Modem lädt im Leerlauf ordentlich was runter

OphiuchuS · 11 November 2005, 09:49:03

Hi!

Folgendes: Ich habe ne Flatrate mit bloß nem Gb Download Volumen. Ich habe das Arris Touchstone Device, welches Anfangs per USB am PC dranhing. Vor ca 2 Monaten bin ich umgestiegen und hab es per Netzwerkkabel angeschlossen. Früher bin ich immer ca 3 Wochen mit dem Gb ausgekommen, seitdem sind es nurmehr 12 Tage. Ich hab mich natürlich gefragt worans liegt und habe mir das Programm "Meine Traffic" runtergeladen, welches den Datenaustausch anzeigt. Und siehe da: das blöde Ding lädt innerhalb von wenigen Stunden, in denen ich entweder nix gemacht hab oder höchsten auf ein paar Seiten gesurft bin fast 50 mb runter! Jetzt frage ich mich (oder besser gesagt euch): was kann man dagegen tun? Wäre nett wenn wer n paar Tips wüsste :idea:

mfg

Ophi

mali · 11 November 2005, 11:53:55

Zitat von: OphiuchuS am 11 November 2005, 09:49:03
Folgendes: Ich habe ne Flatrate mit bloß nem Gb Download Volumen.

Dann hast Du keine Flatrate, sondern lediglich einen Volumentarif :-)

ZitatIch habe das Arris Touchstone Device, welches Anfangs per USB am PC dranhing. Vor ca 2 Monaten bin ich umgestiegen und hab es per Netzwerkkabel angeschlossen. Früher bin ich immer ca 3 Wochen mit dem Gb ausgekommen, seitdem sind es nurmehr 12 Tage. Ich hab mich natürlich gefragt worans liegt und habe mir das Programm "Meine Traffic" runtergeladen, welches den Datenaustausch anzeigt. Und siehe da: das blöde Ding lädt innerhalb von wenigen Stunden, in denen ich entweder nix gemacht hab oder höchsten auf ein paar Seiten gesurft bin fast 50 mb runter! Jetzt frage ich mich (oder besser gesagt euch): was kann man dagegen tun? Wäre nett wenn wer n paar Tips wüsste :idea:

Die Frage ist, was lädt es runter und vor allen Dingen von wo? Ich denke mal nicht, dass das Modem selbst irgendwelche Daten bewegt.

OphiuchuS · 11 November 2005, 12:40:34

ZitatDann hast Du keine Flatrate, sondern lediglich einen Volumentarif :-)

Ok sorry, dann hab ich eben das :icon_mrgreen:

Naja, wie kann ich das denn rausfinden woher er das Zeug lädt, oder was das sein soll :question:

mali · 11 November 2005, 13:59:39

Zitat von: OphiuchuS am 11 November 2005, 12:40:34
Ok sorry, dann hab ich eben das :icon_mrgreen:

Naja, wie kann ich das denn rausfinden woher er das Zeug lädt, oder was das sein soll :question:

Für den Anfang:

Mach alles zu/aus von dem Du weißt, das es eine Verbindung offenhält, dann öffne eine Konsole und gib dort ein: netstat -a 3

Dann solltest Du schon mal sehen können, ob er noch irgendwo hin connectet. Dann geht es weiter :-)

OphiuchuS · 11 November 2005, 15:19:41

Ok danke werd ich am Abend ausprobieren und das Ergebnis posten. Firewall usw. auch aus?

mali · 11 November 2005, 15:22:46

Zitat von: OphiuchuS am 11 November 2005, 15:19:41
Ok danke werd ich am Abend ausprobieren und das Ergebnis posten. Firewall usw. auch aus?

Nein, nicht ausschalten. Alles so lassen wie jetzt, sonst hast Du ja keinen Vergleich. Tue alles was Du immer tust um vermeintlich alles abzuschalten, dann können wir sehen, wo da noch eine Verbindung ist.

dÜnni · 11 November 2005, 15:23:00

Du kannst dir auch TCPView zulegen, das gibt es hier:
http://www.sysinternals.com/Utilities/TcpView.html

Diese Programm macht dasselbe wie der netstat Befehl, nur mit mehr Informationen (man sieht gleich welche Prozesse beteiligt sind).
Das ganze ist Freeware und wenige Kb groß.

