Fenêtre cmd s'ouvre et disparait instantanément de temps en temps...

Fenêtre cmd s'ouvre et disparait instantanément de temps en temps... - Win 10 - Windows & Software

Marsh Posté le 29-05-2017 à 18:08:39    

Bonjour,
 
Je me permets de vous contacter car j'ai depuis hier soir une fenêtre invité de commande qui s'ouvre et se ferme aussitôt (je n'ai pas le temps de voir si quelque chose est marqué dedans) de façon intermittente. Je n'ai jamais eu ce phénomène avant hier soir. La seule modification effectuée sur mon ordinateur depuis hier soir concerne l'installation du logiciel Marmiton de Malekal, afin de bloquer les scripts potentiellement malicieux.
Je ne sais pas si cela peut venir de là. J'ai bien tenté de regardé via l'observateur d’événements de Windows aux moment où je les constate, mais je m'y perds.
 
Je suis à votre disposition pour de plus amples renseignements.
 
Merci d'avance pour le temps que vous accorderez à ma requête  :)

Reply

Marsh Posté le 29-05-2017 à 18:08:39   

Reply

Marsh Posté le 29-05-2017 à 18:22:10    

tiens, j'ai eu exactement la même chose il y a quelque jour
 
le truc est jamais revenu apres un reboot


---------------
#mais-chut
Reply

Marsh Posté le 29-05-2017 à 18:27:34    

Bonjour z_cool,
 
Justement j'ai remis mon ordinateur sous tension en rentrant du boulot tout à l'heure, et cela continue. Depuis son démarrage il y a moins d'une heure, ça c'est déjà produit deux fois.

Reply

Marsh Posté le 29-05-2017 à 18:42:35    

parachuteman a écrit :

Bonjour z_cool,
 
Justement j'ai remis mon ordinateur sous tension en rentrant du boulot tout à l'heure, et cela continue. Depuis son démarrage il y a moins d'une heure, ça c'est déjà produit deux fois.


 
Normlalement si Marmiton bloque un script .vbs, (VBS / WSH) il s'ouvre et indique le problème (mais il ne bloque pas le javascript à travers les navigateurs comme firefox. Pour cela il faut utiliser "No script" )
De plus pour qu'un script fonctionne il faut que Windows Script Host soit activé (Marmiton l'indique)
 
Dans l'absolu il vaut mieux désactiver Windows Script Host et l'activer si besoin est via Marmiton ou l'activer et se créer une liste blanche
 
Ca c'est la base de fonctionnement de Marmiton
 

Maintenant ton problème :

 
Jette un oeil dans :  
 
Panneau de configuration, Outils d'administration, Planificateur de tâches
 
En sélectionnant Bibliothèque du Planificateur de tâches, as-tu des choses d'inscrites sur le menu central ? (comme Ccleaner par ex qui peut faire du nettoyage programmé au démarrage)
 
 
Sinon dans la majorité des cas (voir le passage au sujet de MAJ de windows et de vider la  file d’attente BITS.) :  
 
https://www.malekal.com/supprimer-f [...] d-windows/


Message édité par Profil supprimé le 29-05-2017 à 18:57:52
Reply

Marsh Posté le 29-05-2017 à 18:52:16    

Bonjour AmigaOnly,
 
J'ai déjà désactivé Windows Script Host via Marmiton et j'ai pu tester son bon fonctionnement via le script test fourni dans la FAQ (je l'ai même bloqué depuis quelque temps déjà par le pare feu de Windows suite à de la lecture sur le site de Malekal).  ;)  
 
Concernant le Planificateur de tâches, et bien je n'ai rien d'inhabituel : des tâches liées à NVIDIA, à google update, acrobat reader updater et bitdefender.
 
Je viens d'aller voir sur le lien que tu m'as donné, et sur le site de Toolslib, je vois que WinUpdateFix est uniquement compatible avec XP, Vista et 7. J'ai windows 10. Cela risque-t-il de poser un problème ?

