ComputerBase Hauptmenü
Aktuelles

Ich werd paranoid, Verbindungen nach Washington!

Hallo zusammen,

@ markus1234

Laß dich nicht kirre machen. Mir an deiner Statt würde es genauso gehen, wenn etwas mit meinem Rechner abläuft, was eben nicht gerade Normal ist. Erst recht, wenn es sich um so etwas handelt, was du beschreibst.

Am Ende hat man die RIAA auf dem Hals welche behauptet, man hat MP3`s gezogen, wie es eine Fall in den USA gegeben hat.

Hat vielleicht nichts direkt damit zu tun, doch hat ein Kumpel von mir letztens den Fall gehabt, daß die vollständigen ICQ-Verläufe plötzlich ihm per SMS zugesimst wurden. Er hat dann gleich einen Virenscan gemacht, nichts gefunden. Dann hat er den Sysmantec Onlinescanner durchlaufen lassen und der hat in einem MP3 File ein ICQ-Backdoor Proggie gefunden welches eben die Verläufe rausgeschickt hat bzw. mitprotokollierte.

Nur mal als ein Beispiel weshalb ich der Ansicht bin, heutzutage kann man nicht vorsichtig genug sein.

Eine Frage, welchen Virenscanner/Firewall hast du? Bei mir ist es so, wenn eine unbekannte Vebrindung nach außen geht, schlägt die Firewall sofort Alarm und fragt nach, ob sie das zulassen soll. Normalerweise müßte sowas auch bei dir passiert sein.

Es sein denn, es ist ein gängiges Programm, welches zum System gehört. Das ist eben die Frage, wenn eine ausgehende Verbindung da ist, sollte meiner Ansicht nach auch etwas auf deiner Platte sein, was rauswählt.

Hats du mal geschaut, was zuerst vonstatten geht, zuerst Ausgehende Verbindung oder umgekehrt?

So long..
 
Es könnte sein, dass
- es ein Spambot ist, das du/ bzw. dein PC Spam mails versendet.
- das du als möglicher Terrorist vom FBI überwacht wirst. hast du mal nach einer Bombenanleitung gegoogelt etc.? =)
- es ein keylogger ist, und deine PW`s etc. übermittelt werden

Das die erste Verbindung nach Washington führt ist ja nichts besonders, von dort könnte es ja wiederum in die ganze Welt führen.
 
Ich hatte vorgestern etwas ähnliches, irgendjemand hat von außen irgendwas versucht (so richtig schlau draus werde ich nicht), ist aber anscheinend an meiner Firewall (nicht die vom Router) gescheitert.
Die IP des "Angreifers" oder was auch immer das war: 72.165.61.162
Gibt man das ganze hier ein, kommt man in Seattle USA raus.
Ich hab keine Ahnung, was ich davon halten soll, aber hatte bis jetzt nie so ein Problem.
 
ein whois-lookup sollte in der regel weiterhelfen
 
Kompromittierung schließe ich gänzlich aus, UND WENN, dann ist es etwas vereinbartes.
Mein Router ist leider nicht im Stande Einzelverbindungen zu loggen oder sonstwas bis auf die An- und Abmeldeaktionen auf demselben.

ICQ verwende ich generell nicht nur MSN mit 2 festen Kontakten, die ich persönlich kenne. Ob es wohl daran liegt? Jeder, der nicht gleich 200 Kontakte hat und desöfteren über MSN kommuniziert ..

Nunja .. Es ist eben ein totaler Ausnahmefall, wie gehabt rufe ich gerne die Netstat auf, um ein bisschen zu störbern und dieser Eintrag war mir gänzlich neu. Wenn MS dort nicht gerade erst ein Rechenzentrum eröffnet hat, dann kann ich mir die Verbindungen immer noch nicht erklären.

Ich bin übrigens ein komplett legaler User, besitze ein legales XP, sowiea usschließlich registrierte Software (meistens sowieso OpenSource). Ich verwende keine Filesharingprogramme und treibe mich auch nicht auf dubiosen Seiten rum.

Das schöne ist ja, ich bin nicht der Einzige. Über Google lassen sich viele ähnliche Fälle finden. Beim lesen des Letzten klingelte wieder das Handy mit einer unbekannten Nummer, natürlich wieder nur eine Sekunde lang.