gruß

OphiuchuS · 11 November 2005, 18:12:40

Ok erstmal Dankeschön für die Antworten :respekt: Da der TCPView Server irgendwie down sein dürfte hab ich es mit dem Konsolen Befehl gemacht, das Ergebnis sieht folgendermaßen aus:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP pc:epmap pc:0 ABHÖREN
TCP pc:microsoft-ds pc:0 ABHÖREN
TCP pc:1035 pc:0 ABHÖREN
TCP pc:1036 pc:0 ABHÖREN
TCP pc:3037 pc:0 ABHÖREN
TCP pc:3038 pc:0 ABHÖREN
TCP pc:3041 pc:0 ABHÖREN
TCP pc:3049 pc:0 ABHÖREN
TCP pc:3055 pc:0 ABHÖREN
TCP pc:3074 pc:0 ABHÖREN
TCP pc:3100 pc:0 ABHÖREN
TCP pc:5000 pc:0 ABHÖREN
TCP pc:18350 pc:0 ABHÖREN
TCP pc:netbios-ssn pc:0 ABHÖREN
TCP pc:3038 64.233.161.99:http HERGESTELLT
TCP pc:3041 a195-113-150-7.deploy.akamaitechnologies.com:htt
p HERGESTELLT
TCP pc:3049 a195-113-150-7.deploy.akamaitechnologies.com:htt
p HERGESTELLT
TCP pc:3055 home.arcor-online.net:http HERGESTELLT
TCP pc:3072 217.111.81.70:http WARTEND
TCP pc:3074 ns-vip2.hitbox.com:http HERGESTELLT
TCP pc:3100 64.233.161.147:http HERGESTELLT
TCP pc:1035 localhost:18350 HERGESTELLT
TCP pc:3001 pc:0 ABHÖREN
TCP pc:3002 pc:0 ABHÖREN
TCP pc:3003 pc:0 ABHÖREN
TCP pc:3036 pc:0 ABHÖREN
TCP pc:3036 localhost:3037 HERGESTELLT
TCP pc:3037 localhost:3036 HERGESTELLT
TCP pc:18350 localhost:1035 HERGESTELLT
UDP pc:microsoft-ds *:*
UDP pc:isakmp *:*
UDP pc:1032 *:*
UDP pc:3017 *:*
UDP pc:3073 *:*
UDP pc:netbios-ns *:*
UDP pc:netbios-dgm *:*
UDP pc:1900 *:*
UDP pc:2234 *:*
UDP pc:1900 *:*
UDP pc:2234 *:*
UDP pc:3021 *:*

Sagt mir jetzt irgendwie nicht so viel, kann mich wer aufklären?

mali · 11 November 2005, 18:49:33

Zitat von: OphiuchuS am 11 November 2005, 18:12:40
Ok erstmal Dankeschön für die Antworten :respekt: Da der TCPView Server irgendwie down sein dürfte hab ich es mit dem Konsolen Befehl gemacht, das Ergebnis sieht folgendermaßen aus:

Ächz!

Sagtest Du nicht was von "Modem im Leerlauf"? Was verstehst Du denn unter Leerlauf? :-)

Zitat
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
[...]
TCP pc:3038 64.233.161.99:http HERGESTELLT

Das ist Google.

Zitat
TCP pc:3041 a195-113-150-7.deploy.akamaitechnologies.com:htt
p HERGESTELLT
TCP pc:3049 a195-113-150-7.deploy.akamaitechnologies.com:htt
p HERGESTELLT

Das ist Akamai. Das ist ein Riesen-Content-Provider. Bekannt auch dafür, das zum Beispiel Microsoft seine Updates über deren Netzwerk verteilt. Hast Du Dein Windows auf Auto-Update? Genauso gut kann aber auch eine Menge Spyware-Content auf dem Akamai-Netzwerk gehostet sein.

Du solltest Deinen Rechner aufg jeden Fall schonmal nach Spyware abtasten.

ZitatTCP pc:3055 home.arcor-online.net:http HERGESTELLT
TCP pc:3072 217.111.81.70:http WARTEND
TCP pc:3074 ns-vip2.hitbox.com:http HERGESTELLT
TCP pc:3100 64.233.161.147:http HERGESTELLT

Das sind halt weitere Verbindungen zu:

home.arcor-online.net
217.111.81.70 (=ein Rechner bei colt.net - sagt mir nichts)
ns-vip2.hitbox.com
64.233.161.147 (=nochmal Google)

ZitatSagt mir jetzt irgendwie nicht so viel, kann mich wer aufklären?

Wie gesagt, Dein "Leerlauf" musst Du nochmal genauer definieren. Leerlauf ist ja nicht, wenn Du gerade nichts am Rechner machst. Wenn Du Browser offen läßt, dann laden die eben weiter Content von den Seiten (Banner, etc.). Auch andere Dienste und Programme verursachen natürlich Verbindungsaufbau und somit Traffic/Volumen.

Ich würde vorschlagen, Du scannst Deinen Rechner mal nach Spyware durch, deaktivierst den automatischen Verbindungsaufbau des Modems und deaktivierst auch den automatischen Windows-Update-Service und schließt Deine Browser sofern Du sie nicht mehr benötigst. Dann sehen wir mal weiter :-)

OphiuchuS · 11 November 2005, 19:23:55

Hmmm...da hab ich wohl tatsächlich das Browser Fenster offengelassen...mein Fehler. Nichtsdestotrotz habe ich mein System folgendermaßen gescannt:
1) Adaware 2) AntiVir 3) Hijackthis 4)Spybot 5) Stinger ==> Ergebnis: nichts. Die Update Funktion ist und war übrigens schon immer AUS (ist eins der ersten Dinge gewesen, die ich nach der Installation gemacht habe) Mit Leerlauf meine ich, dass ich vorm PC sitze und auf den Desktop starre und nichts mache (also auch keine offenen Browserfenster) Ich hab nochmal die Konsole verwendet und diesesmal schaut das n bissel anders aus:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP pc:epmap pc:0 ABHÖREN
TCP pc:microsoft-ds pc:0 ABHÖREN
TCP pc:1035 pc:0 ABHÖREN
TCP pc:1036 pc:0 ABHÖREN
TCP pc:3551 pc:0 ABHÖREN
TCP pc:3553 pc:0 ABHÖREN
TCP pc:5000 pc:0 ABHÖREN
TCP pc:18350 pc:0 ABHÖREN
TCP pc:netbios-ssn pc:0 ABHÖREN
TCP pc:3551 www.filesearch.ru:http SCHLIESSEN_WARTEN
TCP pc:3553 a195-113-150-6.deploy.akamaitechnologies.com:ht
p SCHLIESSEN_WARTEN
TCP pc:3571 a195-113-150-7.deploy.akamaitechnologies.com:ht
p WARTEND
TCP pc:3587 a195-113-150-7.deploy.akamaitechnologies.com:ht
p WARTEND
TCP pc:3602 home.arcor-online.net:http WARTEND
TCP pc:1035 localhost:18350 HERGESTELLT
TCP pc:3001 pc:0 ABHÖREN
TCP pc:3002 pc:0 ABHÖREN
TCP pc:3003 pc:0 ABHÖREN
TCP pc:3567 localhost:3566 WARTEND
TCP pc:18350 localhost:1035 HERGESTELLT
UDP pc:microsoft-ds *:*
UDP pc:isakmp *:*
UDP pc:1032 *:*
UDP pc:3017 *:*
UDP pc:3073 *:*
UDP pc:netbios-ns *:*
UDP pc:netbios-dgm *:*
UDP pc:1900 *:*
UDP pc:2234 *:*
UDP pc:1900 *:*
UDP pc:2234 *:*
UDP pc:3021 *:*

Dieses komische Filesearch.ru war vorher noch nicht da, kann ich mir eigentlich nur geholt haben, als ich Hijackthis, Spybot und Stinger gezogen habe, wobei mir nur Stinger bis jetzt unbekannt war und das hab ich von chip.de oder so. Ich bin also nach wie vor :00000109:

Achja diesesmal waren alle Browser usw. zu

dÜnni · 12 November 2005, 16:17:15

Öhm, also hast du was runtergeladen und dann den netstat Befehl eingegeben?
Das ist auch nicht der "Leerlaufbetrieb"....nachdem du den Browser geschlossen hast bleiben die Verbindungen noch einige Zeit offen, und schliessen sich erst wenn du nicht mehr auf der Seite bist (in deiner Tabelle unter Status "WARTEN", "WARTEN_SCHLIESSEN"), das dauert aber etwas....

Am besten du machst einen Reboot und gibst mal gleich den Befehl ein, ohne vorher zu surfen. Und Versuch nochmal TCPView, dort sieht man wie gesagt die Prozesse dazu.

OphiuchuS · 12 November 2005, 16:43:25

Ok diesemal hab ich es so gemacht: hochgefahren, TCPView gestartet:

alg.exe:648      TCP   pc:3001      pc:0   LISTENING
AVGNT.EXE:1588   TCP   pc:1038      pc:0   LISTENING
AVGNT.EXE:1588   TCP   pc:1038      localhost:18350   ESTABLISHED
AVGUARD.EXE:660   TCP   pc:18350   pc:0   LISTENING
AVGUARD.EXE:660   TCP   pc:18350   localhost:1038   ESTABLISHED
lsass.exe:792         UDP   pc:isakmp      *:*
Smc.exe:1168         UDP   pc:1032      *:*
Smc.exe:1168         UDP   pc:3027      *:*
svchost.exe:1096      TCP   pc:3002   pc:0   LISTENING
svchost.exe:1096      TCP   pc:3003   pc:0   LISTENING
svchost.exe:1096      UDP   pc.chello.at:2234   *:*
svchost.exe:1096      UDP   pc:2234      *:*
svchost.exe:388      TCP   pc:5000   pc:0   LISTENING
svchost.exe:388      UDP   pc.chello.at:1900   *:*
svchost.exe:388      UDP   pc:1900      *:*
svchost.exe:992      TCP   pc:epmap   pc:0   LISTENING
System:4         TCP   pc:microsoft-ds   pc:0   LISTENING
System:4         TCP   pc:1037   pc:0   LISTENING
System:4         TCP   pc.chello.at:netbios-ssn   pc:0   LISTENING
System:4         UDP   pc:microsoft-ds      *:*
System:4         UDP   pc.chello.at:netbios-ns   *:*
System:4         UDP   pc.chello.at:netbios-dgm   *:*

