軟體 - MCAFee（麥咖啡）進程解釋+設置指南

[psac]

MCAFee（麥咖啡）行程解釋+設定指南

首先介紹一下安裝後產生的行程！
如果不安裝8.1的防火牆就一共應該有7個行程
UpdaterUI.exe
shstat.exe
Tbmon.exe
Vstskmgr.exe
Mcshield.exe
Frameworkservice.exe
naPrdMgr.exe
　　　UpdaterUI.exe：自動昇級進（咖啡一個星期昇級一次。）
　　　shstat.exe：也就是你系統欄裡那個盾牌一樣的圖示，啟動項處於註冊表內.(裝完重新啟動系統後，圖示才會出現在系統工作管理欄中。不
過，即使沒有圖示，VirusScan Enterprise 仍在執行，且您的電腦仍受到保護。）
您可以通過檢查以下註冊表鍵進行驗證：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ShStatEXE="C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE"/STANDALONE
　　Tbmon.exe：錯誤報告程序
　　Vstskmgr.exe（Network Associates Task Manager）：這個東西屬於系統服務。
　　Mcshield.exe：咖啡的核心，系統服務！
　　Frameworkservice.exe（McAfee Framework 服務，McAfee 產品的共享元件框架）：咖啡的後台框架行程，屬於服務。平時關閉的話，經
過我測試是不影響普通使用的，但是會影響昇級，且這個行程和Vstskmgr.exe不一樣，他不能自動的去啟動服務，如果你調整成手動，那麼你非得自己動手去啟動這個服務，才能執行昇級程序。
　　naPrdMgr.exe：這個行程以前的版本就有，它是個Frameworkservice.exe在一起的，如果Frameworkservice.exe被停止，則它絕對不會在工作管理器裡出現。
下面就開啟你的咖啡，（右擊系統托盤咖啡的圖示，選virusscan控制台)




這裡就是咖啡的簡單的網路防火牆功能，可以設定讓麥咖啡來阻止相應的連接阜，比如阻止了25連接阜以後，就可以禁止某些木馬把你的密碼等信
息當郵件傳送出去，但是如果你用軟體發郵件也會被阻止，可以在排除行程中輸入你現在使用的郵件軟體的行程名字，比如foxmail.exe
比如有個木馬是blazer5，連接的是5000連接阜，在這裡設定一下可以遮閉掉5000連接阜

這裡可以設定你的共享資源，主要是下面，他已經有很多的原有的規則了，你可以禁止在windows的目錄中新增文件，防止木馬的破壞，要裝軟體
的時候臨時執行，這樣雖然比較麻煩，但是安全性確實很不錯。預設的設定狀態下，開啟一個壓縮檔案是無法直接雙按執行文件的，像上面那
個的設定，因為有些壓縮包中可能有惡意程式碼，在臨時資料夾中執行某些惡意程序

這裡是防止某些病毒利用緩衝區溢位漏洞來傳播


建議把關機時檢測軟碟關了，不然很煩的，下面的掃瞄時間是個很難改動的設定，時間太短的話可能會檢查不完，太長的話有大文件會很慢
，不過好在這裡是最長檢測時間，後面的選項，預設就好.


這是一個很不錯的設定，可以對高低風險的行程進行不同的設定，比如有些病毒很喜歡使用系統行程的名字，當然就是高風險的了，這樣設定
的話可以對低風險行程放寬設定以降低系統資源佔用掃瞄文件這裡，可以設定成只在讀取文件時檢測，這樣可以節省一些資源，當然也是放棄了安全性的。如果你在區域網路上，建議選檢測網路
驅動器。掃瞄檔案類型，按訪問掃瞄的話建議選項預設檔案類型，一般某些不常用的檔案類型，包括某些.bak文件，都是沒有太大危害的，至少現在他
不會執行，不是特別擔心的話選項預設檔案類型好了。下面是排除列表，就是不掃瞄的資料夾，比如麥咖啡把破解的serv-u當病毒，這裡可以把
serv-u的資料夾排除就可以了。建議把c碟的隔離資料夾增加進去，不然要去裡面移除病毒的時候他可能會彈出來煩人.


這裡要說的就是是否掃瞄壓縮檔案，我的建議是不掃瞄，因為掃瞄他們會花去大量的時間，即時裡面有病毒，也需要先解壓出來，就是直接運
行也要解壓到臨時資料夾，這個時候麥咖啡也會自動去檢測的。
這裡可以在系統空閒的時候自動掃瞄記憶體或者某些敏感資料夾。新增一個按需掃瞄工作，目標是記憶體或者敏感資料夾（比如c:\windows\），然後點計劃



這裡可以選項檢測時的cpu佔用率，太低的花話可能會讓檢測速度變慢。如果你設定了空閒時掃瞄記憶體的話，這裡還是改低一些吧。

[psac]

所以說有這些咖啡的工作行程：如何節省與優化,有時配何其它殺毒同樣功能交複下,想關掉可關掉的......................
UpdaterUI.exe
shstat.exe
Tbmon.exe
Vstskmgr.exe
Mcshield.exe
Frameworkservice.exe
naPrdMgr.exe
　　　UpdaterUI.exe：自動昇級進（咖啡一個星期昇級一次。）
　　　shstat.exe：也就是你系統欄裡那個盾牌一樣的圖示，啟動項處於註冊表內.(裝完重新啟動系統後，圖示才會出現在系統工作管理欄中。不
過，即使沒有圖示，VirusScan Enterprise 仍在執行，且您的電腦仍受到保護。）
您可以通過檢查以下註冊表鍵進行驗證：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ShStatEXE="C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE"/STANDALONE
　　Tbmon.exe：錯誤報告程序
　　Vstskmgr.exe（Network Associates Task Manager）：這個東西屬於系統服務。
　　Mcshield.exe：咖啡的核心，系統服務！
　　Frameworkservice.exe（McAfee Framework 服務，McAfee 產品的共享元件框架）：咖啡的後台框架工作，屬於服務。平時關閉的話，經
過測試是不影響普通使用的，但是會影響昇級，且這個工作和Vstskmgr.exe不一樣，他不能自動的去啟動服務，如果你調整成手動，那麼你非得自己動手去啟動這個服務，才能執行昇級程序。
　　naPrdMgr.exe：這個工作以前的版本就有，它是個Frameworkservice.exe在一起的，如果Frameworkservice.exe被停止，則它絕對不會在工作管理器裡出現。
一般要的話!可以停用Tbmon.exe（系統啟動項目裡，不啟動好像也沒有帶來任何不便。），Vstskmgr.exe（系統服務，設定為手動，需要的時候會自己啟動），此外Frameworkservice.exe可以考慮，上面的帖子裡面說了的。
但如果自己有些菜鳥的話，還是不要動的好。
一般留兩個：
1.shstat.exe：工作管理欄圖示，控制中心
2.Mcshield.exe：監控工作
既然喝了咖啡就不在乎那麼點記憶體了

[kyoshih]

試試看，感謝分享！..

[psac]

使用咖啡殺毒軟體的一些心得——用咖啡來打造安全防禦體系

個人用咖啡幾個月了，下面簡單說說使用咖啡的一些技巧。


許多人對咖啡不瞭解。

先對咖啡略為介紹。
咖啡是國際上三大殺毒軟體之一，也是下載使用率最高的殺毒軟體。它是迄今為止監控最靈敏的殺毒軟體，也是監控最全面的殺毒軟體。


下面是咖啡官方對咖啡殺毒軟體的簡介：


McAfee防毒軟體，除了操作界面更新外，也將該公司的WebScanX功能合在一起，增加了許多新功能! 除了幫你偵測和清除病毒，它還有VShield自動監視系統，會常駐在System Tray，當你從磁牒、網路上、E-mail夾文件中開啟文件時便會自動偵測文件的安全性，若文件內含病毒，便會立即警告，並作適當的處理，而且支持滑鼠右鍵的快速選單功能，並可使用密碼將個人的設定鎖住讓別人無法亂改你的設定。

這是咖啡殺毒軟體下載位址：


新浪網（不含咖啡修正檔8.0i中文版）: http://down1.tech.sina.com.cn/downlo...-16/8032.shtml
（整合咖啡最新修正檔10的8.0i中文版）: http://www.crsky.com/soft/421.html

這裡有圖解咖啡使用的。網址如下：

http://tech.pcicp.com/safe/firewall/...3027d8183.html

安裝咖啡注意事項：


1、在安裝時，時間選項裡，請選項「永久」，不要選項預訂一年之類。


2、第一次昇級咖啡，會很慢，大約2~3小時才能完成。請耐心等待。

以後病毒庫昇級會很快，一般1~3分鍾搞定。目前咖啡1~3天昇級一次。個別時，一天昇級3次以上。

咖啡安裝完成了，先對咖啡進行一些設定。



1、存取保護。雙按存取保護，開啟存取保護。出現連接阜阻擋，文件保護，報告，三個選項。
（1）、更改連接阜設定。預設連接阜阻擋全部勾選。



增加阻擋連接阜新規則。

連接阜總共有65535個。好了，把1~65535連接阜全部進行設定。由於咖啡對連接阜的阻擋模式分為兩種：阻止入站，阻止出站，這樣，對1~65535連接阜進行設定，需要分為兩組。

一組阻止通過1~65535連接阜入站，一組阻止通過1~65535連接阜出站。為了方便設定和檢視連接阜阻擋而影響的工作，可以這樣進行設定。1~1000，每隔100個連接阜設定一個規則，並進行規則標號。


