Пожалуйста, помогите мне найти то, что пытается запустить Notepad.exe.

Question

Кажется (если я не ошибаюсь), команда, используемая для вызова, rundll32это

rundll32.exe shell32.dll,Control_RunDLL

Эта команда обычно должна запускать панель управления. Вы можете начать с попытки запустить эту команду вручную и посмотреть, сработает ли она или нет и повторит поведение, которое вы видите в данный момент.

Похоже, что Блокнот запускается следующей командой:

notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp

Я не могу сразу связать все точки и сказать,почемуон' запускается, и что 6868.tmp должен содержать. Может быть, это как-то связано с установкой, которая хочет отобразить файл readme.

Я бы посмотрел в этом временном каталоге и посмотрел, не нашел ли я файл 6868.tmp, который может иметь такие разрешения, что блокнот не может его отобразить. Если так, посмотрите на файл и выясните, откуда он взялся.

Я бы поискал в реестре, может быть, вы найдете какие-нибудь подсказки Control_RunDLL.6868.tmp

Если это повторится, я бы сделал новый дамп и посмотрел, не пытались ли вы открыть 6868.tmp с помощью Блокнота или нового, другого файла. Если есть новый файл, что-то должно его генерировать. Если так, вам может повезти, если вы запустите Process Monitor (обратите внимание на Process Explorer на этот раз) и отфильтруете события, которые Pathначинаются с C:\Users\master\AppData\Local\Temp\. (И если нужно, включите ведение журнала загрузки в меню параметров.) Надеюсь, это даст вам подсказку, что создает файл, если вообще создает.

И согласно вашим переменным среды (доступным в журнале) это уже не совсем чистая установка. Вы установилинекоторыйПриложения.

Четкого ответа нет, но можно попробовать предпринять некоторые действия, чтобы, надеюсь, отследить, что происходит.

Answer 1

Кажется (если я не ошибаюсь), команда, используемая для вызова, rundll32это

rundll32.exe shell32.dll,Control_RunDLL

Эта команда обычно должна запускать панель управления. Вы можете начать с попытки запустить эту команду вручную и посмотреть, сработает ли она или нет и повторит поведение, которое вы видите в данный момент.

Похоже, что Блокнот запускается следующей командой:

notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp

Я не могу сразу связать все точки и сказать,почемуон' запускается, и что 6868.tmp должен содержать. Может быть, это как-то связано с установкой, которая хочет отобразить файл readme.

Я бы посмотрел в этом временном каталоге и посмотрел, не нашел ли я файл 6868.tmp, который может иметь такие разрешения, что блокнот не может его отобразить. Если так, посмотрите на файл и выясните, откуда он взялся.

Я бы поискал в реестре, может быть, вы найдете какие-нибудь подсказки Control_RunDLL.6868.tmp

Если это повторится, я бы сделал новый дамп и посмотрел, не пытались ли вы открыть 6868.tmp с помощью Блокнота или нового, другого файла. Если есть новый файл, что-то должно его генерировать. Если так, вам может повезти, если вы запустите Process Monitor (обратите внимание на Process Explorer на этот раз) и отфильтруете события, которые Pathначинаются с C:\Users\master\AppData\Local\Temp\. (И если нужно, включите ведение журнала загрузки в меню параметров.) Надеюсь, это даст вам подсказку, что создает файл, если вообще создает.

И согласно вашим переменным среды (доступным в журнале) это уже не совсем чистая установка. Вы установилинекоторыйПриложения.

Четкого ответа нет, но можно попробовать предпринять некоторые действия, чтобы, надеюсь, отследить, что происходит.

Пожалуйста, помогите мне найти то, что пытается запустить Notepad.exe.

решение1

Связанный контент