HeroConnect.exe

显示全部楼层 · 发表于 2012-6-18 10:11:16

Detection rate : 7/36 (According to VirScan.org)
Password:infected

To ESET.

显示全部楼层 · 发表于 2012-6-18 10:18:06

过毛豆过小A

显示全部楼层 · 发表于 2012-6-18 10:21:15

显示全部楼层 · 发表于 2012-6-18 10:24:35

英文不懂！是否需要net 2.0 ？！

显示全部楼层 · 发表于 2012-6-18 10:25:37

liulangzhecgr 发表于 2012-6-18 10:24
英文不懂！是否需要net 2.0 ？！

是的。

显示全部楼层 · 发表于 2012-6-18 10:27:32

humanlwj52 发表于 2012-6-18 10:25
是的。

谢谢回复！。。。

显示全部楼层 · 发表于 2012-6-18 10:29:22

3801187 发表于 2012-6-18 10:21

危险？！

显示全部楼层 · 发表于 2012-6-18 10:32:05

liulangzhecgr 发表于 2012-6-18 10:29
危险？！

是的，创建进程干其它坏事。

显示全部楼层 · 发表于 2012-6-18 10:34:05

3801187 发表于 2012-6-18 10:32
是的，创建进程干其它坏事。

干什么坏事？！

显示全部楼层 · 发表于 2012-6-18 10:53:56

liulangzhecgr 发表于 2012-6-18 10:34
干什么坏事？！

2012-6-18 10:22:15 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\heroconnect\heroconnect.exe
命令行: "C:\Documents and Settings\Administrator\桌面\HeroConnect\HeroConnect.exe"
规则: [应用程序]*

2012-6-18 10:22:27 创建文件允许
进程: c:\documents and settings\administrator\桌面\heroconnect\heroconnect.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp\executor.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:22:31 创建文件允许
进程: c:\documents and settings\administrator\桌面\heroconnect\heroconnect.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp\setup.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:22:41 创建新进程允许
进程: c:\documents and settings\administrator\桌面\heroconnect\heroconnect.exe
目标: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp\setup.exe"
规则: [应用程序]*

2012-6-18 10:22:45 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\VSD2.tmp\dotnetfx\dotnetchk.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:22:47 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetchk.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VSD2.tmp\dotnetfx\dotnetchk.exe"
规则: [应用程序]*

2012-6-18 10:22:53 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\VSD2.tmp\setup.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:22:56 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: UDP [本机 : 1133] ->  [127.0.0.1 : 1133]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-18 10:22:59 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: TCP [本机 : 1135] ->  [77.67.20.153 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-18 10:23:04 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\K5AB4DIB\dotnetfx[1].exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:23:06 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\VSD2.tmp\dotnetfx\dotnetfx.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:23:35 创建新进程允许
进程: c:\program files\liebao\lbbrowser\knbcenter.exe
目标: c:\program files\liebao\lbbrowser\liebao.exe
命令行: "C:\Program Files\liebao\LBBrowser\liebao.exe" --preread-only
规则: [应用程序]*

2012-6-18 10:26:51 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetchk.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VSD2.tmp\dotnetfx\dotnetchk.exe"
规则: [应用程序]*

2012-6-18 10:26:58 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VSD2.tmp\dotnetfx\dotnetfx.exe"  /q:a /c:"install /q /l"
规则: [应用程序]*

2012-6-18 10:27:16 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\mscoree.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:27:54 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:27:58 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1033.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:00 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1025.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:01 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1028.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:03 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1029.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:04 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1030.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:06 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1031.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:08 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1032.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:09 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1035.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:13 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1036.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:21 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1037.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:22 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1038.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:24 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1040.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:25 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1041.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:28 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1042.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:35 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1043.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:36 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1044.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:37 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1045.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:38 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1046.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:39 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1049.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:40 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1053.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:41 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1055.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:42 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.2052.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:44 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.2070.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:46 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.3076.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:47 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.3082.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:28:48 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\netfx.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:28:53 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\unicows.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:29:27 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0
值: rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\"
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*

2012-6-18 10:29:28 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: c:\documents and settings\administrator\local settings\temp\ixp000.tmp\install.exe
命令行: install /q /l
规则: [应用程序]*

2012-6-18 10:29:30 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\msiexec.exe
命令行: C:\WINDOWS\system32\msiexec.exe /V
规则: [应用程序]*

