home *** CD-ROM | disk | FTP | other *** search
/ PC World 2008 March / PCWorld_2008-03_cd.bin / temacd / outpostfirewall / OutpostProInstall.exe / {code_GetDest} / machine.ini < prev    next >
INI File  |  2007-12-20  |  31KB  |  825 lines

  1. ; Warning! Agnitum Ltd. is not responsible for your system security and proper functioning
  2. ; in case of manual modification of this file
  3.  
  4. ; -------------------------------------------------------------------------------------------------------------------------
  5. ; General Settings
  6. ; -------------------------------------------------------------------------------------------------------------------------
  7.  
  8. [General]
  9. ; This value configures firewall driver behavior in case of unexpected ACS shutdown.
  10. ; If TRUE, all network activity is blocked.
  11. ExitProtection=TRUE
  12.  
  13. ; Protection of Outpost files and registry after service shutdown.
  14. SelfProtectinOnExit=TRUE
  15.  
  16. ; Enable or disable TCP telnet server on 805 port
  17. EnableDebugTCPServer=false
  18.  
  19. ; Enable or disable monitor(op_mon) start/stop service(acs)
  20. MonitorControllService=true
  21.  
  22. AdvancedLogs=no
  23.  
  24. ; Do you want to start acs service if outpost gui is started
  25. StartACSOnMonitorStartup=yes
  26.  
  27.  
  28. [GeneralDebug]
  29. ; This value configures firewall driver behavior in case of unexpected ACS shutdown.
  30. ; If TRUE, all network activity is blocked.
  31. ExitProtection=FALSE
  32.  
  33. ; Protection of Outpost files and registry after service shutdown.
  34. SelfProtectinOnExit=FALSE
  35.  
  36. ; Enable or disable TCP telnet server on 805 port
  37. EnableDebugTCPServer=true
  38.  
  39. ; Enable or disable monitor(op_mon) start/stop service(acs)
  40. MonitorControllService=false
  41.  
  42. ; Do you want to start acs service if outpost gui is started
  43. StartACSOnMonitorStartup=no
  44.  
  45.  
  46.  
  47. [GlobalFirewallRules]
  48.  
  49. ; block netbios rules
  50. BlockNetbios=yes
  51.  
  52. ; block no-first fragments arrives before first fragment
  53. BlockNoOrderedFragment=yes
  54.  
  55. ; block icmp do not allowed by settings
  56. BlockNotAllowedICMP=yes
  57.  
  58. ; -------------------------------------------------------------------------------------------------------------------------
  59. ; AFW Driver Settings
  60. ; -------------------------------------------------------------------------------------------------------------------------
  61. [AFW]
  62.  
  63. ; Allow traffic processing in user mode.
  64. EnableContentHandler=TRUE
  65. EnableContentProcessing=TRUE
  66.  
  67. ; -------------------------------------------------------------------------------------------------------------------------
  68. ; On Access Virus Scanner Settings
  69. ; -------------------------------------------------------------------------------------------------------------------------
  70. [OnAccessScanner]
  71.  
  72. ; Enable on-access scanner functionality. This functionality can be disanled due to compatibility reason
  73. ; with third-party AV software
  74. EnableScanner=true
  75.  
  76. ; If enabled, on-access scanner do not scan files on close.
  77. CompatibilityMode=false
  78.  
  79. ; If enabled, on-access scanner do not scan files on any access
  80. CompatibilityDisableOnAnyAccess=false
  81.  
  82. ; If enabled, use extended attributes for cache files(not modified attributes)
  83. ;EnableAttributes=true
  84.  
  85. ; -------------------------------------------------------------------------------------------------------------------------
  86. ; Antimalware Settings
  87. ; -------------------------------------------------------------------------------------------------------------------------
  88. [Antimalware]
  89. Engines=asw
  90. RebootScanProfile=
  91. RebootScan=FALSE
  92.  
  93.  
  94. ; -------------------------------------------------------------------------------------------------------------------------
  95. ; Autoupdate Settings
  96. ; -------------------------------------------------------------------------------------------------------------------------
  97. [update]
  98.  
  99. ; Path to the update server including root folder.
  100. server=http://updates.agnitum.com/update_suite20
  101.  
  102. ; Local path for update operation. This folder will contain all files, created during update operation.
  103. update_dir=update_oss20
  104.  
  105. [ConfigWizard]
  106. UpdatePreset=FALSE
  107.  
  108. ; -------------------------------------------------------------------------------------------------------------------------
  109. ; News download Settings
  110. ; -------------------------------------------------------------------------------------------------------------------------
  111. [news]
  112.  
  113. ; news download path from the root of acs.exe
  114. NewsPath=news
  115.  
  116. ; date of last news downloaded from server
  117. ;LastNewsBuild=1
  118.  
  119.  
  120. [Languages]
  121. CurrentLang=en
  122. LangList=en|ru|de|es|fr
  123.  
