1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Comportamento estranho no computador

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Kayvlim, 19 de Junho de 2007. (Respostas: 3; Visualizações: 2430)

Estado do Tópico:
Fechado a novas mensagens.
  1. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Boas! Este post é muito longo mas é porque estou a tentar dar o máximo de informação possível.

    Desde ontem que tenho reparado num comportamento estranho no meu pc.

    Começou dia 17/06 por volta das 19:55. A firewall (KPF) avisou que o programa "Alertas e registos de desempenho" estava a tentar iniciar. Como achei estranho nunca ter visto este programa, neguei.
    Pouco depois, o mesmo se passa com "Telnet" - tlntsvr.exe. Achei ainda mais estranho estar o servidor de telnet a tentar arrancar. Deny.

    Agora vem o que me preocupou. Não vi o erro, mas vi de relance a janela. Aquela que diz que temos 60 segundos para desligar o computador, típica do Blaster ou do Sasser quando falham. Apenas cheguei a ver o contador a dizer 00:00:00. Logo a seguir, o computador reiniciou.

    Mais nada de anormal se passou ontem. Mas hoje, à mesma hora, voltou a acontecer. Desta vez, nenhum serviço tentou arrancar, e desta vez nem vi a janela. Quando olhei para o computador, o windows já estava a encerrar.

    Um pormenor: o acrobat reader anda a dar uns problemas estranhos no meu computador, e quando eu o ligo uma vez que seja, ao desligar o computador, tenho de Terminar o Processo. Hoje foi uma mais valia, porque o computador não reiniciou enquanto eu não terminei esse processo, e isso deu-me tempo para abrir o gestor de tarefas (que já estava aberto) e ver o processo "dwwin.exe" em execução. Não o conheço.
    Ao procurá-lo, encontro-o em C:\Windows\System32. Proprietário: Administradores (como os restantes)

    Comparei as suas Propriedades com outros executáveis da mesma pasta:
    dwwin.exe:
    drwtsn32.exe (um executável da mesma pasta):
    Presumo então que o dwwin.exe é falso. Para já, porque as versões de (quase?) todos os executáveis do directório System32 são 5.x.2600.0, e porque o nome do ficheiro original não corresponde ao nome actual, e para terminar está em inglês, tendo eu o windows português.


    O registo de eventos mostra o seguinte: (onde não aparece nome de utilizador, é porque estava N/D)

    17-06-2007________________________________________________________



    <rejeitei a tentativa de execução do serviço Alertas e registos de desempenho>

    - 17-06-2007 20:44:19. Origem: Service Control Manager.
    Tempo de espera esgotado (30000 milissegundos) a aguardar pela ligação do serviço Alertas e registos de desempenho.

    - (idem)
    O serviço Alertas e registos de desempenho falhou o arranque devido ao seguinte erro:
    O serviço não respondeu ao pedido de início ou controlo atempadamente.

    - 17-06-2007 20:50:45. Origem: Service Control Manager.
    O serviço Firewall do Windows/Partilha de ligação à Internet (ICS) entrou no estado pausado.

    - (idem)
    Foi enviado com êxito para o serviço Firewall do Windows/Partilha de ligação à Internet (ICS) um controlo Parar.

    - (idem)
    O serviço Serviço de gateway de camada de aplicação entrou no estado pausado.

    - 17-06-2007 20:51:05. Origem: Service Control Manager.
    O serviço NT LM Security Support Provider entrou no estado execução.

    <rejeitei a tentativa de execução do serviço Telnet>

    - 17-06-2007 20:51:35. Origem: Service Control Manager. (<<< 30 segundos após o evento anterior)
    Tempo de espera esgotado (30000 milissegundos) a aguardar pela ligação do serviço Telnet.

    - (idem)
    O serviço Telnet falhou o arranque devido ao seguinte erro:
    O serviço não respondeu ao pedido de início ou controlo atempadamente.


    E para terminar:

    - 17-06-2007 20:57:05. Origem: USER32 (<<<< 5 minutos e 30 segundos após o evento anterior). Utilizador: NT AUTHORITY\SYSTEM

    O processo winlogon.exe iniciou o reinicio de (nome do computador) pela seguinte razão: Não foi possível encontrar um título para esta razão
    Razão menor: 0xff
    Tipo de encerramento: Reiniciar
    Comentário:


    __________________________________________________________________




    No registo de eventos, após o reinício, o Serviço de gateway de camada de aplicação - o mesmo serviço que entrou em estado "pausado" acima - voltou a entrar no estado "execução".

    Existe pouco depois uma entrada relacionada com o dwwin.exe:

    18-06-2007 4:21:09 (quando mandei desligar o computador para ir dormir). Origem: Application Popup.
    Sobreposição de aplicação: dwwin.exe - Falha na inicialização da DLL : A aplicação falhou ao inicializar porque a estação de trabalho está a desligar-se.