Message cité 1 fois
Message édité par parachuteman le 29-05-2017 à 18:59:36
Reply

Marsh Posté le 29-05-2017 à 19:01:38    

parachuteman a écrit :

Bonjour AmigaOnly,

 

J'ai déjà désactivé Windows Script Host via Marmiton et j'ai pu tester son bon fonctionnement via le script test fourni dans la FAQ (je l'ai même bloqué depuis quelque temps déjà par le pare feu de Windows suite à de la lecture sur le site de Malekal).  ;)

 

Concernant le Planificateur de tâches, et bien je n'ai rien d'inhabituel : des tâches liées à NVIDIA, à google update, acrobat reader updater et bitdefender.

 

Google update...  cela peut etre désactivé  (je conseille d'utiliser Autoruns https://technet.microsoft.com/fr-fr [...] 63902.aspx  pour voir l'intégralité des taches programmées et services (qui ne s'affichent pas tous en plus via la commande services.msc)
Puis tant qu'à faire change Adobe reader par quelque chose de moins nocif :-)    http://www.pdfxchange.fr/

 

Sinon reste comme je le disais le lien avec une mise à jour comme indiqué en fin de message


Message édité par Profil supprimé le 29-05-2017 à 19:02:37
Reply

Marsh Posté le 29-05-2017 à 19:28:58    

Très bien j'ai effacé la file d'attente BITS via WinUpdateFix. En espérant que ça résolve ce désagrément. Au cas où j'ai installé ProcMon, comme ça si ça continue je pourrais tracker ce qui ouvre l'invité de commande.
 
Merci du coup de main, je reviendrai si ça persiste  :jap:

Reply

Marsh Posté le 29-05-2017 à 23:27:13    

Bon et bien le problème persiste. J'ai noté l'heure à laquelle est apparu la dernière fenêtre cmd et j'ai jeté un oeil dans ProcMon qui était ouvert. A l'heure d'apparition j'ai pu voir le processus conhost.exe se lancer, avec un Processus Parent ayant un PID de 11052 (apparemment ce serait officebackgroundtaskhandler qui aurait ce PID). S'en est suivi de nombreuses lignes avec conhost.exe toutes les unes à la suite des autres...
 
Serait-il possible de vous faire parvenir ce relevé de ces processus, car je dois avouer que j'ai du mal a y voir clair. D'autant que j'ai toujours eu office depuis de nombreux mois, sans avoir ce souci. Si oui,par quel site pourrais-je transmettre ces infos ?
 
Se pourrait-il que ce soit lié à Marmiton avec lequel j'ai configuré un blocage des macros pour Office ?

Reply

Marsh Posté le 30-05-2017 à 00:08:25    

parachuteman a écrit :

Bon et bien le problème persiste. J'ai noté l'heure à laquelle est apparu la dernière fenêtre cmd et j'ai jeté un oeil dans ProcMon qui était ouvert. A l'heure d'apparition j'ai pu voir le processus conhost.exe se lancer, avec un Processus Parent ayant un PID de 11052 (apparemment ce serait officebackgroundtaskhandler qui aurait ce PID). S'en est suivi de nombreuses lignes avec conhost.exe toutes les unes à la suite des autres...
 
Serait-il possible de vous faire parvenir ce relevé de ces processus, car je dois avouer que j'ai du mal a y voir clair. D'autant que j'ai toujours eu office depuis de nombreux mois, sans avoir ce souci. Si oui,par quel site pourrais-je transmettre ces infos ?
 
Se pourrait-il que ce soit lié à Marmiton avec lequel j'ai configuré un blocage des macros pour Office ?



Non pas de lien  avec Marmiton c'est lié à des taches programmées
(tu n 'as pas lancé autoruns ? parce que du fait que tu disais n'avoir que des tâches annexes je m'étais orienté sur autre chose)
 
 
Essaie cette méthode
 
__________________
There are two scheduled tasks un Task Scheduler Library/Microsoft/Office:
 
OfficeBackgroundTaskHandlerLogon that runs when a user logs on
and
OfficeBackgroundTaskHandlerRegistration that runs every hour
 
Both were set to run under the "Users" account group. Since I didn't notice any popup at logon, I set OfficeBackgroundTaskHandlerRegistration to run under the "System" account and the hourly popups are now hidden. (Select the task, right click, Properties, click on 'Change User Or Group', type 'System', OK twice and voila.)
 