  124. ; -------------------------------------------------------------------------------------------------------------------------
  125. ; Multimacros Description
  126. ; -------------------------------------------------------------------------------------------------------------------------
  127. ; Records containing such fragments will be expanded into several records. 
  128. ; For example:
  129. ; REGISTRY\{MachineOrUser}\Software\Microsoft\Windows\CurrentVersion\Run
  130. ; will be expanded as:
  131. ; REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  132. ; REGISTRY\<User>\Software\Microsoft\Windows\CurrentVersion\Run
  133.  
  134. [System32OrWow]
  135. ; 'System' folder description for x86 and x64 Windows platforms.
  136. System32
  137. SysWow64
  138.  
  139. [Software32Or64]
  140. ; 'Software' registry section description for x86 and x64 Windows platforms.
  141. SOFTWARE
  142. SOFTWARE\Wow6432Node
  143.  
  144. [SoftwareClasses32Or64]
  145. ; 'Software' registry section description for x86 and x64 Windows platforms.
  146. SOFTWARE\CLASSES\
  147. SOFTWARE\CLASSES\Wow6432Node
  148.  
  149. [MachineOrUser]
  150. ; Description of registry sections that are common for a user and a system.
  151. MACHINE
  152. <User>
  153.  
  154. [OpenOrRunAs]
  155. ; Registry records - either Open, or RunAs - for shell.
  156. open
  157. runas
  158.  
  159. [ControlSet]
  160. ; x64 interceptor identifies ControlSet* as CurrentControlSet.
  161. ControlSet*
  162. CurrentControlSet
  163.  
  164. ; -------------------------------------------------------------------------------------------------------------------------
  165. ; Macros Description
  166. ; -------------------------------------------------------------------------------------------------------------------------
  167.  
  168. [Macro]
  169. ; This section contains macro definitions. They can be applied to SelfProtection rules.
  170. ; Macros is defined in the following format: 
  171. ; MacroName=Value
  172. ; Macros is used the following way: <MacroName>. <MacroName> substring is replaced by Value.
  173. ; Recursive macros definition is allowed, for example:
  174. ; Macro1=aaa
  175. ; Macro2=<Macro1>bbb
  176. ; However in direct sequence only (Macro1 macros should be defined before using Macro2).
  177. ; WindowsDir and SystemDir macroses are already defined.
  178. DriversDir=<SystemDir>\Drivers
  179. FiltDir=<SystemDir>\Filt
  180. FullAccess=read write rename delete exec connect open_process thread_start thread_stop write_mem thread_ctx
  181. NoLearn=no_learn_open no_learn_exec no_learn_read no_learn_write no_learn_create no_learn_delete no_learn_rename
  182. LimitedAccess=no_learn_open read exec thread_start no_set_hook no_send_close allow_init_dde no_send_input no_find_window
  183. LimitedAccessNoLearn=<LimitedAccess> <NoLearn>
  184. AllFiles=*
  185. SystemDir32OrWow=<WindowsDir>\{System32OrWow}
  186. MachineServices=MACHINE\System\{ControlSet}\Services
  187. MachineCurrentVersion=MACHINE\Software\Microsoft\Windows\CurrentVersion
  188. MachineNTCurrentVersion3264=MACHINE\{Software32Or64}\Microsoft\Windows NT\CurrentVersion
  189. CurrentVersionUserMachine3264={MachineOrUser}\{Software32Or64}\Microsoft\Windows\CurrentVersion
  190. User=USER\*
  191.  
  192. ; Compiler directories are added to exclusions for debug convenience.
  193. [VCDirs]
  194. e:\msdev.2005
  195. C:\Program Files\Microsoft Visual Studio 8
  196.  
  197. ; Compiler files
  198. [Compilers]
  199. cl.exe
  200. link.exe
  201.  
  202. ; Windbg directories are added to exclusions for debug convenience.
  203. [WinDBGDirs]
  204. c:\Program Files\Debugging Tools for Windows
  205. c:\Program Files (x86)\Debugging Tools for Windows
  206.  
  207. ; Compiler files
  208. [DebuggerFiles]
  209. agestore.exe
  210. breakin.exe
  211. cdb.exe
  212. dbengprx.exe
  213. dbgrpc.exe
  214. dbgsrv.exe
  215. dbh.exe
  216. dumpchk.exe
  217. dumpexam.exe
  218. gflags.exe
  219. i386kd.exe
  220. ia64kd.exe
  221. kd.exe
  222. kdbgctrl.exe
  223. kdsrv.exe
  224. kill.exe
  225. list.exe
  226. logger.exe
  227. logviewer.exe
  228. ntsd.exe
  229. remote.exe
  230. rtlist.exe
  231. symchk.exe
  232. symstore.exe
  233. tlist.exe
  234. umdh.exe
  235. windbg.exe
  236.  
  237. ; Sysinternals directories are added to exclusions for debug convenience.
