麦咖啡为什么防不住？

ylo0

这个病毒文件

咖啡企业版默认规则全开（关了间谍软件里面的几个规则）+气流规则（是气流吧！没说错吧）+自己编写的4条规则
在加上微点
成功中毒 ，其中微点报毒一次。。。。。结果还是中毒。。。。

重启开机（不能重启，我是强制关机），鼠标右键不能用了，我的电脑最上面我的文档消失



有没有高手，告诉我咖啡用什么规则能阻止它？

ylo0

很厉害的批处理文件

包含删除杀软文件，结束杀软进程，改注册表，添加开机启动，更改系统启动文件，把所有的搜索引擎，杀毒软件官网添加到host文件阻止列表……等等

ylo0

人了？？？？我很好奇的，谁帮我解惑呀。。。。。

这次让我对咖啡的防御产生一次怀疑，，，，以前从来么怀疑过他的规则

lu89

用邪版的规则阻止如下：C:\Program Files\WinRAR\WinRAR.exe        C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DI00.203\终结者.bat        用户定义的规则:19FD 禁止在本机创建有风险的BAT文件        已阻止的操作: 创建

wombat

没事执行来历不明的批处理…… ，这是使用者的问题，不是McAfee的问题

如果批处理只包含几条清空全硬盘文件的命令，你执行了，破坏力更大！

xxp2277

冒险实机运行了一下（之前花了十几分钟GHOST，删除了批处理文件里面关于删除GHO文件的部分）。邪版早就建议不要手动运行危险程序！！！所以就会出现4楼所说的禁止创建BAT文件，这是规则的第一道防线，禁止危险文件的创建！
那么接下来我明知这个文件危险仍然手动运行这个BAT，就算是危险的操作了。就算咖啡没有防住也不能全怪咖啡不是？但很幸运，阻止了。（这个bat文件位于R盘根目录，为显示命令详情，改@echo off为@echo on）
————————————————————————————————————————————————————
2009-6-15    0:46:05    已由访问保护规则禁止     ?????\Administrator    C:\WINDOWS\system32\cmd.exe    R:\jklo.vbs    用户定义的规则:FD 禁止对分区根目录进行可疑的操作    已阻止的操作: 创建
…………………………………………………………………………………………………………………………
批处理窗口如下：
R:\>if not exist jk

R:\>del /f /s /q jk
找不到 R:\jklo.vbs

R:\>echo Set WshShe
拒绝访问。

R:\>echo Return = W
拒绝访问。

R:\>start jklo.vbs

————————————————————————————————————————————————————
同时弹出Windows找不到jklo.vbs文件的错误。
确定之后就是几种颜色不停闪CMD窗口，Ctrl+C结束批处理。
至此不想再进行下一步危险的动作了（比如排除对根目录的保护等等操作），因为之后就是用咖啡更违规的动作了（干嘛对病毒排除啊）。
差点忘了说，置顶邪版加强版规则+自定义几条(起作用规则是邪版规则)。

[ 本帖最后由 xxp2277 于 2009-6-15 01:10 编辑 ]

bayot

并没事自己乱运行病毒。

ylo0

我在运行之前就知道这个病毒问题不大

我只是想知道自己的咖啡能不能防的住


谢谢楼上的分析，我明白一点点了

靖哥哥

我自己的规则中，就是禁止创建新的bat的

ylo0

我明白了，气流是防御规则。。。。邪版是全防护型规则

侧重点不一样，结果就完全不一样