查看: 2529|回复: 3
收起左侧

[讨论] 请教局域网中的一些排除项

[复制链接]
stavan
发表于 2007-2-14 06:54:31 | 显示全部楼层 |阅读模式
想在局域网中使用咖啡, 报告中记录了一些项, 由于都是重要的系统程序...但同时病毒也经常伪装成这些程序..
所以不知道是否应该排除... ....为安全起见, 我使用绝对路径排除, 但是否这样就一定安全? 病毒如果感染该系统文件..还是很危险吧..
具体项目如下, 刚开始咖啡, 水平有限, 各位大大给个意见....在此多谢了

NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\services.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework        通用标准保护:禁止修改 McAfee Common Management Agent 文件和设置

NT AUTHORITY\SYSTEM        C:\WINDOWS\System32\svchost.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DNSRegisteredAdapters\{4D0807BB-29CB-4D3B-B498-204867C9E086}        通用最大保护:禁止将程序注册为服务

NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\services.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\mferkdk        通用最大保护:禁止将程序注册为服务
(上面这三个, 阻止之后也没发现有什么异常, 机器照样使用, 需要排除吗? 如果不排除, 不停的出红框框也怪麻烦的...而且机器还会卡一下..)


NT AUTHORITY\SYSTEM        SYSTEM        C:\WINDOWS\CSC\00000001        防病毒爆发控制:将所有共享项设为只读

AAA\Administrator        C:\WINDOWS\system32\lsass.exe        C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect\CREDHIST        防病毒爆发控制:将所有共享项设为只读

NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\imapi.exe        C:\WINDOWS\TEMP\iad9ouqc.TMP        防病毒爆发控制:将所有共享项设为只读

NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\msiexec.exe        C:\WINDOWS\Installer\MSI1.tmp        防病毒爆发控制:将所有共享项设为只读
(上面这几个, 搞不清楚究竟应该怎么处理, 由于"将共享设置为只读"我是只选择了报告, 不知道阻止了这些会有什么问题)

还有一个:
AAA\Administrator C:\WINDOWS\Explorer.EXE \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{00020906-0000-0000-C000-000000000046}\PersistentHandler 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB
(我实在想不起来究竟是进行了什么操作, 导致出现了这条记录的..而且之后也没有出现过...搞不清楚是怎么回事了...)

各位看看..给小弟一个意见....

[ 本帖最后由 stavan 于 2007-2-14 09:30 编辑 ]
stavan
 楼主| 发表于 2007-2-14 18:00:12 | 显示全部楼层
  别沉啊...
为什么我的帖子沉的这么快啊....
Oceanzd
发表于 2007-2-15 04:03:33 | 显示全部楼层
NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\services.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework        通用标准保护:禁止修改 McAfee Common Management Agent 文件和设置

这个一定要允许。。。
NT AUTHORITY\SYSTEM        SYSTEM        C:\WINDOWS\CSC\00000001        防病毒爆发控制:将所有共享项设为只读

AAA\Administrator        C:\WINDOWS\system32\lsass.exe        C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect\CREDHIST        防病毒爆发控制:将所有共享项设为只读

NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\imapi.exe        C:\WINDOWS\TEMP\iad9ouqc.TMP        防病毒爆发控制:将所有共享项设为只读

NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\msiexec.exe        C:\WINDOWS\Installer\MSI1.tmp        防病毒爆发控制:将所有共享项设为只读

这几个是关键系统服务。。。那个lsass更是核心文件。。。具体功能不说了。。。允许。。。
stavan
 楼主| 发表于 2007-2-15 06:15:28 | 显示全部楼层
ok...这下心里踏实了..非常非常感谢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:26 , Processed in 0.135132 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表