Ständiger Datenfluss mit ADSL
-
Also die Firewall Meldungen sind relativ normal und ungefährlich. Schließlich
warnen sie nur vor einer _eingehenden_ Verbindungsanfrage und nicht vor einer
_ausgehende_. Hierbei handelt es sich um normale IP-Bereich-Portscans, Broad-
cast, etc. etwas völlig normales. Wenn die Firewall empfindlich eingestellt ist
meldet sie soetwas. Um nicht vollkommen genervt zu werden sollte man diese
Meldungen abstellen - allerdings wieder einschalten, wenn man eingehende
Verbindungen braucht und die Ports noch nicht konfiguriert sind.Der Datenfluss ist schon eher interessant: Woran erkennt er diesen? An der
Windows Informartion? Also ich hab mal meine Verbindung überprüft und bin
auf 12KB/Minute gekommen (ADSL HanseNet 3MBit).Allerdings bin ich auch einer jener Radikalen ohne Firewall und dafür ein
stets aktuelles, richtig konfiguriertes Windows
- Und bin damit bis jetzt
auch sehr erfolgreich gefahren - ohne einen Virus, Wurm, etc.Ich habe mal gelesen, dass zwischen ADSL Vermittlungsstelle und ADSL Modem
ständig Informationen ausgetauscht werden, um zu überprüfen, ob die
Verbindung noch lebt, etc. - ob diese bis zum Rechner kommen weiß ich nicht...Aber alles im Allem finde ich 30KB/Min. sehr, sehr wenig - Ein Wurm würde
vermutlich mehr Traffic verbrauchen. Und wenn der Rechner als FTP missbraucht
werden würde, dann könnte er kaum noch surfen
Vermutlich resultiert der Traffic einfach aus den normalen Verbindungs-
anfragen (s. oben)MfG,
EnERgYzEr
-
CarstenJ schrieb:
Hat dein Freund ist feste IP-Adresse?
Nein bei jedem Einwählen eine andere!
Das Windows ist frisch aufgesetzt. Die Festplatten wurden alle formatiert. Da kann also kein Virus oder Trojaner mehr drauf sein. Er hat einfach zuviel PC Welt etc. gelesen wo ihn jeder Ausgabe eine Panikmache stattfindet bezüglich Viren und Hackern.
-
Hmm was für progs laufen denn nach dem start?(proscessviewer)
-
@cpt.oneeye, kannst ja Packetyzer (basiert auf Ethereal) auf dem Rechner installieren und schaun was für Daten rein und raus gehen. Bei den wenigen Daten sollte es noch recht übersichtlich sein. Du solltest aber zum Testen jegliche Firewalls ausschalten, da sich sonst Firewall und Sniffer gegenseitig behindern.
PS: Ansonsten kann ich dir noch empfehlen die Log-Protokolle der Firewall durchzugehen.
-
EnERgYzEr schrieb:
Ich habe mal gelesen, dass zwischen ADSL Vermittlungsstelle und ADSL Modem
ständig Informationen ausgetauscht werden, um zu überprüfen, ob die
Verbindung noch lebt, etc. - ob diese bis zum Rechner kommen weiß ich nicht...Die werden aber kaum die Nutzbandbreite belasten...
-
Sgt. Nukem schrieb:
EnERgYzEr schrieb:
Ich habe mal gelesen, dass zwischen ADSL Vermittlungsstelle und ADSL Modem
ständig Informationen ausgetauscht werden, um zu überprüfen, ob die
Verbindung noch lebt, etc. - ob diese bis zum Rechner kommen weiß ich nicht...Die werden aber kaum die Nutzbandbreite belasten...
Nun ja, 30KB sind nun auch nicht die Welt... auf jeden Fall nicht für eine
3MBit Leitung - Schließlich handelt es sich hier um einen Verlust von 4KBitIch denke allerdings auch das es eher die Anfragen von x-beliebigen Rechnern
sind als die Vermittlungsstelle - womit sollte die schließlich 30.000 Byte
füllen?Aus meinen Firewall-Zeiten weiß ich noch, wie häufig die Firewall un-
konfiguriert rumnervte...
-
EnERgYzEr schrieb:
Aus meinen Firewall-Zeiten weiß ich noch, wie häufig die Firewall un-
konfiguriert rumnervte...Eben. Eine Personal Firewall ist für einen Normaluser sowieso nicht bedienbar.
