Probleme fenêtre cmd

Bonjours depuis 2 jours jai une fenetre d’invite de commandes qui souvre et ce ferme toute seule au bout d’un certain temps avec comme en-tête C:\User\Nom d’utilisateur\AppData\Roaming\nsetwui
Merci d’avence pour votre aide

Bonjour,

Voici un lien trouvé sur Microsoft…
https://answers.microsoft.com/fr-fr/windows/forum/all/déplacer-ou-supprimer-appdata-roaming/6f1ea979-1f6e-42a7-ac1c-542ba2013f22

Je te conseille de faire une analyse de ton PC avec un logiciel comme Malwarebyte.
As tu installé un programme récemment ou cliquer sur un lien dans un e-mail « douteux » ?
Tiens nous au courant.

Jai mis un coup de adw cleaner et de malware byte qui on Coriger quelle que petite probleme jai tenter une restauration windows a un etat antérieur mes cela na pas sufit jai surement cliquer sur un lien a la con pour dl un programe sur le net

Regardes avec un programme comme Ccleaner ou Glary Utilities, pour voir ce qui s’exécute (démarrage, services, tâches planifiées, etc…)
Dans mon cas, avec Glary tu peux « desactiver » sans rien détruite :

Oui jai glary mes je ne voi pas ce que je peut desactiver pour remedier a cela et c’est bizar jai eter trenkil toute la soirée je pensait etre debaraser et rebelotte

Qu’avez vous comme antivirus ?

Windows defender

Tapes %appdata% dans la recherche (loupe à coté du logo windows), ça va ouvrir le dossier caché.


Tapes rsetwui dans la recherche en haut à droite.

Indiques nous dans quel sous dossier il se trouvera… ça nous aidera à identifier l’appli qui lance cette fenêtre étrange

Dans le dossier que vous décrivez ça correspond aux appli utilisateur propre à chaque session. C’est là qu’il peut y avoir du cache internet quand c’est pour les navigateurs ou les démarrages.

En 1:
Vous pouvez tenter un nettoyage du disk C: pour supprimer les caches et tous les « temp ».
Puis en même temps vérifier tous les paramètres des appli qu’il y a au démarrage pour voir s’il y en a pas une qui lance cette commande à chaque boot.

En 2:
Si vous trouvez rien après avoir bien vérifié, c’est possible qu’une appli un peu trop intrusive non détecter comme virus modifie le démarrage de l’OS.
Donc pour vérifier l’intégrité de windows tentez un sfc:

Démarrez CMD en admi et tapez :
sfc /scannow

Et si ça veut pas car la procédure de recherche à besoin de temps faite le en mode sans échec.

Rien trouver dans appdata au nom de rsetwui

Sfc /scannow na rien. Donner deja esayer et je vais tout desactiver les programe au demarage voir si ca marche

Toujours le meme souci avec toute les apli desactiver au démarrages

est ce que vous avez essayé en mode sans échec?

peut être si possible faire une restauration avec un point avant l’incident…

Peut être via un script powershell
Quand la fenetre noire est ouverte on a accés à ses infos via powershell
Dans un fichier texte copie ce script

Get-ScheduledTask | where state -eq 'Running' | Out-String -width 9999
Get-Process | Where-Object {$_.mainWindowTitle} | Format-Table Path , mainWindowtitle -AutoSize -Wrap | Out-String -width 9999

Read-Host -Prompt "Pressez entrée pour fermer cette fenetre"

Renomme le ensuite en truccc.ps1 (l’extension ps1 est pour le script powershell, le nom n’est pas important)
Pour le lancer faudra faire un bouton droit dessus « executer avec powershell »

La premiere ligne liste les tache « active » a ce moment là
La deuxieme liste liste les processus avec un fenetre visible

Read host attend du texte puis « entree » : cela fermera la fenêtre juste apres

voila ce que cela donne en action

Si cela ne voit pas ta fenetre alors qu’elle est bien ouverte c’est probablement qu’elle est lancée en mode administrateur. Il faudrait lancer ce script au même niveau (donc powershell en mode admin) pour qu’il la voit aussi. Cela complique le lancement

Oui cela ne change rien dsl davoir mis du temps mes j’étais pas dispo c’est dernier jours

Bonsoir je n’ai pas l’option executer avec powershell


voici mon resultat apret une bagard pour lancer le script lol

Pas très concluant du coup :thinking:, mais on voit un path du même nom que la fenêtre c’est au moins un résultat : powershell voit bien la fenetre.
Je m’attendais un peu à être decu avec un path de l’invite de commande cmd.exe mais pas comme cela, pas de nom de processus ni de nom de script c’est louche, c’est comme si un autre processus essayait de lancer un script mais avec une mauvaise adresse/incomplete du coup un truc incomplet apparait
Sinon dans les taches actives on a les 2 premieres qui sont surement en admin (car pas de path), difficile de dire si cela peut venir de la premiere
Le truc étonnant c’est que le net ne connaisse pas du tout de « rsetwui » comme si cela n’était jamais arrivé avant

Une commande powershell pour avoir peut être + d’info

Get-CimInstance Win32_Process | where Path -eq 'C:\Users\Aude\AppData\Roaming\rsetwui' | select *

Tu peux ouvrir powershell et la copier, et rester en attente, quand la fenetre apparait restera plus qu’a faire entree pour la lancer
J’ai essayé de filtrer avec ton Path mais au cas ou tu peux avoir tous les processus d’un coup avec Get-CimInstance Win32_Process | select *
dans ce cas il y aura un peu de recherche pour retrouver le bon processus mais l’info y sera aussi

Dans le resultat il y a la « commande line » qui sera peut être intéressante
Mais le « ParentProcessId » sera peut être utile aussi, c’est le « parent » qui a lancé ce processus, on retrouve ce code ID dans le gestionnaire de tache (dans detail, c’est le PID du processus) ou dans la liste powershell de la commande suivante (la même qu’au dessus mais avec moins de detail) dans ProcessId

Get-CimInstance Win32_Process

image

Est ce que par hasard dans le dossier « Roaming » il n’y aurait pas un fichier caché qui se lance à chaque démarrage ?


voila le resultat