Fenêtre bleue furtive et aléatoire

Démarré par Skeudenner, Janvier 20, 2025, 19:03:01

« précédent - suivant »

Skeudenner

Bonjour,

J'ai depuis peu des fenêtres bleues furtives et aléatoires qui s'ouvrent que ce soit en surfant sur le web ou en travail local.
J'ai fait un contrôle de Windows 11 par un SFC /SCANNOW  il n'y a aucune violation d'intégrité.
J'ai fait un contrôle avec mon antivirus AVIRA il n'y a aucun virus de détecté.
J'ai fait un contrôle avec Malwarebytes il n'y a ni virus ni malware ni rootkits.
J'ai effectué un contrôle du disque C:\ avec l'outil Microsoft Safety Scanner aucun virus de nettoyé.

Je pense qu'il y a un programme qui lance cette fenêtre PowerShell aléatoire, mais je n'arrive pas à en trouver ni l'origine ni la raison.

Si vous avez des explications, ou si vous avez connu ce genre de situation, j'apprécierais votre aide.

PS: J'ai réussi à faire une capture de cette fenêtre, je la joins.

Henri42

Mise à jour des drivers
 périphériques, ça peut parfois régler le problème.

Skeudenner

Merci pour ton aide.
Je regarde cela.

Dans l'observateur d'évènements, j'ai trouvé plusieurs lignes d'erreur, toutes identiques, j'en ai fait une copie, il y a peut-être un rapport ?

ChristopheNL

Possiblement une tache programmée dans le programmateur de taches.
Panneau De controle> Systeme & Securite>Outils Windows

Skeudenner

Citation de: ChristopheNL le Janvier 20, 2025, 20:48:51Possiblement une tache programmée dans le programmateur de taches.
Panneau De controle> Systeme & Securite>Outils Windows


J'ai regardé les taches automatisées, je n'ai rien remarqué d'étrange, mais je ne suis pas un spécialiste informatique non plus...
Je vais surveiller malgré tout.
Merci

ChatOuille

Nous avions déjà remarqué que toutes les taches qui tournent ne sont pas reprises dans le gestionnaire. De mémoire, si tu as CCleaner, ce logiciel dispose d'outils pour vérifier. Regarde aussi du côté Services. Tu peux stopper ceux qui pourraient être suspects (un à la fois) mais bien prendre note pour les démarrer si cela s'avère nécessaire.

Henri42

Re... Un bon nettoyage du registre, dossier windows/temp, dossiers APPDATA/LOCAL/TEMP, et dossier Roaming. Des restes de suppression d'une application.

Ce problème est-il apparu suite à une mise à jour ou d'installation d'un soft.

Skeudenner

Merci à vous tous pour votre participation, et un grand Merci à  [at] ChristopheNL qui m'a mis sur la piste, et m'a permis de corriger le problème. :)

Comme bien souvent, c'est simple encore faut-il trouver la bonne piste, et sans les amis du forum, je continuerais mes recherches.

Christophe avait raison, il fallait aller dans le Planificateur de tâches, et en regardant l'heure à laquelle les fenêtres surgissaient, j'ai pu localiser les tâches mises en cause en consultant la colonne "Résultat de la dernière exécution" ; il y en avait quatre avec un retour d'erreur 0xfffd0000 correspondant à des tâches créées quatre jours plutôt suite à des installations de Microsoft non sollicitées (Paint, Teams, Teams personal et Copilot ). J'ai désactivé les tâches, dans un premier temps en attendant de voir si cela allait entraîner des problèmes, je les supprimerai ensuite, je n'ai plus aucune fenêtre intempestive depuis !

Merci encore au forum et à ses membres !

Skeudenner

Citation de: Henri42 le Janvier 21, 2025, 11:38:30Re... Un bon nettoyage du registre, dossier windows/temp, dossiers APPDATA/LOCAL/TEMP, et dossier Roaming. Des restes de suppression d'une application.

Ce problème est-il apparu suite à une mise à jour ou d'installation d'un soft.

C'est C:\Utilisateur\Nom\AppData\Local qui contient un dossier Temp , je suis hésitant à tout effacer dans ce dossier, même si c'est un "Temp" , car il contient des dossiers et des données faisant référence à des programmes (Adobe par exemple) ::)

Henri42

Citation de: Skeudenner le Janvier 21, 2025, 17:21:03C'est C:\Utilisateur\Nom\AppData\Local qui contient un dossier Temp , je suis hésitant à tout effacer dans ce dossier, même si c'est un "Temp" , car il contient des dossiers et des données faisant référence à des programmes (Adobe par exemple) ::)
Aucun danger, tu peux tout supprimer le contenu du dossier sans passer par la corbeille touches M+Sup. Parfois certains fichiers sont récalcitrants, tu peux les laisser. Il est bon de savoir que pour rejoindre APPDATA, pas besoin de passer par l'autorisation des fichiers cachés et tout le tralala, il suffit d'indiquer le chemin dans le champ d'adresse de l'explorateur Windows, à partir de ton dossier profile utilisateur.

Skeudenner

Citation de: Henri42 le Janvier 21, 2025, 17:31:56Aucun danger, tu peux tout supprimer le contenu du dossier sans passer par la corbeille touches M+Sup. Parfois certains fichiers sont récalcitrants, tu peux les laisser. Il est bon de savoir que pour rejoindre APPDATA, pas besoin de passer par l'autorisation des fichiers cachés et tout le tralala, il suffit d'indiquer le chemin dans le champ d'adresse de l'explorateur Windows, à partir de ton dossier profile utilisateur.

