最近系统每隔几十分钟就会闪出个命令行窗口, 如何才能知道是哪个程序？

红色狂想 · 发表于 2024-1-7 21:44

我的主力办公机系统是Windows Server 2019，一直安稳裸奔两年多了，最近不知怎么搞的，发现每隔几十分钟就会有个类似命令行的程序窗口一闪而过，速度很快，无法看清是什么，像是中了什么恶意软件，如果我正在打字他正好该弹出时就会导致焦点切换输入法中断，非常烦人

平常很少装什么软件，仔细想了一下，在出现这个现象之前，就因为**无法播放TP-LINK安防系统录制的摄像头监控视频，于是就按照网上说的办法安装了K-Lite_Codec_Pack_1794_Full这个重解码包，还是从官网下载的，之后就出现了这种情况，而且还发现在Windows卸载和更新里面莫名出现了一个叫Infatica P2B Network的软件卸载项，生成时间与K-Lite_Codec_Pack_1794_Full一致，所以怀疑是K-Lite_Codec_Pack_1794_Full捆绑携带的软件，不知是做什么用的，网上查了一下，相关资料很少，貌似是商业股票什么网络协议…… 既然都能捆绑这些，那会不会还有其他猫腻？

捕获Infatica P2B Network.JPG

所以在此想请教一下，像这种情况，有没有什么办法可以实时监控分析出，这个每隔几十分钟运行弹出一次的程序窗口是哪个进程调用的呢？

P2FX · 发表于 2024-1-7 21:48

可以在任务排程器里看看有什么定时启动的

路西法大大 · 发表于 2024-1-7 21:57

右键开始菜单选择计算机管理然后在任务计划程序里面找不对劲的定时计划

uuyyhhjj · 发表于 2024-1-7 22:18

OpenArk这类软件都行吧，微软自家的Process Monitor可能用起来过于复杂

nnjohnnie · 发表于 2024-1-7 22:22

看不清就开个录屏呗

monkeylab · 发表于 2024-1-7 22:24

卸了就行啊，google了一下就是K-Lite捆绑安装的，作用是在用户网络空闲时，充当中继站协助他人转发封包。

山东001 · 发表于 2024-1-7 22:25

以前win10遇到过一个cmd窗口一闪而过截图发现是Microsoftoffice的可是早就卸载了不得其解

jimmystar · 发表于 2024-1-7 22:26

KCP一直装，没出现过

刹之那 · 发表于 2024-1-7 22:43

看到这个我想起来了，之前我装了一个什么怀旧天马游戏大包（说是纯净无毒，呵呵），里面是各种老游戏模拟器，就给我装了这个，导致内网万兆直接只能跑到2G速度，我一度以为是windows的问题，还是卡巴斯基提醒我安装了这种泄露隐私的软件。

为了这个我直接重装了系统，各种系统设置搞了一天，看到就想骂人。

xy. · 发表于 2024-1-7 22:53

https://wwub.lanzouu.com/ijddK1kef6bi hbo6
附源码, 不放心可自行编译.

verycd11 · 发表于 2024-1-7 22:56

你好，您可以使用microsoft开发的process explorer软件来监控系统进程，该软件可以清楚的看到任意进程的宿主进程

红色狂想 · 发表于 2024-1-7 23:00

monkeylab 发表于 2024-1-7 22:24
卸了就行啊，google了一下就是K-Lite捆绑安装的，作用是在用户网络空闲时，充当中继站协助他人转发封包。 ...

是卸载K-Lite_Codec_Pack_1794_Full还是Infatica P2B Network？后这一发现就卸载了，但还会这样。。。干嘛要在用户网络空闲时充当中继站协助他人转发封包，这是在捕获屏幕图像向外发送隐私数据吗？

红色狂想 · 发表于 2024-1-7 23:15

山东001 发表于 2024-1-7 22:25
以前win10遇到过一个cmd窗口一闪而过截图发现是Microsoftoffice的可是早就卸载了不得其解 ...

