Windowsを起動したときに一瞬に黒い枠がいくつか立ち上がる。
Windows11を起動し、デスクトップが表示されて数秒から数分すると
たまに一瞬だけコマンドプロンプトが表示される現象が起きましたので調査してみました。
結論
OneDriveの旧バージョンのインストールファイルやフォルダを削除するプロセスが実行されていました。
調査方法
Process Monitorの使用
コマンドプロンプトが少し表示されるので、cmd.exeの実行ログが取れる方法はないか調べたところ、
Process Monitorというツールがありました。
プロセス モニター v4.01
Process Monitorの設定
ProcessMonitorを起動したら、フィルター設定でcmd.exeを抽出するように設定しました。
タスクスケジューラーの設定
タスクスケジューラからタスクの作成を行い、
ログオンをトリガーにProcessMoniorが起動するように設定しました。
Process Monitorの操作
PCを起動すると、Process Monitorが起動しますが、
cmd.exeでフィルターするかどうかの画面が表示されるだけなので、
例のコマンドプロンプトが立ち上がる前に、即座に実行する必要があります。
ログの確認
フィルターがうまくできるとProcessNameにcmd.exeというものがたくさん出てきます。
一つのコマンドで100個以上のログがありました。
立ち上がるコマンドプロンプトごとにPIDが異なりますので、
確認したいPIDのOperationのProcessStartをクリックすると詳細が表示されます。
そこにEventTabやProcessTabに実行したコマンドの内容がCommandLineの欄に表示されます。
CommandLineがわからないかたはコピペしてChatGPTにでも聞きましょう。(聞きました)
最後に
そもそもこういった件を調べてみると、スタートアップアプリやタスクスケジューラーで起動時に実行されるタスクがないか確認しましょうといったことが出てきます。
はじめはよくわからなかったのですが、実行されている結果がわかってからタスクスケジューラーを改めて見てみると確かに起動時に実行されるOneDriveのタスクが3件ありました。
といっても、コマンドプロンプトが一瞬しか表示されないため、実際どのタスクが該当するのか判別するのは難しかったかなとも思います。
少し勉強になりました。
ついでにタスクスケジューラーに設定するなら手動なしでうまくやる方法がわかりたかった。(フィルター意味あったのか?)