Bitte helfen Sie mir herauszufinden, was versucht, Notepad.exe zu starten

Question

Es scheint (wenn ich mich nicht irre), dass der zum Aufruf verwendete Befehl rundll32lautet

rundll32.exe shell32.dll,Control_RunDLL

Dieser Befehl sollte normalerweise die Systemsteuerung starten. Sie können zunächst versuchen, den Befehl manuell auszuführen und zu prüfen, ob dies funktioniert oder fehlschlägt und das aktuell beobachtete Verhalten reproduziert.

Notepad scheint mit dem folgenden Befehl gestartet zu werden:

notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp

Ich kann nicht sofort die einzelnen Punkte verbinden und sagenWarumes gestartet wird und was 6868.tmp enthalten soll. Es kann sein, dass dies irgendwie von einer Installation herrührt, die eine Readme-Datei anzeigen möchte.

Ich würde in diesem temporären Verzeichnis nachsehen, ob ich eine 6868.tmpDatei gefunden habe, die möglicherweise Berechtigungen hat, die Notepad nicht anzeigen kann. Wenn ja, sehen Sie sich die Datei an und finden Sie heraus, woher sie kommt.

Ich würde in der Registrierung suchen Control_RunDLLund 6868.tmpnachsehen, ob Sie irgendwelche Hinweise finden.

Wenn dies erneut passiert, würde ich einen neuen Dump durchführen und prüfen, ob ich immer noch versuche, 6868.tmp mit Notepad oder einer neuen, anderen Datei zu öffnen. Wenn es eine neue Datei gibt, muss sie von irgendetwas generiert werden. Wenn ja, haben Sie möglicherweise Glück, wenn Sie Process Monitor ausführen (beachten Sie diesmal Process Explorer) und nach Ereignissen filtern, die Pathmit beginnen C:\Users\master\AppData\Local\Temp\. (Und aktivieren Sie bei Bedarf die Startprotokollierung im Optionsmenü.) Dies gibt Ihnen hoffentlich einen Hinweis darauf, was die Datei erstellt, falls überhaupt.

Und laut Ihren Umgebungsvariablen (die im Protokoll verfügbar sind) handelt es sich nicht mehr um eine komplett saubere Installation. Sie habenmancheAnwendungen.

Keine klare Antwort, aber Sie können einige Dinge versuchen, um hoffentlich herauszufinden, was passiert.

Answer 1

Es scheint (wenn ich mich nicht irre), dass der zum Aufruf verwendete Befehl rundll32lautet

rundll32.exe shell32.dll,Control_RunDLL

Dieser Befehl sollte normalerweise die Systemsteuerung starten. Sie können zunächst versuchen, den Befehl manuell auszuführen und zu prüfen, ob dies funktioniert oder fehlschlägt und das aktuell beobachtete Verhalten reproduziert.

Notepad scheint mit dem folgenden Befehl gestartet zu werden:

notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp

Ich kann nicht sofort die einzelnen Punkte verbinden und sagenWarumes gestartet wird und was 6868.tmp enthalten soll. Es kann sein, dass dies irgendwie von einer Installation herrührt, die eine Readme-Datei anzeigen möchte.

Ich würde in diesem temporären Verzeichnis nachsehen, ob ich eine 6868.tmpDatei gefunden habe, die möglicherweise Berechtigungen hat, die Notepad nicht anzeigen kann. Wenn ja, sehen Sie sich die Datei an und finden Sie heraus, woher sie kommt.

Ich würde in der Registrierung suchen Control_RunDLLund 6868.tmpnachsehen, ob Sie irgendwelche Hinweise finden.

Wenn dies erneut passiert, würde ich einen neuen Dump durchführen und prüfen, ob ich immer noch versuche, 6868.tmp mit Notepad oder einer neuen, anderen Datei zu öffnen. Wenn es eine neue Datei gibt, muss sie von irgendetwas generiert werden. Wenn ja, haben Sie möglicherweise Glück, wenn Sie Process Monitor ausführen (beachten Sie diesmal Process Explorer) und nach Ereignissen filtern, die Pathmit beginnen C:\Users\master\AppData\Local\Temp\. (Und aktivieren Sie bei Bedarf die Startprotokollierung im Optionsmenü.) Dies gibt Ihnen hoffentlich einen Hinweis darauf, was die Datei erstellt, falls überhaupt.

Und laut Ihren Umgebungsvariablen (die im Protokoll verfügbar sind) handelt es sich nicht mehr um eine komplett saubere Installation. Sie habenmancheAnwendungen.

Keine klare Antwort, aber Sie können einige Dinge versuchen, um hoffentlich herauszufinden, was passiert.

Bitte helfen Sie mir herauszufinden, was versucht, Notepad.exe zu starten

Antwort1

verwandte Informationen