Warum wurde makecab.exe beim Booten gestartet?

7

Ich versuche herauszufinden, warum dieser Prozess bei zwei Startvorgängen aufgetreten ist. Autoruns zeigt es nirgendwo an. Es erschien, als ich Google Chrome und Malwarebytes deinstallierte.

Die Prefetch-Datei für makecab.exe (makecab ist ein offizieller Microsoft-Prozess) zeigte, dass sie gestern erstellt und heute geändert wurde (sie wurde heute einmal und gestern sehr kurz ausgeführt, nicht länger als 10 Sekunden beim Booten. Ich habe die beiden Programme zuvor deinstalliert zur gleichen Zeit in der Vergangenheit mehrfach und haben diesen Prozess noch nie gesehen.

Normalerweise lösche ich jedoch JEDE Datei, die diesen Programmen zugeordnet ist, einschließlich der Registrierung, wenn ich sie deinstalliert habe. Gibt es einen Grund, warum makecab.exe ausgeführt wird? Ich habe den Prozess-Explorer verwendet, aber der Prozess beginnt und endet zu schnell, damit ich sehen kann, was ihn startet. Es ist jedoch nur zweimal so, dass er angezeigt wird, und das nach der Deinstallation von Chrome und MBAM. Beide Male hatte ich den Prozess-Explorer nicht bereit.

Sollte ich mir darüber Sorgen machen? Oder hat es einen legitimen Grund zum Laufen? Es scheint nicht zu laufen, es sei denn, ich habe etwas deinstalliert (es passiert jedoch nicht immer, wenn ich es tue.)

Ich habe keine Änderungen an meinem PC vorgenommen, außer das Herunterladen von Malwarebytes, die ich zuvor gefunden habe, ohne Probleme.

Andere Bereiche, in denen ich dies gepostet habe, sagen, dass es etwas ist, das das MSI-Installationspaket bereinigt.

Ich habe festgestellt, dass es ungefähr zur gleichen Zeit wie das Windows-Modul-Installationsprogramm beginnt (Vergleich der Prefetch-Datei mit der Ereignisanzeige).

Ich habe keine Programme hinzugefügt, habe dies erst nach der Deinstallation dieser Programme gesehen, aber wie gesagt, ich lösche die Dateien normalerweise manuell. Ich habe die Versionen von makecab auf virustotal hochgeladen und sie sind alle sauber.

Ich konnte nichts anderes in der Registrierung finden als einen Wert, der verschiedene Systemprozesse auflistet. Wenn ich ihn jedoch als Textdatei exportiere, wird angezeigt, dass er seit Jahren nicht mehr bearbeitet wurde.

Wie kann ich herausfinden, was damit beginnt? Ich habe verschiedene Male mit dem Prozess-Explorer neu gestartet und nichts ist passiert. Ich habe Malwarebytes zum Scannen installiert, einen vollständigen Scan durchgeführt und nichts gefunden und Chrome erneut installiert. Nach dem Scan habe ich die 2 deinstalliert und dann, während ich NICHT den Prozess-Explorer, sondern den normalen Task-Manager verwendet habe, nach dem Neustart wieder gesehen.

Gibt es eine Möglichkeit, den Prozess-Explorer dazu zu bringen, die Zeit zu verlängern, in der Prozesse abgebrochen werden? Ist es wahrscheinlich, dass die obige Erklärung wahr ist?