  238. [SysInternalDirs]
  239. c:\Sys Internals
  240.  
  241. ; Compiler files
  242. [SysInternalFiles]
  243. ProcessExplorer\procexp.exe
  244. ProcessMonitor\Procmon.exe
  245.  
  246. ; Compiler files are added to exclusions for debug convenience.
  247. [VCFiles]
  248. {VCDirs}\common7\ide\devenv.exe
  249. {VCDirs}\vc\bin\x86_amd64\{Compilers}
  250. {VCDirs}\vc\bin\{Compilers}
  251. {VCDirs}\Common7\IDE\Remote Debugger\x64\msvsmon.exe
  252. {VCDirs}\Common7\IDE\mspdbsrv.exe
  253.  
  254. ; WinDBG files are added to exclusions for debug convenience.
  255. [WinDbgFiles]
  256. {WinDBGDirs}\{DebuggerFiles}
  257.  
  258. ; SysInternals files are added to exclusions for debug convenience.
  259. [WinDbgFiles]
  260. {WinDBGDirs}\{DebuggerFiles}
  261.  
  262. ; SysInternals files are added to exclusions for debug convenience.
  263. [SysIntFiles]
  264. {SysInternalDirs}\{SysInternalFiles}
  265.  
  266. ; -------------------------------------------------------------------------------------------------------------------------
  267. ; Self-Protection Settings
  268. ; -------------------------------------------------------------------------------------------------------------------------
  269. [UserAntileakExclusions]
  270. ; This section contains applications that are not monitored by Anti-leak.
  271. <SystemDir>\alg.exe
  272. <SystemDir>\dwm.exe
  273. <SystemDir>\wmiprvse.exe
  274. <SystemDir>\wdfmgr.exe
  275. <SystemDir>\taskeng.exe
  276.  
  277. [AntileakExclusions]
  278. ; This section contains applications that are not monitored by Anti-leak.
  279. <SystemDir>\ntoskrnl.exe
  280. <SystemDir>\csrss.exe
  281. <SystemDir>\lsass.exe
  282. <SystemDir>\smss.exe
  283. <SystemDir>\svchost.exe
  284. <SystemDir>\winlogon.exe
  285. <SystemDir>\taskeng.exe
  286. {OutpostExecutable}
  287. {UserAntileakExclusions}
  288.  
  289. [SelfProtectionExclusions]
  290. ; This section contains self-protection exclusions.
  291.  
  292. [OutpostExecutable]
  293. ; This section defines a set of applications that have access to Outpost folder and registry.
  294. <ExecDir>\acs.exe
  295. <ExecDir>\op_mon.exe
  296. <ExecDir>\feedback.exe
  297. <ExecDir>\unins000.exe
  298. <ExecDir>\unins001.exe
  299. <ExecDir>\unins002.exe
  300. <ExecDir>\unins003.exe
  301. <ExecDir>\unins004.exe
  302. <ExecDir>\unins005.exe
  303. <ExecDir>\unins006.exe
  304. <ExecDir>\unins007.exe
  305. <ExecDir>\unins008.exe
  306. <ExecDir>\unins009.exe
  307. <ExecDir>\plugins\anti-spam\asp_srv.exe
  308.  
  309. [DriverNames]
  310. sandbox
  311. afw
  312. vbengnt
  313.  
  314. [DriverPluginNames]
  315. vbfilt
  316. aswfilt
  317.  
  318. [OutpostFiles]
  319. ; This section describes the set of Outpost files.
  320. <ExecDir>\*
  321. <FiltDir>\*
  322. <DriversDir>\afw.sys
  323. <DriversDir>\sandbox.sys
  324. <DriversDir>\sandbox64.sys
  325. <DriversDir>\vbengnt.sys
  326.  
  327. <SystemDir>\config\prcdrv.acl
  328. <SystemDir>\config\prc.acl
  329. <SystemDir>\config\afw.conf
  330.  
  331. [OutpostRegistry]
  332. ; Registry keys which only Outpost has access to.
  333. REGISTRY\<MachineCurrentVersion>\Uninstall\Agnitum Outpost Firewall Pro*\*
  334. REGISTRY\<MachineCurrentVersion>\Uninstall\Agnitum Outpost Security Suite Pro*\*
  335. REGISTRY\<MachineCurrentVersion>\Run\OutpostMonitor
  336. REGISTRY\<MachineCurrentVersion>\Run\OutpostFeedBack
  337. REGISTRY\<MachineCurrentVersion>\App Paths\acs.exe\*
  338. REGISTRY\<MachineServices>\{DriverNames}\*
  339. REGISTRY\<MachineServices>\{DriverPluginNames}\*
  340. REGISTRY\<MachineServices>\acssrv\*
  341.  
  342. [ProtectedObjects]
  343. ; This section describes objects protected by self-protection mechanism.
  344. {OutpostFiles}
  345. {OutpostRegistry}
  346.  
