楼主: Jerry.Lin
收起左侧

[分享] 火绒高级威胁防护规则

  [复制链接]
Jerry.Lin
 楼主| 发表于 2019-12-26 09:40:18 | 显示全部楼层

上传下完整的日志
咕咚陛下
发表于 2019-12-26 13:28:47 | 显示全部楼层
本帖最后由 咕咚陛下 于 2019-12-26 13:30 编辑
Jerry.Lin 发表于 2019-12-26 09:40
上传下完整的日志
安装驱动时拦截,用的软件IObit Driver Booster
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2019-12-25 21:39:27,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "2" "211" "USB\VID_5986&PID_053A&MI_00\7&28900A65&0&0000" "C:\Windows\INF\oem32.inf" "rtsuvc.inf:e208c33917127ea6:rtsuvc.NTamd64.6:6.2.9200.10291:usb\vid_5986&pid_053a&mi_00," "44bbd968f" "00000000000001C0"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2019-12-25 21:39:17,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_5986&PID_053A&MI_00\7&28900a65&0&0000" "" "" "4f8ff9ee7" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpResources\Registry\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM\Owners
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2019-12-25 21:39:16,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_5986&PID_053A&MI_00\7&28900a65&0&0000" "" "" "4f8ff9ee7" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【创建】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpResources\Registry\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2019-12-25 21:39:16,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_5986&PID_053A&MI_00\7&28900a65&0&0000" "" "" "4f8ff9ee7" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【创建】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpResources\Registry\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM\
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2019-12-25 21:39:13,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_5986&PID_053A&MI_00\7&28900a65&0&0000" "" "" "4f8ff9ee7" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2019-12-25 21:38:30,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已阻止

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_5986&PID_053A&MI_00\7&28900a65&0&0000" "" "" "4f8ff9ee7" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM
操作结果:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2019-12-25 21:37:43,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已阻止

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_5986&PID_053A&MI_00\7&28900a65&0&0000" "" "" "4f8ff9ee7" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM
操作结果:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2019-12-25 21:36:57,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已阻止

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "2" "211" "USB\VID_5986&PID_053A&MI_00\7&28900A65&0&0000" "C:\Windows\INF\oem32.inf" "rtsuvc.inf:e208c33917127ea6:rtsuvc.NTamd64.6:6.2.9200.10291:usb\vid_5986&pid_053a&mi_00," "44bbd968f" "00000000000001E0"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtsCM
操作结果:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2019-12-25 21:14:59,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已阻止

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "2" "211" "HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_1D05100E&REV_1002\4&34EFFD47&0&0001" "C:\Windows\INF\oem28.inf" "hdxrt4.inf:ed86ca118627db63:IntcAzAudModel:6.0.1.8581:hdaudio\func_01&ven_10ec&dev_0269&subsys_1d05100e," "4ee0ca763" "00000000000002F8"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RTHDVCPL
操作结果:已阻止


【19】2019-12-25 19:51:09,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已阻止

操作进程:C:\Windows\system32\DrvInst.exe
命令行:DrvInst.exe "2" "1" "HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_1D05100E&REV_1002\4&34EFFD47&0&0001" "C:\Windows\System32\DriverStore\FileRepository\hdxrt4.inf_amd64_737946a98a9fdcdd\hdxrt4.inf" "oem10.inf:*:*:6.0.1.7910:HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_1D05100E," "479bb8bcb" "00000000000001FC"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RTHDVCPL
操作结果:已阻止

Jerry.Lin
 楼主| 发表于 2019-12-26 13:34:13 | 显示全部楼层
咕咚陛下 发表于 2019-12-26 13:28
安装驱动时拦截,用的软件IObit Driver Booster
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ...

那这样可以先手动允许下,后期自动处理规则会更新,感谢反馈
微软爱苹果
头像被屏蔽
发表于 2019-12-26 19:51:53 | 显示全部楼层
谢谢分享啊
苏三
发表于 2019-12-28 20:36:05 | 显示全部楼层

好久没用了,收起来试一下
yingkkk
发表于 2019-12-30 13:53:12 | 显示全部楼层
刚下载火绒 试试这个规则
zyk592753900
发表于 2019-12-30 15:30:17 | 显示全部楼层
支持一下
小童姥
发表于 2020-1-1 17:28:27 | 显示全部楼层
首先感谢
另外我在我的火绒里 没找到入口

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ostatics1
发表于 2020-1-1 19:25:00 | 显示全部楼层
非常感谢~~
Jerry.Lin
 楼主| 发表于 2020-1-1 21:22:13 | 显示全部楼层
小童姥 发表于 2020-1-1 17:28
首先感谢
另外我在我的火绒里 没找到入口

点“自定义防护”这个文字
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 21:26 , Processed in 0.120380 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表