这个我也在怀疑，虽然我装的是Microsoft Office Professional Plus 2019官方原版，但激活工具是用的老外开发的那款经典脚本程序，因为是类似那种90天的激活方式，平常很少用Office，后来激活失效了也没去管它，不知是不是因为这方面的原因

bxhaai · 发表于 2024-1-8 08:55

安装一个杀毒软件看看，没什么的话还可以删了

红色狂想 · 发表于 2024-1-8 16:10

bxhaai 发表于 2024-1-8 08:55
安装一个杀毒软件看看，没什么的话还可以删了

不能装国产杀毒软件，全都是幽灵，装了就别想再卸干净

多崎作 · 发表于 2024-1-8 16:12

录屏，捕捉到弹出画面就逐帧查看是什么程序

红色狂想 · 发表于 2024-1-8 16:26

xy. 发表于 2024-1-7 22:53
https://wwub.lanzouu.com/ijddK1kef6bi hbo6
附源码, 不放心可自行编译.

Chrome下载不了，给禁了，用IE浏览器下载下来了，这个小工具是干啥用的呀，有使用教程吗？

xy. · 发表于 2024-1-8 16:31

红色狂想发表于 2024-1-8 16:26
Chrome下载不了，给禁了，用IE浏览器下载下来了，这个小工具是干啥用的呀，有使用教程吗？ ...

运行你就懂了, 运行后不管它即可, 直到窗口再次闪出

红色狂想 · 发表于 2024-1-8 21:07

xy. 发表于 2024-1-8 16:31
运行你就懂了, 运行后不管它即可, 直到窗口再次闪出

哈哈，你这个小控制台程序真是个好东西，让我想起很久以前我学VB6.0编程时，利用Win32 API示例东拼西凑开发出的仿Windows进程管理器，通过遍历递归当前系统的所有进程句柄，来获得所有窗口的标题栏名称和进程路径，包括IE浏览器的标签页，当时我就是想搞一个中学生护花使者软件，就是实时监控所有活动窗口的标题栏，只要名称一匹配特征库关键字，立刻就将该进程杀掉，并发出警告提示信息，然后浏览了一堆艳图网站，当测试成功后太让我兴奋了！

hcym · 发表于 2024-1-8 21:19

系统大更新好像有窗口一闪而过
很少用就不管了

红色狂想 · 发表于 2024-1-9 14:03

xy. 发表于 2024-1-8 16:31
运行你就懂了, 运行后不管它即可, 直到窗口再次闪出

昨晚睡觉前打开运行放那儿没管它，今天记录的内容如下，貌似看不出有什么可疑进程

2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
2784:0 Focus.exe  Title: Class:
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
11312:8944 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5700:11000 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
10356:9616 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
10356:0 Title: Class:
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
4304:13072 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
8280:14920 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
11028:1740 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
11028:0 Title: Class:
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
12292:9356 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
5000:5892 explorer.exe  Title: Class:SysShadow
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass

skywaymanz · 发表于 2024-1-9 14:29

本帖最后由 skywaymanz 于 2024-1-9 14:31 编辑

红色狂想发表于 2024-1-9 14:03
昨晚睡觉前打开运行放那儿没管它，今天记录的内容如下，貌似看不出有什么可疑进程
...

C:\Program Files (x86)\Utility\Focus.exe
这个目录Utility不对，windows自带不会有这个

然后C:\Windows\system32\SecureBootEncodeUEFI.exe
这个exe也不对，system32里面放的大部分都是上古程序，啥玩意SecureBoot还UEFI，另外Encode就是视频编码的意思

Rainput · 发表于 2024-1-9 15:26

skywaymanz 发表于 2024-1-9 14:29
C:\Program Files (x86)%utility\Focus.exe
这个目录Utility不对，windows自带不会有这个

Focus.exe得楼主自己确认下。

SecureBootEncodeUEFI.exe 这个文件名称和位置倒是合理（是否被替换？），新版win10和win11都有这个文件的。

按楼主描述，几十分钟出现一次，也可能是这种exe被调用了，计划任务里用到了之类的

Rainput · 发表于 2024-1-9 15:31

红色狂想发表于 2024-1-8 21:07
哈哈，你这个小控制台程序真是个好东西，让我想起很久以前我学VB6.0编程时，利用Win32 API示例东拼西凑开 ...