1000~10000，每隔1000個連接阜設定一個規則，也進行規則標號。10000~65535設定成一個規則，同時進行標號。


這樣設定好了，可以連網進行測試，怎麼樣，不能上網咖？當然別人也進不來了。好了，開啟咖啡日誌，檢視那些工作被阻止，阻止的具體規則是哪些。


比如，咖啡日誌標明，svchost.exe工作被新規則1阻止，好了，選新規則1，點擊「編輯」，彈出對話視窗，在已排除工作裡，增加svchost.exe，好了。


依次類推，將影響的工作增加進去。設定好了之後，可以上網了。

這樣進行連接阜設定，可以阻擋99%的連接阜。那些通過連接阜出入的木馬幾乎沒戲了。


（2）、更改存取保護設定。勾選所有預設設定。一一開啟編輯，檢視每個規則設定情況，凡是能夠選項「阻止並報告訪問嘗試」，一律選項。



——預設規則裡，許多都是警告模式，將它們更改（註：如果更改預設設定，請再三思量，否則出現意外情況，我不負責）。

將遠端對exe、ocx等文件保護規則合併。但凡遠端操作，在新增文件、寫入文件、執行文件、讀取文件、移除文件前全部打勾。


（3）、更改咖啡日誌路徑。放在其他盤裡。


2、有害程式政策。預設規則裡，都沒有勾選。將他們全部勾選。

3、給咖啡殺毒軟體設定密碼。咖啡控制台——工具——用戶界面選項——密碼選項。


選項使用密碼保護下面所有項目。設定8位以上超強密碼。在用咖啡設定一系列規則之後，可以鎖定咖啡殺毒軟體界面。這樣，別人不能再更改您對咖啡的設定了。


4、共享資源的保護。開啟咖啡存取保護——文件保護——共享資源，將它設定成阻止並報告訪問嘗試。這樣，共享資源就不能被別人共享了。


5、按訪問掃瞄程序設定。一般——掃瞄——將啟始區，關機時掃瞄軟碟去掉。

其他設定，自己看著辦吧。


上面是咖啡本身攜帶的一些規則。為了安全，可以進行更加嚴格的設定。


1、用咖啡殺毒軟體來防止3721、網路豬、中文郵、百度搜霸、一搜等流氓軟體。

目前，3721、網路豬、中文郵、百度搜霸、一搜經常偷偷溜進您的電腦，而且難以卸載乾淨。用咖啡殺毒軟體可以阻止它們進入。


開啟咖啡殺毒軟體存取保護，新增如下幾個規則：


1、禁止在本機新增、寫入、執行、讀取3721任何內容；
2、禁止在本機新增、寫入、執行、讀取網路豬任何內容；
3、禁止在本機新增、寫入、執行、讀取中文郵任何內容；
4、禁止在本機新增、寫入、執行、讀取百度搜霸任何內容；
5、禁止在本機新增、寫入、執行、讀取一搜任何內容。


好了，3721、網路豬、中文郵、百度搜霸、一搜等流氓軟體沒有理由呆在您的電腦裡了。
附上部分設定方法。比如，防止3721的方法：


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止在本機新增、寫入、執行、讀取3721任何內容
阻擋對像：*
要阻擋的文件或檔案名：**\3721*\**
要阻止的文件操作：在新增文件、寫入文件、執行文件、讀取文件前全部打勾
回應方式：阻止並報告訪問嘗試
偶安裝不少軟體都元件服務3721，當咖啡開啟此規則時，3721只見到一個鬼影子——空的3721資料夾。

[psac]

2、用咖啡殺毒軟體來防止未知木馬病毒

我查了下相關資料，就目前來說，木馬、病毒基本都是三種檔案類型的，exe、dll、vxd檔案類型。好了，只要我們新增如下三種保護機制：


1、禁止在本機任何地方新增、寫入任何exe文件

2、禁止在本機任何地方新增、寫入任何dll文件


3、禁止在本機任何地方新增、寫入任何vxd文件

這樣，現在出現的各種木馬病毒是進不來的。


當然，這條規則非常霸道，就是您更新咖啡病毒庫，對其他軟體進行昇級，下載exe、dll、vxd檔案類型文件，以及移動任何exe、dll、vxd檔案類型文件也不可能了。


所以，當您進行類似操作時，暫時取消此規則，等操作完成之後，再繼續使用。

部分規則新增如下所顯示：
咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止在本機任何地方新增、寫入任何exe文件
阻擋對像：*
要阻擋的文件或檔案名：**\*.exe
要阻止的文件操作：在新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試
其他的類似規則，參照設定即可。

3、阻擋肆意移除文件的行為

現在出現許多移除mp3格式的病毒。好了，為了杜絕此類事件發生，可以這樣做。開啟咖啡存取保護，新增如下規則：禁止移除本機任何mp3文件。好了，那些病毒想移除mp3是不可能的了。


即便是您自己也刪不掉mp3了！除非解禁！為了杜絕類似移除某些文件的病毒、木馬，好了。

我們再新增一條規則：禁止移除本機任何內容。好了，那些肆意移除各種文件的病毒、木馬，根本起不了什麼作用。

當然，如果這條規則起作用，您自己也不可能移除任何東西了。當您自己需要移除某些內容，暫時取消這條規則，等移除操作完成了，再開啟就是了。


這條規則保護自己電腦不被別人移除任何東西非常管用哦。而且別人莫名其妙的，他根本不會想到是咖啡在阻止移除操作哦！


規則新增如下所顯示：


咖啡控制台------存取保護------資料夾保護-----增加

規則名稱：禁止移除本機任何mp3文件
阻擋對像：*
要阻擋的文件或檔案名：**\*.mp3
要阻止的文件操作：在移除文件前打勾
回應方式：阻止並報告訪問嘗試

咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止移除本機任何內容
阻擋對像：*
要阻擋的文件或檔案名：**\*\**
要阻止的文件操作：在移除文件前打勾
回應方式：阻止並報告訪問嘗試

個人也可以使用類似方法保護任何一個文件不被移除。比如rm文件等。自己照貓畫虎試試。

4、用咖啡殺毒軟體保護註冊表。

目前許多木馬、病毒都喜歡在註冊表駐停留。


好了。我們用咖啡新增這樣一條規則。禁止對本機註冊表進行新增、寫入活動。好了。

除非您同意，否則，註冊表是不會無緣無故的被修改的。包括安裝軟體在內，如果咖啡依然開啟這條規則，哈哈，軟體雖然安裝完了，註冊表裡卻沒有寫入什麼東西。雖然不少軟體需要寫入註冊表裡才成，可註冊表裡沒有被寫入也可以用的哦——不信的可以實驗下！當然，不寫入註冊表，軟體功能上會打折扣，尤其是殺毒軟體、防火牆之類。我曾做過類似實驗。


不讓反間諜軟體寫入註冊表裡，結果它只能查到間諜，卻不能清除間諜（查到間諜數量與反間諜軟體安裝時是否寫入註冊表無關）。


對比一下金山、瑞星的註冊表監視功能，金山、瑞星簡直差遠了。他們對註冊表的監視不但煩人，而且意義不是很大。比如，安裝一個軟體，點擊阻止寫入註冊表，那您就一直點下去吧。十年也點不完。有什麼意義？

規則新增如下所顯示：


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止對本機註冊表進行新增、寫入活動
阻擋對像：*
要阻擋的文件或檔案名：**\*.reg
要阻止的文件操作：在新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試


5、用咖啡來保護主頁。

通過咖啡殺毒軟體來防護瀏覽器主頁被修改完全可以。這樣不用在安裝其他軟體進行防護了。


其他瀏覽器防護軟體不但佔用一定資源，而且效果不一定好。而咖啡防護效果相當理想。具體方法如下：


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止在本機新增/修改hosts文件
阻擋對像：IEXPLORE.EXE，或者*
要阻擋的文件或檔案名：**\etc*\**
要阻止的文件操作：在新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試
好了。惡意網站不能在更改您的主頁了。


6、阻止惡意指令碼入侵。

開啟咖啡殺毒軟體存取保護中文件保護規則，新增這樣一些規則：


1、禁止在本機任何地方讀取、執行、新增、寫入任何js文件
2、禁止在本機任何地方讀取、執行、新增、寫入任何vbs文件
3、禁止在本機任何地方讀取、執行、新增、寫入任何htm文件
4、禁止在本機任何地方讀取、執行、新增、寫入任何html文件


好了，惡意網站通過指令碼而入侵本地機的惡意程式碼、木馬基本滾蛋了。

部分規則新增如下所顯示：


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止在本機任何地方讀取、執行、新增、寫入任何js文件
阻擋對像：*
要阻擋的文件或檔案名：**\*.js
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試
其他的類似規則，參照設定即可。

當然，這樣有些嚴厲，可能妨礙上網，可以將這些規則修改為阻止新增、寫入即可。

7、用咖啡來防止插件入侵。

現在上網越來越不安全。惡意插件越來越多了。

好了。我們用咖啡來對付他們。由於那些插件是綁架到Internet Explorer文件裡的，好了，我們用咖啡把Internet Explorer文件保護起來。


規則新增如下所顯示：


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止在Internet Explorer資料夾中進行新增寫入活動
阻擋對像：*
要阻擋的文件或檔案名：**\Internet Explorer*\**
要阻止的文件操作：在新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試
好了，那些插件不能進來了。


8、防止黑客破壞活動。
目前，黑客越來越多，也越來越喜歡入侵個人主機。黑客入侵個人主機不外乎兩個原因：


1、煉手。學習怎麼入侵別人。


2、種植後門。控制他人。


好了。

廢話少說。黑客入侵，很難阻擋。那對於入侵的黑客破壞行為如何進行阻擋呢？

看咖啡的手段。我們用咖啡建立這樣的規則：禁止遠端行為對本機任何文件/資料夾進行任何操作。這樣，黑客即便入侵了您的主機，他所能做的還有什麼呢？


具體規則設定如下：

咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止遠端行為對本機任何文件/資料夾進行任何操作


阻擋對像：System:Remote
要阻擋的文件或檔案名：**\*\**
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試

