Il arrive régulièrement que des utilisateurs se plaignent d’ouvertures de cmd.exe furtives (fenêtre noire) lors de l’utilisation de son ordinateur.
cmd.exe est lié à l’invite de commandes et peut permettre l’exécution de programmes, par exemple à partir d’une tâche planifiée de Windows.
Déterminer l’origine de ces ouvertures n’est pas forcément simple, puisque la fenêtre s’ouvre et se ferme très rapidement.
Est-ce un virus ? Un programme légitime ?
Dans ce tuto, vous verrez comment trouver la source de ces ouvertures ou au moins des indications qui peuvent aider à la trouver.
Comment trouver la source des ouvertures des fenêtres noires CMD.
Table des matières
Comment trouver la source des ouvertures de cmd.exe
Au démarrage de Windows
Si l’ouverture de cmd.exe se fait au démarrage de Windows.
Le mieux est d’utiliser Autoruns afin de vérifier les programmes qui se lancent au démarrage.
La principale difficulté est dans le cas où cmd.exe est lancé par un programme tiers, dans ce cas, il va être difficile de déterminer le coupable.
Éventuellement, lire la page :
Process Monitor
Dans ce tuto, nous allons utiliser le programme Process Monitor (ProcMon), ce dernier enregistre l’activité du système et les inscrits dans un journal.
A partir de là, il est possible de savoir quel programme lance cmd.exe
ProcMon.
Ces programmes d’analyse de l’activité de Windows, on en a déjà parlé dans le sujet :
Temps nécessaire : 30 minutes
Comment trouver la source des ouvertures de fenêtres noires CMD
- Télécharger Process Monitor
Télécharger Process Monitor
Décompressez le avec l’outil ZIP de Windows ou avec 7-zip
Vous pouvez le mettre sur le bureau
Ensuite exécutez le - Accepter les conditions d’utilisaton
Cliquez sur Agree sur la page des EULA.
Puis Cliquez sur oui sur la fenêtre du contrôle des comptes (UAC) - Désactiver les suivis d’activités inutiles
Dans la barre d’outil, décochez toutes les icônes de suivi d’activité inutile.
Laissez que l’icône de Windows (Show Process & Threads Activity) cochée. - Attendez qu’une fenêtre CMD s’ouvre
Attendre que la fenêtre cmd.exe s’ouvre afin que les informations s’inscrivent dans le journal.
Une fois ouverte, cliquez sur le menu Files puis Captures Events afin d’arrêter la capture des évènements. - Analyser les ouvertures de fenêtres CMD dans Process Monitor
Puis lire les informations qui y sont données.
Pour trouver les lignes CMD, vous pouvez utiliser la recherche CTRL+F.
Vous devez trouver la ligne cmd.exe avec la mention Process Start.
A droite, se trouve le parent ID, c’est à dire le numéro du proecssus qui a exécuté et lancé cmd.exe
Ici on peut voir le processus parent, c’est à dire le processus à l’origine de l’ouverture de cmd.exe
Le PID est l’identificateur de ce processus, c’est un numéro unique qui change à chaque lancement d’un nouveau processus. - Trouver le processus source qui exécute CMD
Process Monitor donne les ID des processus dans la colonne PID.
Ici c’est l’ID 3508, on voit qu’au dessus, on a explorer.exe avec cet ID.
C’est donc lui dans cet exemple qui lance CMD.exe - Trouver le PID d’un processus dans le gestionnaire de tâches de Windows
Le gestionnaire de tâches de Windows donne aussi les PID depuis l’onglet Details.
- Trouver le processus source qui exécute CMD
Voici un autre exemple, la ligne CMD Process Create donne le nom du processus source ici notepad.exe
- Exporter le journal pour analyser la source des fenêtres CMD
Si vous vous posez des questions ou n’arrivez pas à comprendre ce qui se passe.
Vous pouvez exporter le journal depuis le menu File puis Save.
Cela créé un fichier PML.
Zippez ce dernier puis allez sur le forum d’aide
Créez un sujet en attachant le zip.
La vidéo suivante montre comment utiliser Procmon pour pouvoir déterminer quel programme est à l’origine de l’exécution de cmd.exe :
ou encore :
Explications pour trouver source ouverture fenêtre noire CMD
Parmi les sujets rencontrés de plaintes d’ouvertures de fenêtre cmd.exe
On trouve cet exemple :
cmd.exe lance bitsadmin.exe qui est lié aux mises à jour de Windows qui sont donc à l’origine de ces popups cmd.exe
C:\Windows\system32\bitsadmin.exe /COMPLETE task3 && C:\Windows\system32\bi3.exe /sparam=H28ztrmbl10BU,3962c1f7-65c5-4b99-a36a-8cb39ae7b258, /rnd=1 2>nul
Les propriétés de CMD confirment bien que la source est bitadmin :
bitsadmin.exe est un processus lié à des transferts intelligents de fichiers.
Il peut être utilisé pour les mises à jour Windows Update ou par des applications.
Il existe d’ailleurs, un vieux lien sur le site concernant ces ouvertures cmd.exe liées au mises à jour de Windows :