有个文件莫名的被删除

显示全部楼层 · 发表于 2016-5-11 18:31:36

从上星期开始我某盘符的一个文件夹总是被莫名的删除。有没有什么软件能查出什么哪个东西在捣鬼？

显示全部楼层 · 发表于 2016-5-11 19:35:35

首先请你把问题说的详细一点，比如文件夹名字，装了什么杀毒软件。建议你装个火绒之类的hips,自定义把这个文件夹加入保护，如果有程序要删除这个文件夹就会有提示哪个程序要操作这个文件夹了。

显示全部楼层 · 发表于 2016-5-11 19:46:33

天天种菜发表于 2016-5-11 19:35
首先请你把问题说的详细一点，比如文件夹名字，装了什么杀毒软件。建议你装个火绒之类的hips,自定义把这个 ...

火绒某认不管系统分区以外的分区。还有，删除操作阻止的话只会提示explorer.exe要求删除被阻止的记录。

显示全部楼层 · 发表于 2016-5-12 13:33:33

Process Monitor

显示全部楼层 · 发表于 2016-5-12 19:15:43

本帖最后由 leoxxx 于 2016-5-12 19:46 编辑

小恐龙tel 发表于 2016-5-12 13:33
Process Monitor

MS自家的那个小工具？路径功能我找到了。但是这些过滤是用IS还是CONTAINS呢？

我在这里找了一篇过滤条件。
http://blog.csdn.net/zhang_sinner/article/details/19071261
先用用看。

显示全部楼层 · 发表于 2016-5-12 20:31:46

Process Monitor 这货吃内存速度很快，没多久我提示内存不足了。

显示全部楼层 · 发表于 2016-5-13 08:58:25

leoxxx 发表于 2016-5-12 20:31
Process Monitor 这货吃内存速度很快，没多久我提示内存不足了。

只过滤特定文件夹的删除操作就好。

显示全部楼层 · 发表于 2016-5-13 09:19:51

小恐龙tel 发表于 2016-5-13 08:58
只过滤特定文件夹的删除操作就好。

恩，我选了，好像第一次启动会暴内存，还有那个高级输出。过滤后再进就好了。

显示全部楼层 · 发表于 2016-5-14 16:11:19

本帖最后由 leoxxx 于 2016-5-28 09:22 编辑

抓到了真凶了。
火绒的日志

操作程序：E:\QQDownload\QQDownload.exe
操作类型：删除
操作文件：G:\game\oalinst.exe
触犯规则：防删

下面是PM的记录

15:46:08.8577145 QQDownload.exe 4092 WriteFile G:\game.qud.cfg SUCCESS Offset: 0, Length: 452, Priority: Normal File System E:\QQDownload\QQDownload.exe Tencent Technology (Shenzhen) Company Limited "E:\QQDownload\QQDownload.exe"  LEFT leoxxx-PC\leoxxx 2016-05-14 15:46:08
15:46:08.8579015 QQDownload.exe 4092 ReadFile G:\game.qud.cfg SUCCESS Offset: 0, Length: 452, Priority: Normal File System E:\QQDownload\QQDownload.exe Tencent Technology (Shenzhen) Company Limited "E:\QQDownload\QQDownload.exe"  LEFT leoxxx-PC\leoxxx 2016-05-14 15:46:08
15:46:44.2328425 QQDownload.exe 4092 WriteFile G:\game.qud.cfg SUCCESS Offset: 0, Length: 452, Priority: Normal File System E:\QQDownload\QQDownload.exe Tencent Technology (Shenzhen) Company Limited "E:\QQDownload\QQDownload.exe"  LEFT leoxxx-PC\leoxxx 2016-05-14 15:46:44
15:46:44.2332530 QQDownload.exe 4092 ReadFile G:\game.qud.cfg SUCCESS Offset: 0, Length: 452, Priority: Normal File System E:\QQDownload\QQDownload.exe Tencent Technology (Shenzhen) Company Limited "E:\QQDownload\QQDownload.exe"  LEFT leoxxx-PC\leoxxx 2016-05-14 15:46:44
15:46:44.2342514 QQDownload.exe 4092 SetDispositionInformationFile G:\game\oalinst.exe ACCESS DENIED Delete: True File System E:\QQDownload\QQDownload.exe Tencent Technology (Shenzhen) Company Limited "E:\QQDownload\QQDownload.exe"  LEFT leoxxx-PC\leoxxx 2016-05-14 15:46:44
15:46:44.2351343 QQDownload.exe 4092 SetDispositionInformationFile G:\game\rar.txt ACCESS DENIED Delete: True File System E:\QQDownload\QQDownload.exe Tencent Technology (Shenzhen) Company Limited "E:\QQDownload\QQDownload.exe"  LEFT leoxxx-PC\leoxxx 2016-05-14 15:46:44

显示全部楼层 · 发表于 2016-5-23 15:26:43

leoxxx 发表于 2016-5-11 19:46
火绒某认不管系统分区以外的分区。还有，删除操作阻止的话只会提示explorer.exe要求删除被阻止的记录。

可以自定义规则的啊，如果是explorer删除是提示explorer，如果别的也会提示啊

[求助] 有个文件莫名的被删除