HAllo zsuammen,

ich habe ein merkwürdiges Phänomen seit kurzem... (gefühlt seit ich einen 7390 Router statt meines ollen Telekomlustlings da stehen habe, da es zwischendrin aber auch mal "ok" ist..)

Rufe ich irgendwas im Netz auf, legt der PC extreme Schnarchpausen ein, öffne ich z.B. ein paar ebay-Links auf einmal, rattert er da teilweise rund 30 sekunden rum...

Am Router liegts nicht, ein oller P3-700, der daneben steht, ruft die gleichen Links gewohnt fix auf, die WLAN Notebooks auch

TCP/IP EInstellungen meine ich alle auf default gesetzt zu haben (alle möglichen Fenstergrößen, max. Anzahl Verbindungen).

Spybot, Blacklight, Stinger und Co finden auch nix

hosts-Datei einmal leergefegt, brachte auch nix

proxy sind keine drin.

Netzwerkkarte mal testweise auf 100mbit statt gbit gestellt.

Ab und an ists dann alles ok, dann hängts wieder..

Tracert zeigt keine "Umwege" an (meine ich zumindest, die anderen Rechner im Haus sagen alle das gleiche).


Gravierende Fehler in der Registry (XP SP3) kann ich nciht finden, die kleinen Checks in Spybot und Co finden nur Kleinkrams.



Hat jemand noch eine Idee? GErade eben geh ich "abgesichert aber mit netzwerk" rein und da fluppt es alles prima....

Hey,

Virenscanner? Welcher Browser? Komische Autoruns? Wenn Dr abgesicherte Modus gut tut, scheint da was komisches mitzulaufen.

Leg mal nen neuen User an und teste unter dem mal.

mmhh - komisch ... ich hatte schon mal das Problem, das eine Access-DB zickte, die auf anderen (oberflächlich identischen) Notebooks einwandfrei im gleichen Netz lief. Lösung : der verbaute NW-Chip des Notebooks war nicht der gleiche !!! Seitdem das Notebook ausgetauscht wurde, funzt alles.

Was ich sagen wollte ... kann mir schon vorstellen, das das am Router-Upgrade liegen koennte.

Edit - eben erst gesehen - wenn's im abgesicherten Modus rennt, dann ist doch die Installation faul.

Edit 2 - zu langsam ... wenn man zwischendrin noch mal weg war - frozeneye war schneller

Virenscanner ist schon "weg", Browser hatte ich FF 8.x schon neu installiert, chrome zickt aber genauso, scheint was" drunter" zu sein. Autoruns hab ich mal entschlackt, evtl. ist da aber noch was? Schaut mal:
http://www.abload.de/thumb/screenshot9420111205113a8w.png (http://www.abload.de/image.php?img=screenshot9420111205113a8w.png) http://www.abload.de/thumb/screenshot952011120514vl4k.png (http://www.abload.de/image.php?img=screenshot952011120514vl4k.png)

Witzgerweise kam gerade eine Fehlermeldung vom Windows-Installer.. Evtl. führt der zu einer Spur?
Ich habe heute vormittag einfach mal mittels Offline-Update von der c't aktuelle Updates einegspielt, die eigentlich drin sein müssten, die etwas gewagte These von mir war: Einfach Systemrelevantes noch mal drüber bügeln..... Danach kam dann jetzt beim Hochfahren nach Update die obige Fehlermeldung.

DNS Problem? Probier mal, wie lange nslookup braucht um den Nameserver zu finden.

Gruß

Dino

Ah gute Idee... MOment...
Also im Moment gehts "sofort". Witzigerweise geht aber auch das Internet "direkt, sofort, fluppig, fix..."
Nix geändert, PC einfach über Nacht angewesen (wie eigentlich immer, irgendwas macht das Ding im Hinetrgrund eh immer..)
Insofern eigentlich keine andere Rahmenbedingung als sonst..

Hm, mal warten, bis er wieder hängt und dann wieder den Namensservierer konsultieren.

1und1 hatte gestern früh ziemliche DNS-Probleme... bist Du da zufällig Kunde? ;)

Ne, Dellekomm ich bin.

Neztwerkkabel mal getauscht?

Ich meine ja, als ich mal die Switches, die dran hängen, umgeklemmt habe, um mal nur den PC dran zu hängen... Aber das werde ich noch mal genauer anshauen..
Witzigerweise gehts heute alles gut... ? Is ja prima, aber raffen tu ich das nich...

