最近系统隔几十分钟会闪出个窗口,如何能知道是哪个程序？

红色狂想 · 发表于 2024-1-7 22:04

我的主力办公机系统是Windows Server 2019，一直安稳裸奔两年多了，最近不知怎么搞的，发现每隔几十分钟就会有个类似命令行的程序窗口一闪而过，速度很快，无法看清是什么，像是中了什么恶意软件，如果我正在打字他正好该弹出时就会导致焦点切换输入法中断，非常烦人

平常很少装什么软件，仔细想了一下，在出现这个现象之前，就因为PotPlayer无法播放TP-LINK安防系统录制的摄像头监控视频，于是就按照网上说的办法安装了K-Lite_Codec_Pack_1794_Full这个重解码包，还是从官网下载的，之后就出现了这种情况，而且还发现在Windows卸载和更新里面莫名出现了一个叫Infatica P2B Network的软件卸载项，生成时间与K-Lite_Codec_Pack_1794_Full一致，所以怀疑是K-Lite_Codec_Pack_1794_Full捆绑携带的软件，不知是做什么用的，网上查了一下，相关资料很少，貌似是商业股票什么网络协议…… 既然都能捆绑这些，那会不会还有其他猫腻？

所以在此想请教一下，像这种情况，有没有什么办法可以实时监控分析出，这个每隔几十分钟运行弹出一次的程序窗口是哪个进程调用的呢？

kmdizzy · 发表于 2024-1-10 13:15

P2B是K-lite带的，安装时有提示，可以不安装的

墙上的另一块砖 · 发表于 2024-1-17 14:36

先卸载K-Lite，用几天。排除
重新安装时看清楚。俺怀疑这个有可能它在线下载某个包，结果可能因为GFW，下载不了

红色狂想 · 发表于 2024-1-25 23:21

kmdizzy 发表于 2024-1-10 13:15
P2B是K-lite带的，安装时有提示，可以不安装的

因为是英文安装界面，安装时没仔细看，直接下一步了。。。现在可以肯定与K-Lite_Codec_Pack_1794_Full这个软件无关

隔壁有人提供了一个自己编写的小工具 https://wwub.lanzouu.com/ijddK1kef6bi hbo6
运行后是一个CMD控制台程序，可以实时监控记录当前桌面上所有活动窗口的标题栏及类路径。经过一夜的监视，记录结果如下：

2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
2784:0 Focus.exe  Title: Class:
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
11312:8944 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5700:11000 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
10356:9616 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
10356:0 Title: Class:
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
4304:13072 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
8280:14920 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
11028:1740 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
11028:0 Title: Class:
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
12292:9356 SecureBootEncodeUEFI.exe  Title:C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass
8360:7156 HDSentinel.exe  Title:Hard Disk Sentinel Class:TApplication
5000:5892 explorer.exe  Title: Class:Shell_TrayWnd
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
5000:5892 explorer.exe  Title: Class:SysShadow
5000:3932 explorer.exe  Title:Program Manager Class:Progman
5000:0 explorer.exe  Title: Class:
2784:8176 Focus.exe  Title:C:\Program Files (x86)\Utility\Focus.exe Class:ConsoleWindowClass

经过排除，就是C:\Windows\system32\SecureBootEncodeUEFI.exe这个程序每隔几十分钟运行弹出一次，但我搜索到这个文件看了一下它的属性信息，显示的是Microsoft Windows系统文件啊

而且微软社区论坛也有一篇求助帖，C:\WINDOWS\system32\SecureBootEncodeUEFI.exe未响应
网上对SecureBootEncodeUEFI.exe这个程序文件的解释是，SecureBootEncodeUEFI 是一个操作系统启动过程中的安全功能，用于验证操作系统和驱动程序的签名，确保它们是由受信任的发行商发布并没有遭到篡改。这种技术可以防止恶意软件在系统启动时运行，并提供额外的安全层，详见这篇帖子：https://www.cnblogs.com/suv789/p/17565232.html

这个程序文件的属性信息中创建、修改和访问时间都是2023/12/2，与我最近一次进行Windows Update的日期时间一致，这是否证明了他是Windows系统的文件，而且还更新了版本？

想不明白是谁在调用它，干嘛还每隔几十分钟就调用一次

红色狂想 · 发表于 2024-1-25 23:24

墙上的另一块砖发表于 2024-1-17 14:36
先卸载K-Lite，用几天。排除
重新安装时看清楚。俺怀疑这个有可能它在线下载某个包，结果可能因为GFW，下载 ...

我感觉与K-Lite_Codec_Pack_1794_Full无关，具体详见4#楼的回帖……

红色狂想 · 发表于 2024-3-6 16:54

汇报一下情况，啥都没做，就上个月重启了一下系统，结果竟然又好了，不再闪C:\Windows\system32\SecureBootEncodeUEFI.exe Class:ConsoleWindowClass这个命令行窗口了，真是搞不懂，难道是系统BUG？这还真应验了那句话啊，重启系统可以解决80%的问题，重装系统可以解决90%的问题，砸了再买一台可以解决100%的问题呀！