Un client.exe s'ouvre au démarrage de Windows 10

[Fermé]
Signaler
-
Messages postés
3
Date d'inscription
dimanche 27 novembre 2016
Statut
Membre
Dernière intervention
23 juillet 2020
-
Bonjour,

Ceci est ma première discutions sur le forum.

Le 19 Novembre, j'ai eu quelque soucis avec mon PC. J'avais donc décrit mon problème sur un forum mais malheureusement je n'ai trouvé personne capable de m'aider.
Je colle ci-dissous les détails de mon problème.


Bonsoir les ami(e)s,

En rentrent, comme d'habitude, je démarre mon PC. Jusqu'ici tout va bien.
Après avoir saisie mon mot de passe de session Windows, je trouve le chargement extrêmement long (environ 10 minutes) alors qu'habituellement en 3-4 minutes tout est chargé.
Bon, j'attends donc 10 minutes puis d'un coup, mon PREMIER BSOD (REGISTRY_ERROR) qui apparaît, du moins sur ce PC. (PC monté il y a 1 an avec du matériel neuf et toujours entretenu, config dans ma signature)

Je redémarre donc à nouveau mon PC et patiente encore 10 minutes le temps qu'il démarre.
Première chose que je fais, analyse avec DrviverCloud pour en savoir plus sur le BSOD.

Voici ce qu'il m'indique :

111916~1.DMP

Informations générales
Bug Check Code
0x00000051

Bug Check String
REGISTRY_ERROR

Paramètre 1
0x0000000000000001

Paramètre 2
0xFFFFC001B2E77000

Paramètre 3
0x00000000CE9694E0

Paramètre 4
0x00000000000002D2

Date du crash
19/11/2016 03:26

Architecture
x64

Version majeure
15

Version mineure
10586

Nombre de processeurs
6

Taille du fichier dump
149.77 Ko

Source du crash

Source du crash
ntoskrnl.exe+142970

Chemin
C:\WINDOWS\system32\ntoskrnl.exe

Description
NT Kernel & System

Version
10.0.10586.672

Compagnie
Microsoft Corporation

Taille
7.12 Mo

Pile d'appels
Adresse de la pile
ntoskrnl.exe+5B78CC

Adresse de la pile
ntoskrnl.exe+48BD73

Adresse de la pile
ntoskrnl.exe+48BC7B

Adresse de la pile
ntoskrnl.exe+48ABAB


Secondement, j'ai fais une analyse avec Malwarebytes Anti-Malware qui m'a trouvé 5 erreures.

Troisièmement, j'ai fais une analyse avec ADWCleaner qui m'a trouvé 13 menaces que j'ai aussi supprimées. (oublié de copier les erreurs)

Jusqu'à maintenant, la maintenant ou j'écris ceci, je n'ai pas eu droit à un nouveau BSOD mais le temps de chargement de Windows au niveau du logo puis en rentrent dans ma session est bien plus long qu'avant et tout ça m'intrigue quand même étant donné que je fais vraiment attention à mon matériel et à mon système.

ÉDIT 25/11 : le BSOD surgit plusieurs fois par jours !
ÉDIT 27/11 : Le 25 j'ai refais une série de scans et depuis, plus aucun BSOD.

LOGICIELS UTILISÉS :
- Malwarebytes Anti Malware
- ADWCleaner
- RogueKiller
- CCleaner
- Avast
- DarkComet
- JRT
- RefreshPC
- Outil de nettoyage de disque Windows
- Auslogics DiskDefrag

Si quelqu'un pourrais m'aider à trouver l'origine de ce problème pour pouvoir le corriger ça serai vraiment cool ! Je ne sais pas ce que j'aurai pu oublier de préciser, à vous de me le dire.

J'en profite pour vous préciser que depuis peu, au démarrage de Windows, j'ai un invité de commande qui s'ouvre (vide, seulement le petit _ blanc qui clignote) qui ce nome "C:\ProgramData\Client\client.exe" et je ne sais pas du tout ce que c'est !

ÉDIT : j'ai pris un screen au redémarrage.

Ceci s'affiche pendant 3 minutes environs
http://image.prntscr.com/image/79f6e81816144469a52c274c22a4af66.png

Puis pendant une fraction de seconde voilà ce qui s'affiche :
http://image.prntscr.com/image/ed696e36048545c1a4f7db99d9d298d8.png

Lorsque j'ouvre le gestionnaire de tache avant que l'invité de commande ne se ferme voici ce qui s'affiche
http://image.prntscr.com/image/3f64549a41de4c5a877d596c736936b2.png


Merci d'avance pour votre aide.

3 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 213
Salut,

Truc de Trojan RAT, ça je pense, pour vérifier :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41713 internautes nous ont dit merci ce mois-ci

Bonsoir, merci je vais lire attentivement.
Voici les rapports :

- FRST : http://pjjoint.malekal.com/files.php?read=FRST_20161127_w11q7s5t7e6
- Shortcut : http://pjjoint.malekal.com/files.php?read=20161127_w13v8i5v6y5
- Additionnal : http://pjjoint.malekal.com/files.php?read=20161127_t914g8q13e6
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 213 > WaZiGii
Désinstalle MyBackupPC from Rerware

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {AAF6B473-8217-4067-946B-6864F7B3A328} - System32\Tasks\Client Monitor => C:\ProgramData\Client\client.exe [2015-10-23] (Microsoft Corporation) <==== ATTENTION
HKLM-x32\...\Run: [MyBackupPC] => C:\Program Files (x86)\Rerware\MyBackupPC\mybackuppc.exe [170791 2015-11-02] (Rerware LLC)
C:\Program Files (x86)\Rerware
2016-06-12 17:46 - 2015-10-23 17:47 - 0053248 __RSH (Microsoft Corporation) C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe
2016-06-12 17:46 - 2009-06-10 22:23 - 0000181 _____ () C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe.config
2016-06-12 17:39 - 2016-06-02 19:06 - 0463376 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\OMCHEbGVYPfX
2016-06-12 17:39 - 2016-06-02 19:06 - 0048657 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\SDYhGPIUgDTcPZQMTXa
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Messages postés
3
Date d'inscription
dimanche 27 novembre 2016
Statut
Membre
Dernière intervention
23 juillet 2020
2 >
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Merci énormément !
J'ai suivi tes étapes et au redémarrage, plus d'invité de commande ! Disparue !

Je te fournie le fichier Fixlog.txt


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-11-2016

Exécuté par WaZiGii6938 (01-12-2016 14:42:38) Run:1
Exécuté depuis C:\Users\WaZiGii6938\Desktop
Profils chargés: WaZiGii6938 (Profils disponibles: WaZiGii6938 & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {AAF6B473-8217-4067-946B-6864F7B3A328} - System32\Tasks\Client Monitor => C:\ProgramData\Client\client.exe [2015-10-23] (Microsoft Corporation) <==== ATTENTION
HKLM-x32\...\Run: [MyBackupPC] => C:\Program Files (x86)\Rerware\MyBackupPC\mybackuppc.exe [170791 2015-11-02] (Rerware LLC)
C:\Program Files (x86)\Rerware
2016-06-12 17:46 - 2015-10-23 17:47 - 0053248 __RSH (Microsoft Corporation) C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe
2016-06-12 17:46 - 2009-06-10 22:23 - 0000181 _____ () C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe.config
2016-06-12 17:39 - 2016-06-02 19:06 - 0463376 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\OMCHEbGVYPfX
2016-06-12 17:39 - 2016-06-02 19:06 - 0048657 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\SDYhGPIUgDTcPZQMTXa
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AAF6B473-8217-4067-946B-6864F7B3A328}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAF6B473-8217-4067-946B-6864F7B3A328}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Client Monitor => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Client Monitor" => clé supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\MyBackupPC => valeur non trouvé(e).
C:\Program Files (x86)\Rerware => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe.config => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\OMCHEbGVYPfX => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\SDYhGPIUgDTcPZQMTXa => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3120692301-1937463650-4062986715-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3120692301-1937463650-4062986715-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 83006 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5477926 B
Java, Flash, Steam htmlcache => 190251041 B
Windows/system/drivers => 44189663 B
Edge => 317 B
Chrome => 20889856 B
Firefox => 8038751 B
Opera => 265080281 B

Temp, IE cache, history, cookies, recent:
Default => 7680 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 5454 B
NetworkService => 128 B
WaZiGii6938 => 15797799 B
DefaultAppPool => 0 B

RecycleBin => 979906 B
EmptyTemp: => 525.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 14:42:55 ====

    
Messages postés
36423
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 octobre 2021
15 193
Bonsoir,

LOGICIELS UTILISÉS : 
- Malwarebytes Anti Malware
- ADWCleaner
- RogueKiller
- CCleaner
- Avast
- DarkComet
- JRT
- RefreshPC
- Outil de nettoyage de disque Windows
- Auslogics DiskDefrag

C'est peut-être cela le problème.
Bonsoir, les logiciels cité sont ceux avec les quels j'ai essayé de résoudre le problème.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 213 > WaZiGii
DarkComet c'est un RAT...
Ché pas ce que tu as essayé de faire avec ça .... mais bon....
>
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Je viens de le supprimer. Mais le problème ne viens pas de là étant donné que je l'ai téléchargé il y 2-3 jours mais que l'invité de commande est là depuis plusieurs mois.
Messages postés
3
Date d'inscription
dimanche 27 novembre 2016
Statut
Membre
Dernière intervention
23 juillet 2020
2
UP