This is not the best solution from a security point of view, but until MS fixes it, it works for me.


Message édité par Profil supprimé le 30-05-2017 à 00:12:52
Reply

Marsh Posté le 30-05-2017 à 00:27:31    

En effet, je viens de regarder les taches programmées dans Autoruns, ces deux taches liées à Office apparaissent, en rouge d'ailleurs (ce sont les seules dans ce cas). Et en effet dans le planificateur de tâche elles se lancent en effet sous le compte utilisateur. Je vais effectuer la méthode que tu m'as donnée et je te tiendrai au courant demain soir de l'évolution de la situation.
 
Merci pour ton aide et bonne nuit à toi  :)

Reply

Marsh Posté le 30-05-2017 à 00:27:31   

Reply

Marsh Posté le 30-05-2017 à 18:37:24    

Alors depuis l'allumage de l'ordinateur aujourd'hui, je n'ai pas constaté la réapparition de la fenêtre cmd. La manipulation que tu m'as conseillée semble marcher. Merci du tuyau !  :)  
 
Maintenant que j'y pense, j'aimerai aussi en profiter pour faire un check up de mon PC en terme de sécurité. En effet, cela fait quasiment deux ans que mon système tourne, sans que j'ai vérifié quoi que ce soit (en même temps je compte pas mal sur mes navigateurs blindés avec Noscript et Ghostery pour faire une barrière supplémentaire avec l'antivirus.) Mais je me dis que de manière préventive, je devrais quand même vérifier de temps en temps, donc j'en profite.
 
Ainsi, voici ci-joint les scans que j'ai effectué :
 
ZHPDiagtxt ==> http://www.cjoint.com/c/GEEqItoOZnq
FRST.txt ==> http://www.cjoint.com/c/GEEqJZYiELq
Addition.txt ==> http://www.cjoint.com/c/GEEqKPeZpyq
 
Merci d'avance !  :)

Reply

Marsh Posté le 30-05-2017 à 19:30:59    

parachuteman a écrit :

Alors depuis l'allumage de l'ordinateur aujourd'hui, je n'ai pas constaté la réapparition de la fenêtre cmd. La manipulation que tu m'as conseillée semble marcher. Merci du tuyau !  :)

 

Maintenant que j'y pense, j'aimerai aussi en profiter pour faire un check up de mon PC en terme de sécurité. En effet, cela fait quasiment deux ans que mon système tourne, sans que j'ai vérifié quoi que ce soit (en même temps je compte pas mal sur mes navigateurs blindés avec Noscript et Ghostery pour faire une barrière supplémentaire avec l'antivirus.) Mais je me dis que de manière préventive, je devrais quand même vérifier de temps en temps, donc j'en profite.

 

Ainsi, voici ci-joint les scans que j'ai effectué :

 

ZHPDiagtxt ==> http://www.cjoint.com/c/GEEqItoOZnq
FRST.txt ==> http://www.cjoint.com/c/GEEqJZYiELq
Addition.txt ==> http://www.cjoint.com/c/GEEqKPeZpyq

 

Merci d'avance !  :)

 

C'est réglé tant mieux :-)  (Edit : J'avais pas fais gaffe mais si tu avais lu le lien malekal, cité plus haut, tu aurais vu l'astuce du "OfficeBackgroundTaskHandlerXXX""

 

Sinon pour le scan, tout est propre

 

Par contre comme je le disais dans un post précédent, je conseille de virer adobe reader par pdf X reader (nettement plus puissant et rapide, et surtout moins la cible des malwares), d'autant plus que tu as un plugin de foxit reader qui traine sur un navigateur
De virer les services google update en arrière plan (cela ne sert à rien d'autant plus que les Maj sont rares et peuvent se faire manuellement)

 

Puis vire Ghostery et remplace le par : https://disconnect.me/   et ajoute Ublock origin

 

Ce que j'ai écris ailleurs :

 

"Qu'es-ce que Ghostery ?

