메모장이 몇 번 연속으로 시작되지만 실행되지 않습니다. 그런 다음 중지됩니다. 이것은 Windows 7 x64를 새로 설치한 것입니다. Windows 업데이트 후 보류 중인 다시 시작과 관련이 있을 수 있습니다.
나는 달렸다프로세스 탐색기, 이는자연 선택프로세스를 시작하는 것이 무엇인지 알아보세요. rundll32.exe 입니다. MalwareBytes AM 및 MS Security Essentials를 사용하여 rundll32.exe와 notepad.exe를 모두 스캔했지만 아무것도 나타나지 않았습니다.
여기에전체 덤프rundll32.exe에.
실제로 rundll32.exe가 메모장을 시작하고 있습니까? 왜 이런 일이 발생합니까?
답변1
(내가 착각하지 않는 한) 호출에 사용된 명령은 다음과 같습니다 rundll32.
rundll32.exe shell32.dll,Control_RunDLL
이 명령은 일반적으로 제어판을 시작해야 합니다. 먼저 해당 명령을 수동으로 실행하여 작동하는지 확인하거나 실패하고 현재 보고 있는 동작을 복제할 수 있습니다.
메모장은 다음 명령으로 시작되는 것 같습니다.
notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp
나는 점들을 즉시 연결하여 말할 수 없습니다왜시작되고 있으며 6868.tmp에 포함되어야 하는 내용입니다. 이는 readme 파일을 표시하려는 설치에서 비롯된 것일 수 있습니다.
6868.tmp임시 디렉토리를 살펴보고 메모장에서 표시할 수 없는 권한이 있는 파일을 찾았는지 확인합니다 . 그렇다면 파일을 살펴보고 해당 파일의 출처를 알아보세요.
나는 당신이 단서를 찾을 수 있는지 확인하기 위해 레지스트리를 검색할 것 Control_RunDLL입니다 .6868.tmp
이런 일이 다시 발생하면 새 덤프를 수행하고 여전히 메모장으로 6868.tmp를 열려고 하는지, 아니면 다른 새 파일을 열려고 하는지 확인합니다. 새 파일이 있으면 무언가 생성 중이어야 합니다. 그렇다면 프로세스 모니터를 실행하고(이번에는 프로세스 탐색기 참고) Path로 시작하는 이벤트를 필터링할 수 있습니다 C:\Users\master\AppData\Local\Temp\. (그리고 필요한 경우 옵션 메뉴에서 부팅 로깅을 활성화합니다.) 이를 통해 파일이 생성되는 내용에 대한 단서를 얻을 수 있기를 바랍니다.
그리고 환경 변수에 따르면(로그에서 확인 가능) 이는 더 이상 완전히 새로 설치되지 않습니다. 당신은 설치했습니다일부응용 프로그램.
명확한 대답은 없지만, 무슨 일이 일어나고 있는지 추적하기 위해 시도해 볼 수 있는 몇 가지 사항이 있습니다.