Ich zitiere mal aus de.comp.security.firewall (das posting ist noch nicht in den google-groups, weil zu neu):Sven Lanoster schrieb:
Die Personal Firewall (PFW) ist von Otto Normaluser (ONU) nicht
administrierbar, weil dieser zum Beispiel die Rückfragen nicht korrekt
beantworten kann[1]. Außerdem neigt ONU dazu, die störende PFW im
Zweifel zu deaktivieren. Und wenn ONU das nicht macht, macht es die
gerade gestartete Malware.[1] Test: Wenn Du mit einem HTTP-Server (www.example.com) reden
möchtest, musst Du Port 80 (HTTP) dann bei Dir eingehend oder ausgehend
öffnen? TCP oder UDP? Und wenn dabei die scvhost.exe Kontakt ins
Internet aufnehmen möchte, ist das dann in Ordnung?Message-ID: 2ni2eeF14og8U1@uni-berlin.de
-
[1] Test: Wenn Du mit einem HTTP-Server (www.example.com) reden
möchtest, musst Du Port 80 (HTTP) dann bei Dir eingehend oder ausgehend
öffnen? TCP oder UDP? Und wenn dabei die scvhost.exe Kontakt ins
Internet aufnehmen möchte, ist das dann in Ordnung?So dann will ich mal probieren:
Port 80 - ausgehend - TCP
(Antworten sollte die Firewall eigentlich automatisch durchlassen...)und das mit scvhost.exe:
Ist bestimmt nicht in Ordnung...
Ich sperre sowieso alles was ich nicht selber gestartet habe.MfG
Alexander Sulfrian
PS: svchost.exe sind die Genertic Host Processes for Win32 Services
Sehr interessant... Viellicht ist das ja doch i.O.?
-
Alexander Sulfrian schrieb:
[1] Test: Wenn Du mit einem HTTP-Server (www.example.com) reden
möchtest, musst Du Port 80 (HTTP) dann bei Dir eingehend oder ausgehend
öffnen? TCP oder UDP? Und wenn dabei die scvhost.exe Kontakt ins
Internet aufnehmen möchte, ist das dann in Ordnung?So dann will ich mal probieren:
Port 80 - ausgehend - TCP
(Antworten sollte die Firewall eigentlich automatisch durchlassen...)und das mit scvhost.exe:
Ist bestimmt nicht in Ordnung...
Ich sperre sowieso alles was ich nicht selber gestartet habe.MfG
Alexander Sulfrian
PS: svchost.exe sind die Genertic Host Processes for Win32 Services
Sehr interessant... Viellicht ist das ja doch i.O.?Mit dem oberen hast du Recht. Es geht immer um die Verbindungsanfragen. Wenn
du einen Web-Server hättes müsstest du dementsprechend auch die eingehenden
aktivieren.Die svchost.exe ist prinzipiel i.O., da sie zu Windows gehört. Allerdings bin
ich mir nicht sicher, ob sie missbraucht werden könnte, da sie selber Services
lädt, die auch nicht-MS sein können.Per "Tasklist/svc |more" in der Konsole kannst du dir anzeigen lassen, welche
Dienste svchost.exe geladen hat. Diese siehst du auch nicht im Taskmanager!!Bei mir ist z.B. Apache und StyleXP drin gewesen. Diesen Anwendungen kann man
trauen aber es müsste anderen Anwendungen auch möglich sein, von svchost.exe
geladen zu werden
(Bei MS steht wie)
-
Schaust du im task unter anwendungen oder processe?(den die dienste(auch trojaner) werden nur als processe erkannt. Fies ist es nru wenn du nen wurm/virus hat der dir den kernell ändert, dann siehst du ihn nämlich garnicht egal was du machst......
-
Nox schrieb:
Schaust du im task unter anwendungen oder processe?(den die dienste(auch trojaner) werden nur als processe erkannt. Fies ist es nru wenn du nen wurm/virus hat der dir den kernell ändert, dann siehst du ihn nämlich garnicht egal was du machst......
Dazu mußt Du nicht am Kernel rumpfuschen, nur 'nen (API-) Hook installieren (Grüße an Captain Hook
)...
-
Nox schrieb:
Schaust du im task unter anwendungen oder processe?(den die dienste(auch trojaner) werden nur als processe erkannt. Fies ist es nru wenn du nen wurm/virus hat der dir den kernell ändert, dann siehst du ihn nämlich garnicht egal was du machst......
Die von scvhost.exe gestarteten Dienste sind via Taskmanager (auch im Prozess-
modus) nicht sichtbar. Gefunden auf irgendeiner Site per google
-
Probier das mal: http://www.dingens.org/
Die scvhost.exe hat im Internet nichts verloren. Genauso wenig wie irgenwelche anderen Systemdienste. Mit obigen Programm kannst du die Ports für diese Anwendungen und Dienste dicht machen.