Seltsamer Fehler

AndréK · Beitrag von **AndréK** » 22 Mär 2006 23:36

Guten Abend allerseits,

Heute hatte ich einen seltsamen Fehler, nicht sehr schlimm aber doch äusserst interessant.

Dazu muß ich etwas ausholen:

Wir betreiben hier in der ländlichen Gegend ein ADSL-sharing. Und ADSL heisst hier sogar "light".
Die Grenze ist genau vor meinem Haus, beim Nachbar wird es noch angeboten

.
Also teilen wir via WLAN, der Router ist beim Nachbarn.
Ich habe mehrere Rechner. Alle sind per WLAN mit der Aussenwelt verbunden, und auch noch per LAN intern verkabelt.
D.h. hier konkret, 2 getrennte IP-Bereiche; jeder Rechner hat intern 2 IPs.

Der WsWin Rechner ist 24/7 an und ist nebenbei noch für einige andere Dinge zuständig. Auf ihm laufen eine Menge prgs, u.a. FTP-server, NTP etc.

Es kommt öfter, so ca. alle 1-7 Tage, vor, daß WsWin hängt.
Das merke ich relativ schnell, dann versuche ich zu beenden und neu zu starten.
Das funktioniert aber oft nicht, dann starte ich WsWin neu. Nicht den Rechner, das tat bis jetzt nicht Not.
Als Ergebnis habe ich ein 2tes WsWin Symbol in der Taskleiste, aber das PRG arbeitet normal, kein Problem.

Heute allerdings (eigentlich auch vorher schon 2 mal, aber da habe ich nicht nach der Ursache geschaut) war etwas mysterious.
Ich brachte es erst gar nicht mit WsWin in Verbindung.
Ich habe ein Programm namens DU-Meter am laufen, um den Traffic zu überwachen.
Das ist eingestellt auf die WLAN-Karte, es überwacht nur dieses Netz.
Mir viel auf, daß ich über lange Zeit einen permanenten Download mit Vollgas habe, aber nichts war an, was es erklären könnte.
Also habe ich nach und nach alle laufenden Programme beendet, und dann per Taskmanager den alten "verstorbenen" WsWin Prozess beendet.
Und genau der war die Ursache, jedenfalls der Download hörte dann auf.

Ich kann dieses Problem nicht einfach wiederholen, aber werde mal darauf achten, wenn es das nächste Mal passiert.
Auch werde ich mal nach einem Freeware Sniffer suchen: was wurde da eigentlich für ein Download-traffic Spektakel mit ca. 48kB/s veranstaltet ?
Die einzige eingestellte Kontaktierung nach "aussen" in WsWin ist wunderground, ist da vielleicht etwas hängengeblieben ?

Achso, ja: FreeAV ist immer up-to-date hier, und ZoneAlarm ist nicht wirklich schwer einzustellen.
Ob da der alte "verstorbene" WsWin Prozess von einem anderen übernommen wurde, kann ich natürlich nicht 100%ig ausschliessen,
ist aber sehr unwahrscheinlich. Und warum sollte ein Trojaner einen DOWNLOAD von >50MByte initiieren

?
Der Rechner steht nicht im Kinderzimmer (wir haben keine) und ist Keine Versuchsplattform

...

Beitrag von **weneu** » 22 Mär 2006 23:46

Hallo Andre,
das ist nun schon sehr seltsam, denn dasselbe Problem hatt ich genau heute. Wollte deswegen schon bei Werner nachfragen, war mir aber über den Zusammenhang nicht 100%-ig sicher.
Als ich zum Computer kam, sah ich, dass mein DSL mit Volldampf einen download machte. Da aber das Mailprogramm nicht aktiv war, ebenso weder ein Virenupdate noch ein Windowsupdate stattfand, war ich zunächst ratlos.
Ich ging also ähnlich vor wie du. Ich habe nacheinander alle Programme beendet und erst als WSWIN geschlossen war, hörte der download auf (könnte natürlich Zufall gewesen sein, aber wenn es bei dir auch so war .....; bis dahin waren es immerhin 500 MByte!!!! die auf meinem rechner gelandet sind und ich weiß nicht wo)
Was bei mir allerdings anders war: Es lief definitiv nur ein WSWIN-Prozess.
Ich glaubte zunächst an einen Zufall (gemeint ist der Zusammenhang mit WSWIN), aber nach deinem posting bin ich hier etwas skeptisch.
Bin gespannt, ob Werner sich darauf einen Reim machen kann. Es wäre schon sehr seltsam, wenn 2 user gleichzeitig hier Halluzinationen hätten.

AndréK · Beitrag von **AndréK** » 22 Mär 2006 23:57

Moin Werner,

ja, nach dem Mail-prg, viren-update sah ich auch als erstes.
Und ich habe auch per Suche nach den "letzten 2h" keine grosse Datei gefunden.
Aber hier lief der Download definitiv nach dem Beenden des aktiven (funktionierendem) WsWin weiter.
Erst der kill des "toten" prozess via task-manager beendete den Spuk.

Holli · Beitrag von **Holli** » 23 Mär 2006 01:20

Ein Tip für euch beide: Solche Netzwerkaktivitäten sehe ich mit Quelle und Ziel nach einem Klick auf die Kerio Personal Firewall.

Grundsätzlich halte ich einen Paketblocker, der auf dem zu schützenden Rechner läuft, für nicht sehr sinnvoll, und ich will hier jetzt auch keine Diskussion für oder gegen Firewalls lostreten. Aber zur Kontrolle, wer mit wem über welchen Port quatscht und welche Datenmengen dabei mit welcher Geschwindigkeit über die Netzwerkkarte gehen, ist das Ding gut geeignet.

Die neueren Versionen von Kerio wurden völlig überkandidelt und wollten eierlegende Wollmilchsäue sein. Deshalb habe ich mir extra eine alte 2er aufgehoben. Wenn ihr sie haben wollt, schiebe ich sie auf meinen Server.

Und nein, mein WsWin hat solche ominösen Downloadaktivitäten bisher nicht gezeigt

AndréK · Beitrag von **AndréK** » 23 Mär 2006 01:43

Moin Dietmar,

bin Neuem grundsätzlich offen, vor allem wenn es nicht im "Neuen überkandideltem XP" look als ach-wie-toll, ist schon Mai, Look daher kommt.
Schieb die V2 mal please in Deinem FTP, möchte es mal testen.
ZA nehme ich in einer alten Version. Ich möchte gern sehen, wer mit wem, oder nach Hause telefonieren will, soweit es geht. DER Grund für mich.

Nein, wer von mir telefoniert, bestimme ich selber. Soweit ich es nicht freigegeben habe. Allerdings, 100% gibt es auch hier leider nicht.

Danke...

Franz · Beitrag von **Franz** » 23 Mär 2006 07:47

Guten Morgen,

ich hatte vor einiger Zeit das gleiche Problem im Zusammenhang mit Wunderground. Seither sende ich nichts mehr zu Wunderground und habe das Problem los. Es war mir ohnehin schon immer suspekt, was die mit meinen Daten alles machten.

mfg
Franz

Holli · Beitrag von **Holli** » 23 Mär 2006 13:40

AndréK hat geschrieben:Schieb die V2 mal please in Deinem FTP, möchte es mal testen.

Kann unter http://www.hollenbergs.de/download/keri ... en-win.exe heruntergeladen werden.

ZA nehme ich in einer alten Version. Ich möchte gern sehen, wer mit wem, oder nach Hause telefonieren will, soweit es geht. DER Grund für mich.

Das kann Kerio natürlich auch. Sogar noch feiner als das alte ZA, das ich noch kenne. Für jedes Programm können Port und/oder Zielhost genau angegeben werden. Früher habe ich z.B. ICQ damit gehindert, sich seine Werbebanner zu holen, ohne die eigentlichen Kommunikationsserver zu blocken.

