答案1
看起来(除非我记错了)用来调用的命令rundll32是
rundll32.exe shell32.dll,Control_RunDLL
此命令通常应启动控制面板。您可以先尝试手动运行该命令,看看它是否有效,或者失败并重复您当前看到的行为。
记事本似乎是通过以下命令启动的:
notepad.exe C:\Users\master\AppData\Local\Temp\6868.tmp
我无法立即把这些点联系起来,说为什么它正在启动,以及 6868.tmp 应该包含什么。这可能是由于安装想要显示自述文件而导致的。
我会查看该临时目录,看看是否找到了一个6868.tmp文件,该文件可能具有记事本无法显示的权限。如果是,请查看该文件并找出它的来源。
我会在注册表中搜索Control_RunDLL,看看是否能找到任何线索。6868.tmp
如果再次发生这种情况,我会进行新的转储,看看是否仍尝试使用记事本或新的其他文件打开 6868.tmp。如果有新文件,则一定是有东西在生成它。如果是这样,您可能会幸运地运行 Process Monitor(这次请注意 Process Explorer)并过滤以Path开头的事件C:\Users\master\AppData\Local\Temp\。(如果需要,请在选项菜单中启用启动日志记录。)这有望为您提供有关创建文件的内容(如果有的话)的线索。
并且根据您的环境变量(可在日志中找到),这不再是完全干净的安装。您已安装一些应用程序。
没有明确的答案,但你可以尝试一些方法,希望能查明正在发生的事情。