Fenêtre windows de code noire qui apparaît et disparaît aussitôt [Résolu/Fermé]

Signaler
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
-
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
-
Bonjour,

Je pense que tout est dit dans le titre :). Néanmoins je vais essayer d'être plus précis : une petite fenêtre noire remplie de codes (bon, ma description n'est pas très claire, donc si vous n'avez pas très bien eu l'image en tête, c'est à peu près comme ceci : https://user.oc-static.com/files/163001_164000/163841.png (bien sûr, je parle de la forme, pas des codes qu'ils y a à l'intérieur)) apparaît et disparaît très vite (certaines fois il s'agit de deux fenêtres presque superposées). Tout cela m'arrive plusieurs fois dans la journée mais ce n'est pas régulier. Je n'ai pas pu faire une capture d'écran, elle disparaît trop vite.
C'est sûrement un virus (surtout qu'elle est apparue après que j'aie attrapé un florilège de virus et de malwares en tout genres (j'en ai enlevé une grande partie en mode sans échec, mais je pense qu'il reste quelques indésirables)), je sais que c'est aussi possible que ce soit un processus qui s’exécute en boucle (ou quelque chose du genre, je ne sais plus trop ^^'), mais ce n'est pas quelque chose de régulier donc je n'opte pas pour cette hypothèse.
Je viens donc demander de l'aide à des personnes sûrement plus qualifiées que moi pour me dire quoi faire afin d'enlever tout cela.

Merci d'avance.

N. B. : J'ai fait faire un rapport avec Adwcleaner, mais je n'ai rien trouvé d'utile ^^.


EDIT : Je viens de faire faire des rapports FRST, que je poste ci-dessous :

Addition :
http://pjjoint.malekal.com/files.php?id=20161026_j15i10o5j68

FRST :
http://pjjoint.malekal.com/files.php?id=FRST_20161026_q14r12u10k1414

Shortcut :
http://pjjoint.malekal.com/files.php?id=20161026_r15z10d9f11k7

5 réponses

Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Tu peux supprimer la file d'attente de BITS

https://toolslib.net/downloads/viewdownload/21-winupdatefix/
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 57885 internautes nous ont dit merci ce mois-ci

Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4
J'ai essayé (désolé du retard ^^'), je te tiens au courant pour voir si ça marche !
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4
Je ne vois plus cette fenêtre apparaître, je considère le problème comme résolu !

Mille merci ^^ !
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
De rien.
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Salut,

Si tu veux, tu peux vérifier ton PC pour les virus et malwares avec
RegRun Reanimator

Si tu a des détections intéressantes, tu peux nous en faire part.

Fermes tes programmes, pour ne pas qu'ils soient détectés pour rien durant l'analyse.

Utilises les 3 options:

Cliquer sur Fix Problems

Option 1. Scan Windows Startup...

Cocher la case "Use Deep Level Scanning Once (For Advanced Users)"...

Cliquer sur Make Scan Now

Cliquer sur Fix Problems

Attention, il détecte aussi des faux positifs (des bons items).

Si à vue de nez, tu ne sais pas si c'est bon, tu peux chercher sur Internet pour le nom d'un item/fichier avec clic droit
dans le milieu de la fenêtre et "Copy To Clipboard".

En choisir une partie pour faire la recherche, comme le nom du fichier, ou son code en chiffres et en lettres.

Passe avec la flèche, ou mieux, clic sur le bouton "False Positive" si c'est un item que tu connais comme bon, au prochain scan, il ne sera plus détecté.

Ne supprime que des virus ou inutiles avec le bouton "Get It Out", tu peux endommager ton système ou tes programmes si tu ne fais pas attention.

Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.


Option 2. Fix Browser Redirect -> Inspect si proposé.

Regarde dans les différents onglets et vérifie si ce qui est en vert est vraiment bon.

Clic droit -> Copy to clipboard et chercher avec Google pour ce que tu ne connais pas.

Marques comme faux positifs les bons items marqués en bleu, ils deviendront vert,

Supprimes les mauvais si il y en a, rouge est mauvais signe, des fois il peut y avoir des faux positifs, donc a toi de juger...



Option 3. On-line Multi-Antivirus Scan...
Messages postés
13210
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 avril 2020
916
salut fabul :)
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4
D'après les commentaires, ce logiciel ne semble pas très aimé (difficile à désinstaller, faux positifs...) mais je vais essayer :). Je vous tiens au courant quand j'aurais fini tout ça :).
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4
J'ai essayé l'option 1 (et en effet il y avait pas mal de faux positifs ^^), il a supprimé quelques fichiers qui étaient clairement des malwares (Zegaingjaduly Monitor) et d'autres sur lesquels j'ai vraiment hésité (mais étant donné que, au redémarrage, je n'ai vu aucun changement flagrant, je suppose que ce n'était pas des fichiers capitaux et que c'était sûrement des malwares).
Je ne sais pas si ça a réglé le problème, je reviendrais ici dans deux jours pour vous dire si j'ai revu cette fenêtre de code noire :).
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Tu a bien fait de supprimer cette tâche.

Mais il faut vraiment vérifier sur Internet si on n'est pas trop sur et au pire, faire analyser sur Virustotal avec Virustotal Uploader si on ne trouve rien sur internet et que le fichier occupe une fonction importante ex:Driver


Tu peux faire le double et triple check avec les autres options.

Il n'est pas difficile a désinstaller, mais je ne le désinstalles jamais, ça ne sert a rien a part gagner quelques dizaines de Mo sur le DD, et tu peux installer la dernière version par dessus l'ancienne toujours sans désinstaller, il peut t’aider dans le futur,


Si tu le désinstalle, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.

RegRun peut l'utiliser pour des analyses "Reboot" avec le driver Partizan, mais quand ce n'est pas utile, tu peux cliquer sur le fichier .reg


Si tu ne fais pas ces étapes, il laisse deux fichiers dans System32 et Drivers et une valeur Partizan sur la clé registre Bootexecute.

Rien de grave.

Tu peux facilement supprimer les dossiers et fichiers restants de RegRun, il n'y a rien d'actif dans le programme qui t'empêche...
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Puis pour les commentaires sur RegRun, je les ai presque tous écrits moi mème, et a une époque ou je l'utilisait / connaissait moins.

Il n'y a personne d'autre qui a commenté pour dire qu'il leur avait supprimé des malwares, le monde est gèné, ou trouve ça trop compliqué de gérer son PC soi mème, le nom des fichiers, ça ne leur dit rien, il y a profusion de malwares et autres Unwanted softwares files comme les appelle RegRun, sur le net, on est a une époque assez spéciale coté virus et autres indésirables, et contre eux, RegRun est mon meilleur ami :)

Il ne cherche pas que des virus, mais tout ce qui est actif automatiquement d'une manière ou d'une autre et ne vient pas normalement ou a peu près sur un PC vierge, de la les faux positifs, c'est a toi de gérer , mais c'est un très bon outil pour savoir ce qui se passe derrière et trouver anguille sous roche...


J'ai vu sur ton log que tu avais beaucoup de tâches planifiées.

Tu peux contrôler ce qui se lance avec Autoruns ou Autoruns64 (64 bit), vois si tu a quelque chose de mauvais ou inutile surtout dans les onglets "Logon", "Scheduled Tasks" et "Services"

Si tu fais attention, tu peux désactiver ou supprimer ce qui n'est pas nécessaire ou mauvais.

Les services bons, mais certains inutiles la plupart du temps, tu peux les mettre en mode Manuel avec services.msc de Windows plutôt que les désactiver complètement avec Autoruns.

On trouve des lignes jaunes (File not found), on peut supprimer la majorité du temps, excepté ce qui proviens de Microsoft et surtout dans la section Drivers, c'est mieux pas.

Tu peux aussi t'aider de Process Explorer pour bien visualiser les processus actifs.

Si tu sais tout gérer ça, que ton PC n'a pas été trop endommagé par les malwares, il sera plus en forme que jamais.
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020

Ok, j'ai continué à faire le ménage côté indésirables, mais j'ai toujours cette fenêtre de code noire au démarrage de windows et dans la journée. C'est peu régulier et plutôt espacé, mais ça reste gênant :).
N. B. : J'ai aussi commencé à, comme tu me l'as conseillé, désactiver quelques services inutiles.
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Tu peux m'envoyer un log RegRun pour que je regarde si que vois quelque chose qui t'a passé sous le nez.

Par Cjoint https://www.cjoint.com/

Utilise l'option "Send Report" puis Reboot

Au redémarrage, une fenètre s'ouvrira, n'envoie pas ton log a Greatis, ils m'ont dit que Reanimator (la version gratuite) n'est pas supportée par le service.

Fermes la fenêtre et envoie le fichier RegRunlog.txt qui est sur le bureau sur Cjoint et copie moi le lien généré dans ta prochaine réponse pour que j'y accède.
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020

Il y a 5 minutes, cette fenêtre est apparue à nouveau. Je me demande vraiment d'où elle vient du coup, parce que je ne vois pas quel malware pourrait être à l'origine de tout cela. Peut-être que ce n'est pas un virus du coup (ou peut-être pas...), mais le seul moyen de savoir ce que ça pourrait être serait de savoir ce qu'il y a de marqué sur cette fenêtre de code windows. Quelqu'un sait comment je pourrais savoir cela ? Si non, avez-vous d'autres idées pour enlever ce problème ?
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Tu a quelques tâches planifiées

Si tu veux voir ce que je vois, dans la fenêtre de derrière, ouvre l'onglet Reanimator -> Anti Spyware

Quand il a fini la vérification, clic en haut a gauche dans Main list sur All Items

Je vois des tâches sur::

C:\Program Files (x86)\Mass Effect 2\Mass Effect 2 DLC Genesis\giveme2entitlements.exe

F:\JeuxDuDieu\Anna\Anna - Extended Edition\Anna.exe

F:\JeuxDuDieu\Anno\Anno 2205\Bin\Win64\Anno2205.exe

C:\Program Files (x86)\Mass Effect 2\Mass Effect 2 DLC Genesis\ME2_Genesis.exe

Tu a vérifié tes tâches (scheduled tasks) plus tôt avec Autoruns ?

Tu peux décocher avec Autoruns.
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Tu peux peut ètre trouver quelque chose dans l'historique de cmd.exe

Command History

You most likely have been pressing the up key to get to your previous commands, but this can be a pain when you are trying to track down a particular command. One other way you can view your past command is to use the doskey command.

doskey /history


Source https://www.howtogeek.com/119386/5-windows-command-prompt-tricks-you-probably-dont-know/

Je ne suis pas sur que ça marche quand la boite a été fermée.
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020

J'ai essayé la commande mais, en effet, ça n'a pas pu revenir jusque là..

Ensuite, il y a quelque chose que je n'ai pas très bien compris dans tes explications :

"dans la fenêtre de derrière, ouvre l'onglet Reanimator -> Anti Spyware"

Je ne vois pas très bien de quoi tu parle ^^'. Où est-ce que se trouve l'onglet "anti-spyware" dans Reanimator ?

Quoi qu'il en soit, j'ai vérifié ce que tu me disais avec Autoruns, et, à chaque fois, c'est surligné en jaune, décoché, et je vois le message "file not found". Je sais ce que ça veut dire, mais je me demande ce que ça implique.
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017

Bonne nouvelle ! J'ai réussi à obtenir le message en filmant avec un téléphone (j'ai aussi un screen mais il s'est fait alors que le message commençait à disparaître en fondu).
J'en ai fait une image :

http://hpics.li/ff6403d

Qu'est-ce que BITSADMIN 3.0 ? Ce n'est apparemment pas un fichier dangereux dans son état "naturel", mais si il est infecté par un virus, comment puis-je le réparer ?
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Le fenêtre de Reanimator qui s'ouvre derrière la première de devant quand tu l'ouvres, il faut fermer la première pour accéder a la deuxième.


BITS est le service de transfert intelligent en arrière plan de Windows.

Sur BITSADMIN

https://file-intelligence.comodo.com/windows-process-virus-malware/exe/bitsadmin
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020

Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017

Ceci dit, j'ai trouvé un autre bitsadmin.exe dans System32 qui lance aussi une fenêtre windows de code noire similaire à celle que j'ai vue, mais le texte n'est pas le même.
Sur VirusTotal, ce bitsadmin.exe là est noté comme innoffensif mais il est lié à un fichier qui lui a reçu 4 votes disant qu'il était malveillant.
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Si tu regardes dans:File details

Copyright
© Microsoft Corporation. All rights reserved.

Product Microsoft® Windows® Operating System
Original name bitsadmin.exe
Internal name bitsadmin.exe
File version 7.5.7601.17514 (win7sp1_rtm.101119-1850)
Description BITS administration utility
Signature verification Signed file, verified signature


Donc pas a t'inquiéter pour ce fichier, ni pour le reste e crois.

Tu peux faire des analyses générales avec Malwarebytes (en version gratuite) -> Décoche l'essai de la version Premium a l'installation.

Antivirus...

Quand tu dit dans System32 , qu'il n'affiches pas la même chose, c'est que tu l'a exécuté ?

Le premier doit être exécuté a partir de lignes de commandes, pas juste en cliquant dessus, c'est pour ça qu'on vois des choses.
Messages postés
35
Date d'inscription
mercredi 26 octobre 2016
Statut
Membre
Dernière intervention
27 février 2017
4 >
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020

En effet, celui qui se situait dans system32, je l'ai exécuté ^^.

"Le premier doit être exécuté a partir de lignes de commandes, pas juste en cliquant dessus, c'est pour ça qu'on vois des choses."

Oui, mais je ne l'ai exécuté que maintenant, donc il ne doit pas être à l'origine de mon problème.

Mais donc, penses-tu savoir comment enlever cette fenêtre de code ? Et que veulent-ils dire par "Use the job identifier instead of the job name" (sur la capture d'écran que j'avais donnée) ?
Messages postés
24344
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 juillet 2020
2 851
Oui, il y a 4 jobs nommées task3 trouvée.

C'est peut être ou surement un bug du système,

A part formater et réinstaller Window, je ne vois pas.