L'intérpréteur de commande se lance au démarrage

[Shahmate]

Hello,

J'ai désactivé le lancement automatique lors du démarrage de mon PC de l'interpréteur de commande de Windows 10.

Ci-après un post sur le même sujet : viewtopic.php?f=3&t=40557

Comme il est question dans le post ci-dessus en lien d'infection de clés USB j'ai eu recours à Marmiton et à Remediate VBS.

Merci d'avance pour votre aide !

@+

[Malekal_morte]

Salut,

Pour voir :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Shahmate]

Salut,

https://pjjoint.malekal.com/files.php?i ... 9s12p11k13

https://pjjoint.malekal.com/files.php?i ... 9u12n12o12

https://pjjoint.malekal.com/files.php?i ... j5x12g5f15

[Malekal_morte]

ok tu as bien mis Marmiton,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2017-02-07 11:04 - 2017-02-07 11:04 - 002660864 _____ () C:\Users\Alexandre\ZHPDiag3.exe
2018-01-26 21:01 - 2015-01-06 15:54 - 000000000 ____D C:\ProgramData\Comodo
 2018-01-26 17:52 - 2018-01-26 21:22 - 000171808 _____ C:\Users\Alexandre\Desktop\ZHPDiag.txt  
 2018-01-26 17:48 - 2018-01-26 17:49 - 000000869 _____ C:\Users\Alexandre\Desktop\ZHPDiag.lnk  
 2018-01-26 17:47 - 2018-01-26 17:47 - 002966912 _____ C:\Users\Alexandre\Downloads\ZHPDiag3.exe  
 2018-01-26 17:47 - 2018-01-26 17:47 - 002966912 _____ C:\Users\Alexandre\Desktop\ZHPDiag3.exe  
 2018-01-19 15:47 - 2018-01-19 15:55 - 000000000 ____D C:\Users\Alexandre\AppData\Roaming\Microsoft\Windo
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-02-01] () 
Task: {3204E547-D0F1-4722-89D9-7A24B47AD33D} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {748DA8C3-C45E-4282-A0BF-4D3442670503} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {BEC05667-301F-4078-8E75-960FE6996189} - System32\Tasks\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {C62ACBDD-DCB2-4AB8-B318-4B6E3300C40A} - System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {C9B6A3BA-0375-4DD2-84A8-5069A6D6AF43} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {CDC8702A-5BCD-4B41-9FD5-84B8A107D1F6} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {D90DA95A-1F35-47CD-8B7C-4387EDE02B72} - System32\Tasks\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} => C:\Program Files\COMODO\COMODO Internet Security\cis.exe
Task: {F34E04E6-2290-43CC-A6A9-E5697DC24791} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {FDD0FA6B-A642-42C2-8688-B5E47D471E94} - System32\Tasks\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Shahmate]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27.01.2018
Exécuté par Alexandre (01-02-2018 21:09:06) Run:2
Exécuté depuis C:\Users\Alexandre\Desktop
Profils chargés: Alexandre & postgres (Profils disponibles: Alexandre & postgres & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
2017-02-07 11:04 - 2017-02-07 11:04 - 002660864 _____ () C:\Users\Alexandre\ZHPDiag3.exe
2018-01-26 21:01 - 2015-01-06 15:54 - 000000000 ____D C:\ProgramData\Comodo
2018-01-26 17:52 - 2018-01-26 21:22 - 000171808 _____ C:\Users\Alexandre\Desktop\ZHPDiag.txt
2018-01-26 17:48 - 2018-01-26 17:49 - 000000869 _____ C:\Users\Alexandre\Desktop\ZHPDiag.lnk
2018-01-26 17:47 - 2018-01-26 17:47 - 002966912 _____ C:\Users\Alexandre\Downloads\ZHPDiag3.exe
2018-01-26 17:47 - 2018-01-26 17:47 - 002966912 _____ C:\Users\Alexandre\Desktop\ZHPDiag3.exe
2018-01-19 15:47 - 2018-01-19 15:55 - 000000000 ____D C:\Users\Alexandre\AppData\Roaming\Microsoft\Windo
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-02-01] ()
Task: {3204E547-D0F1-4722-89D9-7A24B47AD33D} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {748DA8C3-C45E-4282-A0BF-4D3442670503} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {BEC05667-301F-4078-8E75-960FE6996189} - System32\Tasks\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {C62ACBDD-DCB2-4AB8-B318-4B6E3300C40A} - System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {C9B6A3BA-0375-4DD2-84A8-5069A6D6AF43} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {CDC8702A-5BCD-4B41-9FD5-84B8A107D1F6} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {D90DA95A-1F35-47CD-8B7C-4387EDE02B72} - System32\Tasks\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} => C:\Program Files\COMODO\COMODO Internet Security\cis.exe
Task: {F34E04E6-2290-43CC-A6A9-E5697DC24791} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {FDD0FA6B-A642-42C2-8688-B5E47D471E94} - System32\Tasks\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Alexandre\ZHPDiag3.exe => déplacé(es) avec succès
C:\ProgramData\Comodo => déplacé(es) avec succès
C:\Users\Alexandre\Desktop\ZHPDiag.txt => déplacé(es) avec succès
C:\Users\Alexandre\Desktop\ZHPDiag.lnk => déplacé(es) avec succès
C:\Users\Alexandre\Downloads\ZHPDiag3.exe => déplacé(es) avec succès
C:\Users\Alexandre\Desktop\ZHPDiag3.exe => déplacé(es) avec succès
"C:\Users\Alexandre\AppData\Roaming\Microsoft\Windo" => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3204E547-D0F1-4722-89D9-7A24B47AD33D}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3204E547-D0F1-4722-89D9-7A24B47AD33D}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{748DA8C3-C45E-4282-A0BF-4D3442670503}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{748DA8C3-C45E-4282-A0BF-4D3442670503}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{BEC05667-301F-4078-8E75-960FE6996189}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BEC05667-301F-4078-8E75-960FE6996189}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C62ACBDD-DCB2-4AB8-B318-4B6E3300C40A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C62ACBDD-DCB2-4AB8-B318-4B6E3300C40A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{31DDBD37-5DB7-4030-8064-10B0CAA806C3}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C9B6A3BA-0375-4DD2-84A8-5069A6D6AF43}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9B6A3BA-0375-4DD2-84A8-5069A6D6AF43}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CDC8702A-5BCD-4B41-9FD5-84B8A107D1F6}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CDC8702A-5BCD-4B41-9FD5-84B8A107D1F6}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D90DA95A-1F35-47CD-8B7C-4387EDE02B72}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D90DA95A-1F35-47CD-8B7C-4387EDE02B72}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{F34E04E6-2290-43CC-A6A9-E5697DC24791}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F34E04E6-2290-43CC-A6A9-E5697DC24791}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FDD0FA6B-A642-42C2-8688-B5E47D471E94}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FDD0FA6B-A642-42C2-8688-B5E47D471E94}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3889166263-466318981-1515235395-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3889166263-466318981-1515235395-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17027771 B
Java, Flash, Steam htmlcache => 2423 B
Windows/system/drivers => 807209 B
Edge => 0 B
Chrome => 47567818 B
Firefox => 374371639 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4162 B
NetworkService => 0 B
Alexandre => 3879069 B
postgres => 0 B
DefaultAppPool => 0 B

RecycleBin => 1116652 B
EmptyTemp: => 431.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 21:09:46 ====

[Malekal_morte]

il y a du mieux ?

[Shahmate]

Re,

L'interpréteur de commande Windows apparaît toujours dans la liste des programmes qui se lancent au démarrage (gestionnaire de tâches). Comme dit dans mon post initial je l'avais désactivé.

[Malekal_morte]

S'il est désactivé alors c'est bon.

[Shahmate]

Bonjour,

Les manipulations que j'ai faites suite à tes instructions n'ont en fait rien changé. Comme expliqué dans mon post initial j'avais moi-même désactivé le lancement automatique au démarrage de l'interpréteur de commande Windows. J'aurais voulu qu'il ne sois plus dans la liste des programmes se lançant au démarrage de Windows.

Dans le sujet dont j'avais indiqué le lien dans mon premier post les opérations de nettoyage avaient permis la disparition de l'interpréteur de commande Windows de la liste "Démarrage" : viewtopic.php?f=3&t=40557

[Malekal_morte]

ok,
Donne une capture d'écran des entrées du démarrage en indiquant celle qui te pose problème.

[Shahmate]

Hello,

Je me demande donc si l'entrée "Interpréteur de commande Windows" ne devrait pas être supprimée de la liste.

https://pjjoint.malekal.com/files.php?i ... 6h8c12b7y8

[angelique]

Bonsoir,

les entrées de démarrage se trouve généralement dans le registre(exécuter➭regedit) par là:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKU\N° SID 1-.........etc\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

as tu quelque chose y correspondant ?

[Shahmate]

Re,

Je joins une copie écran de l'éditeur de registre car je ne trouve pas les entrées que tu as listées dans ton précédent message.

https://pjjoint.malekal.com/files.php?i ... 5e9m5g12h5

Ce que je voudrais savoir c'est si la présence de l'interpréteur de commande dans les entrées de démarrage est normale ou pas. En tout cas, c'est relativement récent. Avant il n'apparaissait pas. Aussi, je me demande si je ne suis pas infecté ce qui était le cas du membre ayant posté ça : viewtopic.php?f=3&t=40557

[angelique]

Le sujet que j'ai traité, celui que tu compares n'est pas du tout le même problème.
Enfin lui avait un problème mais pas toi, le fait que invite de commande soit désactivé dans ton "démarrage" n' a aucun impact sur ton système.

Pour ta ta capture régedit , il faut dérouler les branches pour voir , et ne supprime rien !!!!!!!!!!!!

[Shahmate]

Ok ! Au temps pour moi. Peux-tu juste me dire ce que tu as donc corrigé sur mon PC ? Sinon, je ne trouve pas toujours pas les entrées indiquées dans regedit. Pas grave d'après ce que tu me dis, non ?