Menu Fermer

Comment trouver la source des ouvertures de cmd.exe

Il arrive régulièrement que des utilisateurs se plaignent d’ouvertures de cmd.exe furtives (fenêtre noire) lors de l’utilisation de son ordinateur.
cmd.exe est lié à l’invite de commandes et peut permettre l’exécution de programmes, par exemple à partir d’une tâche planifiée de Windows.

Déterminer l’origine de ces ouvertures n’est pas forcément simple, puisque la fenêtre s’ouvre et se ferme très rapidement.
Est-ce un virus ? Un programme légitime ?
Dans ce tuto, vous verrez comment trouver la source de ces ouvertures ou au moins des indications qui peuvent aider à la trouver.

Comment trouver la source des ouvertures des fenêtres noires CMD.

Comment trouver la source des ouvertures de cmd.exe

Comment trouver la source des ouvertures de cmd.exe

Au démarrage de Windows

Si l’ouverture de cmd.exe se fait au démarrage de Windows.
Le mieux est d’utiliser Autoruns afin de vérifier les programmes qui se lancent au démarrage.

La principale difficulté est dans le cas où cmd.exe est lancé par un programme tiers, dans ce cas, il va être difficile de déterminer le coupable.
Éventuellement, lire la page : 

Process Monitor

Dans ce tuto, nous allons utiliser le programme Process Monitor (ProcMon), ce dernier enregistre l’activité du système et les inscrits dans un journal.
A partir de là, il est possible de savoir quel programme lance cmd.exe
ProcMon.
Ces programmes d’analyse de l’activité de Windows, on en a déjà parlé dans le sujet : 

Temps nécessaire : 30 minutes

Comment trouver la source des ouvertures de fenêtres noires CMD

  1. Télécharger Process Monitor

    Télécharger Process Monitor
    Décompressez le avec l’outil ZIP de Windows ou avec 7-zip
    Vous pouvez le mettre sur le bureau
    Ensuite exécutez le

  2. Accepter les conditions d’utilisaton

    Cliquez sur Agree sur la page des EULA.
    Puis Cliquez sur oui sur la fenêtre du contrôle des comptes (UAC)
    Process Monitor EULA

  3. Désactiver les suivis d’activités inutiles

    Dans la barre d’outil, décochez toutes les icônes de suivi d’activité inutile.
    Laissez que l’icône de Windows (Show Process & Threads Activity) cochée.
    Comment trouver la source des ouvertures de fenêtres noires CMD

  4. Attendez qu’une fenêtre CMD s’ouvre

    Attendre que la fenêtre cmd.exe s’ouvre afin que les informations s’inscrivent dans le journal.
    Une fois ouverte, cliquez sur le menu Files puis Captures Events afin d’arrêter la capture des évènements.

  5. Analyser les ouvertures de fenêtres CMD dans Process Monitor

    Puis lire les informations qui y sont données.
    Pour trouver les lignes CMD, vous pouvez utiliser la recherche CTRL+F.
    Vous devez trouver la ligne cmd.exe avec la mention Process Start.
    A droite, se trouve le parent ID, c’est à dire le numéro du proecssus qui a exécuté et lancé cmd.exe
    Ici on peut voir le processus parent, c’est à dire le processus à l’origine de l’ouverture de cmd.exe
    Le PID est l’identificateur de ce processus, c’est un numéro unique qui change à chaque lancement d’un nouveau processus.
    Trouver la source des ouvertures de fenêtres CMD

  6. Trouver le processus source qui exécute CMD

    Process Monitor donne les ID des processus dans la colonne PID.
    Ici c’est l’ID 3508, on voit qu’au dessus, on a explorer.exe avec cet ID.
    C’est donc lui dans cet exemple qui lance CMD.exe
    Comment trouver la source des ouvertures de fenêtres noires CMD

  7. Trouver le PID d’un processus dans le gestionnaire de tâches de Windows

    Le gestionnaire de tâches de Windows donne aussi les PID depuis l’onglet Details.
    Déterminer ce qui lance CMD

  8. Trouver le processus source qui exécute CMD

    Voici un autre exemple, la ligne CMD Process Create donne le nom du processus source ici notepad.exe

    Comment trouver la source des ouvertures de fenêtres noires CMD

  9. Exporter le journal pour analyser la source des fenêtres CMD

    Si vous vous posez des questions ou n’arrivez pas à comprendre ce qui se passe.
    Vous pouvez exporter le journal depuis le menu File puis Save.
    Cela créé un fichier PML.
    Zippez ce dernier puis allez sur le forum d’aide
    Créez un sujet en attachant le zip.
    Enregistrer journal Procmon pour trouver source fenêtre CMD

La vidéo suivante montre comment utiliser Procmon pour pouvoir déterminer quel programme est à l’origine de l’exécution de cmd.exe :


ou encore :

Bravo ! vous avez réussi à trouver la source des ouvertures de cmd.exe

Explications pour trouver source ouverture fenêtre noire CMD

Parmi les sujets rencontrés de plaintes d’ouvertures de fenêtre cmd.exe
On trouve cet exemple :

Explications pour trouver source ouverture fenêtre noire CMD

cmd.exe lance bitsadmin.exe qui est lié aux mises à jour de Windows qui sont donc à l’origine de ces popups cmd.exe

 C:\Windows\system32\bitsadmin.exe /COMPLETE task3 && C:\Windows\system32\bi3.exe /sparam=H28ztrmbl10BU,3962c1f7-65c5-4b99-a36a-8cb39ae7b258, /rnd=1 2>nul
Explications pour trouver source ouverture fenêtre noire CMD

Les propriétés de CMD confirment bien que la source est bitadmin :

Explications pour trouver source ouverture fenêtre noire CMD

bitsadmin.exe est un processus lié à des transferts intelligents de fichiers.
Il peut être utilisé pour les mises à jour Windows Update ou par des applications.

Il existe d’ailleurs, un vieux lien sur le site concernant ces ouvertures cmd.exe liées au mises à jour de Windows :