Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

botnetz oder nicht??

Manfredtiel / 12 Antworten / Baumansicht Nickles

Hallo Leute,
habe mit Wireshark meinen PC untersucht auf verdächtiges. Dazu habe ich den PC im Leerlauf laufen lassen etwa eine halbe Stunde. sonst keine Anwendungen wie Firefox gestartet. Wireshark hat alles aufgezeichnet, was passiert. Mein Pc ist mit der Easybox von Arcor per Ethernetkabel verbunden.Ich hab ne flatrate DSL 6000.

Verdächtig ist nur eins: Die Adesse 55.12.201.193
leider macht Wireshark hier keine Namensauflösung. klappt irgendwie nicht. NSlookup erbrachte einen timeout.

Die Auswertung zeigte an, dass bei TCP die Source ein td-postman mit Port 1049 ist und DSt http (80). Nach der Portliste..........
http://www.iana.org/assignments/port-numbers
..........hat das irgend etwas mit einem Dienst: Tobit David Postman VPMN zu tun. Kennt den jemand?

weiterhin auf der ethernetebene wird bei DSt folgendes angezeigt: Arcadyan. Habe gegoogelt: Arcadyan hat evtl was mit der Easybox zu tun.

Hat jemand ne Idee?

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „botnetz oder nicht??“
Optionen

Weiterhin verbindet sich der PC unter der Adresse 55.12.201.193 mit den Dienst ansyslmd Port 1055
und optima-vnet Port 1051.

bei Antwort benachrichtigen
andreas245 Manfredtiel „botnetz oder nicht??“
Optionen

„Whois“ wurde gestartet …


OrgName: Headquarters, USAAISC
OrgID: HEADQU-3
Address: NETC-ANC CONUS TNOSC
City: Fort Huachuca
StateProv: AZ
PostalCode: 85613-5000
Country: US

NetRange: 55.0.0.0 - 55.255.255.255
CIDR: 55.0.0.0/8
NetName: ARMY-RCAS
NetHandle: NET-55-0-0-0-1
Parent:
NetType: Direct Allocation
NameServer: NS01.ARMY.MIL
NameServer: NS02.ARMY.MIL
NameServer: NS03.ARMY.MIL
Comment:
RegDate: 1996-10-26
Updated: 2007-04-06

OrgTechHandle: BETHA2-ARIN
OrgTechName: Egbert, Beth A
OrgTechPhone: +1-520-538-2038
OrgTechEmail: DOMAIN-REQUEST@aims7.army.mil

# ARIN WHOIS database, last updated 2008-05-22 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

bei Antwort benachrichtigen
Manfredtiel andreas245 „ Whois wurde gestartet OrgName: Headquarters, USAAISC OrgID: HEADQU-3 Address:...“
Optionen

Danke für die Auskunft. Die Site mein-whois kannte ich auch noch nicht.
Nach googeln müsste das headquarter wohl ein Nameserver sein, den Arcor benutzt.Vielleicht schreibe ich mal nen Brief an Arcor, warum die eine militärische einrichtung benutzen oder damit zusammenarbeiten. also sehr wahrscheinlich legitim und kein Botnetz.

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „Danke für die Auskunft. Die Site mein-whois kannte ich auch noch nicht. Nach...“
Optionen

Jetzt ist nochmals was interessantes aufgetreten. Nach weiterer Stunde wireshark-Aufzeichnung im Leerlauf tritt die Adresse 55.12.201.193 nicht mehr auf. dafür aber die umgekehrte Adresse: 193.201.12.55. Und das ist www.focus.de laut whois. ich weiß nicht recht, aber könnte das nicht ein technisches Problem sein, weil wireshark aus unerfindlichen Gründen auch nicht immer eine Namensauflösung macht. Ich wüsste nicht, dass ich etwas mit focus online zu tun habe. Nach Botnetz hört sich das nicht an.

bei Antwort benachrichtigen
shrek3 Manfredtiel „Jetzt ist nochmals was interessantes aufgetreten. Nach weiterer Stunde...“
Optionen

Deaktiviere doch mal die AddOns deines Browsers.
Beim IE: Extras -> AddOns verwalten

Könnte ja sein, dass du Nachrichtenticker, Widgets u. dgl. laufen hast.

Überprüfe auch, welche Programme per Autostart mit geladen werden.

Welches Betriebssystem hast du überhaupt?

