秘书规则下IE主页可被修改？

魂断蓝桥

原帖由 天空的蔚蓝 于 2009-7-15 14:24 发表



好的，不过最好是关了杀软的主动防御再尝试，免得被提早除掉。
SORRY，密码是kafan

应该是你规则问题。

手边没毛豆，你看看md的日志吧，把需要的添加上就可以了。


2009-7-15 14:42:34    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
值: C:\Program Files\Internet Explorer\IEXPLORE.EXE "http://www.go2000.cn/"
规则: [注册表组]*\SOFTWARE\Classes\CLSID\* -> [注册表]*\SOFTWARE\Classes\CLSID\*
2009-7-15 14:42:42    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.go2000.cn/
规则: [注册表组]8.....ie浏览器 -> [注册表]*\Software\Microsoft\Internet explorer\Main; Start Page
2009-7-15 14:42:46    创建文件    允许
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\aut5.tmp
规则: [应用程序组]测试软件之用 -> [文件]*
2009-7-15 14:42:53    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: d:\My Documents\Favorites\Vista XP Ghost 50多款精品系统下载.url
规则: [应用程序组]测试软件之用 -> [文件]*
2009-7-15 14:43:12    删除文件    阻止
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [应用程序组]测试软件之用 -> [文件]*

2009-7-15 14:43:27    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5B8225C7-757A-44B2-96BB-1E3AC529B03B}
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\*
2009-7-15 14:43:39    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\病毒包\msconfig\msconfig.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMan
值: "C:\WINDOWS\system32\msconfig.exe"
规则: [注册表组]2.....注册表启动项保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

天空的蔚蓝

楼上的，那我的规则有什么问题，这不是什么“QQ相册修改器”你不要把你的情况告诉我，你用的又不是毛豆。
我单独把“注册表”的程序放到“计算机安全规则里”，只把“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page”添加到“受保护的注册表键值”中的“阻止”中。然后直接在注册表里修改上面的键值的数据，毛豆什么提示都没有。数据居然成功被修改了，这是规则问题？

魂断蓝桥

原帖由 天空的蔚蓝 于 2009-7-16 11:19 发表
楼上的，那我的规则有什么问题，这不是什么“QQ相册修改器”你不要把你的情况告诉我，你用的又不是毛豆。
我单独把“注册表”的程序放到“计算机安全规则里”，只把“HKEY_CURRENT_USER\Software\Microsoft\Interne ...

如果你仔细看日志的话，会发现这个程序不光会更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page这里，

还有 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
C:\Program Files\Internet Explorer\IEXPLORE.EXE "http://www.go2000.cn/"

所以你应该把这个添加到你的受保护的注册表键值中，就可以了。

用手动hips，规则总会在不断的完善中。

也可以这样，主页被修改后通过查找注册表中的http://www.go2000.cn/这个内容，来检查自己规则的漏洞。补上就可以了，秘书那个规则我想是不是由于没有保护那个键值，所以造成主页被修改的。

天空的蔚蓝

楼上的，根据你这样说那IE的主页在注册表中的键值不止一个啊？要达到用注册表来修改主页，只需修改其中一个键值就可以啊？
是否把你说的添加到“阻止”中去就可以一劳永逸地防止IE主页被修改？

魂断蓝桥

主页在注册表中当然不止一处地方了，你那个程序不光直接修改了主页地址还修改IE浏览器快捷方式，你只要在我的受保护的注册表键值中添加那个路径即可，然后重新运行程序默认会弹窗询问你的阻止即可了。