Fenêtre cmd exe furtive et récurente

Bonjour

On va commencer par un diagnostic du PC :
 

Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.

https://pjjoint.malekal.com/files.php?read=20230130_e10r14d12w7m10 

https://pjjoint.malekal.com/files.php?id=20230130_i15t8w105n14 

J'avais pourtant bien attendu la fin de la recherche mais bon, le revoila : https://pjjoint.malekal.com/files.php?id=FRST_20230130_s8g14v9z8y15 

Ton pc est très infecté, une fois la désinfection terminée change tous tes mots de passe en ligne ils ont pu être dérobés.

Désinstalle Spybot - Search & Destroy il ne sert strictement à rien.

Pour la désinfection de ton pc fait ce qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
AlternateDataStreams: C:\Users\chris\Documents\Timbres-electroniques-I170830413680.pdf:xdg.origin.url [81]
FirewallRules: [{E9DB5D2D-D412-4205-9588-FB1E52D3A464}] => (Allow) C:\Users\chris\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{DA0AA4CA-0E40-4B8E-BE2D-E0C8F2E902FB}] => (Allow) C:\Users\chris\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [TCP Query User{E4AD3B2F-6FD7-4DAF-A547-7C091E61BB42}C:\users\chris\appdata\local\molotov\app-4.4.4\molotov.exe] => (Allow) C:\users\chris\appdata\local\molotov\app-4.4.4\molotov.exe => Pas de fichier
FirewallRules: [UDP Query User{AA316FBB-B494-4BA7-B17B-1CEAD60D1F6E}C:\users\chris\appdata\local\molotov\app-4.4.4\molotov.exe] => (Allow) C:\users\chris\appdata\local\molotov\app-4.4.4\molotov.exe => Pas de fichier
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
Task: {ACE4F531-9EB3-490D-86B9-54A8A00454EF} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe /DeviceScanR6 (Pas de fichier)
Task: {D0665750-1939-4839-AAB3-37986ABA6C61} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /f (Pas de fichier)
Task: {D7FDF84F-5D46-46DE-9633-FC84682BA288} - System32\Tasks\Opera scheduled Autoupdate 1548500220 => C:\Users\chris\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {E6E40300-8140-4E3B-BD43-C14B3AEB2113} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Pas de fichier)
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
S3 glavcam; \SystemRoot\system32\DRIVERS\glavcam.sys [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
Task: {4C05FD63-9812-4F6D-89EC-11E87806AA46} - System32\Tasks\VSPXService => C:\Users\chris\AppData\Roaming\YSPX\v3-24\rhc.exe [1536 2022-11-06] () [Fichier non signé]
Task: {4C59F4E6-2101-4712-B346-9CDB24FAF129} - System32\Tasks\CnfCr0x124 => C:\Users\chris\AppData\Local\Media\Conf\v13-17\rnews.exe [12828672 2023-01-18] () [Fichier non signé]
Task: {4DE65AB3-2B75-4A66-8723-A1688E643EF5} - System32\Tasks\CnfCr0x123 => C:\Users\chris\AppData\Local\Microsoft\Conf\v13-17\rnews.exe [23913872 2022-04-17] (MVO Software -> ) [Fichier non signé]
Task: {5D0E733A-06CC-4BF0-BD2D-5D2E4181862A} - System32\Tasks\CnfCr0x122 => C:\Users\chris\AppData\Local\Mozilla\Conf\v13-17\rnews.exe [12828672 2023-01-18] () [Fichier non signé]
Task: {71A651CA-CA50-45FE-8356-682E7B66813C} - System32\Tasks\CnfCr0x121 => C:\Users\chris\AppData\Local\Google\Conf\v13-17\rnews.exe [12828672 2023-01-18] () [Fichier non signé]
Task: {72592240-A5CF-4049-B5DB-91CFA37324C8} - System32\Tasks\PxService => C:\Users\chris\AppData\Local\Packages\Paon\v1-5\paon.exe [13776272 2021-11-03] (PAN Software -> ) [Fichier non signé]
Task: {952887E0-5FCA-4C03-8345-9FC6DD785252} - System32\Tasks\VSPXService_LG => C:\Users\chris\AppData\Roaming\YSPX\v3-24\WDCloud.exe [33389952 2023-01-11] (APTX Software -> ) [Fichier non signé]
Task: {AB0E7DB2-B53D-4438-B50D-5E04541CA16C} - System32\Tasks\CnfCr0x120 => C:\Users\chris\AppData\Local\Packages\Conf\v13-17\rnews.exe [12828672 2023-01-18] () [Fichier non signé]
Task: {34B88CD4-B77C-4C2A-A47A-273661CDCC80} - System32\Tasks\APTXService_LG => Command(1): rhc.exe -> php.exe include.php
Task: {34B88CD4-B77C-4C2A-A47A-273661CDCC80} - System32\Tasks\APTXService_LG => Command(2): rhc.exe -> php.exe index.php
Task: {DFC65685-B57C-46CA-9588-E6D90E17A945} - System32\Tasks\APTXService => C:\Users\chris\AppData\Local\WAAD\v2519\rhc.exe [1536 2022-11-20] () [Fichier non signé]
C:\Users\chris\AppData\Roaming\YSPX
C:\Users\chris\AppData\Local\Media\Conf\v13-17
C:\Users\chris\AppData\Local\Microsoft\Conf\v13-17
C:\Users\chris\AppData\Local\Mozilla\Conf\v13-17
C:\Users\chris\AppData\Local\Google\Conf\v13-17
C:\Users\chris\AppData\Local\Packages\Paon
C:\Users\chris\AppData\Local\Packages\Conf\v13-17
C:\Users\chris\AppData\Local\WAAD
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

A l'ouverture de Chrome, une fenètre apparait  : 

"Ehec chargement de l'extention depuis :

c/user/chris/AppData/local/Package/Paon/v1-5/addonFichier

manifeste absent ou illisible"

Après clique sur ok, démarrage de Chrome. Celane le fait pas su Firfox

Ormis cela, la fenêtre cmdexe semble avoir disparue la vilaine !

Ben si pourtant mais bon : https://pjjoint.malekal.com/files.php?id=20230131_f14c14f10s8b7 

En tous cas, merci beaucoup Bazfile pour ton aide précieuse et ta patience. Bon courage pour la suite !