想在局域网中使用咖啡, 报告中记录了一些项, 由于都是重要的系统程序...但同时病毒也经常伪装成这些程序..
所以不知道是否应该排除... ....为安全起见, 我使用绝对路径排除, 但是否这样就一定安全? 病毒如果感染该系统文件..还是很危险吧..
具体项目如下, 刚开始咖啡, 水平有限, 各位大大给个意见....在此多谢了
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework 通用标准保护:禁止修改 McAfee Common Management Agent 文件和设置
NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DNSRegisteredAdapters\{4D0807BB-29CB-4D3B-B498-204867C9E086} 通用最大保护:禁止将程序注册为服务
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\mferkdk 通用最大保护:禁止将程序注册为服务
(上面这三个, 阻止之后也没发现有什么异常, 机器照样使用, 需要排除吗? 如果不排除, 不停的出红框框也怪麻烦的...而且机器还会卡一下..)
NT AUTHORITY\SYSTEM SYSTEM C:\WINDOWS\CSC\00000001 防病毒爆发控制:将所有共享项设为只读
AAA\Administrator C:\WINDOWS\system32\lsass.exe C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect\CREDHIST 防病毒爆发控制:将所有共享项设为只读
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\imapi.exe C:\WINDOWS\TEMP\iad9ouqc.TMP 防病毒爆发控制:将所有共享项设为只读
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\Installer\MSI1.tmp 防病毒爆发控制:将所有共享项设为只读
(上面这几个, 搞不清楚究竟应该怎么处理, 由于"将共享设置为只读"我是只选择了报告, 不知道阻止了这些会有什么问题)
还有一个:
AAA\Administrator C:\WINDOWS\Explorer.EXE \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{00020906-0000-0000-C000-000000000046}\PersistentHandler 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB
(我实在想不起来究竟是进行了什么操作, 导致出现了这条记录的..而且之后也没有出现过...搞不清楚是怎么回事了...)
各位看看..给小弟一个意见....
[ 本帖最后由 stavan 于 2007-2-14 09:30 编辑 ] |
发表于 2007-2-14 06:54:31
楼主
别沉啊...
发表于 2007-2-15 04:03:33