Copyright HébergementWebs.com - License GPL

Comment trouver la source des ouvertures de cmd.exe

Windows   2020-09-29 00:59:38

Il arrive régulièrement que des utilisateurs se plaignent d"ouvertures de cmd.exe furtives (fenêtre noire) lors de l"utilisation de son ordinateur.cmd.exe est lié à l"invite de commandes et peut permettre l"exécution de programmes, par exemple à partir d"une tâche planifiée de Windows.Déterminer l"origine de ces ouvertures n"est pas forcément simple, puisque la fenêtre s"ouvre et se ferme très rapidement.Est-ce un virus ? Un programme légitime ?Dans ce tuto, vous verrez comment trouver la source de ces ouvertures ou au moins des indications qui peuvent aider à la trouver.Comment trouver la source des ouvertures des fenêtres noires CMD.Table des matières1 Comment trouver la source des ouvertures de cmd.exe1.1 Au démarrage de Windows1.2 Process Monitor2 Explications pour trouver source ouverture fenêtre noire CMD3Comment trouver la source des ouvertures de cmd.exeAu démarrage de WindowsSi l"ouverture de cmd.exe se fait au démarrage de Windows.Le mieux est d"utiliser Autoruns afin de vérifier les programmes qui se lancent au démarrage.La principale difficulté est dans le cas où cmd.exe est lancé par un programme tiers, dans ce cas, il va être difficile de déterminer le coupable.Éventuellement, lire la page : Supprimer fenêtre noire cmd au démarrage de WindowsProcess MonitorDans ce tuto, nous allons utiliser le programme Process Monitor (ProcMon), ce dernier enregistre l"activité du système et les inscrits dans un journal.A partir de là, il est possible de savoir quel programme lance cmd.exeProcMon.Ces programmes d"analyse de l"activité de Windows, on en a déjà parlé dans le sujet : Les meilleurs logiciels pour suivre l’activité système WindowsTemps nécessaire : 30 minutes. Comment trouver la source des ouvertures de fenêtres noires CMDTélécharger Process MonitorTélécharger Process MonitorDécompressez le avec l"outil ZIP de Windows ou avec 7-zipVous pouvez le mettre sur le bureauEnsuite exécutez leAccepter les conditions d"utilisatonCliquez sur Agree sur la page des EULA.Puis Cliquez sur oui sur la fenêtre du contrôle des comptes (UAC)Désactiver les suivis d"activités inutilesDans la barre d"outil, décochez toutes les icônes de suivi d"activité inutile.Laissez que l"icône de Windows (Show Process & Threads Activity) cochée.Attendez qu"une fenêtre CMD s"ouvreAttendre que la fenêtre cmd.exe s"ouvre afin que les informations s"inscrivent dans le journal.Une fois ouverte, cliquez sur le menu Files puis Captures Events afin d"arrêter la capture des évènements.Analyser les ouvertures de fenêtres CMD dans Process MonitorPuis lire les informations qui y sont données.Pour trouver les lignes CMD, vous pouvez utiliser la recherche CTRL+F.Vous devez trouver la ligne cmd.exe avec la mention Process Start.A droite, se trouve le parent ID, c"est à dire le numéro du proecssus qui a exécuté et lancé cmd.exeIci on peut voir le processus parent, c"est à dire le processus à l"origine de l"ouverture de cmd.exeLe PID est l"identificateur de ce processus, c"est un numéro unique qui change à chaque lancement d"un nouveau processus.Trouver le processus source qui exécute CMDProcess Monitor donne les ID des processus dans la colonne PID.Ici c"est l"ID 3508, on voit qu"au dessus, on a explorer.exe avec cet ID.C"est donc lui dans cet exemple qui lance CMD.exeTrouver le PID d"un processus dans le gestionnaire de tâches de WindowsLe gestionnaire de tâches de Windows donne aussi les PID depuis l"onglet Details.Trouver le processus source qui exécute CMDVoici un autre exemple, la ligne CMD Process Create donne le nom du processus source ici notepad.exeExporter le journal pour analyser la source des fenêtres CMDSi vous vous posez des questions ou n"arrivez pas à comprendre ce qui se passe.Vous pouvez exporter le journal depuis le menu File puis Save.Cela créé un fichier PML.Zippez ce dernier puis allez sur le forum d"aideCréez un sujet en attachant le zip.La vidéo suivante montre comment utiliser Procmon pour pouvoir déterminer quel programme est à l"origine de l"exécution de cmd.exe :ou encore : Bravo ! vous avez réussi à trouver la source des ouvertures de cmd.exe Explications pour trouver source ouverture fenêtre noire CMDParmi les sujets rencontrés de plaintes d"ouvertures de fenêtre cmd.exeOn trouve cet exemple :cmd.exe lance bitsadmin.exe qui est lié aux mises à jour de Windows qui sont donc à l"origine de ces popups cmd.exe C:\Windows\system32\bitsadmin.exe /COMPLETE task3 && C:\Windows\system32\bi3.exe /sparam=H28ztrmbl10BU,3962c1f7-65c5-4b99-a36a-8cb39ae7b258, /rnd=1 p>nulLes propriétés de CMD confirment bien que la source est bitadmin :bitsadmin.exe est un processus lié à des transferts intelligents de fichiers.Il peut être utilisé pour les mises à jour Windows Update ou par des applications.Il existe d"ailleurs, un vieux lien sur le site concernant ces ouvertures cmd.exe liées au mises à jour de Windows : Supprimer fenêtre noire cmd au démarrage de Windows Vous avez trouvé cet article utile et interressant, n"hésitez pas à le partager...Comment trouver la source des ouvertures de cmd.exe