熟悉规则的大家来看看

ppoa

这是我的日志，我认为对于这种系统服务都可以添加进排除项，没什么安全问题！
说的不对的，请大家发言说说！
这样以后其他人就不用重复问了，仅当抛转引玉了！
望斑竹置顶！


2007-2-27        11:37:18        1092        NT AUTHORITY\SYSTEM        C:\WINDOWS\System32\svchost.exe        C:\Program Files\Microsoft SQL Server\MSSQL\binn\ums.dll        防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件


2007-2-27        11:21:33        1092        Y9DPCY4O3CKB4JR\Administrator        \??

\C:\WINDOWS\system32\winlogon.exe        C:\Documents and Settings\Administrator\ntuser.ini       

用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:06        1092        NT AUTHORITY\SYSTEM        C:\WINDOWS\system32

\services.exe        C:\WINDOWS\setupapi.log        用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:15        1092        NT AUTHORITY\SYSTEM        C:\WINDOWS\System32

\svchost.exe        C:\WINDOWS\system32\WBEM\Repository\FS\MAPPING.VER        用户定义的规则:C盘防

病毒保护         

         
2007-2-27        11:23:18        1092        NT AUTHORITY\SYSTEM        \??\C:\WINDOWS\system32

\winlogon.exe        C:\Documents and Settings\Administrator\Local Settings\desktop.ini        用户

定义的规则:C盘防病毒保护         

2007-2-27        11:23:19        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\userinit.exe        C:\WINDOWS\debug\UserMode\ChkAcc.log        用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:19        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\lsass.exe        C:\Documents and Settings\Administrator\Application

Data\Microsoft\Protect\CREDHIST        用户定义的规则:C盘防病毒保护
         
2007-2-27        11:23:19        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\rundll32.exe        C:\WINDOWS\setupapi.log        用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:22        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\ctfmon.exe        \REGISTRY\USER\S-1-5-21-3471048769-32881830-699875938-500

\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe        通用最大保护:禁止将程序注册

为自动运行         

2007-2-27        11:23:22        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\ctfmon.exe        C:\WINDOWS\debug\UserMode\ChkAcc.log        用户定义的规则:C盘防病毒保护

[ 本帖最后由 ppoa 于 2007-2-27 11:38 编辑 ]

ppoa

怎么这会大家都不在吗？

sxingbai

并不是系统程序的行为都可排除，要看它执行是什么文件
系统程序又是由是被谁调用的

呆子

svchost.exe这进程不好排除吧。要是病毒调用他怎么办？？？

ppoa

谢谢回答！
但就上面的日志来说，应该是没有什么问题吧！
大家都来说说！

wweir

认为没什么问题！

yumiren89

好规则可以置顶，排除因人而异
c盘防病毒保护  触动太多，过于笼统，不要也罢

dier

C盘防护?  具体规则是什么?
这个可能有点麻烦,似乎太大了

ppoa

c盘防病毒保护规则
具体只是禁止任何程序写入和删除C盘下的任何东西！
谢谢大家的关注！

jlennon

你把系统主要进程禁止了，你的系统还能做什么？？？

系统进程被排除与病毒调用系统进程完全是两回事，系统进程调用DLL，很正常啊，但是病毒木马要调用系统进程要HOOK进程，咖啡可没排除这样的行为，怎么会出事？？