Daneben geht mir unsagbar auf den Zeiger, dass Thunderbird und FF sich unter XP bei mir nach wenigen Minuten auf rund 700MB virtuellen Speicher hochkloppen und die ganze Kiste zustopfen... Irgendwie konnte ich vor gar nicht all zu langer Zeit mal mit dem Rechner mit halb so viel Speicher 10 Programme gleichzeitig öffnen.... Argh.... (Nein, die Verlangsammung vom Internet hat nix mit dem Speichermangel bei offenen Programmen zu tun, schon getestet).

Heute lief der PC vormittags "vor sich hin", als ich dann dran bin, lahmte alles wieder unsagbar dolle (also Aufrufe im Browser, der Rest des PCs ist gefühlt "normal", auch keine Auslastung der CPU usw..)... Auffallend dabei ist, dass auch der Zugriff auf die Fritz-Box gefühlt ewig dauert (die ja direkt als DHCP-Server und Router am Netz hängt, lediglich zwei Switches sind noch mit dran, waren vorher aber auch..).
Nachdem ich ein paar Minuten geflucht habe und auch die Bank-SOft lahm erschien, fluppte es auf einmal wie von alleine wieder.

Hä?

PC hängt direkt an der Fritz? Oder sind da noch Switches dazwischen?

Hast Du an der Fritzbox für den betreffenden Port mal testweise das Powermanagement deaktiviert?

Im Moment ist ein D-Link GBit Switch dazwischen. Mal direkt an die Fritz?

Zusschluss wärs sinnig...

So, mal noch ein anderes Kabel rausgegraben (alles kabel, die hier siet jahren "um den Tisch rum" im Einsatz sind und nie Probs machten, aber man weiss ja nie), direkt in den Router rein, dann im Fritzböxchen mal auf "Immer schön 1Gbit, nix Eco-100Mbit bei Bedarf" gestellt und jetzt mal schauen. Soweit so gut.... so far

Das Powermanagement der Ports bringt eh nur Einsparungen im Pfennigbereich, von daher kann man das getrost vergessen - führt nur in Verbindung mit manchen Endgeräten, die selbst nen Powermanagement haben, zu lustigen Effekten.

Zur Bespassung am Rande:

Bei meinen Eltern hatte ich PowerLine-Adapter installiert, um dem BD-Player, dem TV und der Dreambox im Wohnzimmer Internet-Zugang zu verschaffen, die Fritzbox im Keller war auf Powermanagement gestellt. Dummerweise schalten die Powerline-Adapter ihren Netzwerkport bei "kein Traffic" ab, die Fritzbox tat selbiges bei "keine Verbindung" - und schon war eine Fernwartung der angebundenen Geräte nicht mehr möglich. Die Nummer hat mich auch 2 Stunden gekostet, zumal das Verhalten ja nicht sofort auftrat, sondern immer erst nach einer Stunde... :D

Nachdem ich den Rechner direkt an den Router gesteckt hatte, war erst mal alles gut.... Gestern dann nur per Fernzugriff drauf rumgeiert, wirkte auch erst mal ok. Heute morgen im Büro lahmte es dann wieder.
Noch ein weiteres Kabel hergenommen und zwar das Original aus dem Frotzbox Karton.... Who knows. Nach umstecken auf jeden Fall wieder volle Performance..

Jetzt kommts ganz komisch....

Mitten im Arbeiten meldet sich mein Benutzer ab... Beim Wieder einloggen meint die Mühle (XP SP3), der Administrator wäre schon angemeldet....

WTF?

Trojaniert mich da jemand aus? Irgendwas ist doch da im Hintergrund, oder?
Da muss ich wohl doch noch mal genauer schauen,, ich dachte 4 Cirenscanner, Backlight, Stinegr und derlei Gedöns wären ausreichend.... Von der c`t gabs doch mal diese schnicke Anti-Vir CD, gibts die noch? Ich meine, die wäre "zu Gunsten" einer PARTS-PE Kiste mit Win7 oder so eingestampft worden. Kotz.

http://www.heise.de/ct/projekte/Desinfec-t-2011-1213110.html gibts leider offiziell nicht zum Download.... :(

Riecht aber nun wirklich stark nach trojaner/Virus

Marc

Zumindest siehts in erster Instanz nach ner nicht authorisierten RDP-Verbindung aus...

