我有一台笔记本电脑,每次连接到网络时,都会弹出一个命令提示符,然后消失。我可以通过关闭/打开 wifi 来重复此操作,它会闪烁并消失得太快而看不见,或者显示在 procmon/taskman 中。有什么方法可以减慢它的速度、记录它的执行情况或以其他方式找出它是什么吗?
Procmon 似乎能够以足够快的速度记录下来以捕获它,但由于不知道我在寻找什么,而且它有数千行长,它可能根本不会记录。日志中有几个“cmd.exe”条目,但似乎没有一个与此执行(表面上)的时间相关或发生。
我甚至不确定它是否是 cmd.exe,但它具有相同的“dos 窗口”外观,在我看到它是什么之前它就消失了 :( 有人有什么想法吗?
答案1
您可以在以下位置查看程序、链接和脚本:
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon" /f shell /e
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /f PendingFileRenameOperations /e
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /f ExcludeFromKnownDlls /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f run /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f load /e
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Start Menu\Programs\Startup"
msconfig -4
另请参阅任务管理器的“启动”选项卡(taskmgr.exe)