2012-6-18 10:29:32 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9cc.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:29:33 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9cc.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:29:34 修改文件权限允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9cc.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:29:38 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\msiexec.exe
命令行: C:\WINDOWS\system32\MsiExec.exe -Embedding BAAD4259C452BBDD81C7850E24B2D4F5
规则: [应用程序]*

2012-6-18 10:29:59 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cvtres.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:01 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:03 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AdoNetDiag.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:05 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\alink.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:05 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\alinkui.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:06 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:07 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:08 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_filter.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:09 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:10 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Aspnet_perf.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:10 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_rc.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:11 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regbrowsers.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:12 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:13 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:14 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:15 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:15 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AspNetMMCExt.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:16 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CasPol.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:17 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonExt.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:18 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:19 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\cscompui.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:19 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cscomp.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:21 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cscompmgd.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:22 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Culture.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:25 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CustomMarshalers.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:26 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\CvtResUI.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:27 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfdll.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:28 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\dfshim.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:29 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\diasymreader.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:30 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dv_aspnetmmc.chm
规则: [文件组]所有执行文件 -> [文件]*; *.chm

2012-6-18 10:30:34 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:35 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\fusion.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:37 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExec.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:30:38 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExecRemote.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:48 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEHost.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:30:58 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\mscoree.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:02 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\MUI\0409\mscorees.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:05 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\mscorier.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:18 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Internet Explorer\MUI\0409\mscorier.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:31:21 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\mscories.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:24 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:25 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\netfxperf.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:26 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\NETFXSBS10.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:31:28 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_diasymreader.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:29 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_iehost.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:30 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_microsoft.jscript.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:33 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_microsoft.vsa.vb.codedomprocessor.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:34 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_mscordbi.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:35 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_mscorrc.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:36 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_mscorsec.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:36 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_system.configuration.install.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:38 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_system.data.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:38 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_system.enterpriseservices.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:39 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_VsaVb7rt.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:40 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbs_wminet_utils.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:41 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbscmp10.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:42 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbscmp20_mscorwks.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:42 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\sbscmp20_perfcounter.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:43 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\SharedReg12.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:50 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\winsxs\Manifests\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2012-6-18 10:31:52 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcm80.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:53 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcp80.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:53 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcr80.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:31:55 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\DWDCW20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:31:56 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:31:57 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\DWTRIG20.EXE
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:32:01 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1025\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:04 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1028\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:04 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1031\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:05 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1033\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:06 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1036\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:06 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1040\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:07 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1041\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:07 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\1042\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:08 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\2052\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:09 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\3082\DWINTL20.DLL
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:32:11 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\system32\mscoree.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:32:12 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\msiexec.exe
命令行: C:\WINDOWS\system32\MsiExec.exe -Embedding 038EDB293117C2548046F3DCA1295FE1 M Global\MSI0000
规则: [应用程序]*

2012-6-18 10:32:13 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.JScript.tlb"
规则: [应用程序]*

2012-6-18 10:32:15 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Vsa.tlb"
规则: [应用程序]*

2012-6-18 10:33:48 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb"
规则: [应用程序]*

2012-6-18 10:33:51 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscoree.tlb"
规则: [应用程序]*

2012-6-18 10:33:52 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorlib.tlb"
规则: [应用程序]*

2012-6-18 10:34:06 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Drawing.tlb"
规则: [应用程序]*

2012-6-18 10:34:09 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.EnterpriseServices.tlb"
规则: [应用程序]*

2012-6-18 10:34:11 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.tlb"
规则: [应用程序]*

2012-6-18 10:34:13 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regtlibv12.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Windows.Forms.tlb"
规则: [应用程序]*

2012-6-18 10:34:16 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89D26277-8408-3FC8-BD44-CF5F0E614C82}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:19 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89D26277-8408-3FC8-BD44-CF5F0E614C82}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:20 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89D26277-8408-3FC8-BD44-CF5F0E614C82}\InprocServer32\Class
值: System.Security.Policy.PolicyException
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:21 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89D26277-8408-3FC8-BD44-CF5F0E614C82}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:22 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89D26277-8408-3FC8-BD44-CF5F0E614C82}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:23 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6619A740-8154-43BE-A186-0319578E02DB}\InprocServer32\2.0.50727
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:24 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6619A740-8154-43BE-A186-0319578E02DB}\InprocServer32\2.0.50727
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:25 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62545937-20A9-3D0F-B04B-322E854EACB0}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:25 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62545937-20A9-3D0F-B04B-322E854EACB0}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:26 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62545937-20A9-3D0F-B04B-322E854EACB0}\InprocServer32\Class
值: System.Security.Policy.Evidence
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:27 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62545937-20A9-3D0F-B04B-322E854EACB0}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:28 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62545937-20A9-3D0F-B04B-322E854EACB0}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:28 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC5DA001-7CD4-11D2-8ED9-D8C857F98FE3}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:29 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC5DA001-7CD4-11D2-8ED9-D8C857F98FE3}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:30 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C69C54F-9824-38CC-8387-A22DC67E0BAB}\InprocServer32\Class
值: System.Security.Cryptography.X509Certificates.X509Certificate
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:30 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C69C54F-9824-38CC-8387-A22DC67E0BAB}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:31 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C69C54F-9824-38CC-8387-A22DC67E0BAB}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:32 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\PROTOCOLS\Filter\application/x-msdownload
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter\*

2012-6-18 10:34:32 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/x-msdownload\CLSID
值: {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter\*

2012-6-18 10:34:35 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\PROTOCOLS\Filter\application/x-complus
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter\*

2012-6-18 10:34:40 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/x-complus\CLSID
值: {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter\*

2012-6-18 10:34:42 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\PROTOCOLS\Filter\application/octet-stream
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter\*

2012-6-18 10:34:43 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/octet-stream\CLSID
值: {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter\*

2012-6-18 10:34:44 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3DDB2114-9285-30A6-906D-B117640CA927}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:45 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3DDB2114-9285-30A6-906D-B117640CA927}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:45 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3DDB2114-9285-30A6-906D-B117640CA927}\InprocServer32\Class
值: System.Security.Policy.ApplicationDirectoryMembershipCondition
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:46 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3DDB2114-9285-30A6-906D-B117640CA927}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:47 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3DDB2114-9285-30A6-906D-B117640CA927}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:47 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D367908-928F-3C13-8B93-5E1718820F6D}\InprocServer32\Class
值: System.Security.Cryptography.RIPEMD160Managed
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:48 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D367908-928F-3C13-8B93-5E1718820F6D}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:48 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D367908-928F-3C13-8B93-5E1718820F6D}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:49 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:49 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:50 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06B81C12-A5DA-340D-AFF7-FA1453FBC29A}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:50 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06B81C12-A5DA-340D-AFF7-FA1453FBC29A}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:51 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06B81C12-A5DA-340D-AFF7-FA1453FBC29A}\InprocServer32\Class
值: System.Security.Policy.AllMembershipCondition
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:51 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06B81C12-A5DA-340D-AFF7-FA1453FBC29A}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:52 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06B81C12-A5DA-340D-AFF7-FA1453FBC29A}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:52 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{477A7D8E-8D26-3959-88F6-F6AB7E7F50CF}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:53 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{477A7D8E-8D26-3959-88F6-F6AB7E7F50CF}\InprocServer32\Class
值: System.Security.Cryptography.HMACSHA512
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:53 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{477A7D8E-8D26-3959-88F6-F6AB7E7F50CF}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:54 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05EBA309-0164-11D3-8729-00C04F79ED0D}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:54 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05EBA309-0164-11D3-8729-00C04F79ED0D}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:55 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\InprocServer32\2.0.50727
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:56 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DC5DA001-7CD4-11D2-8ED9-D8C857F98FE3}\InprocServer32\2.0.50727
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:56 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{05EBA309-0164-11D3-8729-00C04F79ED0D}\InprocServer32\2.0.50727
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:57 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e82a2d71-5b2f-43a0-97b8-81be15854de8}\InProcServer32\ThreadingModel
值: Apartment
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:57 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e82a2d71-5b2f-43a0-97b8-81be15854de8}\InProcServer32
值: C:\WINDOWS\system32\dfshim.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:58 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DAA132BF-1170-3D8B-A0EF-E2F55A68A91D}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:59 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DAA132BF-1170-3D8B-A0EF-E2F55A68A91D}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:34:59 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DAA132BF-1170-3D8B-A0EF-E2F55A68A91D}\InprocServer32\Class
值: System.Security.Cryptography.TripleDESCryptoServiceProvider
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:00 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DAA132BF-1170-3D8B-A0EF-E2F55A68A91D}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:00 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DAA132BF-1170-3D8B-A0EF-E2F55A68A91D}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:01 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84589833-40D7-36E2-8545-67A92B97C408}\InprocServer32\Class
值: System.Security.HostSecurityManager
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:02 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84589833-40D7-36E2-8545-67A92B97C408}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:02 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84589833-40D7-36E2-8545-67A92B97C408}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:03 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}\InProcServer32\ThreadingModel
值: Apartment
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:03 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}\InProcServer32
值: C:\WINDOWS\system32\dfshim.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:03 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Application.Reference\shell\open\command
值: rundll32.exe dfshim.dll,ShOpenVerbShortcut %1
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command

2012-6-18 10:35:04 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{29A6CF6F-D663-31A7-9210-1347871681FC}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:04 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{29A6CF6F-D663-31A7-9210-1347871681FC}\InprocServer32\Class
值: System.Security.Permissions.GacIdentityPermission
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:08 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{29A6CF6F-D663-31A7-9210-1347871681FC}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:10 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE53ED01-CAB4-39CE-854A-8BF544EEEC35}\InprocServer32\Class
值: System.Security.Cryptography.HMACSHA384
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:11 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE53ED01-CAB4-39CE-854A-8BF544EEEC35}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:12 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE53ED01-CAB4-39CE-854A-8BF544EEEC35}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:13 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FA7A1C5-812C-3B56-B957-CB14AF670C09}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:13 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FA7A1C5-812C-3B56-B957-CB14AF670C09}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:14 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FA7A1C5-812C-3B56-B957-CB14AF670C09}\InprocServer32\Class
值: System.Security.Cryptography.SignatureDescription
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:15 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FA7A1C5-812C-3B56-B957-CB14AF670C09}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:15 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FA7A1C5-812C-3B56-B957-CB14AF670C09}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:16 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98af66e4-aa41-4226-b80f-0b1a8f34eeb4}\InProcServer32\ThreadingModel
值: Apartment
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:16 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98af66e4-aa41-4226-b80f-0b1a8f34eeb4}\InProcServer32
值: C:\WINDOWS\system32\dfshim.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:17 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Application.Manifest\shell\open\command
值: rundll32.exe dfshim.dll,ShOpenVerbApplication %1
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command

2012-6-18 10:35:17 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6673C32-3943-3BBB-B476-C09A0EC0BCD6}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:18 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6673C32-3943-3BBB-B476-C09A0EC0BCD6}\InprocServer32\RuntimeVersion
值: v1.1.4322
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:18 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6673C32-3943-3BBB-B476-C09A0EC0BCD6}\InprocServer32\Assembly
值: mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:19 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6673C32-3943-3BBB-B476-C09A0EC0BCD6}\InprocServer32\Class
值: System.Security.Cryptography.SHA512Managed
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:19 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6673C32-3943-3BBB-B476-C09A0EC0BCD6}\InprocServer32
值: mscoree.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:20 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C314899-8F99-3041-A49D-2F6AFC0E6296}\InprocServer32\Class
值: System.Security.Cryptography.HMACSHA256
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:25 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C314899-8F99-3041-A49D-2F6AFC0E6296}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:35:30 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1D2680C9-0E2A-469d-B787-065558BC7D43}\shellex\ContextMenuHandlers\{1D2680C9-0E2A-469d-B787-065558BC7D43}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*

2012-6-18 10:35:31 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1D2680C9-0E2A-469d-B787-065558BC7D43}\shellex\ContextMenuHandlers\{1D2680C9-0E2A-469d-B787-065558BC7D43}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*

2012-6-18 10:35:31 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1D2680C9-0E2A-469d-B787-065558BC7D43}\shellex\ContextMenuHandlers\{1D2680C9-0E2A-469d-B787-065558BC7D43}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*

2012-6-18 10:35:59 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58FC39EB-9DBD-4EA7-B7B4-9404CC6ACFAB}\LocalServer32
值: C:\PROGRA~1\COMMON~1\MICROS~1\DW\DWTRIG20.EXE -s
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\LocalServer32

2012-6-18 10:36:02 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.NETFramework
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:36:03 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.NET CLR Data
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:36:05 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.NET Data Provider for SqlServer
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:36:06 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:06 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}\ComponentID
值: .NETFramework
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:07 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
值: .NET Framework
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:08 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}\Locale
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:09 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}\Version
值: 2,0,50727,0
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:10 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.NET CLR Networking
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:36:11 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{e82a2d71-5b2f-43a0-97b8-81be15854de8}
值: ShellLink for Application References
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*

2012-6-18 10:36:13 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
值: Shell Icon Handler for Application References
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*

2012-6-18 10:36:24 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:32 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}\DontAsk
值: 0x00000002(2)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:41 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}\StubPath
值: C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:45 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}\IsInstalled
值: 0x00000001(1)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:47 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}\ComponentID
值: DOTNETFRAMEWORKS
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-18 10:36:52 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.NET Data Provider for Oracle
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:37:04 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\wbem\mofcomp.exe
命令行: "C:\WINDOWS\system32\wbem\mofcomp.exe" "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CLR.mof"
规则: [应用程序]*

2012-6-18 10:37:14 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\ZLY8IT3D\Microsoft.VisualBasic.Vsa.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:16 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\L1CMW6HR\Microsoft.Vsa.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:18 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\FS3DNX7H\Microsoft_VsaVb.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:19 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\M1CMW6GQ\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:20 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\U7HR1BLV\AspNetMMCExt.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:22 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\WGV5FP0O\System.EnterpriseServices.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:24 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\WGV5FP0O\System.EnterpriseServices.Wrapper.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:25 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\WGV5FP0O\System.EnterpriseServices.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2012-6-18 10:37:26 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\WGV5FP0O\System.EnterpriseServices.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2012-6-18 10:37:28 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\WinSxS\Manifests\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2012-6-18 10:37:33 底层磁盘写操作允许
进程: c:\windows\system32\msiexec.exe
目标: \Device\HarddiskVolume1
规则: [应用程序]*

2012-6-18 10:37:35 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\DS3DNX7I\System.Deployment.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:36 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\K2CNX7HR\cscompmgd.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:37 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\Q4EP0BLV\Microsoft.JScript.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:38 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\2LW7JU4E\Microsoft.Build.Engine.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:40 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\BR2CMW7H\Microsoft.Build.Framework.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:41 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\HW6HR1BL\Microsoft.Build.Tasks.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:42 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\Q8JT6GQ0\Microsoft.Build.Utilities.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:43 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\P5IT3DOY\Accessibility.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:44 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\Q2DNX7HR\System.Security.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:45 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\CQ0AKU4G\CustomMarshalers.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:46 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\6LW6HR1B\System.Configuration.Install.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:47 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\VALV5FP0\System.DirectoryServices.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:48 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\8EYZEPZ9\System.DirectoryServices.Protocols.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:49 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\4JT4EOYA\System.Drawing.Design.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:50 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\5JU4EPZ9\System.ServiceProcess.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:50 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\UANX7HR1\System.Web.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:52 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\5MX7JT3D\System.Web.RegularExpressions.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:52 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\ZCMW6HR1\System.Web.Services.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:53 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\QZBLV6GQ\System.Windows.Forms.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:54 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\9PZ9LW6G\System.XML.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:54 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\R6HR1CMW\System.Data.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:55 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\7NZ9KU4G\System.Design.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:37:56 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\IU5FP2FP\IEExecRemote.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:05 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\HY9JT3DN\IEHost.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:06 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\WEOY8JT3\IIEHost.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:07 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\HY9JT3EO\ISymWrapper.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:08 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\BU4EOZ9J\mscorlib.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:09 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\S8JT3DNX\System.Data.OracleClient.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:10 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\YEP0AKU4\System.Data.SqlXml.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:11 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\GS2CMX7H\System.Management.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:12 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\5IV6GQ0B\System.Runtime.Remoting.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:13 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\YCMW6GQ1\System.Runtime.Serialization.Formatters.Soap.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:14 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\FR2CMY9J\sysglobl.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:14 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\BS3DNX7I\System.configuration.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:15 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\CQ0DNX7H\System.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:16 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\J5GR1BMW\System.Drawing.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:17 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\3JT4EOY8\System.Messaging.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:17 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\J0BMW6IS\System.Transactions.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:18 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\N5FQ0AKU\System.Web.Mobile.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:19 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\LZAKU4EO\Microsoft.VisualBasic.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:20 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\Q4FPZ9JT\Microsoft.VisualBasic.Compatibility.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:21 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\9MW8JT3D\Microsoft.VisualBasic.Compatibility.Data.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:21 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\assembly\tmp\DQ3DNX8I\Microsoft.VisualC.Dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:38:22 安装驱动程序或服务允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
规则: [应用程序]*

2012-6-18 10:38:24 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe -iru
规则: [应用程序]*

2012-6-18 10:38:25 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*

2012-6-18 10:38:28 修改注册表值允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000507-0000-0010-8000-00AA006D2EA4}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:38:31 修改注册表值允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000050B-0000-0010-8000-00AA006D2EA4}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:38:32 修改注册表值允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000535-0000-0010-8000-00AA006D2EA4}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:38:33 修改注册表值允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000541-0000-0010-8000-00AA006D2EA4}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2012-6-18 10:38:33 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: c:\windows\system32\wbem\mofcomp.exe
命令行: mofcomp C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet.mof
规则: [应用程序]*

2012-6-18 10:38:43 创建注册表项允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspnet_state
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:38:45 安装驱动程序或服务允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
规则: [应用程序]*

2012-6-18 10:38:49 创建注册表项允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET_2.0.50727
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:38:56 创建注册表项允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_regiis.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-18 10:39:01 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9d1.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:39:03 删除文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9d1.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:39:04 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9d1.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:39:05 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9d1.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:39:11 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\regsvcs.exe
命令行: "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe" /bootstrapi
规则: [应用程序]*

2012-6-18 10:39:21 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:39:23 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {D96A23EF-431E-4618-944B-89FB84E97D0B} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:39:26 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {87B43682-A89E-4985-9FB8-B84AA05BB922} -Comment "Compile worker for mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
规则: [应用程序]*

2012-6-18 10:39:51 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP66.tmp\mscorlib.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:39:53 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP66.tmp\mscorlib.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:39:54 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\0e3557476f316b4b81cf8a8d5abe1c77\mscorlib.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:39:55 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "AspNetMMCExt, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:39:56 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
规则: [应用程序]*

2012-6-18 10:40:01 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Deployment, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:01 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wbem\wmiadap.exe
命令行: wmiadap.exe /D /T
规则: [应用程序]*

2012-6-18 10:40:01 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:02 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "Microsoft.Build.Engine, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:03 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "Microsoft.Build.Framework, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:04 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "Microsoft.Build.Tasks, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:05 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "Microsoft.Build.Utilities, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:07 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "Accessibility, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:08 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.EnterpriseServices, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:09 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Security, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:10 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "CustomMarshalers, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:10 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.DirectoryServices, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:11 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.DirectoryServices.Protocols, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:40:12 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Drawing.Design, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:40:13 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {2DD8344A-AEE6-4C02-9D52-E1C56079C387} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:40:14 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {489E40D2-5700-435C-920C-E342A62DBBD8} -Comment "Compile worker for System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
规则: [应用程序]*

2012-6-18 10:41:01 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP75.tmp\System.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:03 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP75.tmp\System.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:03 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\ad73df4b07c82048a66e810b7d125d09\System.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:05 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {5B6AC0F1-CD95-4044-B262-D46564C738A2} -Comment "Compile worker for System.Drawing.Design, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
规则: [应用程序]*

2012-6-18 10:41:08 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP76.tmp\System.Drawing.Design.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:09 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP76.tmp\System.Drawing.Design.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:10 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing.Desi#\0cd3fbe28086904e9532f52ca5a37d02\System.Drawing.Design.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:12 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:41:13 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Web.RegularExpressions, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:41:15 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Web.Services, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:41:16 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Windows.Forms, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:41:17 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {305D0EC8-F897-4C29-9FDE-A2996FB7B411} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:41:19 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {20C66864-D018-4B3F-B89C-D3A15AF061BD} -Comment "Compile worker for System.Drawing, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
规则: [应用程序]*

2012-6-18 10:41:25 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP7B.tmp\System.Drawing.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:25 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP7B.tmp\System.Drawing.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:26 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\9d0bf349730a1647b7d5c666da665234\System.Drawing.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:41:27 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {C1D6D6DB-CB18-4680-8349-80A3EFD0F795} -Comment "Compile worker for System.Windows.Forms, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
规则: [应用程序]*

2012-6-18 10:43:02 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP7C.tmp\System.Windows.Forms.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:43:04 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP7C.tmp\System.Windows.Forms.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:43:05 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\527216f32a00bb4fb6cbe322b9483a57\System.Windows.Forms.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:43:06 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Xml, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:43:08 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {D5DC3E03-F4FE-4DF9-B39F-F962FD25AC42} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:43:10 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {1F4AFB38-14EC-4DD7-9C36-15EAC5C826FF} -Comment "Compile worker for System.Xml, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
规则: [应用程序]*

2012-6-18 10:43:31 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP80.tmp\System.Xml.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:43:32 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP80.tmp\System.Xml.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:43:32 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\a8ea303f06709d44b85cb793b3f428e8\System.Xml.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:43:33 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Data, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:43:34 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {3A484411-6209-4BAC-BA63-24578EBF36AE} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:43:35 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {00A5BF64-0698-40FA-AADF-ED58D5F43B68} -Comment "Compile worker for System.Data, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
规则: [应用程序]*

2012-6-18 10:44:11 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP82.tmp\System.Data.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:44:12 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP82.tmp\System.Data.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:44:13 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\cbfc112ce027744fbaaf2603de6bb5db\System.Data.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:44:14 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Design, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:44:15 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {0B7B9C09-21E1-47A1-A0BE-32F2E802509C} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:44:17 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {301EE9D3-7577-4E18-890F-1D9F1D93DCE7} -Comment "Compile worker for System.Design, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
规则: [应用程序]*

2012-6-18 10:44:38 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP84.tmp\System.Design.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:44:39 修改文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP84.tmp\System.Design.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:44:40 创建文件允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Design\44c8902361a53343a5fc1a9493c26e83\System.Design.ni.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-6-18 10:44:41 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Configuration, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:44:43 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:44:44 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {24BB881B-3890-4224-8F49-B6D766B71606} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:44:45 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Drawing, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /nologo
规则: [应用程序]*

2012-6-18 10:44:46 创建新进程允许
进程: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -UseCLSID {50E0F296-0EB9-47A9-8FD9-1D2F3850F719} -Comment "Dependency Analyzer"
规则: [应用程序]*

2012-6-18 10:44:48 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Transactions, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:44:49 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "System.Web.Mobile, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:44:50 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install "Microsoft.VisualBasic, Version=8.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /NoDependencies /queue:3 /nologo
规则: [应用程序]*

2012-6-18 10:44:52 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe
命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe update /queue
规则: [应用程序]*

2012-6-18 10:44:53 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\lodctr.exe
命令行: C:\WINDOWS\system32\lodctr.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\_Networkingperfcounters.ini
规则: [应用程序]*

2012-6-18 10:44:55 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\lodctr.exe
命令行: C:\WINDOWS\system32\lodctr.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\_DataOracleClientPerfCounters_shared12_neutral.ini
规则: [应用程序]*

2012-6-18 10:45:03 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\lodctr.exe
命令行: C:\WINDOWS\system32\lodctr.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\_dataperfcounters_shared12_neutral.ini
规则: [应用程序]*

2012-6-18 10:45:06 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\lodctr.exe
命令行: C:\WINDOWS\system32\lodctr.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\_DataPerfCounters.ini
规则: [应用程序]*

2012-6-18 10:45:08 创建新进程允许
进程: c:\windows\system32\msiexec.exe
目标: c:\windows\system32\lodctr.exe
命令行: C:\WINDOWS\system32\lodctr.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\corperfmonsymbols.ini
规则: [应用程序]*

2012-6-18 10:45:11 删除文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\8d9cc.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:45:15 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\unicows.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:18 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\netfx.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:45:19 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.3082.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:20 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.3076.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:21 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.2070.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:22 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.2052.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:23 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1055.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:24 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1053.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:25 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1049.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:27 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1046.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:28 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1045.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:28 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1044.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:29 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1043.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:30 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1042.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:31 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1041.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:32 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1040.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:33 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1038.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:34 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1037.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:35 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1036.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:36 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1035.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:37 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1032.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:38 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1031.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:39 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1030.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:40 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1029.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:41 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1028.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:42 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1025.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:42 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.res.1033.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:43 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\install.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:45:44 删除文件允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\mscoree.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:45:45 删除注册表值允许
进程: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetfx.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*

2012-6-18 10:45:54 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\vsd2.tmp\dotnetfx\dotnetchk.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VSD2.tmp\dotnetfx\dotnetchk.exe"
规则: [应用程序]*

2012-6-18 10:45:59 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wbem\wmiadap.exe
命令行: wmiadap.exe /D /T
规则: [应用程序]*

2012-6-18 10:45:59 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\1.tmp\executor.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp\executor.exe"
规则: [应用程序]*

2012-6-18 10:46:06 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\executor.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp\setup.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:46:08 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp\executor.exe
目标: c:\windows\system32\msiexec.exe
命令行: "C:\WINDOWS\system32\msiexec.exe" /i setup.msi
规则: [应用程序]*

2012-6-18 10:46:14 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\181c13.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:46:15 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\181c13.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:46:16 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\msiexec.exe
命令行: C:\WINDOWS\system32\msiexec.exe /V
规则: [应用程序]*

2012-6-18 10:46:18 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c3.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:46:19 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c3.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:46:20 修改文件权限允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c3.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:46:27 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.Client.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:46:28 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.Core.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:46:29 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.GuestClient.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:46:30 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.GuestService.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-6-18 10:46:31 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.Windows.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:46:31 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.WindowsClient.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2012-6-18 10:46:32 创建注册表项允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Guest Service (60976f68bc3b5a05)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2012-6-18 10:46:40 修改注册表值允许
进程: c:\windows\system32\msiexec.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Guest Service (60976f68bc3b5a05)
值: Service
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2012-6-18 10:46:48 安装驱动程序或服务允许
进程: c:\windows\system32\msiexec.exe
目标: "C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.GuestService.exe" "?y=Guest&h=connect.computerhero.ca&p=443&k=BgIAAACkAABSU0ExAAgAAAEAAQCn%2bTBb91UgGfz1O3dhJ1Eb8UX4%2f9a16%2btsyLRaijM2%2boorvVVghluzfyheVtNQ%2fTn5w2wcGuf
规则: [应用程序]*

2012-6-18 10:46:51 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestservice.exe
命令行: "C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.GuestService.exe" "?y=Guest&h=connect.computerhero.ca&p=443&k=BgIAAACkAABSU0ExAAgAAAEAAQCn%2bTBb91UgGfz1O3dhJ1Eb8UX4%2f9a16%2btsyLRaijM2%2boorvVVghluzfyheVtNQ%2fTn5w2wcGuf
规则: [应用程序]*

2012-6-18 10:46:55 创建新进程允许
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestservice.exe
目标: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
命令行: "C:\Program Files\ScreenConnect Guest Service (60976f68bc3b5a05)\Elsinore.ScreenConnect.GuestClient.exe" "?y=Guest&h=connect.computerhero.ca&p=443&k=BgIAAACkAABSU0ExAAgAAAEAAQCn%2bTBb91UgGfz1O3dhJ1Eb8UX4%2f9a16%2btsyLRaijM2%2boorvVVghluzfyheVtNQ%2fTn5w2wcGuf%
规则: [应用程序]*

2012-6-18 10:46:57 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c6.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:47:03 底层键盘操作允许
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
规则: [应用程序]*

2012-6-18 10:47:04 删除文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c6.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:47:14 向其他进程发送消息阻止
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_CHANGECBCHAIN
规则: [应用程序]*

2012-6-18 10:47:15 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c6.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:47:21 访问网络允许
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
目标: TCP [本机 : 1214] ->  [68.144.188.205 : 443 (https)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-18 10:47:23 修改文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c6.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:47:24 底层键盘操作允许
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
规则: [应用程序]*

2012-6-18 10:47:30 创建文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\{AAA0C6A9-9496-429A-A4E3-0CED4713E0BD}\Icon.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2012-6-18 10:47:32 底层键盘操作允许
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
规则: [应用程序]*

2012-6-18 10:47:33 删除文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\WINDOWS\Installer\1834c3.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

2012-6-18 10:47:34 底层键盘操作允许
进程: c:\program files\screenconnect guest service (60976f68bc3b5a05)\elsinore.screenconnect.guestclient.exe
规则: [应用程序]*

2012-6-18 10:47:36 删除文件允许
进程: c:\windows\system32\msiexec.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\181c13.msi
规则: [文件组]所有执行文件 -> [文件]*; *.msi

[病毒样本] HeroConnect.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块