Jemand saugt an meinem Computer

Seit 30 Stunden werden an meinem Computer (Server mit Betriebssystem „Win2000 Server“) nach Starten der Internetverbindung Daten abgesaugt.
Ein Scannen mit dem allerneuesten Virenupdate von Norton und ein Scannen mit dem allerneuesten Antitrojan ergab nix!!! Der Taskmanager zeigt keinerlei ungewöhnliche Aktivität.

Das Absaugen ist nicht immer, aber zu etwa 90% der Zeit, auch DIREKT nach dem Trennen der Verbindung und einem erneuten Einloggen und DIREKT dach einem Herunterfahren des Comps und einem Neustart mit Einloggen!

Noch dazu: Der Comp ist ein reiner Server (ohne irgendwelche interessanten Daten) mit 2 angeschlossenen Clients mit den eigentlichen Daten.
Das Absaugen erfolgt auch, wenn die Clients ausgeschaltet sind.
Hat jemand da eine Idee??? Danke für jeden Hinweis!

Windows sucks

Seit 30 Stunden werden an meinem Computer (Server mit
Betriebssystem „Win2000 Server“) nach Starten der
Internetverbindung Daten abgesaugt.

Das siehst Du wie genau?

Noch dazu: Der Comp ist ein reiner Server (ohne irgendwelche
interessanten Daten)

mit einem erröteten IIS?

mit 2 angeschlossenen Clients mit den
eigentlichen Daten.
Das Absaugen erfolgt auch, wenn die Clients ausgeschaltet
sind.
Hat jemand da eine Idee???

Ja. Du mußt herausfinden, um was für ein Sauger es sich handelt.

Beim finden des stärksten Saugers könnten die freundlichen Vertreter unter http://www.ethereal.com helfen.

Se „*Schlürf*“ bastian

Seit 30 Stunden werden an meinem Computer (Server mit
Betriebssystem „Win2000 Server“) nach Starten der
Internetverbindung Daten abgesaugt.

Das siehst Du wie genau?

Das seh ich unter: „Status Internetverbindung“

Das siehst Du wie genau?

Das seh ich unter: „Status Internetverbindung“

Dann finde heraus, was für Daten wohin fliessen

Sebastian

Eben das ist ja, was ich nicht kann! Mit dem Link, den Du netterweise genannt hast, konnte ich nicht allzuviel anfangen, weil ein Haufen Voraussetzungen gefordert wurden (Was bereits installeiert sein muß). Ich bin halt ein dummer User. Aber trotzdem vielen Dank!

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

vielleicht gibt auch nur die hard disk langsam den geist auf
und versucht immer wieder, sich zu synchronisieren.
hoert sich so an als wenn einer saugt.
wenn denn kein traffic sein kann…
gruss - digi

vielleicht gibt auch nur die hard disk langsam den geist auf
und versucht immer wieder, sich zu synchronisieren.
hoert sich so an als wenn einer saugt.
wenn denn kein traffic sein kann…
gruss - digi

Nein, kann nicht sein, habs getestet. Außerdem sehe ich ja unter DFÜ, daß pro Sekunde 7,5 KB abgehen, obwohl ich selbst ÜBERHAUPT nicht mache, bzw Outlook UND der IE ausgeschaltet sind UND die beiden Hostcomps runtergefahren sind …

Dann finde heraus, was für Daten wohin fliessen

Eben das ist ja, was ich nicht kann! Mit dem Link, den Du
netterweise genannt hast, konnte ich nicht allzuviel anfangen,
weil ein Haufen Voraussetzungen gefordert wurden (Was bereits
installeiert sein muß). Ich bin halt ein dummer User.

Dann hast Du echt (!!) schlechte Karten. Ich könnte Dir nichteinmal eine Neuinstallation empfehlen (die ja eventuelle Trojaner entfernen würde), denn soetwas ohne Kinntnisse ist schlecht.

