问题现象: 网吧反馈客户机开机的时候在C:\Windows\SysWOW64目录下总会有几个随机路径的进程,感觉开机的时候卡,怀疑是计费的但是没有证据。 排查过程: 1.通常抓取开机随机进程会用ProcessMonotor工具,但 ...
| 问题现象: 网吧反馈客户机开机的时候在C:\Windows\SysWOW64目录下总会有几个随机路径的进程,感觉开机的时候卡,怀疑是计费的但是没有证据。  排查过程: 1.通常抓取开机随机进程会用ProcessMonotor工具,但是在这个网吧环境下发下开机无法正常吊起,怀疑是被什么东西屏蔽掉了。 2.于是尝试使用其他的进程行为捕捉工具WindowsMonitor。 3.在服务器C:\Program Files (x86)目录下新建WindowsMonitor文件夹,将工具解压到这个路径,并右键WindowsMonitor.exe创建它的快捷方式。  4.然后挂载客户机使用的那个镜像,将服务器C:\Program Files (x86)\WindowsMonitor目录整体剪切或者复制到X:\Program Files (x86)目录下(X为镜像挂载盘符),快捷方式复制到X:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup目录下(windows的启动文件夹),取消挂载保存镜像。   5.客户机重启后,在客户机C:\Program Files (x86)\WindowsMonitor目录下,可以看到记录的日志文件.  6.这个网吧随机进程的问题通过查看这个文件可以很清楚的看到。根据进程名和路径名称,不断向上搜索,找到最终的父进程。    这里生成的整个流程是UDO.exe--》GLWCheck.exe--》wgivsre.exe--》C:\Windows\SysWOW64\XXX\wgprotect.exe,UDO是谁的进程大家就都很清楚了,不清楚可以根据路径去看下。 工具下载地址:  WindowsMonitor.rar参考链接: 1.Process Monitor开机启动说明 2.WindowsMonitor捕捉程序行为操作 |
相关分类
精彩导读
科技快报
关注我们