  347. [TrustedApplications]
  348. ; This section describes the set of applications that have access to Outpost folder.
  349. ; In this folder self-protection exclusions are stored.
  350. ; This application should better be removed after first start.
  351. ;<SystemDir32OrWow>\runonce.exe
  352. <SystemDir32OrWow>\autochk.exe
  353. <SystemDir32OrWow>\csrss.exe
  354. <SystemDir32OrWow>\svchost.exe
  355. {AntileakExclusions}
  356. {SelfProtectionExclusions}
  357.  
  358. [FilteredApplications]
  359. ; This section contains applications for which write access is blocked without notification from Outpost.
  360. <SystemDir32OrWow>\mshta.exe
  361. <SystemDir32OrWow>\rundll32.exe
  362. <SystemDir32OrWow>\taskmgr.exe
  363. <SystemDir32OrWow>\searchindexer.exe
  364.  
  365. [RegistryApplications]
  366. <SystemDir32OrWow>\ntoskrnl.exe
  367. <SystemDir32OrWow>\services.exe
  368. <SystemDir32OrWow>\dfrgntfs.exe
  369.  
  370. [AntispamRegEntries]
  371. spam threshold
  372. unsure threshold
  373. enable outlook
  374. enable express
  375.  
  376. [LogsExt]
  377. .log
  378. .0
  379.  
  380. [TrustedLogs]
  381. wl_hook
  382. oe_mail
  383. oe_mydb
  384. oe_scan
  385. oe_train
  386. oe_sink_old
  387. op_mail
  388. op_scan
  389. op_train
  390. op_gui
  391. selection
  392. enum
  393. expiredmail
  394. adviser 
  395.  
  396. [UninstallData]
  397. unins000.dat
  398. unins001.dat
  399. unins002.dat
  400. unins003.dat
  401. unins004.dat
  402. unins005.dat
  403. unins006.dat
  404. unins007.dat
  405. unins008.dat
  406. unins009.dat
  407.  
  408.  
  409. [SelfProtection]
  410. ; In this section self-protection rules are described.
  411.  
  412. ; Rules for controlling file operations are written in the following format:
  413. ; object_set, access mask, subject_set
  414. ;
  415.  
  416. ; access mask:
  417. ; Attributes available for file operations (FILE=)
  418. ; read                - object read operation is allowed to the entity
  419. ; write                - object write operation is allowed to the entity
  420. ; delete            - operation of deleting the object file is allowed to the entity
  421. ; exec                - operation of launching the object is allowed to the entity
  422. ; connect            - operation of launching the object is allowed to the entity
  423. ; hidden            - operation of object masquerading from the entity
  424. ; full_access        - object has full access to the entity
  425. ; read_only            - object has read only access to the entity
  426.  
  427. ; open_process        - process opening is allowed
  428. ; thread_start        - remote thread starting is allowed
  429. ; thread_stop        - remote thread stopping is allowed
  430. ; write_mem            - remote writing to process memory is allowed
  431. ; thread_ctx        - remote setting of process context is allowed
  432.  
  433. ; no_scan           - do not scan object with on-access antivirus
  434.  
  435. ; no_learn          - on blocking by the rule, service will not be notified
  436. ; no_learn_open     - service will not be notified on blocking open operation
  437. ; no_learn_exec     - --""-- launch operation
  438. ; no_learn_read     - --""-- read operation
  439. ; no_learn_write    - --""-- write operation
  440. ; no_learn_create   - --""-- creation operation
  441. ; no_learn_delete   - --""-- deletion operation
  442. ; no_learn_rename   - --""-- rename operation
  443.  
  444. ; Entity description. If entity name ends with \*, two rules are added.
  445. ; One for the entity, another for its child structures with the specified mask
  446.  
  447. {OutpostExecutable}       -> {ProtectedObjects}  = <FullAccess>
  448. {TrustedApplications}     -> {ProtectedObjects}  = <FullAccess> 
  449. <AllFiles>                -> {ProtectedObjects}  = <LimitedAccess>
  450. <AllFiles>                -> <ExecDir>\?         = read write
  451. {FilteredApplications}    -> {OutpostFiles}      = <LimitedAccessNoLearn>
  452. {RegistryApplications}    -> {OutpostRegistry}   = <FullAccess>
  453.  
  454. <WindowsDir>\explorer.exe -> <ExecDir>\Thumbs.db = <FullAccess>
  455. <WindowsDir>\explorer.exe -> {OutpostExecutable} = <LimitedAccess> allow_send_input allow_send_close
  456.  
  457. <AllFiles>                -> <ExecDir>\Plugins\BrowserBar\ie_bar.ini = <FullAccess>
  458. <AllFiles> -> <ExecDir>\{UninstallData} = <FullAccess> no_scan
  459. <AllFiles> -> <ExecDir>\log\{TrustedLogs}{LogsExt} = <FullAccess> no_scan
  460. <AllFiles> -> <ExecDir>\plugins\anti-spam\data\*  = <FullAccess> no_scan
  461. <AllFiles> -> REGISTRY\<User>\Software\agnitum\Security Suite\{AntispamRegEntries} = <FullAccess>
  462.  
