Viren, Spyware, Datenschutz 11.230 Themen, 94.445 Beiträge

Verfolgung starten Optionen

botnetz oder nicht??

Manfredtiel / 12 Antworten / Flachansicht Nickles

Hallo Leute,
habe mit Wireshark meinen PC untersucht auf verdächtiges. Dazu habe ich den PC im Leerlauf laufen lassen etwa eine halbe Stunde. sonst keine Anwendungen wie Firefox gestartet. Wireshark hat alles aufgezeichnet, was passiert. Mein Pc ist mit der Easybox von Arcor per Ethernetkabel verbunden.Ich hab ne flatrate DSL 6000.

Verdächtig ist nur eins: Die Adesse 55.12.201.193
leider macht Wireshark hier keine Namensauflösung. klappt irgendwie nicht. NSlookup erbrachte einen timeout.

Die Auswertung zeigte an, dass bei TCP die Source ein td-postman mit Port 1049 ist und DSt http (80). Nach der Portliste..........
http://www.iana.org/assignments/port-numbers
..........hat das irgend etwas mit einem Dienst: Tobit David Postman VPMN zu tun. Kennt den jemand?

weiterhin auf der ethernetebene wird bei DSt folgendes angezeigt: Arcadyan. Habe gegoogelt: Arcadyan hat evtl was mit der Easybox zu tun.

Hat jemand ne Idee?

bei Antwort benachrichtigen
Weiterhin verbindet sich der PC unter der Adresse 55.12.201.193 mit den ... Manfredtiel
Whois wurde gestartet OrgName: Headquarters, USAAISC OrgID: HEADQU-3 ... andreas245
Danke für die Auskunft. Die Site mein-whois kannte ich auch noch nicht. ... Manfredtiel
Jetzt ist nochmals was interessantes aufgetreten. Nach weiterer Stunde ... Manfredtiel
Deaktiviere doch mal die AddOns deines Browsers. Beim IE: Extras - AddOns ... shrek3
Ja, ich werd mal alle unwichtigen autostartprogramme in msconfig abschalten. ... Manfredtiel
Wäre allerdings nicht uninteressant, zu erfahren, was passiert, wenn der ... shrek3
Manfredtiel shrek3 „Wäre allerdings nicht uninteressant, zu erfahren, was passiert, wenn der...“
Optionen

ich will erst mal den PC in den Griff kriegen, wenn möglichst wenig läuft. Also nur Desktop. Wenn der Firefox läuft, gibt das eine Unzahl von Einträgen, die Stunden dauern würde, um das alles zu begreifen.
Aber ich habe was rausgekriegt über die komische IP-adressverdrehung von 55.12.201.193 auf 193.201.12.55. Nachdem ich die alternativen DNS-Server eingetragen habe und die Namensauflösung in Wireshark klappt, potokolliert Wireshark einen DNS-Zugriff auf die Domäne: in-addr.arpa. Siehe wikipedia:

http://de.wikipedia.org/wiki/Reverse_Dom%C3%A4ne

Da gehts um eine Reverse Auflösung: Zu einer IP Adresse wird der name gesucht. Dazu gibts den dienst arpa.Zuerst versucht mein PC eine solche Reverse-Namensauflösung. Dann erst bekommt er den Namen www.focus.de heraus. somit schätze ich, dass ich gar nicht mit dem Militärverbunden bin, sondern das falsch interpretiert wurde durch mich, weil diese reverse Namensauflösung in Wireshark nicht funktioniert hat. Mit anderen Worten: ich glaube, das die Verbindung mit focus.de mehr der Wahrheit entspricht. Nix USA. Bin kein Spion :))

Jetzt muss ich nur noch rauskriegen, warum sich der PC mit focus verbindet. Habe alle Autostartprograme in MSCONFIG abgeschaltet. Aber die Anzeige www.focus.de ist immer noch da.

bei Antwort benachrichtigen
Hurra ich glaub ich habs! Als ich mir den TCP Stream in Wireshark von ... Manfredtiel
Na, dann dürfte sich ja Erleichterung bei dir einstellen. Viel Spaß noch ... shrek3
Bei schaeuble-wegtreten habe ich auch unterschrieben. Manfredtiel