Viren, Spyware, Datenschutz 11.227 Themen, 94.383 Beiträge

Verfolgung starten Optionen

botnetz oder nicht??

Manfredtiel / 12 Antworten / Flachansicht Nickles

Hallo Leute,
habe mit Wireshark meinen PC untersucht auf verdächtiges. Dazu habe ich den PC im Leerlauf laufen lassen etwa eine halbe Stunde. sonst keine Anwendungen wie Firefox gestartet. Wireshark hat alles aufgezeichnet, was passiert. Mein Pc ist mit der Easybox von Arcor per Ethernetkabel verbunden.Ich hab ne flatrate DSL 6000.

Verdächtig ist nur eins: Die Adesse 55.12.201.193
leider macht Wireshark hier keine Namensauflösung. klappt irgendwie nicht. NSlookup erbrachte einen timeout.

Die Auswertung zeigte an, dass bei TCP die Source ein td-postman mit Port 1049 ist und DSt http (80). Nach der Portliste..........
http://www.iana.org/assignments/port-numbers
..........hat das irgend etwas mit einem Dienst: Tobit David Postman VPMN zu tun. Kennt den jemand?

weiterhin auf der ethernetebene wird bei DSt folgendes angezeigt: Arcadyan. Habe gegoogelt: Arcadyan hat evtl was mit der Easybox zu tun.

Hat jemand ne Idee?

bei Antwort benachrichtigen
Weiterhin verbindet sich der PC unter der Adresse 55.12.201.193 mit den ... Manfredtiel
Whois wurde gestartet OrgName: Headquarters, USAAISC OrgID: HEADQU-3 ... andreas245
Danke für die Auskunft. Die Site mein-whois kannte ich auch noch nicht. ... Manfredtiel
Jetzt ist nochmals was interessantes aufgetreten. Nach weiterer Stunde ... Manfredtiel
Deaktiviere doch mal die AddOns deines Browsers. Beim IE: Extras - AddOns ... shrek3
Ja, ich werd mal alle unwichtigen autostartprogramme in msconfig abschalten. ... Manfredtiel
Wäre allerdings nicht uninteressant, zu erfahren, was passiert, wenn der ... shrek3
ich will erst mal den PC in den Griff kriegen, wenn möglichst wenig läuft. ... Manfredtiel
Manfredtiel Nachtrag zu: „ich will erst mal den PC in den Griff kriegen, wenn möglichst wenig läuft....“
Optionen

Hurra ich glaub ich habs!
Als ich mir den TCP Stream in Wireshark von Focus.de angeschaut habe, ist mir aufgefallen, dass es sich um bunt gemischte nachrichten handelt. wie RSS eben. Da muss wohl ein Programm die RSS-Ticker von focus abrufen. Also ich auf der ganzen festplatte nach "Focus" suchen lassen.
Ergebnis: Es ist Microsoft, die mit dem Programm c:/windows/system32/msfeedssync.exe unerlaubterweise schon seit langer zeit bei mir Nachrichtenticker abholen. Ich wüsste jetzt nicht, dass ich "Microsoft Feed Syncronisation" erlaubt habe, Feeds abzuholen.
Als ich meinem normalen eingeschränkten Benutzer, mit dem ich im Internet lese, über die Sicherheitseinstellungen des Programms msfeedssync.exe verboten habe, dieses Programm zu starten, war Ruhe. Nix mehr www.focus.de
Problem gelöst!

bei Antwort benachrichtigen
Na, dann dürfte sich ja Erleichterung bei dir einstellen. Viel Spaß noch ... shrek3
Bei schaeuble-wegtreten habe ich auch unterschrieben. Manfredtiel