楼主: Jerry.Lin
收起左侧

[分享] 火绒高级威胁防护规则

  [复制链接]
路过~~~
发表于 2020-3-4 23:16:18 | 显示全部楼层

Win10系统组件DrvInst被弹窗拦截(我手动放行了),确定其为原版文件并未染毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
 楼主| 发表于 2020-3-4 23:17:23 | 显示全部楼层
路过~~~ 发表于 2020-3-4 09:16
Win10系统组件DrvInst被弹窗拦截(我手动放行了),确定其为原版文件并未染毒

上传下完整日志
路过~~~
发表于 2020-3-4 23:20:40 | 显示全部楼层
本帖最后由 路过~~~ 于 2020-3-4 23:22 编辑

【1】2020-03-04 23:00:00,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\WINDOWS\system32\DrvInst.exe
命令行:DrvInst.exe "2" "201" "USB\VID_0AC8&PID_301B\5&35EA971A&1&1" "C:\WINDOWS\INF\oem33.inf" "usbvm31b.inf:6750340babadbc7e:VM.USBDCam302.NTamd64:301.4.328.7:usb\vid_0ac8&pid_301b," "4285409cb" "00000000000001D0"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpResources\Registry\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Domino\Owners
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2020-03-04 22:59:59,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\WINDOWS\system32\DrvInst.exe
命令行:DrvInst.exe "2" "201" "USB\VID_0AC8&PID_301B\5&35EA971A&1&1" "C:\WINDOWS\INF\oem33.inf" "usbvm31b.inf:6750340babadbc7e:VM.USBDCam302.NTamd64:301.4.328.7:usb\vid_0ac8&pid_301b," "4285409cb" "00000000000001D0"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Domino
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2020-03-04 22:57:44,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C:\WINDOWS\system32\DrvInst.exe
命令行:DrvInst.exe "1" "0" "USB\VID_0AC8&PID_301B\5&35ea971a&1&1" "" "" "4e72cbcdb" "0000000000000000"
防护项目:[结束]木马行为防护.B.01
操作目标:【写入】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Domino
操作结果:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


看样子貌似是系统在对我的一个远古摄像头的相关驱动在进行操作?(刚刚写错了,看了一眼摄像头还连着)一开机连弹三个拦截窗口

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 感谢反馈

查看全部评分

Jerry.Lin
 楼主| 发表于 2020-3-4 23:23:01 | 显示全部楼层
路过~~~ 发表于 2020-3-4 09:20
【1】2020-03-04 23:00:00,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C: ...

下个版本更新排除
Jerry.Lin
 楼主| 发表于 2020-3-5 05:25:57 | 显示全部楼层
路过~~~ 发表于 2020-3-4 09:20
【1】2020-03-04 23:00:00,高级防护,自定义防护,DrvInst.exe触犯自定义防护规则, 已允许

操作进程:C: ...

更新了,重新导入规则即可
Tomin2009
发表于 2020-3-5 11:28:40 | 显示全部楼层
感谢更新
一尾
发表于 2020-3-5 13:06:54 | 显示全部楼层
操作进程:C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
命令行:"C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca
防护项目:[结束]木马行为防护.B.01
操作目标:【创建】 C:\Users\用户名\AppData\Roaming\SogouPy\verify.ini
操作结果:已阻止
这个是病毒吗?
Jerry.Lin
 楼主| 发表于 2020-3-5 13:13:54 | 显示全部楼层
一尾 发表于 2020-3-4 23:06
操作进程:C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
命令行:"C:\Wi ...

感谢反馈

已对主规则进行修正,重新导入4.21即可
一尾
发表于 2020-3-5 13:19:00 | 显示全部楼层
Jerry.Lin 发表于 2020-3-5 13:13
感谢反馈

已对主规则进行修正,重新导入4.21即可

好的
gengzhanbiao
发表于 2020-3-5 14:28:27 | 显示全部楼层
老大不能同时导入2个规则吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 13:51 , Processed in 0.095924 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表