Chiusura inaspettata cmd ed errore powershell

[nikto]

Ciao, da qualche tempo sto riscontarndo i seguenti problemi:

1) Se avvio il cmd, ed eseguo un comando qualunque come spostarsi in una certa cartella o eseguire uno script ffmpeg, la finestra del cmd dopo qualche secondo si chiude. E l'operazione che stava eseguendo, come ad esempio lo script ffmpeg continua in background

2) Se avvio semplicemente il terminale di windows, quindi stiamo parlando di Powershell, dopo qualche secondo mi dice:
[processo terminato con codice 1 (0x00000001)]

In sostanza quindi non riesco a lavorare nè col cmd nè con Powershell.
Ho letto in giro che una delle cause poteva essere l'antivirus, che nel mio caso è quello integrato di windows. Ho provato a disattivarlo ma i problemi si manifestano comunque.
Come posso fare per capire cosa causa il problema?

Il mio pc è:
Windows 11 Pro
Versione 25H2
Build 26200.6901

[Nicodemo Timoteo Taddeo]

Già tentata la via del ripristino dei file di sistema eventualmente corrotti/mancanti?

https://support.microsoft.com/it-it/...4-8fd86e0ef4ca

Occhio a mantenere l'ordine di esecuzione indicato: prima il comando dism ecc. ecc. e dopo sfc /scannow.

[nikto]

Scusa se ti rispondo solo ora... Ho avuto una brutta settimana...
Intanto grazie per l'aiuto. Ho fatto quello che dice la pagina e il risultato è:

Codice:

C:\Windows\System32>DISM.exe /Online /Cleanup-image /Restorehealth

Strumento Gestione e manutenzione immagini distribuzione
Versione: 10.0.26100.5074

Versione immagine: 10.0.26200.6901

[==========================100.0%==========================] Operazione di ripristino riuscita.
Operazione completata.

C:\Windows\System32>sfc /scannow

Avvio in corso dell'analisi del sistema. Attendere. L'operazione richiederà alcuni minuti.

Avvio in corso della fase di verifica dell'analisi del sistema.
100% della verifica completato.

Protezione risorse di Windows: nessuna violazione di integrità trovata.

Avviato powershell e dopo circa un minuto è ricomparso l'errore [processo terminato con codice 1 (0x00000001)]

[SysLack]

Se parliamo di PowerShell 7, hai già provato e reinstallarlo? Hai fatto qualche modifica al profilo PowerShell, solitamente nella cartella Documenti? Hai qualche attività pianificata o qualche modifica alle group policy che potrebbe interferire?
Potresti provare a fare un avvio pulito e vedere se il fenomeno si ripresenta.

[nikto]

Quote:

Originariamente inviato da SysLack

Se parliamo di PowerShell 7, hai già provato e reinstallarlo?

No non ho provato a reinstallare Powershell perchè sì è vero lui dà messaggio di errore ma anche il cmd ha dei problemi dal momento che la sua finestra si spegne dopo qualche secondo che le è stato dato un comando, quindi ero convinto che il problema fosse qualcosa di esterno che interferisce con loro.

Quote:

Originariamente inviato da SysLack

Hai fatto qualche modifica al profilo PowerShell, solitamente nella cartella Documenti?

Consapevolmente no...

Quote:

Originariamente inviato da SysLack

Hai qualche attività pianificata o qualche modifica alle group policy che potrebbe interferire?

Non conosco queste cose, quindi direi di no. Però se esiste un modo per fare un controllo fammi sapere

Quote:

Originariamente inviato da SysLack

Potresti provare a fare un avvio pulito e vedere se il fenomeno si ripresenta.

Ok provo e poi ti faccio sapere

[nikto]

Quote:

Originariamente inviato da SysLack

Potresti provare a fare un avvio pulito e vedere se il fenomeno si ripresenta.

Sì, confermo che entrambi i "guasti" si verificano anche dopo avvio pulito

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da nikto

Sì, confermo che entrambi i "guasti" si verificano anche dopo avvio pulito

In modalità provvisoria?

[nikto]

Controllato, in modalità provvisoria minima il problema non si verifica. Sia cmd che powershell operano senza che la finestra scompaia dopo qualche secondo.
Ora per capire quale sia il processo ad interferire coi terminali ci vogliono i RIS di Parma...

[Nicodemo Timoteo Taddeo]

In modalità provvisoria non vengono caricati in memoria programmi in avvio automatico e molti driver. Se vogliamo escludere i programmi pensiamo ai driver. Da quando è iniziato il problema hai installato o aggiornato qualche driver in particolare? Inoltre se vai in Impostazioni, Windows Update, Cronologia aggiornamenti, scorri in basso fino ad aggiornamento dei driver trovi segnalato qualche aggiornamento automatico effettuato da quando hai notato il malfunzionamento?

In Visualizzatore eventi, Registri di Windows, Sistema, vedi segnalazioni nell'ora/minuto in cui avviene una chiusura improvvisa della finestra del Prompt o del terminale?

[nikto]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Da quando è iniziato il problema hai installato o aggiornato qualche driver in particolare?

La cosa si verifica da circa un mese, o forse 2.., e sinceramente è difficile ricordare cosa abbia aggiornato in questo periodo. Probabilmente a livello di driver ho aggiornato solo la scheda video. E poi posso dire che uso quotidianamente da oltre un anno l'applicazione UniGetUI che da sola cerca e aggiorna tutto ciò che le risulta aggiornabile nel pc. Se abbia fatto qualcosa di male o meno non so come fare a scoprirlo..

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Inoltre se vai in Impostazioni, Windows Update, Cronologia aggiornamenti, scorri in basso fino ad aggiornamento dei driver trovi segnalato qualche aggiornamento automatico effettuato da quando hai notato il malfunzionamento?

Come detto prima mi è impossibile capire quando esattamente ha iniziato a verificarsi il difetto e cosa fosse stato aggiornato da windows in quel momento. Se guardo nella cronologia aggiornamenti non vedo nessuna voce che parli di driver ma solo cose come "Windows 11, version 25H2", "Aggiornamento cumulativo...", "PowerShell v7.5.3 (x64)", ".NET 8.0.20 Update for x64 Client", "PowerShell v7.5.2 (x64)", ".NET 8.0.16 Security Update for x64 Client"... ecc..

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

In Visualizzatore eventi, Registri di Windows, Sistema, vedi segnalazioni nell'ora/minuto in cui avviene una chiusura improvvisa della finestra del Prompt o del terminale?

Ho atto un test 1 minuto fa in cui il difetto si è verificato sia su cmd che su powershell e in Visualizzatore eventi, Registri di Windows, Sistema, negli ultimi 10 minuti non segnala nessun tipo di errore

[nikto]

Problema risolto da Copilot GPT5... Era un virus. In pratica guidandomi in un monitoraggio di vari processi e delle loro proprietà con Sysinternals Process Monitor e Sysinternals Process Explorer, Copilot mi ha fatto notare un processo di powershell.exe che si avviava da solo ogni tot secondi e che dopo altri tot secondi si chiudeva spegnendo, se presente, anche il processo cmd.exe, ha capito che questo processo powershell veniva lanciato da un task di nome "Updater" infilato da un virus in Libreria Utilità di pianificazione, mi ha fatto eliminare il task, mi ha indirizzato ad un finto file log.jpg nela cartella documenti e un altro file di cui ora non ricordo il nome, mi ha fatto spostare questi file in una cartella quarantena manuale e stop, problema risolto. Sparito il task, cmd e powershell avviati da me hanno smesso di dare problemi o errori.

Di seguito la spiegazione dell'infezione da parte di Copilot:

Il comportamento che hai intercettato è tipico di un fileless malware con esecuzione in memoria. Ecco cosa faceva:

⚙️ Meccanismo di attivazione
Un task pianificato chiamato "Updater" si attivava ogni 2 minuti.
Questo task eseguiva uno script Updater.vbs che lanciava powershell.exe con parametri offuscati.

🧨 Payload
PowerShell leggeva un file logs.jpg (che non era una vera immagine) e lo interpretava come array di byte.
Questi byte venivano decodificati e caricati come assembly .NET direttamente in memoria.
Il codice eseguito non era visibile su disco, ma agiva da dentro PowerShell.

🕵️*♂️ Azioni possibili (in base al comportamento osservato)
Terminava cmd.exe per impedire l’uso della console.
Avviava InstallUtil.exe, che può installare o eseguire componenti .NET.

Poteva:

• Monitorare o intercettare input
• Aprire connessioni remote
• Scaricare altri payload
• Disattivare strumenti di diagnostica
• Agire come dropper per malware successivi

📌 Il fatto che cmd.exe venisse chiuso e powershell.exe si avviasse da solo è un chiaro segnale di interferenza attiva.

[SysLack]

Quote:

Originariamente inviato da nikto

Un task pianificato chiamato "Updater" si attivava ogni 2 minuti.

Arrivo in ritardo, ma direi che ora abbiamo la riposta a

Quote:

Originariamente inviato da SysLack

Hai qualche attività pianificata [...]?

La chiusura di PowerShell o CMD, a questo punto, è l'aspetto meno significativo; per sapere cosa faceva il malware bisognerebbe decifrare i file coinvolti, ma sicuramente il suo scopo principale non era disabilitare il terminale. Se fossi al tuo posto, non mi sentirei più molto sicuro ad usare un dispositivo che da tempo è stato compromesso, resetterei tutto e dopo, con il dispositivo pulito, cambierei le varie password di siti e servizi. Magari tutto questo non sarebbe necessario conoscendo gli obiettivi del malware, ma nel dubbio, non rischierei.

[nikto]

Caspita non pensavo di dover fare una formattazione di sicurezza... Ho anche fatto una scansione offline con windows defender e una scansione con altri programmi antimalware e non hanno riscontrato nessuna minaccia...

[SysLack]

Quel malware potrebbe aver già fatto molto oppure niente, non lo sappiamo. Se è un malware che abilitava una connessione remota al tuo PC (tipo remote shell, bind shell o simili), allora una volta tolti i file che aprivano la connessione, probabilmente tutto è sano come prima (salvo siano stati impostati processi malevoli persistenti); se invece monitorava l'immissione di credenziali, allora potrebbe averne già intercettata qualcuna, ma almeno avendolo disinnescato, non ne intercetterà più; se è un malware che, a quanto pare, serviva perlopiù come "ponte" (stager, dropper, etc.) per far arrivare o attivare altri malware sul tuo PC, allora hai appena distrutto il ponte, ma non puoi sapere chi è già passato prima del crollo.
Hai fatto bene a fare scansioni di sicurezza, ma se usi il PC per questioni sensibili, come banche, SPID, cryptovalute, etc. dipende da quanto vuoi rischiare e quanto preferisci andare sul sicuro e ripristinare un ambiente sicuro.