Also .. im schlimmsten Fall wird mein Computer überprüft, mein Handy ausgehorcht und ich werd dazu noch bespitzelt. Im besten Fall waren die Verbindungen nur Zufall und gingen am Ende doch von MS aus.

Wer Interesse an einem eventuellen Gefangenenlagerbericht hat, bietet nur .. Ich kann auch im Verkaufsthread was aufmachen :D

mfg,
Markus
 
Hallo zusammen,

@ markus1234

Sorry, daß ich noch mal nach deiner Firewall frage. Vor allem, weil normalerweise eine Meldung kommen müßte, wenn eine unbekannte Anwendung rausgeht oder gar reinkommt.

Von daher müßte das ganze zumindest hinsichtlich der Anwendungen einzugrenzen sein. Hilfreich wäre auch ein Prozeßviewer, wo du jedwede laufenden Programme aufgezeigt bekommst. Schau doch mal mit "Autoruns" was hinsichtlich laufender Prozeße bei dir läuft.

So sollte man dem ganzen langsam näher kommen, da bin ich sicher. Also ich will den Teufel nicht an die Wand malen, aber mir würde das keine Ruhe lassen. Im Zweifelsfall würde ich alles platt machen und neu installieren.

So long..
 
Moin und ein herzliches LOL an euch! ;)
"Ich werd paranoid" stimmt, ich sollte noch etwas warten, wo eure Fantasie denn endet!? *Sry* :)

Psst, dann klär ich euch mal auf *vorsichtigumschauobkeinermithört* :freaky: :

* Also, die IP stammt nicht aus Washington, sondern aus San Jose, Kalifornien

* Bei einer Whois-Abfrage kann man weiterhin lesen:

NetRange: 38.0.0.0 - 38.255.255.255
..
NetName: PSINETA
..
NameServer: NS.PSI.NET
Zum Vergrößern anklicken....

es geht also um ein Netzwerk (38.0.0.0, Kl. A mit max 16 Mio Hosts) und PSI Inc ist der Besitzer / Verwalter dieses Netzes ist. Wobei PSI nur ein "Label" der Fa. Cogent ist, dem eigentlichen Eigentümer.

* Die Feinheiten des dns reverse lookup mit in-addr.arpa lass ich jetzt mal weg!:rolleyes: Man "sieht" die Lösung aber auch, wenn man bei Google nach 38.99.77.132 sucht: Alle Treffer außer dem 1. enthalten ein Wort, nämlich imageshack :eek:

* Beim Ping auf imageshack.us kommt als Antwort: Ping imageshack.us [38.99.76.141]

* Das ist ja schon mal in der Nähe. So, Bilder werden bei Imageshack nach einem best. Raster auf Unterdomänen namens imgXXX verteilt, also zb. img123.imageshack.us

* Nun eine rekursive nslookup Abfrage auf die ersten 250 dieser Server, das ganze in ein Textfile und siehe da, bei img209.imageshack.us steht Address: 38.99.77.132

* Es handelt sich bei deiner ominösen IP also um einen Bilder-Server von Imageshack! :lol:

Diese Bilder werden per Code gerne in Foren & Blogs eingeblendet, sobald man dann auf diese Seite geht, wird das Bild von Imageshack.us nachgeladen! Das wird ja hier bei FB teilweise auch so gemacht.

Du hattest also grad ein Bild von Imageshack nachgeladen (bei Besuch einer Seite) und genau dann dein Netstat gemacht, war ein unglückliches Timing! :evillol:


So, ich hoffe, das damit alle Unklarheiten beseitigt sind!? :D:lol: *SCNR*

my2cents

PCB
 
Moin!

Luxmanl525 schrieb:
Sorry, daß ich noch mal nach deiner Firewall frage. Vor allem, weil normalerweise eine Meldung kommen müßte, wenn eine unbekannte Anwendung rausgeht oder gar reinkommt.
Zum Vergrößern anklicken....

Du meinst vermutlich eine Personal Firewall - und die könnte man auch austricksen.

Luxmanl525 schrieb:
Von daher müßte das ganze zumindest hinsichtlich der Anwendungen einzugrenzen sein. Hilfreich wäre auch ein Prozeßviewer, wo du jedwede laufenden Programme aufgezeigt bekommst. Schau doch mal mit "Autoruns" was hinsichtlich laufender Prozeße bei dir läuft.
Zum Vergrößern anklicken....