@Marc
Hm, hab ich glaub sogar hier, hatte mir das Heft extra mal gekauft und es gerade im Moment wohl nur mit dem "Notfall"-Windows verwechselt. Danke für den Link.
@Fireball
Was mir auch aufgefallen ist: Als ich dann als Admin rein bin, war die Zeit zwischen "Anmelden" und "Desktop voll aufgebaut" um ein vielfaches Kürzer.... quasi sofort mehr oder weniger. Unter meinem normalen Benutzer warte ich da immer erst mal 20 Sekunden.... Indiz für irgendwas? Fiel mir früher nie so auf..

Ja, für eine laufende Session als Admin, die Du wieder übernommen hast. Ich würde im ersten Schritt mal dringlichst(!) das Passwort deines Users ändern und auf der Fritzbox prüfen, ob UPnP abgeschaltet ist und ob da irgendwelche ungewollten Portforwards eingestellt sind.

Ansonsten: Rechner dringlichst vom Netz nehmen und alles an Spyware- und Antivir-Tools auffahren, was Du grade zur Hand hast. Oder noch besser: Dateien sichern und die Kiste einfach neu installieren.

Mit ein wenig mehr Erfahrung könnte man auch nachgucken, welche Netzwerkverbindungen so zu Deiner Kiste aufgebaut sind ("netstat -a" an der Kommandozeile...)

Jo, schon getan :)

Mal ein Update bei der Fehlersuche:
Ich habe mir mal angeschaut, wieviele TCP Verbindungen so auf sind: Da steigt der Zähler selbst beim Nichtstun nach Reboot verdächtig schnell auf zweitausend Verbindungen, nach einer Weile habe ich 4000 Verbindungen. Selbst wenn ich alles ausmache, was irgendwie im Hintergrund noch eine Verbingung aufmachen könnte (Dropbox etc..), passiert das. Als Gegenprobe habe ich das ganze mal auf einem anderen PC beobachtet, ebenfalls XP/SP3, da bleibt das bei moderaten 100 oder so stehen.....
Ein Blick in den Datenverkeher auf der Netzwerkschnittstelle hat mir ein paar Einträge gezeigt, wo ich verdächtig viele Pakete mit merkwürdigem Verhalten mittels Wireshark meine zu erkennen. In einem stand auch ein Klartext drin ähnlich wie "leave, we are not at home" (PC is grad aus, genaue Formulierung hab ich vergessen). Eine Suche nach diesem Paket ergab mehrere Treffer eines alten Trojaners.
Das Merkwürdige ist: Egal, was ich für einen Virenscanner drüber laufen lasse, keiner findet was.....
Die aktuelle desinfect muss hier irgendwo rumliegen, ich setze mal darauf, dass die was findet... Wo hab ich das Ding nur hingelegt.. Grummel...

Wenn Du schon nicht mehr weißt, wo die Scheibe liegt, sind die Definitionen definitiv zu alt :D :D :D

Nur "extern" suchen wird helfen - also von CD/USB booten und so scannen.

Gruß,
Quentin

Virenscanner helfen halt auch nur bedingt gegen rootkits... ;)

@Quentin
Hatte die Zeitschrift nachbestellt neulich, ist schon die aktuelle :)

Hab mich mal mit Avira, F-Secure und Bitdefender Boot-CDs bewaffnet, mal schauen, noch scannt das Ding....

Hi,

schonmal von dem gehört? http://www.itler.net/2011/08/wurm-nutzt-remote-desktop-funktionalitaet-aus-um-sich-zu-verbreiten/

h (http://www.itler.net/2011/08/wurm-nutzt-remote-desktop-funktionalitaet-aus-um-sich-zu-verbreiten/)ast Du Port 3389 offen bzw. forgewardet (<-- buaaah, Dengliiiisch!) auf dem Router?

Ne, den kannte ich noch nicht. Hab mal nach den verdächtigen Dateien geschaut, aber nix gefunden. Dass der Port offen gewesen sein kann, ist theoretisch möglich, weil ich testweise über ein dynds account meinen Fernzugriff mal geregelt hatte, das aber inzwischen über ein VPN regele. Hatte dann im ZUge der "alles dicht machen" einfach mal alle Ports zu gemacht....

