1，情况说明：

在日常使用电脑过程中，有段时间了，发现，一开启电脑，不一会，就会自动弹出CMD界面，就像某些不良软件，开机自弹出广告一样，让人感到深恶痛绝。

确实有段时间，觉得不能这样一直惯着它这个软件，猜测应该有什么软件调用了，就想着把它揪出来干掉。

---

2，问题描述

如下图所示，便是我电脑弹出来的界面，可以看到这只是一个普通cmd的界面，因为有段时间了，本身应该不是错误的根源。

1-这是什么窗口

一般身为程序员的话，一看就知道CMD的窗口。

• 窗口类型：这是 Windows Terminal（图标像一个小黑框带 ›_ 光标），里边打开的是 Command Prompt (cmd.exe) 选项卡。

• 路径提示：左上角显示 C:\WINDOWS\System32\cmd…，说明当前活动进程就是经典的 cmd， 只不过它运行在 Windows Terminal 的一个标签页中

2-原因分析：

列举问题原因：
1> ① 启动文件夹
shell:startup有人把批处理脚本（*.bat）、快捷方式或 .lnk 放进了“启动”文件夹

Win + R → 输入 shell:startup → 若看到可疑文件，删除或移走

2》② 任务计划程序
某软件安装时添加了“开机后运行 cmd 执行脚本”的计划任务

Win + R → taskschd.msc → “任务计划程序库”里查看最近创建/触发的任务，禁用或删除

③ 注册表 Run/RunOnce
软件/脚本写入了注册表的自启动键

Win + R → regedit → 找：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

④ 系统服务
某服务启动后调用 cmd 执行初始化脚本

services.msc → 查看陌生/最近安装的服务，必要时改为“手动”或“禁用”

⑤ Windows Terminal 设置
Terminal 1.17+ 有 “Launch on machine startup” 开关

打开 Windows Terminal → Settings → Startup → 关闭 Launch on machine startup

那么大致原因就是上述几种了，我们接下了进行一一排除。

---

3-我的努力-尝试解决：

1，任务管理器中查看状态

如下，为任务管理器 → 启动应用 列表里的显示，可以看到这里显示。

「终端 (Windows Terminal)」已经被禁用，说明它本身不再作为“启动项”被系统直接拉起

说明：真正触发的可能是“别的东西”在开机时调用了 cmd.exe，Windows Terminal 只是被当成外壳显示了出来。

2，查看启动文件夹

这里找到启动文件夹。
已经确认 “启动”文件夹里只有 EvernoteClipper，可以基本排除它触发空 cmd 窗口。接下来按“排除法”继续往下查

3，查看任务计划程序

如下图，所示已经打开 任务计划程序 并定位到 Microsoft\Windows\… 这些系统目录。
但这里我其实不是很理解到底查看哪些目录，如下仅仅是翻了翻目录。

4，从计划任务里查找

如下图所示，输入命令，在计划任务里查找。
在终端中（新开CMD）使用如下指令。

# 以管理员身份打开 PowerShell，然后执行：
Get-ScheduledTask |Where-Object { $_.Actions -match '(cmd\.exe|wt\.exe|\.bat|\.cmd)' } |Select-Object TaskName,TaskPath,State, @{N='Action';E={$_.Actions}}

这样我们可以知道，PowerShell 里那条 Get-ScheduledTask 查询没有返回任何记录，意味着 计划任务 里确实没有调用 cmd.exe / wt.exe / .bat 的条目。

5，AutoRun 钩子启动

# 仍在管理员 PowerShell 中运行：
reg query "HKCU\Software\Microsoft\Command Processor" /v AutoRun
reg query "HKLM\Software\Microsoft\Command Processor" /v AutoRun

如上图所示，我们知道：AutoRun 钩子也不存在 → 说明 “每次打开 cmd 都先跑脚本” 这一条彻底排除。

补充：
1，Command Processor ： 指 cmd.exe（Windows 命令提示符）的宿主进程
2，AutoRun 钩子：在注册表中预留的 AutoRun 字符串值；如果存在，每次 打开 cmd.exe 都会先执行它指向的命令或脚本（通常是 .bat / .cmd / .vbs）

判断自己有没有 AutoRun 钩子

# 用户级（作用于当前登录账户）
reg query "HKCU\Software\Microsoft\Command Processor" /v AutoRun# 机器级（作用于所有账户）
reg query "HKLM\Software\Microsoft\Command Processor" /v AutoRun

6，设置内应用里设定终端

如下，是 进入 设置 → 应用 → 安装的应用 → 终端 并把 「在登录后运行」 的开关彻底关掉——这是关闭 Windows Terminal StartupTask 的图形化入口。但是重启后依旧还是重新启动。

4-解决方法：查找父进程PID方式 （成功）

我之后重启了一次，因为中间不小心把界面关了，想要重新让它弹出来，需要重启。
之后就是如下，又是弹出界面。

那么我们可以尝试查找父进程的方式。

1. 别关掉那只黑框：让它保持打开。
2. Ctrl + Shift + Esc 打开 任务管理器 → 切到 “详细信息” 选项卡。
3. 在表头任意列上 右键 → 选择列，勾选 “父进程 ID (PPID)”（Win11 叫 父进程）。
4. 在列表里找到 cmd.exe（如果标题栏显示的是 Windows Terminal，进程名可能是 WindowsTerminal.exe，同理操作）：
   记下它的 PID 和 父进程 (PPID) 两列数值。
   继续在同一张表里寻找 PID == 刚才的 PPID 的那一行——那一行的 “名称” 就是 真正的幕后进程。

如上图，可以看到我的 cmd.exe (PID = 14928) 就是弹出来的窗，下一步只要把它的 父进程 (Parent PID) 查出来，就能知道到底是谁把这个黑框拉起来的。

之后又重启了下，取保时哪个终端。

如上可以知道WindowsTerminal.exe（PID = 12440）了。

那么使用如下指令进行查找。

# 把 12440 换成你要查询的 PID
$ppid = (Get-CimInstance Win32_Process -Filter "ProcessId = 12440").ParentProcessId
Get-CimInstance Win32_Process -Filter "ProcessId = $ppid" | Format-Table Name,ProcessId,CommandLine -Auto

可以看到，准确找到对应文件夹和程序。

解决方式-1：卸载程序

既然知道程序名字，那么想着卸载，但没有找到这个程序。

解决方式-2：删除文件

后来因为没找到可以直接卸载的程序，只能直接删除文件文件了。

之后开机就没有了。

5-细节部分

1，吐槽：流氓软件真的很流氓

这里不得不想吐槽一下，当我不需要某种安全软件的时候，我希望它能完完全全离开，而不是被发现。

2，犯错输出错误的IP号

自己输出入命令时输入错误，有时候想要练习一下指令，想着更熟悉一下的时候，其实非常容易出错啊。

这里，就那个时候在 PowerShell 里直接敲了 wmic …，但把整段条件用了一对括号，PowerShell 会把它当成子表达式而不是普通字符串，于是报 CommandNotFoundException。

后来终端又关了，智能重新开机了。如下是因为终端关了什么也没有

3，PID不显示问题

这里考虑到，有些电脑设置时，可能默认不显示PID，这个时候就需要设置一下。

方式方法：

• 保持 这只 WindowsTerminal.exe（PID = 12444）不要关。
• 在 详细信息 页 任意列标题（比如 “PID”）上 右键 → 选择列…，即，在详细信息下边，名称那一栏上进行右键，调出选系列。
• 勾选 父进程（Win 11 可能显示为 Parent process 或 父进程 ID (PPID)）→ 确定
• 现在列表里就出现了 父进程 这一列。

如下图进行选择。

6-总结

对于普通用户而言，这还是有些难度的，调取与查看系统各个部分，没有点极客精神很难坚持下来的。

正常一个用户，因为按照了一个软件，就要一直忍受弹窗痛苦，我想起了，《让子弹飞》其中一个画面，“我吃着火锅，唱着歌，突然就被打劫了，所以麻匪，任何时候都要剿，不剿不行。”

当然我也希望我的经历对你有所帮助。