含泪请教

xiaojiong

声明：以下问题都是经google baidu yahoo bing 搜索未解决的（其中可能有本人搜索技巧的原因），大家别说我懒。
提示：本人用的是windows 7 RC，8.7版本，超强规则。

问几个规则：
1. TM.exe（腾讯的TM2009）老触犯
A1 禁止在WINDOWS目录中新建任何文件
A89 防止利用UPnP (通用即插即用)漏洞入侵
C65 禁止修改WINDOWS目录中的任何文件
B25 禁止在C盘中新建任何EXE可执行文件
Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings
C20 禁止在C盘中新建任何VBS脚本文件

排除掉么？还是阻止不要报告。（这几个基本不影响操作）

2. NT AUTHORITY\LOCAL SERVICE C:\Windows\System32\svchost.exe C:\Program Files\Internet Explorer\ieproxy.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables 已阻止的操作: 执行

这个咋办，svchost.exe排除了这规则就没用咯

3.  NT AUTHORITY\SYSTEM System C:\Windows\rescache\rc0001\Segment1.cmf User-defined Rules:C65 禁止修改WINDOWS目录中的任何文件 已阻止的操作: 写入

NT AUTHORITY\SYSTEM System C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 User-defined Rules:C65 禁止修改WINDOWS目录中的任何文件 已阻止的操作: 写入

这两个。。排除system？

4. NT AUTHORITY\SYSTEM C:\Windows\system32\svchost.exe C:\Windows\WindowsUpdate.log User-defined Rules:C95 禁止修改WINDOWS根目录下的任何文件 已阻止的操作: 写入

把sochost.exe排除啦？

5. Xiaojiong-PC\Xiaojiong C:\Program Files\Internet Explorer\iexplore.exe C:\Users\Xiaojiong\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\（文件名太长省掉）.doc User-defined Rules: C89 禁止在C盘中新建,修改任何DOC文件(防范宏病毒) 已阻止的操作: 创建

C:\Program Files\McAfee\Common Framework\FrameworkService.exe C:\Program Files\McAfee\Common Framework\McScript_InUse.exe User-defined Rules:C67 保护本机所有EXE可执行文件（防止删除） 已阻止的操作: 删除

这两条是邮箱下一个附件时染红的，怎么解决呀？直接关了，还是排除？
偶不想每次下个附件都这么折磨

6.  NT AUTHORITY\SYSTEM \\?\C:\Windows\system32\wbem\WMIADAP.EXE C:\Windows\system32\PerfStringBackup.TMP User-defined Rules:C70 禁止在SYSTEM32根目录下新建任何文件 已阻止的操作: 创建
NT AUTHORITY\SYSTEM \\?\C:\Windows\system32\wbem\WMIADAP.EXE C:\Windows\system32\perfc009.dat User-defined Rules:C70 禁止在SYSTEM32根目录下新建任何文件 已阻止的操作: 创建

这两个呢？

这个叫 [url=file://\\?\C:\Windows\system32\wbem\WMIADAP.EXE]\\?\C:\Windows\system32\wbem\WMIADAP.EXE[/url] 的还老触犯 A19 保护系统的WMI测试程序文件夹，排除啦？


各位高手帮帮忙呀。。

l56287562

你好！你上面这些可以按照提示排除！

xiaojiong

噢谢谢

思亭

男儿有泪不轻弹
1、TM可用，不影响你需要的功能的话，可以无视它；当然也可以排除，但安全性自然会随之改变。
2、这个规则就这样。用不用，自己考虑。
3、system进程，请参考：http://www.kafan.cn/edu/Mcafee/200905136017.html
4、要排除的话，应该是SYSTEM
5、建议无视吧
6、WMIADAP.EXE是微软操作系统的部分。该进程AutoDiscovery/AutoPurge ( ADAP)进程传输性能库到WMI库。正常路径： C:\WINDOWS\system32\wbem和C:\WINDOWS\system32\dllcache，其中C为系统盘盘符。

Win7的路径是否和XP一致，不了解，规则都要根据自己的需求，自行决定增补、修改。以上是个人愚见，仅供参考。

[ 本帖最后由 思亭 于 2009-9-2 11:19 编辑 ]

xiaojiong

谢谢谢谢

lujunji1987

说实话，建议楼主还是自己琢磨琢磨，个人觉得这规则太严格，会影响使用。不知道WIN7是怎样的，反正XP下WINDOWS文件夹下有TEMP，不让在里面建文件？？引用“A1 禁止在WINDOWS目录中新建任何文件”，还有不允许在C:\WINDOWS\Prefetch建立文件？？ 百度一下会发现“Windows XP之所以自动创建Prefetch文件夹，是为了加快系统启动的进程。Windows XP将会自动记录下启动时运行的每一个程序，并根据这份资料来加快下一次启动的时间。”

我觉得咖啡作为一款企业级的防病毒软件在访问保护规则上还是尽量简洁直点，主要还是用了它的防病毒模块，毕竟不是HIPS，规则不方便、规则容易写不好，建议入口规则配合病毒库定是更新，当然良好的上网习惯也是需要的，呵呵。