果同时装有其安防软件，需要禁用访问保护，添加安软主要进程到相关规则里排除下，否则可能造成冲突，或者按日志排除下。