Nach HAUSE telefonieren

Internet Internet Sicherheit
#1

Liebe Experten.

Habe mich getsern etwas gewundert. Als ich den Rechner so langsam ausmachen wollte und bereits den Feuerfuchs und den Donnervogel „schlafen geschickt hatte“, blinkte mein DSL-Modem wie verückt.
Also hab ich mit der rechten MT auf die Netzwerkverbindung geklickt und mir den Status anzeigen lassen. Da hab ich dann gesehen, daß meine Möhre permanent Daten am empfangen war.
Aber ich kann mir nicht erklären, WOHER.
Hab also nochmal schnell AVG und Antivir geupdatet, obwohl ich das bereits am Morgen getan hatte. Dann hab ich in dieser Reihenfolge Hijackthis, Ad-Aware, Antivir und AVG durchlaufen lassen, lediglic Ad-Aware hatte die üblichen Sachen zu bemängeln (Recent files…)
Mein BT-Client (Azureus) ist auch schon seit einigen Tagen nicht mehr an gewesen.
Woran kann es noch liegen?

Dank und Gruß
Sticky

#2

Hallo Sticky,

Woran kann es noch liegen?

Vielleicht das automatisches Update von Windows? (Was benutzt Du eigentlich?)

Gruß
Christian

#3

Liebe Sticky

Also hab ich mit der rechten MT auf die Netzwerkverbindung
geklickt und mir den Status anzeigen lassen. Da hab ich dann
gesehen, daß meine Möhre permanent Daten am empfangen war.
Aber ich kann mir nicht erklären, WOHER.

Und was hat HijackThis reklamiert, war da ein unbekannter Server dabei? Wenn wieder mal sowas auftritt, solltest du von http://www.sysinternals.com den TCPView und den ProcessExplorer aktivieren, die zeigen dir dann ganz genau, was sich abspielt. Eine gute Vorsichtsmaßnahme für w2k&XP ist auch die Konfiguration des Systems mit einem Script von http://www.ntsvcfg.de

der hinterwäldler

#4

Hallo Hinterwäldler,

Danke für die super Links.

Alle Einträge waren nach Hijacktihis GUT. Außer Pineprint, welches ihm unbekannt war bemängelte es, daß AVG (der Antivirus) sich in C:\Programme… anstelle von C:\Program Files… befindet, was IMHO bei einem deutschsprachigen XP-Pro unbedenklich sein dürfte.

Aber, was mir gerade einfällt, wäre es möglich, daß Arcor ein Remote-Firmware-Update des DSL-Modems durchgeführt hat,so wie die Telekom das einst tat?

Gruß,
Sticky

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#5

Hallo Christian,

Das automatische Update war es nicht, glaub ich zumindest, da das Update-Icon nicht im Systray war. Außerdem stand nichts im Taskmanager und beim Update sendet mein Rechner ja normalerweise auch, aber gester stieg nur die Anzeige bei „Empfangen“.

Gruß,
Sticky

PS:

(Was benutzt Du eigentlich?)

System:
Willst du das wirklich wissen?Bitte nicht lachen!!!
Versprochen???
Ok, aber setz dich bitte vorher :wink:
Celeron 366 MHz (FCPGA)
Riva-TNT 2
384 MB SD-Ram
Winbond PCI-Netzwerkkarte
Windows XP Pro SP2
Zwar nicht mehr die schnellste Aller Möhren, aber für meine Bedüfnisse völlig ausreichend (Surfen, Sim-City, AOE 2, Emails, Word, Excel)

Menno, du hast versprochen nicht zu lachen ;-\

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#6

Hi stickyams,

mit z.B. ZoneAlarm (freeware Version) kannst Du die „Telefonate nach Hause“ problemlos verhindern. Die winword.exe beispielsweise hat es bei mir dieser Tage 30x hintereinander ergebnislos versucht.

Grüße
jwd

#7

ZoneAlarm
Hallo jwd,

Danke für den gutgemeinten Tip, aber ZoneAlarm hat mein Museumsteil schon öfter zum Absturz gebracht. Seit ich Windoof Firewall aktiviert hab, hatte ich auch keine Probleme mehr diesbezüglich.

Gruß
Sticky

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#8

Lieber Sticky

Alle Einträge waren nach Hijacktihis GUT. Außer Pineprint,
welches ihm unbekannt war bemängelte es, daß AVG (der
Antivirus) sich in C:\Programme… anstelle von
C:\Program Files… befindet, was IMHO bei einem
deutschsprachigen XP-Pro unbedenklich sein dürfte.

