Windows, как выявить процесс, который запускает определенный exe?

Question

[kpalagin]

Имеется ноут с Виндой и кучей софта.
Нечто при каждой перезагрузке запускает makecab.exe, которая создает файл 150МБ. Файл никакими архиваторами не открывается.
Хочу выявить это нечто и прибить. Очевидно, что нужно использовать Process Monitor, но я что-то не соображу какие фильтры ставить.
Помогите разобраться

Answer 1

[VoidVolker]

Вообще можно проще:

Process explorer -> "makecab.exe" -> Properties -> Image -> Parent

Фильтры для мониторинга же создания/остановки процессов:

Operation - is - Process Create
Operation - is - Process Exit

Плюс посмотрите автозапуск через Autoruns.

Comments

[kpalagin]

Шикарно, спасибо большое

[kpalagin]

wininit.exe - services.exe - trustedinstaller.exe - makecab.exe
такая вот гинеалогия.

Как выявить причину этого странного поведения?
ОС - Windows 7.

[VoidVolker]

Смотрите журналы винды - системный, обновлений и прочее. Возможно там где-то есть какая-то ошибка или проблема. Как вам уже сказали - это какая-то проблема с обновлениями.

Answer 2

[Михаил Лялин]

Процесс makecab.exe запускается при перезагрузке компьютера, чтобы уменьшить размер старых файлов журнала CBS. Сжатые файлы CBS.cab можно найти в разделе C:\Windows\logs\CBS.
superuser.com
Основная причина запуска makecab.exe — неудачное обновление Windows. Ещё одна возможная причина — вирус или вредоносное ПО, которое модифицирует файлы.

Comments

[kpalagin]

В моем случае файлы создаются в c:\windows\temp и имеют имя вида cab_4400_3 и пустое расширение.