Ständiger Datenverkehr? Brauche kleine Hilfe, habe ständig 1kb/s Datenverkehr... Ohne dass irg
#1
geschrieben 11. Dezember 2006 - 18:37
Ich habe in letzter Zeit ein Problem: Meine LAN-Verbindung (direkt an das Modem angeschlossen) zeigt mir direkt nachdem die Verbindung besteht (Mehrmals versucht sie an- und auszuschalten) eine ständige Verbindung von ca 1kb/s, 1,5kb/s an, beidseitig also auf senden und empfangen.
Ein Freund meinte es könnte eine UploadWare sein die was runterladen könnte... Ich also in den nächsten Pcladen und mir Kasperski 6.0 gekauft. Ließ ihn scannen. Er findet 4 Einträge, ich lösche sie und es läuft gut für ein paar Tage. Danach kam das Problem wieder aber diesmal findet Kasperski keine Viren/Trojaner oder dergleichen mehr, aber die Verbindung spielt weiter verrückt. Die Verbindung ist extrem geschwächt dadurch sodass das anmelden bei MSN zb scheitern kann und im schlimmsten Fall ich nicht mal mehr in das Internet komme.
Kennt jemand das Problem?
Mfg und danke im voraus
P.S.: Bin mir nicht sicher ob es hier rein kommt... tut mir leid deswegen
Anzeige
#2
geschrieben 11. Dezember 2006 - 18:50
ob du dein PC verseucht ist, erfährst du bei/von hijackthis.de.
Bist du der einzige, der am Router hängt? Wenn ja und es treten merkwürdige Verbindungen auf, dann tipper mal in die CMD
netstat -a
Da werden dir die aktuellen Verbindungen deines Systems aufgelistet. Mit netstat -ano kannst du jede Verbindung einem Prozess zuordnen, denn du dann gezielt abschießen kannst.
No surfboard, no wetsuit, no worries.
Phil, speaking about dolphins
#3
geschrieben 11. Dezember 2006 - 19:36
© Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\abc>netstat
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP abc:1110 localhost:2653 WARTEND
TCP abc:1110 localhost:2697 WARTEND
TCP abc:1110 localhost:2699 WARTEND
TCP abc:1110 localhost:2705 WARTEND
TCP abc:1110 localhost:2722 WARTEND
TCP abc:1110 localhost:2724 WARTEND
TCP abc:1110 localhost:2741 WARTEND
TCP abc:1110 localhost:2743 WARTEND
TCP abc:1110 localhost:2763 WARTEND
TCP abc:1110 localhost:2765 WARTEND
TCP abc:1110 localhost:2769 WARTEND
TCP abc:1110 localhost:2771 WARTEND
TCP abc:1110 localhost:2773 WARTEND
TCP abc:1110 localhost:2775 WARTEND
TCP abc:1110 localhost:2777 WARTEND
TCP abc:1110 localhost:2779 WARTEND
TCP abc:1110 localhost:2782 WARTEND
TCP abc:1110 localhost:2784 WARTEND
TCP abc:1110 localhost:2798 WARTEND
TCP abc:1110 localhost:2804 WARTEND
TCP abc:1110 localhost:2806 WARTEND
TCP abc:1110 localhost:2810 WARTEND
TCP abc:1110 localhost:2822 WARTEND
TCP abc:1110 localhost:2826 WARTEND
TCP abc:1110 localhost:2828 WARTEND
TCP abc:1492 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:1494 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:1348 by2msg1104207.phx.gbl:1863 HERGESTELLT
C:\Dokumente und Einstellungen\abc>netstat -a
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP abc:epmap abc:0 ABHÖREN
TCP abc:microsoft-ds abc:0 ABHÖREN
TCP abc:1110 abc:0 ABHÖREN
TCP abc:1110 localhost:2653 WARTEND
TCP abc:1110 localhost:2697 WARTEND
TCP abc:1110 localhost:2699 WARTEND
TCP abc:1110 localhost:2705 WARTEND
TCP abc:1110 localhost:2722 WARTEND
TCP abc:1110 localhost:2724 WARTEND
TCP abc:1110 localhost:2741 WARTEND
TCP abc:1110 localhost:2743 WARTEND
TCP abc:1110 localhost:2763 WARTEND
TCP abc:1110 localhost:2765 WARTEND
TCP abc:1110 localhost:2769 WARTEND
TCP abc:1110 localhost:2771 WARTEND
TCP abc:1110 localhost:2773 WARTEND
TCP abc:1110 localhost:2775 WARTEND
TCP abc:1110 localhost:2777 WARTEND
TCP abc:1110 localhost:2779 WARTEND
TCP abc:1110 localhost:2782 WARTEND
TCP abc:1110 localhost:2784 WARTEND
TCP abc:1110 localhost:2798 WARTEND
TCP abc:1110 localhost:2804 WARTEND
TCP abc:1110 localhost:2806 WARTEND
TCP abc:1110 localhost:2810 WARTEND
TCP abc:1110 localhost:2822 WARTEND
TCP abc:1110 localhost:2826 WARTEND
TCP abc:1110 localhost:2828 WARTEND
TCP abc:1492 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:1494 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:netbios-ssn abc:0 ABHÖREN
TCP abc:1348 by2msg1104207.phx.gbl:1863 HERGESTELLT
TCP abc:epmap abc:0 ABHÖREN 0
UDP abc:microsoft-ds *:*
UDP abc:isakmp *:*
UDP abc:1025 *:*
UDP abc:1072 *:*
UDP abc:1073 *:*
UDP abc:1074 *:*
UDP abc:1075 *:*
UDP abc:1076 *:*
UDP abc:1077 *:*
UDP abc:1078 *:*
UDP abc:1079 *:*
UDP abc:1080 *:*
UDP abc:1327 *:*
UDP abc:1371 *:*
UDP abc:4500 *:*
UDP abc:ntp *:*
UDP abc:1284 *:*
UDP abc:1340 *:*
UDP abc:1900 *:*
UDP abc:discard *:*
UDP abc:ntp *:*
UDP abc:netbios-ns *:*
UDP abc:netbios-dgm *:*
UDP abc:1745 *:*
UDP abc:1900 *:*
UDP abc:9849 *:*
UDP abc:23210 *:*
C:\Dokumente und Einstellungen\abc>
Auf die Befehle die ich eingegeben hab, kam das raus... und das Problem besteht mit dem Modem genauso wie mit dem Router. Ich hänge Atm nur per LAN am Modem selbst, deswegen war ich mir nicht sicher ob das zu den Problemen Netzwerk gehört
edit: habe gesehen dass ich mich vertippt habe... hier das richtige:
Microsoft Windows XP [Version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\Abc>netstat -ano
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 1236
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN 4
TCP 0.0.0.0:1110 0.0.0.0:0 ABHÖREN 632
TCP 127.0.0.1:1110 127.0.0.1:3343 WARTEND 0
TCP 127.0.0.1:1492 127.0.0.1:1110 SCHLIESSEN_WARTEN 2196
TCP 127.0.0.1:1494 127.0.0.1:1110 SCHLIESSEN_WARTEN 2196
TCP 192.168.1.33:139 0.0.0.0:0 ABHÖREN 4
TCP 192.168.1.33:1348 207.46.110.60:1863 HERGESTELLT 2196
TCP [::]:135 [::]:0 ABHÖREN 1236
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 972
UDP 0.0.0.0:1025 *:* 1404
UDP 0.0.0.0:1072 *:* 1404
UDP 0.0.0.0:1073 *:* 1404
UDP 0.0.0.0:1074 *:* 1404
UDP 0.0.0.0:1075 *:* 1404
UDP 0.0.0.0:1076 *:* 1404
UDP 0.0.0.0:1077 *:* 1404
UDP 0.0.0.0:1078 *:* 1404
UDP 0.0.0.0:1079 *:* 1404
UDP 0.0.0.0:1080 *:* 1404
UDP 0.0.0.0:1327 *:* 2196
UDP 0.0.0.0:1371 *:* 2196
UDP 0.0.0.0:4500 *:* 972
UDP 127.0.0.1:123 *:* 1328
UDP 127.0.0.1:1284 *:* 4056
UDP 127.0.0.1:1340 *:* 2196
UDP 127.0.0.1:1900 *:* 1600
UDP 192.168.1.33:9 *:* 2196
UDP 192.168.1.33:123 *:* 1328
UDP 192.168.1.33:137 *:* 4
UDP 192.168.1.33:138 *:* 4
UDP 192.168.1.33:1900 *:* 1600
UDP 192.168.1.33:6903 *:* 2196
UDP 192.168.1.33:9849 *:* 2196
UDP 192.168.1.33:23210 *:* 2196
C:\Dokumente und Einstellungen\Abc>
Bzw tut mir Leid ich weiß kaum etwas damit anzufangen.
