Un client.exe s'ouvre au démarrage de Windows 10

Fermé

WaZiGii - 27 nov. 2016 à 19:07
WaZiGii Messages postés 3 Date d'inscription dimanche 27 novembre 2016 Statut Membre Dernière intervention 23 juillet 2020 - 1 déc. 2016 à 14:45

Bonjour,

Ceci est ma première discutions sur le forum.

Le 19 Novembre, j'ai eu quelque soucis avec mon PC. J'avais donc décrit mon problème sur un forum mais malheureusement je n'ai trouvé personne capable de m'aider.
Je colle ci-dissous les détails de mon problème.

Bonsoir les ami(e)s,

En rentrent, comme d'habitude, je démarre mon PC. Jusqu'ici tout va bien.
Après avoir saisie mon mot de passe de session Windows, je trouve le chargement extrêmement long (environ 10 minutes) alors qu'habituellement en 3-4 minutes tout est chargé.
Bon, j'attends donc 10 minutes puis d'un coup, mon PREMIER BSOD (REGISTRY_ERROR) qui apparaît, du moins sur ce PC. (PC monté il y a 1 an avec du matériel neuf et toujours entretenu, config dans ma signature)

Je redémarre donc à nouveau mon PC et patiente encore 10 minutes le temps qu'il démarre.
Première chose que je fais, analyse avec DrviverCloud pour en savoir plus sur le BSOD.

Voici ce qu'il m'indique :

111916~1.DMP

Informations générales
Bug Check Code
0x00000051

Bug Check String
REGISTRY_ERROR

Paramètre 1
0x0000000000000001

Paramètre 2
0xFFFFC001B2E77000

Paramètre 3
0x00000000CE9694E0

Paramètre 4
0x00000000000002D2

Date du crash
19/11/2016 03:26

Architecture
x64

Version majeure
15

Version mineure
10586

Nombre de processeurs
6

Taille du fichier dump
149.77 Ko

Source du crash

Source du crash
ntoskrnl.exe+142970

Chemin
C:\WINDOWS\system32\ntoskrnl.exe

Description
NT Kernel & System

Version
10.0.10586.672

Compagnie
Microsoft Corporation

Taille
7.12 Mo

Pile d'appels
Adresse de la pile
ntoskrnl.exe+5B78CC

Adresse de la pile
ntoskrnl.exe+48BD73

Adresse de la pile
ntoskrnl.exe+48BC7B

Adresse de la pile
ntoskrnl.exe+48ABAB

Secondement, j'ai fais une analyse avec Malwarebytes Anti-Malware qui m'a trouvé 5 erreures.

Troisièmement, j'ai fais une analyse avec ADWCleaner qui m'a trouvé 13 menaces que j'ai aussi supprimées. (oublié de copier les erreurs)

Jusqu'à maintenant, la maintenant ou j'écris ceci, je n'ai pas eu droit à un nouveau BSOD mais le temps de chargement de Windows au niveau du logo puis en rentrent dans ma session est bien plus long qu'avant et tout ça m'intrigue quand même étant donné que je fais vraiment attention à mon matériel et à mon système.

ÉDIT 25/11 : le BSOD surgit plusieurs fois par jours !
ÉDIT 27/11 : Le 25 j'ai refais une série de scans et depuis, plus aucun BSOD.

LOGICIELS UTILISÉS :
- Malwarebytes Anti Malware
- ADWCleaner
- RogueKiller
- CCleaner
- Avast
- DarkComet
- JRT
- RefreshPC
- Outil de nettoyage de disque Windows
- Auslogics DiskDefrag

Si quelqu'un pourrais m'aider à trouver l'origine de ce problème pour pouvoir le corriger ça serai vraiment cool ! Je ne sais pas ce que j'aurai pu oublier de préciser, à vous de me le dire.

J'en profite pour vous préciser que depuis peu, au démarrage de Windows, j'ai un invité de commande qui s'ouvre (vide, seulement le petit _ blanc qui clignote) qui ce nome "C:\ProgramData\Client\client.exe" et je ne sais pas du tout ce que c'est !

ÉDIT : j'ai pris un screen au redémarrage.

Ceci s'affiche pendant 3 minutes environs
http://image.prntscr.com/image/79f6e81816144469a52c274c22a4af66.png

Puis pendant une fraction de seconde voilà ce qui s'affiche :
http://image.prntscr.com/image/ed696e36048545c1a4f7db99d9d298d8.png

Lorsque j'ouvre le gestionnaire de tache avant que l'invité de commande ne se ferme voici ce qui s'affiche
http://image.prntscr.com/image/3f64549a41de4c5a877d596c736936b2.png

Merci d'avance pour votre aide.

A voir également:

Un client.exe s'ouvre au démarrage de Windows 10
Clé windows 10 gratuit - Guide
Windows 10 gratuit - Guide
Pc lent au démarrage - Guide
Programme au démarrage windows 10 - Guide
Problème de demarrage windows 10 - Guide

3 réponses

Réponse 1 / 3

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 27/11/2016 à 19:09

Salut,

Truc de Trojan RAT, ça je pense, pour vérifier :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Veuillez appuyer sur une touche pour continuer la désinfection...

WaZiGii
27 nov. 2016 à 19:22

Bonsoir, merci je vais lire attentivement.

WaZiGii
27 nov. 2016 à 19:35

Voici les rapports :

- FRST : http://pjjoint.malekal.com/files.php?read=FRST_20161127_w11q7s5t7e6
- Shortcut : http://pjjoint.malekal.com/files.php?read=20161127_w13v8i5v6y5
- Additionnal : http://pjjoint.malekal.com/files.php?read=20161127_t914g8q13e6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > WaZiGii
Modifié par Malekal_morte- le 30/11/2016 à 23:19

Désinstalle MyBackupPC from Rerware

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {AAF6B473-8217-4067-946B-6864F7B3A328} - System32\Tasks\Client Monitor => C:\ProgramData\Client\client.exe [2015-10-23] (Microsoft Corporation) <==== ATTENTION
 HKLM-x32\...\Run: [MyBackupPC] => C:\Program Files (x86)\Rerware\MyBackupPC\mybackuppc.exe [170791 2015-11-02] (Rerware LLC)  
C:\Program Files (x86)\Rerware
 2016-06-12 17:46 - 2015-10-23 17:47 - 0053248 __RSH (Microsoft Corporation) C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe 
 2016-06-12 17:46 - 2009-06-10 22:23 - 0000181 _____ () C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe.config 
 2016-06-12 17:39 - 2016-06-02 19:06 - 0463376 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\OMCHEbGVYPfX 
 2016-06-12 17:39 - 2016-06-02 19:06 - 0048657 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\SDYhGPIUgDTcPZQMTXa 
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

WaZiGii Messages postés 3 Date d'inscription dimanche 27 novembre 2016 Statut Membre Dernière intervention 23 juillet 2020 4 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
Modifié par WaZiGii le 1/12/2016 à 14:46

Merci énormément !
J'ai suivi tes étapes et au redémarrage, plus d'invité de commande ! Disparue !

Je te fournie le fichier Fixlog.txt

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-11-2016
Exécuté par WaZiGii6938 (01-12-2016 14:42:38) Run:1
Exécuté depuis C:\Users\WaZiGii6938\Desktop
Profils chargés: WaZiGii6938 (Profils disponibles: WaZiGii6938 & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {AAF6B473-8217-4067-946B-6864F7B3A328} - System32\Tasks\Client Monitor => C:\ProgramData\Client\client.exe [2015-10-23] (Microsoft Corporation) <==== ATTENTION
HKLM-x32\...\Run: [MyBackupPC] => C:\Program Files (x86)\Rerware\MyBackupPC\mybackuppc.exe [170791 2015-11-02] (Rerware LLC)
C:\Program Files (x86)\Rerware
2016-06-12 17:46 - 2015-10-23 17:47 - 0053248 __RSH (Microsoft Corporation) C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe
2016-06-12 17:46 - 2009-06-10 22:23 - 0000181 _____ () C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe.config
2016-06-12 17:39 - 2016-06-02 19:06 - 0463376 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\OMCHEbGVYPfX
2016-06-12 17:39 - 2016-06-02 19:06 - 0048657 ___SH () C:\Users\WaZiGii6938\AppData\Roaming\SDYhGPIUgDTcPZQMTXa
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AAF6B473-8217-4067-946B-6864F7B3A328}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAF6B473-8217-4067-946B-6864F7B3A328}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Client Monitor => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Client Monitor" => clé supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\MyBackupPC => valeur non trouvé(e).
C:\Program Files (x86)\Rerware => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\clientmonitor.exe.config => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\OMCHEbGVYPfX => déplacé(es) avec succès
C:\Users\WaZiGii6938\AppData\Roaming\SDYhGPIUgDTcPZQMTXa => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3120692301-1937463650-4062986715-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3120692301-1937463650-4062986715-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 83006 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5477926 B
Java, Flash, Steam htmlcache => 190251041 B
Windows/system/drivers => 44189663 B
Edge => 317 B
Chrome => 20889856 B
Firefox => 8038751 B
Opera => 265080281 B

Temp, IE cache, history, cookies, recent:
Default => 7680 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 5454 B
NetworkService => 128 B
WaZiGii6938 => 15797799 B
DefaultAppPool => 0 B

RecycleBin => 979906 B
EmptyTemp: => 525.3 MB données temporaires supprimées.

================================

Le système a dû redémarrer.

==== Fin de Fixlog 14:42:55 ====

Réponse 2 / 3

bazfile Messages postés 53586 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 avril 2024 18 455
27 nov. 2016 à 19:12

Bonsoir,

LOGICIELS UTILISÉS : 
- Malwarebytes Anti Malware 
- ADWCleaner 
- RogueKiller 
- CCleaner 
- Avast 
- DarkComet 
- JRT 
- RefreshPC 
- Outil de nettoyage de disque Windows 
- Auslogics DiskDefrag

C'est peut-être cela le problème.

WaZiGii
27 nov. 2016 à 19:22

Bonsoir, les logiciels cité sont ceux avec les quels j'ai essayé de résoudre le problème.

DarkComet c'est un RAT...
Ché pas ce que tu as essayé de faire avec ça .... mais bon....

WaZiGii > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
27 nov. 2016 à 19:29

Je viens de le supprimer. Mais le problème ne viens pas de là étant donné que je l'ai téléchargé il y 2-3 jours mais que l'invité de commande est là depuis plusieurs mois.

Réponse 3 / 3

WaZiGii Messages postés 3 Date d'inscription dimanche 27 novembre 2016 Statut Membre Dernière intervention 23 juillet 2020 4
30 nov. 2016 à 19:30

Newsletters