（菜鸟懒虫）初级简单规则

iccil

柯林 发表于 2015-5-17 14:55
临时目录运行文件这条，只是提供个日志进行参考，看看有时候是否运行了什么可疑的东东，也就这个作用，一 ...

导入了 增强优化规则，没看到 禁止把程序注册为服务 这条啊？

iccil

2015/5/17        17:10:28        被端口阻挡规则阻挡         C:\Users\username\AppData\Local\Temp\7ZipSfx.000\DgService.exe        用户定义的规则:( 联网控制 )禁止非授权程序访问网络        114.112.67.56:80
2015/5/17        17:14:04        被端口阻挡规则阻挡         c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe        用户定义的规则:( 联网控制 )禁止非授权程序访问网络        161.69.226.17:443

刚刚装了siteadvisor，可以排除mcsacore；而DgService则是用了单文件驱动精灵遗留下来的，现在删不掉。。。

柯林

iccil 发表于 2015-5-17 17:28
刚刚装了siteadvisor，可以排除mcsacore；而DgService则是用了单文件驱动精灵遗留下来的，现在删不掉。。 ...

禁止把程序注册为服务，在“通用最大保护”那个组里。

看下DgService这个东东，有服务的话停止，找到文件位置，改下安全属性，添加Everyone的权限，一般就可以删掉了。

zixiang5288

柯大这会有时间了

白露为霜

柯大是玩规则的高手

iccil

柯林 发表于 2015-5-17 17:35
禁止把程序注册为服务，在“通用最大保护”那个组里。

看下DgService这个东东，有服务的话停止，找到 ...

1 谢谢。
2 SVCHOST访问DESKTOP.INI就不用排除了吧。触红的不用都排除吧??
3 驱动精灵即插即用服务不能在 services 里面停止，即使禁用，也不能删除。后来终于想到在任务管理器结束进程，并停止服务后，才在TEMP目录把它删除掉。然后在注册表清除DGPNPSV。
再也不敢用驱动精灵啦。。。

柯林

iccil 发表于 2015-5-17 21:16
1 谢谢。
2 SVCHOST访问DESKTOP.INI就不用排除了吧。触红的不用都排除吧??
3 驱动精灵即插即用服务不能 ...

对于隐私文件的阻止规则导致 SVCHOST访问DESKTOP.INI被拦截，一般不用排除。
触红的你看下具体的，原则参考两个：一般性的规则，安全的程序可以排除，特别性的规则，例如注册服务、创建自动运行、创建改写exe文件，在windows目录及programfiels里创建可执行文件等，最好看清必要性再排除，实在不行临时性取消下阻挡再挂着长久拦截比较稳当；另一个方法是：凡是拦截而不影响运行的，可以不排除。
另外像自定义里“防止敲竹杠”这样的规则，是不能添加任何排除的，添加了可能失效（具体没有用样本测试过，只是用批处理窗口和做成bat的方式测试过命令行添加账户密码，加了lsass.exe的排除就失效了）

另外一个，关于触红的排除与否，看需要。
比如你要使用系统的相关服务，就允许对应的系统程序注册服务，否则就拦截。win7可以参看：http://www.win7china.com/html/5398.html
再比如日常软件，我用杀毒辅助规则，一开迅雷，就有这样的日志：
C:\Program Files (x86)\Thunder Network\Thunder\Program\Thunder.exe        C:\Users\xxx\AppData\Local\Temp\XLLiveUD\Thunder8_7.9.35.4922\XLGraphic.dll        用户定义的规则:★病毒警报-可疑程序创建dll        已阻止的操作: 创建
C:\Program Files (x86)\Thunder Network\Thunder\Program\Thunder.exe        C:\Users\xxx\AppData\Local\Temp\XLLiveUD\Thunder8_7.9.35.4922\XLBugReport.exe        用户定义的规则:【防毒】全局管控exe        已阻止的操作: 创建
C:\Program Files (x86)\Thunder Network\Thunder\Program\Thunder.exe        C:\Users\xxx\AppData\Local\Temp\XLLiveUD\Thunder8_7.9.35.4922\XLLiveUD.exe        用户定义的规则:【防毒】全局管控exe        已阻止的操作: 创建
因为我不用迅雷看看，也不玩迅雷游戏，也不是VIP客户，也不需要在线更新，所以就任由咖啡拦截，不管它，触红就触红；如果你要用迅雷看看之类的功能被阻的话，就需要根据日志排除。
再比如谷歌拼音词库升级，想要联网更新，就排除下面这条日志中记录的程序：C:\Program Files (x86)\Google\Google Pinyin 2\GooglePinyinDaemon.exe        C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GIZZ2UPK\install[1].htm        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取

iccil

柯林 发表于 2015-5-17 22:14
对于隐私文件的阻止规则导致 SVCHOST访问DESKTOP.INI被拦截，一般不用排除。
触红的你看下具体的，原 ...

明白了。

bujchen

@柯林
老是这个触红   被端口阻挡规则阻挡         C:\Windows\Explorer.EXE        用户定义的规则:( 联网控制 )禁止非授权程序访问网络        127.0.0.1:1028
需要排除吗

zpf94

我发现VSE有时候日志里记录已经阻止运行某程序，但是实际上并未拦截，比如说设置规则禁止运行shutdown.exe，但双击一些敲竹杠还是会被过，关机。这是为什么？