如果還不放心，可以將系統碟裡每個根目錄資料夾都新增一個規則。禁止黑客對他們進行任何操作。具體就不一一列舉裡。


這樣設定，除非黑客能破壞咖啡，或者黑客知道咖啡密碼，更改咖啡設定，才能進行進一步破壞活動。


如果黑客想破壞咖啡，決非易事。用過咖啡的人知道，咖啡不能被結束工作，只會持續工作。

當然黑客可以通過卸載咖啡來破壞，問題是，黑客進行遠程域載，必定使用exe之類文件，而咖啡是不允許黑客遠端對exe之類文件進行任何操作的。



偶使用咖啡不久，曾被一個黑客入侵，那時還不懂得設定如此嚴厲的規則，只是開啟咖啡預設的對exe、dll文件保護規則，那個黑客都沒有干成什麼。


如果能建立這樣嚴厲的規則，黑客所能做的事情將會非常非常少哦。


9、防止程序執行。

咖啡具有強大的阻止功能，幾乎可以阻止任何一個程序執行。比如，tftp.exe這個程序，一般用戶是用不上的。可以用咖啡來阻止他執行。


註：咖啡預設規則裡已經設定，就不列舉了。這個功能非常有用。如果某天，不想執行某個程序，可以參照這個規則，將那個程序終止。或者，某天中了木馬、病毒，又清除不掉，怎麼辦呢？這時咖啡這個功能就突顯出來了。將那個木馬、病毒程序用咖啡阻止起來即可。這樣，那個木馬不能執行也等於死悄悄了。


10、建立最嚴厲的規則。

在到黑客網站、破解基地、黃色網站去，往往難免中木馬。

雖然我不去那些網站，但為了那些常去黑客網站、破解基地、黃色網站的人的安全，特意為其新增如下規則。禁止在本機進行任何新增、寫入、移除活動。這樣，中招的幾率將會是0。


具體規則設定如下：


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止在本機進行任何新增、寫入、移除活動
阻擋對像：*
要阻擋的文件或檔案名：**\*\**
要阻止的文件操作：在新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試
由於這條規則非常嚴厲，建議只在黑客網站、破解基地、黃色網站瀏覽時開啟。這條規則會產生大量日誌，一分鍾往往就有幾百條詳細日誌，非常佔用空間。所以，移動咖啡日誌到其他盤非常重要。當然，這條規則，也適合那些對安全性非常高的人使用。

[psac]

11、防止Cookies洩密個人隱私

某些網站或\和黑客，會利用Cookies竊取用戶訊息。好了。為了盡量杜絕此類事件，可以這樣做。用咖啡建立Cookies保護機制。

具體規則設定如下：
咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止對Cookies文件進行某些操作
阻擋對像：*
要阻擋的文件或檔案名：**\Cookies*\**
要阻止的文件操作：在讀取文件、新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試

好了。通過Cookies洩密的個人隱私得到咖啡的保護了。

當然，這樣設定在某些網站不合適宜。需要暫時取消這條規則。至於IE瀏覽器對Cookies的保護機制，不太好操作。用禁止，好多網站不能去。不禁止，又有危險。與咖啡相比，顯然咖啡更加人性化。希望大家喜歡。

12、使用咖啡來防護個人隱私文件。

這是利用咖啡具有強大的文件保護效能來實現的。


許多人喜歡使用某些加密檔案對個人文件進行加密，起到防護作用。如果您使用咖啡，那完全可以利用咖啡來實現這個功能。而且防護效果非常理想。


他人如果對咖啡不是非常熟悉，根本不會想到是一個殺毒軟體來保護的。而且，咖啡防護文件，在他人讀取、開啟文件時，根本不提密碼，也不提咖啡，只是提示：請驗證磁牒沒有寫保護之類。對於一般人來說，還以為文件損毀了而打不開哈。哈哈。是否有些意思？



下面簡單介紹一下，如何實現這個功能。首先，請將您所有需要保護的個人文件都放在某個根目錄裡，比如，起名為，流星雨。然後將這個文件保護起來即可。

具體規則設定如下：
咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止對流星雨文件/資料夾進行任何操作
阻擋對像：*
要阻擋的文件或檔案名：**\流星雨*\**
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試

如果，您起其他檔案名，參照設定即可。
好了，這樣，在咖啡防護下，任何人都不能開啟、移除這個文件了。只有當您暫時取消咖啡這條規則，才可以開啟。


另外，別忘記需要先給咖啡設定8位數以上超強密碼哦。在防護期間，將咖啡界面鎖起來即可。


當然，個人來說，不會有什麼絕對機密文件。無非是不想讓他人看一些東東而已。所以，咖啡這個功能還是不錯的哦。希望大家喜歡。


13、使用咖啡來安全的保護共享資源

這是完全可以的。
許多個人喜歡將自己的某些資源放在網路上與人共享，但是在共享同時，也必然存在不安全因素。為了最大限度保護個人安全，咖啡可以擔當此重任。


咖啡具有強大的保護規則，完全可以做到這點。下面簡單介紹一下，如何實現安全共享資源。


現在假定硬碟是四個分區：C、D、E、F，系統碟是C碟。


您想共享您的E碟資源。那麼，您可以這樣做。使用咖啡殺毒軟體建立這樣幾條規則：禁止遠端行為對C碟進行任何操作；禁止遠端行為對D碟進行任何操作；禁止遠端行為在E碟進行新增/寫入/移除操作；禁止遠端行為對F盤進行任何操作。具體規則設定如下：



咖啡控制台------存取保護------資料夾保護-----增加

規則名稱：禁止遠端行為對C碟進行任何操作
阻擋對像：System:Remote
要阻擋的文件或檔案名：C:\*\**
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止遠端行為對D碟進行任何操作
阻擋對像：System:Remote
要阻擋的文件或檔案名：D:\*\**
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止遠端行為在E碟進行新增/寫入/移除操作
禁止遠端行為對E碟進行任何操作
阻擋對像：System:Remote
要阻擋的文件或檔案名：E:\*\**
要阻止的文件操作：在新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止遠端行為對F盤進行任何操作
阻擋對像：System:Remote
要阻擋的文件或檔案名：F:\*\**
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾
回應方式：阻止並報告訪問嘗試


將上面規則進行設定之後，還需要用咖啡來保持現有共享資源。再開啟咖啡控制台------存取保護------資料夾保護------共享資源，勾選保持共享資源的現有訪問權限。再對咖啡設定15位數以上超強密碼，並鎖定咖啡界面。好了。


利用咖啡來保護您的安全性設定好了。如果您想共享USB碟，也可以參照設定。
這些規則設定，也適合不少網站。不過需要稍微修改一下，才能更好的發揮作用。


14、限制電腦系統管理工具中重要系統管理工具的修改操作
電腦系統管理工具中有許多重要工具，比如，本機安全原則、分佈式文件系統、服務、電腦管理、群組原則等等。這些操作在修改完成之後，一般不會輕易更改。為防止他人更改這些設定，可以將他們禁用。禁用的方法很多。



這裡主要談談，通過咖啡殺毒軟體來如何實現這個功能。由於本機安全原則、分佈式文件系統、服務、電腦管理、路由和遠端訪問、事件檢視器 、效能、遠端桌面、證書頒發機構、終端服務組態、元件服務、群組原則等等都通過使用mmc.exe來進行操作的，所以可以利用這個共同點，來實現對他們的禁用。規則設定如下：

咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：限制電腦系統管理工具中重要系統管理工具的修改操作
阻擋對像：*
要阻擋的文件或檔案名：**\mmc.exe
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試

通過這個設定，可以將Microsoft .NET Framework組態、本機安全原則、分佈式文件系統、服務、電腦管理、路由和遠端訪問、事件檢視器 、效能、遠端桌面、證書頒發機構、終端服務組態、元件服務、群組原則、裝置管理員、控制台等幾十個重要工具，保護起來，拒絕他人進行修改操作。



當咖啡這條規則啟用時，對這些系統管理工具進行修改操作時，會被提示沒有權限進行操作（即便您使用Administrators登入，也一樣沒有權限進行修改）。


若當您進行類似操作時，請開啟咖啡，暫時取消這條規則即可。當然，給咖啡設定密碼是必不可少的哦。


15、封鎖QQ等聊天軟體
封鎖QQ是讓網路管理員、公司老闆（既要自己可以使用，又要不讓他人使用QQ）頭疼的工作，以往我們還可以通過封鎖UDP的4000等連接阜來實現，不過自從TENCENT開闢了QQ的TCP/IP傳輸協定登入功能，封殺QQ變得更加困難。

只要能上網，能夠使用瀏覽器瀏覽網頁就能上QQ。


QQ使網路管理、公司老闆變得更加煩瑣。如果您使用咖啡企業版，那您可以用咖啡來徹底封殺QQ了。方法很簡單，用咖啡來阻止QQ用行即可。具體規則設定如下：

咖啡控制台------存取保護------資料夾保護-----增加


規則名稱：禁止QQ執行
阻擋對像：*
要阻擋的文件或檔案名：**\QQ.exe
要阻止的文件操作：在讀取文件、執行文件、新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試

上面規則設定好了，然後，再給咖啡設定10位以上超強密碼，並鎖定咖啡，好了，QQ在您的主機上不能被執行了。


當他人想要執行QQ時，系統將提示：您沒有權限執行QQ！

除非咖啡解禁！如果您不想他人在您的主機上安裝QQ，這個規則同樣可以使用。此外，如果您想封殺其他聊天軟體，參照封殺QQ的設定即可。這個規則，希望大家喜歡。個人家庭，尤其家長也適合的。

Q:
有關MCAFEE大眾化規則的一個漏洞隨想.

其實按網上的那些大眾設定MCAFEE還有個漏洞的
原先侵入一台主機，它用MCAFEE，開始在WEBSHELL下怎麼都不行。
因為它有MCAFEE做防護。CMD也不能用，被它的MCAFEE給保護住了。(在遠端匯出註冊表的情況下知道的,具體的程序我就不說了.在DBO-SA下用MCAFEE也能使其作用失效)
但能改註冊表的，自己寫了個BAT和REG上去，重新啟動後銷掉MCAFEE的保護
因為MCAFEE是把防護全儲存在註冊表裡的。所以在這裡我想提醒那些用MCAFEE的網管：
MCAFEE是個好軟體，當是你用不好也沒用。我後來在自己的電腦上根據自己的經驗又加了一條保護註冊表不被修改的措施。或者你乾脆再裝個TINY吧。雙劍合一


A:
我的規則是我自己寫的.可能和有些兄弟的不一樣.
但是一樣防護了就好.

