Cmd.exe s'ouvre et se ferme tout seul

Résolu/Fermé
IKeroZI Messages postés 11 Date d'inscription jeudi 19 janvier 2023 Statut Membre Dernière intervention 28 mars 2024 - 19 janv. 2023 à 11:32
bazfile Messages postés 54753 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 juin 2024 - 19 janv. 2023 à 15:03

Bonjour à tous,

Depuis quelque temps, mon invite de commandes s'ouvre et se ferme tout seul, ce qui fait que quand je joue à des jeux ou regarde n'importe quelle application en pleine écran, ça la ferme et me remet au bureau...

Je ne sais pas quelle virus peux me faire, je ne trouve pas la cause ni le fichier qui pourrait être malveillant dans mon ordinateur...

Si une âme charitable pourrait m'aider, ça serait fort sympathique ! 

Merci d'avance :)

2 réponses

bazfile Messages postés 54753 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 juin 2024 18 774
19 janv. 2023 à 11:51

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.


0
IKeroZI Messages postés 11 Date d'inscription jeudi 19 janvier 2023 Statut Membre Dernière intervention 28 mars 2024
Modifié le 19 janv. 2023 à 13:53

Bonjour, 

Tout d'abord merci de ton aide,

Voici les deux rapport que tu me demande :

Addition : https://pjjoint.malekal.com/files.php?id=20230119_b12l11i13z12o5 

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20230119_q8y13n6t15s11 

Dans l'attente de ta réponse

0
bazfile Messages postés 54753 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 juin 2024 18 774
19 janv. 2023 à 13:51

Ton pc est infecté par un trojan miner, change tous tes mots de passe en ligne ils ont pu être dérobés (email, réseaux sociaux, login de sites bancaires etc etc....).

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {2956BBA4-48A0-4244-83AC-FBED31D8BC9D} - System32\Tasks\Microsoft\Windows\DirectX\lsassn.exe => C:\Windows\IME\lsassn.exe [40082432 2023-01-18] (Microsoft Corporation) [Fichier non signé] [Fichier en cours d'utilisation]
Task: {3FADDF98-5945-4ED8-A232-4FCA639F4C8E} - System32\Tasks\Microsoft\Windows\DirectX\Registry => C:\Windows\ImmersiveControlPanel\RegistryManager.exe [12734976 2023-01-18] (Microsoft Corporation) [Fichier non signé]
Task: {7B3B75D8-48C1-4B41-89A9-80F7A3A66C36} - System32\Tasks\Microsoft\Windows\DirectX\tu => C:\Windows\addins\tu.exe [7203328 2023-01-18] (Microsoft Corporation) [Fichier non signé]
Task: {87D01143-BFDC-4962-BFF2-3FBCCB1ACD69} - System32\Tasks\Firefox Default Browser Agent 631BE366E3E56B59 => C:\Users\Admin\AppData\Roaming\tjgrgrb [56368 2022-10-12] (Microsoft Corporation -> Microsoft Corporation)
Task: {F37C598E-9061-45E0-B457-CC8CDA9D465E} - System32\Tasks\Microsoft\Windows\DirectX\etw => C:\Windows\IME\etw\etw.exe [10035200 2023-01-18] (Microsoft Corporation) [Fichier non signé]
AlternateDataStreams: C:\Users\Admin\Documents\CI Max recto.jpeg:3or4kl4x13tuuug3Byamue2s4b [83]
AlternateDataStreams: C:\Users\Admin\Documents\CI Max recto.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Admin\Documents\CI Max verso.jpeg:3or4kl4x13tuuug3Byamue2s4b [83]
AlternateDataStreams: C:\Users\Admin\Documents\CI Max verso.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
FirewallRules: [{80f5ecfa-75cc-4d54-8a9e-633747efb50d}] => (Allow) C:\Windows\Help\Windows\MsMpEng.exe => Pas de fichier
FirewallRules: [{924cbb12-4bf7-4e0c-901b-caa9af799134}] => (Allow) C:\Windows\Help\Windows\MsMpEng.exe => Pas de fichier
FirewallRules: [{f8441277-4a0b-4df7-9b88-87ee3cec9b13}] => (Allow) C:\Windows\Help\Windows\McMpEng.exe => Pas de fichier
FirewallRules: [{af0e37be-691f-4a67-ba93-d5254501aec9}] => (Allow) C:\Windows\Help\Windows\McMpEng.exe => Pas de fichier
FirewallRules: [{dca73e6d-b2a6-44c8-bed0-777aca591d70}] => (Allow) C:\Windows\Help\Windows\MsMpEng.exe => Pas de fichier
FirewallRules: [{a81c6fa3-deac-41a4-b7fc-da88a27570a4}] => (Allow) C:\Windows\Help\Windows\MsMpEng.exe => Pas de fichier
FirewallRules: [{f9d2af13-e16e-49b3-a046-667454ac220d}] => (Allow) C:\Windows\Help\Windows\McMpEng.exe => Pas de fichier
FirewallRules: [{cdc64a36-2172-4fa3-ad6c-2ad0d473c532}] => (Allow) C:\Windows\Help\Windows\McMpEng.exe => Pas de fichier
FirewallRules: [{ff5a1632-ac11-4c53-99fe-631ae97e6bf4}] => (Allow) C:\Windows\Help\Windows\MsMpEng.exe => Pas de fichier
FirewallRules: [{f5b50f7e-a5c4-4168-b422-adffa8b09372}] => (Allow) C:\Windows\Help\Windows\MsMpEng.exe => Pas de fichier
FirewallRules: [{7e12c3b2-39b3-4524-b8dd-998e6f5383bc}] => (Allow) C:\Windows\Help\Windows\McMpEng.exe => Pas de fichier
FirewallRules: [{85f9aa95-47f7-408b-966c-9741355f1f94}] => (Allow) C:\Windows\Help\Windows\McMpEng.exe => Pas de fichier
C:\Windows\IME
C:\Windows\addins\tu.exe
C:\Users\Admin\AppData\Roaming\tjgrgrb
C:\Windows\Branding
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0
IKeroZI Messages postés 11 Date d'inscription jeudi 19 janvier 2023 Statut Membre Dernière intervention 28 mars 2024
Modifié le 19 janv. 2023 à 14:59

Ah mince, c'est pour ça que mon compte facebook a été piraté alors ! Ils ont publié des images terroristes dessus et mon compte s'est fait bannir directement...

Voici le Fixlog : https://pjjoint.malekal.com/files.php?id=20230119_k14y13c11p6s10 

Je vais essayer de voir si ça va mieux, je te redis ça, en tout cas merci de ton aide c'est gentil !

0
bazfile Messages postés 54753 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 juin 2024 18 774 > IKeroZI Messages postés 11 Date d'inscription jeudi 19 janvier 2023 Statut Membre Dernière intervention 28 mars 2024
Modifié le 19 janv. 2023 à 15:33

@IKeroZI StatutMembre

Vu que tu avais cette infection depuis le 29 décembre 2022 vers 17h30, ils ont eu largement le temps de te piquer tes mots de passe, si tu as commandé en ligne et utilisé ta carte bleue par prudence surveille ton compte bancaire.
 

Le fixlog est OK.
Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0