Mysteriöser Upload im Maus-Idle

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Mysteriöser Upload im Maus-Idle

Beitragvon xebone » So 06 Apr, 2008 17:36

Hab diese Frage schon bei geizhals gefragt, aber war wohl das falsche Forum ;o)
Vielleicht kann mir hier einer helfen.


Habe Sil 6Mbitdown 0,5Mbit up.
Netzwerkkarte ist 192.168.0.2 und direkt am Modem dran (alle ports forwarded) - Zone Alarm firewall läuft. (vllt. falsch geconft)

DU Meter zeigt mir wenn mein Rechner im idle ist und ich die Maus für 10 sec nicht bewege, einen Traffic an und zwar immer ca. das doppelte von meinem theoretischen Maximalwert - nämlich ca. 128kB/s.
Erstens schonmal lustig das das überhaupt geht wenn die Leitung physisch nur 512kbit hat ... die Daten landen aber offensichtlich nicht wirklich im Internet denn die Traffic statistik von SIL zeigt mir keinen Upload an.

Spiele ich aber ein online spiel und hoste dabei, dann beschweren sich die Leute das es unmöglich geht, weil so eine verzögerung ist, d.h. die Uplaod Bandbreite ist wirklich zu. Aber mit was? Wohin?

Sämtliche Tools wie netlimiter oder Kerio Winroute firewall und zone alarm bringen nichts zutage. Virus und Spyware Scanner ebenso nicht.

Wenn ich wenigstens mal wüsste was es verursacht.

Neuinstall will ich unbedingt vermeiden.

Noch ein interessantes Detail:
Wenn ich die Maus bewege ist der traffic weg - schlagartig. Schreibe ich auf der Tastatur kommt er wieder voll.
Also alles sehr merkwürdig.

Vielleicht irgeneine Art von Loopback Traffic zum Modem?
(nachdem es ja offensichtlich nicht ins Netz geht)
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon jutta » So 06 Apr, 2008 17:40

was sagt netstat? (zb netstat -an)

was steht in der ereignisanzeige?

eventuell mit ethereal/wireshark versuchen. damit sieht du jeden traffic auf der netzwerkkarte. www.wireshark.org
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon max_payne » So 06 Apr, 2008 18:00

Ich glaub du bist versuchskaninchen für die Onlinedurchsuchung :-D

hast irgend ne vpn-verbindung oder sonstiges? dumeter zeigt nämlich standarmäßig den traffic von der netzwerkkarte _und_ den von der vpn/pppoe-verbindung an
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon xebone » So 06 Apr, 2008 20:29

Selbstverständlich Monitor ich mit dumeter nur das Netzwerkkarteninterface ;o)



Netzwerkmonitortreiber,Datei und Druckerfreigabe und dergleichen sind ausgeschalten. Läuft nur client für MS Netzwerke und TCP/IP

Schau mir das jetztmal mit Wireshark an, wär ja noch schöner *g*
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon xebone » Mo 07 Apr, 2008 07:56

So nachdem Wireshark nun läuft findet sich dann nach einiger Zeit wenn der upload losgeht folgendes:

Bild

Das scheint wohl der Übeltäter zu sein weil da in Sekunden die Karte geflutet wird damit. Was ist das nun bzw. was kann ich dagegen tun? :-?

Danke für eure Hilfe!
Frame 801 etc fortlaufend bytes 1514 byte on wire,1514 bytes captured
Unten im Detail steht dann "Data 1480 bytes" Data: 00000000000000000000000....

Übrigens: Nach dem Mausbewegen hörts auf und jetzt wo ich wieder mitcapture geht das selbe Spiele auf die IP 69.64.145.229 raus. Scheint also zu wechseln die Destination. Warum zum Geier schickt mein Rechner in alle Welt irgendwas (und was?) hin?
Sehr ungutes Gefühl ;o)

Wird wohl sowas hier sein, aber ich kenn mich da nicht genauer aus ...
http://en.wikipedia.org/wiki/IP_fragmentation_attacks

Da ich anscheinend diese attacken losssende - welches Programm startet das wohl ... muss ja doch anscheinend irgendwas ungutes draufsein oder?
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon medice » Mo 07 Apr, 2008 09:17

such mal das tool TCP-View (eventuell ohne den Bindestrich?) mit dem du in einer Art GUI die Netzwerkverbindungen nebst verantwortlichem Programm ausfindig machen kannst.
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon xebone » Mi 16 Apr, 2008 13:20

Hallo!
Leider zeigt mit TCP-View von dem oben aufgeführten Traffic gar nichts an. So als gäbe es den nicht.

Was nun?

Hab jetzt übrigens auf dem Firmenrechner das gleiche Problem.
(der auch nur am Internet war und keine sonstige Kommunikation mit meinem Rechner zu Hause hat)

Programme die gleich installiert sind sind Office XP und Dumeter 4.0 und ein paar Nikon Programme.
Sonst ist es auch nur WInXP mit SP2.

Bin echt ratlos wie ich rausfinde welches Programm diesen Traffic auf der Karte verursacht. Das er da ist hat mir Wireshark ja nun bestätigt.

Hilfe bitte! :-?

Die IP zu der es nun geht ist 70.84.44.132.
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon wicked_one » Mi 16 Apr, 2008 16:48

Ich kenne TCP-View nicht, abrt dem Namen nach zeigt es TCP-Verkehr an, keinen ICMP :P

Aber im Ernst, von der ferne keinen Plan was das sein könnte...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon max_payne » Mi 16 Apr, 2008 17:00

lass mal hijackthis drüberlaufen
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon xebone » Mi 16 Apr, 2008 18:36

@max payne: schreib ich doch schon im eröffnungsposting das alles derlei bereits gemacht wurde und nichts gebracht hat.

Tja und wie stell ich nun fest welches Proggie dann den ICMP Verkehr verursacht? ;o)
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon wicked_one » Mi 16 Apr, 2008 18:40

Tja und wie stell ich nun fest welches Proggie dann den ICMP Verkehr verursacht? ;o)

natstat?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon xebone » Mi 16 Apr, 2008 18:44

Netstat -a zeigt leider nichts dergleichen an, sonst hätte ich ja nicht wireshark gebraucht - welches mir als einziges Programm (alle 4 installierten Firewalls, TCP view, netstat zeigten sowas nicht) eben diese Pakete angezeigt hat!

Das is ja mein Mysterium ;o))

Der Traffic geht ja offenbar auch nicht wirklich ins Netz bzw. er wird vom Provider nicht als Traffic verrechnet. Weiss nicht, werden ICMP Pakete, auch verrechnet?
Zuletzt geändert von xebone am Mi 16 Apr, 2008 18:46, insgesamt 1-mal geändert.
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon xray123 » Mi 16 Apr, 2008 18:45

auf mac umsteigen und dann little snitch installieren - dann gibts keine ungefragten uploads mehr 8-)
xray123
Board-User Level 2
Board-User Level 2
 
Beiträge: 750
Registriert: Di 27 Jun, 2006 15:04

Beitragvon xebone » Mi 16 Apr, 2008 18:46

@xray123: haha - ich will weder windows neuinstallieren noch Mac installieren ;o)
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon xebone » So 20 Apr, 2008 15:12

Nachdem mir hier niemand mehr helfen kann/mag hat wer ne Idee in welchem Forum ich so eine Frage beantwortet bekomme?
Danke!
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Nächste

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: Yandex [Crawler] und 2 Gäste