[psac]

咖啡企業版發生不能昇級的解決方法

顯示圖片：




常會看到有人問咖啡企業版不能昇級，如圖所顯示的

解決方案如下

把下面的輸入記事本，儲存為 .reg文件，然後臨時關閉McAfee Framework服務，將該檔案匯入註冊表後馬上重啟，即可恢復。


Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Interface\{0000000c-0000-0000-C000-000000000046}]
@="IStream"

[HKEY_CLASSES_ROOT\Interface\{0000000c-0000-0000-C000-000000000046}\NumMethods]
@="14"

[HKEY_CLASSES_ROOT\Interface\{0000000c-0000-0000-C000-000000000046}\ProxyStubClsid32]
@="{00000320-0000-0000-C000-000000000046}"

注意，這個是針對 ffffffdf@3 錯誤的

除了上述的錯誤，下面是出現錯誤程式碼對應的註冊表鍵值

80040154@1
[HKEY_CLASSES_ROOT\CLSID\{50CCECAC-7286-4CA0-9AD0-E309A2318482}]

80004002@2
[HKEY_CLASSES_ROOT\Interface\{243D841D-ABB9-4872-867A-3ED0EC91F19C}]

8002801d@2
[HKEY_CLASSES_ROOT\TypeLib\{745BA2BA-9B0E-459E-8A9C-A47C6A0131F1}]

80040155@2
[HKEY_CLASSES_ROOT\Interface\{00020400-0000-0000-C000-000000000046}]

80004002@2
[HKEY_CLASSES_ROOT\CLSID\{00020420-0000-0000-C000-000000000046}]

8002801d@2
[HKEY_CLASSES_ROOT\TypeLib\{745BA2BA-9B0E-459E-8A9C-A47C6A0131F1}]

80040155@3
[HKEY_CLASSES_ROOT\Interface\{D831533D-0324-4EA4-B3FD-073AFEE85181}]

ffffffdf@3
[HKEY_CLASSES_ROOT\Interface\{0000000c-0000-0000-C000-000000000046}]

8002801d@3
[HKEY_CLASSES_ROOT\TypeLib\{7576F677-3945-4DA2-B9F0-37850028A7E7}]

8002801d@2
[HKEY_CLASSES_ROOT\TypeLib\{745BA2BA-9B0E-459E-8A9C-A47C6A0131F1}]

80004002@2
[HKEY_CLASSES_ROOT\Interface\{243D841D-ABB9-4872-867A-3ED0EC91F19C}]

解決方案：找一個可以昇級的電腦，把對應的註冊表鍵值匯出後再在故障電腦上匯入，注意先臨時停止McAfee Framework服務

[psac]

補充:
mcafee5000beta5使用的一點感受

１、mcafee5000引擎測試版５已經支持在線昇級，不用手動下載病毒特徵庫文件，
２、由於是個人用戶，環境簡單，目前沒有發現任何異常和不穩定的現象
３、新的引擎加快了掃瞄速度，記憶體佔用量降低，感覺更加流暢
４、新引擎對間諜廣告軟體的檢測能力提高，可檢測網路豬，３７２１的部分文件
例如：Temporary Internet Files\Content.IE5\KXERWPQ7\SearchM[1].dll.rarSEARCHM[1].DLL.RAR Adware-PigSearch (Adware)
５、從來沒有機會體會過咖啡對活體病毒的殺毒能力，今天領教了一下發現它的按訪問掃瞄可以在windows環境下直接移除３７２１的一個難纏文件，使人刮目相看！
例如
11:00:16 已移除 ............... IErepairer.exe C:\Program Files\3721\3721\assist\Asbar.dll Adware-CoolBar (Adware)
當然這畢竟是測試版，你如追求穩定慎用

可以使用諸如這樣的指令c:/beta5.exe -f安裝,不過我是在安全模式直接安裝的,
以下是官方的英文說明
VirusScan Online 8.0 & 9.0 – Engine Upgrade Instructions

Please read these instructions fully before upgrading your anti-virus engine to the 5000 Beta release.

If you're running on a Windows 9x operating system, all the steps below are relevant to updating your product.

If you're running on a Windows NT architecture operating system (e.g. NT, 2000, XP and so on) - all the steps below are relevant to updating your product, except step 8), step 9) and step 13).

1) Download the Engine Only SuperDAT file from the Beta website [http://www.mcafeesecurity.com/us/dow...etaUpdate.htm] and save the file to a new folder (for example "c:\sdat").

2) Start an MSDOS prompt by clicking on the Windows "start" key. Select "Run", type "command" (Windows 9x users) or "cmd" (Windows NT, 2000, XP users) and click "ok".

3) Once the MSDOS prompt has loaded on your screen ensure the working directory is the one you've have created in step 1). To ensure this is the case, type the following commands:

3a) "c:" and hit "enter".
3b) "cd \sdat" and hit "enter". (Where sdat is the name of the folder you created in step 1).

4) Run the command "dir" and hit enter. You should be able to see a single EXE file called "betaeng5000.exe".

5) Run the command "betaeng5000.exe /e" to extract all of the files to the c:\sdat folder.

6) Perform step 4) again and you should see many new files appearing.

7) Disable VirusScan Online by "right-clicking" on the red "M" in the systray in the right-hand bottom corner of your screen, click on "VirusScan" and then click on "Disable".

This should turn the red "M" black.

8) Double click on "My Computer", open the system drive (typically c:\) and browse to the "c:\windows\system" folder (or wherever your Windows install resides).

9) Locate the file "MCSCAN32.VXD" and rename it to "MCSCAN32.old".

10) Double click on "My Computer" again (so you have two explorer windows open) and browse to the "c:\program files\McAfee.com\VSO" folder.

11) Locate the file "MCSCAN32.DLL" and rename it to "MCSCAN32.old".

12) Double click on "My Computer" again (so you have three explorer windows open) and browse to the "c:\sdat" folder.

13) Locate "MCSCAN32.VXD" from "c:\sdat" and COPY it and PASTE it to the explorer window that is open at the "c:\windows\system" folder.

14) Locate "MCSCAN32.DLL" from "c:\sdat" and COPY it and PASTE it to the explorer window that is open at the "c:\program files\McAfee.com\VSO"
folder.

15) Enable VirusScan Online by "right-clicking" on the black "M" in the systray, select "VirusScan" and click "Enable".

The black "M" should turn to red again.

16) Check the Engine version running by "right-clicking" the red "M" in the systray, select "VirusScan" and click "About".

The Engine version should be 5.0.00.

Note: The reason for renaming the other files to *.old is to keep a backup of them so you can revert to those files in the event of a problem with the new Engine.






McAfee 企業版8.0i 中的 "i" 是什麼意思？


McAfee VirusScan Enterprise 8.0i 是第一個整合了入侵防護和防火牆技術的防病毒軟體，能夠為電腦和服務器提供主動性防護。該解決方案即使在沒有簽名更新的情況下，也能阻擋攻擊。另外，該解決方案還擴大了對當今威脅的防護，包括緩衝區溢位、PUPs和混合威脅攻擊。
所以說v:8.0 I的I,應該是IPS的意思，i代表的是第一款擁有Intrusion Prevention System入侵防禦系統的反病毒軟體。摘錄自8.0i的Readme.txt


產品版本號增加"i"表示 McAfee VirusScan Enterprise 是全球第一款提供主動式入侵防護系統 (IPS) 保護能力的防病毒產品。這些 IPS 功能是由 McAfee Entercept 的"緩衝區溢位保護"功能提供的，McAfee Entercept 是我們的主機入侵防護安全產品。

關於常有帖子討論[有關MCAFEE大眾化規則的一個漏洞隨想]的疑惑........

其中[寫入文件]保護， system\ system32\是沒有實際效果的，為什麼？

總認為那是因為咖啡無法監控註冊表,對軟體的大部分操作都可以通過修改註冊表進行,而咖啡的很多設定在註冊表裡都有對應值,想想吧,咖啡的規則可以做成註冊文件匯入註冊表的...所有只要對註冊表稍加操作就能結束掉咖啡,應該不難的吧!



給你回應...首先，你要認清這是一個企業版的殺毒軟體，本身就不是針對個人用戶使用的。狀態個人去監事現象

企業裡終端用戶一般是不會擁有Administrator的權限的，
那也就談不上修改註冊表了。

再其次，即使你修改了註冊表來達到了修改VirusScan的設定，但是由於ePO Agent整合監視中心m會定時和ePO Server進行一定的通訊，並且服從Server上設定的原則。
所以你的修改又會被修正回來不是嘛。

其次，如果能修改註冊表，都能輕易掛掉任何一個安全殺毒軟體。只要能重啟...開機!

因為，目前來說任何一個殺毒軟體對註冊表的監視都是不全面的。

殺毒軟體為什麼於系統權限與核心進程,開機讓人停不掉...也不被毒殺掉就是如此,只表面停止主動的監視
工作進程還在.....

參考頁:
McAfee終極最佳化方法

http://www.slime2.com.tw/forums/show...ghlight=mcafee


MCAFee行程工作解釋
http://www.slime2.com.tw/forums/show...ghlight=mcafee

[psac]

Q:
mcafee的自訂設定如何匯出?

自訂的設定如何匯出在下次裝機時苴接匯入使用？

A:
有4個註冊表項,開啟就可以看到途徑了.順著路徑匯出.儲存.

大概位置,僅供參考,以自己的為準.