Weisst du was Pineprint für ein Programm ist? Wenn nicht, dann wirf es mal http://virusscan.jotti.org/de/ zum Frass vor. Ich habe im Internet ein pineprint.net gefunden, aber keinen Kontakt erhalten. Es könnte ein Proxi sein, na dann Prost Malzeit. Auf alle Fälle den Script von http://www.ntsvcfg.de sofort ausführen. Auch in Bezug auf das Problem:

Aber, was mir gerade einfällt, wäre es möglich, daß Arcor ein
Remote-Firmware-Update des DSL-Modems durchgeführt hat,so wie
die Telekom das einst tat?

Ist bei dir Remote aktiv? Da mußt du dort mal selbst nachfragen. Das müsste irgendwo auf dessen Seiten vermerkt sein. So richtig glauben kann ich es aber nicht.

Ich vermute am ehesten, das du mit MS-Update Kontakt hattest. Gucke mal in Systemsteuerung-Automatische Update ob es aktiv ist und rechne gegebenfalls mal den Tag nach.

der hinterwäldler

1 Like
#9

Habe mich getsern etwas gewundert. Als ich den Rechner so
langsam ausmachen wollte und bereits den Feuerfuchs und den
Donnervogel „schlafen geschickt hatte“, blinkte mein DSL-Modem
wie verückt.

Ich habe für solche Fälle ActivePorts http://www.protect-me.com/freeware.html (welches Programm unterhält welche Verbindungen nach aussen) und ethereal http://www.ethereal.com/ (welche Daten werden dabei übertragen) im Einsatz. Als ich heute früh in meinem Firewall-Log lesen musste, dass mein Rechner sich über nacht zigtausende mal an der Firewall den Kopf eingerannt hat, hatte ich mit ActivePorts den Übeltäter schnell am Kanthaken: HP ProCurve Manager, der zu blöd ist, eine Netzwerkmaske 255.255.255.255 zu verstehen und die ganze Welt nach meinen Switches abgesucht hat.

Gruss
Schorsch

#10

sorry, ich meinte Fineprint…
Hallo Hinterwäldler,

Weisst du was Pineprint für ein Programm ist?

Sollte natürlich **F>/B>ineprint heißen!(war ein Unachtsamkeitstippfehler meinerseits) Das Tool ist m.E. unbedenklich, nur daß es aus einer deutschen Softwareschmiede stammt, und daher wahrscheinlich hijackthis nicht bekannt ist.
http://www.context-gmbh.de/1_1_1_0_0_fineprint_daspr…
Habe deinen Tip mit TCPView befolgt und es runtergeladen, bin mal gespannt, wann das „Phänomen“ wieder auftaucht.
Werde mich ggf. nochmal zu Wort melden.

Gruß
Sticky**

#11

Ich habe für solche Fälle ActivePorts
http://www.protect-me.com/freeware.html (welches Programm
unterhält welche Verbindungen nach aussen) und ethereal
http://www.ethereal.com/ (welche Daten werden dabei
übertragen) im Einsatz. Als ich heute früh in meinem
Firewall-Log lesen musste, dass mein Rechner sich über nacht
zigtausende mal an der Firewall den Kopf eingerannt hat, hatte
ich mit ActivePorts den Übeltäter schnell am Kanthaken: HP
ProCurve Manager, der zu blöd ist, eine Netzwerkmaske
255.255.255.255 zu verstehen und die ganze Welt nach meinen
Switches abgesucht hat.

Gruss
Schorsch

Hallo Schorsch,

Auch dir Danke für die Tips. Werde auch diese ausprobieren.

Gruß
Sticky, dessen richtiger Name die Ursprungsform deines Nicks ist :wink:

#12

Urban Legend…
Hallo jwd

mit z.B. ZoneAlarm (freeware Version) kannst Du die
„Telefonate nach Hause“ problemlos verhindern.

Das ist ein weit verbreiteter Irrtum. IMHO in Richtung Urban Legend.

Sogenannte Personal Firewalls (PFW) können prinzipbedingt nur einen Teil dieser ‚Telefonate‘ erkennen und verhindern. Es gibt für jede Software diverse Möglichkeiten, eine allfällige PFW zu umgehen.

CU
Peter