  463. ; Φ±Ωδ■≈σφΦ  - ∩≡Φ Φτ∞σφσφΦΦ Ωεφ⌠Φπ≤≡α÷ΦΦ ±Φ±≥σ∞α ∩≡ε∩Φ±√Γασ≥≥ Γ ²≥Φ Γσ≥ΩΦ φεΓ√σ τφα≈σφΦ 
  464. *->REGISTRY\<MachineServices>\afw\Parameters\Adapters\* = <FullAccess>
  465. *->REGISTRY\<MachineServices>\afw\Parameters\NdisAdapters\* = <FullAccess>
  466.  
  467. [SelfProtectionDebugAdd]
  468. {VCFiles}     -> {ProtectedObjects}  = <FullAccess> 
  469. {WinDbgFiles}     -> {ProtectedObjects}  = <FullAccess> 
  470. {SysIntFiles}     -> {ProtectedObjects}  = <FullAccess> 
  471. ; -------------------------------------------------------------------------------------------------------------------------
  472. ; On Access Scanner Rules
  473. ; -------------------------------------------------------------------------------------------------------------------------
  474. [NoScanExtensions]
  475. .log
  476. .pf
  477. .ci
  478. .dir
  479. .cdf-ms
  480. .part
  481.  
  482. [RegsitryFileStorage]
  483. default
  484. components
  485. sam
  486. security
  487. software
  488. system
  489. components
  490. default.sav
  491. sam.sav
  492. security.sav
  493. software.sav
  494. system.sav
  495. default.old
  496. sam.old
  497. security.old
  498. software.old
  499. system.old
  500.  
  501. [OnAccessScannerRules]
  502.  
  503. ; do not scan own log files when we write them
  504. ; {OutpostExecutable} -> <ExecDir>\log\* = <FullAccess> no_scan
  505.  
  506. {OutpostExecutable} -> * = <FullAccess> no_scan
  507.  
  508. * -> <SystemRoot>\System Volume Information\* = <FullAccess> no_scan
  509. * -> <WindowsDir>\Prefetch\* = <FullAccess> no_scan
  510. * -> <SystemDir>\wbem\logs\* = <FullAccess> no_scan
  511.  
  512.  
  513. <SystemDir>\svchost.exe -> <WindowsDir>\* = <FullAccess> no_scan
  514. <SystemDir>\ntoskrnl.exe -> <WindowsDir>\* = <FullAccess> no_scan
  515.  
  516.  
  517. <SystemDir>\DfrgNtfs.exe -> * = <FullAccess> no_scan
  518. <SystemDir>\SearchIndexer.exe -> * = <FullAccess> no_scan
  519. <SystemDir>\SearchFilterHost.exe -> * = <FullAccess> no_scan
  520. <SystemDir>\SearchProtocolHost.exe -> * = <FullAccess> no_scan
  521.  
  522. <SystemDir>\wbem\wmiadap.exe -> <SystemDir>\perf*.dat = <FullAccess> no_scan
  523.  
  524. * -> \EXTENSIONS\*{NoScanExtensions} = no_scan
  525. * -> <SystemDir>\config\{RegsitryFileStorage} = <FullAccess> no_scan
  526. * -> <SystemDir>\config\regback\{RegsitryFileStorage} = <FullAccess> no_scan
  527. * -> <WindowsDir>\AppPatch\sysmain.sdb = <FullAccess> no_scan
  528. * -> <WindowsDir>\AppPatch\drvmain.sdb = <FullAccess> no_scan
  529.  
  530.  
  531.  
  532. ; -------------------------------------------------------------------------------------------------------------------------
  533. ; System Monitor Settings (for debug purposes)
  534. ; -------------------------------------------------------------------------------------------------------------------------
  535.  
  536. [SandboxMonitor]
  537. ; This section describes monitor settings used for debug purposes only.
  538. ; Macroses do not work here.
  539.  
  540. ; Operation mask for monitor. Available values:
  541. ; open exec read write close delete rename 
  542. Operations=
  543.  
  544. ; Whether operations with folders are monitored.
  545. FolderOperaton=TRUE
  546.  
  547. ; Whether operations with registry are monitored.
  548. RegistryOperation=TRUE
  549.  
  550. ; Whether operations with processes are monitored.
  551. InterprocOperation=FALSE
  552.  
  553. ; Whether non-file operations are monitored.
  554. FileOperation=FALSE
  555.  
  556.  
  557. ; -------------------------------------------------------------------------------------------------------------------------
  558. ; System Events Learning Settings
  559. ; -------------------------------------------------------------------------------------------------------------------------
  560.  
  561. [LearnOperations]
  562. ; This section describes learning channel settings.
  563. ; Macroses do not work in this section.
