Supportnet / Forum / DSL
Hilfe - mein PC sendet ungefragt Daten!!!
Frage
Hallihallo,
ich habe ein Problem mit meinem PC und dem WWW und hoffe, daß mir hier jemand helfen kann: ich habe Windows XP Home (Service Pack 2 und alle wichtigen Sicherheitsupdates sind installiert) und gehe über ein Fritz-DSL-USB-Modem (neueste Treiber sind installiert) via Mozilla Firefox (ebenfalls auf dem neuesten Stand) ins Internet.
Seit etwas über einer Woche fällt mir auf, dass mein PC beim Surfen jedesmal wenn ich Daten empfange (also wenn ich eine Seite im Internet aufrufe oder etwas downloade), gleichzeitig auch eine kleine Menge Daten überträgt (circa ein Achtel bis ein Zehntel der empfangenen Datenmenge), obwohl ich ihn nicht dazu "aufgefordert" habe.
Mittlerweile habe ich schon das Folgende versucht, um der Sache auf den Grund zu gehen:
1. Folgende Virenscanner (vorher upgedatet) habe ich durchlaufen lassen, ohne daß was Verdächtiges gefunden wurde: Antivir, McAffee Stinger, Symantec Online-Virenerkennung und -Sicherheitscheck, Ewido Security Suite, Bugbear Removal Tool, Klez Removal Tool
2. Folgende Spywarescanner (ebenfalls upgedatet) habe ich ohne Ergebnis durchlaufen lassen: Spybot Search & Destroy, Ad-Aware, A2 (bzw. A squared)
3. Mit folgenden Programmen habe ich die laufenden Prozesse und Startmenü-Einträge überprüft - ebenfalls ergebnislos: Windows-Taskmanager, Security-Taskmanager, Process-Explorer, RegSeeker, TCP View
4. Folgende Firewalls hatte ich beim surfen mitlaufen lassen - und nichts gefunden: Zone Alarm, Sygate
5. Darüberhinaus habe ich direkt nach dem ersten Auftreten dieses Phänomens mit der "klassischen" Windows-Suchfunktion meine Festplatte nach in den letzten 24 Stunden neu erstellten Programmen abgesucht - ergebnislos
6. Weiterhin habe ich mit Symantec Ghost 9.0 ein zwei Tage altes Backup-Image (also aus der Zeit, bevor das Phänomen das erste Mal aufgetreten ist) aufgespielt, aber mein Rechner sendete munter weiter heimlich und unaufgefordert kleine Datenmengen, während ich surfte. Selbst als ich ein circa 1 Monat altes Backup-Image aufspielte, sendete der PC trotzdem munter Daten ins www, obwohl ich mir hundertprozentig sicher bin, daß er das vor vier Wochen noch nicht getan hat!
7. Zuguterletzt habe ich mich nochmal vergewissert, daß die folgenden Windows-Dienste ausgestellt sind: Automatische Updates, Fehlerberichterstattung, Nachrichtendienst, Taskplaner, Uhrzeitsynchronisierung, Remoteunterstützung. Alle anderen Programme, die auf meinem PC sind (also irgendwelche Player, Viewer usw.), habe ich ebenfalls so eingestellt, daß sie sich nicht automatisch updaten (und diese und ähnliche Funktionen auch nicht beim Systemstart mitgeladen werden).
Hat irgenjemand eine Ahnung, was denn sonst noch für so einen unerwünschten Datentransfer verantwortlich sein könnte? Ich bin mit meinem Latein am Ende, denn obwohl diese ganze Armee von Antiviren-, Antispyware- und Systemüberwachungstools keinen Schädling entdecken konnte, kann es sich meiner Meinung nach trotzem nicht um einen "natürlichen" Vorgang handeln, da das Phänomen erst seit ein paar Tagen (in denen ich keinerlei neuen Programme oder ähnliches installiert habe), und nicht schon von Anfang an (den PC habe ich mir vor circa einem halben Jahr zusammenstellen und -bauen lassen) aufgetreten ist.
Für jede Hilfe -sei es eine Problemlösung oder nur eine weitere Möglichkeit der Analyse- bin ich mehr als dankbar!
viele Grüße,
Christopher Schech
Antwort 1 von jill--out
was soll daran ungewöhnlich sein???
dein browser muss doch die webseiten anfordern, und dazu gehen daten von deinem pc ins internet zum webserver weg....
dein browser muss doch die webseiten anfordern, und dazu gehen daten von deinem pc ins internet zum webserver weg....
