mcafee触红解除实例分析

有时候mcafee的规则能防住病毒的恶意行为,却不断触红.我们为了方便安装运行程序,可能不想对注册表,temp,Application Data太多限制,就会造成这种情况

这个实例之对于新手,对使用mcafee多年的人来说太小菜不过了.

今天在对样本实机测试的时候发现
mcafee 通用最大保护:禁止将程序注册为自动运行 是可以阻止程序自动运行,但是却不断触红
日志:2010-9-10 10:40:56 已由访问保护规则禁止  WWW-4EC40CB1D04\Administrator C:\WINDOWS\Explorer.EXE  \REGISTRY\USER\S-1-5-21-776561741-492894223-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\{97F19FE6-430F-7A2C-3913-D699A6429174} 通用最大保护:禁止将程序注册为自动运行 已阻止的操作: 创建

这里可以看出程序已经写入注册表,所以要根据注册表信息找出根源来排除不断地触红,从而不妨碍其他病毒的日志分析.
找到这条注册表/HKEY_USERS/S-1-5-21-776561741-492894223-1417001333-500/Software/Microsoft/Windows/CurrentVersion/Run/   
里面有个注册表项{97F19FE6-430F-7A2C-3913-D699A6429174}后面的值是C:\Documents and Settings\Adm Data\xxx\luvey.exe  (因为病毒残余已经清理,无法截图,记不得程序上一级的文件夹名称,以xxx代替)

然后顺着这个路径删除luvey.exe,再删除该注册表项，重启电脑，查看触红的日志，之后就不会再无休止的触红了，达到了解除的效果
当然也可以规则，比如



也给刚使用企业版的新手们一个解决问题的思路供参考。

hansyu

企业版还是太复杂，懒得搞。
另外拿虚拟机装了下趋势2011，发现核心进程coreServiceShell.exe占用CPU不稳定，而且内存占用超过100M。。不知道是不是虚拟机的问题。。

回复 2楼 hansyu  的帖子


    不是,我的一般也在90M多,虽然内存占用多,但是不卡

hansyu

回复 3楼 sololp  的帖子
在样本区找了大约10个样本运行，没发现主防报过一个，不过倒是有一个样本试图下载威胁被WEB防护给拦截了。

   

回复 4楼 hansyu  的帖子

对了panda 2011比2010在引擎和tp上有改进吗?我装了下2011无法打开行为分析
   

hansyu

回复 5楼 sololp  的帖子
官方的宣传是TP做了改进，至于引擎应该也有改进吧，这个就不知道了。
2011能打开TP啊，在我这不管是实机还是虚拟机都能开TP。

   

465714676

企业版太复杂了

回复 6楼 hansyu  的帖子
我512m内存

   

hansyu

回复 8楼 sololp  的帖子
512符合最低的标准啊，你实际使用的内存够512M吗？
   

回复 9楼 hansyu  的帖子

够，2010可以