NetMeter zeigt verdächtigen Download !

[NERWALL]

Ich bin chello-User. Ohne download-Limit.
Wenns nicht gerade stört, überwache ich Download und Upload meines PC mit NetMeter in einem kleinen Fenster.

Dabei beobachte ich erst seit ca. einer Woche permanent Downloadphasen von auf- und abschwellend bis über 15 KB/s, und zwar im Abstand von 1 Minute. Auch wenn ich aus dem Internet-Explorer ausgestiegen bin !

Diese sinusförmigen Downloadphasen dauern ca 40 sek. und setzen nach weiteren 20 sek. mit unter 1,0 KB/sek wieder ein.

Ich bin normaler Surfer, kein Musik-Downloader, kein Online-Player. Fallweise sehe ich zu YouTube, bis der unzureichende Speicher meinen PC lahmlegt.

Wenn da etwas downgeloadet wird, müsste das ja irgendwo gespeichert sein? Auf alle Fälle würde bei angeschlossener Leitung mein Download-Konto belastet.

Ich habe gleich alle Malware-Scans laufen lassen :

Avira / Spybot S&D / a squared

und alle (tracking) Cookies gelöscht.

Danach verschwanden ebenso periodische, aber ganz kurze Uploads von max. 2 KB/s. Sicher ein Erfolg der Scans.

Ich hatte früher auch ein kleines Programm, das mir den gesamten Traffic der jeweiligen Sitzung angezeigt hat - auch in einem kleinen Fenster.
Leider ist mir das mit der letzten Festplatte entschwunden.
Wer hat einen Tipp ?
Ich weiß auch nicht, wie ich bei chello meinen Traffic abfragen kann.

Kennt jemand diese eigenartigen minutenweisen Downloadphasen ?
Was spukt da in meinem PC herum ?


Danke für Eure Antworten

NERWALL

[zigeina]

2 möglichkeiten
1. du protokollierst alle netzwerkverbindungen deines pc mit geeigneten tools
2. du protokollierst den traffic auf dem router oder mit einem netzwerksniffer (ist die bessere methode, weil trojaner könnten sich lokal zu tarnen versuchen).



PS: auf und abschwellend hat auch seine guten seiten

[NERWALL]

Das Bier ist nur halb verdient :

ad 1)
>>protokollierst alle netzwerkverbindungen deines pc mit geeigneten tools<<

Weder 'Analyzer' noch 'Ethereal' lassen sich installieren (Analyzer nicht einmal downloaden). Wo sind denn die 'geeigneten' Tools ?

ad 2)
Ich arbeite als Einzelplatz ohne Router / ohne WLAN.

Beste Grüße

NERWALL

[smoking gnu]

Lade "Comodo Firewall" runter und installier sie. Wenn die mal läuft, kannst du dir alle Programme anzeigen lassen, die irgendetwas ins Internet senden oder empfangen. Außerdem kannst du verdächtige Programme sofort blocken.
Ist übrigens gratis.

[mopok]

Ich kann dir auch die ashapoo firewall empfehlen. Gutes Freeewareprodukt!

[zigeina]

Zitat:

Zitat von NERWALL

Das Bier ist nur halb verdient :

ad 1)
>>protokollierst alle netzwerkverbindungen deines pc mit geeigneten tools<<

Weder 'Analyzer' noch 'Ethereal' lassen sich installieren (Analyzer nicht einmal downloaden). Wo sind denn die 'geeigneten' Tools ?

ad 2)
Ich arbeite als Einzelplatz ohne Router / ohne WLAN.

Beste Grüße

NERWALL

ad download der tools gescheitert --> oje, da hats was gröberes
ad einzelplatz --> direkte anbindung ans internet ist die riskanteste methode, weil die externe ip adresse ist direkt dem pc zugeordnet, alle anfragen auf irgendwelche ports gehen auf den pc direkt, und da wird schon irgendein kleines progrämmchen auf eine anfrage antworten,.

mein rat: steig um auf eine router lösung: modem -- router (firewall) -- pc
dann schau den traffic an,
ad tools: es gibt von ms so ein nettes tool das zeigt alle aktuellen verbindungen und die programme dazu an, aber der download/respektive das installieren geht ja nicht

[Don Manuel]

Hier noch ein paar freie Tools, vielleicht klappt da der Download:
WinTotal - Software - Micro Net Utilities
Axence Software - Netzwerküberwachung, Netzwerkmanagement & Überwachung von Applikationen- Free NetTools
TCPView for Windows
Network Downloads /// AnalogX

[mopok]

@Nerwall: Lass es uns bitte wissen, wenn Du eine Lösung gefunden hast. Interessiert mich. Danke!

[NERWALL]

@zigeina

Ich soll also :

"...mit geeigneten tools"
"...oder mit einem netzwerksniffer"

mit diesen 'illegalen' ('Analyzer' und 'Ethereal') komme zurecht wer will...

"...oje, da hats was gröberes" hilft ungemein - stimmt aber nicht.

ja, wenn ich nur wüsste, welche Tools ...?

;-((

die Router-Einbindung ist sowieso vorgesehen...


Zwischenbericht :

CO MO DO war sauschlecht. Wahrscheinlich weil ich mich von Avira und Spybot nicht getrennt habe... glücklicherweise konnte ich die Endlosschleife durch das Löschen des Programmes ohne Wiederherstellung beseitigen.

Ich habe 'Security Task Manager' eingesetzt, leider nur zeitlich begrenzt gratis, aber voll funktionsfähig. Dadurch habe ich von den BHO's, den so nett 'Browser Helper Objects' genannten Programmen erfahren, die den PC ausspionieren.

Die sind z.B. im RealPlayer, Java und anderen 'nützlichen' Anwendungen dabei, um beispielsweise das Surfverhalten zu erfahren.

Wo es Hinweise darauf gab, habe ich die Anwendung mittels 'Security Task Manager' geblockt. Die minütlichen Downloads bis über 15 KB/s gibt es nach wie vor.

Ich denke schon, dass Chello dahinter steckt - aber was wird da herunter geladen ?
Und wozu ? Vielleicht spinnt auch der 'NetMeter' ?

Die ganz kurzen Uploads sind nach dem Malware-Scan bis jetzt völlig weg. Das waren sicher (tracking)Cookies, die von 'a-square' alle eliminiert wurden, bis sie durchs Surfen wieder kommen (Amazon etc.).

Vier Einträge im 'Security Task Manager' gebe ich hier wieder :

Java Quick Starter Service (...\jqs.exe) sendet an ATHLON auf Port 0, ATHLON auf Port 1042

Java Update Scheduler (...\jusched.exe) sendet an 195.113.232.73 auf Port www

RealNetworks Download and Record Manager (.exe) sendet an 62.27.26.34 auf Port 554

Internet Explorer (iexplore.exe) sendet an 62.27.26.34 auf Port 554, lauscht auf Port 1031


Beste Grüße

NERWALL

[zigeina]

Zitat:

Zitat von NERWALL

mit diesen 'illegalen' ('Analyzer' und 'Ethereal') komme zurecht wer will...


Die sind z.B. im RealPlayer, Java und anderen 'nützlichen' Anwendungen dabei, um beispielsweise das Surfverhalten zu erfahren.

Java Quick Starter Service (...\jqs.exe) sendet an ATHLON auf Port 0, ATHLON auf Port 1042

Java Update Scheduler (...\jusched.exe) sendet an 195.113.232.73 auf Port www

RealNetworks Download and Record Manager (.exe) sendet an 62.27.26.34 auf Port 554

Internet Explorer (iexplore.exe) sendet an 62.27.26.34 auf Port 554, lauscht auf Port 1031

ich habe NIRGENDS "illegale" tools dediziert empfohlen

port 554 ist ein netbios port, den man normalerweise für internetzugriffe gesperrt hat
die ipadresse 62.27.26.34 gehört zum nacamar netzwerk, also real networks, aber das schreibst ja schon selbst


nichtsdestotrotz ist interessant:
- manche downloads gehen nicht
- manche software läßt sich nicht installieren
- es werden BHO's gefunden
- 'nützliche' tools sind installiert

was willst also mehr?
nützliche tools sind normalerweise nur für die hersteller nützlich,
wer investiert zeit und geld fürs programmieren und vertreiben wenn nix dabei herauskommt, also werden informationen zum surfverhalten, etc gesammelt, diese lassen sich gut zu geld machen
damit hast du eine spur zu regelmäßigen netzwerktraffic

wenn du mal in der lage bist ein neues system aufzusetzen oder bei der hand hast, ohne tools und zusätze, schau dir dort den netzwerktraffic an ---> wirst fast nix finden

hersteller von "nützliche tools" software verstecken alle aktivitäten immer besser und gefinkelter
BHO's waren ein anfang

apropos: ein/zwei tools empfehl ich bis weiter: spybot SD oder adaware free
als scanning tools
scannen könntest noch mit hijackthis, das ergebnis gibst dann in diversen analyse seiten ein und liest dich durch, wenn das bei deinem pc geht