（终结）小白规则【7月15日更新】【智能防御“全系列”】

显示全部楼层 · 发表于 2021-6-15 08:41:06

柯林发表于 2021-6-15 08:25
规则是在64位win8.1上制作的，64位win10上也用过，也是适用的，按道理win7也应该是一样的
你有没有导入 ...

好的，谢谢了

显示全部楼层 · 发表于 2021-6-21 11:10:25

劳烦柯大解答！！！
强力-平和版:有时开机是桌面无法正常启动（类似进入安全模式一样）。长时间关机后，打开电脑会出现这种情况，立刻再次重启后恢复正常。
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Administrator\NTUSER.DAT 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 写入
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\NTUSER.DAT 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\ntuser.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\ntuser.pol 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Videos\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Music\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Videos\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Music\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Pictures\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:34 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Music\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Links\RecentPlaces.lnk 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Pictures\desktop.ini 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Links\RecentPlaces.lnk 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\TEMP.USERUQI-QIJMSV3.000\Music\prfB8CA.tmp 用户定义的规则:【B】保护我的音乐里的资料已阻止的操作: 删除
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\TEMP.USERUQI-QIJMSV3.000\Pictures\prfB8C9.tmp 用户定义的规则:【B】保护我的图片里的资料已阻止的操作: 删除
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Links\RecentPlaces.lnk 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Links\Downloads.lnk 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Searches\Indexed Locations.search-ms 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取
2021/6/21 10:57:35 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe C:\Users\Default\Searches\Everywhere.search-ms 用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件已阻止的操作: 读取

显示全部楼层 · 发表于 2021-6-21 11:46:35

wubaocan 发表于 2021-6-21 11:10
劳烦柯大解答！！！
强力-平和版:有时开机是桌面无法正常启动（类似进入安全模式一样）。长时间关机后，打 ...

属于设置过度了，其实只要防止它执行用户路径下的temp目录即可，但还是会有些问题，比如amd显卡的驱动安装与卸载，就会触犯，建议还是放弃。

用置顶的反打规则吧，那个经过优化取舍，能够防御基本威胁而不会有误杀。
ps：作为杀毒补充，规则适当防御点就好了，没必要追求大而全，想百分百是不可能的，一般正常应用也是不容易翻车的，适当即可

显示全部楼层 · 发表于 2021-6-21 16:10:19

柯林发表于 2021-6-21 11:46
属于设置过度了，其实只要防止它执行用户路径下的temp目录即可，但还是会有些问题，比如amd显卡的驱动安 ...

好的，

显示全部楼层 · 发表于 2021-6-21 20:08:06

wubaocan 发表于 2021-6-21 16:10
好的，

C:\Windows\System32\svchost.exe C:\Users\TEMP.USERUQI-QIJMSV3.000\Music\prfB8CA.tmp 用户定义的规则:【B】保护我的音乐里的资料已阻止的操作: 删除
C:\Windows\System32\svchost.exe C:\Users\TEMP.USERUQI-QIJMSV3.000\Pictures\prfB8C9.tmp 用户定义的规则:【B】保护我的图片里的资料已阻止的操作: 删除

这两条略显奇怪，不知道svchost.exe里加载了什么模块，为何会有相关动作？你用反打规则看看，看是否还会有这样的日志？——当然，一般也可以看作正常，毕竟C:\Windows\System32\svchost.exe一般是代表着系统在进行操作，只是有时候也会加载一些非系统的dll，这是svchost.exe比较谜的地方（印象中好像还没有碰到这样的日志。略显奇怪而已（各人系统不同，加载的模块可能有异，一般也不是什么大问题）

显示全部楼层 · 发表于 2021-6-22 08:38:08

柯林发表于 2021-6-21 20:08
C:\Windows\System32\svchost.exe C:%users\TEMP.USERUQI-QIJMSV3.000\Music\prfB8CA.tmp ...

OK,测试几天再来回复

显示全部楼层 · 发表于 2021-6-22 11:12:40

wubaocan 发表于 2021-6-22 08:38
OK,测试几天再来回复

反打规则，应该没有拦截了，TEMP.USERUQI-QIJMSV3.000文件夹，现在可以删除，应该里面的文件没有在运行了。感觉.tmp文件不是什么好东西，把文件夹删掉了。

显示全部楼层 · 发表于 2021-6-22 11:18:33

wubaocan 发表于 2021-6-22 11:12
反打规则，应该没有拦截了，TEMP.USERUQI-QIJMSV3.000文件夹，现在可以删除，应该里面的文件没有在运行了 ...

还有，右键管理员为什么没法运行批处理文件，所有的七个规则都试了，都不行。是我系统的问题吗？还是哪里设置的问题？

2021/6/22 10:52:23 已由访问保护规则禁止 USERUQI-QIJMSV3\Administrator C:\Windows\explorer.exe C:\Windows\System32\cmd.exe 用户定义的规则:【防手贱】禁止迷糊执行cmd 已阻止的操作: 读取
2021/6/22 11:06:34 已由访问保护规则禁止 USERUQI-QIJMSV3\Administrator C:\Windows\explorer.exe C:\Windows\System32\cmd.exe 用户定义的规则:H-401-禁止用户执行批处理已阻止的操作: 执行

显示全部楼层 · 发表于 2021-6-22 12:02:03

本帖最后由柯林于 2021-6-22 12:06 编辑

囖wubaocan 发表于 2021-6-22 11:18
还有，右键管理员为什么没法运行批处理文件，所有的七个规则都试了，都不行。是我系统的问题吗？还是哪里 ...

我这里win8.1系统，右键管理员，可以运行批处理
你图示显示的日志，不是右键管理员执行的日志，而是直接双击产生的日志
右键管理员执行cmd.exe，执行程序是C:\Windows\System32\svchost.exe ，不是C:\Windows\explorer.exe
C:\Windows\explorer.exe执行cmd.exe是标准账户产生的，也就是没有提权时的执行流程
另：反打规则里 B-102-保护文档里的文件这一条的排除名单，建议还是用B-103与B-104的排除名单C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\MRT.exe, C:\Windows\System32\mspaint.exe, C:\Windows\System32\regsvr32.exe, C:\Windows\System32\RuntimeBroker.exe, C:\Windows\System32\SnippingTool.exe 为好，否则QQ之类存放附件到我的文档里可能会有问题，或者根据日志，添加QQ的主程序

显示全部楼层 · 发表于 2021-6-22 16:09:56

柯林发表于 2021-6-22 12:02
我这里win8.1系统，右键管理员，可以运行批处理
你图示显示的日志，不是右键管理员执行的日志，而是直接 ...

批处理不能运行的问题，已找到。是我组策略里禁用了两个选项。跟您的规则没有关系。抱歉了！

[其他相关] （终结）小白规则【7月15日更新】【智能防御“全系列”】

本帖子中包含更多资源