  564.  
  565. ; Operation mask for the learning channel. Available values:
  566. ; open exec read write close delete rename start stop 
  567. Operations=open exec read write close delete rename
  568.  
  569. ; Whether operations with folders are monitored.
  570. FolderOperaton=TRUE
  571.  
  572. ; Whether operations with registry are monitored.
  573. RegistryOperation=TRUE
  574.  
  575. ; Whether operations with processes are monitored.
  576. InterprocOperation=TRUE
  577.  
  578. ; Whether non-file operations are monitored.
  579. FileOperation=TRUE
  580.  
  581.  
  582. ; -------------------------------------------------------------------------------------------------------------------------
  583. ; ImproveNet Settings
  584. ; -------------------------------------------------------------------------------------------------------------------------
  585.  
  586. [ImproveNet]
  587. ; This section describes ImproveNet settings.
  588.  
  589. ; URL of the server where improve_net reports are stored
  590. URL=http://improvenet.agnitum.com/improvenet.php
  591.  
  592. ; ImproveNet task scheduling settings:
  593.  
  594. ; If ScheduleDay parameter is specified, ImproveNet task will be performed weekly,
  595. ; ScheduleDay specifies the number of a day, available values are 0-6 (0 corresponds to Monday).
  596. ; If ScheduleHour and ScheduleMinute are not specified, they are considered equal to 0.
  597. ScheduleDay=
  598.  
  599. ; If ScheduleHour parameter is specified (without ScheduleDay parameter), ImproveNet task will be performed
  600. ; daily, ScheduleHour specifies the number of an hour, available values are 0-23.
  601. ; If ScheduleMinute not specified, it is considered equal to 0.
  602. ScheduleHour=14
  603.  
  604. ; If ScheduleMinute parameter is specified (without ScheduleDay and ScheduleHour), ImproveNet task will be
  605. ; performed hourly, ScheduleMinute specifies the number of a minute, available values are 0-59.
  606. ScheduleMinute=0
  607.  
  608. ; ScheduleDay, ScheduleHour, ScheduleMinute settings can be specified together, 
  609. ; for example, if all these parameters are specified, ImproveNet task will be performed weekly on the specified day,
  610. ;  at the specified time.
  611.  
  612. [HTTPService]
  613. ; This section describes HTTP settings used in http_service.
  614.  
  615. ; HTTPVersion parameter specifies version to be used in requests,
  616. ; available values are 0.0, 1.0, 1.1
  617. HTTPVersion=1.0
  618.  
  619. ; AppendProductArg parameter specifies that product name should be added to each request,
  620. ; available values are TRUE, FALSE
  621. AppendProductArg=FALSE
  622.  
  623. ; AllowCaching parameter enables/disables caching,
  624. ; available values are TRUE, FALSE
  625. AllowCaching=FALSE
  626.  
  627. ; Proxy parameter defines whether proxy should be used, available
  628. ; values are auto, specified, disabled
  629. Proxy=auto
  630.  
  631. ; ProxyAddress, ProxyPort parameters are used if Proxy=specified,
  632. ; these parameters specify proxy server address and port
  633. ProxyAddress=
  634. ProxyPort=8080
  635.  
  636. ; ProxyAuth parameter specifies that proxy requires authorization, availavle values are TRUE, FALSE;
  637. ; ProxyLogin, ProxyPassword parameters specify credentials
  638. ProxyAuth=false
  639.  
  640. ; ProxyLogin, ProxyPassword parameters specify login and password for the proxy that requires autorization.
  641. ProxyLogin=
  642. ProxyPassword=
  643.  
  644.  
  645. [Protect]
  646. ; Protect plug-in state. If FALSE, no configuration in driver.
  647. Enable=TRUE
  648.  
  649. ; Maximum number of remote hosts for each attack, after which 
  650. ; the reports are stopped till report_timeout expiration.
  651.  
  652. MaxReportHost=10
  653.  
  654. ; Pause before repeated message about the attack for the 
  655. ; remote host, in hundreds ms.
  656. ReportTimeout=6000
  657.  
  658.  
  659. ; -------------------------------------------------------------------------------------------------------------------------
  660. ; Critical Objects Monitor Settings
  661. ; -------------------------------------------------------------------------------------------------------------------------
  662. [SystemMonitor]
  663. ; Main object monitor section.
  664. ; This section describes records for monitor.
  665. RegAutoStart=Auto Start Entries
  666. RegAutoLoad=Auto Start Modules
  667. RegWinLogon=WinLogon Settings
  668. RegShellExtensions=Shell Extensions
  669. RegShellCriticalEntries=Shell Critical Entries
  670. RegApplicationRestrictions=Application Restrictions
  671. RegActiveDesktop=Active Desktop
  672. RegInternetSettings=Internet Settings
  673. RegInternetExplorerPlugins=Explorer Plug-Ins
  674. RegInternetExplorerSettings=Explorer Settings
  675. Reg3rdPartyApplications=Third-Party Applications
  676. LegacyConfigurationFiles=Legacy Configuration Files
  677.  
