Démarrage intempestif, bureau dérangé, programme louche

Fermé
Erwan031284 Messages postés 15131 Date d'inscription lundi 8 septembre 2008 Statut Membre Dernière intervention 18 mars 2022 - 1 févr. 2016 à 11:56
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 févr. 2016 à 14:25
Bonjour,

suite à un démarrage non planifié de mon PC portable durant la nuit, j'ai relevé certains événement "louches" dans l'observateur d'événements.

Voici la liste des élément à charge:

démarrage intempestif du PC vers 4h14

au redémarrage vers 11h00, icones du bureau en disposition basse résolution (alignées vers le haut à gauche)
De plus, certains programmes ont vu leur date d'installation modifiée pour le jour du problème, soit 01/02/2016 :
The Talos Principle (un jeu STEAM)
Origin (Client jeux EA)
Microsoft Office 365
BitDefender Agent
Bitdefender IS 2016

Kernel-Power
01/02/2016 03:00:15
Le système est sorti de la veille.

Kernel-General
01/02/2016 04:14:39
L’heure système est passée de ?2016?-?02?-?01T02:00:15.975118800Z à ?2016?-?02?-?01T03:14:39.500000000Z.

La stratégie de menu de démarrage était 0xFEC00000.
Le type de démarrage était 0x2.
Le système est sorti d’un état de faible alimentation.

01/02/2016 04:20:00
Le service Hôte de synchronisation_c88e4e9 s’est terminé de manière inattendue. Ceci s’est produit 1 fois. L’action corrective suivante va être effectuée dans 10000 millisecondes : Redémarrer le service.
Notification de fermeture de session utilisateur pour le Programme d’amélioration de l’expérience utilisateur
L’historique des accès de la ruche \??\C:\WINDOWS\System32\SMI\Store\Machine\SCHEMA.DAT a été effacé, mettant à jour 0 clés et créant 0 pages modifiées.
Le type de démarrage du service Service Windows Defender est passé de Démarrage à la demande à Démarrage automatique.
Le type de démarrage du service Pilote de mini-filtre Windows Defender est passé de Démarrage à la demande à Démarrage.
Le filtre de système de fichiers « WdFilter » (Version 10.0, ?2015?-?10?-?30T03:34:35.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le type de démarrage du service Pilote de démarrage Windows Defender est passé de Démarrage à la demande à Démarrage.
Filtre de système de fichiers « avckf » (Version 6.1, ?2015?-?08?-?31T15:27:59.000000000Z) déchargé correctement.

04:20:43
Le service d’Enregistrement d’événement a été arrêté.
Le service client DHCPv6 est arrêté. La valeur de l’indicateur d’arrêt est 1
Le service client DHCPv4 est arrêté. La valeur de l’indicateur d’arrêt est 1
Microsoft (R) Windows (R) 10.00. 10586 Multiprocessor Free.

01/02/2016 04:21:00
Le service d’Enregistrement d’événement a démarré.

QUE S'EST-IL PASSE DURANT CES 17 SECONDES ???

La durée active du système est de 10 secondes.


Le journal des événements a tout de même comptabilisé ces événement, mais décrits à la suite (horaires non respectés):

01/02/2016 04:20:43
Windows Update a démarré le téléchargement d'une mise à jour.
Le Service d’autoconfiguration WLAN s’est arrêté correctement.
Le gestionnaire d'alimentation du noyau a lancé une transition d'arrêt.
Le système d’exploitation s’est arrêté à l’heure système ?2016?-?02?-?01T03:20:45.568183000Z.
Le système d'exploitation a démarré à l'heure système ?2016?-?02?-?01T03:20:49.492219300Z.
L’état de réussite du dernier arrêt était true. L’état de réussite du dernier démarrage était true.
Le type de démarrage était 0x0.
La stratégie de menu de démarrage était 0x1.
Le filtre de système de fichiers « FileInfo » (Version 10.0, ?2015?-?10?-?30T03:37:17.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le filtre de système de fichiers « Wof » (Version 10.0, ?2015?-?10?-?30T03:38:16.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le filtre de système de fichiers « WdFilter » (Version 10.0, ?2015?-?10?-?30T03:34:35.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le filtre de système de fichiers « gzflt » (Version 6.1, ?2015?-?04?-?29T12:32:17.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le filtre de système de fichiers « ignis » (Version 6.3, ?2015?-?10?-?20T11:08:29.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Volume C: (\Device\HarddiskVolume3) est sain. Aucune action n’est nécessaire.
Le filtre de système de fichiers « FileCrypt » (Version 10.0, ?2015?-?10?-?30T03:37:49.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le filtre de système de fichiers « npsvctrig » (Version 10.0, ?2015?-?10?-?30T03:40:23.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Volume D: (\Device\HarddiskVolume5) est sain. Aucune action n’est nécessaire.

L’historique des accès de la ruche \SystemRoot\System32\Config\SOFTWARE a été effacé, mettant à jour 229775 clés et créant 15982 pages modifiées.
Le filtre de système de fichiers « trufos » (Version 0.0, ?2015?-?05?-?11T09:26:27.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
Le filtre de système de fichiers « avc3 » (Version 6.1, ?2015?-?10?-?16T16:55:18.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.
L’historique des accès de la ruche \SystemRoot\System32\Config\DEFAULT a été effacé, mettant à jour 318 clés et créant 42 pages modifiées.
L’historique des accès de la ruche \SystemRoot\System32\Config\SECURITY a été effacé, mettant à jour 84 clés et créant 5 pages modifiées.
L’historique des accès de la ruche \SystemRoot\System32\Config\SAM a été effacé, mettant à jour 53 clés et créant 6 pages modifiées.
L’historique des accès de la ruche \??\C:\WINDOWS\ServiceProfiles\NetworkService\NTUSER.DAT a été effacé, mettant à jour 110 clés et créant 19 pages modifiées.
L’historique des accès de la ruche \SystemRoot\System32\Config\BBI a été effacé, mettant à jour 197 clés et créant 43 pages modifiées.
L’historique des accès de la ruche \??\C:\WINDOWS\ServiceProfiles\LocalService\NTUSER.DAT a été effacé, mettant à jour 124 clés et créant 19 pages modifiées.
L’historique des accès de la ruche \SystemRoot\System32\Config\bbimigrate\BBI a été effacé, mettant à jour 0 clés et créant 0 pages modifiées.
Le filtre de système de fichiers « luafv » (Version 10.0, ?2015?-?10?-?30T03:34:43.000000000Z) s’est chargé et s’est inscrit correctement auprès du gestionnaire de filtres.

==========================================================================================================================================================================================
Le service Planificateur de tâches a détecté une erreur de configuration dans la définition NT TASK\cfr3011. Données supplémentaires : valeur d'erreur : C:\PROGRA~2\FASTSE~1\cfr3011.exe.
==========================================================================================================================================================================================

L’historique des accès de la ruche \??\C:\WINDOWS\AppCompat\Programs\Amcache.hve a été effacé, mettant à jour 4379 clés et créant 583 pages modifiées.
Le ou les pilotes de démarrage système ou d’amorçage suivants n’ont pas pu se charger :
dam

Le type de démarrage du service Service Windows Defender est passé de Démarrage automatique à Démarrage à la demande.
L’historique des accès de la ruche \??\C:\Users\Erwan\NTUSER.DAT a été effacé, mettant à jour 2200 clés et créant 302 pages modifiées.
L’historique des accès de la ruche \??\C:\Users\Default\NTUSER.DAT a été effacé, mettant à jour 7 clés et créant 1 pages modifiées.
Le type de démarrage du service Pilote de démarrage Windows Defender est passé de Démarrage à Démarrage à la demande.
Le type de démarrage du service Pilote de mini-filtre Windows Defender est passé de Démarrage à Démarrage à la demande.
Le type de démarrage du service Programme d’installation pour les modules Windows est passé de Démarrage automatique à Démarrage à la demande.

01/02/2016 04:21:06
Notification d’ouverture de session utilisateur pour le Programme d’amélioration de l’expérience utilisateur
La ruche \??\C:\Users\Erwan\AppData\Local\Microsoft\Windows\UsrClass.dat a été réorganisée avec une taille de départ de 7741440 octets et une taille de fin de 7290880 octets.
L’historique des accès de la ruche \??\C:\WINDOWS\system32\config\ELAM a été effacé, mettant à jour 2 clés et créant 1 pages modifiées.

Installation réussie : Windows a installé la mise à jour suivante : Mise à jour cumulative Windows 10 Version 1511 pour ordinateurs à processeurs x64 (KB3124262)

Le fournisseur de temps VMICTimeProvider a indiqué que le matériel et l'environnement d'exploitation actuels ne sont pas pris en charge et ont été arrêtés. Ce comportement est attendu de VMICTimeProvider dans des environnements invités non HyperV. Il peut également être attendu du fournisseur actuel dans l'environnement d'exploitation utilisé.

Le type de démarrage du service Programme d’installation pour les modules Windows est passé de Démarrage à la demande à Démarrage automatique.

01/02/2016 04:31:22
Le fournisseur de temps NtpClient reçoit actuellement des données de temps valides à partir de time-a.nist.gov,0x9 (ntp.m|0x9|0.0.0.0:123->129.6.15.28:123).

L’heure système est passée de ?2016?-?02?-?01T03:31:36.287752200Z à ?2016?-?02?-?01T03:32:23.492623900Z.

Raison de la modification : Une application ou un composant système a modifié l’heure.

Le service de temps synchronise maintenant l’heure système avec la source de temps time-a.nist.gov,0x9 (ntp.m|0x9|0.0.0.0:123->129.6.15.28:123).

L’heure système est passée de ?2016?-?02?-?01T03:32:23.521778500Z à ?2016?-?02?-?01T03:32:23.507000000Z.

Raison de la modification : Une application ou un composant système a modifié l’heure.

L’heure système est passée de ?2016?-?02?-?01T03:32:23.493746600Z à ?2016?-?02?-?01T03:32:23.492000000Z.

Raison de la modification : Une application ou un composant système a modifié l’heure.

Le type de démarrage du service Programme d’installation pour les modules Windows est passé de Démarrage automatique à Démarrage à la demande.
Le type de démarrage du service Programme d’installation pour les modules Windows est passé de Démarrage à la demande à Démarrage automatique.
Le positionnement de la géolocalisation a été désactivé par l'utilisateur.
Le type de démarrage du service Programme d’installation pour les modules Windows est passé de Démarrage automatique à Démarrage à la demande.
Le processus C:\Windows\System32\WinSAT.exe (ID de processus :7332) a réinitialisé le schéma de stratégie de {381b4222-f694-41f0-9685-ff5bb260df2e} à {8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c}
Le processus C:\Windows\System32\WinSAT.exe (ID de processus :7332) a réinitialisé le schéma de stratégie de {8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c} à {381b4222-f694-41f0-9685-ff5bb260df2e}

Et à 01/02/2016 10:53:34, quand j'ai redémarré mon PC manuellement
EVENT ERREUR :

Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
et l’APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
au SID AUTORITE NT\Système de l’utilisateur (S-1-5-18) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.

================================================

Trouvez-vous quelque chose de réellement louche dans cette suite d'événements?

Merci à la communauté
A voir également:

1 réponse

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
1 févr. 2016 à 12:13
Salut,

Aucun rapport avec d'éventuels malwares.
0
Erwan031284 Messages postés 15131 Date d'inscription lundi 8 septembre 2008 Statut Membre Dernière intervention 18 mars 2022 2 358
2 févr. 2016 à 02:06
Et au sujet du programme C:\PROGRA~2\FASTSE~1\cfr3011.exe. ?

Ce que je trouve bizarre, c'est que je ne le trouve même pas dans l'explorateur!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Erwan031284 Messages postés 15131 Date d'inscription lundi 8 septembre 2008 Statut Membre Dernière intervention 18 mars 2022
2 févr. 2016 à 14:25
ouaip fastsearch est un adware
mais bon je doute que le dossier dans Program Files existe encore.

Au pire fais un nettoyage Malwarebytes : Tutorial Malwarebytes version gratuite
0