应该是个老毒了，有用诺顿或者360云鉴定器帮忙看下什么时间出现和流行的

显示全部楼层 · 发表于 2013-11-16 00:06:10

本帖最后由 li13911 于 2013-11-16 00:07 编辑

公司电脑里捉的，感觉电脑有点慢，就看了看run键，居然加了个soundman的启动项，文件却加了系统或者隐藏属性，大家帮忙看看是什么类型的。还有，可否看看行为。

@moonsilver @zhou0197 @kxmp

显示全部楼层 · 发表于 2013-11-16 00:21:58

C:\Users\\Desktop\system\winppk.exe > UPX v12_m2 - Generik.MPFMTFO 特洛伊木马的变种 - 是已删除对象的一部分

C:\Users\\Desktop\system\lpk.dll - Win32/Agent.RNS 特洛伊木马 - 通过删除清除 - 已隔离

eset kill

显示全部楼层 · 发表于 2013-11-16 00:27:31

又是lpk.dll
这玩意至少2009就有了。因为最多只感染到7

显示全部楼层 · 发表于 2013-11-16 00:28:57

楼上，lpk病毒
秒懂

显示全部楼层 · 发表于 2013-11-16 00:42:45

XywCloud 发表于 2013-11-16 00:28
楼上，lpk病毒
秒懂

lpk也有好多种的，我晕，你楼上的ESET怎么才杀了两个？

Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20100101 Firefox/22.0 (zh-CN)
—— 新浪网天气信息地球上的某个城市:8月12日08:00发布　

—— 今天星期一(8月12日) 阴 34℃～25℃ 南风微风
—— 明天星期二(8月13日) 多云 35℃～26℃ 南风微风
—— 发帖时间：现在是2013年11月16日第4季度星期六 00时42分50秒883毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

显示全部楼层 · 发表于 2013-11-16 01:06:17

本帖最后由 zhou0197 于 2013-11-16 01:49 编辑

http://fireeye.ijinshan.com/anal ... 00da5382285a32#full

soundman.exe：

2013-11-16 01:35:14 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\system\soundman.exe
命令行: "C:\Documents and Settings\Administrator\桌面\system\SOUNDMAN.EXE"
规则: [应用程序]*

2013-11-16 01:35:15 创建文件允许
进程: c:\documents and settings\administrator\桌面\system\soundman.exe
目标: C:\windows\winnvsys.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:35:15 创建新进程允许
进程: c:\documents and settings\administrator\桌面\system\soundman.exe
目标: c:\documents and settings\administrator\local settings\temp\hrl1.tmp
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hrl1.tmp
规则: [应用程序]*

2013-11-16 01:35:16 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\system\soundman.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\killkey
值: c:\windows\system\SOUNDMAN.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2013-11-16 01:35:17 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\hrl1.tmp
目标: C:\WINDOWS\system32\fsflsu.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:35:17 安装驱动程序或服务允许
进程: c:\documents and settings\administrator\local settings\temp\hrl1.tmp
目标: C:\WINDOWS\system32\fsflsu.exe
规则: [应用程序]*

2013-11-16 01:35:18 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distribueoo
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2013-11-16 01:35:18 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distribueoo\Start
值: 0x00000002(2)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2013-11-16 01:35:19 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distribueoo\ImagePath
值: C:\WINDOWS\system32\fsflsu.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2013-11-16 01:35:19 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\fsflsu.exe
命令行: C:\WINDOWS\system32\fsflsu.exe
规则: [应用程序]*

2013-11-16 01:35:20 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\temp\hrl1.tmp
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SOFTWARE.LOG
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

2013-11-16 01:35:21 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\hra33.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:35:22 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\RCX2.tmp
规则: [文件]?:\

2013-11-16 01:35:23 访问网络允许
进程: c:\windows\system32\fsflsu.exe
目标: TCP [本机 : 1040] ->  [221.130.179.36 : 8081]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-11-16 01:35:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\360急救箱\fix\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\01\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:25 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\1.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:35:26 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: d:\program files\winrar\rar.exe
命令行: D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\1.zip" lpk.dll
规则: [应用程序]*

2013-11-16 01:35:26 从其他进程复制句柄允许
进程: c:\windows\system32\cmd.exe
目标: d:\program files\winrar\rar.exe
句柄: (File) \Device\NamedPipe\Win32Pipes.00000a70.00000001
规则: [应用程序]*

2013-11-16 01:35:28 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: d:\program files\winrar\rar.exe
命令行: "D:\PROGRA~1\WinRAR\rar.exe" x "E:\virus\1.zip" *.exe "C:\WINDOWS\TEMP\IRAA60.tmp\"
规则: [应用程序]*

2013-11-16 01:35:30 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c RD /s /q "C:\WINDOWS\TEMP\IRAA60.tmp"
规则: [应用程序]*

2013-11-16 01:35:30 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\111.part1.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:35:33 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:35 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\360急救箱\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:36 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\4-45-019.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:35:36 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\SafeBase\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:38 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c RD /s /q "C:\WINDOWS\TEMP\IRAA5C.tmp"
规则: [应用程序]*

2013-11-16 01:35:39 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\lpk.dll
规则: [文件]?:\

2013-11-16 01:35:40 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\EmsisoftEmergencyKit\Run\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:41 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\SetupEx~0\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:47 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\vmware-Administrator\VMwareDnD\ad6cfc08\360急救箱\fix\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:50 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\vmware-Administrator\VMwareDnD\ad6cfc08\360急救箱\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:53 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\EmsisoftEmergencyKit\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:53 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\HitmanPro\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:35:54 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\killparite.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:35:59 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\Malwarebytes_Portable_1.50_Multilingual.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:36:02 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\mbam.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:02 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\mbamgui.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:03 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\mbamservice.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:03 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\MalwarebytesPortable.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:04 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:04 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:06 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8KFPLYK7\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:08 底层磁盘写操作允许
进程: d:\program files\winrar\rar.exe
目标: \Device\HarddiskVolume2
规则: [应用程序]*

2013-11-16 01:36:09 删除文件允许
进程: d:\program files\winrar\rar.exe
目标: D:\Malwarebytes_Portable_1.50_Multilingual.rar
规则: [文件]?:\

2013-11-16 01:36:10 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:10 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\mbam.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:10 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\mbamgui.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:11 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\App\Malwarebytes\mbamservice.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:11 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:12 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Malwarebytes_Portable_1.50_Multilingual\MalwarebytesPortable\MalwarebytesPortable.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:13 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\1\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:13 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\2\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:14 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:14 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\2008R2激活工具\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:15 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\2013同学聚会名单公布\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:15 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\MSOFFICE\OFFICE11\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:15 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:16 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\SETUP\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:16 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\21.00\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:17 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\21.00.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:36:18 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\21.00\ConfigServer.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:19 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\21.00\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:20 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c RD /s /q "C:\WINDOWS\TEMP\IRAA58.tmp"
规则: [应用程序]*

2013-11-16 01:36:20 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\21.00\ConfigServer.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:21 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\21.00\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:21 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\338\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:22 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\AkelPad-4.8.5-bin-eng\AkelFiles\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:22 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\AkelPad-4.8.5-bin-eng\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\MSOCache\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Premium8yue\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:24 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\DNF解封强化辅助版.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:36:26 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\DNF解封强化辅助版.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:26 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:27 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\DNF解封强化辅助版.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:36:28 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:36:28 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\Plants_Vs._Zombies_Game_Of_The_Year_Edition_17614_4\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:30 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\Premium8yue\ivdf_fusebundle_nt_en.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:36:34 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\PotPlayer美化\工具\Restorator 2007\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:35 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\PotPlayer美化\工具\Restorator 2007\UPX\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:36 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\QvodPlayer\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:37 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\QvodPlayer\AddIn\KWWebgame\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:40 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\QvodPlayer\AddIn\{778A59F8-BA87-9E31-7CC6-F754D76DEB16}\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:52 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Microsoft Office\OFFICE11\2052\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:36:55 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Microsoft Office\OFFICE11\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:01 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Tencent\QQ\Bin\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:03 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Tencent\QQ\Bin\SetupEx\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:13 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Tencent\QQ\Plugin\Com.Tencent.QQMusic\bin\QQMusic\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:13 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Tencent\QQ\Plugin\Com.Tencent.QQPet\bin\QQPet\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:17 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Tencent\QQ\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:21 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Thunder Network\Thunder\Components\ExplorerHelper\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Thunder Network\Thunder\Program\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:26 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\system.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:27 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\virus.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:30 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\宏病毒.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:31 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\密码\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:32 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\控制端V3.4 修复崩溃\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:33 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\控制端V3.4 修复崩溃.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:33 结束其他进程允许
进程: c:\windows\system32\fsflsu.exe
目标: d:\program files\winrar\rar.exe
规则: [应用程序]*

2013-11-16 01:37:35 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\控制端V3.4 修复崩溃\Winds.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:37:36 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\111.part2.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:37 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\控制端V3.4 修复崩溃\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:37:38 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\控制端V3.4 修复崩溃\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:37:38 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\控制端V3.4 修复崩溃\Winds.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:37:39 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\新建文件夹\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:40 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\bankrun.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:42 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\bankrun.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:37:43 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\bankrun.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:37:44 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\l2.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:45 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\Net_20140530_License.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:47 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\psbc_guard (1).zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:49 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\psbc_guard.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:51 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\QQ.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:53 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\QQ.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:37:54 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\QQ.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:37:54 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:55 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\Thunder Network\Thunder\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:55 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\virus.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:57 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\wswehjhhh\wswehjhhh\wswehjhhh.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:37:59 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Program Files\WinRAR\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:37:59 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\安装程序.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:01 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\安装程序.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:01 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\wswehjhhh\wswehjhhh\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:02 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\SalityKiller.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:03 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\wswehjhhh.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:04 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\wswehjhhh\安装程序.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:05 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\wswehjhhh\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:06 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\SandboxieV3.30\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:07 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\wswehjhhh\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:08 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\wswehjhhh\安装程序.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:08 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\Thunder\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:09 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\www.gg1z.com-7lnztsfz3022.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:10 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\Thunder.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:12 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\逆战辅助\逆战辅助.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:12 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Thunder\Thunder_5.8.14.706_NoAD_END.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:13 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\逆战辅助\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:14 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\逆战辅助\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:15 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\逆战辅助\逆战辅助.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:15 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\Thunder\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:16 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\www.gg1z.com-逆战乐乐透视网吧家庭通用V0321-2版.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:17 删除文件允许
进程: d:\program files\winrar\rar.exe
目标: D:\Thunder.rar
规则: [文件]?:\

2013-11-16 01:38:19 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Thunder\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:19 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\Thunder\Thunder_5.8.14.706_NoAD_END.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:20 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\逆战乐乐透视网吧家庭通用V0321-2版.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:21 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\UniExtract.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:22 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\逆战乐乐透视网吧家庭通用V0321-2版.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:23 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\【批量下载】Lwoo等.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:24 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\7z.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:25 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\arc.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:25 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\arj.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:26 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\AspackDie.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:26 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\bin2iso.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:27 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\手机攻击器.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:28 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\BOOZ.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:28 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\cdirip.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:29 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\clit.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:30 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\cmdTotal.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:30 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\服务器管理\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:31 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\Expander.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:31 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\EXTRACT.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:32 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\extractMHT.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:33 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\E_WISE_W.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:33 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\helpdeco.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:34 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\i3comp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:35 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\i5comp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:35 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\象棋软件(可连线)\Engine\名手3.26_双核版\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:36 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\i6comp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:36 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\象棋软件(可连线)\Engine\名手3.26_四核版\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:37 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\innounp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:37 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\IsXunpack.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:38 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\象棋软件(可连线)\Engine\旋风四代_比赛版12核\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:38 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\kgb_arch_decompress.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:39 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\象棋软件(可连线)\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:39 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\lzop.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:40 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\MsiX.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:40 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\象棋软件(可连线)\School\School.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:41 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\NBHextract.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:42 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\nrg2iso.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:42 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\pea.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:43 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\PEiD.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:44 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\RAIU.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:44 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\STIX_D.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:45 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\tee.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:46 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\trid.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:46 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\UHARC02.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:47 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\超人DNF多键连发辅助最新版\date\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:48 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\UHARC04.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:48 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\超人DNF多键连发辅助最新版\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:49 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\unlzx.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:49 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\迅雷白金会员获取器\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:38:50 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\UnRAR.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:50 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\锁屏样本\20130915-20.exe.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:51 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\UNUHARC06.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:52 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\unzip.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:52 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\upx.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:53 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\uudeview.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:53 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\WDOSXLE.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:54 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\WUN.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:55 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\xace.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:55 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\锁屏样本\20130915-26.exe.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:56 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\UniExtract.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:38:57 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\bin\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:38:58 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\锁屏样本\20130915-33.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:38:59 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\uniextract161_noinst\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:39:01 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\7z.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:01 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\锁屏样本\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:02 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\arc.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:02 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\锁屏样本\20130915-35.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:03 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\arj.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:03 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\AspackDie.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:04 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\bin2iso.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:04 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\BOOZ.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:05 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\cdirip.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:06 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\clit.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:06 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\cmdTotal.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:06 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Documents and Settings\Administrator\桌面\雨血前传蜃楼破解版\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:07 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\Expander.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:08 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\EXTRACT.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:08 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Documents and Settings\Administrator\桌面\雨血前传蜃楼破解版.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:09 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\extractMHT.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:09 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\E_WISE_W.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:10 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\helpdeco.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:10 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\i3comp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:11 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\i5comp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:11 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA58.tmp\19781.021109.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:12 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\i6comp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:13 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\innounp.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:13 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\IsXunpack.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:14 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\kgb_arch_decompress.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:14 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:39:15 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA58.tmp\19781.021109.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:15 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\lzop.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:17 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\MsiX.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:17 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\NBHextract.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:18 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\nrg2iso.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:18 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\pea.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:19 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\PEiD.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:19 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\RAIU.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:19 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\STIX_D.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:20 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\tee.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:20 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\trid.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:21 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\UHARC02.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:22 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\UHARC04.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:22 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\unlzx.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:22 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\UnRAR.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:23 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\UNUHARC06.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:23 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\unzip.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:24 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\upx.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:24 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\uudeview.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:24 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\WDOSXLE.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:25 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\WUN.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:25 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\bin\xace.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:26 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:39:26 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\uniextract161_noinst\UniExtract.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:26 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\uniextract161_noinst\bin\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:33 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\uniextract161_noinst\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:34 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\uniextract161_noinst\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\PFILES\MSOFFICE\OFFICE11\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:35 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\uniextract161_noinst\MSOCache\All Users\90000804-6000-11D3-8CFE-0150048383C9\FILES\SETUP\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:38 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\uniextract161_noinst\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:39 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\111.part3.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:41 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\WinHex\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:43 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\arswp3\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:43 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\arswp3\backup\1_20110312_210008.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:45 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\arswp3\backup\2_20111102_141234.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:47 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\arswp3\backup\3_20120112_212549.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:51 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\DW\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:52 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:53 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\IME\SHARED2.0\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:54 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\MODI\11.0\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:55 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\MSInfo\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:56 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\OFFICE11\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:57 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\bootice\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:39:57 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\bootice\BOOTICE_0.9.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:39:59 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\BOOTICE.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:39:59 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:40:00 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\BOOTICE.EXE
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:00 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:40:01 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\ccleaner\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:01 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:02 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\Disk1\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:02 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\Source Engine\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:02 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\diskgenius\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:03 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\Speech\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:03 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\EasyRecovery_pro\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:12 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Common Files\Microsoft Shared\Web Components\11\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:13 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\EmsisoftEmergencyKit\Run\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:17 访问网络允许
进程: c:\documents and settings\administrator\桌面\system\soundman.exe
目标: UDP [本机 : 1062] ->  [127.0.0.1 : 1062]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-11-16 01:40:17 访问网络允许
进程: c:\documents and settings\administrator\桌面\system\soundman.exe
目标: TCP [本机 : 1063] ->  [211.98.70.194 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-11-16 01:40:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\DIFX\E22DB6AC981E64A9\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Diskeeper Corporation\Diskeeper\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\EmsisoftEmergencyKit\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:25 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\hA-bluescreenviewV1.0\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:25 修改注册表值允许
进程: c:\windows\service.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\killkey
值: c:\windows\system\SOUNDMAN.EXE
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2013-11-16 01:40:25 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\HDtunepro\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:26 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\MAC修改\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:26 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\MAC修改\MAC地址修改器.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:28 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\MAC地址修改器.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:29 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\MAC地址修改器.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:29 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\NPE\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:30 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\HopeSafe\InstallAgent\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:30 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\Partition Table Doctor\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:31 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Internet Explorer\connection wizard\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:32 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\Partition Table Doctor\PtdWin.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:33 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Internet Explorer\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:33 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\PtdWin.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:34 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\PtdWin.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:35 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\PowerToolV4.2\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:35 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Microsoft Office\Office12\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:36 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\RFW\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:36 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\SLIC_ToolKit_V3.2\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:37 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\smart defrag\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:38 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\SREng\plugins\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:38 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\NetMeeting\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:38 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\SREng\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:40 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\sreng助手\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:40 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Outlook Express\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:40 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\tdsskiller\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:41 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\tdsskiller\tdsskiller.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:41 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Shadow Defender\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:43 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\TweakCube3\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:44 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\TweakCube3\OldVersion\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:45 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\TweakCube3\upgrade\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:45 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\U盘\ChipGenius\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:45 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\U盘\HP优盘格式化工具\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:46 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\U盘\HP优盘格式化工具\HP优盘格式化工具HPUSBFW 2.20.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:47 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\HP优盘格式化工具HPUSBFW 2.20.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:48 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\HP优盘格式化工具HPUSBFW 2.20.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:49 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\VMware\VMware Tools\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:49 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\U盘\mydisktest\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:50 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\xuetr\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:50 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Windows Media Player\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:51 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "D:\杂项\xuetr\XueTr.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:51 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Program Files\Windows Media Player\npdrmv2.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:53 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA5C.tmp\XueTr.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:54 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA5C.tmp\XueTr.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:40:55 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "C:\Program Files\Windows Media Player\npds.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:40:56 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\安装3264位NT5NT6操作系统安装器\tools\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:57 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\安装3264位NT5NT6操作系统安装器\tools\USBBoot\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:57 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\安装3264位NT5NT6操作系统安装器\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:58 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Windows NT\Accessories\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:40:59 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: D:\杂项\金山\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:41:00 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\Program Files\Windows NT\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:41:10 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\dfsvc\5ae81be30e10b54da729e2ab77b238c6\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:41:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Driver Cache\i386\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:41:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:41:32 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\ime\SHARED\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:41:41 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\1111.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:41:42 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\sbho.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:43 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:41:43 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:41:44 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\sbho.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:44 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:41:45 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\1314.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:41:46 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\1314.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:47 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\1314.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:48 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\38016_TXT_1308141287.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:41:49 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\双击生成单独章节.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:51 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\双击生成单独章节.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:52 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\Action Center.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:41:53 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\Action Center.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:54 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\Action Center.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:55 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\AQConverter运行补丁.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:41:56 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\AQConverter运行补丁.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:57 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\AQConverter运行补丁.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:41:58 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\AU6980_XP-2K_v.2.1.2.0_Setup\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:41:58 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\Avirakey0403.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:42:00 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\Avira key v5 0403.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:42:01 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\Avira key v5 0403.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:42:01 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\AV专用播放器_18_macnab.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:42:03 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\AV专用播放器_18_macnab.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:42:04 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\AV专用播放器_18_macnab.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:42:04 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\A快递打印版.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:42:07 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\bdwkpf_2.5_DownG.com.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:42:08 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\百度文库V2501.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:42:09 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\百度文库V2501.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:42:09 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\bot\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:42:10 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\bot.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:42:18 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\inf\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Installer\$PatchCache$\Managed\4080110900063D11C8EF10054038389C\11.0.5614\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:23 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Installer\{3193FAB1-1A72-4677-8C62-523731349C1C}\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Installer\{350C97B5-3D7C-4EE8-BAA9-00BCB3D54227}\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:24 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Installer\{90110804-6000-11D3-8CFE-0150048383C9}\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:25 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Installer\{90120000-0020-0804-0000-0000000FF1CE}\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:29 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:30 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:39 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:46 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\network diagnostic\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:42:46 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\PCHealth\helpctr\binaries\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:43:03 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\Com\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:43:11 结束其他进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]*

2013-11-16 01:43:15 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\dllcache\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:43:40 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\Macromed\Flash\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:43:52 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\npp\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:44:02 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\restore\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:44:16 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\system32\wbem\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:45:12 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\browse_v3.89.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:14 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\黑谍宝贝浏览量提升专家V3.89.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:45:16 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\黑谍宝贝浏览量提升专家V3.89.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:45:17 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\CF刷雷者完美自动登录版2.3-3\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:45:17 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\csDSzbq\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:45:18 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\csDSzbq\010000样本\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:45:18 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\010000样本.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:22 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\1.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:26 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\360杀不出来.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:27 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\9b850bdafd606628d2bd692cd4280fef.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:30 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\gamepyinst.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:32 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\csDSzbq\gorush\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:45:33 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\gorush\killparite.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:34 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\gorush.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:45:36 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\gorush.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:45:37 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\gorush.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:45:38 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\csDSzbq\JyFlashBfq1.2\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:45:38 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\pacetina.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

winppk.exe：

2013-11-16 01:34:11 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\system\winppk.exe
命令行: "C:\Documents and Settings\Administrator\桌面\system\winppk.exe"
规则: [应用程序]*

2013-11-16 01:34:12 创建文件允许
进程: c:\documents and settings\administrator\桌面\system\winppk.exe
目标: C:\windows\service.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:34:12 安装驱动程序或服务允许
进程: c:\documents and settings\administrator\桌面\system\winppk.exe
目标: c:\windows\service.exe
规则: [应用程序]*

2013-11-16 01:34:13 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winxpsh
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2013-11-16 01:34:13 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winxpsh\Start
值: 0x00000002(2)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2013-11-16 01:34:13 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winxpsh\ImagePath
值: c:\windows\service.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2013-11-16 01:34:14 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\service.exe
命令行: c:\windows\service.exe
规则: [应用程序]*

2013-11-16 01:47:40 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\qidong\kqidong.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:47:42 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\csDSzbq\qidong\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:47:43 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\qidong.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:47:45 创建文件允许
进程: d:\program files\winrar\rar.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\qidong\qidong.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:47:45 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: C:\WINDOWS\TEMP\IRAA60.tmp\qidong\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:47:46 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\qidong\lpk.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2013-11-16 01:47:47 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\Temp\IRAA60.tmp\qidong\qidong.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2013-11-16 01:47:47 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\QvodPlay7.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:47:49 创建文件允许
进程: c:\windows\system32\fsflsu.exe
目标: E:\virus\csDSzbq\Recycled\lpk.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-11-16 01:47:50 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\scplayer.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:47:52 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\viruis158.zip" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

2013-11-16 01:47:54 创建新进程允许
进程: c:\windows\system32\fsflsu.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c D:\PROGRA~1\WinRAR\rar.exe vb "E:\virus\csDSzbq\zet.rar" lpk.dll|find /i "lpk.dll"
规则: [应用程序]*

显示全部楼层 · 发表于 2013-11-16 01:43:28

显示全部楼层 · 发表于 2013-11-16 06:23:51

被网页监控拦截了，所以只能检测一个样本
Trojan-Downloader.Win32.Genome.rvh

显示全部楼层 · 发表于 2013-11-16 08:00:07

XMonster 发表于 2013-11-16 01:43

你咋用上管家了？

显示全部楼层 · 发表于 2013-11-16 08:05:04

li13911 发表于 2013-11-16 00:42
lpk也有好多种的，我晕，你楼上的ESET怎么才杀了两个？

lpk病毒的确有很多种，，，我自己也已经采集来了十几种
但是性质都差不多——下载者。

[病毒样本] 应该是个老毒了，有用诺顿或者360云鉴定器帮忙看下什么时间出现和流行的

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块