Wer schickt Daten auf meinen Computer?

Anonym · 16. Juli 2001 um 00:39

Hallo, ich habe da seit ein paar Tagen ein seltsames Phaenomen:
Sofort nach Start der Internet-Verbindung zeigt das Verbindungsfester an, dass ca alle 15 Sekunden 12.500 Bytes empfangen werden.
Habe mit fprot auf Viren gescannt - nichts! Habe Zone-Alarm installiert.
Ob gelockt oder ungelockt: Es aendert sich nichts. ZoneAlarm zeigt KEINE Datenbewegung an! Es sind im Moment auch nur zwei Programme offen: Eodora und IE. Nur die beiden werden im Zone-Alarm angezeigt - keine Bewegung waerend des Datenempfangs. Aber auch wenn diese beiden zu sind, zeigt Zonealarm garnichts an und trotzdem kommen alle paar Sekunden ca 12.500 Bytes an (lt Verbindungs-Fenster.
Wie kann ich herausfinden was da passiert??? Hat jemand eine Idee?
Gruss
Christian

Anonym · 16. Juli 2001 um 02:29

Wer ist 172.22.32.2 ?
Hallo, ich bins noch einmal.

Habe eben von Zone Alarm die Meldung bekommen:
The firewall has blocked Internet access to your computer (Route) from 172.22.32.2 (Route).
Occurred: 12 times between 15.07.01 19:23:48 and 15.07.01 19:58:02

Wie kann ich denn herausbekommen wer das ist?
Tracert hat nur eine Zeile gebracht und da stand auch nur die IP drin. Bedeutet dass, dass es eventuell direkt von meinem Zugangsprovider kommt (Bin nicht in Deutschland !). Sonst muesste tracert doch den Weg bis zum IP-Inhaber verfolgen oder?

Danke fuer jeden Hinweis!
Christian

Anonym · 16. Juli 2001 um 07:23

Da 172.16.x.x - 172.31.x.x private IP Adressen sind, welche nicht durch das Internet geroutet werden, kann also der Datenverkehr nur

a) von deinem Rechner selbst kommen (wenn er diese IP auf irgendeinem Interface hat)

b)aus deinem LAN oder aus damit verbundenen (privaten!) gerouteten Segmenten

c) oder dein Provider verwendet intern dieses Netz (um z.B. dann über NAT ins Internet zu routen)

Mirko

Rainer_Dick_a12ecb · 16. Juli 2001 um 09:11

Hallo, ich habe da seit ein paar Tagen ein seltsames
Phaenomen:
Sofort nach Start der Internet-Verbindung zeigt das
Verbindungsfester an, dass ca alle 15 Sekunden 12.500 Bytes
empfangen werden.
Habe mit fprot auf Viren gescannt - nichts! Habe Zone-Alarm
installiert.
Ob gelockt oder ungelockt: Es aendert sich nichts. ZoneAlarm
zeigt KEINE Datenbewegung an! Es sind im Moment auch nur zwei
Programme offen: Eodora und IE. Nur die beiden werden im
Zone-Alarm angezeigt - keine Bewegung waerend des
Datenempfangs. Aber auch wenn diese beiden zu sind, zeigt
Zonealarm garnichts an und trotzdem kommen alle paar Sekunden
ca 12.500 Bytes an (lt Verbindungs-Fenster.
Wie kann ich herausfinden was da passiert??? Hat jemand eine
Idee?

Hallo Christian
könnte vielleicht Eudora sein, da ist spyware von Radiate eingebaut.
No Aura leit die Anfage an den localhost um, probiers mal:
http://www.spychecker.com/noaura.html
Gruß
Rainer

Markus_Bradtke · 16. Juli 2001 um 09:11

Habe eben von Zone Alarm die Meldung bekommen:
The firewall has blocked Internet access to your computer
(Route) from 172.22.32.2 (Route).
Occurred: 12 times between 15.07.01 19:23:48 and 15.07.01
19:58:02

Wie kann ich denn herausbekommen wer das ist?
Tracert hat nur eine Zeile gebracht und da stand auch nur die
IP drin. Bedeutet dass, dass es eventuell direkt von meinem
Zugangsprovider kommt (Bin nicht in Deutschland !). Sonst
muesste tracert doch den Weg bis zum IP-Inhaber verfolgen
oder?

Hallo Christian!

172.22.32.2 bist Du selbst!
(beide Rechner heißen ‚Route‘ und trecart liefert nur eine Zeile!)

Vermutlich verwendest Du ein Programm, bei dem Backend und Frontend (grafische Oberfläche) über Sockets kommunizieren. Dieser Datenverkehr ist rein intern. Da er nicht über Netzwerkkarte, ISDN-Karte, Modem, etc. läuft, wird er von ZoneAlarm nicht detektiert.

Du könntest Dir z.B. die Tiny Personal Firewall installieren.
http://www.tinysoftware.com/
Diese ist auch in der Lage, solchen lokalen Traffic zu filtern und Dir das betreffende Programm zu benennen.

CU
Markus

Anonym · 24. Juli 2001 um 18:12

Vermutlich verwendest Du ein Programm, bei dem Backend und
Frontend (grafische Oberfläche) über Sockets kommunizieren.
Dieser Datenverkehr ist rein intern. Da er nicht über
Netzwerkkarte, ISDN-Karte, Modem, etc. läuft, wird er von
ZoneAlarm nicht detektiert.

Bist du dir da sicher?
Also bei mir hatte ZoneAlarm mehrmals Zugriffe auf 127.0.0.1 gemeldet…

Habe ZoneAlarm wieder deinstalliert da es täglich mehr Probleme machte. Erst zeigte der Explorer keine Eigenschaften mehr an, dann verweigerte IIS seinen Dienst und noch so ein paar Kleinigkeiten…

Udo

Markus_Bradtke · 24. Juli 2001 um 20:31

Vermutlich verwendest Du ein Programm, bei dem Backend und
Frontend (grafische Oberfläche) über Sockets kommunizieren.
Dieser Datenverkehr ist rein intern. Da er nicht über
Netzwerkkarte, ISDN-Karte, Modem, etc. läuft, wird er von
ZoneAlarm nicht detektiert.

Bist du dir da sicher?
Also bei mir hatte ZoneAlarm mehrmals Zugriffe auf 127.0.0.1
gemeldet…

Auf 127.0.0.1 mag angehen, aber von wo kamen die Pakete - tatsächlich auch von 127.0.0.1?

CU
Markus

Anonym · 25. Juli 2001 um 01:10

Auf 127.0.0.1 mag angehen, aber von wo kamen die
Pakete - tatsächlich auch von 127.0.0.1?

Ja, Windows selbst erstellt ja ein paar localhost-Verbindungen (zu sehen mit netstat) und daher kamen wohl auch die Meldungen.
Ich hab zwar auch einen kleinen Proxy (Proximotron) auf 127.0.0.1 installiert aber das Programm wurde bereits bei ZoenAlarm registriert und es griffen nicht immer nur Browser auf die Adresse zu. Es war auch nicht der Port 8080 des Proxys sondern andere Ports (weiss jetzt aber nicht mehr welche).

Die verschiedensten Programme griffen darauf zu, darunter der Datei-Explorer, Word und einige Systemprozesse.

Udo