Ich hoffe es ist jetzt klarer. Ist dieses "pc:1037" der Port? Wenn ja, ich hab die Sygate Personal Firewall, kann man damit die Ports sperren?

dÜnni · 12 November 2005, 17:07:01

Mhh also:
alg.exe gehört zu Windows
AVGNT und AVGUARD gehören zu deinem Virenscanner, der Rest ist auch Windows.
Ansonsten fällt eigentlich nichts ungewöhnliches auf, aber du hast Dienste offen die du nicht brauchst und die damit erstmal ein Risiko darstellen (z.b ist der Lovesan Virus damals über den Dienst epmap(TCP Port 135) gekommen).
Diese könntest du mit der Firewall sperren, oder du beendest gleich den ganzen Dienst (was sinniger ist).
Wie das geht steht hier:
http://www.ntsvcfg.de/kss_xp/kss_xp.html#xp1
dazu nimmst du gleich das Skript von da: http://www.ntsvcfg.de/ das schließt andere unnötige Dienste automatisch.

Danach dürfte weniger in der Liste von TCPView stehen.

Zitat von: OphiuchuS am 12 November 2005, 16:43:25
Ich hoffe es ist jetzt klarer. Ist dieses "pc:1037" der Port?

Jein. Das sind sog. TCP Endpoints, also eine Kombination aus genutzter IP Adresse und Port.
Wenn du alle Ports aus der Liste einzeln sperrst löst das das Problem nicht da z.b. alg.exe mehrere Ports >3000 nutzt.

OphiuchuS · 12 November 2005, 22:10:38

Herzlichen Dank! Nach Ausführen des Scripts stehen nur noch der Av-Guard und die Firewall in der TCPVIew Liste. Ich hoffe damit ist das Problem gelöst. Danke nochmal an dünni & mali ;)

Kingpin · 12 November 2005, 22:30:32

Hier kannst du noch ein paar Checks und Infos bekommen:
http://www.heise.de/security/dienste/portscan/

mali · 14 November 2005, 12:07:47

Zitat von: OphiuchuS am 12 November 2005, 22:10:38
Herzlichen Dank! Nach Ausführen des Scripts stehen nur noch der Av-Guard und die Firewall in der TCPVIew Liste. Ich hoffe damit ist das Problem gelöst. Danke nochmal an dünni & mali ;)

Kein Ding (& sorry, ich war am Wochenende ungeplant unterwegs), aber behalte Du das trotzdem mal auch weiter im "Auge".

Wenn nämlich immer noch Traffic ungefragt zusammenkommt, kann durchaus auch etwas dafür verantwortlich sein, das sich aktiv versteckt. Netstat und auch TCPView betrachten die Sache nur relativ oberflächlich. Absichtlich versteckte Software (Trojaner, Botware, Rootkits, etc.) entdecken die nicht. Also nicht in vermeintlicher Sicherheit wiegen, sondern weiterhin darauf achten was sich auf Deinem Rechner so tut, das ist meistens schonmal die halbe Miete zu mehr Sicherheit :-)

OFDb

Modem lädt im Leerlauf ordentlich was runter

OphiuchuS

11 November 2005, 09:49:03

mali

11 November 2005, 11:53:55 #1

OphiuchuS

11 November 2005, 12:40:34 #2

mali

11 November 2005, 13:59:39 #3

OphiuchuS

11 November 2005, 15:19:41 #4

mali

11 November 2005, 15:22:46 #5

dÜnni

11 November 2005, 15:23:00 #6

OphiuchuS

11 November 2005, 18:12:40 #7

mali

11 November 2005, 18:49:33 #8 Letzte Bearbeitung: 11 November 2005, 18:53:08 von mali

OphiuchuS

11 November 2005, 19:23:55 #9

dÜnni

12 November 2005, 16:17:15 #10

OphiuchuS

12 November 2005, 16:43:25 #11

dÜnni

12 November 2005, 17:07:01 #12 Letzte Bearbeitung: 12 November 2005, 17:17:35 von dÜnni

OphiuchuS

12 November 2005, 22:10:38 #13

Kingpin

12 November 2005, 22:30:32 #14

mali

14 November 2005, 12:07:47 #15