Bzw hijackthis sagt mir nur dass diese Zeilen vielleicht gefährlich sein könnten:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 220.65.53.129:8080
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Christophe\winstall.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - (Active x Element laut Beschreibung)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - (Active x Element laut Beschreibung)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
So weit was die beiden Empfehlungen angeht.
Dieser Beitrag wurde von Ankh bearbeitet: 11. Dezember 2006 - 20:04
#4 _moep_
geschrieben 11. Dezember 2006 - 20:09
Zitat
Hört sich wirklich böse an. Mal Bei virusscan.jotti.org hochladen.
Und ganz dringend aus dem Autostart nehmen.
Proxy musst du wissen, ob du einen eingestellt hast.
Dieser Beitrag wurde von moep bearbeitet: 11. Dezember 2006 - 20:19
#5
geschrieben 11. Dezember 2006 - 20:22
Mit "netstat -ano" kriegst du die PID (Process ID) jeder Verbindung raus. Einfach mal nebenbei den Taskmanager anwerfen und nach den bestimmten PIDs suchen. Wenn du die nicht kennst, dann fort damit.
IMHO ist der Proxy bei dir eher fehl am Platze.
Hast du eigentlich einen Virenscanner? Was sagt der zu der ganzen Geschichte?
Zum Säubern des Systems, gibt es im Sicherheitsforum einige Hinweise. Einige Virenscanner (z.B. avast!) bringen die Eigenschaft mit, dass sie nach der Erstinstallation während des Bootens einmal scannen und damit Schadsoftware, die sich noch nicht initialisiert hat entfernt. Dass dieser Scanner alles findet, solltest du nicht erwarten, womit ein Restrisiko auf jeden Fall bestehen bleibt.
Dieser Beitrag wurde von blue32 bearbeitet: 11. Dezember 2006 - 20:26
No surfboard, no wetsuit, no worries.
Phil, speaking about dolphins
#6 _moep_
geschrieben 11. Dezember 2006 - 20:27
Zitat
Ja oder man macht einfach netstat -anob, wie ich es auch geschrieben habe
#7
geschrieben 11. Dezember 2006 - 20:41
@Ankh: Generell solltest du u.a. mal dieses Stickie durcharbeiten. Vielleicht eine gute Lektüre für heute abend
No surfboard, no wetsuit, no worries.
