Hallo,
ich habe einen Laptop von einem Freund zur Fehlersuche, die Symptome sind:
- die verfügbare Bandbreite ist nur 8 KByte/s, weniger als eine einzelne ISDN-Leitung! (mehrfach mit
DSLreports Bandwidth Tester überprüft). Ich habe Arcor DSL-2000, was ein vielfaches der Bandbreite
geben sollte.
- Windows XP Dienste: BITS ('Hintergrundübertragungsdienst') und Windows Installer werden nach einigen
Minuten automatisch beendet und wieder auf Start-Typ 'manual' gesetzt, sogar wenn ich wieder auf
'automatisch' eingestellt und manuell neu gestartet habe.
=> Gibt es bekannte Malware die so vorgeht?
- auch merkwürdig: bei KEINEM DIENST werden Abhängigkeiten angezeigt, weder direkte noch 'reverse dependencies'
on this/other services listed)!
=> es gibt ansonsten keine weiteren Merkmale, keine Popups, entführte Suchen, ...
das Problem mit der Bandbreite werde ich mit einem zweiten Router desselben Typs ('SMC Barricade 7004ABR')
überprüfen, wenn ich den im Keller gefunden habe :(.
## Die folgenden Programme haben nichts entdeckt: ##
FSecure Blacklight; ****************; GMER Catchme.exe Userland RK-Detector;
AVG AntiVirus Free Edition; AVG Anti-Spyware; Spyware Blaster; DarkSpy Anti-Rootkit v1.05;
MCAffeeRootkitDetective v1.1.0.1; RootkitRevealer v1.71.0; TrendMicro_rootkitbuster v1.6.1060;
WinPatrol; Avira AntiRootkit Tool - Beta v1.0.1.17; IceSword v1.22;
BitDefender Free Edition v10 - Virus Scan and Rootkit Scan; Moosoft The Cleaner v5 Free;
Moosoft iClean;
Code:
StartupList report, 17.01.2008, 14:19:26
StartupList version: 1.52.2
Started from : D:\Security\HiJackThis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox2\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\unkown\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PFE32.EXE
D:\Security\HiJackThis\HijackThis.EXE
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
avgnt = "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
AVG7_CC = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
!AVG Anti-Spyware = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
Windows Defender = "C:\Programme\Windows Defender\MSASCui.exe" -hide
WinPatrol = C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HijackThis startup scan = D:\Security\HiJackThis\HijackThis.exe /startupscan
SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
NVIEW = rundll32.exe nview.dll,nViewLoadHook
**************** = C:\Programme\****************\****************.exe
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\INF\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
--------------------------------------------------
Shell & screensaver key from Registry:
Shell=Explorer.exe
Checking for EXPLORER.EXE instances:
C:\WINDOWS\Explorer.exe: PRESENT!
Checking for superhidden extensions:
.lnk: not hidden (arrow overlay: yes)
.pif: not hidden (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: not hidden (arrow overlay: NO!)
.url: not hidden (arrow overlay: yes)
.js: not hidden
.jse: not hidden
Enumerating Browser Helper Objects:
(no name) - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll - {C451C08A-EC37-45DF-AAAD-18B51AB5E837}
-----
Enumerating Download Program Files:
[Trend Micro ActiveX Scan Agent 6.6]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\Housecall_ActiveX.dll
CODEBASE = http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
[MUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\muweb.dll
CODEBASE = http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199184414957
-----------------------
Weiss jemand Rat, bzw. fällt etwas auf?