你懂编程的话，这种弹窗，一般是正常或恶意但三脚猫水平的命令行调用，或者是恶意软件代码里用ShellExecute这类API调用。

想隐蔽调用的话，用CreateProcess调用，可以没有窗口出现，普通用户根本感知不到。

skywaymanz · 发表于 2024-1-9 16:15

Rainput 发表于 2024-1-9 15:26
Focus.exe得楼主自己确认下。

SecureBootEncodeUEFI.exe 这个文件名称和位置倒是合理（是否被替换？）， ...

你真专业！

红色狂想 · 发表于 2024-1-9 16:21

skywaymanz 发表于 2024-1-9 14:29
C:\Program Files (x86)%utility\Focus.exe
这个目录Utility不对，windows自带不会有这个

Utility是我自己创建的目录，里面是常用实用工具，我把Focus.exe也放在了那里

至于C:\Windows\system32\SecureBootEncodeUEFI.exe，虽然看起来有点可疑，但我搜索到这个文件看了一下它的属性信息，显示的是Microsoft Windows系统文件呀

捕获SecureBootEncodeUEFI.JPG

而且微软社区论坛也有一篇求助帖 C:\WINDOWS\system32\SecureBootEncodeUEFI.exe未响应
网上对SecureBootEncodeUEFI.exe这个程序文件的解释是，SecureBootEncodeUEFI 是一个操作系统启动过程中的安全功能，用于验证操作系统和驱动程序的签名，确保它们是由受信任的发行商发布并没有遭到篡改。这种技术可以防止恶意软件在系统启动时运行，并提供额外的安全层，详见这篇帖子：https://www.cnblogs.com/suv789/p/17565232.html

这个程序文件的属性信息中创建、修改和访问时间都是2023/12/2，与我最近一次进行Windows Update的日期时间一致，这是否证明了他是Windows系统的文件，而且还更新了版本？

红色狂想 · 发表于 2024-1-9 16:25

Rainput 发表于 2024-1-9 15:26
Focus.exe得楼主自己确认下。

SecureBootEncodeUEFI.exe 这个文件名称和位置倒是合理（是否被替换？）， ...

你参考一下我26#楼的回帖……

红色狂想 · 发表于 2024-1-9 16:34

Rainput 发表于 2024-1-9 15:31
你懂编程的话，这种弹窗，一般是正常或恶意但三脚猫水平的命令行调用，或者是恶意软件代码里用ShellExecu ...

是的，恶意的可能性应该很小，因为Windows Defender没有任何异常提醒，感觉就是某个程序在按照任务调用，但又找不到线索和来源

红色狂想 · 发表于 2024-1-11 14:13

hcym 发表于 2024-1-8 21:19
系统大更新好像有窗口一闪而过
很少用就不管了

Windows系统安装批量更新时弹出控制台窗口是正常的，但每天有计划的弹出就不正常了，现在可以确定弹出的窗口就是C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass，想不明白是谁在调用它，等有空儿了再研究吧……

红色狂想 · 发表于 2024-3-6 16:48

多崎作发表于 2024-1-8 16:12
录屏，捕捉到弹出画面就逐帧查看是什么程序

汇报一下情况，啥都没做，就上个月重启了一下系统，结果竟然又好了，不再闪C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass这个命令行窗口了，真是搞不懂，难道是系统BUG？这还真应验了那句话啊，重启系统可以解决80%的问题，重装系统可以解决90%的问题，砸了再买一台可以解决100%的问题呀！

账号		自动登录	找回密码
密码			加入我们

[软件] 最近系统每隔几十分钟就会闪出个命令行窗口, 如何才能知道是哪个程序？