windows-7 64-bit boot process Schlüssel
quelle
Wenn Sie dies nicht konfiguriert haben. Dann sollten Sie sich Sorgen machen, vorausgesetzt, dies ist eine persönliche Maschine, auf die niemand physischen Zugriff hat. Ich würde nur den Eintrag in der Registrierung entfernen, der den Prozess startet, wenn dies nicht ausgeführt werden soll, wenn Ihr Benutzerprofil angemeldet ist. Ich kann Ihnen mit 100% iger Genauigkeit sagen, dass Chrome und Malwarebytes diesen Eintrag NICHT zur Registrierung hinzugefügt haben.
Ramhound
Andere Bereiche, in denen ich dies gepostet habe, sagen, dass es etwas ist, das das MSI-Installationspaket bereinigt. (Vollständiger Kommentar zum Beitrag)
Keyes
Was für ein vollständiger Kommentar. Sie zitieren nur eine Aussage. Ich habe keine Ahnung, wer diese Aussage gemacht hat und in welchem ​​Kontext. Sie haben gefragt, ob Sie sich Sorgen machen sollten, und ich habe Ihre Frage beantwortet. Aufgrund von Qualitätsproblemen ist es nicht wert, als Antwort veröffentlicht zu werden.
Ramhound
Tut mir leid, ich wollte damit sagen, dass jemand von der Sicherheitsbörse gesagt hat, dass es das sein könnte. Mein "vollständiger" Kommentar war nur eine kleine Bearbeitung von Informationen von mir.
Keyes
Ich habe mehr Neustarts durchgeführt und es beginnt nicht. Ist es möglich, dass das Installationsprogramm aus dem Windows / Installer-Ordner entfernt wird?
Keyes

Antworten:

13

Windows wird ausgeführt makecab.exe, um die Größe der alten CBS- Protokolldatei zu verringern . Komprimierte CBS.cab-Dateien finden Sie unter C:\Windows\logs\CBS. Windows sucht beim Start nach Updates, erkennt zu große Protokolle und komprimiert sie.

https://i.stack.imgur.com/oyI3S.png

Also ist nichts falsch.

magicandre1981
quelle
Okay, aber wie kommt es, dass ich es zum ersten Mal gesehen habe? Halten Prefetch-Dateien für immer? Ich habe festgestellt, dass 30 Minuten nach dem Start eine Prefetch-Datei für makecab erstellt wurde. Warum wurde sie bei dieser dritten Gelegenheit so spät ausgeführt? Beim erneuten Überprüfen der Ereignisanzeige stellte ich fest, dass auch der Installationsdienst für das WindowsW-Modul begonnen hatte. Bearbeiten: Ich habe das CBS-Protokoll cbs.txt und deepclean.txt durchgelesen. Alle protokollierten Tims sind, als ich mich an den laufenden Prozess erinnerte. Jetzt weiß ich, was passiert ist. Vielen Dank, aber warum bemerkt ich das zum ersten Mal?
Keyes
Möchten Sie einen Kommentar zu meinem obigen Kommentar zum Thema abgeben?
Keyes
Ich habe keine Ahnung, warum Sie das noch nie gesehen haben.
magicandre1981
Halten Prefetch-Dateien für immer? Und ist es in Ordnung, dass es manchmal nach dem Booten ausgeführt wird? Ich fand, dass der Prfetch 20-30 Minuten nach dem Booten geändert wurde, aber ich kann mich irren (ich bin nicht sicher, ob der Task-Manager die Zeit vor und nach dem Neustart aufzeichnet oder danach juat.)
Keyes
1
Ich habe gerade alle Dateien gelöscht C:\Windows\logs\CBS, da der makecab.exeProzess nie endet und temporäre Dateien bald den gesamten freien Speicherplatz auf dem Systemlaufwerk belegen. Windows 7 SP1 x64.
Zam
0

Ich habe gerade das Gleiche bemerkt und denke, ich weiß, warum ich nach einigen Deinstallationen für ungefähr 5 Minuten eine so hohe CPU-, Speicher- und Festplatten-E / A habe. Nach der Deinstallation habe ich neu gestartet und dann CCleaner ausgeführt. Ich hatte die Einstellung festgelegt, um auch die Windows-Protokolle zu löschen. Nach dem nächsten Neustart bemerkte ich die makecab.exe mit all diesen Aktivitäten. Ich glaube, es waren die Protokolle, die sich selbst neu geschrieben und neue Wege zum Schreiben von Protokollen eingerichtet haben. Möglicherweise haben Sie beim Deinstallieren und manuellen Entfernen von Dateien etwas Ähnliches getan oder nicht.

koffeingelb5
quelle