 

" Ghostery détecte les mouchards, les bogues Web, les pixels et les balises placés sur les pages Web par Facebook, Google et plus de 500 autres réseaux publicitaires, fournisseurs de données sur le comportement et éditeurs Web, toutes ces sociétés étant intéressées par votre activité."

 

Ghostery est fait pour protéger les régies publicitaires et autres trackers, et non pas les internautes (la protection des internautes est un effet collatéral du fonctionnement principal de Ghostery)

 

C'est subtil mais c'est normal, lisez-plutôt la suite :

 

Ghostery est l'outil de Evidon Better Advertising qui est une organisation d'Intelligence (espionnage) économique au profit de ses membres. Les annonces publicitaires elles-mêmes ne sont pas bloquées par Ghostery et doivent être bloquées avec uBlock Origin"

 



Message édité par Profil supprimé le 30-05-2017 à 19:34:16
Reply

Marsh Posté le 30-05-2017 à 20:52:43    

Ok j'ai écouté tes conseils : j'ai viré Adobe Reader ainsi que Ghostery, et désactivé les services google update.
 
Merci beaucoup de ton aide. Bonne soirée à toi !  :hello:

Reply

Marsh Posté le 30-05-2017 à 21:44:41    

Bon finalement juste une dernière chose : je viens de remarquer dans le centre de sécurité et maintenance de windows le message suivant : "Fin de l'installation du logiciel de Périphérique" suivi de "un ou plusieurs périphériques connectés à votre PC requièrent des logiciels supplémentaires pour fonctionner correctement".
 
Le truc c'est que je n'ai jamais eu de message de ce type récemment. Je ne sais pas quel périphérique ça concerne, ni depuis quand. Ca plus le fait qu'il demande les droits administrateurs pour installer ce qu'il veut me fait hésiter. Je peux installer en toute tranquillité ? Ou dans le doute je n'y touche pas ? Sachant que je n'ai pas de moyen de savoir ce que ça concerne...
 
NB : Ah et au fait Ublock origin et disconnect se bouffent entre eux sur certains sites internet (message "erreur au niveau des extensions" de la part de Chrome, avec des requêtes réseaux interceptées par Ublock à la place de disconnect dans les détails de l'erreur). Ca peut poser problème ?

Reply

Marsh Posté le 30-05-2017 à 23:15:27    

parachuteman a écrit :

Bon finalement juste une dernière chose : je viens de remarquer dans le centre de sécurité et maintenance de windows le message suivant : "Fin de l'installation du logiciel de Périphérique" suivi de "un ou plusieurs périphériques connectés à votre PC requièrent des logiciels supplémentaires pour fonctionner correctement".

 

Le truc c'est que je n'ai jamais eu de message de ce type récemment. Je ne sais pas quel périphérique ça concerne, ni depuis quand. Ca plus le fait qu'il demande les droits administrateurs pour installer ce qu'il veut me fait hésiter. Je peux installer en toute tranquillité ? Ou dans le doute je n'y touche pas ? Sachant que je n'ai pas de moyen de savoir ce que ça concerne...

 

NB : Ah et au fait Ublock origin et disconnect se bouffent entre eux sur certains sites internet (message "erreur au niveau des extensions" de la part de Chrome, avec des requêtes réseaux interceptées par Ublock à la place de disconnect dans les détails de l'erreur). Ca peut poser problème ?

