Image furtive de L'invite de Commande

[Toto61]

Salut,

Non, c'est un oubli de ma part !

La vérif du disque qui avait été planifié n'est plus présente , mais de toute façon, elle se lance avant le lancement de Windows, et n'apparait pas lors de l'ouverture de session et/ou par la suite.

On va creuser un peu du coté des tâches planifiées, mais en utilisant TaskShedulerView que tu peux télécharger directement en utilisant ce lien : Version 64 Bits, portable. Une fois téléchargé, tu décompresses le fichier "ZIP" dans un dossier portant le même nom.

Le but sera d'attendre l'apparition de ces fenêtres intempestives, puis, de noter l'horaire d'apparition. Ensuite, tu ouvres le programme TaskShedulerView, et, une fois la fenêtre ouverte, l'ensemble des tâches apparaitra au bout de quelques secondes, y compris les tâches cachées non visible depuis le planificateur. Tu vas cliquer 2 fois sur l'entête de colonne "Last Run" pour trier les tâches les plus récentes lancées. Ensuite, il faudra vérifier si une tâche correspond à l'horaire de ces fenêtres.

[irlandais54]

Ok, très bien, merci, j'espère simplement tenir la route dans l'exécution souhaitée des tâches.

Je charge l’application et attend une nouvelle apparition. A+

[irlandais54]

17h58 et des briquettes la fenêtre est venue rendre une visite express.

L'ouverture de TaskShedulerView permet de voir l'exécution et de lire ceci:

QueueReporting    Ready    Yes    0    20/02/2021 17:58:40    20/02/2021 21:04:20    Yes    Specific Time, Boot    Yes    No    No    No    No    No    No    No    Queue    0    \Microsoft\Windows\Windows Error Reporting    Run EXE    C:\WINDOWS\system32\wermgr.exe    -upload                    Système    Yes    Microsoft Corporation    Tâche de rapport d’erreurs Windows pour le traitement des rapports en file d’attente.    Rapport d’erreurs Microsoft Windows    AUTORITE NT\Système    7    0    30/06/2020 18:45:02    30/06/2020 18:45:02    C:\WINDOWS\system32\Tasks\Microsoft\Windows\Windows Error Reporting\QueueReporting 

La cause est elle là ?

 

 

[Toto61]

C'est intéressant, car cela concerne un vieux rapport d'erreur de juin 2020 ! Je te propose que l'on reproduise la même opération 2 ou 3 fois que l'on voit ce que cela donne.

[irlandais54]

Hello TT61,

Bonjour, voici en pièce jointe les conclusions des deux dernières visites de l'invite de commande.

Bonne réception.

Last Run.odt

[Toto61]

Salut,

3 tâches différentes, je doute que cela ai un rapport. A la place d'indiquer la "dernière tâche", peux tu faire une capture d'écran de TaskShedulerView après l'apparition de cette fenêtre de commande, que l'on puisse voir tout ce qui a été lancé juste avant ?

[Yves B.]

Salut @irlandais54, et @Toto61,

Voici une petite astuce qui pourrait aider @Toto61 ???

Si tu as un smartphone, prends-le, et fait une vidéo de ton écran lorsque tu démarres ton ordinateur.

Lorsque tu auras réussi à capturer la fenêtre “cmd” qui apparaît furtivement, visionnes les images de ta vidéo, et choisis-en une qui pourra indiquer le message dans ton Invite de commandes, et joints-la à ton prochain message.

A+

[irlandais54]

Ok, merci pour  l'idée mais dans mon cas elle est inapplicable pour les raisons suivantes:

- L'image de CMD n'apparaît pas à période fixe et jamais au démarrage, c'est irrégulier, de plus sa présence est ultra courte 1/2 à 1.5 secondes pas davantage.

- D'après ce que j'ai pu saisir il n'y a aucun message.

Encore merci.

 

[Toto61]

On peut tenter avec LastActivityView de Nirsoft (fichier ZIP, à décompresser, puis à ouvrir le programme du même nom) qui nous permettra comme son nom l'indique de récupérer la liste de toutes les derniers processus lancés sur ton PC. Si on peut recouper avec les horaires indiqués et éventuellement les prochains à venir...

Modifié le 23 février 2021 par Toto61

[irlandais54]

J'arrive seulement sur l'ouvrage"Chef'',

Ok, Bien reçu les consignes mais j'ai peur d'avoir un peu pataugé dans l'exécution, pour cette raison je adresse en PJ

le résultat de  LastActivity..... Est-ce bien ce type d'infos qui tu attendrais à la prochaine apparition de CMD, en plus de la capture d'écran effectuée avec TaskShedulerView ?

Merci pour ta patience.

[irlandais54]

Là j'ai peut-être une piste......

- 1/ Je remets sur mon bureau le raccourci AdwCleaner qui était passé, sans que je le sache, à la corbeille.  

- 2/ Je veux l'exécuter et immédiatement après avoir autorisé l'application sur la commande dédiée le panneau CMD passe le temps d'1/2 seconde......je recommence 3 à 4 fois, c'est pareil !

A 11 h 43 je fais les deux captures et bizarrement elles figurent sur  LastActivity et pas clairement pour moi sur Task Ch....

Qu'en penses-tu ?

[Yves B.]

Il y a 22 heures, irlandais54 a dit :

L'image de CMD n'apparaît pas à période fixe et jamais au démarrage,

Ah bon ! Ce n'est pas ce que tu nous indiques dans ton premier message ???

Citation

Régulièrement, que ce soit au démarrage

ou même en cours de cession le panneau noir de l'invite de commande CMD apparaît quelques instants puis disparaît ?

En tout cas, ça le mérite d'être plus clair !

 

[irlandais54]

Au sujet de mon dernier message, trop heureux de la découverte, je pense que je me suis un peu précipité.....

Connaissant désormais un moment précis d'une visite possible de "CMD" j'ai repris la proposition d'Yves B. et ai photographié l'écran.

Petite déception car dans le bandeau bleu situé au-dessus du panneau noir une inscription est effectivement lisible

à savoir: MalwareBytes-adwcleaner-8-0-8..... c'est tout.

Je me demande si cette situation est bien similaire à celles constatées auparavant ? Je reste sceptique.

A+

[Yves B.]

Salut @irlandais54,

Si @Toto61 n'y voit pas d'objection ???

C'est fort probablement “Adware Cleaner” qui déclenche ces ouverture de “cmd”.

Est-ce que tu as des éléments qui ont été mis en quarantaine suite à un scan avec “Adware Cleaner” ?

Si oui, est-ce que tu connais les fichiers/dossiers concernés ?

Si tu ne connais pas ces fichiers/dossiers, nous allons demander l'intervention de @Firebird ou de @Christian-S pour qu'ils puissent se prononcer.

Si tu est totalement sûre que la suppression de ces fichiers/dossiers ne causeront pas de problème, tu pourrait supprimer la quarantaine, mais j'attendrais l'avis de nos spécialistes en désinfection.

Si la quarantaine est vide, supprimes “Adware Cleaner”, tu peux le faire en lançant l'application, et il y a une option pour la supprimer, si je ne me trompes pas ???

De toute façon, les signatures de “adwares, toolbars, etc...”, sont constamment en évolution, et puis c'est un petit téléchargement !

Une fois supprimé, tiens-nous au courant si tu as toujours ces fenêtre “cmd” qui apparaissent furtivement.

A+

 

[irlandais54]

Bonsoir "Patron"!!!! Appellation du grade de "Maître" dans la marine Française.

Vis-à-vis de Totos61 je suis un peu gêné par tes demandes mais je vais les appliquer en espérant et souhaitant que mon tuteur continue à suivre ma demande.

Cordialement à vous deux.

[Toto61]

@irlandais54 : Oui, c'est exactement ce genre de capture que j'attendais. Par contre, il faudrait les cibler sur les horaires précédents, que l'on ai une vision de ce qui a été lancé juste avant, à savoir :

• 22/02 - 07:49
• 23/02 - 10:25
• 20/02 - 17:58

J'attends donc 3 captures sur les horaires précédents ;-)

@Yves B. Je n'y vois pas d'inconvénient, ta sagesse est souvent salvatrice, et ta présence fortement appréciée. Seulement, quelques précisions sur la compréhension de 2 points :

• sauf mauvaise compréhension de ma part, notre amis nous a indiqué que le problème était aléatoire, mais pas systématique. Il peut apparaitre aussi bien après le démarrage ou non, comme en cours d'utilisation.
• concernant ADWCleaner, cela indique surtout que le programme pointé par le raccourcis n'est plus présent sur le PC. Il aurait été intéressant que notre amis relève la date de suppression qui était indiqué dans la corbeille. Par contre, la présence du nom dans la fenêtre ne colle pas avec la fenêtre intempestive habituelle.

Néanmoins, on peut en effet ce demander le pourquoi d'ADWCleaner, qui laisse sous entendre un soucis de logiciels publicitaires / indésirables sur ce PC, et qui pourrait avoir engendré par un nettoyage partiel, une suppression partiel d'un logiciel parasite. Attendons de voir ce que @irlandais54 va nous dire, et nous appellerons alors l'un de nos 2 spécialistes @Firebird / @Christian-S pour une prise en charge si nécessaire.

Modifié le 24 février 2021 par Toto61

[irlandais54]

Pour répondre aux questions posées par Yves B.

Aucun élément n'a été mis en quarantaine. La suppression d' ADW. est faite.

[irlandais54]

Bonsoir ToTo61, j'ai bien noté mais ne suis pas dispo demain.

Je reprendrai le fil dès vendredi.

Merci

[Toto61]

Ok, nous attendons ton retour :-)

[Firebird]

Bonjour @irlandais54

Si tu souhaites faire désinfecter ton PC

Selon ses disponibilités, @Christian-S te prendra en charge, sinon je le ferai.

 Commence par effectuer une analyse ZHPDiag et une analyse FRST.

=> Procédure ici : https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Attendus 3 rapports : ZHPDiag.txt, FRST.txt, Addition.txt.

À te relire.

[irlandais54]

Bonjour Firebird,

Je te remercie pour ton aimable proposition mais n'étant pas un artiste de l'informatique j'ai peur de brouiller mes faibles capacités en suivant deux dossiers à la fois. Dans l'immédiat je préférerais terminer le travail de recherche commencé avec Toto61 et voir ensuite si une désinfection s'avérait nécessaire.

Cordialement.

[Firebird]

Bonjour @irlandais54

il y a 1 minute, irlandais54 a dit :

Dans l'immédiat je préférerais terminer le travail de recherche commencé avec Toto61 et voir ensuite si une désinfection s'avérait nécessaire.

Bien entendu. Il est essentiel de ne mener qu'un seul travail à la fois, sous peine de demandes contradictoires.
Donc à toi de voir, au terme de la prise en charge actuelle si tu souhaites une désinfection.

[irlandais54]

OK, merci.

[irlandais54]

Avé Toto61,

Le cancre a encore frappé, je n'y comprends rien, suis perdu, impossible de retrouver les correspondances des fichiers souhaités dans TaskShedulerView !!

J'ai relancé l’exécution mais aucune des dates et horaires relevés dans les exercices précédents n'apparaissent, sublimés, disparus ? Je n'y comprends plus rien. Où est mon erreur ou est l'astuce pour retomber sur mes pieds ?

Je suis une nouvelle fois désolé.

A+

[Toto61]

Re,

Ce n'est pas une histoire de "cancreté" mais une histoire de confusion de nom : ce n'est pas TaskShedulerView que tu dois utiliser, mais LastActivityView ;-)