    A seguir, no registo de eventos, hoje, à mesma hora, já só encontro um evento especial, e um que é a primeira vez que ocorre:


    18-06-2007________________________________________________________

    - 18-06-2007 19:56:42. Origem: USER32. Utilizador: NT AUTHORITY\SYSTEM

    O processo winlogon.exe iniciou o reinicio de (nome do computador) pela seguinte razão: Não foi possível encontrar um título para esta razão
    Razão menor: 0xff
    Tipo de encerramento: Reiniciar
    Comentário:

    [... erros derivados de eu tentar fazer "shutdown -a" para abortar o shutdown, mas como já estava em encerramento, não deu ...]

    - 18-06-2007 19:59:35. Origem: DCOM. Utilizador: (o utilizador actual)

    O servidor {98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C} não foi registado no DCOM dentro do tempo de espera requerido.
    __________________________________________________________________


    Espero ter dado pormenores suficientes. Desconfio que seja um exploit, mas achava difícil, uma vez que o acesso à net está suspenso. NO ENTANTO, mesmo assim, já antes a firewall avisava de uma tentativa de acesso ao servidor HTTP que está em execução a partir de um computador. O último aviso da firewall que gravei foi o seguinte:

    Durante 2 a 3 dias, esse computador tentava aceder a este, mesmo estando eu com a net suspensa (continua a existir ligação à net, pelos vistos, mas qualquer acesso daqui para a porta 80 de qualquer lugar é redireccionado para uma página de erro da SAPO ADSL, e o acesso às restantes portas está bloqueado). Não sei se está relacionado, mas é mais algo de estranho a passar-se.


    O que achei mais curioso ainda é que o "Serviço de gateway de camada de aplicação" entrou no estado "pausado", assim como a própria Firewall do windows (se bem que esta já estava parada). Algo os mandou parar, e este comportamento não se verifica em mais lado nenhum no Event Viewer.

    O que é o "Serviço de gateway de camada de aplicação"?
    O que é o serviço "Alertas e registos de desempenho"?
    O que se estará a passar? Será algum exploit mal-sucedido que tenta ligar uma shell neste computador com o Telnet?
    Entendo porque é que esse tal exploit queira ligar o servidor telnet, mas não entendo porque é que também quer iniciar o serviço de alertas e registos de desempenho, nem porque é que quer parar o serviço de gateway de camada de aplicação.


    Quando escrevi este post não tinha net. Só tenho por cerca de 1h/dia, e por isso só tenho mesmo tempo de o colocar e fazer outras coisas. Vou investigar tudo isto quando puder, mas mesmo assim prefiro deixar aqui o "testamento" :x

    Obrigado a todos!

    Cumprimentos
    angelofwisdom

    p.s.: não tenho spybot, nem pretendo. A minha única protecção é um anti-vírus que scanna este computador pela rede, e a firewall, por isso, com todo o respeito, posts do tipo "isso é bicharada. corre o spybot" são dispensados.
     
  2. nub

    nub Power Member

    Bom, aproveito aqui este topico para expor a minha situação.

    Ontem foi a 1ª vez que me deparei com 1 erro do "DrWatson PostMortem Debugger" quando ia jogar cs (jogo todos os dias e nunca tinha visto um erro deste tipo).

    Após pesquisar sobre o assunto descobri que se trata de uma aplicação da propria Microsoft mas que está normalmente relacionada com um Trojan de nome AceBot.

    Uma vez que isso me aconteceu uma unica vez acham que posso estar infectado com o tal "AceBot", outro spyware/adware/malware qualquer ou pode ter sido apenas coincidência?
     
    Última edição: 26 de Junho de 2007
  3. Pedrocas

    Pedrocas Banido

    Angelofwisdom: porquê essa aversão ao Spybot? Eu tenho e já me ajudou em várias situações...

    No teu caso, eu fazia uma formatação completa ao disco... deves ter algum virus ou outro tipo de bicharada aí que te provoca isso... formata e instala o Spybot, vais ver que vais gostar...

    Nub: tens o Spybot? Se sim, corre-o e vê se tens algum bicho no pc... corre também o highjackthis e posta o log file.
     
  4. nub

    nub Power Member

    Sim, tenho o SpyBot e faço scans regularmente.

    Neste momento não estou em casa mas farei outro scan mais logo quando chegar.
    Postarei então tambem o log do HijackThis.

    EDIT: Ja' fiz o scan do SpyBot e removi todos os ficheiros encontrados e aqui esta' o log:

     
    Última edição: 26 de Junho de 2007
Estado do Tópico:
Fechado a novas mensagens.

Partilhar esta Página