Phil, speaking about dolphins
#8 _moep_
geschrieben 11. Dezember 2006 - 20:47
Zeigt Protokollstatistiken und aktuelle TCP/IP-Netzwerkverbindungen an. NETSTAT [-a] [-b] [-e] [-n] [-o] [-p Protokoll] [-r] [-s] [-v] [Intervall] -a Zeigt alle Verbindungen und abhörenden Ports an. -b Zeigt die ausführbare Datei an, die beim Erstellen jeder Verbindung bzw. jedes abhörenden Ports involviert ist. In einigen Fällen enthalten bekannte ausführbare Dateien mehrere unabhängige Komponenten. Dann wird die Reihenfolge der Komponenten angezeigt, die beim Erstellen der Verbindung oder des abhörenden Ports involviert sind. In diesem Fall befindet sich der Name der ausführbaren Datei unten in []. Oben befindet sich die aufgerufene Komponente usw., bis TCP/IP erreicht wurde. Bedenken Sie, dass diese Option viel Zeit in Anspruch nehmen kann und fehlschlägt, wenn Sie nicht über ausreichende Berechtigungen verfügen. -e Zeigt die Ethernet-Statistik an. Kann mit der Option -s kombiniert werden. -n Zeigt Adressen und Portnummern numerisch an. -o Zeigt die mit jeder Verbindung verknüpfte, übergeordnete Prozesskennung an. -p Protokoll Zeigt Verbindungen für das angegebene Protokoll an. Protokoll kann sein: TCP, UDP, TCPv6 oder UDPv6. Bei Verwendung mit der Option -s kann Protokoll Folgendes Sein: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP oder UDPv6. -r Zeigt den Inhalt der Routingtabelle an. -s Zeigt die Statistik protokollweise an. Standardmäßig werden IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP und UDPv6 angezeigt. Mit der Option -p können Sie dies weiter einschränken -v In Verbindung mit -b wird die Reihenfolge der Komponenten angezeigt, die beim Erstellen der Verbindung oder des abhörenden Ports für alle ausführbaren Dateien involviert sind. Intervall Zeigt die gewählte Statistik nach der mit Intervall angege- benen Anzahl von Sekunden erneut an. Drücken Sie STRG+C zum Beenden der Intervallanzeige. Ohne Intervallangabe werden die aktuellen Konfigurationsinformationen einmalig angezeigt.
Dieser Beitrag wurde von moep bearbeitet: 11. Dezember 2006 - 20:48
#9
geschrieben 11. Dezember 2006 - 20:54
Dieser Beitrag wurde von DK2000 bearbeitet: 11. Dezember 2006 - 20:55
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#10 _moep_
geschrieben 11. Dezember 2006 - 21:06
Hört sich komisch an:
Zitat
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
Hier http://whois.nic.or....lish/index.html versagt dann mein Firefox mit der Anzeige der Zeichen...
#11
geschrieben 11. Dezember 2006 - 21:56
winstall.exe habe ich im Ordner gesucht und nicht mehr gefunden. Kann sein dass Kaspersky die Exe schon gelöscht hat. Proxy habe ich keinen eingestellt, wüsste nicht wie, ich lebe in Luxemburg... ich kenne nur einen Provider hier
@blue32, ich les den stickie Heute Abend mal durch, habe Atm nicht sehr viel Zeit. Mit TPCview krieg ich auch nur Programme angezeigt von denen ich nicht richtig weiß was sie sind, ausser MSN und eventuell Kaspersky ist da nur System, Isass.exe, die zum Windows gehört, 4x System Process, 15 mal svchost.exe und 5 mal System:4. Ich frage mcih seid Tagen was das sein könnte... jedenfalls danke an alle für die bisherigen Antworten /thx
#12 _moep_
geschrieben 11. Dezember 2006 - 22:01
#13
geschrieben 11. Dezember 2006 - 22:12
#14 _moep_
geschrieben 11. Dezember 2006 - 22:20
#15
geschrieben 11. Dezember 2006 - 23:20
P.S.:Surfen ist fast unmöglich geworden, fast 1 Minute für diese Seite (+ 1 Minute für die seite zum Posten)
PP.S.: Kann das Bild nicht mehr posten, jedenfalls sieht es so aus, dass ca 20 system process aufspringen, alle TCP, aber unterschiedliche remote adressen.
Kann kaum noch überhaupt surfen oder sonstiges, hab jetzt im gegensatz zu den vorherigen 1kb/s ca 2kb/s bis 5 kb/s die dauernd hin und her springen und die Verbindung zu fast 100% ausnutzen. Frage mich wieso das so ist, ich habe eine 1 mb/s Verbindung, zumindest sollte.
Dieser Beitrag wurde von Ankh bearbeitet: 11. Dezember 2006 - 23:39