Ständiger Verbindungsaufbau im Heimnetz

[xXxOrcaxXx]

Hallo, ich habe habe bemerkt, dass mein PC in meinem Netzwerk seit kurzem den upstream ziemlich auslastet.
Also habe ich mal Wireshark angeschmissen und auf gut Glück lauschen lassen.
Ich habe dabei natürlich alle Programme, die ich normal abschalten konnte, abgeschaltet.
Dabei ist mir aufgefallen, dass mein PC immer wieder die gleiche IP im Heimnetzwerk aufruft und dabei als Info ziemlich zwielichtige URLs angibt.
Ich weiß nicht, ob diese Anfragen den enormen upstream auslösen, ich weiß auch nicht ob diese Anfragen nicht harmlos sind. Ich würde aber trotzdem gerne wissen, ob jemand etwas damit anfangen kann oder weiß, wie ich diese Anfragen einem Prozess zuordnen kann.
Liebe Grüße, Felix

 

[IRON67]

Ein normaler Scanreport von Wireshark sieht zwar eigentlich etwas anders aus (jedenfalls kenne ich das anders), aber es wäre wirklich hilfreich, wenn du mal die Liste der laufenden Prozesse nachliefern bzw. selbst einsehen würdest, sei es nun über den Task-Manager oder etwas wie Process Explorer. Vermuten kann man aber schon mal aktive Adware, ggf. auch nen Bitcoin-Miner.

Apropos 3322.org: https://nakedsecurity.sophos.com/2012/10/05/microsoft-settles-lawsuit-against-3322-dot-org/

Kann also auch ein ausgewachsenes Botnet sein, dem dein PC neuerdings angehört. Glückwunsch.

 

[tiash]

NBNS ist ein Adressauflösungsprotokoll, ähnlich wie DNS. Dein Rechner sucht im Netzwerk verzweifelt jemanden, der ihm sagen kann, welche IP Adressen zu diesen Domains gehören (die IP mit der 255 am Ende ist nämlich eine Broadcastadresse, das Paket ist also an alle Netzwerkteilnehmer adressiert).
Die 2-4 Anfragen pro Sekunde werden dein Netzwerk nicht auslasten, aber das Programm, das da hinter steckt vermutlich. Ohne das genauer verifiziert zu haben klingt "Tracker" und "BTFans" für mich schwer nach einem BitTorrentclient. Wenn du den nicht laufen hast, hat sich da vermutlich etwas auf deinem Rechner eingeschlichen, was heimlich agiert.
In Sachen Malware können dir aber andere hier wesentlich bessr weiter helfen.

 

[xXxOrcaxXx]

Hmm, ja, sowas hab ich mir shon gedacht. Da ich keine Adware sehe, und ich nehme mal an, dass Adware gesehen werden will, würde ich auf einen Miner tippen. Ich hänge mal ein Bild meiner Prozesse an, aber falls dieser thread in einem anderen Subforum besser aufgehoben wäre, dann leitet mich bitte weiter.

Außerdem habe ich grad mal per Firewall all Anfragen auf 192.168.178.255 gesperrt und jetzt kommen grad keine Anfragen mehr durch. Ist natürlich aber mehr eine Notlösung.

 

[purzelbär]

Überprüfe und bereinige mal dein System nacheinander mit Malwarebytes Free, Adwcleaner und JRT und poste idealerweise die Logs dazu wegen möglicher Adware oder gar Malware die auf deinem System sind bzw waren. Anleitungen zu den Scannern findest du leicht per Google und fall bloß nicht auf Spyhunter und Konsorten rein sondern verwende erstmal nur die 3 genannten Scanner.

 

[xXxOrcaxXx]

Malwarebytes ist zwar noch nicht fertig, hat aber schon OpenCandy und SearchProtect gefunden, beides Programme, die ich nicht installiert habe und die auch nicht im Programme und Funktionen Verzeichnis von Windows auftauchen. Da ich aber gerade gelesen hab, dass z.B. SearchProtect mit Browser Plugins eingeschleppt wird, habe ich mal uBlock, welches vor kurzem meinen Adblock Edge ersetzt hat, entfernt und wieder ABE installiert.

 

[purzelbär]

Wart mal ab, da kann noch mehr nachkommen und mit OpenCandy und SearchProtect hast du schon zwei "klassische" Adware bzw PUP Infizierungen auf deinem System. Lass auf alle Fälle alles bereinigen was die Scanner finden, poste die Logfiles oder überlege dir ob es eine Alternative für dich wäre dein System neu aufzusetzen.

 

[xXxOrcaxXx]

Das System neu aufsetzen würde ich wegen der Größe der installierten Programme und der Geschwindigkeit meiner Internetleitung am liebsten vermeiden. Gerade versucht sowieso erstmal die Windows eigene Reparaturoption zu retten was zu retten ist, da der PC nicht starten wollte. Das ist aber glaube ich ein anderes Problem.

Ergänzung (29. Oktober 2015)

So, die Reparatur meinte, sie könnte das Problem nicht beheben. PC nochmal neu gestartet, dann lief es wieder. ich hab noch nie erlebt, dass die reparatur wirklich mal was repariert.

Aber zurück zur Adware. All 3 Tools die empfohlen wurden sind durchgelaufen und hier sind die Ergebnisse

Ergänzung (29. Oktober 2015)

Und bis jetzt lässt sich auch keine zwielichtiger Datenverkehr feststellen. Ich werde das natürlich in der nächsten zeit mal im Auge behalten.
Es bleibt für mich nurncoh die Frage, ob ich solche Programme auch im ProcessExplorer erkennen kann, und wenn ja, dann wie?