Antwort 2 von ThomasL1978
Stimmt, ist nicht ungewöhnlich, unter anderem wird damit auch der Empfang der Daten dem Server mitgeteilt von dem du eine Datei herunter lädst oder eine Seite aufrufst.
Das ist sogar zwingend erforderlich, denn wenn du eine Seite aufrufst und bei der Übertragung der Daten zu deinem Rechner einige Pakete deinen Rechner nicht erreichen, dann werden diese neu angefordert, und das siehst du dann als "kleinen Upload".
Gruß
Thomas
Das ist sogar zwingend erforderlich, denn wenn du eine Seite aufrufst und bei der Übertragung der Daten zu deinem Rechner einige Pakete deinen Rechner nicht erreichen, dann werden diese neu angefordert, und das siehst du dann als "kleinen Upload".
Gruß
Thomas
Antwort 3 von bambam
wenn du aber meinst, dein pc sendet daten während du garnichts am pc machst, also nicht surfst etc. ... kann gib ab und zu mal das kommando
ein, das zeigt dir die programme die ne internetverbindung offen haben, an....
netstat -ab
ein, das zeigt dir die programme die ne internetverbindung offen haben, an....
Antwort 4 von pflpft
...sorry, vielleicht habe ich mich mißverständlich ausgedrückt: klar hat mein PC schon immer aus den von Euch genannten Gründen kleine Datenmengen verschickt, aber seit knapp einer Woche ist die Menge auffällig größer geworden (sonst wäre es mir auch nicht eine Frage im Supportnet wert gewesen).
Grüße,
Christopher Schech
Grüße,
Christopher Schech
Antwort 5 von pflpft
Wenn ich netstat -ab eingebe und dann auf eine x-beliebige Seite surfe (während das bewußte Phänomen auch wieder auftritt), wird folgendes angezeigt:
C:\Windows\system32\mswsock.dll
C:\Windows\system32\WS2_32.dll
C:\Windows\system32\DNSAPI.dll
C:\Windows\system32\dnsrslvr.dll
C:\Windows\system32\RPCRT4.dll
(svchost.exe)
Grüße,
Christopher Schech
C:\Windows\system32\mswsock.dll
C:\Windows\system32\WS2_32.dll
C:\Windows\system32\DNSAPI.dll
C:\Windows\system32\dnsrslvr.dll
C:\Windows\system32\RPCRT4.dll
(svchost.exe)
Grüße,
Christopher Schech
Antwort 6 von otimac
hai,
hier kannst du dir eine 30tage version eines packet sniffers
herunterladen
>>link<<
damit kannst du den gesamten netztransfer beobachten
cu
hier kannst du dir eine 30tage version eines packet sniffers
herunterladen
>>link<<
damit kannst du den gesamten netztransfer beobachten
cu
Antwort 7 von pflpft
Okay, ich werde dieses "Ether Detect" mal testen. Das sieht aber schon ziemlich nach ´nem Tool für Fortgeschrittene aus, und ich fürchte, da komme ich nicht mit. Nach was muß ich denn da Ausschau halten..?
Antwort 8 von Das_Urmel
Die Jungs hier kennen XP nicht richtig, weil die meisten bloss damit spielen.
netstat -aon und dir wird etliches mehr angezeigt.
Willst du mehr wissen, dann tcpview.
Ethereal nur sinnvoll willst du Inhalte sehen - ist wohl in deinem Fall etwas überzogen.
Abgesehen davon - ein Bruchteil, so um die 10% oder mehr je nach Leitungsqualität und Hops / Router die zwischen dir und dem Endziel liegen, bejaht Windows, bzw. das Protokol TCP den Empfang der Pakete was in Outbound Traffic resultiert.
Alles gesetzt den Fall, deine Beobachtung ist richtig - outbound gering. :)
netstat -aon und dir wird etliches mehr angezeigt.
Willst du mehr wissen, dann tcpview.
Ethereal nur sinnvoll willst du Inhalte sehen - ist wohl in deinem Fall etwas überzogen.
Abgesehen davon - ein Bruchteil, so um die 10% oder mehr je nach Leitungsqualität und Hops / Router die zwischen dir und dem Endziel liegen, bejaht Windows, bzw. das Protokol TCP den Empfang der Pakete was in Outbound Traffic resultiert.
