1. Minimalizuju vše okolo aby pracovalo co nejmíň procesů
2. Start spustit : %SystemRoot%\System32\RUNDLL32.EXE shell32.dll,Control_RunDLL hotplug.dll - nechám otevřeno (mám připraveno).
3. Spustím procmon, zastavím Capture a vymažu eventy
4. Spustím Capture v procmon a zmáčknu OK ve start/spustit - počkám na vygenerování Okna s odebráním (u tebe nejde- čekej cca 10 vteřin) - zastavím Capture.
Tak a teď to bude jako cesta vlakem:
5. V procmon Edit/Find zadáš hotplug.dll - jmeš se hledat.
6. První zastávka Explorer něco chce (ručně jsme spustili, je to pochopitelný)
7. Rundll začíná pracovat (přijme příkaz, mkrne do registry)
8. Rundll začne pracovat s knihovnou (v kolonce path je hotplug.dll)- až toto najdu (pokud vůbec) kliknu pravou do sloupce path a dám : Include "C:\Windows\system32\hotplug.dll" - tím se mi vyfiltrují všechny eventy s path hotplug.dll.
9. Menu Filter/Save filter si ho uložím - můžeš kdykoliv kliknutím příště vyfiltrovat.

===========
Nahoře jsem ti psal, aby sis výpisu moc nevšímal, šlo mi o to aby jsi použil tento program. Takže ve vygenerování okna byla tato cesta:
Explorer na rundll
Rundll na registry
Rundll na hotplug
Va sloupci Operation je napsáno, co vlákno momentálně dělá a ve sloupci result je jaký má při tom úspěch. Nezapomeň, že systém využívá chyby i ke zjišťování infa - je to většinou dotaz na alokování paměti- toho si nemusíme všímat. Čeho si všímej je: chybějící knihovna (není zaregistrovaná?), přístup zamítnut (nemám práva?, hrál jsem si s gpedit?), že se nezobrazí okno má příčinu, kterou ti program ukáže. Chyba by se měla vyskytovat (patrně) v poslední zmínce o hotplug (zapamatuj si číslo eventu), pokd máš filtrováno, tak odfiltruj (reset filter v menu) a přejdi si na číslo události a tam čmuchej.