Sebastian

Seit 30 Stunden werden an meinem Computer (Server mit
Betriebssystem „Win2000 Server“) nach Starten der
Internetverbindung Daten abgesaugt.
Ein Scannen mit dem allerneuesten Virenupdate von Norton und
ein Scannen mit dem allerneuesten Antitrojan ergab nix!!! Der
Taskmanager zeigt keinerlei ungewöhnliche Aktivität.

Hallo Mike
installier Zone Alarm (ja, Sebastian, ich weiß *g*), dann siehst Du, ob es von Deinem Rechner ausgeht und von welchem Programm.
Ist kostenlos, gibt es hier unter free download:
http://www.zonelabs.com/download/index.html
Deutsche Anleitung hier:
http://www.pcwelt.de/news/vermischtes/11177/
Gruß
Rainer

Alaaf: Hilfe beim saugen - Zonealarm helau!

installier Zone Alarm (ja, Sebastian, ich weiß *g*)

http://www.seue.de/y3k/y3ktext.htm

Ist kostenlos

… sinnfrei und im allgemeinen nicht das, was man möchte.

Rainer, natürlich kannst Du auf mich zählen.

Sebastian

Hallo Se*arrogant*bastian,

weisst Du, Dein Wissen ob der Sicherheit von Computersystemen in allen Ehren. Vielleicht könntest Du Dich mal herablassen einem User der nicht so viel Ahnung hat wie Du zu helfen.

Wenn Du nicht gewillt bist dies zu tun kannst Du eigentlich genauso gut das Posten in dem jeweiligen Thread sein lassen. Nur süffisante Kommentare abzugeben bringt nix.

Begebe Dich doch einfach mal auf die unteren Ebenen auf denen sich niedrige Würmer wie ich sich tummeln. Erleuchte unsere Herzen und öffne uns die Tür zu Deinem überirdischen Wissen ein paar Millimeter damit wir nicht dumm sterben müssen

Bye
Rolf

Windows users: do they suck as well?

Hallo Se*arrogant*bastian,

Hallo, RO"nächtelang am Computer hocken" FL

weisst Du, Dein Wissen ob der Sicherheit von Computersystemen
in allen Ehren. Vielleicht könntest Du Dich mal herablassen
einem User der nicht so viel Ahnung hat wie Du zu helfen.

Das würde ich natürlich nie tun.

Wenn Du nicht gewillt bist dies zu tun kannst Du eigentlich
genauso gut das Posten in dem jeweiligen Thread sein lassen.

Wir sind immerhin im Brett „Sicherheit“. Ein Beitrag, wie "lass es sein, mit Deinem Wissen kannst Du es (noch) nicht hinbekommen ist im Sinne des Bretthemas sinnvoller als „tu einfach die CD rein und klick immer auf oh-keh, und wähle nei allen Einstellungen ‚komfortabel‘“.

Nur süffisante Kommentare abzugeben bringt nix.

„Ich habe da so einen Schraubenzieher gefunden, Ich glaube zumindest, es ist einer, vorher habe ich sowas noch nie gesehen. Erklär’ mal bitte, wie ich die Bremsen an meinem Auto damit festziehe, meine Werkstatt ist da immer so unverschämt teuer.“

Keine süffisanten Antworten bitte.

Wenn jemand keine Plan von Computern hat (und sich selber als DAU bezeichnet), so ist das eine ehrliche und selbstkritische Eischätzung.

Ihm in einem Posting die sichere Andministration eines so komplexen Gerätes wie einem Computer zu erklären ist ja nach Standpunkt unmöglich oder unseriös.

Microsoft hat sich übrigens für zweiteres entschieden, aber das nur nebenbei.

Begebe Dich doch einfach mal auf die unteren Ebenen auf denen
sich niedrige Würmer wie ich sich tummeln. Erleuchte unsere
Herzen und öffne uns die Tür zu Deinem überirdischen Wissen
ein paar Millimeter damit wir nicht dumm sterben müssen

So ein Gelaber hasse ich. Echt. Auch mit Smily.