Damit siehst du nur die Autoruns, wie der Name schon sagt ;) Du meinst das hier: http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx

CU
 
Sehr interessant !

Könntest Du mir freundlicherweise mitteilen, wie man das genau herauskriegt und blockiert?
Weder ich, noch meine Geschwister haben Lust darauf ausspioniert zu werden.

Würde mich über ausführlichere Tipps freuen (egal, ob Windows, Linux- oder Routerbezogen).
 
also paranoid biste wirklich ...
Kompromittierung schließe ich gänzlich aus, UND WENN, dann ist es etwas vereinbartes.
Zum Vergrößern anklicken....
aber auf der anderen Seite verdächtigen das du überwacht wirst ??

... also das schließt sich irgendwie gegenseitig aus :D
würde mich eher mal an PCB halten denke der liegt ganz richtig ;)

@Spock: ganz einfach trenne die Netzwerkverbindung deines PC, dann brachst du keine Sorgen vor Gefahren aus dem inet haben ... wenn dann dein Haus/Wohnug noch in ne Festung verwandelst bist du absolut sicher und wahrscheinlich dann auch nen sehr einsamer aber sicherer Mensch ;P

ne Gute Firewall im Router, nen guten Virenscanner und BRAIN2.0 sollte aber auch reichen ...
 
Zuletzt bearbeitet:
Bitte all diejenigen die k.A. haben - "aus".
Es geht hier um Ursachenforschung. Es gibt keine "Extraprogramme", die nach Hause telefonieren, wesshalb ich auch "ETWAS VEREINBARTES" schrieb, etwas Windows-eigenes pder ein Teil einer anderen installierten Software, die so odr so nach außen darf.

@PCB stimmt wohl, führt auf img209.imageshack.us.
Warum diese Verbindung aber Minuten nachdem der Browser geschlossen war noch AKTIV ist, bleibt mir ein Rätsel. AUch weil ich mich nicht erinnere, lustige Bildchen angekuckt zu haben, auch nicht in der Forumbase.

Wenn jetzt noch das Handy aufhört alle 2 Stunden rumzuhüpfen, bin ich zufrieden.

mfg,
Markus
 
markus1234; schrieb:
Warum diese Verbindung aber Minuten nachdem der Browser geschlossen war noch AKTIV ist, bleibt mir ein Rätsel. AUch weil ich mich nicht erinnere, lustige Bildchen angekuckt zu haben, auch nicht in der Forumbase.
Zum Vergrößern anklicken....
Das ist Teil des TCP/IP-Protokolls: Wenn eine Verbindung beendet wird, wechselt der Client nach dem Senden des letzten ACKs in den Modus TIME_WAIT (WARTEND).

Dieser Modus wird für mind. die doppelte MSL (Maximum Segment Lifetime, Maximaldauer welche ein Segment im Netz verbringen kann, bevor es verworfen wird) beibehalten, in der Praxis ist die MSL ca 30 sek, das heißt die Verbindung wird für mind. 60 sek in diesem Wartezustand verbleiben und die Verbindung danach auch clientseitig ganz beenden)

Tipp: Bei Netstat solltest du den Parameter -ano benutzen, dann wird auch der Status einer Verbindung angezeigt.

cya

PCB
 
markus1234 schrieb:
Bitte all diejenigen die k.A. haben - "aus".
Zum Vergrößern anklicken....

Und was machen wir dann mit dir? Fraglich ob sich die anderen auf die das zutreffen könnte, in Hundesprache kommandieren lassen.

markus1234 schrieb:
Es gibt keine "Extraprogramme", die nach Hause telefonieren,
Zum Vergrößern anklicken....

Und woher weißt du das so genau? Du verwendest keine Programme auf deinem nackten Windows oder siehst du von jedem Programm den Quellcode durch? Und nein, ein Virenscanner reicht nicht aus.

markus1234 schrieb:
@PCB stimmt wohl, führt auf img209.imageshack.us.
Warum diese Verbindung aber Minuten nachdem der Browser geschlossen war noch AKTIV ist, bleibt mir ein Rätsel. AUch weil ich mich nicht erinnere, lustige Bildchen angekuckt zu haben, auch nicht in der Forumbase.
Zum Vergrößern anklicken....

Wie PCB schon ausführlich erklärt hat reicht es aus, wenn irgendeine Seite ein Bild von imageshack.us eingebunden hat.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz