ab April 2006
Systembeschreibung
| Hardware | |
|---|---|
| Prozessor | Intel Celeron 2,6 GHz |
| Speicher | 768 MB |
| Grafikkarte | ATI Mobility Radeon 9000 IGP |
| Schnittstellen | 1 x seriell, 1 x Modemausgang, 2 x PS/2, 1 x USB, 1 x Dockingstation; 1 x IDE ATA/ATAPI, 1 x IEEE 1394, 1 x IrDA |
| HDD | IC25N040ATMR04-0, 40 GB |
| CD/DVD | HL-DT-ST DVD-RW GWA-4040N |
| Netzwerk | 1394-Netzwerkadapter Prism 802.11g Wireless Adapter Realtek RTL8139/810x Family Fast Ethernet NIC |
| Sound | Realtek AC'97 Audio |
| Modem | Intel 537EA onboard |
| Maus | Synaptics PS/2 Port TouchPad |
| Software | |
| Betriebssystem | Microsoft Windows XP Home Edition Version 2002, ServicePack 1 |
| Virenscanner | AntiVir |
| Firewall | Sygate Personal Firewall |
10. April 2006
Das Notebook soll für T-DSL vorbereitet werden. Außerdem war es seit ca. einem Jahr nicht mehr am Netz, sodaß die Software einige Updates benötigt.
Nach der Installation der T-Online-Software 5.0 versuche ich zuerst ein Update von AntiVir. Das Programm möchte vier Bereiche updaten: Hauptprogramm, Scanner, Signaturen und noch irgendwas. Während die anderen Bereiche geladen werden, führt mich der Install-Assistent durch die Reinstallation des Hauptprogramms, und danach wollte man natürlich rebooten. Der Download der anderen Bereiche, insbesondere der aktuellen Virensignaturen, wurde dabei unterbrochen.
Nach dem Reboot zeichnet sich der Rechner vor allem durch massive Langsamkeit aus. Programme brauchen Minuten, um zu laden; ja selbst das Herunterklappen eines Menüs oder das Öffnen des „Arbeitsplatzes” dauert minutenlang, sodaß ich nie weiß, ob ein Mausklick jetzt verstanden wurde oder nicht. Erster Verdacht: Da hat sich wohl ein Wurm eingeschlichen. (Davor, daß das passieren könnte, hatte ich $Eigentümer vorher gewarnt.)
Also rufe ich den Taskmanager auf, der sich nach einigen Minuten auch tatsächlich dazu bequemt, zu erscheinen. Darin findet sich eine Datei, die ich von einem anderen System her als Schädling kannte: wuauclt.exe, die Sophos als Troj/Cult.B einstuft — ein Backdoor-Trojan, der es Dritten erlaubt, über IRC-Kanäle die Kontrolle über den Rechner zu übernehmen.
Mehrere Versuche, die T-Online-Software wieder zu starten oder sonstwie eine Verbindung ins Internet zu bekommen, schlagen fehl. Also packe ich das Gerät ein, um es von zu Hause aus über meinen Hardware-Router ins Netz zu bringen.
10. April 2006, Fortsetzung nach Ortswechsel
Schneller ist er durch den Ortswechsel jedenfalls nicht geworden. Der Bootvorgang scheint immer länger zu werden.
Im IRCNet bekomme ich den Tip, wuauclt.exe nicht grundsätzlich als Trojan einzustufen, es hänge davon ab, wo die Datei stehe; denn es gebe tatsächlich eine Systemdatei mit diesem Namen unter C:\WINDOWS\system32\. Sophos erwähnt das nicht! Tatsächlich finde ich den bei Sophos erwähnten Eintrag in der Registry nicht, und die Datei zu diesem Prozeß steht nicht wie von Sophos beschrieben direkt im Systemordner, sondern in system32\. Also gehe ich erstmal davon aus, daß zumindest diese Datei kein Wurm ist.
Bleibt die Frage: Warum ist die Kiste so langsam?
Ich konfiguriere TCP/IP neu, denn da stand noch eine nicht private IP-Adresse drin. Außerdem gebe ich die Nameserver von T-Online sowie die IP meines Hardware-Routers als Gateway ein. Aber auch eine spätere Änderung der Nameserver bringt: Mit IP komme ich raus (ping), mit Domainnamen nicht. Es gibt also keine Namensauflösung. AntiVir und WinXP können so ihre Updates nicht ziehen, und ich komme auch nicht an zwei Programme von CHIP, die die Registry und die Platte aufräumen sollen.
Da mein Hauptrechner seerose parallel am selben Router hängt und zeitgleich seine Namensauflösung anstandslos bekommt, muß es wohl am WinXP oder einer darauf installierten Software liegen. Ansonsten hätte ich als nächstes meinen Router im Verdacht gehabt, der gelegentlich auch was gegen Namensauflösungen hat.
11. April 2006
Das Starten des Rechners dauert jetzt schon eine Viertelstunde. Das Zusammensammeln der Rechnerdaten (für obige Tabelle) dauert ca. eine Stunde, weil jedes Öffnen ewig lang dauert. Manchmal weiß ich nicht sicher, ob überhaupt etwas reagiert hat. Rekord ist das Öffnen der Systemsteuerung: Das Fenster geht nach ca. 10 Minuten auf. Der Arbeitsplatz reagiert erst gar nicht, und dann krieg ich das Fenster gleich fünfmal.
Ich habe wegen der Namensauflösung primär die Sygate Firewall im Verdacht und schalte diese ab. Aber es bleibt dabei: Keine Namensauflösung. Schneller wird er auch nicht.
WinXP-eigene Firewall abgeschaltet. Immer noch keine Namensauflösung.
OK, andere Herangehensweise: AntiVir darf sich mal austoben, auch wenn die Virensignaturen vom 27.03.2006 und damit nicht gerade super-aktuell sind.
11. April 2006, im Chaosdorf-Clubraum
AntiVir schalten wir nach über 2,5 Stunden und immer noch unter 900 untersuchten Dateien ab.
Verdacht: DMA könnte abgeschaltet sein. Es dauert wieder ewig, bis die Eigenschaften des IDE-Controllers angezeigt werden, aber DMA ist eingeschaltet.
Ein Reboot in den „Abgesicherten Modus” bringt uns volle Geschwindigkeit! Es liegt also nicht am Grundsystem oder an dessen Treiber. Beim Reboot in den Normalmodus nehmen wir so nebenbei der Grafikkarte einiges RAM weg; ihr wurden 64 MB zugeteilt, das ist unnötig viel; jetzt hat sie nur noch 16 MB, was immer noch dicke ausreicht.
Im Normalmodus verhält er sich dann wieder 286er-mäßig. Wir könnten noch stunden- und tagelang danach suchen, welches Programm die Bremse ist — zumal sich unter Windows Würmer vor der Anzeige im Taskmanager schützen können. Sinnvoller erscheint jedoch eine Neuinstallation (die typische Windows-Fehlerbehandlung: RRR — retry, reboot, reinstall).
$Eigentümer muß dann entscheiden, ob es bei WinXP bleiben soll, oder ob vielleicht doch ein Umstieg auf Linux sinnvoll ist.
![[LOGO] W3C - valid XHTML 1.0](/bilder/valid-xhtml10.png){kind=small}