Also nach einem TAg "alle Offline Virenscanner" drüber laufen lassen und nen Schwung Backdoor-Proggis im abgesicherten Modus drauf los lassen wurde einiges an Kleinkram gefunden, wovon aber vieles in irrgendwelchen unwichtigen Dateien in Backups rumzuschwirren schien. Dass in einem alten Backup von vor 4 Jahren auf der externen USB Platte in einer alten SPAM-Mail ein nhang in Pegasus Mail die Ursache sein kann? Hm... Neee... Die einzigen verdächtigen Dinge, die er fand, waren in zwei DLL-Dateien und einer TXT Datei... Das mal weggehauen...

Jetzt läuft der PC zwar bei quasi nichtstun auch mit 800 aktiven Verbindungen, aber zumindest nicht mehr mit 4000..... Ich werds mal den Rest des Tages weiter beobachten. Wireshark spuckt zumindest auch nicht mehr all zu viel merkwürdiges aus, hab mal eine halbe Stunde Pakete durchgeforstet, da wundert man sich zwar, was da die ganze Zeit alles rumgeschickt wird (NAS-ANkündigung von der Firtzbox alle 2 sekunden), aber es scheint weniger...

Mal beobachten..

ok, bis jetzt läuft es zwar "flüssig", aber ich bin trotzdem bei 7600 aktiven Verbindungen.... Das is doch nich normal, oder?

ne ist nicht normal.

würde die Netzwerkverbindung kappen und das OS neu installieren. Selbst wenn irgendein Tool etwas findet kannst du nicht mehr sicher sein, dass nicht noch mehr unentdeckte Hintertüren mittlerweile den Weg auf den Rechner gefunden haben.

echt, normal? Krasses Pferd....
Nachdem ich jetzt jeden Viernscanner, Offlinescanner, Trojanersucher, usw. drüber hab laufen lassen, die XP Firewall aktiviert, mit Wireshark alle 357827895634856 GB Pakete von Hand usw.......... ist seit ein paar Tagen Ruhe..... Ich hoffe, es bleibt so...
Neuinstallation hab ich soooo keinen Bock, aber Du hast eigentlich Recht...

Ne - Du hast ein "nicht" übersehen. Ein "netstat -a" kommt auf meinem System auf ne knappe Seite von lauschenden und aktiven Verbindungen - und da ist der chrome schon massig aktiv.

Argh, schon wieder zu wenig Kaffee...

Hm, momentan siehts so aus, nachdem ich mal alles offensichtliche, was im Netz wühlt ausgemacht habe (Thunderbird, firefox, Dropbox, usw...), bis auf den Bitdefender:



Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP i3:ftp i3:0 ABH™REN
TCP i3:http i3:0 ABH™REN
TCP i3:epmap i3:0 ABH™REN
TCP i3:https i3:0 ABH™REN
TCP i3:microsoft-ds i3:0 ABH™REN
TCP i3:912 i3:0 ABH™REN
TCP i3:1052 i3:0 ABH™REN
TCP i3:3389 i3:0 ABH™REN
TCP i3:3939 i3:0 ABH™REN
TCP i3:24961 i3:0 ABH™REN
TCP i3:27827 i3:0 ABH™REN
TCP i3:48752 i3:0 ABH™REN
TCP i3:55555 i3:0 ABH™REN
TCP i3:57322 i3:0 ABH™REN
TCP i3:65046 i3:0 ABH™REN
TCP i3:netbios-ssn i3:0 ABH™REN
TCP i3:1042 localhost:27015 HERGESTELLT
TCP i3:1045 localhost:5354 HERGESTELLT
TCP i3:1068 i3:0 ABH™REN
TCP i3:5354 i3:0 ABH™REN
TCP i3:5354 localhost:1045 HERGESTELLT
TCP i3:27015 i3:0 ABH™REN
TCP i3:27015 localhost:1042 HERGESTELLT
TCP i3:netbios-ssn i3:0 ABH™REN
TCP i3:3402 server2.hostpoint.ch:http WARTEND
TCP i3:3413 server2.hostpoint.ch:http WARTEND
TCP i3:3415 bk-in-f105.1e100.net:http WARTEND
TCP i3:3416 bk-in-f105.1e100.net:http WARTEND
TCP i3:3417 bk-in-f105.1e100.net:http WARTEND
TCP i3:3418 bk-in-f105.1e100.net:http WARTEND
TCP i3:3419 bk-in-f105.1e100.net:http WARTEND
TCP i3:3420 bk-in-f105.1e100.net:http WARTEND
TCP i3:3424 server2.hostpoint.ch:http WARTEND
TCP i3:4771 212.118.234.79:12975 HERGESTELLT
TCP i3:netbios-ssn i3:0 ABH™REN
TCP i3:netbios-ssn i3:0 ABH™REN
UDP i3:microsoft-ds *:*
UDP i3:isakmp *:*
UDP i3:1031 *:*
UDP i3:1046 *:*
UDP i3:1057 *:*
UDP i3:3456 *:*
UDP i3:4500 *:*
UDP i3:10000 *:*
UDP i3:ntp *:*
UDP i3:netbios-ns *:*
UDP i3:netbios-dgm *:*
UDP i3:1900 *:*
UDP i3:5353 *:*
UDP i3:ntp *:*
UDP i3:1043 *:*
UDP i3:1044 *:*
UDP i3:1048 *:*
UDP i3:1049 *:*
UDP i3:1900 *:*
UDP i3:ntp *:*
UDP i3:netbios-ns *:*
UDP i3:netbios-dgm *:*
UDP i3:1900 *:*
UDP i3:4772 *:*
UDP i3:5353 *:*
UDP i3:ntp *:*
UDP i3:netbios-ns *:*
UDP i3:netbios-dgm *:*
UDP i3:1900 *:*
UDP i3:5353 *:*
UDP i3:ntp *:*
UDP i3:netbios-ns *:*
UDP i3:netbios-dgm *:*
UDP i3:1900 *:*
UDP i3:5353 *:*



