Une invite de commande Windows se lance et disparait

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
trenzalore
newbie
newbie
Messages : 5
Inscription : 13 juin 2016 15:14

Une invite de commande Windows se lance et disparait

Message par trenzalore » 13 juin 2016 15:27

Bonjour à toutes et à tous,

Depuis quelques jours j'ai quelques problèmes avec mon Windows 10. En effet, a un certain moment une invite de commande Windows se lance et disparait automatiquement. J'ai voulu capter quel processus c'était avec Process XP mais comme l'invite de commande apparait aléatoirement c'est compliqué. J'ai donc ce matin tenté de voir s'il y avait des connexions indésirables et surprises il y en avait. ( je peux uploader le fichier pcapng si cela est intéressant )

J'ai tout d'abord remarqué qu'il y avait énormément de connexions vers certaines IPs et surtout vers un site :

Code : Tout sélectionner

r4---sn-4gxx-25gl.gvt1.com/crx/blobs/QwAAAHF3InbmK-wFIemaY3I3BCOEblQvxf5_rLSB9BNCJwLacEyZM-IGsNowEZTeU5qG7G63QGFcdNpnDs--euoRMzysYZwOh02jxtQ6PgpCPBhIAMZSmuWUsI0GFzG6jr6PrhJi0gblaUwtmA/extension_1_4_8_885.crx?aol=yes&cms_redirect=yes&expire=1465836007&initcwndbps=625000&ip=82.229.163.228&ipbits=0&mm=31&mn=sn-4gxx-25gl&ms=au&mt=1465821358&mv=m&pl=23&usequic=no&sparams=aol,expire,initcwndbps,ip,ipbits,mm,mn,ms,mv,pl,usequic&signature=569BD2F4C4CF57BD86504EA56B4C39FADE300B2D.3C6C67950546B159FA9FB51B70465A8EA9DBF0FA&key=cms1
En allant dessus, cela télécharge un fichier .crx (extension chrome).

Il doit y avoir d'autre soucis que je ne vois pas vraiment.

Je m'en remets à vous car adwcleaner, f-secure et mbam ne trouvent strictement rien.

Merci d'avance

!
EDIT Modo, se reporter au tuto : Comment tracer les ouvertures de cmd.exe pour obtenir des informations


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Adwares] redirector.gvt1.com (en cours)

Message par Malekal_morte » 13 juin 2016 15:54

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une invite de commande Windows se lance et disparait

Message par Malekal_morte » 13 juin 2016 17:31

Rien d'anormal sur le rapport et je n'ai pas l'impression que le lien que tu donnes soit malicieux.
Le fichier a été soumis, il y a deux mois sur VirusTotal.

Essaye Procmon en mettant un filtre sur cmd.exe : https://www.malekal.com/monitorer-lactiv ... programme/

Ton client F-Secure, il est bien compatible Windows 10 ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

trenzalore
newbie
newbie
Messages : 5
Inscription : 13 juin 2016 15:14

Re: Une invite de commande Windows se lance et disparait

Message par trenzalore » 13 juin 2016 17:59

Ce que je trouve bizarre c'est qu'une application fasse appel a cet url or je ne sais pas d’où ça sort et pourquoi il faudrait télécharger un extension chrome.

Je viens de mettre un filtre sur cmd.exe, je verrai bien ce qu'il s'y passe.

Le client doit normalement être compatible Windows 10. Je l'ai eu lors d'un stage, c'était le nouvel antivirus déployé et était obligatoire (il n'est pas craqué, c'est une version donnée par f-secure).


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une invite de commande Windows se lance et disparait

Message par Malekal_morte » 13 juin 2016 19:51

Déjà eu un sujet comme ça : avast-bloque-une-menace-suite-installat ... 53791.html

En fait les .crx sont des zip, c'est Google qui se la pète :

Code : Tout sélectionner

Archive:  extension_1_4_8_885.crx
warning [extension_1_4_8_885.crx]:  306 extra bytes at beginning or within zipfile
  (attempting to process anyway)
   creating: _platform_specific/
   creating: _platform_specific/win_x86/
  inflating: _platform_specific/win_x86/widevinecdm.dll  
   creating: imgs/
  inflating: imgs/icon-128x128.png   
  inflating: manifest.json           
  inflating: _metadata/verified_contents.json  

Code : Tout sélectionner

cat manifest.json 
{
  "manifest_version": 2,
  "update_url": "https://clients2.google.com/service/update2/crx",
  "name": "WidevineCdm",
  "description": "Widevine Content Decryption Module",
  "offline_enabled": false,
  "version": "1.4.8.885",
  "minimum_chrome_version": "43.0.2340.0",
  "x-cdm-module-versions": "4",
  "x-cdm-interface-versions": "8",
  "x-cdm-host-versions": "8",
  "x-cdm-codecs": "vp8,vp9.0,avc1",
  "icons": {
    "16": "imgs/icon-128x128.png",
    "128": "imgs/icon-128x128.png"
  },
Donc là ça semble être lié au plugin Widevine pour lire du contenu HTML5 en streaming.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une invite de commande Windows se lance et disparait

Message par Malekal_morte » 14 juin 2016 15:27

Les mises à jour Chrome se font aussi par là :

Code : Tout sélectionner

http://r12---sn-25g7snee.gvt1.com/edgedl/release2/fxlkyi7tkvaylkj9i7u1xs3duj5l5hpv79fq87t61opstq6obl3akoq3gc73yu0fdo62efpjzgucgsc790vm8hnye5nd5vvtgaj/51.0.2704.84_50.0.2661.94_chrome_updater.exe?cms_redirect=yes&expire=1465924729&ip=86.212.230.51&ipbits=0&mm=28&mn=sn-25g7snee&ms=nvh&mt=1465910299&mv=m&nh=IgpwcjAzLnBhcjEwKgkxMjcuMC4wLjE&pl=17&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,nh,pl,shardbypass&signature=69B1DEC4A59C2BAFC2A76ADE1A6427985E1748C0.110865ECA4F77E5ED2D07E76929F65C3ECEF1544&key=cms1
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

trenzalore
newbie
newbie
Messages : 5
Inscription : 13 juin 2016 15:14

Re: Une invite de commande Windows se lance et disparait

Message par trenzalore » 17 juin 2016 19:45

très bien merci pour cette réponse !

je reviens car j'ai utilisé procmon avec comme filtre cmd.exe. Procmon n'a strictement rien enregistré.

Est-ce que cmd.exe est forcément appelé pour les programme qui n'ont pas de GUI ? Si oui alors c'est bizarre que procmon n'est rien enregistré.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une invite de commande Windows se lance et disparait

Message par Malekal_morte » 18 juin 2016 06:29

Peut être appelé par n'importe quoi.
Ca me parait biz que tu aies rien eu sur procmon.
Tu as bien réglé le filtre ?
Tu as lancé manuellement un cmd.exe voir si ça donne des infos ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

trenzalore
newbie
newbie
Messages : 5
Inscription : 13 juin 2016 15:14

Re: Une invite de commande Windows se lance et disparait

Message par trenzalore » 18 juin 2016 12:09

Le filtre fonctionne bien, j'avais lancé un cmd.exe et procmon avait enregistré des infos.

Je vais essayer de recapter l'anomalie et voir ce qu'il s'y passe.

D'ailleurs j'ai l'impression qu'elle ne se lance jamais lorsque j'utilise procmon. Car dès que je reboot et que je fais autre chose (sans procmon), la fenêtre apparait. Mais ce doit être qu'une impression.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une invite de commande Windows se lance et disparait

Message par Malekal_morte » 20 juin 2016 17:23

essaye d'ajouter taskeng.exe pour voir \o
des fois que ce soit une tache planifiée
sinon c'est probablement un logiciel qui est à l'origine de ces lancements.

Après si c'est qu'au démarrage, c'est chaud.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86839
Inscription : 10 sept. 2005 13:57
Contact :

Re: Une invite de commande Windows se lance et disparait

Message par Malekal_morte » 12 mars 2017 12:15

Pour ces cas, se reporter au tuto : Comment tracer les ouvertures de cmd.exe pour obtenir des informations.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 15 invités