删除IE临时文件时还删除了windows目录文件？

kingboy

今天删除ie临时文件的时候发现风云跳出监控，说要删除windows目录下的patch.exe文件
以前好像没有出现过啊？


风云的监控：


因为我的c盘有还原卡保护（其实是删不掉的），所以重启开EQ看
发现监控到如下内容，不知是否正常，能说说原理么？
文件被修改监控：


文件被删除监控：


我把那些文件都PS到一个界面了，呵呵，EQ监控没怎么开过，所以不知这个是否正常，但风云监控到的删除patch.exe是没见过的呢，能帮忙解答一下么？

【超超】

不知道你是否安装过趋势。如果没有的话，那么可能是病毒。我帮你网络查了一下这个文件。

查询结果如下：

patch.exe
　　Win32.PSWTroj.OnLineGames.ab.60928
　　病毒名称(中文):网游帐号贪吃蛇
　　60928
　　病毒别名:威胁级别:★☆☆☆☆
　　病毒类型:偷密码的木马病毒长度:60928
　　影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
　　病毒行为:
　　这是一个盗号木马程序。该程序首先会寻找含有“游戏”的窗口，然后建立消息监视程序，截获用户与网游服务器之间的网络数据包，从而盗取用户的帐号相关信息。
　　1.程序运行后，生成文件
　　%WINDOWS%\System32\xsbio.dll
　　%WINDOWS%\System32\patch.exe
　　2.在注册表中添加了注册项，如下：
　　HKEY_CLASSES_ROOT\CLSID\\InProcServer32
　　启动项名:@ 对应路径:"C:\WINDOWS\System32\xsbio.dll"
　　HKEY_CLASSES_ROOT\CLSID\\InProcServer32
　　启动项名:ThreadingModel 对应值:"Apartment"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InProcServer32
　　启动项名:@ 对应路径:"C:\WINDOWS\System32\patch.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InProcServer32
　　启动项名:ThreadingModel 对应值:"Apartment"
　　3.木马会寻找互斥量"_MUTEX_AD_____LOADER "，用来判断是否已经有木马在运行；若没有则会创建文件，
　　调用xsbio.dll中的函数"JumpHookOn"开始工作。
　　4.木马会通过寻找含有"游戏"的窗口，然后截获网络数据包，从而盗取网游用户的帐号相关信息。

【超超】

补充一句。

一般性IE里面删除临时文件夹，杀软一般性都不会报的。

你这个程序报出来，因该是被某个程序运行了。

kingboy

不是杀软报的，是风云报的，并不是那个文件被运行报的，而是被删除才报的；我把那个文件用样本区的网络引擎扫描了，没有病毒。原来我以为删除ie缓存就是删除Temporary Internet Files这个文件夹里的文件，现在才发现windows文件夹里的文件也会被删除，所以不明白过来请教一下，还有就是patch.exe怎么来的也不明白，为什么以前没有监控到这个文件被删