ظهور نافذة CMD (Command Prompt) فجأة ثم اختفاؤها بشكل متكرر، قد لا يكون مجرد خطأ عرضي، بل إشارة إلى نشاط غير مصرح به يجري في الخلفية.
قد يكون الأمر مرتبطًا بملفات كراك، سكريبتات Powershell خبيثة، أو برمجيات تجسسية تستخدم نافذة الأوامر لتنفيذ أوامر بصلاحيات مرتفعة دون علمك.
في هذا الدليل، نوضح لك كيفية التحقيق في هذا السلوك وتأمين جهازك خطوة بخطوة:
1. لا تتجاهل الإشارات المبكرة
- ظهور CMD بشكل متكرر هو علامة إنذار مبكرة.
- لا تغلق الجهاز وتتابع عملك كأن شيئًا لم يكن — ابدأ التحقيق فورًا.
2. افحص العمليات في “مدير المهام” (Task Manager)
الخطوات:
- اضغط Ctrl + Shift + Esc لفتح Task Manager.
- اذهب إلى تبويبي Processes وDetails.
- راقب العمليات غير المألوفة (مثلاً:
wscript.exe,powershell.exe,cmd.exe,schtasks.exe) أو برامج لا تعرف مصدرها. - اضغط Right Click > Open File Location لتتبع مصدر التنفيذ.
- لا تقم بإيقاف أي عملية نظامية دون تأكد. (يفضل البحث عن اسم العملية أولاً).
3. إجراء فحص شامل باستخدام برنامج حماية قوي
أدوات الفحص:
- Windows Defender:
- افتح “Windows Security”
- انتقل إلى Virus & Threat Protection
- اختر Full Scan (فحص كامل)
- أدوات خارجية قوية:
هذه الأدوات تستطيع اكتشاف برمجيات خبيثة لا تظهر في Defender، خاصة البرمجيات الإعلانية والمخفية (Rootkits).
4. راجع “جدولة المهام” (Task Scheduler)
لماذا مهم؟
يستغل المخترقون هذه الأداة لتشغيل سكريبتات بشكل دوري دون علمك.
الخطوات:
- من قائمة Start اكتب Task Scheduler وافتحه.
- راجع جميع Active Tasks في الشجرة الجانبية.
- تحقق من الجداول غير المعروفة أو المريبة.
- اضغط يمين > Properties للاطلاع على ملف التشغيل أو الأمر المرتبط.
- إذا كانت المهمة مشبوهة وغير ضرورية، احذفها.
5. راقب عناصر بدء التشغيل (Startup Programs)
- افتح Task Manager > تبويب Startup.
- عطّل البرامج الغريبة أو غير الضرورية التي تعمل مع بدء النظام.
نصيحة: بعض البرمجيات الضارة تُفعّل نفسها من هنا كل مرة تعيد تشغيل جهازك.
6. تحقق من ملفات التشغيل التلقائي (Autoruns)
استخدم أداة مجانية متقدمة من Microsoft:
- تعرض كل البرامج والمكونات التي تُحمّل عند الإقلاع، من مسارات مخفية، جدولة، مكتبات DLL، وامتدادات النظام.
- أي شيء مشبوه تستطيع تعطيله فورًا.
7. افحص إعدادات Powershell و WMI Scripts
- بعض الهجمات تستخدم PowerShell لتنفيذ أوامر بصلاحيات مرتفعة.
- افتح Event Viewer وتحقق من المسار:
Windows Logs > Windows PowerShell
لرؤية إن كان هناك أوامر مشبوهة تم تنفيذها. - تحقق من أدوات WMI كذلك باستخدام أداة مثل:
- WMI Explorer
- أو
wmic /namespace:\\root\subscription PATH __EventFilter
8. حدّث نظامك وجميع برامجك بانتظام
- معظم الهجمات تعتمد على ثغرات معروفة في الأنظمة القديمة.
- توجه إلى:
Start > Settings > Windows Update > Check for updates
لا تنسَ تحديث:
- المتصفحات
- برامج الطرف الثالث مثل Java, Adobe
- مشغلات الوسائط القديمة
9. مراجعة ملفات السجل (Log Files)
- استخدم Event Viewer لفحص الأحداث التي حدثت مؤخرًا:
- سجل النظام (System)
- سجل الأمان (Security)
- سجل التطبيقات (Application)
ابحث عن:
- فشل تسجيل الدخول
- تنفيذ أوامر غير معتادة
- تغييرات في الجداول أو المهام
10. قطع الاتصال بالإنترنت عند الاشتباه
إذا لاحظت أن CMD يظهر ويختفي بشكل متكرر فور الاتصال بالإنترنت، افصل الاتصال فورًا لتقليل احتمالية تسريب البيانات، وابدأ الفحص في وضع آمن (Safe Mode with Networking).
خلاصة تقنية:
السلوكيات غير المتوقعة مثل فتح CMD فجأة ليست صدفة في هذا الزمن الرقمي.
ربما تكون تحت مراقبة، أو هناك سكريبت يجهّز لنشاط ضار.
رد فعلك السريع والحذر هو خط الدفاع الأول.
لا تتردد في فحص كل زاوية داخل النظام.
كن دائمًا المستخدم الذكي لا الضحية الصامتة.
