关于EIS 11.0的杀毒日志

kuqiao

我记得以前ess是有个专门查看日志的地方，现在这个找不到了，刚才插入同事的硬盘，扫描了一下杀掉了11个病毒，没有点查看日志，想知道如何查看删除的是什么文件。。。。

fireherman

【主面板】-【工具】-【更多工具】-【日志文件】

被删除（隔离的文件）：【主面板】-【工具】-【更多工具】-【隔离区】

kuqiao

fireherman 发表于 2018-3-1 14:10
【主面板】-【工具】-【更多工具】-【日志文件】

被删除（隔离的文件）：【主面板】-【工具】-【更 ...

感谢！11个全是CAD相关的
都是这种结尾的  acad.fas > AUTOLISP > decompiled_functions.lsp - ACAD/TrojanDownloader.Qfas.NAD 特洛伊木马 - 通过删除清除 [1]

fireherman

kuqiao 发表于 2018-3-1 14:20
感谢！11个全是CAD相关的
都是这种结尾的  acad.fas > AUTOLISP > decompiled_functions.lsp - ACAD/Tro ...

ACAD/TrojanDownloader.Qfas.NAD

锁首（锁定浏览器主页图利）木马下载器，你同事的硬盘里估计有不少“三无软件”。

kuqiao

fireherman 发表于 2018-3-1 14:26
ACAD/TrojanDownloader.Qfas.NAD

锁首（锁定浏览器主页图利）木马下载器，你同事的硬盘里估计有不 ...

这个就不清楚了，是不是指的盘里的设计类软件，这些软件直接购买价格太高，一般都是破解安装  0.0  我正在学习你的ESET使用指南3——网络防护[个人防火墙]  ，还是没怎么搞懂，设置防火墙交互就一直在弹出站的窗口... ...

fireherman

kuqiao 发表于 2018-3-1 14:31
这个就不清楚了，是不是指的盘里的设计类软件，这些软件直接购买价格太高，一般都是破解安装  0.0  我正 ...

实际情况不清楚，只能说国内很多破解都是夹带私货的。

相比起HIPS的【交互模式】，防火墙的【交互模式】其实弹窗少很多，在你确定系统纯净无污染的前提下：先跑过【学习模式】，然后优化一下【学习模式】建立的规则；在往后的日子里，随着安装使用的程序，一个一个来设置。

出站：意味着本地程序需要联网，典型的如Windows Update；浏览器的同步；程序的更新（如果你开启的话）……这个就得靠自己的经验来判断了。

kuqiao

fireherman 发表于 2018-3-1 14:38
实际情况不清楚，只能说国内很多破解都是夹带私货的。

相比起HIPS的【交互模式】，防火墙的【交互 ...

尤其是svchost.exe （PID 3320）远程计算机：v10.vortex-win.data.microsoft.com(111.221.29.254) 远程端口:TCP 443(HTTPS)    这个一直在弹 出站网络通信  这类可以创建直接允许嘛

fireherman

kuqiao 发表于 2018-3-1 14:43
尤其是svchost.exe （PID 3320）远程计算机：v10.vortex-win.data.microsoft.com(111.221.29.254) 远程端 ...

这条规则可以通过：svchost.exe 是系统核心程序，系统更新（指向微软的服务器，使用TCP协议，443端口），时间同步（UDP协议，123端口），DNS剖析（UDP协议，53端口）等等，肯定有联网。

实际上这个程序，ESET有内部规则，诸如上述的出站。

你可以为它设置这么一条规则（因为微软的服务器会因应区域的不同而不同）：

方向：出站（允许操作）

协议：TCP

远程端口：80/443（只放行这两个）

远程IP：（留空）

这就不会有弹窗了。

kuqiao

fireherman 发表于 2018-3-1 14:51
这条规则可以通过：svchost.exe 是系统核心程序，系统更新（指向微软的服务器，使用TCP协议，443端口 ...

感谢科普

xingluhuayu

fireherman 发表于 2018-3-1 14:51
这条规则可以通过：svchost.exe 是系统核心程序，系统更新（指向微软的服务器，使用TCP协议，443端口 ...

我很好奇，交互模式下，如果定义规则的时候不慎点错了，怎么救？