 

Pour le comportement de Ublock et disconnect, je ne peux te dire je n'utilise pas ce "truc" appelé Chrome :-) mais firefox où je n'ai pas noté de problèmes (le pb vient de Chrome depuis 2016  https://github.com/gorhill/uBlock/issues/1170  )
Néanmoins désactive : "Privacy" (confidentialité) dans Ublock Origin, étape par étape (vu qu'il y a une basic liste de disconnect) Pour les autres je ne sais si c'est commun ou pas

 

Pour ceux qui pensent qu'ils font la meme chose

 

https://www.diffchecker.com/386c367m

 

Ah tiens j'avais oublié :  https://www.eff.org/fr/privacybadger

 

Ca évitera les trackers tiers

 


Pour les maj de périph.. je ne sais, mais vu que Win10 travaille dans ton dos et s'occupe de certaines MAJ tout seul cela peut être venir de là. Il doit y avoir obligatoirement trace de ce qu'il fait (désolé je ne peux en dire plus j'ai gardé mon WIn7)

 


Edit : Il y a une liste aussi de '"malware" commune entre Ublock et Disconnect. A décocher


Message édité par Profil supprimé le 30-05-2017 à 23:21:30
Reply

Marsh Posté le 31-05-2017 à 00:00:44    

Ok très bien, merci pour les informations.
 
Et finalement j'ai crié victoire trop vite, une fenêtre cmd vient de resurgir et disparaitre instantanément... Et je n'avais ProcMon d'ouvert. Je regarderai demain à nouveau, pour voir si ça vient toujours de office.
 
Bonne nuit !

Reply

Marsh Posté le 31-05-2017 à 07:50:19    

parachuteman a écrit :

Ok très bien, merci pour les informations.
 
Et finalement j'ai crié victoire trop vite, une fenêtre cmd vient de resurgir et disparaitre instantanément... Et je n'avais ProcMon d'ouvert. Je regarderai demain à nouveau, pour voir si ça vient toujours de office.
 
Bonne nuit !


 
Elle va etre facile maintenant à isoler vu que tu connais la manip :-)
Vu que tu avais des MAJ en arrière plan, regarde le lien Malekal déjà fourni
 
Puis se rappeler que Microsoft, suivant le type de MAJ, peut réactiver certains services, fonctionnalités dans ton dos (sans compter ce qui est lié à la telemetry, que l'on peut constater avec Spybot antibeacon, Win10 spy disabler etc)

Reply

Marsh Posté le 31-05-2017 à 19:01:11    

Bon comme tu l'as dit j'ai pu isoler le coupable rapidement cette fois : c'était la tâche planifiée de officebackgroundtaskhandlerlogon, que je n'avais pas modifiée. Ce qui est étrange c'est que dans la description il est indiqué qu'elle est censée se lancer au démarrage de la session et hier soir elle s'est lancée vers minuit, soit plusieures heures après que je me sois connecté sur ma session... Bizarre. Mais au moins le coupable est connu.
 
Finalement j'ai suivi la mise à jour du tuto de Malekal sur les fenêtres cmd, et j'ai désactivé les deux tâches planifiées. Au moins elles devraient me laisser tranquille. Mais j'ai pu voir que beaucoup de personnes étaient touchées par ce souci. C'est quand même étonnant que Microsoft n'ait pas réglé ce problème pendant que les Insider l'avaient signalé...
 
En effet PDF X Changer est plus rapide ! C'est un bon logiciel ! (mis à part la toolbar Ask à virer lors de l'installation  :non: )
 
En tout cas merci de ton aide et j'espère que cette fois ce problème est définitivement résolu !

Reply

Marsh Posté le 31-05-2017 à 19:12:50    

parachuteman a écrit :


 
En effet PDF X Changer est plus rapide ! C'est un bon logiciel ! (mis à part la toolbar Ask à virer lors de l'installation  :non: )


 
Elle est bien signalée à l'installation (heureusement :-) mais par la suite lors des MAJ ce ne sera plus installé ou proposé
En plus j'oublie à chaque fois que le programme a changé de nom de PDF X Change Vierwer  en PDF X Change Editor : https://www.tracker-software.com/pr [...] nge-editor
Il est rapide mais pas que.
Il a plein d'outils (seulement 15% sont payants) et au moins il intègre un convertisseur vers différents formats dont Word (sauf *.pptx and *.docx. qui sont payants)

Reply

Marsh Posté le 31-05-2017 à 19:40:40    

Merci bien je viens de le remplacer par PDF X Change Editor (Et pas de Ask à l'installation sur celui-ci  :) ).
 