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Manfredtiel shrek3 „Deaktiviere doch mal die AddOns deines Browsers. Beim IE: Extras - AddOns...“
Optionen

Ja, ich werd mal alle unwichtigen autostartprogramme in msconfig abschalten. Das Problem mit der Namensauflösung habe ich wesentlich verbessert indem ich alternative DNS Server von hier.....

http://www.provider-stoerung.de/blog/2007/ubersicht-uber-die-dns-server/

...........eingetragen habe. ich werd mogen mal ne Stunde ohne Autostartprogramme laufen lassen. Die Addons sind doch gar nicht aktiv, denn ich starte ja Firefox oder IE gar nicht. Der pc läuft im leerlauf.

Betriebssystem: XP Prof

bei Antwort benachrichtigen
shrek3 Manfredtiel „Ja, ich werd mal alle unwichtigen autostartprogramme in msconfig abschalten. Das...“
Optionen

Wäre allerdings nicht uninteressant, zu erfahren, was passiert, wenn der Browser im Leerlauf ist...

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Manfredtiel shrek3 „Wäre allerdings nicht uninteressant, zu erfahren, was passiert, wenn der...“
Optionen

ich will erst mal den PC in den Griff kriegen, wenn möglichst wenig läuft. Also nur Desktop. Wenn der Firefox läuft, gibt das eine Unzahl von Einträgen, die Stunden dauern würde, um das alles zu begreifen.
Aber ich habe was rausgekriegt über die komische IP-adressverdrehung von 55.12.201.193 auf 193.201.12.55. Nachdem ich die alternativen DNS-Server eingetragen habe und die Namensauflösung in Wireshark klappt, potokolliert Wireshark einen DNS-Zugriff auf die Domäne: in-addr.arpa. Siehe wikipedia:

http://de.wikipedia.org/wiki/Reverse_Dom%C3%A4ne

Da gehts um eine Reverse Auflösung: Zu einer IP Adresse wird der name gesucht. Dazu gibts den dienst arpa.Zuerst versucht mein PC eine solche Reverse-Namensauflösung. Dann erst bekommt er den Namen www.focus.de heraus. somit schätze ich, dass ich gar nicht mit dem Militärverbunden bin, sondern das falsch interpretiert wurde durch mich, weil diese reverse Namensauflösung in Wireshark nicht funktioniert hat. Mit anderen Worten: ich glaube, das die Verbindung mit focus.de mehr der Wahrheit entspricht. Nix USA. Bin kein Spion :))

Jetzt muss ich nur noch rauskriegen, warum sich der PC mit focus verbindet. Habe alle Autostartprograme in MSCONFIG abgeschaltet. Aber die Anzeige www.focus.de ist immer noch da.

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „ich will erst mal den PC in den Griff kriegen, wenn möglichst wenig läuft....“
Optionen

Hurra ich glaub ich habs!
Als ich mir den TCP Stream in Wireshark von Focus.de angeschaut habe, ist mir aufgefallen, dass es sich um bunt gemischte nachrichten handelt. wie RSS eben. Da muss wohl ein Programm die RSS-Ticker von focus abrufen. Also ich auf der ganzen festplatte nach "Focus" suchen lassen.
Ergebnis: Es ist Microsoft, die mit dem Programm c:/windows/system32/msfeedssync.exe unerlaubterweise schon seit langer zeit bei mir Nachrichtenticker abholen. Ich wüsste jetzt nicht, dass ich "Microsoft Feed Syncronisation" erlaubt habe, Feeds abzuholen.
Als ich meinem normalen eingeschränkten Benutzer, mit dem ich im Internet lese, über die Sicherheitseinstellungen des Programms msfeedssync.exe verboten habe, dieses Programm zu starten, war Ruhe. Nix mehr www.focus.de
Problem gelöst!

bei Antwort benachrichtigen
shrek3 Manfredtiel „Hurra ich glaub ich habs! Als ich mir den TCP Stream in Wireshark von Focus.de...“
Optionen

Na, dann dürfte sich ja Erleichterung bei dir einstellen.

Viel Spaß noch mit deinem PC.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Manfredtiel shrek3 „Na, dann dürfte sich ja Erleichterung bei dir einstellen. Viel Spaß noch mit...“
Optionen

Bei schaeuble-wegtreten habe ich auch unterschrieben.

bei Antwort benachrichtigen