  678. [DefragApp]
  679. ; Defragmentation sotfware category.
  680. <SystemDir32OrWow>\dfrgntfs.exe
  681.  
  682. [RegShellExtensions]
  683. ; Shell Extensions.
  684. *->REGISTRY\<MachineCurrentVersion>\Explorer\Browser Helper Objects\*=read
  685. *->REGISTRY\<MachineCurrentVersion>\Shell Extensions\Approved\*=read
  686. *->REGISTRY\<MachineCurrentVersion>\ShellServiceObjectDelayLoad\*=read
  687. *->REGISTRY\<MachineCurrentVersion>\Explorer\RemoteComputer\NameSpace\*=read
  688. *->REGISTRY\<CurrentVersionUserMachine3264>\Explorer\SharedTaskScheduler\*=read
  689. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\SystemFileAssociations\shellex\ContextMenuHandlers\*=read
  690. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Active Setup\Installed Components\*=read
  691. <WindowsDir>\explorer.exe->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Active Setup\Installed Components\*=read write
  692.  
  693. [RegShellCriticalEntries]
  694. ; Object 'Windows Shell Open Commands' (85)----------
  695. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\exefile\shell\{OpenOrRunAs}\command\*=read
  696. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\comfile\shell\{OpenOrRunAs}\command\*=read
  697. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\piffile\shell\{OpenOrRunAs}\command\*=read
  698. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\batfile\shell\{OpenOrRunAs}\command\*=read
  699. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\cmdfile\shell\{OpenOrRunAs}\command\*=read
  700. *->REGISTRY\MACHINE\{SoftwareClasses32Or64}\scrfile\shell\{OpenOrRunAs}\command\*=read
  701. *->REGISTRY\<CurrentVersionUserMachine3264>\Explorer\ShellExecuteHooks\*=read
  702.  
  703. [RegApplicationRestrictions]
  704. ; Application restrictions.
  705. *->REGISTRY\<User>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*=read
  706. *->REGISTRY\<User>\Software\Microsoft\Windows\CurrentVersion\Policies\System\*=read
  707. *->REGISTRY\<User>\Software\Policies\Microsoft\Internet Explorer\Control Panel\*=read
  708. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Policies\Microsoft\Internet Explorer\Restrictions\*=read
  709. *->REGISTRY\<MachineCurrentVersion>\Policies\DisableRegistryTools=read
  710.  
  711. [RegInternetSettings]
  712. ; LSP providers.
  713. *->REGISTRY\<MachineServices>\WinSock2\Parameters\*=read
  714. *-><SystemDir>\Drivers\Etc\hosts=read
  715. <SystemDir32OrWow>\svchost.exe-><SystemDir>\Drivers\Etc\hosts=read write
  716. {DefragApp}-><SystemDir>\Drivers\Etc\hosts=read write
  717.  
  718. [RegActiveDesktop]
  719. ; Active Desktop settings.
  720. *->REGISTRY\<User>\Control Panel\Desktop\*=read
  721. *->REGISTRY\<User>\Control Panel\Desktop\WindowMetrics\*=read write delete
  722. *->REGISTRY\<User>\Software\Microsoft\Internet Explorer\Desktop\General\*=read
  723. <WindowsDir>\explorer.exe->REGISTRY\<User>\Software\Microsoft\Internet Explorer\Desktop\General\*=read write delete
  724.  
  725. [RegInternetExplorerPlugins]
  726. ; Internet Explorer Plug-Ins.
  727. *->REGISTRY\MACHINE\{Software32Or64}\Microsoft\Internet Explorer\Plugins\Extension\*=read
  728. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\MenuExt\*=read
  729. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Extensions\*=read
  730. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Explorer Bars\*=read
  731. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Toolbar\ShellBrowser\*=read
  732. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Toolbar\WebBrowser\*=read
  733. <WindowsDir>\explorer.exe->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Toolbar\ShellBrowser\*=read write
  734. <ProgramDir>\Internet Explorer\iexplore.exe->REGISTRY\{MachineOrUser}\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\*=read write
  735. <ProgramDirWow>\Internet Explorer\iexplore.exe->REGISTRY\{MachineOrUser}\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\WebBrowser\*=read write
  736. <ProgramDir>\Internet Explorer\iexplore.exe->\REGISTRY\{MachineOrUser}\SOFTWARE\MICROSOFT\Internet Explorer\Extensions\*=read write
  737. <ProgramDirWow>\Internet Explorer\iexplore.exe->\REGISTRY\{MachineOrUser}\SOFTWARE\Wow6432Node\MICROSOFT\Internet Explorer\Extensions\*=read write
  738.  
