none
每次开机启动时 makecab.exe进程 就会往windows\temp文件夹写入文件 RRS feed

  • 问题

  • 每次开机启动时 makecab.exe进程 就会往windows\temp文件夹写入文件,写入文件名称为cab_XXXX,文件大小大概为130MB左右。每次开机都会写入请问是什么原因,
    2016年1月25日 19:49

答案

全部回复

  • 先把那個文件拷貝出來用

    expand

    或其他解壓軟件解壓, 看看裏面的內容是否可疑.

    也包括用 AutoRun 進行排查, 該軟件可在 TechNet 下載, 注意要下英文版的.


    Folding@Home

    2016年1月26日 5:26
  • 您好,

    Makecab.exeStegano加密软件进程,这个进程一般不会损害您的系统。

    您可以定期进行磁盘清理来删除这些文件。

    此外,有关写入的临时文件,请联系Setgano的技术支持。


    2016年1月26日 13:36
    版主
  • makecab 是操作系統自帶的程序, 可以通過下面兩條命令進行初步驗證.
    第一條命令需要管理員權限

    fsutil hardlink list %WINDIR%\system32\makecab.exe
    wmic datafile where name="c:\\windows\\system32\\makecab.exe" get manufacturer,version

    Folding@Home

    2016年1月27日 1:48
  • 该文件并没有后缀名,且每次开机都会出现“cab_3532_2、cab_3532_3、cab_3532_4、cab_3532_5、cab_3532_6”这么5个文件,其中“3532”这一具体数字每次都不同。用expand展开后,依然是一个没有后缀名的文件。其它解压缩软件也无法打开
    2016年1月27日 23:11
  • 验证了 ,程序没有什么问题。
    2016年1月27日 23:11
  • 我建議你可以通過

    msconfig

    檢查啓動項.

    或者以管理員身份運行

    taskschd.msc

    檢查開機啓動的任務計劃.

    或者編寫一個批處理腳本

    並在腳本中通過

    wmic process get parentprocessid, processid, name, commandline -format:list

    timeout

    並結合任務計劃, 在開機時多次抓取當時運行的進程, 以期找到與 makcab.exe 的父進程, 然後再做進一步判斷.

    最後你也可以在 TechNet 下載 Autoruns(英文版), 來進行排查.


    Folding@Home

    2016年1月29日 2:33
  • wmic process get parentprocessid, processid, name, commandline -format:list

    命令的輸出需要重定向到一個文本文件中, 通過

    >

    覆蓋

    >>

    追加實現.


    Folding@Home

    2016年1月29日 2:35
  • 请用 AutoRuns 检查一下启动加载项,比 MSCONFIG.EXE 检查得全面。先确定一下 MAKECAB.EXE 是被什么方式调用的。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <tianyey2k>;

    | 每次开机启动时 makecab.exe进程 就会往windows\temp文件夹写入文件,写入文件名称为cab_XXXX,文件大小大概为130MB左右。每次开机都会写入请问是什么原因,

    2016年1月31日 3:22