Näyttö virransäästötilaan & tiltti + epäilyttäviä merkintöjä tapahtumalokissa

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi oktjnm 31.08.2012.

  1. oktjnm

    oktjnm Member

    Liittynyt:
    31.08.2012
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    Käyttöjärjestelmänä Windows XP Pro, SP3.

    Muutama päivä sitten kone tilttasi siten, että näyttö vaipui yhtäkkiä virransäästötilaan, ja kone lakkasi täysin vastaamasta (esim. näppiksessä ei valot menneet päälle caps/numlockista). Eli virtanapista täytyi bootata. Näin jälkeenpäin tutkin Windowsin tapahtumienvalvontalokia, ja huomasin että tuon kyseisen uudelleenkäynnistyksen yhteydessä oli kirjattu muutamia palveluita joita ei aikaisemmista raporteista löydy. Normaalien palveluiden ynm. lisäksi löytyi seuraavat merkinnät:

    ---------------------------------------------------------------------------

    Tapahtuman lähde: Tcpip
    Tapahtuman luokka: Ei mitään
    Tunnus: 4202
    Aika: 23:18:10
    Kuvaus:
    Järjestelmä havaitsi, että verkkosovittimen \DEVICE\TCPIP_{2A59D8A8-8AE1-43FA-A242-29E01A334456} yhteys verkkoon katkaistiin. Sovittimen verkkomääritykset on vapautettu. Jos verkkosovittimen yhteyttä verkkoon ei katkaistu, tämä saattaa olla merkki toimintahäiriöstä. Pyydä sovittimen toimittajalta päivitetyt ohjaimet.

    Tapahtuman lähde: Dhcp
    Tapahtuman luokka: Ei mitään
    Tunnus: 1003
    Aika: 23:18:10
    Kuvaus:
    Verkon DHCP-palvelin ei voinut uusia IP-osoitetta tietokoneen verkkokortille, jonka verkko-osoite on 00508DD7C25C. Virhe:
    Käyttäjä peruutti toiminnon. Tietokone jatkaa pyytämistä verkon DHCP-palvelimelta.

    Tapahtuman lähde: Service Control Manager
    Tapahtuman luokka: Ei mitään
    Tunnus: 7035
    Aika: 23:18:40
    Kuvaus:
    Ohjausobjektin aloita lähetettiin palvelulle Sovelluskerroksen yhdyskäytäväpalvelu.

    Tapahtuman lähde: Service Control Manager
    Tapahtuman luokka: Ei mitään
    Tunnus: 7036
    Aika 23:18:40
    Kuvaus:
    Palvelu Puhelin on tilassa käynnissä.

    Tapahtuman lähde: Service Control Manager
    Tapahtuman luokka: Ei mitään
    Tunnus: 7035
    Aika 23:18:40
    Kuvaus:
    Ohjausobjektin aloita lähetettiin palvelulle Etäkäytön (RAS) yhteyksienhallinta.

    Tapahtuman lähde: Service Control Manager
    Tapahtuman luokka: Ei mitään
    Tunnus: 7035
    Aika: 23:18:41
    Kuvaus:
    Ohjausobjektin aloita lähetettiin palvelulle IP Traffic Filter Driver.

    Tapahtuman lähde: Service Control Manager
    Tapahtuman luokka: Ei mitään
    Tunnus: 7035
    Aika: 23:25:10
    Kuvaus:
    Ohjausobjektin aloita lähetettiin palvelulle tgptya.

    Tapahtuman lähde: Tcpip
    Tapahtuman luokka: Ei mitään
    Tunnus: 4201
    Aika: 23:26:50
    Kuvaus:
    Järjestelmä havaitsi, että verkkosovitin \DEVICE\TCPIP_{2A59D8A8-8AE1-4F3A-A242-29E01A334456} yhdistettiin verkkoon, ja järjestelm on aloittanut verkkosovittimen normaalin käytön.

    Tapahtuman lähde: Disk
    Tapahtuman luokka: Ei mitään
    Tunnus: 11
    Aika: 23:37:50
    Kuvaus: Ohjain havaitsi korttivirheen laitteella \Device\Harddisk0\D.



    (nämä seuraavat kaksi merkintää ovat pari päivää myöhemmin)

    Tapahtuman lähde: sr
    Tapahtuman luokka: Ei mitään
    Tunnus: 1
    Aika 23:52:25
    Kuvaus:
    Järjestelmän palauttamisen suodatin havaitsi odottamattoman virheen "0xC0000243" käsitältäessä tiedostoa "tvelms.sys" asemassa "HarddiskVolume1". Aseman tarkkailu on lopetettu.

    Tapahtuman lähde: Tcpip
    Tapahtuman luokka: Ei mitään
    Tunnus: 4226
    Aika: 15:22:19
    Kuvaus:
    TCP/IP saavutti yhtäaikaisille TCP-yhteysyrityksille asetetun suojausrajoituksen.

    ---------------------------------------------------------------------------


    Varsinkin tuo "tgptya" merkintä pistää ihmetyttään, kun en tuota hakusanaa googlettamalla löytänyt yhtikäs mitään. Etäkäytön ja Puhelin palveluiden yhtäkkinen käynnistyminen myös toivat ensimmäisenä mieleen, että jonkin sortin trojan olisi koneelle päässyt. Kone on tuon jälkeen hieman epäilyttävästi käyttäytynytkin: jumittumunut useasti (joka tosin näyttää johtuneen vioittuneesta muistikammasta, jonka poistaminen korjasi ongelman), ja kun yrittää kovolta etsiä tiedostoja (siis ctrl + F toiminnolla), laittoi minkä tahansa hakusanaksi, niin Windows ilmoittaa seuraavaa: "|s viittaa kohteeseen, joka ei ole käytettävissä. Kohde voi olla tämän tietokoneen kiintolevyllä tai verkossa. Tarkista, että levy on paikallaan oikein tai että sinulla on yhteys Internetiin tai lähiverkkoon, ja yritä sitten uudelleen. Jos et vieläkään löydä kohdetta, tiedot on ehkä siirretty."

