Por favor, ajude-me a descobrir o que está tentando iniciar o Notepad.exe

Question

Parece (a menos que eu esteja enganado) que o comando usado para invocar rundll32é

rundll32.exe shell32.dll,Control_RunDLL

Este comando normalmente deve iniciar o painel de controle. Você pode começar tentando executar esse comando manualmente e ver se funciona ou falha e replica o comportamento que está vendo atualmente.

O bloco de notas parece ser iniciado pelo seguinte comando:

notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp

Não consigo ligar os pontos imediatamente e dizerpor queele está sendo iniciado e o que 6868.tmp deve conter. Pode ser que isso de alguma forma resulte de uma instalação que deseja exibir um arquivo leia-me.

Eu procuraria nesse diretório temporário e veria se encontrei um 6868.tmparquivo que pudesse ter permissões que o bloco de notas não pudesse exibi-lo. Nesse caso, dê uma olhada no arquivo e descubra de onde ele vem.

Eu procuraria no registro para ver se você encontra alguma pista Control_RunDLL.6868.tmp

Se isso acontecer novamente, eu faria um novo dump e veria se ainda tentasse abrir 6868.tmp com o Bloco de Notas ou com um arquivo novo e diferente. Se houver um novo arquivo, algo deve estar gerando-o. Nesse caso, você pode ter sorte executando o Process Monitor (observe o Process Explorer desta vez) e filtre os eventos que Pathcomeçam com C:\Users\master\AppData\Local\Temp\. (E se necessário, habilite o log de inicialização no menu de opções.) Esperamos que isso lhe dê uma pista do que está criando o arquivo, se houver.

E de acordo com suas variáveis de ambiente (disponíveis no log), esta não é mais uma instalação completamente limpa. Você instaloualgunsformulários.

Nenhuma resposta clara, mas algumas coisas que você pode tentar rastrear o que está acontecendo.

Answer 1

Parece (a menos que eu esteja enganado) que o comando usado para invocar rundll32é

rundll32.exe shell32.dll,Control_RunDLL

Este comando normalmente deve iniciar o painel de controle. Você pode começar tentando executar esse comando manualmente e ver se funciona ou falha e replica o comportamento que está vendo atualmente.

O bloco de notas parece ser iniciado pelo seguinte comando:

notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp

Não consigo ligar os pontos imediatamente e dizerpor queele está sendo iniciado e o que 6868.tmp deve conter. Pode ser que isso de alguma forma resulte de uma instalação que deseja exibir um arquivo leia-me.

Eu procuraria nesse diretório temporário e veria se encontrei um 6868.tmparquivo que pudesse ter permissões que o bloco de notas não pudesse exibi-lo. Nesse caso, dê uma olhada no arquivo e descubra de onde ele vem.

Eu procuraria no registro para ver se você encontra alguma pista Control_RunDLL.6868.tmp

Se isso acontecer novamente, eu faria um novo dump e veria se ainda tentasse abrir 6868.tmp com o Bloco de Notas ou com um arquivo novo e diferente. Se houver um novo arquivo, algo deve estar gerando-o. Nesse caso, você pode ter sorte executando o Process Monitor (observe o Process Explorer desta vez) e filtre os eventos que Pathcomeçam com C:\Users\master\AppData\Local\Temp\. (E se necessário, habilite o log de inicialização no menu de opções.) Esperamos que isso lhe dê uma pista do que está criando o arquivo, se houver.

E de acordo com suas variáveis de ambiente (disponíveis no log), esta não é mais uma instalação completamente limpa. Você instaloualgunsformulários.

Nenhuma resposta clara, mas algumas coisas que você pode tentar rastrear o que está acontecendo.

Por favor, ajude-me a descobrir o que está tentando iniciar o Notepad.exe

Responder1

informação relacionada