Aber wenn Du Dir von mir die relevanten Texte vorlesen lassen willst und keinerlei Eigeninitiative zeigst, gilt mein Angebot zum üblichen Stundensatz auch für Dich.

Allen anderen vermittele ich gerne eine Idee für einen Denkanstoß - so ich das kann.

Sebastian

installier Zone Alarm (ja, Sebastian, ich weiß *g*), dann
siehst Du, ob es von Deinem Rechner ausgeht und von welchem
Programm.

Jo Ihr habt gut reden!!!
Hab ich schon längst gemacht, ABER, um mit Zone-Alarm klarzukommen, muß man echt ein Experte sein, die Meldungen die das Prg bringt, sind so kryptisch, daß ich als Laie nix damit anfangen kann.
Die Deutsche Anleidung hab ich entpackt und gestartet, aber in dieser html-Datei scheint es ein Problem zu geben, denn alle erklärenden Bildlinks sind ungültig.

Ich finde es nett, daß Ihr Euch um mich gekümmert habt, aber mein Wissen reicht einfach nicht aus!
Ich hatte auch schon einen Computertechniker hier, aber der hat auch nix rausgefunden!

So ein Gelaber hasse ich. Echt. Auch mit Smily.
Allen anderen vermittele ich gerne eine Idee für einen
Denkanstoß - so ich das kann.

Hallo Sebastian!
Laß Dich nicht anmachen, Du hast es ernsthaft mit mir versucht, der Fehler liegt an mir!
Und ich bedanke mich AUSDRÜCKLICH!
Gruß
Mike

Hab ich schon längst gemacht, ABER, um mit Zone-Alarm
klarzukommen, muß man echt ein Experte sein, die Meldungen die
das Prg bringt, sind so kryptisch, daß ich als Laie nix damit
anfangen kann.

Poste doch mal eine solche Meldung hier rein. Dann können andere diese entschlüsseln und Dir erläutern, was da wo und wie passiert.

CU
Peter

Hi Mike,

Seit 30 Stunden werden an meinem Computer (Server mit
Betriebssystem „Win2000 Server“) nach Starten der
Internetverbindung Daten abgesaugt.

ohne daß ich je an einem Win2k-Server herumgehackt hätte - wollte sagen, ohne daß ich jemals einen gesehen hätte…

Hast Du evtl. ein seltsames email bekommen? Oder eine _lustige_ exe-Datei ausgeführt? Oder sonst etwas in dieser Richtung?

Du könntest versuchen, mittels netstat (wenn´s das bei Win2k gibt) Infos rauszubekommen. Evtl. die Ausgabe hier posten.

Allfällige freigegebene Ordner bzw. Druckerfreigaben zumindest vorübergehend deaktivieren und neu starten. Irgendeine Änderung?

Alle patches eingespielt?

Wenn Du einen sehr guten Kontakt zu einem Techniker Deines Providers hast, kann Dir der sicherlich auch etwas sagen. Der offizielle Weg über den Provider (welcher eigenltich?) könnte mühsam werden. Ohne aussagekräftige logfiles (siehe ganz unten) schaut dieser Weg IMO nicht so gut aus.

Ein Scannen mit dem allerneuesten Virenupdate von Norton und
ein Scannen mit dem allerneuesten Antitrojan ergab nix!!! Der
Taskmanager zeigt keinerlei ungewöhnliche Aktivität.

Scanner sind immer einen Schritt hinterher…

Das Absaugen ist nicht immer, aber zu etwa 90% der Zeit, auch
DIREKT nach dem Trennen der Verbindung und einem erneuten
Einloggen und DIREKT dach einem Herunterfahren des Comps und
einem Neustart mit Einloggen!

Es gibt Programme, die automatisch nach außen melden, daß der Rechner online ist.

