Fenêtre cmd.exe au démarrage du PC [résolu]

[popot]

Bonjour à tous.
Depuis quelque temps, à la mise en route, apparaît sur l'écran une fenêtre avec un message  :" C:\Windows\System32\cmd.exe " qui disparaît seul au bout de quelque secondes.
Je ne suis pas très compétent en informatique.
Si vous pouviez m'informer sur ce sujet ?
Je suis sous W 10
Merci d'avance

[Malekal_morte]

Salut,

A lire sur le sujet : https://www.malekal.com/supprimer-fenet ... d-windows/

et :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[popot]

Merci pour toutes ces infos.
Je vais procéder par ordre.
Je ne manquerais pas de vous tenir informé.

[popot]

Rebonjour, voici les trois liens demandés.

https://pjjoint.malekal.com/files.php?i ... 5x12y9p8n9

https://pjjoint.malekal.com/files.php?i ... k13i5k9x13

https://pjjoint.malekal.com/files.php?i ... 7r13r13l11

[Malekal_morte]

Le PC est infecté.
Et je reconnais ce malware qui se diffuse par de faux mails Chronopost : https://www.malekal.com/faux-mail-chronopost-et-virus/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3045579931-1435999470-688133013-1001\...\Run: [UpdateStore] => cmd /c powershell -windowstyle hidden cd $env:TEMP; powershell -ep bypass .\SystemServices.ps1
Startup: C:\Users\gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinLOGONUpdate.vbs [2022-01-28] () [Fichier non signé]
Task: {08C5C4E7-E977-42D8-8E82-05917BEAE3BA} - System32\Tasks\mail => C:\ProgramData\Device\SecurityHealthSystray.vbs [261 2022-01-23] () [Fichier non signé]
Task: {AEA0DFC7-A6EB-403F-88BB-D2CD57ECAB21} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\Real\RealDownloader\downloader2.exe /scheduler (Pas de fichier)
2022-01-23 14:56 - 2022-01-26 09:12 - 000000194 _____ C:\Users\gerard\AppData\Roaming\Update32.vbs
2022-01-23 14:56 - 2022-01-26 09:12 - 000000194 _____ () C:\Users\gerard\AppData\Roaming\Update32.vbs
C:\ProgramData\Device
C:\Users\gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinLOGONUpdate.vbs 
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[popot]

Bonsoir, j'ai pu terminer la démarche.
Voici le fichier "fixlog.txt".

Après redémarrage, la fenêtre " cmd.exe" a disparue.
Je suis impressionné !
Puis-je dire que l'infection a disparue ?

Merci encore pour votre aide.



Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-02-2022 01
Exécuté par gerard (21-02-2022 23:13:44) Run:3
Exécuté depuis C:\Users\gerard\Desktop
Profils chargés: gerard
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3045579931-1435999470-688133013-1001\...\Run: [UpdateStore] => cmd /c powershell -windowstyle hidden cd $env:TEMP; powershell -ep bypass .\SystemServices.ps1
Startup: C:\Users\gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinLOGONUpdate.vbs [2022-01-28] () [Fichier non signé]
Task: {08C5C4E7-E977-42D8-8E82-05917BEAE3BA} - System32\Tasks\mail => C:\ProgramData\Device\SecurityHealthSystray.vbs [261 2022-01-23] () [Fichier non signé]
Task: {AEA0DFC7-A6EB-403F-88BB-D2CD57ECAB21} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\Real\RealDownloader\downloader2.exe /scheduler (Pas de fichier)
2022-01-23 14:56 - 2022-01-26 09:12 - 000000194 _____ C:\Users\gerard\AppData\Roaming\Update32.vbs
2022-01-23 14:56 - 2022-01-26 09:12 - 000000194 _____ () C:\Users\gerard\AppData\Roaming\Update32.vbs
C:\ProgramData\Device
C:\Users\gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinLOGONUpdate.vbs
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-3045579931-1435999470-688133013-1001\Software\Microsoft\Windows\CurrentVersion\Run\\UpdateStore" => non trouvé(e)
"C:\Users\gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinLOGONUpdate.vbs" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08C5C4E7-E977-42D8-8E82-05917BEAE3BA}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\mail" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\mail" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AEA0DFC7-A6EB-403F-88BB-D2CD57ECAB21}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\RealDownloader Update Check" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealDownloader Update Check" => non trouvé(e)
"C:\Users\gerard\AppData\Roaming\Update32.vbs" => non trouvé(e)
"C:\Users\gerard\AppData\Roaming\Update32.vbs" => non trouvé(e)
"C:\ProgramData\Device" => non trouvé(e)
"C:\Users\gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinLOGONUpdate.vbs" => non trouvé(e)


Le système a dû redémarrer.

==== Fin de Fixlog 23:15:07 ====

[Malekal_morte]

Procède à un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Donne le résultat du scan pour voir.

[popot]

Voici le compte rendu de l'analyse MBAM :


Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 22/02/2022
Durée d'analyse: 13:10
Fichier journal: 6c178d26-93d8-11ec-98b6-ec8eb537560b.json

-Informations du logiciel-
Version: 4.5.2.157
Version de composants: 1.0.1562
Version de pack de mise à jour: 1.0.51499
Licence: Gratuit

-Informations système-
Système d'exploitation: Windows 10 (Build 19042.1526)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-OLRMMKS\gerard

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 321930
Menaces détectées: 0
Menaces mises en quarantaine: 0
Temps écoulé: 20 min, 4 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 0
(Aucun élément malveillant détecté)

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

[Malekal_morte]

ok tu as encore des fenêtres cmd qui s'ouvrent au démarrage du PC ?

[popot]

Pour le moment : NON

[Malekal_morte]

OK.
Profite en pour changer tes mots de passe.
Reviens confirmer que tout est OK, je passerai le sujet en résolu avec des conseils.

[popot]

J'ai déjà commencé la démarche pour les mots de passe ; au prochain démarrage, je verifie l'absence de la fenêtre cmd et je confirme dans la foulée.
Un grand bravo et un grand merci pour cette analyse pertinente.
Cordialement

[Malekal_morte]

J'ai passé le sujet en résolu !

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[popot]

Ce matin, à la mise en route pas de fenêtre cmd.
Encore merci

[Malekal_morte]

Parfait, bonne journée à toi !