Irgendwas wird hochgeladen, wenn der Windows 10 PC startet ca. 125 MB

[mr999]

Hi,

irgendwas wird hochgeladen, wenn der Windows 10 PC startet. Das ganze dauert nur wenige Sekunden, da ich 40 Mbit/s uploadspeed habe. Es sind ca. 125 MB, die hochgeladen werden.


Wenn der PC heruntergefahren wurde und dann gestartet wurde, tritt es auf und auch bei einem normalen Neustart.

Im Autostart habe ich kaum etwas, nur Outlook und Firefox.
Alle Windowsupdates sind installiert.
Keine Cloudbackups oder sonstiges sind eingerichtet.
Antivirenprogramm (Norton), adwcleaner usw. zeigt nichts an.

Die Fritzbox selbst (im Onlinemonitor), sowie das Programm "NetspeedMonitor" zeigt mir nach einem PC Start an, dass ca. 125 MB hochgeladen werden.
Wie kann ich nun genau prüfen, was dafür verantwortlich ist?

Das Problem ist reproduzierbar.

 

[redjack1000]

Wie kann ich nun genau prüfen, was dafür verantwortlich ist?

Damit z.B:

https://lost-in-it.de/fritzbox-netzwerkverkehr-mitschneiden-und-auswerten/

Cu
redjack

 

[wirelessy]

"netsh trace start persistent=yes capture=yes maxSize=0 tracefile=C:\networktrace.etl".
Danach neustarten, die 125mb übertragen lassen, dann das File auswerten, nachdem der Trace mit "netsh trace stop" beendet wurde.

 

[Alexander2]

wenige Sekunden

Ne, das passt ja nicht zusammen mit deiner Geschwindigkeitsangabe und der Menge? Ich hab das jetzt nicht nachgerechnet, nur überschalgen im Kopf. das muss bei der Zeit viel weniger sein
ehr 20mb oder so?

 

[madmax2010]

Antivirenprogramm (Norton)

Wuerde ich erstmal runter werfen, wenn du dir sorgen machst, dass jemand /etwas dumheiten auf deinem PC macht

sonst mal mit wireshark schauen

 

[Alexander2]

Könnte WIndows selbst sein, komplett vanilla verbindet usich das doch schon mit ein paar drittfirmen ohne, das du was dazu anfasst.
nur die MB sollten da nicht so zusammenkommen.
Edit: wireshark ist gut

Ergänzung (7. Juni 2023)

Evtl memory dumps von abstürzen? Fehlerberichte sowas?

 

[DJMadMax]

Windows hat - seit geraumen Versionen schon - die nette Angewohnheit, Updates von privaten PCs aus zu verteilen, ähnlich einem Torrent-Netz.

Es kann also durchaus "ganz normales Verhalten" sein, dass der PC erst einmal ein paar Megabyte in die weite Welt hinausschickt. Überspitzt gesagt könnte man auch sagen: "Ich habe gerade den neuen MS-Hotfix von dir heruntergeladen".

Wer mehr über solche skurilen und nicht wirklich transparent kommunizierten Machenschaften seitens Microsoft/Windows erfahren will:
einfach mal O&O Shut Up ausführen und Augen machen.

Aber Vorsicht: damit lässt sich Windows ganz schnell verfrickeln.

 

[wirelessy]

Wireshark nen Mitschnitt direkt zum Start beizubringen ist nicht ganz trivial.
Daher bei der Middlebox schauen, oder direkt zum OS-Start capturen.

Zum Auswerten ist Wireshark da schon ganz gut, wobei es die .etl-Files von netsh nicht mag.

//e: https://ask.wireshark.org/question/...for-wireshark-to-start-upon-computer-startup/

 

[LuxSkywalker]

40Mbit/s ~ 5MB/s

125MB / 5MB/s = 25 Sekunden

also müsstest du ausreichend Zeit haben für den zuvor genannten Wireshark Mitschnitt

 

[mr999]

Es sind sogar 170 MB.

o&o shutup habe ich drauf und alles in den "empfohlenen Einstellungen".
Somit wird auch die "Übermittlungsoptimierung" deaktiviert.
Es wurde dadurch auch noch nichts darüber hochgeladen.

Mit wireshark werde ich mich jetzt erstmal beschäftigen.