Ich weiß nicht, wie sich zwei Firewalls nebeneinander vertragen. Es ist sicher besser, wenn du ZA für den Test deinstallierst. Deaktivieren reicht bei ZA soweit ich weiß nicht.

Nein, wer von mir telefoniert, bestimme ich selber. Soweit ich es nicht freigegeben habe. Allerdings, 100% gibt es auch hier leider nicht.

Eben. Wenn sich ein Schadprogramm verstecken will, hat eine Software auf demselben Rechner keine Chance. Das hilft nur bei Software, die das offen und unverdeckt macht. Deshalb vermeide ich grundsätzlich, den Eindruck zu vermeiden, man könne sich mit einer Personal Firewall gegen Viren und Trojaner schützen. Das geht nur bei denen, die blöd genug programmiert sind.

rolsch · Beitrag von **rolsch** » 23 Mär 2006 15:00

Hi,
auf "die Schnelle" hilft auch dieser Tipp, um offene Ports zu sehen:
http://www.fz-juelich.de/zam/sicherheit ... -ports.htm

und

ActivePorts: http://www.download.com/3000-2085-10062 ... tag=button

und natürlich diese Proggys:
http://www.sysinternals.com/NetworkingUtilities.html

Holli · Beitrag von **Holli** » 23 Mär 2006 15:32

Es gibt einige Möglichkeiten, den Netzwerkverkehr zu beobachten. Trotzdem lande ich dafür fast immer wieder bei der Kerio:

Ich kann ganz schnell zwischen IP-Adresse und aufgelöstem Namen umschalten.
Ich kann ganz schnell zwischen Portnummer und lesbarer Port-Funktion (wenn es ein Standard-Port ist) umschalten.
Ich sehe, wie lange die Verbindung steht.
Ich sehe, welcher Traffic darüber geht.
Ich kann mit einem Klick bei suspekten Aktivitäten den kompletten Netzwerkverkehr blockieren.
Und last not least: Ich muß nicht erst das passende Programm aufrufen, sondern mache einfach einen Doppelklick auf das Icon in der Tray.

Und erst, wenn das nicht mehr ausreicht, greife ich zu "härteren" Mitteln

AndréK · Beitrag von **AndréK** » 23 Mär 2006 20:30

N´Abend allerseits,

@ Dietmar:

Lieben Dank für die V2. Wir haben sie mal getestet, auf einem nicht im normalen Betrieb befindlichen W2k Rechner. Soweit ok, aber ich werde meine walls auf den anderen Rechnern nicht wg. einem einmaligen Fall umstellen.

@ Roland:

Herzlichen Dank für die links. Über die üblichen Umwege bin ich dann bei CommView mit SmartWhoIs gelandet. Das sollte ausreichen fürs Protokoll, wenn der Fall wieder auftritt.

@ Franz:

Danke für die Meldung, jetzt sind wir also schon 3.... Und ich scheine mit meiner Vermutung bzgl. WeatherUnderground recht gut zu liegen.
Ich hatte eh schon länger vor, das zu deaktivieren. U.a. aus dem im anderen Threat angesprochenen Gründen.

Ich werde das aber noch nicht jetzt tun. Sollte der Fehler wieder auftreten, wird sich zeigen, ob sich das bestätigt.

Danach schalte ich ab !

Zumindest wenn jemand keine flatrate und traffic-monitor hat, kann das sogar Geld kosten.

AndréK · Beitrag von **AndréK** » 22 Jul 2006 13:29

Mahlzeit,

jetzt sind 4 Monate ins Land gegangen, ohne das der Fehler wieder aufgetaucht ist.
Eventuell lag es an Wunderground, und die haben ihren Fehler behoben.
Aber nur Spekulation.

Übrigens hängt Wswin auch nicht mehr so oft bei mir wie vorher. Was bis eben noch die alte 2.91.7 Version.