Näyttö virransäästötilaan & tiltti + epäilyttäviä merkintöjä tapahtumalokissa

Käyttöjärjestelmänä Windows XP Pro, SP3.

Muutama päivä sitten kone tilttasi siten, että näyttö vaipui yhtäkkiä virransäästötilaan, ja kone lakkasi täysin vastaamasta (esim. näppiksessä ei valot menneet päälle caps/numlockista). Eli virtanapista täytyi bootata. Näin jälkeenpäin tutkin Windowsin tapahtumienvalvontalokia, ja huomasin että tuon kyseisen uudelleenkäynnistyksen yhteydessä oli kirjattu muutamia palveluita joita ei aikaisemmista raporteista löydy. Normaalien palveluiden ynm. lisäksi löytyi seuraavat merkinnät:

---------------------------------------------------------------------------

Tapahtuman lähde: Tcpip
Tapahtuman luokka: Ei mitään
Tunnus: 4202
Aika: 23:18:10
Kuvaus:
Järjestelmä havaitsi, että verkkosovittimen \DEVICE\TCPIP_{2A59D8A8-8AE1-43FA-A242-29E01A334456} yhteys verkkoon katkaistiin. Sovittimen verkkomääritykset on vapautettu. Jos verkkosovittimen yhteyttä verkkoon ei katkaistu, tämä saattaa olla merkki toimintahäiriöstä. Pyydä sovittimen toimittajalta päivitetyt ohjaimet.

Tapahtuman lähde: Dhcp
Tapahtuman luokka: Ei mitään
Tunnus: 1003
Aika: 23:18:10
Kuvaus:
Verkon DHCP-palvelin ei voinut uusia IP-osoitetta tietokoneen verkkokortille, jonka verkko-osoite on 00508DD7C25C. Virhe:
Käyttäjä peruutti toiminnon. Tietokone jatkaa pyytämistä verkon DHCP-palvelimelta.

Tapahtuman lähde: Service Control Manager
Tapahtuman luokka: Ei mitään
Tunnus: 7035
Aika: 23:18:40
Kuvaus:
Ohjausobjektin aloita lähetettiin palvelulle Sovelluskerroksen yhdyskäytäväpalvelu.

Tapahtuman lähde: Service Control Manager
Tapahtuman luokka: Ei mitään
Tunnus: 7036
Aika 23:18:40
Kuvaus:
Palvelu Puhelin on tilassa käynnissä.

Tapahtuman lähde: Service Control Manager
Tapahtuman luokka: Ei mitään
Tunnus: 7035
Aika 23:18:40
Kuvaus:
Ohjausobjektin aloita lähetettiin palvelulle Etäkäytön (RAS) yhteyksienhallinta.

Tapahtuman lähde: Service Control Manager
Tapahtuman luokka: Ei mitään
Tunnus: 7035
Aika: 23:18:41
Kuvaus:
Ohjausobjektin aloita lähetettiin palvelulle IP Traffic Filter Driver.

Tapahtuman lähde: Service Control Manager
Tapahtuman luokka: Ei mitään
Tunnus: 7035
Aika: 23:25:10
Kuvaus:
Ohjausobjektin aloita lähetettiin palvelulle tgptya.

Tapahtuman lähde: Tcpip
Tapahtuman luokka: Ei mitään
Tunnus: 4201
Aika: 23:26:50
Kuvaus:
Järjestelmä havaitsi, että verkkosovitin \DEVICE\TCPIP_{2A59D8A8-8AE1-4F3A-A242-29E01A334456} yhdistettiin verkkoon, ja järjestelm on aloittanut verkkosovittimen normaalin käytön.

Tapahtuman lähde: Disk
Tapahtuman luokka: Ei mitään
Tunnus: 11
Aika: 23:37:50
Kuvaus: Ohjain havaitsi korttivirheen laitteella \Device\Harddisk0\D.



(nämä seuraavat kaksi merkintää ovat pari päivää myöhemmin)

Tapahtuman lähde: sr
Tapahtuman luokka: Ei mitään
Tunnus: 1
Aika 23:52:25
Kuvaus:
Järjestelmän palauttamisen suodatin havaitsi odottamattoman virheen "0xC0000243" käsitältäessä tiedostoa "tvelms.sys" asemassa "HarddiskVolume1". Aseman tarkkailu on lopetettu.

Tapahtuman lähde: Tcpip
Tapahtuman luokka: Ei mitään
Tunnus: 4226
Aika: 15:22:19
Kuvaus:
TCP/IP saavutti yhtäaikaisille TCP-yhteysyrityksille asetetun suojausrajoituksen.

---------------------------------------------------------------------------


Varsinkin tuo "tgptya" merkintä pistää ihmetyttään, kun en tuota hakusanaa googlettamalla löytänyt yhtikäs mitään. Etäkäytön ja Puhelin palveluiden yhtäkkinen käynnistyminen myös toivat ensimmäisenä mieleen, että jonkin sortin trojan olisi koneelle päässyt. Kone on tuon jälkeen hieman epäilyttävästi käyttäytynytkin: jumittumunut useasti (joka tosin näyttää johtuneen vioittuneesta muistikammasta, jonka poistaminen korjasi ongelman), ja kun yrittää kovolta etsiä tiedostoja (siis ctrl + F toiminnolla), laittoi minkä tahansa hakusanaksi, niin Windows ilmoittaa seuraavaa: "|s viittaa kohteeseen, joka ei ole käytettävissä. Kohde voi olla tämän tietokoneen kiintolevyllä tai verkossa. Tarkista, että levy on paikallaan oikein tai että sinulla on yhteys Internetiin tai lähiverkkoon, ja yritä sitten uudelleen. Jos et vieläkään löydä kohdetta, tiedot on ehkä siirretty."

Vahvasti epäilin jonkinlaista virusta, mutta kuitenkaan kyseistä tilttiä edeltävinä hetkinä en millään epäilyttävillä sivuilla surffaillut, ja koneella pyörii ajan tasalla oleva Comodo Internet Security Premium, joka automaattisesti laittaa sandboxiin kaikki tuntemattomat sovellukset.

Kiintolevyn täydellisen tarkistuksen olen ajanut Malwarebytesin Anti-Malwarella, sekä Comodon antivirus & Cleaning essentials softalla. Mitään troijalaiseen viittaavaa ei löytynyt (muutama matalatasoinen spyware tiedosto kuitenkin).

Onko syytä olla huolissaan, vai voiko kyseisten palveluiden käynnistymiselle löytyä jokin normaali selitys?

 

Tuon haun toimimattomuus ja nuo kaksi virhettä, jotka viittaa levyyn, huolestuttaa minua enemmän. Itse lähtisin vaihtaan kiintolevyä, tai ainakin kokeileemaan toisella levyllä, ja sillä tavalla varmistaan, ettei levy ole hajalla. Äkkiä voit hakea jonkun levyn SMART -tietoja tulkkaavan ohjelman ja heittää sen tulosteen tänne, niin siitä pääsee eteenpäin.

 

----------------------------------------------------------------------------
CrystalDiskInfo 5.0.3 Shizuku Edition (C) 2008-2012 hiyohiyo

----------------------------------------------------------------------------

OS : Windows XP Professional SP3 [5.1 Build 2600] (x86)
Date : 2012/08/31 15:21:12

-- Controller Map ----------------------------------------------------------
+ VIA Bus Master IDE Controller [ATA]
+ Ensisijainen IDE-kanava (0)
- ST3160023A
+ Toissijainen IDE-kanava (1)
- HL-DT-ST DVDRAM GSA-4167B

-- Disk List ---------------------------------------------------------------
(1) ST3160023A : 160,0 GB [0/0/0, pd1] - st

----------------------------------------------------------------------------
(1) ST3160023A
----------------------------------------------------------------------------
Model : ST3160023A
Firmware : 8.01
Serial Number : 4JS1K8JD
Disk Size : 160,0 GB (8,4/137,4/160,0)
Buffer Size : 8192 KB
Queue Depth : 1
# of Sectors : 312581808
Rotation Rate : Tuntematon
Interface : Parallel ATA
Major Version : ATA/ATAPI-6
Minor Version : ATA/ATAPI-6 T13 1410D version 2
Transfer Mode : Ultra DMA/100
Power On Hours : 26196 tuntia
Power On Count : 4342 kertaa
Temparature : 42 C (107 F)
Health Status : Hyvä
Features : S.M.A.R.T., 48bit LBA
APM Level : ----
AAM Level : ----

-- S.M.A.R.T. --------------------------------------------------------------
ID Cur Wor Thr RawValues(6) Attribute Name
01 _63 _54 __6 000008E1C467 Lukuvirhetiheys
03 _97 _96 __0 000000000000 Käynnistymisaika
04 100 100 _20 00000000000D Käynnistys/pysäytyskertoja
05 100 100 _36 000000000000 Uudelleensijoitettuja sektoreita
07 _89 _60 _30 000037094815 Hakuvirhetiheys
09 _71 _71 __0 000000006654 Käyttöaika
0A 100 100 _97 000000000000 Pyörityksen uudelleenyritykset
0C _96 _96 _20 0000000010F6 Jännitteenkytkentäkertoja
C2 _42 _57 __0 00000000002A Lämpötila
C3 _63 _54 __0 000008E1C467 Laitteistotasolla korjattuja pariteettivirheitä
C5 100 100 __0 000000000000 Uudelleensijoitusta odottavia sektoreita
C6 100 100 __0 000000000000 Korjauskelvottomia sektoreita
C7 200 147 __0 000000000BC7 UDMA-tarkistusvirheitä
C8 100 253 __0 000000000000 Kirjoitusvirhetiheys
CA 100 253 __0 000000000000 Osoitteen merkkivirhe

 

Lisäisin vielä, että Comodo Autorun Analyzerissa näkyi rdpclip.exe (HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms). Onko tämä tavallista näkyä Startup Programsissa (aktiivisena en sitä kuitenkaan missään vaiheessa ole huomannut, eli taskmanagerissa ei ole näkynyt)? Koskaan en ole minkäänlaista etäkäyttöä koneellani tarvinnut.

Tuo merkintä sekä RAS/Puhelin palveluiden käynnistyminen (niitä ei tosiaan aiemmissa lokimerkinnöissä näkynyt) pistää mietityttämään.