[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking]

[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\NVP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\Configuration]

[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\VirusScan Enterprise\CurrentVersion\Tasks\{818C7543-358A-4C84-899A-14334EMS4BGS}]



Q:
McAfee個人版用戶不要安裝5000引擎

我安裝以後好出現以下問題：
McShield.Exe 中出現異常錯誤！
異常錯誤詳細資料為:
Build VSCORE.11.0.0.151 / 5000.670
Crash address 0x1220bf5a pid=045c
Code 0xc0000005 Flags 0x00000000
2 Parameters : 0x00000000 0x00000003
Object being scanned = \Device\HarddiskVolume1\WINDOWS\WindowsUpdate.log
by wuauclt.exe
27001(16)(0)
10104(16)(1)
10002(16)(0)
10001(16)(0)
27000(16)(9)
27001(16)(0)
10010(16)(2386)
24000(16)(10)


造成系統不間斷重新啟動，有時候瀏覽網頁時螢幕無顯示示示示重新啟動，沒用5000引擎的時候我沒出現過這樣的問題
建議個人版用戶不要試用



A:其實4400的引擎就不錯了，和5000的沒有多大的區別
我用4400引擎基本上沒出過什麼錯

這個問題，在一個星期前，就有人專門問及McAfee個人版用戶安裝5000引擎的方法。當時，我根據我知道的狀況，建議他不要安裝。原因是：4400的引擎已經趨於成熟，沒有必要再安裝5000引擎。發帖主將自己的該經驗與教訓公佈於眾，是對後來者的一個警示。
5000引擎尚未正式公佈，個人版本使用有一定風險，4400引擎一定注意製作製作製作制作備份
巴官方提供的卸載McAfee工具


Q:
想換裝卡巴..如何情清除賣卡菲McAfee8的 程式

A:
mcafee8.0i 卸載後還有一些殘留在電腦中，這個是卡巴官方提供的卸載McAfee8.0i工具，我想這個對大家一定有說明 。

點這裡下載

ftp://ftp.kaspersky.com/utils/avrem/script.zip







Q:
McAfee8.0i在如何指定昇級服務器位址？

公司使用McAfee 8.0i英文版，我嫌McAfee佔用資源太多，打資料夾時一卡一卡，就在msconfig設定中禁用了它，而安裝了其它殺毒軟體。後被IT部的人卸載了其它的殺毒軟體，並在註冊表中移除了一些自啟動項，後來執行McAfee 更新時出現ffff95b@2錯誤，卸載後移除了N多註冊表項才重裝成功。但現在點更新時不是指向區域網路中的更新服務器位址而無法昇級。請問要如何設定更新服務器位址為區域網路中指定位址？？
如果要從區域網路中其它電腦中拷貝文件更改為相同設定的話，應該拷哪些文件？？？
急求解決方法！！！
五樓的方法可行，只是我是未得公司IT部許可自行卸載後安裝的，所以只有從區域網路中其它電腦中拷貝相同組態文件。謝謝各位。
解決方法：
1.開啟「我的電腦」，點工具-->資料夾選項-->檢視,設定顯示所有文件；
2.進入C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework，找到Agent.ini文件，把其它區域網路中的相同檔案拷貝過來履蓋即可。


天空軟體下昇級包後怎麼安裝,我點了都不行..只是出現CMD,一會兒就沒了.


A:
VirusScan控制台->工具 中有增加及編輯昇級位址的選項
如果exe格式的不能安裝的話
到官方網站下在ZIP格式的病毒庫昇級包http://www.mcafee.com/us/downloads/updates/dat.asp

解壓文件到c:\program files\Common Files\network associates\engine 下替代原來的病毒庫文件就可以了


Q;

問:McAfee把網際快車當毒,怎麼撤消?

網際快車有自動檢測要下載時就開啟新工作的功能,結果,被我今天剛裝的McAfee當毒(沒殺成功,只是移除),,請問,怎麼把它回覆?



A:


不是裝了防間諜模組？如果是裝了防病毒模組出現這個情況的話，那先在咖啡的有害程序裡排除掃瞄Reg-FlashGet和Adware-Flashget（最好再排除Jccatch.dll)
Jccatch.dll 或使用壓縮程式給再壓縮一層..
這個也是以前在論壇上看到哪個網友發的，有用的。

Flashget 裡面有廣告模式,在沒有有害程序裡排除掃瞄Reg-FlashGet?.但Adware關於flashget有兩個..都排除

嫌麻煩..把快車安裝資料夾排除就可以了,對啊。都排除了，不單那個包括這個文件Jccatch.dll

FlashGet 註冊了也不會沒有廣告了
他還是照樣被抓! FlashGet 移除後 IE元件右鍵功能消失.
主要是抓那個hook，就是有元件服務/修改IE的嫌疑
------------------------------------------------------------------------

控制台－》 有害程式政策－》 adware—》排除

把adware-flashget和adware-flashget.dr選排除就可以了。
------------------------------------------------------------------------

中文版：
控制台——「工作」——「按訪問掃瞄程序的內容」——「所有行程」——「檢測」——「排除」——「增加」——加入「C:\Program Files\FlashGet\」，並勾選「不包括子資料夾」…

Q:
怎麼卸載增強病毒庫?

如題..我想卸載掉看是不是會減少佔用記憶體



A:


如果是咖啡不需要特別去操做使用卸載，慢慢會融合到最近新下載病毒庫裡。


Q:
為什麼我的電腦上裝好咖啡後沒反間諜軟體

我的裝好沒有反間諜模組，這是為什麼啊，在別的電腦上有那個anti-spy 為什麼我的沒有啊。這是為什麼啊。。

A:
http://sdownload.nai.com/products/PR....0/MASE80L.Zip

這是位址,沒有安裝怎麼會有，又不是整合的,你忘了


Q:

咖啡的隔離問題

最近咖啡查毒總是直接就卡嚓殺了，根本就不隔離了，好像以前不是這樣的
偶用的咖啡個人版10.0的，找了好像沒有設定這個的



A:

mcafee對某些病毒，尤其是中高風險的直接移除，就算你有設定詢問
，是這樣啊，偶設定為直接移除，省事的。原來好像是可以隔離的，但偶沒有設定高低風險行程，設定為一樣了。
Q:

你的Mcafee佔多大記憶體


A:

沒有那麼多的，最多也就20M，左右


一般都是40M左右，60M不是不正常，這個和存取保護的設定有關係以及你電腦的執行狀態
虛擬記憶體呢?

虛擬記憶體也很重要啊.....


Q:
咖啡8.0企業版安裝後不設定用起來怎麼樣

看了一下網上關於咖啡企業版的設定帖，覺得很麻煩啊，而且以後裝軟體可能還需要手動式再設定，殺毒軟體只是用來保護電腦的，在這上面花這麼大力氣覺得不值，大家有什麼看法？



A:


如果是這樣子的話，那你還不如用mcafee個人版本
咖啡有名的是文件保護...
看來，你可能沒用過咖啡企業，其實一點不麻煩，如果說麻煩的話，那一定也是某個咖啡粉絲（或許是高手），對咖啡功能深度挖掘的嘗試，像偶只匯入最寬鬆規則，再慢慢地根據自己在網上（主要是在紳博）學來的知識進行一些設定，很好哦，即學習了網路安全知識，又體驗了咖啡的「滋味」，很好地一種享受∼∼∼當然，肯定地說，已經很長時間未嘗中毒滋味了。箇中滋味自己體會才懂。愛拚才會贏∼∼∼

就認知方面可這來講..咖啡用來防的,不是用來殺的....
真的很喜歡咖啡


Q:MCAfee殺毒失敗,會不會就中毒了?
2006-3-3 21:33:57 移動失敗（清除失敗） AC\Oscar Maxthon.exe R:\Temporary Internet Files\Content.IE5\EFAZCP2F\popprg[1].js Downloader-QR (特洛伊)
2006-3-3 21:35:31 移動失敗（清除失敗） AC\Oscar Maxthon.exe R:\Temporary Internet Files\Content.IE5\IJ8RST0D\popprg[1].js Downloader-QR (特洛伊)

..有檢測到,但殺毒失敗了...這樣會不會中毒?

還有這種木馬不是一開啟網頁就中了嗎?如果沒有移除的話..

A:
沒有發作的病毒，咖啡按需掃瞄是懶的殺的
臨時資料夾中的
清理下就OK了
不會中毒的.放心使用.....
這是網頁臨時資料夾中的文件,可以手動式移除.


Q:MCAfee連接阜阻擋中的?號是被哪個規則阻擋?
2006-3-4 19:16:29 被連接阜阻擋規則阻擋 Foxmail.exe ? 219.133.41.62


如果是禁止從80下載,應該會有寫,但他是?號..不知道是哪個規則?


A:
如果是禁止從80下載,應該會有寫
不知道你寫的是什麼規則 ，不是你自己寫的
再用FOXMAIL發一次，就出來 了。

Q:

我在使用卡巴斯基(AVP) v5.383 中文專業版時，經常會提示我發現xxx木馬，讓用戶選項是否移除 ，可用McAFee殺毒軟體8.0I企業版之後，就再也沒有提示過發現木馬病毒。不知為什麼？難道真的是McAFee殺毒軟體8.0I企業版防控能力超強？？？不得而知


A:

哈哈，
mcafee的防毒能力不用說啦，現在的病毒庫也已經超過18萬，殺毒能力不會比卡巴弱
再說
咖啡感覺一點都不拖網速，監控更是沒的說，文件保護很好，綜合來講，個人越來越喜歡了
咖啡8.0i比較難以設定...

譬如就就是麥咖啡也含有簡單的網路防火牆功能，可以設定讓麥咖啡來阻止相應的連接阜，比如阻止了25連接阜以後，就可以禁止某些木馬把你的密碼等訊息當郵件傳送出去，但是如果你用軟體發郵件也會被阻止，可以在排除行程中輸入你現在使用的郵件軟體的行程名字，比如foxmail.exe，不知道明白了沒有^_^!
還有比如我現在知道有個木馬是blazer5，總是連接我的5000連接阜，感覺很不爽，在這裡設定一下可以遮閉掉5000連接阜的設置,也很方便
在關於對設定你的共享資源，主要是下說一下，他已經有很多的原有的規則範本了，你可以禁止在windows的目錄中新增文件，防止木馬的破壞，要裝軟體的時候臨時執行，這樣雖然比較麻煩，但是安全性確實很不錯。預設的設定狀態下，開啟一個壓縮檔案是無法直接雙按執行文件的，像上面那個的設定，因為有些壓縮包中可能有惡意程式碼，在臨時資料夾中執行某些惡意程序，這個是否開啟看你自己選項了^_^
防止某些病毒利用緩衝區溢位漏洞來傳播，不過開啟以後會造成很多麻煩，建議禁止
電子郵件傳送掃瞄程序
如設定我放到後面和按訪問掃瞄程序一起說明，因為他們實在有點很像
有害程式政策....


Q:
mcafee怎麼寫保護註冊表的規則?
[求助]mcafee怎麼寫保護註冊表的規則?
目的就是像瑞星那樣,禁止對註冊表新增和寫入
A:
咖啡控制台------存取保護------資料夾保護-----增加
規則名稱：禁止對本機註冊表進行新增、寫入活動
阻擋對像：*
要阻擋的文件或檔案名：**\*.reg
要阻止的文件操作：在新增文件、寫入文件前打勾
回應方式：阻止並報告訪問嘗試


Q:


下傳的McAfee 企業版增強病毒庫更新檔,如何處置..請問?


A:
譬如下面例子說明....
McAfee 增補病毒特徵碼文件(extra.dat)
(2006年02月28日更新)
4705病毒庫(病毒特徵碼）
5000RC引擎下附加驅動程式中的病毒簽名數:26
註：ＥＤ的意思是 Enhanced Detection 即加強檢測
加入增強病毒庫後，可能會對某些程序執行會有所減慢
8.0放
C:\Program Files\Common Files\Network Associates\Engine
8.5放
C:\Program Files\Common Files\Mcafee\Engine



菜鳥用咖啡個人版也不錯

McAfee使用心得
http://www.slime2.com.tw/forums/show...ghlight=mcafee

[psac]

如何取得自己的McAfee EXTRA.DAT
如何取得自己的McAfee EXTRA.DAT



1、至
http://myavert.avertlabs.com/myavert/

2、檢視
New And Enhanced Detections
欄目，並在下拉列表中選項你需要的時間，範圍 1－7天。重新整理後即可看到近期新檢測到病毒名稱（可能未入標準庫）。
3、至
https://www.webimmune.net/extra/getextra.aspx
，將剛才看到的病毒名稱輸入，然後點擊按鈕，然後IE開始下載文件
4、注意，每一個文件都是以extra.dat命名的，所以建議是用該病毒名稱重新命名該檔案。命名時注意，
W32/Nimda
之類的名稱中包含/符號的，是不能作為檔案名，將/符號移除即可，即以
W32Nimda
儲存文件。
現在開始合併文件，這裡要用到一些DOS知識
5、開啟指令行視窗，並更改目錄到之前儲存已下載增強資料庫的目錄
6、輸入
dir /w > 1.bat
7、用記事本開啟1.bat文件進行編輯，你會看到

驅動器 C 中的磁碟區沒有標籤。
磁碟區的序列號是 B851-C738
C:\Documents and Settings\Owner\桌面\mcafee\Extra 的目錄
[.] [..]
1.bat AdClicker-AJ.gen.dat
AdClicker-DI.dat AdClicker-DJ.dat
Adware-Adpower.inf.dat Adware-DDM.dldr.dat
Adware-EliteBar.ini.dat Adware-GAIN.lnk.dat
Adware-KlikSearch.dat Adware-Netpia.dat
Adware-OMI.dr.dat Adware-PalToolbar.dat
Adware-SaveNow.lnk.dat Adware-SrchExplorer.dat
113 個文件 509,897 字元
2 個目錄 2,795,618,304 可用字元
這樣的內容。
8、現在將除檔案名以外的其他行全部移除，包括那個1.bat，然後按win（就是那個windowsLogo鍵）+h鍵開啟取代視窗，將.dat取代成.dat+，再按win+h鍵開啟取代視窗，搜尋內容輸入一個空格鍵，取代內容移除之前一次取代條件.dat+，再次取代。現在這個文件內容將會是這樣：
AdClicker-AJ.gen.dat+
AdClicker-DI.dat+AdClicker-DJ.dat+
Adware-Adpower.inf.dat+Adware-DDM.dldr.dat+
Adware-EliteBar.ini.dat+Adware-GAIN.lnk.dat+
Adware-KlikSearch.dat+Adware-Netpia.dat+
Adware-OMI.dr.dat+Adware-PalToolbar.dat+
Adware-SaveNow.lnk.dat+Adware-SrchExplorer.dat+
9、在第一個檔案名前輸入 copy /a 然後重新排版，移除多餘的Enter鍵。這裡解釋一下，因為extra.dat實際上是一個文本文件（也就是ascii碼文件），所以可以用copy指令的/a參數來合併多個文件為一個文件，指令行語法如下
copy /a file1+file2+file3…… newfile
。經過這樣排版後文件內容如下：
copy /a AdClicker-AJ.gen.dat+AdClicker-DI.dat+AdClicker-DJ.dat+Adware-Adpower.inf.dat+Adware-DDM.dldr.dat+Adware-EliteBar.ini.dat+Adware-GAIN.lnk.dat+Adware-KlikSearch.dat+Adware-Netpia.dat+Adware-OMI.dr.dat 1.dat
copy /a Adware-PalToolbar.dat+Adware-SaveNow.lnk.dat+Adware-SrchExplorer.dat 2.dat
copy /a 1.dat+2.dat extra.dat
注意，因為dos指令行有25灌水限制符限制，所以我用了2個臨時文件1.dat和2.dat，並在最後將這2個文件合併為一個文件extra.dat。
10、現在可以執行這個批次處理文件，只要將這個新產生的extra.dat文件複製到\Program Files\Common Files\Network Associates\Engine目錄下即可。
有更新文件了怎麼辦？？
很簡單，將新文件放置在另外一個目錄，用第5－9步驟，這裡你的臨時文件可以按照順序繼續排下去，比如3.dat 4.dat，產生一個新的批次處理文件。
然後將該新的批次處理文件的內容，增加到老批次處理文件內容的後面，並在最後一步合併extra.dat的指令裡面增加後來的臨時檔案名，例如copy /a 1.dat+2.dat+3.dat+4.dat extra.dat。
將新的病毒資料檔案移至先前的目錄，再執行編輯好的老批次處理文件，就可以增加新的資料了。
extra.dat中的病毒被標準庫收錄了怎麼辦？
直接移除該病毒代表的增強資料檔案即可，批次處理中可以不移除該檔案名，不影響批次處理文件的執行結果。


McAfee協助恢復錯刪文件並作檢討

3月21日外電報導：McAfee公司高管日前表示將協助企業用戶解決3月10日後由於其軟體故障導致用戶移除Microsoft Excel文件和其他相關文件的困難。McAfee公司高管們稱，公司已經把有問題的軟體從網路上撤了下去，因此用戶們現在可以放心地下載VirusScan產品的最新殺毒病毒定義文件了。
　　私人用戶基本上只能靠自己了。McAfee公司並沒有發怖可以自動恢復移除文件的任何軟體修正檔程序，用戶們必須手動操作，將它們從備份檔案中找出來再進去行恢復。

　　相反，McAfee公司將協助其企業客戶完成移除文件的恢復工作，因為那些企業客戶面臨著更多的複雜問題。McAfee公司高管們表示他們已經開發出來一款工具軟體，它可以將那些移除掉的文件恢復過來。

　　McAfee公司在其網站上寫著：「AVERT的員工一直在晝夜不停地努力工作，爭取盡可能地恢復移除的文件。」

　　McAfee公司寫道：「那些把殺毒軟體檢測出來的文件移到隔離區的用戶可以把文件恢復過來。Windows系統的用戶可以從備份檔案或者使用系統修復工具來恢復已經移除的那些文件。」

　　McAfee公司的AVERT實驗室的運營主管Joe Telafici稱，他所上司的部門將日夜不停地展開工作，同時開發新的程序來測試以後要發怖的產品。他說：「我們已經準備了多種測試工具來保證再也不會發生類似的事情，從此以後，我們還將新增一些測試工具。」

[Admin2]

謝謝 psac 老大 好文共享 !

利害...

[psac]

McAfee發佈W95/CTX隔離恢復工具

McAfee W95/CTX Quarantine File Restore Utility

CTXundo is a stand-alone utility that can be used to recover from the false alarm on W95/CTX that was introduced in the 4715 dat files. This tool will only recover files that were detected and then quarantined only with the VirusScan Enterprise products. It will not recover files that may have been deleted by any product or quarantined with VirusScan Online, Managed VirusScan or LinuxShield .

A listing of the files detected is available

You can find information for this threat on the Virus Information Library

Download CTXundo.zip v1.3.1
Download CTX-undo.zip v1.3.1 Superdat package for ePO deployment
Using CTXUndo.exe

CTXUndo Command Line parameters:

/report=(path and filename) [optional]
Default report is:


Filename=CTXUndo.log
and is written to the directory the tool is run from.

· /quarantine_folder =<foldername > [optional]

· /quarantine_folder =d:\quarantine


CTXUndo looks in d:\quarantine\infected.log for files to be restored.


· /ods_scanlog =<log file> [optional]

· /ods_scanlog =c:\Virusscan_logs\odsscanlog.txt

Looks for a custom named On Demand Scan log in c:\virusscan_logs folder, matches filenames against quarantined files.

Known Limitations

CTXundo is not network aware and should be run locally on the affected systems.

If CTXundo is run under the logged in user, user must have sufficient privileges to the file system to be able to restore files.

CTXundo cannot restore files which were deleted instead of quarantined.

CTXundo will report the names of files unable to be restored because they are already present in their original location, or if the file is no longer present in the quarantine folder.

Due to logging limitations in VSE, CTXUndo can not guarantee accurate file/path correlation in situations where multiple files of the same name, but from different original paths, exist in the INFECTED.LOG, but have been been renamed in the quarantine folder, e.g. infected log contains:

c:\dir1\file.exe => file.exe
c:\dir2\file.exe => file.exe
but quarantine folder contains:

file.exe
file.exe.0
In this case, it is not possible to categorically correlate the files to their original locations, so files will be moved back in the order in which they are found.

When files are restored from quarantine, those files will inherit the permissions of the parent folder.

Double-Byte Operating Systems

Due to differences in how Double-Byte products can write their log files a specific version of the tool was developed for these languages. It is important to note that this tool will restore EVERYTHING found in the quarantine directory, including any threats that have been quarantined. It is imperative that the On-Access Scanner is turned on and running prior to running this tool.

Download CTXUndoDB.zip v1.3.1 for Double-Byte products with ePO


http://download.nai.com/products/mca.../ctxundodb.zip

[psac]

】McAfee Virusscan Enterprise 8.5I 預設值存取保護規則簡析
為忠於原作者的願望，本文不貼英文原文，只把規則中的英文「描述」（description，即規則名）部分貼出，大家可以自己對照McAfee Virusscan Enterprise 8.5 軟體系統中的規則來比對。附件為TXT我的文件，方便大家下載。


Description "Prevent registry editor and Task Manager from being disabled"
阻止註冊表編輯器和工作管理器被以下程序關閉
監視所有程式
排除工作：rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
註冊表值（新增，寫入，移除）：
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/SystemisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/SystemisableTaskMgr

Description "Prevent user rights policies from being altered"
保護用戶權限原則
監視所有工作
排除工作：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，amgrsrvc.exe，mmc.exe
註冊表項（新增，寫入，移除）：
HKCCS/Control/LSA/**
HKCCS/Services/lanmanserver/parameters/**

Description "Prevent remote creation/modification of executable and configuration files"
防止遠端建立/修改可執行程序和組態文件
監視所有遠端程序
對像文件（新增，寫入，移除）:**.exe **.scr **.ocx **.dll **.pif
文件路徑:windows目錄以及所有子目錄下文件，%systemdrive%\*.ini
排除工作:所有framepkg.exe文件

Description "Prevent remote creation of autorun files"
防止遠端建立autorun.inf文件
所有遠端工作
對像文件（新增）: autorun.inf

Description "Prevent hijacking of .EXE and other executable extensions"
防止exe等可執行文件被劫持
監視所有程式
排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
註冊表值（寫入，移除）:
HKULM/Software/Classes/.exe/**
HKULM/Software/Classes/exefile/**
HKULM/Software/Classes/.com/**
HKULM/Software/Classes/comfile/**
HKULM/Software/Classes/.bat/**
HKULM/Software/Classes/batfile/**
HKULM/Software/Classes/.cmd/**
HKULM/Software/Classes/cmdfile/**

Description "Prevent svchost executing non-Windows executables"
防止svchost執行任何非windows可執行程序
監視工作:svchost.exe
檔案類型（執行）: 所有文件
排除文件:所有exe文件，windows目錄以及所有子目錄下的文件

Description "Prevent Windows Process spoofing"
防止windows工作欺騙
文件路徑（新增，讀取，執行，寫入）：所有svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe
排除文件：windows目錄及其所有子目錄下的svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe

Description "Protect phonebook files from password and email address stealers"
保護通訊錄的密碼和電子郵件位址
監視所有工作
排除工作：rasphone.exe explorer.exe svchost.exe
文件路徑（讀取，移除，新增，寫入）：**/rasphone.pbk

Description "Prevent mass mailing worms from sending mail"
防止郵件蠕蟲傳送郵件
監視所有工作
排除工作：預設值郵件客戶端，預設值瀏覽器，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe，neo20.exe，nlnotes.exe，outlook.exe，pine.exe，poco.exe，thebat.exe，thunderbird.exe，winpm-32.exe，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，ntaskldr.exe，nsmtp.exe，nrouter.exe，agent.exe，ebs.exe，firesvc.exe，modulewrapper*，msksrvr.exe，mskdetct.exe，mailscan.exe，rpcserv.exe
連接阜（向外）：25，587

Description "Prevent IRC communication"
防止IRC通信
監視所有工作
連接阜（向內，向外）：6666-6669

Description "Prevent use of tftp.exe"
防止使用tftp.exe
監視所有工作
排除工作：wuauclt.exe
文件路徑（讀取，執行）：所有的tftp.exe

Description "Prevent alteration of all file extension registrations"
保護所有已註冊的檔案類型
監視所有工作
排除工作：explorer.exe
註冊表項（讀取，寫入）：HKULM/Software/Classes/.*/**

Description "Protect cached files from password and email address stealers"
保護快取文件中的密碼和電子郵件位址
監視所有工作
排除工作：iexplore.exe，explorer.exe，rundll32.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe
文件路徑（讀取）：所有content.ie5資料夾以及子資料夾中文件

Description "Make all shares read-only"
設定所有共享為唯讀內容
監視所有遠端工作
文件路徑（新增，寫入，移除）：所有文件

Description "Block read and write access to all shares"
阻止所有對共享資料的讀取和寫入
監視所有工作
文件路徑（新增，寫入，移除，執行，讀取）：所有文件

Description "Prevent modification of McAfee files and settings"
保護McAfee的相關文件和設定
監視所有工作
排除工作：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，sdat*.exe，mfehidin.exe，svchost.exe，regsvc.exe，mmc.exe，vstskmgr.exe，scan32.exe，shstat.exe，mcupdate.exe，mcconsol.exe，ncdaemon.exe
文件路徑（新增，寫入，移除）：mcafee下desktopproctection，antispyware，AntiSpyware Enterprise目錄以及所有子目錄下文件，drivers目錄下mfe*.sys文件。
排除工作（新增，寫入，移除）：mcafee目錄中，AntiSpyware Enterprise目錄下，mid資料夾中asecfg.cab文件。
註冊表項：
HKLM/Software/McAfee
HKLM/Software/McAfee/DesktopProtection
HKLM/Software/McAfee/VSCore
HKLM/Software/McAfee/VSCore/NVP
HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
（以上為 移除）
HKLM/Software/McAfee/vscore/**
HKCCS/Services/McShield/**
HKCCS/Services/McTaskManager/**
HKCCS/Services/Mfeapfk/**
HKCCS/Services/Mfetdik/**
HKCCS/Services/Mfeavfk/**
HKCCS/Services/Mfebopk/**
HKCCS/Services/Mfehidk/**
HKLM/Software/McAfee/DesktopProtection/**
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
（以上為 新增，寫入，移除）
排除註冊表項（新增，寫入，移除）：
HKLM/SOFTWARE/MCAFEE/VSCORE/ALERT CLIENT/VSE


Description "Prevent modification of McAfee Common Management Agent files and settings"
保護mcafee通用文件和設定
監視所有工作
排除工作：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，insfiretdi.exe，services.exe，firesvc.exe，scanner.exe
註冊表項（新增，寫入，移除）：
HKLM/Software/Network Associates/ePolicy Orchestrator
HKLM/Software/Network Associates/TVD/Shared Components/Framework
HKCCS/Services/McAfeeFramework/**
文件路徑（新增，寫入，移除）：
%ALLUSERSPROFILE%/*/Network Associates/Common Framework，%ALLUSERSPROFILE%/*/McAfee/Common Framework，%programfiles%/mcafee/Common Framework，%programfiles%/network associates/Common Framework，%CommonProgramFiles%/Cisco Systems/CiscoTrustAgent/plugins 目錄以及子目錄下文件

Description "Prevent modification of McAfee Scan Engine files and settings"
保護McAfee引擎文件和設定文件
監視所有工作
排除工作：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，svchost.exe，regsvc.exe，msi*.tmp，sdat*.exe，mcscript*，*xdat.exe，mcupdate.exe
註冊表項：
HKLM/Software/McAfee/AVEngine（移除）
HKLM/Software/McAfee/AVEngineAT
HKLM/Software/McAfee/AVEngine:szInstallDir
（以上為 新增，寫入，移除）
文件路徑（新增，寫入，移除）：%CommonProgramFiles%/mcafee/Engine目錄以及子目錄下文件
排除文件：extra.dat

Description "Protect Mozilla & FireFox files and settings"
保護Mozilla&FireFox文件和設定
監視所有工作
排除工作：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，firefox*，mozilla*，*setup*.exe
註冊表值（新增，寫入，移除）：
HKLM/Software/Mozilla**
HKCU/Software/Mozilla**
文件路徑（新增，寫入，移除）：Mozilla*目錄以及子目錄下所有文件

Description "Protect Internet Explorer settings"
保護Internet Explorer設定
監視所有工作
排除工作：icwconn1.exe，configui.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp
註冊表項：
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
（以上為 新增，寫入，移除）
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Mainefault_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings:ProxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Mainefault_Search_URL
（以上為 寫入，移除）

Description "Prevent installation of Browser Helper Objects and Shell Extensions"
保護Browser Helper Objects和Shell增強
監視所有工作
排除工作：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，regsvcs.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe
註冊表項（新增，寫入，移除）：
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/**
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved

Description "Protect network settings"
保護網路設定
監視所有工作
排除工作：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，mfehidin.exe，winmgmt.exe，winlogon.exe，svchost.exe，services.exe，setadapter.exe，sr_gui.exe，sr_service.exe，fwkern.exe，tcpsvcs.exe
註冊表項：
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**"
"HKCCS/Services/netbt/**
（以上 新增，移除）
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
（以上為 新增，寫入，移除）
排除註冊表項（新增，移除）：
HKCCS/Services/tcpip/Performance
HKCCS/Services/netbt/Performance
文件路徑（寫入，新增，移除）：hosts文件

Description "Prevent common programs from running files from the Temp folder"
防止通用程序從臨時資料夾啟動任何項目
監視工作：預設值瀏覽器，預設值郵件客戶端，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe neo20.exe nlnotes.exe outlook.exe pine.exe poco.exe thebat.exe thunderbird.exe winpm-32.exe packager.exe winzip32.exe winrar.exe
文件路徑（執行）：名稱含有「temp」字樣的目錄以及所有子目錄中文件
排除文件（執行）：任何臨時資料夾及其子資料夾中的FrmInst.exe，任何臨時資料夾中的iadhide?.dll，NAVSetup.exe，任何臨時資料夾下NAV資料夾中的NAVSetup.exe，以及文件{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/PiReg.exe和{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/setlicense.exe

Description "Prevent programs registering to autorun"
保護自啟動項
監視所有工作
排除工作：tbmon.exe，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，wuauclt.exe，update.exe，spuninst.exe，javatrig.exe，vbs56nen.exe，js56nen.exe，ieupdate.exe，dahotfix.exe，ie-kb*.exe，kb*.exe，fixccs.exe，sqlredis.exe，mdac_qfe.exe，dasetup.exe，setupre.exe，wintdist.exe，mmc.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，frminst.exe
註冊表項（新增，寫入）：
HKULM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon:Shell
HKULM/Software/Microsoft/Windows NT/CurrentVersion/Windows:Load
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows:AppInit_Dlls
HKULM/Software/Microsoft/Windows/CurrentVersion/Run/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnce/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServices/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/**
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/*
排除註冊表項（新增，寫入）：
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN:MCAFEEFIRETRAY
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/NAVLOGON
文件路徑（新增，寫入，移除，執行）：startup資料夾下以exe，bat，scr，hta，pif，com為副檔名的文件，startup資料夾下檔案名中含有server字串的exe文件。

Description，"Prevent programs registering as a service"
防止增加服務項
監視所有工作
排除工作：tbmon.exe，mmc.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，wuauclt.exe，update.exe，spuninst.exe，javatrig.exe，vbs56nen.exe，js56nen.exe，ieupdate.exe，dahotfix.exe，ie-kb*.exe，kb*.exe，fixccs.exe，sqlredis.exe，mdac_qfe.exe，dasetup.exe，setupre.exe，wintdist.exe，frminst.exe
註冊表項（新增）：
HKCCS/Services/**
排除註冊表項（新增）：
HKCCS/Services/EventLog/Application/*
HKCCS/Services/EventLog/Security/*
HKCCS/Services/EventLog/System/*
HKCCS/Services/NAIMServInst/**
HKCCS/Services/traces/**
HKCCS/Services/RegMon/**
HKCCS/Services/FileMon/**
HKCCS/Services/McAfeeFramework/**
HKCCS/Services/W3SVC/PARAMETERS/**
HKCCS/Services/IDSINSTPRIVTEST/**
HKCCS/Services/SNDSRVC/**
HKCCS/Services/SYMEVENT/**
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**"
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**

Description "Prevent creation of new executable files in the Windows folder"
防止在windows目錄建立可執行文件
監視所有工作
排除工作：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，wuauclt.exe，update.exe，spuninst.exe，javatrig.exe，vbs56nen.exe，js56nen.exe，ieupdate.exe，dahotfix.exe，ie-kb*.exe，kb*.exe，fixccs.exe，sqlredis.exe，mdac_qfe.exe，dasetup.exe，setupre.exe，wintdist.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，winlogon.exe，mrtstub.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，fssm32.exe，tomcat.exe
文件路徑（新增）：windows目錄下以exe和dll為後面的文件
排除文件（新增）：windows目錄中downloaded program files目錄及其子目錄下任何文件，windows目錄中SoftwareDistribution目錄下Download和WebSetup資料夾中及其所有子資料夾中的任何文件。system32文件下muweb.dll，wuweb.dll，cdm.dll，iuengine.dll，wuapi.dll，wuauclt.exe，wuauclt1.exe，wuaclt.exe，wuaclt1.exe，wuaueng.dll，wuaueng1.dll，wucltui.dll，wups.dll，wups2.dll，FireNotify.dll，FireCNL.dll，FireCore.dll，FireCL.dll，FireEpo.dll，FireNHC.dll，FireSCV.dll。windows目錄下temp資料夾中的ZDATAI51.DLL以及_WUTL951.DLL文件。

Description "Prevent launching of files from the Downloaded Programs folder"
防止從downloaded programs folder資料夾下啟動任何項目
監視工作：iexplore.exe
文件路徑（執行）：downloaded program files資料夾下任何以exe為後面的文件

Description "Prevent FTP communication"
防止FTP通信
監視所有工作
排除工作：預設值瀏覽器，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，pasys*，google*，alg.exe，ftp.exe，agentnt.exe
連接阜（向外）：20，21

Description "Prevent HTTP communication"
防止HTTP通信
監視所有工作
排除工作：預設值瀏覽器，預設值本機郵件客戶端，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe，neo20.exe，nlnotes.exe，outlook.exe，pine.exe，poco.exe，thebat.exe，thunderbird.exe，winpm-32.exe，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，alg.exe，mobsync.exe，waol.exe，agentnt.exe，svchost.exe，runscheduled.exe，pasys*，google*，backweb-*，vmnat.exe，devenv.exe，windbg.exe，jucheck.exe，realplay.exe，acrord32.exe，acrobat.exe，wfica32.exe，mmc.exe，mshta.exe，dwwin.exe，wmplayer.exe，console.exe，wuauclt.exe，javaw.exe，ccmexec.exe，ntaskldr.exe，winamp.exe，realplay.exe，quicktimeplaye*
連接阜（向外）：80，443

[psac]

mcafee殺毒軟體企業版裡總共有7個工作



1:frameworkservice.exe: 這個工作可以在系統的服務裡找到
對應的服務為"mcafee framework"
它是用來做什麼的呢?
其實它是mcafee的後台框架工作,mcafee產品的共享元件框架.
雖然關閉該服務不影響mcafee使用,但該服務會對昇級產生影響
如:當你開啟了網路防火牆時,昇級mcafee,就會提示該檔案需要訪問網路.

2: Mcshield.exe 它是mcafee的核心工作,對應的服務為 network Associates McShield
所以關閉此服務 mcafee就不能使用.

3:naPrdMgr:它是與frameworkservice.exe關聯在一起的工作
如果關閉了frameworkservice.exe 它也會消失.

4:Tbmon.exe: 它是錯誤報告工作.

5:shstat.exe: 系統欄內的軟體圖示,關閉了它系統任處於保護狀態.

6:UpdataUl.exe:該工作用於自動昇級.我想大家都應該知道

7:Vstskmgr.exe:這個工作屬於系統服務.對應名為 network Associates Task Manager

q:
本人電腦上裝的是個人版的咖啡，因為電腦無法連接上外國的網站，所以無法在線昇級，現在下載了離線昇級包之後不知道如何用？？
希望各位達人指教！！


A:把scan.DAT與clean.DAT與names.DAT取代咖啡目錄下VSO下的DAT下的你目前的DAT版本號[如:4607]下的三個文件即可.還可以下載病毒庫安裝程序，就是.exe文件

http://www.mcafee.com/us/downloads/updates/

[psac]

McAfee VirusScan v8.0i 設定規則（0921更新）

McAfee VirusScan v8.0i設定起來比較麻煩，現把
一般常用的設定規則抽取出來，直接匯入即可完成
設定，方便初次使用的新人和嫌設定麻煩的朋友。^_^

使用方法:解壓直接雙按匯入,重新啟動電腦即可


適用於簡體中文版，感謝wangk0998把規則翻譯成英文，所以英文版的也可以用了

說明：
rules_block是「存取保護」的設定
主要特點有：
1.在「禁止大量大送郵件的蠕蟲病毒傳送
郵件」中排除了foxmail,dreammail
2.禁止了本機135-139，445，90，5000等連接阜，如果需要開放
請重新設定（此功能預設值關閉）
3.保持當前共享狀態
4.禁止了3721上網助手
5.禁止在C碟根目錄下建立新文件（防禦某些病毒木馬）
6.禁止了在windows和system32下建立新的exe和dll（防禦某些病毒木馬）如果要安裝軟體請關閉這些規則，否則可能無法完成安裝
7.禁止遠端修改系統
8.禁止3721網路實名
9.禁止網路豬\劃詞搜尋
10.禁止DUDU
11.保護了system.ini、win.ini和hosts
12.禁止百度搜霸
13.禁止360度搜
14.禁止QQ廣告
15.禁止IInfo
16.禁止很棒小秘書
17.禁止青蛙娛樂
18.禁止一搜
19.禁止CNNIC
20.解決金山詞霸在螢幕取詞和緩衝區溢位保護的衝突

rules_virdefine是「有害程式政策」的設定
主要特點有：
1.開啟了全部7項選項
2.自訂了對「上網助手」、百度搜霸、珊瑚蟲QQ中頗有爭議的兩個文件（infomgr.exe和infonet.exe）、很棒小秘書、青蛙娛樂（寫入系統檔案夾的dll）的查殺
3.排除了antispy對「網際快車」的查殺
4.排除了對Serv-U的查殺(安裝時請關閉按訪問掃瞄)

對按訪問掃瞄內容做了初級的設定，更適合於系統流暢的執行
計劃掃瞄裡排除了使用antispy掃瞄cookie

對瀏覽器劫持（比如ebay）咖啡還無能為力，請用hijackthis
沒有設定禁止修改註冊表，否則可能帶來很大麻煩
請謹慎使用系統檔案夾保護，特別是在windows更新和安裝需要向系統檔案夾寫入文件的軟體時，請關禁用按訪問掃瞄或關閉保護系統檔案夾

0903主要的改進有：
1.禁止在系統檔案夾下建立新的bat,com,sys。
2.阻擋阿里巴巴商機直通車。
3.自訂有害程序新增阿里巴巴商機直通車。
4.設定了一個「監視系統檔案夾」的規則，有一點類似tiny的這個功能，但是相對簡單，對於監視系統檔案夾的新動作還是比較有說明 的（預設值關閉）。
5.按訪問掃瞄進行了一點修改，修正了一些錯誤。
時間倉促，如果錯誤，歡迎指正
感謝hongkun1011朋友指出的失誤，有些規則使用了絕對路徑會造成win2000系統下規則不起作用，現已更證，請使用win2000系統的朋友注意

0909的更新有:
改變了在windows下的阻擋規則，包括子資料夾在內均阻擋exe,dll,com,bat,sys，這樣system32下的阻擋規則已成為多餘，但仍保留。現在包括灰鴿子在內很多木馬改變了寫入方式，改為在windows下建立子資料夾寫入病毒體，因此這樣的改動可以適應更多的情況。如果不喜歡這樣，只要把阻擋windows資料夾的規則去掉「**\」改回%windir%\*.dll（exe、dll、com、bat）即可

0921的更新有：
文件保護和有害程式政策阻擋增加了雅虎助手。
根據很多人的反映，分成了嚴厲版和普通版，區別很簡單，就是0909和0903的區別，嚴厲版阻擋了系統檔案夾中自資料夾產生exe,dll,bat,sys,com。
按訪問掃瞄做了些許調整，修正了一些風險


警告：安裝某些向系統檔案夾寫入的軟體和使用windows update時請關閉保護系統檔案夾的規則或者禁用按訪問掃瞄，否則可能造成不可預期的問題