2010-03-17 15:37:21 读取其它进程内存   
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\csrss.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\csrss.exe

2010-03-17 15:37:39 读取其它进程内存   
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\services.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\services.exe

2010-03-17 15:37:39 读取其它进程内存   
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%systemroot%\System32\svchost.exe

2010-03-17 15:37:32 创建文件   
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*

2010-03-17 15:37:34 删除文件    
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅱ>%systemroot%\system32\drivers\*

2010-03-17 15:38:04 创建注册表值   
进程路径:C:\WINDOWS \system32\services.exe
M注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixx
注册表名称:[Key]
触发规则:所有程序规则->服务相关>HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

2010-03-17 15:38:06     安装服务或者驱动   
进程路径:C:\WINDOWS \system32\services.exe
文件路径:C:\WINDOWS \system32\DRIVERS\atixx.sys
触发规则:应用程序规则->系统程序>%systemroot%\system32\services.exe

2010-03-17 15:38:12 创建文件   
进程路径:E:\KIA\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\t.bat
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.bat

2010-03-17 15:38:25 运行应用程序   
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe