Fenêtre noire system32/cmd.exe au démarrage de Windows [Résolu]

[Navillus76]

Bonjour,

Depuis quelques temps, une fenêtre noire de type system32/cmd.exe s'ouvre systématiquement au démarrage de Windows 10 (64bits). Parfois elle se referme d'elle-même assez vite, parfois il faut que je l'a ferme directement et ce n'est pas toujours très réactif et je dois parfois attendre une phase de "ne réponds pas".
Je trouve aussi que Windows est assez lent, ou du moins manque de fluidité (par exemple, après avoir fait un clique droit sur un fichier, ça charge parfois pendant quelques secondes avant de me mettre le menu). Mes composants ont été changé il y a moins d'un an, et je n'ai aucun problème de lenteur sous Linux que j'utilise en OS principal (Windows ne me sert que pour certains jeux ne tournant pas encore sous Linux, c'est pour ça que je n'avais pas pris le temps de m'occuper de ce problème même si ça fait pas mal de temps que ça me le fait).

En cherchant un peu, j'ai vu que ça pouvait se résoudre en passant par une analyse FRST.
Voici donc les liens générés :
FRST : https://pjjoint.malekal.com/files.php?i ... 12t10y11o8
Addition : https://pjjoint.malekal.com/files.php?i ... 1b11b10d14
Shortcut : https://pjjoint.malekal.com/files.php?i ... v85m9g8h12

Dernière précision, j'avais passé Malwarebyte, mais sans qu'il ne trouve quoi que ce soit.

J'espère ne rien avoir oublié comme information utile.

Merci par avance pour votre aide

Bonne soirée !

[Parisien_entraide]

Bonsoir,

Malekal t'en diras plus, mais je note des applis en erreur qui peuvent générer ce genre de problème

ASUS ArmouryDevice (pour la gestion du RGB je suppose ?)
et
ASUS ROG Live Service

A désinstaller donc



A corriger également l'erreur

"Erreurs système:
=============
Error: (07/28/2021 09:48:17 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Le service Gestionnaire des cartes téléchargées est en attente de démarrage.


En s'aidant de :;

https://support.microsoft.com/fr-fr/win ... 5bca145036

Tu pourrais mettre une capture écran de https://www.malekal.com/autoruns/ pour juste les onglets "Logon", "scheduled task" et "Services ?"
----------------

Reste en suspend (si ce qui précède ne change rien :

Thunder Master et les gestions de fonctions via les programmes MSI


Sinon il y a une raison d'etre resté en version Win10 2004 ?

[Navillus76]

Bonjour,

Merci pour la réponse.
J'ai désinstallé les programmes ASUS (oui il y avait sûrement la gestion du RGB mais je ne m'en servais pas).

Pour Windows 10 version 2004, j'imagine que c'est parce que ma licence est liée à des précédentes versions de Windows (j'avais repris celle de mon ancien ordinateur portable que je n'utilise plus, qui était sous Windows 7 au moment où je l'ai eu en 2008 ou 2009, je l'avais fait évolué vers Windows 8, 8.1, puis 10). Enfin je ne vois que ça, sinon je ne sais pas...

Pour le gestionnaire de cartes téléchargées, j'ai suivi le support Microsoft, mais il était déjà défini comme indiqué (automatique début différé). Malgré ça, dans les propriétés, il était arrêté, donc j'ai re-appliqué l'option automatique différé, et je l'ai démarré.

Pour autoruns, voici les captures d'écran :
Logon https://pjjoint.malekal.com/files.php?i ... 5o11e14t10
Scheduled Tasks https://pjjoint.malekal.com/files.php?i ... 5p8z8q9y10
Services https://pjjoint.malekal.com/files.php?i ... 8d7d1010j7

Je vois dans Logon qu'il y a la mention de system32/cmd.exe, c'est peut-être à décocher ?
Je vois aussi dans les autres onglets qu'il y a toujours des tâches Asus malgré la désinstallation des applis (et redémarrage).

Suite à ces premières manips, j'ai toujours la fenêtre cmd au démarrage.

[Parisien_entraide]

Je pense qu'il va falloir attendre Malekal pour confirmation car il y a une ligne qu intrigue :

Tasks\cFos\Registration Tasks\Open Browser ... qui veut ouvrir une fenetre Firefox

c:\program files\mozilla firefox\firefox.exe" -osint -url "http://localhost:1487/cfosspeed/console.htm"


Assez caractéristique d'une possible infection "trojan miner"

En plus la solution antimalware est bloquée
(Accès refusé) [Fichier non signé] C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\ADA312AE-F52F-4D8F-A292-A4011341EE44\MpSigStub.exe




Le truc c'est que tu as utilisé ZHP Cleaner (mauvaise idée) , qui peut virer aussi bien des trucs fiables, que des infections (sans tout virer ou en laissant des traces)

________
Sinon tu dis avoir désinstallé Armoury mais il est actif dans les "scheduled tasks" (il doit y avoir tout une suite Armoury chez ASUS)

Sans lien avec ton problème

Greenshot : Je pense qu'il s'agit du prog de capture d'écran ?
Je ne vois pas pourquoi il a besoin de se lancer au démarrage
Tu as des altertnatives
http://www.gratilog.net/francais/images ... -Colok.exe qui fonctionne toujours sous Win10
https://www.gadwin.com/download/ qui peut suffir aussi


Steam : Tu peux mettre le démarrage en "manuel" dans les services windows. Il démarrera lorsque tu lanceras Steam

[Navillus76]

Oui ZHP Cleaner je l'avais vu en fouillant pour une solution sur ce problème.

Il n'y avait plus trace d'Armoury dans la liste des applications. Mais j'ai vu que Asus propose un outil de désinstallation.
Et ça a l'air d'avoir tout supprimé comme les lignes Asus sont maintenant marquées comme "file not found" : https://pjjoint.malekal.com/files.php?i ... 6g131010y6
Et surtout, je n'ai plus la fenêtre noire cmd.exe !! Donc super, merci beaucoup !!

Pour Greenshot, oui c'est pour la capture d'écran, je l'ai au travail donc je me l'étais mis comme je le trouvais pratique. J'ai installé FastStone Capture.

Pour Steam, je vois qu'il est déjà en "manuel" (et il est marqué comme arrêté actuellement).

Même si mon problème de fenêtre noire est résolu, je suis preneur d'un retour sur la ligne voulant ouvrir une fenêtre Firefox, pour être sûr d'avoir fait le tour. Merci.

[Parisien_entraide]

Pour les files "not found" il suffit de faire un clic droit et "delete"
Mais c'est là que tu vois que les progs de désinstallation ne font que la moitié du boulot..
J'ai acheté REVO uninstaller pour cela et même là sauf si je me met en mode "chasseur" et que j'utilise un prog annexe, certaines clés ne sont meme pas visibles et accessibles en mode admin donc les appels restent au démarrage (surtout qu'en général c'est en mode boot)

GreenShot je n'ai rien contre, mais perso je bannis tous les progs qui lancent des services alors qu'on ne les lancent pas alors que ce n'est pas justifié (MBAM par ex que je vire après chaque usage, c'est à dire tous les trimestres suite à maintenance et d'autres)

Pour Cfos soit tu as utilisé un jour CfosSpeed, soit j'en reste à une trace d'un miner qui a été viré (peut etre avec ZHP)
Néanmoins en restant sur la première impression et en relisant la ligne
http://localhost:1487/cfosspeed/console.htm est caractéristique du programme CfosSpeed

Il ne peut s'agir que du prog décrit comme Internet-Accelerator + Ping optimizer (aucun intéret sauf gros reseau perso, et encore la QOS ca se fait ailleurs, idem pour le ping)
Tu peux le désactiver ou le virer avec autoruns (jum to entry pour voir et delete)

Sinon pour les fenetres CMD ou usage porwershell, tu peux faire une restriction (mais il ne faut pas oublier que c'est en place, avec Hardentools

viewtopic.php?t=60030 (pour les nouveautés et dedans tu as lien de la présentation et usage sur le site)

mais surtout cela fait une protection pour les Windows Script Host, les virus sur support USB, contre les virus powerShell (qui reviennent en force) et contre tous les scripts malveillants (via messagerie, .pdf, .word, ...)