Nach Hause Telefonieren

[carsten1975]

Hallo

mir fiel kein besserer Titel ein.

Ich habe ein Problem.

wenn ich cmd netstat ausführe bekomme ich viele IP´s angezeigt die sonst wo hinführen wo und wie kann ich feststellen welchen Programm das macht

habe bei Whois Ip die Daten eingegeben aber kann damit nichts anfangen IP nach Polen USA UK usw

Kann mir bitte jemand helfen

Danke

 

[mattinator]

Mit TcpView (TCPView for Windows) und Process Explorer (Process Explorer) aus den Sysinternals bekommst Du die Informationen etwas komfortabler. Im Process Explorer erhält man über das Kontext-Menü eines Prozesses die Option "Search Online...", mit der man sich zusätzlich zu den Whois-Informationen weitere Hinweise besorgen kann. Eine andere Variante wäre, die unbekannten Prozesse erstmal per (Windows-)Firewall zu blocken und zu schauen, was passiert / welches Programm sich meldet.

 

[carsten1975]

Danke für die Hilfe

Windows Firewall ist voll dicht habe alles Ausnahmen gelöscht

TCPView mm da läuft schon einiges Firefox svhost kann ich noch zuordnen kann

[System Process]:0 TCP carsten-pc.speedport.ip:49204 :http TIME_WAIT
[System Process]:0 TCP carsten-pc.speedport.ip:49206 :http TIME_WAIT
[System Process]:0 TCP carsten-pc.speedport.ip:49235 http TIME_WAIT
[System Process]:0 TCP carsten-pc.speedport.ip:49249 wwwtuk2vip.microsoft.com:http TIME_WAIT
[System Process]:0 TCP carsten-pc.speedport.ip:49250 :http TIME_WAIT
[System Process]:0 TCP carsten-pc.speedport.ip:49251 http TIME_WAIT
[System Process]:0 TCP carsten-pc.speedport.ip:49252 :http TIME_WAIT
firefox.exe:3132 TCP carsten-PC:49178 localhost:49179 ESTABLISHED
firefox.exe:3132 TCP carsten-PC:49179 localhost:49178 ESTABLISHED
firefox.exe:3132 TCP carsten-PC:49180 localhost:49181 ESTABLISHED
firefox.exe:3132 TCP carsten-PC:49181 localhost:49180 ESTABLISHED
firefox.exe:3132 TCP carsten-pc.speedport.ip:49262 :http ESTABLISHED
lsass.exe:632 TCP carsten-PC:49155 carsten-PC:0 LISTENING
lsass.exe:632 TCPV6 carsten-pc:49155 carsten-pc:0 LISTENING
PnkBstrA.exe:1228 UDP carsten-PC:44301 *:*
services.exe:616 TCP carsten-PC:49156 carsten-PC:0 LISTENING
services.exe:616 TCPV6 carsten-pc:49156 carsten-pc:0 LISTENING
sidebar.exe:2236 UDP carsten-PC:49260 *:*
steam.exe:2208 UDP carsten-PC:52364 *:*
svchost.exe:1072 TCP carsten-PC:49153 carsten-PC:0 LISTENING
svchost.exe:1072 TCPV6 carsten-pc:49153 carsten-pc:0 LISTENING
svchost.exe:1128 TCP carsten-PC:49154 carsten-PC:0 LISTENING
svchost.exe:1128 UDP carsten-PC:isakmp *:*
svchost.exe:1128 UDP carsten-PC:ipsec-msft *:*
svchost.exe:1128 TCPV6 carsten-pc:49154 carsten-pc:0 LISTENING
svchost.exe:1128 UDPV6 carsten-pc:500 *:*
svchost.exe:1352 UDP carsten-PC:ntp *:*
svchost.exe:1352 UDP carsten-PC:ssdp *:*
svchost.exe:1352 UDP carsten-pc.speedport.ip:ssdp *:*
svchost.exe:1352 UDP carsten-PC:65301 *:*
svchost.exe:1352 UDPV6 carsten-pc:123 *:*
svchost.exe:1352 UDPV6 [0:0:0:0:0:0:0:1]:1900 *:*
svchost.exe:1352 UDPV6 [fe80:0:0:0:3859:38df:3f57:fd94]:1900 *:*
svchost.exe:1352 UDPV6 [fe80:0:0:0:4996:1231:abd2:f7fe]:1900 *:*
svchost.exe:1352 UDPV6 [0:0:0:0:0:0:0:1]:65300 *:*
svchost.exe:1468 UDP carsten-PC:llmnr *:*
svchost.exe:1468 UDPV6 carsten-pc:5355 *:*
svchost.exe:940 TCP carsten-PC:epmap carsten-PC:0 LISTENING
svchost.exe:940 TCPV6 carsten-pc:135 carsten-pc:0 LISTENING
System:4 TCP carsten-pc.speedport.ip:netbios-ssn carsten-PC:0 LISTENING
System:4 TCP carsten-PC:microsoft-ds carsten-PC:0 LISTENING
System:4 TCP carsten-PC:5357 carsten-PC:0 LISTENING
System:4 UDP carsten-pc.speedport.ip:netbios-ns *:*
System:4 UDP carsten-pc.speedport.ip:netbios-dgm *:*
System:4 TCPV6 carsten-pc:445 carsten-pc:0 LISTENING
System:4 TCPV6 carsten-pc:5357 carsten-pc:0 LISTENING
wininit.exe:572 TCP carsten-PC:49152 carsten-PC:0 LISTENING
wininit.exe:572 TCPV6 carsten-pc:49152 carsten-pc:0 LISTENING
WinMail.exe:3604 UDP carsten-PC:63486 *:*