Alles gesetzt den Fall, deine Beobachtung ist richtig - outbound gering. :)
Antwort 9 von pflpft
Verstehe ich Dich also richtig, daß die von mir beobachtete Menge an gesendeten Daten (s.o.) noch im normalen Bereich liegt? Trotz allem ist es seltsam, da diese Menge vor etwas über einer Woche noch wesentlich geringer war...
Was genau macht denn das von Dir angesprochene "Ethereal"?
TCP View hatte ich übrigens schon ausprobiert (s.o.), hat aber nichts Verdächtiges zutage gefördert.
Ich hatte oben noch vergessen, eine Frage von bambam zu beantworten: es werden nur Daten versendet, wenn ich online bin und surfe oder downloade (dann aber permanent) - mache ich nichts, geht auch nichts raus.
Grüße,
Christopher Schech
Was genau macht denn das von Dir angesprochene "Ethereal"?
TCP View hatte ich übrigens schon ausprobiert (s.o.), hat aber nichts Verdächtiges zutage gefördert.
Ich hatte oben noch vergessen, eine Frage von bambam zu beantworten: es werden nur Daten versendet, wenn ich online bin und surfe oder downloade (dann aber permanent) - mache ich nichts, geht auch nichts raus.
Grüße,
Christopher Schech
Antwort 10 von Luke_Filewalker
Will Urmel nicht vorgreifen, nur soviel: Ethereal ist ein Profitool das definitiv nicht für jemanden geeignet ist, der sich noch nie mit Netzwerk-Protokollen beschäftigt hat (zumindest Grundwissen).
Bei der "Armee" an Tools die Du schon eingesetzt hast, (Respekt nebenbei, so gründlich gehen nur die wenigsten vor), fällt mir auch nur noch ein, AdAware mal im Deepscan anstatt Quickscan laufen zu lassen. Quickscan ist gut um sich mal "kurz" einen Überblick zu verschaffen, Deepscan ist sehr viel gründlich und leider auch recht Zeitintensiv.
Ansonsten würde ich sagen wenn diese ganzen Tools nichts gefunden haben, dass es sich um normalen Traffic innerhalb der Protokolle handelt. Aber das lässt sich wirklich erst dann genau sagen, wenn man den gesamten Protokoll-Traffic mit z.B. Ethereal analysiert. Dies solltest Du aber jemanden machen lassen, dem die ganzen Paketdaten auch was sagen.
Bei der "Armee" an Tools die Du schon eingesetzt hast, (Respekt nebenbei, so gründlich gehen nur die wenigsten vor), fällt mir auch nur noch ein, AdAware mal im Deepscan anstatt Quickscan laufen zu lassen. Quickscan ist gut um sich mal "kurz" einen Überblick zu verschaffen, Deepscan ist sehr viel gründlich und leider auch recht Zeitintensiv.
Ansonsten würde ich sagen wenn diese ganzen Tools nichts gefunden haben, dass es sich um normalen Traffic innerhalb der Protokolle handelt. Aber das lässt sich wirklich erst dann genau sagen, wenn man den gesamten Protokoll-Traffic mit z.B. Ethereal analysiert. Dies solltest Du aber jemanden machen lassen, dem die ganzen Paketdaten auch was sagen.
Antwort 11 von pflpft
Ad Aware hatte ich schon im Deepscan-Modus benutzt - wie gesagt ohne Erfolg.
Dann werde ich mal Ethereal testen...wie erkennt man denn überhaupt in den Protokolldaten, ob etwas Verdächtiges dabei ist (sorry, bin in so Sachen ein absoluter Neuling)?
Sollte das nichts bringen, werde ich dieses Phänomen wohl im Kapitel "Seltsam, aber so steht es geschrieben" in meinen gesammelten PC-Annalen abheften...
Grüße,
Christopher Schech
Dann werde ich mal Ethereal testen...wie erkennt man denn überhaupt in den Protokolldaten, ob etwas Verdächtiges dabei ist (sorry, bin in so Sachen ein absoluter Neuling)?
Sollte das nichts bringen, werde ich dieses Phänomen wohl im Kapitel "Seltsam, aber so steht es geschrieben" in meinen gesammelten PC-Annalen abheften...
Grüße,
Christopher Schech