OK Merci  :)

ChristopheNL


Skeudenner

Bonjour,
Je reviens solliciter votre aide, car je suis toujours confronté à mon problème de fenêtre bleue furtive de PowerShell

Sur la façon dont le phénomène intervient :
Au démarrage du PC, dans le gestionnaire des tâches, rubrique "détails", il n'y a  il n'y a aucun programme Powershell en exécution.
Plus tard, plus d'une heure après le démarrage du PC, cette fenêtre bleue apparaît, et dans la rubrique "détails" du gestionnaire de tâches, je trouve 6 process powershell.exe avec des PID différents en cours d'exécution et la description indique Windows PowerShell.
J'ai fait une capture écran des tâches actives dans le planificateur de tâches

Sivous avez une solution, je suis preneur, car si cela n'empêche pas l'ordinateur de fonctionner, c'est assez pénible, et tout réinstaller pour ce genre de problème ne m'enchante pas du tout...

andreP

Personnellement, si ce PC est sous Windows 10/11 je commencerais par désinstaller Avira (Windows Defender est aussi efficace) puis désinstaller ou à minima désactiver les services pour Dashboard, HardDisk Sentinel et SamsungMagician...
André

ChatOuille

Citation de: Henri42 le Janvier 21, 2025, 17:31:56Il est bon de savoir que pour rejoindre APPDATA, pas besoin de passer par l'autorisation des fichiers cachés et tout le tralala, il suffit d'indiquer le chemin dans le champ d'adresse de l'explorateur Windows, à partir de ton dossier profile utilisateur.
Intéressante info que j'ai découvert par hasard il n'y a pas longtemps. Pas pour AppData, mais pour ces dossiers mystérieux cachés de Microsoft.
Pour les fichiers Temp, je pense que CCleaner le fait automatiquement. Je n'ai que les fichiers récents. Jamais de problème.

Skeudenner

Bonjour,
Le problème se manifestait par une fenêtre de PowerShell, j'ai donc mis les mains dans le cambouis de powershell.exe, cela m'a demandé beaucoup de temps pour appréhender les manipulations nécessaires pour rechercher les process en cause, je les ai localisés et supprimés ; en plus d'un résultat satisfaisant, je n'ai pas eu la fenêtre bleue du matin et des process lancés de façon inattendue, j'ai appris à me servir de PowerShell...

ChatOuille

Peux-tu partager tes manips ? On apprendrait quelque-chose.

Skeudenner

ATTENTION !
Avant toute chose, il est obligatoire de :
- Procéder à une image du disque système
- Faire un point de restauration
- Faire une sauvegarde du registre
Être conscient que des manipulations peuvent affecter dangereusement des programmes essentiels, et que dans le doute, il est préférable de s'abstenir.
Ces manipulations sont à titre informatif, libre à chacun de les utiliser sous sa propre responsabilité et de vérifier si elles sont adaptées au problème à résoudre.
Le préambule est certes un peu long, mais indispensable avant de se lancer dans des opérations hasardeuses dont je ne saurais être tenu pour responsable.

Liens vers des commandes utilisées :
Get-process : https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-process?view=powershell-7.5
Get-Scheduledtask  :  https://learn.microsoft.com/en-us/powershell/module/scheduledtasks/get-scheduledtask?view=windowsserver2025-ps

Manipulations destinées à la recherche de process suspect lancé par PowerShell

1. Trouver powershell.exe dans le Gestionnaire des tâches

    Ouvrir le Gestionnaire des tâches
        Appuyez sur Ctrl + Shift + Échap pour l'ouvrir directement.
        Ou faites Ctrl + Alt + Suppr → sélectionnez "Gestionnaire des tâches".

    Rechercher PowerShell dans l'onglet "Processus"
        Cliquez sur l'onglet "Processus" et cherchez Windows PowerShell.
       

    Rechercher PowerShell dans l'onglet "Détails"
        Allez dans l'onglet "Détails" et cherchez powershell.exe.
        Notez son PID (Identifiant du Processus).

2. Vérifier quel programme a lancé PowerShell

    Voici comment savoir ce qui l'a déclenché :

    Vérifier l'onglet "Processus"
        Faites un clic droit sur powershell.exe → "Accéder aux détails".
        Regardez s'il est enfant d'un autre processus suspect.

    Vérifier les "Propriétés" de powershell.exe
        Clic droit sur powershell.exe → "Ouvrir l'emplacement du fichier".
        Il doit être dans C:\Windows\System32\WindowsPowerShell\v1.0\.
        S'il est ailleurs, il pourrait être malveillant.

    Utiliser l'Invite de Commandes pour identifier l'origine
        Ouvrez l'Invite de commandes (cmd.exe) en mode administrateur.
        Tapez cette commande :

wmic process where name="powershell.exe" get ProcessId,CommandLine

Vous verrez la ligne de commande qui a déclenché powershell.exe et son PID.

Vérifier les tâches planifiées cachées

    Ouvre l'Invite de commandes (Admin) et tape :

Get-ScheduledTask | Where-Object {$_.Actions -match "powershell"} | Format-List

Cela affichera toutes les tâches planifiées utilisant PowerShell.

Si une tâche suspecte apparaît, désactive-la avec :

Disable-ScheduledTask -TaskName "NomDeLaTâche"

(Remplace "NomDeLaTâche" par le vrai nom trouvé)

Vérifier s'il reste un processus caché

    Ouvre une Invite de commandes (Admin) et tape :

Get-Process | Where-Object {$_.Path -match "powershell"} | Select-Object ProcessName,Path

Si un powershell.exe s'exécute depuis un chemin anormal (autre que C:\Windows\System32\WindowsPowerShell\v1.0\), c'est louche !