Aktive Verbindungen zeigt mit der Liesungsmonitor gerade 9909 an... Rechner ist seit einem Tag dauer-an.

2535

TCP i3:4771 212.118.234.79:12975 HERGESTELLT

UDP i3:4772 *:*

Das sind beliebte eMule-Ports... da würd ich mal genauer gucken, das würde auch die hohe Anzahl von Connections und Deine lahmende INet-Verbindung erklären (zumindest, wenn Dir genauso wie mir die IP nichts sagt...)


Weiteres Vorgehen:

"netstat -a -o"

Das gibt Dir zu jedem Port die PID (Process-ID) mit aus. Diese findest Du im Taskmanager (besser: Sysinternals Process Explorer!) wieder, um den Prozess genau zu identifizieren, der diese Connections geöffnet hat.

Da Du aber auch Wireshark installiert hast (ich habs hier nicht vor mit @ home) - kann das nicht auch auswerten mit Connections pro Port? Übersichtlicher als netstat ist übrigens noch SysInternals TCPView.



NAS-ANkündigung von der Firtzbox alle 2 sekunden

Die könnteste auch noch bschalten, wenn Du das Feature nicht nutzt ;)

Hy,

danke. PE von SI hab ich eh druff, tolles Teil, die ganzen tools von denen sind Spitze (guter Zug von MS, die einzukaufen..). Die Emule-Ports hätte ich ja mal auch selber sehen können :) Hab grad mal geschaut, da steckt in dem Fall einfach hamachi dahinter, very unspannend erst mal. Die anderen müsste ich mir jetzt mal genauer vornehmen, elegant wäre, wenn ich ein Tool hätte, das mir zeigt, welche PID (im Vollnamen) zur jeweiligen Verbindung gehört..
NAS-Anküpndigung und den UPNP Rappel in der Fritz hab ich schon aus.
Momentn läuft der Rechner auch erst mal rund so weit, anscheinend haben die 10000 Scans doch was gebracht. Aber natürlich machen mich die 10.000 Verbindungen seehr stutzig.... (sowieso komihsc, ich meine mich zu erinnern, dass das XP Default für max. connections viel niedriger liegt, ausser man fummelt in den TCP Settings rum mit so "DSL TUNING TOOLS" oder so..)
Dann mal PIDs suchen...
Thanx for help!

Die anderen müsste ich mir jetzt mal genauer vornehmen, elegant wäre, wenn ich ein Tool hätte, das mir zeigt, welche PID (im Vollnamen) zur jeweiligen Verbindung gehört..

Nun, da würde der Process Monitor weiterhelfen, der einen allerdings recht schnell mal mit seiner Informationsfülle überfordert, zumal das Tool in Standardeinstellung erstmal "live" _sämtliche_ Systemaktivitäten anzeigt. Ein ppar Filter geschickt gesetzt würde allerdings auch hier zum Ziel führen.