自从我买了笔记本电脑后,我就可以看到 CMD.exe 弹出窗口,所以我开始调查它是什么,然后我找到了这个帖子。
Jamie Hanrahan 给出了启用进程审核的方法,此外,他还分享了一个网页,展示了如何在 Windows 10 家庭版中安装 gpedit.msc。
一旦我启用了进程审核,我仍然怀疑哪个进程导致了弹出窗口,因此我寻找启用命令行审核的方法,但所有的答案都给出了一条不存在的路径。
我怎样才能激活它?
答案1
将以下行复制到文本文件中并调用MonitorProcessStart.vbs。Shift+右键单击在文件上 -复制为路径. 以管理员身份打开命令提示符并
右击-粘贴。
这将列出所有启动程序的命令行。
使用任务管理器终止 wscript.exe 以停止监控。
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objWMIService = GetObject("winmgmts:\\.\root\CIMV2")
Set objEvents = objWMIService.ExecNotificationQuery("SELECT * FROM Win32_ProcessStartTrace")
Do
Set objReceivedEvent = objEvents.NextEvent
Set colItems = objWMIService.ExecQuery("Select * From Win32_Process where ProcessID=" & objReceivedEvent.ProcessID)
For Each itm in ColItems
wscript.echo objReceivedEvent.ProcessName & " " & itm.CommandLine
Next
Loop
将其打印到控制台窗口
Shift+右键单击在文件上 -复制为路径. 以管理员身份打开命令提示符并
右击-粘贴,然后按家键并将其添加csript //nologo到 vbs 的路径中。然后按Ctrl+C停止监控。
输出将如下所示
>cscript //nologo "C:\Users\User\Desktop\Bat+Vbs\ProcessMonitor.vbs"
cscript.exe cscript //nologo "C:\Users\Users\Desktop\Bat+Vbs\ProcessMonitor.vbs"
iexplore.exe "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:10456 CREDAT:9526 /prefetch:2
iexplore.exe "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:10456 CREDAT:9534 /prefetch:2
SearchFilterHost.exe "C:\Windows\system32\SearchFilterHost.exe" 0 800 804 812 8192 808 788