主页 / computer / 问题 / 1805317
Accepted
Vojtěch Dohnal
Asked: 2023-08-22 19:44:01 +0800 CST

应用程序文件被重复删除 - 如何查找它做了什么?

  • 772

在我的笔记本电脑上,Windows 10 上的 ProgramData 下包含应用程序可执行文件的文件夹被反复删除,只剩下空的应用程序文件夹。我研究过这个:Something Deleted java.exe, how to find it was?

我需要一种方法来找出删除文件的内容,防病毒或系统事件日志没有提供任何信息。

如何使用 ProcessMonitor 等工具或其他工具来捕获特定 EXE 文件的删除事件并查看是哪个进程执行的?

根据@John 评论,我已启用对 EXE 文件的审核:

审计

windows-10

2 个回答

  1. Best Answer

    我已尝试为要删除的文件夹打开安全审核,但没有记录任何内容。经过不同的尝试后,我让Process Monitor记录有问题的文件夹的文件事件过夜。

    早上我发现文件夹是空的,PM 日志中如下:

    20:41:44,7475236,"SRE.exe","14044","SetDispositionInformationEx",
"C:\ProgramData\MyProblematicFolder\Microsoft.Office.Interop.Outlook12.dll",
"SUCCESS","Flags: FILE_DISPOSITION_DELETE, FILE_DISPOSITION_POSIX_SEMANTICS, FILE_DISPOSITION_FORCE_IMAGE_SECTION_CHECK"

    文件配置删除: https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/ns-ntddk-_file_disposition_information_ex

    这个奇怪的 PM 日志事件是由

    C:\Program Files\Dell\SupportAssistAgent\SRE\SRE.exe

    属于DELL Support协助代理

    在此输入图像描述

    不幸的是,他们在他们的软件中添加了故障恶意软件删除功能:

    在此输入图像描述

    • 0
    1. 打开事件查看器。
    2. 在控制台树中,展开应用程序和服务日志 > Microsoft > Windows > Windows Defender。
    3. 双击“运行”。
    4. 在详细信息窗格中,查看各个事件的列表以查找您的事件。
    5. 单击事件可在下部窗格的“常规”和“详细信息”选项卡下查看有关事件的具体详细信息。

    如果您可以在那里找到事件,请检查是否找到事件 ID 1011 或事件 ID 1013

    事件 ID 1011 = 符号名称:MALWAREPROTECTION_QUARANTINE_DELETE 事件 ID 1013 = 符号名称:MALWAREPROTECTION_MALWARE_HISTORY_DELETE

    当然,检查事件内部的 Path: 文件路径

    • -1

相关问题