Noch dazu: Der Comp ist ein reiner Server (ohne irgendwelche
interessanten Daten) mit 2 angeschlossenen Clients mit den
eigentlichen Daten.

Wer saugt bloß was ab, wenn nichts da ist?? Oder anders gefragt: Wer hat Interesse daran, nichts abzusaugen? *grübel*

Das Absaugen erfolgt auch, wenn die Clients ausgeschaltet
sind.

Dann sind es diese mal nicht.

Hat jemand da eine Idee??? Danke für jeden Hinweis!

Ich würde den Server komplett neu aufsetzen: Irgendjemand saugt Daten, obwohl er das eigentlich nicht soll/darf. Ganz standardmäßig sollte das auch bei Win2k-Server nicht möglich sein. Selbst wenn Du noch einen Trojaner findest und entfernst, wäre das Risiko sehr hoch, daß noch irgendwas „überlebt hat“.

BTW, gibt´s keine Logfiles? Wenn nicht, kann man diese Funktion sicher aktivieren.

Ach ja, eines noch (ich hoffe, ich hab das alles richtig in Erinnerung) - code red muß man nicht installieren, das macht er schon selbst (ganz ohne Doppelclick). Dann werden 100 Tasks geöffnet, die nach IP´s scannen, wo ebenfalls entsprechende Server dahinter stehen, die die updates nicht eingespielt haben. Da tut sich dann wohl einiges bei der Datenübertragung (mein logfile zuhause weiß das ganz genau *g*).

Gruß,
Herbert

Hab ich schon längst gemacht, ABER, um mit Zone-Alarm
klarzukommen, muß man echt ein Experte sein, die Meldungen die
das Prg bringt, sind so kryptisch, daß ich als Laie nix damit
anfangen kann.

Poste doch mal eine solche Meldung hier rein. Dann können
andere diese entschlüsseln und Dir erläutern, was da wo und
wie passiert.

z.B. „es soll eine Verbindung zur IP … aufgabaut werden. Zulassen oder nicht?“

Mit der IP-Nummer weiß ich doch nicht, was dahintersteckt, ein Hharmloser Service, den ich angefordert habe, oder der „Sauger“ …

Hi Mike,

z.B. „es soll eine Verbindung zur IP … aufgabaut werden.
Zulassen oder nicht?“

Mit der IP-Nummer weiß ich doch nicht, was dahintersteckt, ein
Hharmloser Service, den ich angefordert habe, oder der
„Sauger“ …

über die IP kann man den Providers des Gegenübers rausbekommen. Du solltest wissen, ob Du von dort einen „harmlosen“ Service angefordert hast oder nicht.

BTW, unter diesen Umständen solltest Du bis zur Klärung / Lösung keine „harmlosen“ Services anfordern. Besser/sicherer wäre es wohl, daß Du die Sache endgültig aufklärst und entsprechend abstellst.

Gruß,
Herbert

Hast Du evtl. ein seltsames email bekommen? Oder eine
_lustige_ exe-Datei ausgeführt? Oder sonst etwas in dieser
Richtung?

Nein, hab ich NICHT, ich bin extrem vorsichtig, ich öffne niemals exes, nicht einmal eine „doc“.
Außerdem habe ich Activ-X gesperrt

Benötige Input…
Hallo Mike.
Also ganz so unbedarft kannst Du ja nicht sein, wenn der 2000er Server läuft

Seit 30 Stunden werden an meinem Computer (Server mit
Betriebssystem „Win2000 Server“) nach Starten der
Internetverbindung Daten abgesaugt.

Wie ist der Server und wie (wenn überhaupt…) die Clients ans Internet angebunden?
Bei Einwahl über DFÜ-Verbindung: Ist automatische Anwahl aktiviert? Probeweise deaktivieren …

Vielleicht fällt uns ja dann noch was ein
Gruss Uwe