Comment tracer les ouvertures de cmd.exe

Il arrive régulièrement que des utilisateurs se plaignent d’ouvertures de cmd.exe furtives (fenêtre noire) lors de l’utilisation de son ordinateur.
cmd.exe est lié à l’invite de commandes et peut permettre l’exécution de programmes, par exemple à partir d’une tâche planifiée de Windows.

Déterminer l’origine de ces ouvertures n’est pas forcément simple, puisque la fenêtre s’ouvre et se ferme très rapidement.
Est-ce un virus ? Un programme légitime ?
Dans ce tuto, vous verrez comment trouver la source de ces ouvertures ou au moins des indications qui peuvent aider à la trouver.

Au démarrage de Windows

Si l’ouverture de cmd.exe se fait au démarrage de Windows.
Le mieux est d’utiliser Autoruns afin de vérifier les programmes qui se lancent au démarrage.

La principale difficulté est dans le cas où cmd.exe est lancé par un programme tiers, dans ce cas, il va être difficile de déterminer le coupable.
Eventuellement, lire la page : Supprimer fenêtre noire cmd au démarrage de Windows

Process Monitor

Dans ce tuto, nous allons utiliser le programme Process Monitor (ProcMon), ce dernier enregistre l’activité du système et les inscrits dans un journal.
A partir de là, il est possible de savoir quel programme lance cmd.exe
ProcMon, on en a déjà parlé dans le sujet : Monitorer l’activité système ou d’un programme

Télécharger Process Monitor
Vous pouvez le mettre sur le bureau.

La vidéo suivante montre comment utiliser Procmon pour pouvoir déterminer quel programme est à l’origine de l’exécution de cmd.exe :

ou encore :

Le principe est donc de lancer Process Monitor.
Désactiver le suivi du registre Windows, réseau car inutile dans notre cas.
Attendre que la fenêtre cmd.exe s’ouvre afin que les informations s’inscrivent dans le journal.

Puis lire les informations qui y sont données.
Ici on peut voir le processus parent, c’est à dire le processus à l’origine de l’ouverture de cmd.exe
Le PID est l’identificateur de ce processus, c’est un numéro unique qui change à chaque lancement d’un nouveau processus.

Le gestionnaire de tâches donne les PID.

A noter aussi que si cmd.exe lance un nouveau processus et devient donc un processus parent, vous aurez l’info dans Process Monitor.
Ici dans la capture ci-dessous, on voit un “Process Create” sur notepad.exe.
cmd.exe lance donc notepad.exe

Si vous vous posez des questions ou n’arrivez pas à comprendre ce qui se passe.
Vous pouvez exporter le journal depuis le menu File puis Save.
Cela créé un fichier PML.
Zippez ce dernier.
Allez sur le forum : http://forum.malekal.com
Créez un sujet en attachant le zip.

Explications

Parmi les sujets rencontrés de plaintes d’ouvertures de fenêtre cmd.exe
On trouve ceci :

cmd.exe lance bitsadmin.exe qui est lié aux mises à jour de Windows qui sont donc à l’origine de ces popups cmd.exe

 C:\Windows\system32\bitsadmin.exe /COMPLETE task3 && C:\Windows\system32\bi3.exe /sparam=H28ztrmbl10BU,3962c1f7-65c5-4b99-a36a-8cb39ae7b258, /rnd=1 2>nul

 

Il existe d’ailleurs, un vieux lien sur le site concernant ces ouvertures cmd.exe liées au mises à jour de Windows : Supprimer fenêtre noire cmd au démarrage de Windows

(Visité 1 277 fois, 1 visites ce jour)

Vous pouvez aussi lire...