При каждом входе в Windows 10 Home экран cmd запускается с командным файлом в windows\system32
. Антивирус ничего не показывает, автозапуск SysInternals не показывает вызов cmd.exe
или командного файла.
При использовании Process Explorer родительским файлом cmd.exe является «Несуществующий процесс», но cmd.exe находится ниже winlogon.exe в древовидном представлении, что вызывает у меня подозрения в отношении некоторой записи в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
.
Тем не менее, там есть бесчисленное количество записей, и я боюсь что-то сломать, если отключу все. Сам пакет безвреден - он записывает только текущую дату и время в текстовый файл, затем приостанавливается. Я использовал Process Monitor и никогда не видел процесс, обращающийся к этому файлу при моем обычном использовании.
Поскольку это происходит во время входа в систему, для меня слишком поздно использовать Process Monitor. Поскольку это Windows 10 Home, я не могу включить журналы аудита процессов.
Можно ли скачать какой-нибудь инструмент, чтобы узнать, кто запускает этот cmd.exe
и / или командный файл? Или как мне подготовить Process Monitor к запуску, прежде чем все остальное при входе в систему?