应用程序行为异常的排出过程

今天一个部门同事说终端系统托盘程序一直报错，我过去看了一下，一直提示载入资源错误，大致看了下文件，并未见异常，于是我用process monitor工具想看下应用程序到底找不到哪些资源文件，但是没有我所需资源的访问记录，但是发现有对%temp%目录下同名应用程序的访问记录，这怎么可能？于是我定位到%temp%目录，发现还真存在要运行的应用程序。我在任务管理器中打开进程对应的文件位置，也定位到了%temp%目录，而我是要运行%ProgramFiles%目录下的应用程序，相当怪异。删除%temp%目录的应用程序，也会再次生成此文件，一时找不到原因。后经和同事讨论提醒，应该是应用程序感染病毒所致。于是再回头看%ProgramFiles%目录下的应用程序，发现文件大小的确有变化，更加确认了这一点。而%temp%目录下的文件大小是正确的，应该是病毒并文件释放到%temp%目录，然后执行。