  739. [RegInternetExplorerSettings]
  740. ; Internet Explorer URLs
  741. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Main\Start Page=read
  742. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\Main\Search Page=read
  743. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\AboutURLs\*=read
  744. *->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\URLSearchHooks\*=read
  745. <SystemDir32OrWow>\ie4uinit.exe->REGISTRY\{MachineOrUser}\{Software32Or64}\Microsoft\Internet Explorer\*=read write delete
  746.  
  747. [RegAutoStart]
  748. ; Startup Registry Files.
  749. *->REGISTRY\<CurrentVersionUserMachine3264>\Run\*=read
  750. *->REGISTRY\<CurrentVersionUserMachine3264>\RunOnce\*=read
  751. *->REGISTRY\<CurrentVersionUserMachine3264>\RunOnceEx\*=read
  752. *->REGISTRY\<CurrentVersionUserMachine3264>\RunServices\*=read
  753. *->REGISTRY\<User>\Software\Microsoft\Windows NT\CurrentVersion\Windows\load=read
  754. *->REGISTRY\<User>\Software\Microsoft\Windows NT\CurrentVersion\Windows\run\*=read
  755. *->REGISTRY\<MachineNTCurrentVersion3264>\Image File Execution Options\*=read
  756. *->REGISTRY\<MachineCurrentVersion>\policies\Explorer\Run\*=read
  757. ;*->C:\Documents and Settings\*\StartMenu\Programs\Startup\*=read
  758. <SystemDir>\ctfmon.exe->REGISTRY\USER\*\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe=read write delete
  759. <SystemDir>\ctfmon.exe->REGISTRY\USER\*\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe=read write delete
  760. <SystemDir>\wermgr.exe->REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LHWerQueuedReporting=read write delete
  761.  
  762.  
  763. [RegAutoLoad]
  764. ; AppInit Dlls.
  765. *->REGISTRY\MACHINE\{Software32Or64}\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs=read
  766. *->REGISTRY\MACHINE\{Software32Or64}\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs=read
  767. *->REGISTRY\MACHINE\{Software32Or64}\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib=read
  768.  
  769. [RegWinLogon]
  770. ; Windows Logon Policies.
  771. *->REGISTRY\<MachineNTCurrentVersion3264>\Winlogon\GPExtensions\*=read
  772. *->REGISTRY\<MachineNTCurrentVersion3264>\Winlogon\Notify\*=read
  773. *->REGISTRY\<MachineNTCurrentVersion3264>\WOW\boot\shell=read
  774. *->REGISTRY\<MachineNTCurrentVersion3264>\Winlogon\Userinit=read
  775. *->REGISTRY\<MachineNTCurrentVersion3264>\Winlogon\Shell=read
  776. *->REGISTRY\{MachineOrUser}\Software\Policies\Microsoft\Windows\System\Scripts\Logon\*=read
  777. *->REGISTRY\<User>\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell*=read
  778.  
  779. [Reg3rdPartyApplications]
  780. ; Critical non-MS application settings.
  781.  
  782.  
  783. [ProtectedConfigFiles]
  784. ; Configuration files protected from modification.
  785. <WindowsDir>\win.ini
  786. <WindowsDir>\system.ini
  787. <SystemRoot>\autoexec.bat
  788. <SystemRoot>\config.sys
  789. <WindowsDir>\winstart.bat
  790. <WindowsDir>\dosstart.bat
  791. <SystemDir>\autoexec.nt
  792. <SystemDir>\config.nt
  793.  
  794.  
  795. [LegacyConfigurationFiles]
  796. ; Windows win.ini file.
  797. *->REGISTRY\<MachineNTCurrentVersion3264>\IniFileMapping\system.ini\*=read
  798. *->REGISTRY\<MachineNTCurrentVersion3264>\IniFileMapping\win.ini\*=read
  799. *->REGISTRY\<MachineNTCurrentVersion3264>\IniFileMapping\control.ini\*=read
  800. *->{ProtectedConfigFiles}=read
  801. {DefragApp}->{ProtectedConfigFiles}=read write
  802.  
  803.  
  804. ; REGISTRY\<MachineServices>\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\*
  805. ; REGISTRY\<MachineServices>\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\*
  806. ; REGISTRY\<MachineServices>\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\*
  807. ; REGISTRY\<MachineServices>\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\*
  808. ; Off screen
  809. ; ActiveX registration
  810. ; Services registration
  811. ; Object 'Explorer Trojan' (93)----------
  812. ; Dir: ±:\. Search explorer.exe
  813. ; FILE: 'C:\WINDOWS\control.ini' listen 'MMCPL-inetcpl.cpl' section-value. Check data for 'no' value.
  814. ; [RestrictAnonymous]
  815. ; Windows Restrict Anonymous
  816. ; REGISTRY\MACHINE\SYSTEM\ControlSet*\Control\Lsa\restrictanonymous
  817. ; [RegActiveSetup]
  818. ; Installed Components
  819. ;
  820.  
  821.  
  822. [license]
  823. Reseller=agnitum
  824.