sind die Restliche auch Ok oder ???

 

[mattinator]

Also ich sehe nichts Auffälliges, im Zweifelsfall einfach mal den Namen des Programms mal googlen, z.B. PnkBstrA.exe - Google-Suche . Geht eben auch wie schon geschrieben aus den "Process Explorer".

 

[carsten1975]

Danke

Das Problem ist daß ich von T-Online ständig Mails bekomme wegen SPAM versandt ??

Danke für Deine Hilfe

 

[mattinator]

Bist Du sicher, dass die Mails nicht selber Spam sind ? Kannst ja mal den Inhalt anonymisiert zitieren. (Spam-)E-Mail-Versand kann eigentlich nur über das SMTP-Protokoll (TCP/IP-Port 25) erfolgen. Mach mal den Port in der Firewall explizit zu und definiere nur eine Ausnahme für Deinen Mail-Client (WinMail.exe). Was hast Du eigentlich für ein System, Windows Vista ?

 

[carsten1975]

System Vista

die Mails sind von T-Online weil auch Post kommt mit der selben Meldung

Firewall ist ganz dicht

 

[mattinator]

Ich würde mal direkt Kontakt mit dem Support der Telekom aufnehmen, die können Dir sicher genaueres sagen und besser weiterhelfen. Außerdem solltest Du mal einen Viren- und Spyware-Scan machen, z.B. mit den freien Versionen von Avira (Avira AntiVir Personal - FREE Antivirus) und Malwarebytes' Anti-Malware (Malwarebytes). Solche Programme gehören heutzutage eigentlich zur Grundausstattung.

 

[carsten1975]

diese Programme sind alles drauf

Spybot Maleware Antivir Hijakthis laufen täglich einmal

alles sauber

habe im Netz was gefunden das die T-Online bzw T Konzern so Leute los werden will die viel Traffic verursachen

mal sehen wie es weiter geht

Danke für Deine Hilfe

 

[mattinator]

habe im Netz was gefunden das die T-Online bzw T Konzern so Leute los werden will die viel Traffic verursachen

Buuh, das wäre ja böse. Zutrauen würde ich es ihnen jedoch. Na dann viel Glück ! Könntest ja mal eine Zeit lang den Rechner mit 'ner Linux-Live-CD (z.B. Knoppix) benutzen und dann bei der Telekom anfragen, an welchen Tagen zuletzt der Spam-Versand erfolgt ist. Falls sich das dann überschneidet, kannst Du Dir Deiner Unschuld ziemlich sicher sein. Mal 'ne andere (dumme) Frage: einen WLAN-Router mit ungeschütztem Netz hast Du sicher nicht in Betrieb ? Nicht, dass jemand anders nur Deinen Zugang benutzt.

 

[carsten1975]

WLAN ist nicht an

 

[mattinator]

Na dann noch mal viel Glück, zeig's denen bei der Telekom. Ich bin seit Jahren bei Arcor (jetzt ja Vodafone), und kann mich eigentlich nicht beklagen. Lief zwar auch nicht ganz ohne kleinere Problemchen, bliebt aber alles im Rahmen von Bagatellen.

 

[rebel4life]

Falls auch nur der Verdacht besteht, dass dein System infiziert ist, dann ist das einzigst richtige das System neu aufzusetzen.

Hast du nen 2. PC mit 2 Lan Anschlüssen? Dann kannst du bei dem eine Internetweiterleitung/iptables/NAT Brücke einrichten und mit Wireshark den Traffic aufzeichnen und auswerten.