    Vahvasti epäilin jonkinlaista virusta, mutta kuitenkaan kyseistä tilttiä edeltävinä hetkinä en millään epäilyttävillä sivuilla surffaillut, ja koneella pyörii ajan tasalla oleva Comodo Internet Security Premium, joka automaattisesti laittaa sandboxiin kaikki tuntemattomat sovellukset.

    Kiintolevyn täydellisen tarkistuksen olen ajanut Malwarebytesin Anti-Malwarella, sekä Comodon antivirus & Cleaning essentials softalla. Mitään troijalaiseen viittaavaa ei löytynyt (muutama matalatasoinen spyware tiedosto kuitenkin).

    Onko syytä olla huolissaan, vai voiko kyseisten palveluiden käynnistymiselle löytyä jokin normaali selitys?
     
  2.  
  3. muppis

    muppis Regular member

    Liittynyt:
    13.07.2007
    Viestejä:
    224
    Kiitokset:
    4
    Pisteet:
    28
    Tuon haun toimimattomuus ja nuo kaksi virhettä, jotka viittaa levyyn, huolestuttaa minua enemmän. Itse lähtisin vaihtaan kiintolevyä, tai ainakin kokeileemaan toisella levyllä, ja sillä tavalla varmistaan, ettei levy ole hajalla. Äkkiä voit hakea jonkun levyn SMART -tietoja tulkkaavan ohjelman ja heittää sen tulosteen tänne, niin siitä pääsee eteenpäin.
     
  4. oktjnm

    oktjnm Member

    Liittynyt:
    31.08.2012
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    ----------------------------------------------------------------------------
    CrystalDiskInfo 5.0.3 Shizuku Edition (C) 2008-2012 hiyohiyo

    ----------------------------------------------------------------------------

    OS : Windows XP Professional SP3 [5.1 Build 2600] (x86)
    Date : 2012/08/31 15:21:12

    -- Controller Map ----------------------------------------------------------
    + VIA Bus Master IDE Controller [ATA]
    + Ensisijainen IDE-kanava (0)
    - ST3160023A
    + Toissijainen IDE-kanava (1)
    - HL-DT-ST DVDRAM GSA-4167B

    -- Disk List ---------------------------------------------------------------
    (1) ST3160023A : 160,0 GB [0/0/0, pd1] - st

    ----------------------------------------------------------------------------
    (1) ST3160023A
    ----------------------------------------------------------------------------
    Model : ST3160023A
    Firmware : 8.01
    Serial Number : 4JS1K8JD
    Disk Size : 160,0 GB (8,4/137,4/160,0)
    Buffer Size : 8192 KB
    Queue Depth : 1
    # of Sectors : 312581808
    Rotation Rate : Tuntematon
    Interface : Parallel ATA
    Major Version : ATA/ATAPI-6
    Minor Version : ATA/ATAPI-6 T13 1410D version 2
    Transfer Mode : Ultra DMA/100
    Power On Hours : 26196 tuntia
    Power On Count : 4342 kertaa
    Temparature : 42 C (107 F)
    Health Status : Hyvä
    Features : S.M.A.R.T., 48bit LBA
    APM Level : ----
    AAM Level : ----

    -- S.M.A.R.T. --------------------------------------------------------------
    ID Cur Wor Thr RawValues(6) Attribute Name
    01 _63 _54 __6 000008E1C467 Lukuvirhetiheys
    03 _97 _96 __0 000000000000 Käynnistymisaika
    04 100 100 _20 00000000000D Käynnistys/pysäytyskertoja
    05 100 100 _36 000000000000 Uudelleensijoitettuja sektoreita
    07 _89 _60 _30 000037094815 Hakuvirhetiheys
    09 _71 _71 __0 000000006654 Käyttöaika
    0A 100 100 _97 000000000000 Pyörityksen uudelleenyritykset
    0C _96 _96 _20 0000000010F6 Jännitteenkytkentäkertoja
    C2 _42 _57 __0 00000000002A Lämpötila
    C3 _63 _54 __0 000008E1C467 Laitteistotasolla korjattuja pariteettivirheitä
    C5 100 100 __0 000000000000 Uudelleensijoitusta odottavia sektoreita
    C6 100 100 __0 000000000000 Korjauskelvottomia sektoreita
    C7 200 147 __0 000000000BC7 UDMA-tarkistusvirheitä
    C8 100 253 __0 000000000000 Kirjoitusvirhetiheys
    CA 100 253 __0 000000000000 Osoitteen merkkivirhe
     
  5. oktjnm

    oktjnm Member

    Liittynyt:
    31.08.2012
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    Lisäisin vielä, että Comodo Autorun Analyzerissa näkyi rdpclip.exe (HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms). Onko tämä tavallista näkyä Startup Programsissa (aktiivisena en sitä kuitenkaan missään vaiheessa ole huomannut, eli taskmanagerissa ei ole näkynyt)? Koskaan en ole minkäänlaista etäkäyttöä koneellani tarvinnut.

    Tuo merkintä sekä RAS/Puhelin palveluiden käynnistyminen (niitä ei tosiaan aiemmissa lokimerkinnöissä näkynyt) pistää mietityttämään.
     
    Viimeksi muokattu: 31.08.2012

Jaa tämä sivu