fenêtre DOS auto lancement

[Chubway]

Bonjour,
Je crois que j'ai un souci. Depuis peut je vois de façon régulière une fenêtre dos se lancer puis se refermer rapidement.
Est-ce que cela vous semble suspect aussi ?? ou c'est moi qui suis parano ?

Selon les solution que j'ai pu voir sur le forum il y a des outils à utiliser mais apparemment ils seraient dépassé comme Hijack et Cie.

Pourriez vous me guider un peut sur les éléments à vérifier et surtout les outils et modes opératoires à suivre.

Pour info je suis sous Windows 10.

Merci à vous

[angelique]

Bonjour,

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST
  
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Malekal_morte]

Salut,

C'est dû à une mise à jour Office, vider la liste d'attente BITS : comment supprimer fenêtre noir cmd qui s'ouvre
Sinon ça peut être fait par FRST.

[Chubway]

Un grand merci pour vos réponses extrêmement rapide.

Pour l'analyse je vous mets les liens ci-dessous :

http://pjjoint.malekal.com/files.php?id ... 11q13t9z10 (Addittion)
http://pjjoint.malekal.com/files.php?id ... z11h7f9s14 (FRST)

Sinon dans l'observateur d'évènement je n'ai pas trouvé d'élément avec l'ID 16444 comme indiqué dans le cas cité pour Mise à jour (BITS).
J'ai aussi balancé une capture des process avec PRocMon et la fenetre "chelou" c'est pointé mais pas de CMD.exe enregistré par procmon.
J'ai donc tout viré en arriere plan, les Onedrive, dropbox et consort. J'attend de voir.

Si vous avez des idées je suis prenneur

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
ShortcutWithArgument: C:\Users\jaydes\AppData\Roaming\Microsoft\Windows\Libraries\Start Menu\Programs\Node.js\Node.js command prompt.lnk -> C:\Windows\SysWOW64\cmd.exe (Microsoft Corporation) -> /k "C:\Program Files (x86)\nodejs\nodevars.bat"
C:\Program Files (x86)\nodejs
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[Chubway]

Voici le fichier de log comme demandé

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-05-2017
Exécuté par jaydes (30-05-2017 16:07:12) Run:1
Exécuté depuis E:\Users\Jaydes\ENV-Kratos\Desktop
Profils chargés: jaydes (Profils disponibles: jaydes & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CloseProcesses:
ShortcutWithArgument: C:\Users\jaydes\AppData\Roaming\Microsoft\Windows\Libraries\Start Menu\Programs\Node.js\Node.js command prompt.lnk -> C:\Windows\SysWOW64\cmd.exe (Microsoft Corporation) -> /k "C:\Program Files (x86)\nodejs\nodevars.bat"
C:\Program Files (x86)\nodejs
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
*****************

Processus fermé avec succès.
C:\Users\jaydes\AppData\Roaming\Microsoft\Windows\Libraries\Start Menu\Programs\Node.js\Node.js command prompt.lnk => Raccourci argument supprimé(es) avec succès.
C:\Program Files (x86)\nodejs => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4176028326-1837078835-3755395547-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4176028326-1837078835-3755395547-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 6053888 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 28106789 B
Java, Flash, Steam htmlcache => 538139311 B
Windows/system/drivers => 22173697 B
Edge => 5943198 B
Chrome => 94402570 B
Firefox => 380161442 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6214 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 705956 B
jaydes => 543486016 B
DefaultAppPool => 6214 B

RecycleBin => 0 B
EmptyTemp: => 1.5 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:07:55 ====

[Malekal_morte]

c'est mieux ?

[Chubway]

Pour le moment pas de rechute mais il faut que je passe un peut de temps pour constater l'amélioration.
Pourrais-tu me donner un lien d'article qui explique ce qui ta permis de faire ce diagnostique ? Je suis assez curieux par nature et j'aime bien comprendre.

Si je ne reviens pas d'ici quelque temps je vous remercie de nouveau pour l'aide.

[Malekal_morte]

En fait, y a rien à analyser, voir mon message plus haut : viewtopic.php?f=3&t=57794#p436517
C'est une mise à jour Windows qui provoque cela.
FRST vide la d'attente BITS ce qui résout le problème.

Pour les analyses FRST et désinfections, tu peux jeter un oeil à ce tuto : Tutoriel désinfection et suppression de virus.