自定义:禁止非本地文件执行产生BUG

显示全部楼层 · 发表于 2009-4-27 11:02:02

排除:**\C:\**, D:\**, Q:\**, S:\**　　（ｔｈｉｎｋｐａｄ原装系统，Ｄ为光驱，ＱＳ是ｔｈｉｎｋｐａｄ的恢复磁盘）
阻止程序 *.*
进程写的是*
问题１：为什么我运行8.7i的扫描,会产生

已由访问保护规则禁止  NT AUTHORITY\SYSTEM System C:\Windows\System32\drivers\mferkdet.sys 用户定义的规则:禁止非本地文件执行文件操作已阻止的操作: 执行

问题２：插上ｕ盘，把握ｕ盘驱动禁止了（驱动可是在ｃ盘阿）
问题３：重新启动后，很多驱动都被禁止了，不能上网．

**\C:\** 代表所有程序，包括常驻内存的，通俗的说，就是C盘上的所有文件。

可为什么扫描进程会出问题？难道 **\C:\** 也有不包括的？
既然说过**\C:\** 包括c；盘文件和C盘常驻内存的所有程序和文件，可为什么C盘的程序运行C盘的文件，却被禁止。

不知道为什么出这个问题，是我自己写错了，还是８．７ｉ有ｂｕｇ

追加:

2009/4/21 22:47:16 已由访问保护规则禁止  NT AUTHORITY\SYSTEM System C:\Windows\System32\drivers\cdfs.sys 用户定义的规则:禁止非本地文件执行文件操作已阻止的操作: 执行
2009/4/21 22:47:51 已由访问保护规则禁止  NT AUTHORITY\SYSTEM System C:\Windows\system32\Logfiles\WMI\RtBackup\EtwRTMsMpPsSession.etl 用户定义的规则:禁止非本地文件执行文件操作已阻止的操作: 创建

[ 本帖最后由 ttratt 于 2009-4-27 16:05 编辑 ]

显示全部楼层 · 发表于 2009-4-27 11:27:46

这条规则是你自己写的，但又没有全部贴出来，比如要阻止的文件或文件夹是否是**\**（貌似你说阻止程序*.*，那么规则里包含进程应该是*了）。那个日志可能为了隐私连时间都省去了（用户名省了就可以了，至少留出空白并说明，我看不出来哪个是执行主体）如果从你贴的日志来看，应该排除system（但不知道这个是不是你设置的用户名，我见过类似的规则排除的是**\C:\**）。另外，自定义规则的时候可以设置只报告不阻止，规则成熟之后再开启阻止，否则可能引起系统问题的。

[ 本帖最后由 xxp2277 于 2009-4-27 11:30 编辑 ]

显示全部楼层 · 发表于 2009-4-27 14:33:57

不好意思.vista系统,thinkpad原装系统. 排除**\c:\** 磁盘Q:\** S:\** 光驱 E:\**

不知道为什么，用这个规则，居然阻挡了很多SYS驱动运行。都是C盘下的。

显示全部楼层 · 发表于 2009-4-27 14:37:04

除了咖啡，还装了其他什么具有HIPS功能的安软没有？

显示全部楼层 · 发表于 2009-4-27 14:43:44

没有，其他的都没有，只装了咖啡．
难道是８．７Ｉ的ＢＵＧ？　**\C:\**　不能代表所有程序？不包括进入内存的进程

显示全部楼层 · 发表于 2009-4-27 15:02:46

这个不是BUG，SYSTEM进程是个虚拟进程，你在你的硬盘上是找不到其对应的文件的，知道SYSTEM进程的一个重要作用是什么吗？就是执行驱动。正常情况下是不会出现这种犯规情况的。我现在也是用的8.7，也有类似的规则，但是并未出现此情况。一般出现SYSTEM进程犯规只有两种原因导致，第一，装了其他具有HIPS功能的安防软件；第二，中了驱动级病毒。你如果你就只有装了咖啡，那么很有可能是你中驱动级病毒了（我只是说可能，但也有可能是你安装其他的软件驱动导致的）。你可以用ARK工具检查下SYSTEM进程的线程，看看有没有可疑驱动。
还有，除了SYSTEM对mferkdet.sys的执行操作犯规，还有没有其他的犯规，有的话把日志都贴出来。

显示全部楼层 · 发表于 2009-4-27 15:20:59

原帖由 23tg33g073 于 2009-4-27 15:02 发表
这个不是BUG，SYSTEM进程是个虚拟进程，你在你的硬盘上是找不到其对应的文件的，知道SYSTEM进程的一个重要作用是什么吗？就是执行驱动。正常情况下是不会出现这种犯规情况的。我现在也是用的8.7，也有类似的规则，但 ...

大哥，你百忙之中抽出时间看论坛也很不容易的呀，呵呵

显示全部楼层 · 发表于 2009-4-27 15:25:11

说得太过啦，也不是百忙，最多99忙~~呵呵

显示全部楼层 · 发表于 2009-4-27 16:04:16

2009/4/21 22:47:16 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System C:\Windows\System32\drivers\cdfs.sys 用户定义的规则:禁止非本地文件执行文件操作已阻止的操作: 执行
2009/4/21 22:47:51 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System C:\Windows\system32\Logfiles\WMI\RtBackup\EtwRTMsMpPsSession.etl 用户定义的规则:禁止非本地文件执行文件操作已阻止的操作: 创建

还有这两个.我可以保证系统没病毒,, 我是用thinkpad恢复出场设置,进入mcafee官网,下载安装8.7i

显示全部楼层 · 发表于 2009-4-27 16:19:16

你如果保证没毒，那么就直接排除SYSTEM就完事了呀，反正可以明确的说，绝对不是咖啡的BUG。
如果你想知道原因，那么你还是检查下SYSTEM的线程，看看是哪个驱动导致的。

[求助] 自定义:禁止非本地文件执行 产生BUG

[求助] 自定义:禁止非本地文件执行产生BUG