Si su versión de Windows le permite ejecutar la directiva de seguridad local o el editor de la directiva de grupo local, puede habilitar el registro de auditoría avanzada del inicio y la detención del proceso en el sistema, y la próxima vez que ocurra, busque en el registro de eventos de seguridad para ver qué proceso se inició.
Para hacer esto, ejecute el editor de políticas de seguridad local (en "Panel de control" - > "Herramientas administrativas") como administrador (haga clic con el botón derecho en su icono y seleccione "Ejecutar como administrador"), y expanda la izquierda. árbol "Configuración avanzada de la política de auditoría" - > "Políticas de auditoría del sistema" - > "Seguimiento detallado". Seleccione "Seguimiento detallado" y, en el lado derecho, haga doble clic en "Creación del proceso de auditoría" para abrir el cuadro de diálogo de propiedades. Marque "Configurar los siguientes eventos de auditoría:" y "Correcto", luego haga clic en [Aceptar] para guardar la configuración. Debería entrar en vigor inmediatamente.
La próxima vez que aparezca la ventana brevemente, registre la hora del sistema (no la hora del reloj en la pared), ejecute el Visor de eventos (en "Panel de control" - > "Herramientas administrativas") como administrador (vea arriba) y expanda "Registros de Windows" para seleccionar "Seguridad". Deberías ver una serie de eventos; está interesado en los que tienen la Categoría de tarea "Creación de proceso" con el Id. de evento 4688, aproximadamente en el momento en que registró. Probablemente veas algunos eventos; mira la pestaña General en los detalles. Está interesado en el bit de Información de proceso, específicamente el New Process ID
, New Process Name
, Creator Process ID
y Creator Process Name
. Debería haber un proceso "C: \ Windows \ System32 \ conhost.exe", que es la ventana del símbolo del sistema que ve. Su valor Creator Process Name
le dirá cómo se lanzó. Mira los siguientes eventos para encontrar uno cuyo Creator Process ID
sea el mismo que el New Process ID
de conhost. Ese es el programa que realmente se ejecutó en el símbolo del sistema.
Espero que ayude.