 

[xy1337]

Um mehr Zeit zu haben, um irgendwas mitzuschneiden, könntest du auch den Upload drosseln.

 

[Luftgucker]

Im Process Explorer die I/O Bytes anschauen könnte den Verursacher zeigen.

Ich tippe mal auf Norton.

 

[purzelbär]

o&o shutup habe ich drauf und alles in den "empfohlenen Einstellungen".

Ich war auch mal vor Jahren so dumm und habe das mit den empfohlenen Einstellungen genutzt bis dann der Punkt kam, das sich Windows 10 1809 nicht installieren ließ: https://pc-sicherheit.net/viewtopic.php?t=13731 und irgendwann fand ich heraus das es an o&o shutup lag und seitdem benutze ich das nicht mehr, hat bei meinem PC "Hausverbot". Was du machen könntest: Datensicherung machen, eine richtige Windows 10 Neuinstallation machen und auf dieses o&o shutup verzichten und dann deinen PC beobachten ob dein beschriebenes Phänomen immer noch auftritt oder nicht.

 

[Carool]

Ich tippe auch mal auf Norton. Hat sicherlich auch sowas wie Dateien in der Cloud scannen.

 

[PC295]

Mit wireshark werde ich mich jetzt erstmal beschäftigen.

Eher ungeeignet. Damit kannst du den Datenverkehr detailliert untersuchen, aber nicht wirklich sehen, welches Programm wann wieviel Datenverkehr verursacht.
Gerad beim Start wird es so sein, dass viele Programme und auch Windows erstmal Kontakt mit dem Internet aufnehmen.

Du kannst mit NetWorkx oder GlassWire den Datenverbrauch aufzeichnen und graphisch ausgewertet sehen.

Ich vermute auch eher ein Programm.
Windows fängt erfahrungsgemäß mit den Datenaustausch an, wenn man abwesend ist.

 

[Redundanz]

Im Process Explorer die I/O Bytes anschauen könnte den Verursacher zeigen.

das ist vom ansatz der richtige tipp, denn bei einem mitschnitt wirst du im zweifel gar nicht den verursacher des uploads feststellen, vor allem wenn es verschlüsselter "datensalat" ist.

aber du solltest im proc explorer die column "delta send bytes" unter "process network" tab hinzufügen. und dann absteigend danach sortieren. das machst du einfach schön bequem VOR deinem nächsten neustart und packst am besten den process explorer noch behelfsmäßig in dein startup folder. dann hast du bei ca. 25 (?) sekunden genug zeit zu sehen wer der verantwortliche sendende prozess ist.

 

[mr999]

@Redundanz

Ok ich habe mir den https://www.computerbase.de/downloads/systemtools/process-explorer/ heruntergeladen und gestartet.

Durch rechtsklick habe ich "select Columns" und dann unter "process I/O" dann "Delta write bytes" und "Delta read bytes" hinzugefügt.

Ich hoffe du hattest das gemeint.
Einen process network" tab finde ich nicht.

Leider wechselt das alles so schnell, das man nichts erkennt.
Man kann es irgendwie nicht fixieren.

 

[Redundanz]

wenn du mit der maus einmal draufklickst kommt der pfeil nach unten und es ist fixiert (nach unten absteigend sortiert). wenn du jetzt den proc explorer beendest und beim nächsten rechner start gleich startest (optimal autostart) dann ist diese sortierung auch nachwievor so eingestellt und dann solltest du im prinzip sofort den übeltäter ganz oben in der liste sehen.

 

[Alexander2]

Oft ist es so, wenn nicht immer, das wenn du bei einer Spalte ganz oben auf die Kategoriebezeichnung klickst, dann wird wird nach den Werten sortiert, falls du das noch nciht wusstest. wobei es durch mehfaches klicken dann in der Regel die Reihenfolge ändert.

Dann sollte ensprechend bei der Splate geklickt der verursacher mit den größten Werten (von was auch immer) ganz oben oder ganz unten stehen, je nachdem wie oft du klickst.

 

[mr999]

Ja ich weiß was du meinst,
aber 1. sieht es bei mir ganz anders aus und 2. bleibt es nicht fixiert und 3. gibt es keinen process network" tab bei mir