Se la tua versione di Windows ti consente di eseguire Criteri di sicurezza locali o Editor Criteri di gruppo locali, puoi abilitare la registrazione avanzata di controllo dell'avvio e dell'arresto del processo nel sistema e, al successivo verificarsi, cerca nel registro eventi di sicurezza di vedere quale processo è stato avviato.
Per eseguire questa operazione, esegui l'editor Criteri di sicurezza locali (in "Pannello di controllo" - > "Strumenti di amministrazione") come amministratore (fai clic con il tasto destro sulla sua icona e seleziona "Esegui come amministratore") ed espandi la sinistra albero "Configurazione avanzata dei criteri di controllo" - > "Criteri di controllo del sistema" - > "Tracciamento dettagliato". Selezionare "Tracciamento dettagliato", e sul lato destro, fare doppio clic su "Audit Process Creation" per aprire la finestra di dialogo delle proprietà. Selezionare "Configura i seguenti eventi di controllo:" e "Operazione riuscita", quindi fare clic su [OK] per salvare le impostazioni. Dovrebbe avere effetto immediato.
La prossima volta che la finestra viene visualizzata brevemente, registra l'ora del sistema (non l'ora sull'orologio sul muro), avvia il Visualizzatore eventi (in "Pannello di controllo" - > "Strumenti di amministrazione") come Amministratore (vedi sopra) ed espandere "Registri di Windows" per selezionare "Sicurezza". Dovresti vedere un numero di eventi; sei interessato a quelli con Categoria di attività "Creazione processo" con ID evento 4688, all'incirca nel momento in cui hai registrato. Probabilmente vedrai alcuni eventi; guarda la scheda Generale nei dettagli. Ti interessa il bit Informazioni di processo, in particolare New Process ID
, New Process Name
, Creator Process ID
e Creator Process Name
. Ci dovrebbe essere un processo "C: \ Windows \ System32 \ conhost.exe", che è la finestra del prompt dei comandi che vedi. Il suo valore Creator Process Name
ti dirà come è stato lanciato. Guarda i seguenti eventi per trovare uno il cui Creator Process ID
è uguale al New Process ID
del conhost. Questo è il programma effettivamente eseguito nel prompt dei comandi.
Spero che ti aiuti.