用了科林大神的规则，有一项不知道怎么排除

handsomecat

如上。

咖啡报警如下：
2016/5/6        23:44:29        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\Windows\System32\svchost.exe        用户定义的规则:第二十六条：拦截病毒木马读取svchost        已阻止的操作: 读取

用的win7 64为旗舰版

我想问的是，这条是不是说明有危险进程？

如果没有的话，可否排除？如何排除？

请指导。

jone_jys

你自己适当调整一下规则即可。。。

将“要包含的进程”改为：  *.*

handsomecat

jone_jys 发表于 2016-5-7 17:24
你自己适当调整一下规则即可。。。

将“要包含的进程”改为：  *.*

大神，是不是说没有什么危险进程威胁到电脑，只是误报，我排除就行了？

jone_jys

handsomecat 发表于 2016-5-7 18:05
大神，是不是说没有什么危险进程威胁到电脑，只是误报，我排除就行了？

可以这么说。。。

对于触犯规则的程序，不能称之为“误报”，因为你要限制哪些程序，信任哪些程序都是使用者说了算。。

T.Yoshiyuki

柯林这条只排除了alg.exe, csrss.exe, explorer.exe, FrameworkService.exe, lsass.exe, MCCONSOL.EXE, mcshield.exe, McTray.exe, MRT.EXE, msconfig.exe, services.exe, shstat.exe, smss.exe, spoolsv.exe, svchost.exe, TASKMGR.EXE, userinit.exe, winlogon.exe这些系统进程和咖啡进程，但也经常存着SYSTEM进程（Windows页面内存管理进程，最基本系统进程之一）调用svhost的情况

而且依我看，病毒伪装SYSTEM进程的可能性不大（一般只能伪装成system.exe之类的吧）

所以我认为是柯林忘记排除了，楼主自己加入排除就好，这是拦截到系统的正常操作了

哪怕是大神 哪怕是最宽松“智能”（这是个悖论 VSE的访问保护就不可能智能）的规则都有疏漏 所以必须要自己学习、然后打磨！

顺便请教@柯林

T.Yoshiyuki

jone_jys 发表于 2016-5-7 17:24
你自己适当调整一下规则即可。。。

将“要包含的进程”改为：  *.*

还是定点排除吧 不带扩展名的进程常见的差不多就SYSTEM一个

jone_jys

T.Yoshiyuki 发表于 2016-5-9 01:05
还是定点排除吧 不带扩展名的进程常见的差不多就SYSTEM一个

就因为只有system这一个，才建议将其改为 *.*。

印象中，有一个版本是无法排除 system 的，只能折中的将保护的进程改为 *.*

T.Yoshiyuki

jone_jys 发表于 2016-5-9 13:38
就因为只有system这一个，才建议将其改为 *.*。

印象中，有一个版本是无法排除 system 的，只能折中的 ...

你这思路也不错 因为针对SYSTEM的排除经常不起效 即所谓“规则抽风”

handsomecat

T.Yoshiyuki 发表于 2016-5-9 01:04
柯林这条只排除了alg.exe, csrss.exe, explorer.exe, FrameworkService.exe, lsass.exe, MCCONSOL.EXE, mcs ...

感谢指导！

ly910326

http://bbs.kafan.cn/thread-2041902-1-1.html

打好McAfee 7的补丁，即可解决svchost的问题