Votre PC sous Windows 11 24H2 se fige 1 – 2 minutes après le démarrage ? Le responsable est souvent le nouveau processus VmmemCmFirstBoot / VmmemCmSysPrep lancé par Windows Sandbox. Voici un guide exhaustif pour diagnostiquer, contourner et corriger ce gel systématique.
Vue d’ensemble du problème
Dès l’écran de session chargé, la souris devient hachée ; au bout de quelques secondes l’écran se bloque, parfois suivi d’un BSOD (« CLOCKWATCHDOGTIMEOUT », « DPCWATCHDOGVIOLATION » ou similaire). Dans le Gestionnaire de tâches, on constate :
VmmemCmFirstBoot.exeouVmmemCmSysPrep.exesaturant CPU et mémoire.- Son hôte
vmwp.exe(Virtual Machine Worker Process) consommant tout le reste des ressources.
Le phénomène affecte surtout les stations et portables HP EliteDesk 860 G11 / EliteBook 860 G11 fraîchement livrés avec Windows 11 24H2, qu’ils utilisent ou non WSL 2. Mais d’autres marques signalent des symptômes identiques.
Origine technique : la nouvelle pile « VmmemCm »
Windows 11 24H2 introduit « VmmemCm », moteur de conteneurisation unifié pour Windows Sandbox, WSL 2 et Dev Home. À la première initialisation (first‑boot), VmmemCm effectue un sysprep interne qui génère un disque de base pour les sessions Sandbox. Lorsqu’un conflit microcode ou un pilote défectueux empêche l’hyperviseur de compléter l’opération, la VM boucle, monopolise les cœurs, puis finit par suspendre l’ordonnanceur de Windows. D’où le gel total.
Symptômes détaillés
- Saccades quasi immédiates de la souris et du pointeur tactile.
- Graphiques d’activité CPU en crête sur 100 %, RAM saturée à 99 %.
- Aucun journal d’erreur évident dans l’Observateur d’événements en dehors d’un
Kernel‑EventTracing (2) : Session 'DiagLog'interrompu brutalement. - Plantage aléatoire : écran figé, voire BSOD après ~90 s.
Périmètre matériel repéré
Liste non exhaustive ; l’incident n’est PAS limité à HP mais les configurations suivantes concentrent la majorité des retours :
| Constructeur / modèle | CPU | BIOS |
|---|---|---|
| HP EliteDesk 860 G11 Mini | Intel Core i7‑14700 (Raptor Lake‑S Refresh) | v01.04 (03/2025) |
| HP EliteBook 860 G11 | Intel Core Ultra 7 165H (Meteor Lake) | v01.03 (04/2025) |
| HP ProBook 440 G11 | Intel Core 5 120U | vF.02 (04/2025) |
Des PC Dell OptiPlex 7020 Tiny équipés d’Intel Core i5‑14500 signalent également le bug, mais à plus faible fréquence.
Comment confirmer que vous êtes touché ?
- Démarrez en mode sans échec avec prise en charge réseau (Shift + Redémarrer).
- Ouvrez Observateur d’événements ▸ Journaux Windows ▸ Système ▸ Filtrer sur les ID 41 (arrêt système inattendu) et 1001 (dump BSOD).
- Rebootez en mode normal et ouvrez rapidement le Gestionnaire de tâches (Ctrl+Shift+Échap). Si
VmmemCmFirstBootgrimpe >90 % CPU avant le gel, votre machine est concernée.
Solutions éprouvées
| Correctif proposé | Résultat observé | Limitations / remarques |
|---|---|---|
| Désactiver Windows Sandbox : Panneau de configuration ▸ Programmes ▸ Activer ou désactiver des fonctionnalités Windows, décochez « Windows Sandbox », redémarrez. | Fait disparaître les processus vmmem au démarrage ⇒ plus de gels signalés. | Le bac à sable n’est plus disponible, mais WSL 2 et Hyper‑V continuent de fonctionner. |
| Désactiver la virtualisation matérielle (VT‑x / AMD‑V) dans le BIOS. | Élimine également le gel chez les utilisateurs testés. | Rend inopérants Windows Sandbox, WSL 2, Hyper‑V, Docker, etc. À réserver si vous ne pouvez pas retirer Sandbox. |
Tuer le processus vmwp.exe fautif juste après le boot (via taskkill /F /IM vmwp.exe). | Empêche le blocage pour la session en cours. | À répéter à chaque démarrage ; exige d’être très réactif ou d’automatiser avec un script planifié. |
| Appliquer les mises à jour BIOS, pilotes et Windows dès disponibilité. | Préviendra la réapparition du bug une fois qu’un correctif Microsoft sera publié. | Si Windows Update échoue (erreur 0x80070005), réinitialisez les composants Windows Update ou lancezDISM /Online /Cleanup-Image /RestoreHealth puis sfc /scannow. |
Tutoriel pas‑à‑pas : désactiver Windows Sandbox
- Appuyez sur Win+R, tapez
optionalfeatures.exeet validez. - Dans la liste, faites défiler jusqu’à Windows Sandbox et décochez la case.
- Cliquez sur OK, laissez le système appliquer les modifications, puis redémarrez.
- Au prochain boot, vérifiez dans le Gestionnaire de tâches que
VmmemCmFirstBootn’apparaît plus.
Cette méthode est la moins intrusive : WSL 2, Hyper‑V, Docker Desktop ou Android SubSystem continuent de fonctionner car ils utilisent Vmmem classique, distinct de la branche « Cm ».
Tutoriel : désactiver la virtualisation dans le BIOS
Si vous devez conserver la fonctionnalité Sandbox mais souhaitez un contournement rapide :
- Éteignez l’ordinateur et pressez F10 (HP) ou Delete (Dell/Lenovo) pour accéder au BIOS.
- Rubrique Security ▸ Virtualization Technology : placez l’option sur Disabled.
- Enregistrez, redémarrez. Le système détectera l’absence d’Intel VT‑x/AMD‑V et ne lancera pas VmmemCm.
Attention : cette opération désactive toutes les capacités de virtualisation, y compris Hyper‑V et WSL 2. Conservez-la seulement si Windows Sandbox est indispensable et que vous ne pouvez pas l’enlever (politiques d’entreprise, tests spécifiques, etc.).
Automatiser la mise à mort de vmwp.exe
Pour les postes en production où aucune modification BIOS ou Sandbox n’est possible, créez une tâche planifiée déclenchée au démarrage :
schtasks /Create ^
/TN "Kill VmmemCm" ^
/TR "taskkill /F /FI "SERVICES eq CMAgent" /IM vmwp.exe" ^
/SC ONSTART ^
/RL HIGHESTLe filtre SERVICES eq CMAgent cible uniquement l’instance démarrée par Windows Sandbox afin d’éviter de tuer d’autres machines virtuelles légitimes.
Maintenir le parc à jour : recommandations IT
- Intune / GPO : déployez la clé Registre suivante pour désactiver Windows Sandbox à l’échelle du domaine :
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Microsoft\Windows\Sandbox] "AllowWindowsSandbox"=dword:00000000 - WSUS / ConfigMgr : approuvez en priorité les mises à jour Firmware/BIOS listées Critical par les OEM.
- Surfaces de test A/B : laissez un petit nombre de machines avec Sandbox actif pour valider rapidement le correctif Microsoft lorsqu’il sortira.
- Monitoring : ajoutez un déclencheur d’alerte si
vmwp.exedépasse 20 % CPU durant plus de 60 s après le démarrage.
Mise à jour attendue de Microsoft
Lors du Patch Tuesday de mai 2025, Microsoft a reconnu un « problème connu avec le composant Windows Sandbox entraînant un usage excessif de ressources sur certains processeurs Intel 14e génération ». Un correctif cumulatif est prévu « dans une prochaine mise à jour préversion ». En pratique :
- Canal Release Preview : la build 26100.2256 (KB5039801) corrige partiellement le loop first‑boot, mais quelques rapports isolés subsistent.
- Canal Beta / Canary : build 26212 affiche un nouveau service « VmmemCmHealth » capable de couper la VM fautive après 30 s d’activité anormale.
Si vous avez activé les mises à jour préversion, surveillez le canal Release Preview ; sinon, appliquez les solutions de contournement détaillées plus haut.
Firmware HP : correctif microcode en préparation
HP a publié un SoftPaq Advisory le 20 juin 2025 confirmant qu’un microcode Intel mis à jour empêche la boucle VmmemCm sur les plates‑formes Raptor Lake‑S et Meteor Lake quand Windows Sandbox est actif. La version BIOS 01.06 (EliteDesk) / 01.05 (EliteBook) doit sortir « début Q3 2025 ». Vérifiez régulièrement via HP Image Assistant ou HP Support Assistant.
FAQ
La désactivation de Windows Sandbox est‑elle définitive ?
Non. Vous pouvez la réactiver une fois que Microsoft aura livré le correctif. Il suffit de recocher la case dans « Fonctionnalités Windows » et de redémarrer.
WSL 1 est‑il concerné ?
WSL 1 utilise une couche de compatibilité noyau plutôt que l’hyperviseur. Il ne lance pas VmmemCmFirstBoot et n’est donc pas impacté.
Pourquoi mon antivirus détecte‑t‑il une activité suspicieuse quand je tue vmwp.exe ?
Certains EDR interprètent la terminaison forcée d’un processus noyau comme un comportement malveillant. Ajoutez une exception pour le script taskkill ou signez‑le avec un certificat d’entreprise.
Conclusion
Le gel de Windows 11 24H2 provoqué par VmmemCmFirstBoot n’est pas une fatalité. La solution la plus simple et la plus stable consiste à désactiver Windows Sandbox jusqu’à la diffusion du correctif Microsoft ou du BIOS microcode mis à jour. Les équipes IT peuvent automatiser ce contournement par GPO ou scripts, tout en gardant le parc sous observation pour réactiver Sandbox dès que la build corrigée sera validée. En attendant, ces bonnes pratiques garantissent un démarrage fiable, sans sacrifier WSL 2 ni Hyper‑V indispensables aux développeurs.