答案1
看來(除非我弄錯了)用於呼叫的命令rundll32是
rundll32.exe shell32.dll,Control_RunDLL
此命令通常應啟動控制面板。您可以先嘗試手動執行該命令,看看它是否有效,或者是否失敗並複製您目前看到的行為。
記事本似乎是透過以下命令啟動的:
notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp
我無法立即將這些點連接起來並說為什麼它正在啟動,以及 6868.tmp 應該包含的內容。情況可能是這樣的,這在某種程度上源於想要顯示自述文件的安裝。
我會查看該臨時目錄,看看是否找到一個6868.tmp可能具有記事本無法顯示它的權限的檔案。如果是這樣,請查看該文件並找出它來自哪裡。
我會在註冊表中搜尋Control_RunDLL和看看是否能找到任何線索。6868.tmp
如果這種情況再次發生,我會進行新的轉儲,看看是否仍然嘗試使用記事本或新的不同檔案來開啟 6868.tmp。如果有新文件,則一定有東西正在生成它。如果是這樣,您可能會幸運地執行 Process Monitor(這次請注意 Process Explorer)並篩選以Path開頭的事件C:\Users\master\AppData\Local\Temp\。 (如果需要,請在選項選單中啟用啟動日誌記錄。)這有望讓您了解什麼(如果有的話)正在建立該檔案。
根據您的環境變量,(在日誌中可用)這不再是完全全新的安裝。您已安裝一些應用程式.
沒有明確的答案,但您可以嘗試一些事情,希望能追蹤正在發生的事情。