Computer Name: PC-de-BERNARD
Event Code: 7
Message: La vitesse du processeur 1 est limitée par le matériel système. Le processeur est resté dans cet état de performances réduites pendant 16 secondes après le dernier rapport.
Record Number: 116747
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20091026173648.322800-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-BERNARD
Event Code: 4
Message: Contrôleur intégré Broadcom 440x 10/100 : le lien réseau est hors service. Vérifiez que le câble réseau est connecté correctement.
Record Number: 116734
Source Name: bcm4sbxp
Time Written: 20091026135339.914000-000
Event Type: Avertissement
User:
Computer Name: PC-de-BERNARD
Event Code: 4
Message: Contrôleur intégré Broadcom 440x 10/100 : le lien réseau est hors service. Vérifiez que le câble réseau est connecté correctement.
Record Number: 116721
Source Name: bcm4sbxp
Time Written: 20091026100924.724400-000
Event Type: Avertissement
User:
Computer Name: PC-de-BERNARD
Event Code: 15005
Message: Impossible de lier vers le transport sous-jacent pour [::]:80. La liste IP d'écoute uniquement peut contenir une référence à une interface qui n'existe peut-être pas sur cet ordinateur. Le champ de données contient le numéro de l'erreur.
Record Number: 104220
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20091026044258.156959-000
Event Type: Erreur
User:
Computer Name: PC-de-BERNARD
Event Code: 1004
Message: Le service de publication World Wide Web (service WWW) n'a pas inscrit le préfixe d'URL http://*:80/ pour le site 1. Le site a été désactivé. Le champ des données contient le numéro de l'erreur.
Record Number: 104217
Source Name: Microsoft-Windows-IIS-W3SVC
Time Written: 20091026044258.000000-000
Event Type: Erreur
User:
=====Application event log=====
Computer Name: PC-de-BERNARD
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-127135276-3036697111-1208528362-1000:
Process 512 (\Device\HarddiskVolume3\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-127135276-3036697111-1208528362-1000
Record Number: 58
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090307130820.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-BERNARD
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 55
Source Name: Microsoft-Windows-WMI
Time Written: 20090307130713.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-BERNARD
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 54
Source Name: Microsoft-Windows-WMI
Time Written: 20090307130713.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-BERNARD
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue.
Record Number: 23
Source Name: Microsoft-Windows-Search
Time Written: 20090307150314.000000-000
Event Type: Avertissement
User:
Computer Name: 26L2233B2-12
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 13
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20090307092301.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Security event log=====
Computer Name: PC-de-BERNARD
Event Code: 5032
Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.
Code d’erreur : 2
Record Number: 19942
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090621173716.533552-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-BERNARD
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 19941
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090621173704.490352-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-BERNARD
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-BERNARD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
Type d’ouverture de session : 5
Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x284
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -
Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 19940
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090621173704.490352-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-BERNARD
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-BERNARD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x284
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Adresse du réseau : -
Port : -
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 19939
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090621173704.490352-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-BERNARD
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 19938
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090621173704.365552-000
Event Type: Succès de l'audit
User:
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.