Tiens je m'intéresse de près à l'extension uMatrix présentée par Malekal ici : https://www.malekal.com/umatrix/
 
Elle est du même éditeur que uBlock Origin. Elles se complémentent ou elles risques de se parasiter entre elles ? Car j'ai l'impression que uMatrix c'est pareil que uBlock Origin mais pour des utilisateurs plus avertis.

Message cité 1 fois
Message édité par parachuteman le 31-05-2017 à 19:41:17
Reply

Marsh Posté le 31-05-2017 à 20:37:29    

parachuteman a écrit :

Merci bien je viens de le remplacer par PDF X Change Editor (Et pas de Ask à l'installation sur celui-ci  :) ).

 

Tiens je m'intéresse de près à l'extension uMatrix présentée par Malekal ici : https://www.malekal.com/umatrix/

 

Elle est du même éditeur que uBlock Origin. Elles se complémentent ou elles risques de se parasiter entre elles ? Car j'ai l'impression que uMatrix c'est pareil que uBlock Origin mais pour des utilisateurs plus avertis.

 

En fait c'est effectivement très puissant, mais aussi pénible à configure qu'un HIPS parce qu'il ne fait pas QUE bloquer comme le fait Ublock Origin, mais il a des modules complémentaires (Référant HTTP par ex, une liste d'adresse à bannir, via le ficher Hosts etc)
Si on aime la bidouille, mettre les mains dans le cambouis,  et si on a le temps, on peut effectivement l'adopter
Je ne le conseille jamais, car les gens veulent aller au plus simple : On installe, et on oublie. Pour cela Ublock origin avec les autres modules (surtout "no script"' qui est primordial) font bien leur boulot

 

Je l'avais testé à une époque, mais par contre je ne l'ai jamais confronté avec Ublock Origin (j'évite les programmes qui se superposent et font parfois le meme travail)


Message édité par Profil supprimé le 31-05-2017 à 20:38:45
Reply

Marsh Posté le 31-05-2017 à 21:05:35    

Oui j'ai un peu testé, j'ai pu constater sa complexité. Je pense que je vais en rester au combo NoScript / uBlock Origin sur Firefox et ScriptSafe et uBlock Origin sur chrome. Ca me parait déjà pas mal  :)  
 
Bon j'ai encore une question (désolé je suis curieux  :D ) : je viens de voir ça :https://www.malekal.com/comment-act [...] windows10/
 
Est ce que c'est viable ? Je veux dire est-ce que Windows fonctionnerait normalement, et les mises à jour windows risqueraient-elles de mettre le boxon ?

Message cité 1 fois
Message édité par parachuteman le 31-05-2017 à 21:06:22
Reply

Marsh Posté le 31-05-2017 à 22:08:56    

je confirme j'ai moi aussi depuis quelques jour une fenetre CMD qui s'ouvre et se ferme tres rapidement

Reply

Marsh Posté le 01-06-2017 à 07:18:03    

parachuteman a écrit :

Oui j'ai un peu testé, j'ai pu constater sa complexité. Je pense que je vais en rester au combo NoScript / uBlock Origin sur Firefox et ScriptSafe et uBlock Origin sur chrome. Ca me parait déjà pas mal  :)  
 
Bon j'ai encore une question (désolé je suis curieux  :D ) : je viens de voir ça :https://www.malekal.com/comment-act [...] windows10/
 
Est ce que c'est viable ? Je veux dire est-ce que Windows fonctionnerait normalement, et les mises à jour windows risqueraient-elles de mettre le boxon ?


 
Aucun risque autre qu'une mauvaise manipulation de l'éditeur de stratégie  
Il ne s'agit pas de forcer un windows à devenir une autre version, mais juste à activer une fonctionnalité
D'ailleurs la lecture du fichier est explicite
______________
 
@echo off
pushd "%~dp0"
 
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt
 
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"
pause

Reply

Marsh Posté le 01-06-2017 à 23:23:35    

OK merci de l'info. Et merci beaucoup pour ton aide.  :jap:  
 Ce topic peut être clos, pour moi du moins.  

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed