Irgendwas lädt regelmäßig Zeuch hoch (PC Problem)

Wenn die Windows-Bordmittel nicht reichen, empfehle ich immer sysinternals:
docs.microsoft.com

Sysinternals - Sysinternals

Library, learning resources, downloads, support, and community. Evaluate and find out how to install, deploy, and maintain Windows with Sysinternals utilities.
docs.microsoft.com

Runterladen, auspacken, starten (am Besten als admin, sonst sieht man ja das Schönste nicht). Keine "Installation" notwendig. Den process explorer haben wir in der Firma ausgiebigst genutzt, weil der Task Manager einfach zu wenig Infos zu den Prozessen liefert. Besonders, wenn man sich für die Prozesshierarchie interesssiert oder diverse gleichlautende EXEn laufen hat, die aus unterschiedlichen Verzeichnissen kommen.

Für Netzwerkkram empfiehlt sich dann z.B. TcpView.
 
Solltet ihr den Router gemietet und nicht gekauft haben, frag mal bei eurem Anbieter an, ob ihr ein neues Modell haben könnt. Der Mensch bei der Telekomhotline sagte mir, dass das beinahe jederzeit gine.
 
Pepe schrieb:
Solltet ihr den Router gemietet und nicht gekauft haben, frag mal bei eurem Anbieter an, ob ihr ein neues Modell haben könnt. Der Mensch bei der Telekomhotline sagte mir, dass das beinahe jederzeit gine.
Zum Vergrößern anklicken....
Ja, ist gemietet.. Falls es wieder so schlimm wird und ich nicht weiter komme, mache ich das.
 
Der Ressourcenmonitor ist ein hilfreicher Geselle. Wenn man Aktivitäten sehen muss und loggen will, bietet sich der Process Monitor aus der Sysinternals Suite an.
docs.microsoft.com

Process Monitor - Sysinternals

Monitor file system, Registry, process, thread and DLL activity in real-time.
docs.microsoft.com

Braucht etwas Eingewöhnung, aber dann ist es eine coole Sache. Der Next Level ist dann Wireshark :)
 
ganje schrieb:
Weil sie die Rechner nur langsam machen und nicht besser sind, als der Defender von Windows..
Zum Vergrößern anklicken....

Das ist zwar grundsätzlich wahr und deckt sich auch mit der Einschätzung ehemaliger Mozilla-Entwickler (die aktuellen äußern sich nicht, weil sie sich's nicht mit den AV-Software-Anbietern verscherzen wollen).
ABER: Der Schutz (auch durch andere AV-Software) ist nicht ausreichend.
Wenn man die Taktik mit dem MS Defender fährt, dann sollte man einen Router verwenden, der mehr Sicherheit bietet, als so ein schnöder, billiger TP-Link ... oder zwischen den Router und das eigene Netz eine profesionell gemanagte Firewall-Lösung hängen.

Das kostet sicherlich Zeit und Geld, aber diese Kosten relativieren sich schnell, wenn man mal den potentiellen Schaden durch einen wirklich desaströsen Einbruch von Schadsoftware gegenrechnet.

Gegen "amok laufende" Microsoft-Sync-Prozesse hilft das allerdings auch nicht.
Aber ich glaube, deren Netzlast lässt sich irgendwo konfigurieren, eben damit sie das Netz nicht dicht machen.
Damit kenne ich mich allerdings nicht gut genug aus, weil ich Microsoft-Dienst meide wie der Teufel das Weihwasser.
 
Pepe schrieb:
Ich musste jetzt per Telekom einen neuen Router anfordern, weil unserer nach fünf Jahren rumzickt und dauernd in die Werkseinstellungen zurückgesetzt werden muss, damit überhaupt was klappt.
Zum Vergrößern anklicken....
Bei uns genauso: auf einmal zickte der Router und versuchte ständig, Updates zu laden und zu installieren (war aber längst auf dem aktuellen Stand). Mitbekommen haben wir das nur, weil plötzlich laufend die Verbindung abbrach und der Provider meinte "keine Störung sichtbar, an der Leitung liegt's offensichtlich nicht".
Nach Neustarts war jeweils kurz Ruhe, dann ging es wieder los.
Ein Techniker hat dann vor Ort gemessen und die obige Diagnose gestellt.

Wir haben ein Austauschgerät erhalten, seitdem läuft's wieder.
ganje schrieb:
Ja, der Router läuft seit ca. 6 Jahren im Dauerbetrieb.
Zum Vergrößern anklicken....
Hier ähnliches Alter des damaligen Routers - ich würde erstmal den als Verursacher vermuten statt eines Problems der 'dranhängenden Rechner.
 
ganje schrieb:
Da diese Verbindungsprobleme von alleine nicht verschwanden, rief ich beim Provider an und er meinte, dass irgendwas regelmäßig mit hoher Bandbreite irgendwas hochlädt. So ca. jede Minute. Mehr konnte er vom Weiten nicht erkennen.
Zum Vergrößern anklicken....

wenns kritisch/privat ist, waere fuer mich der zeitpunkt fuer "stecker raus, alles plattmachen und neu aufsetzen" mehr als erreicht.

aber:
-mal gucken, welche netzerk-ports am router (besonders viel) blinken.
-einzelne rechner vom netz trennen und gucken ob sich was/und was sich aendert.
-mit "netstat -a" gucken was auf den rechnern jeweils so laeuft.
-etwas detailierter mit wireshark gucken.
-einen rechner als "man in the middle" in die leitung haengen und gucken was sich da tut. (wireshark).
(neine, griffbereit haette ich das auch nicht)

wenn da ein "wirklich fieser trojaner" dahintersteckt, ist das nauterlich alles zwecklos, der kann sich ja
verstecken...

aber vermutlich ist da eher ein wildgewordenes update oder irgendeine synchronisation (dropbpx?)
schuld. und ich haette ja die kameras in verdacht, vielleicht hat da jemand gerade spass dran deine bude als
bildschirmschoner zu verwenden.
 
ganje schrieb:
Da diese Verbindungsprobleme von alleine nicht verschwanden, rief ich beim Provider an und er meinte, dass irgendwas regelmäßig mit hoher Bandbreite irgendwas hochlädt. So ca. jede Minute. Mehr konnte er vom Weiten nicht erkennen.
Zum Vergrößern anklicken....
Kann den der Provider die IP-Adresse herausfinden, mit der dein Netzwerk sich da verbindet? Wenn er da schon was sieht, dann doch sicher auch IP/Port. Dann könntest du mit netstat oder TcpView auf deinen Rechnern danach suchen.
 
betadecay schrieb:
Kann den der Provider die IP-Adresse herausfinden, mit der dein Netzwerk sich da verbindet? Wenn er da schon was sieht, dann doch sicher auch IP/Port. Dann könntest du mit netstat oder TcpView auf deinen Rechnern danach suchen.
Zum Vergrößern anklicken....
Das darf er eigentlich gar nicht sehen, es sei denn du beauftragst ihn ggf. direkt mit einem Monitoring (aber der Aufwand ist relativ hoch und "mal eben" werden das die meisten Provider eher nicht machen) oder der Anschluss wird aufgrund einer behördlichen Anordnung "ausgeleitet" (aber auch dann sollte der Provider selbst nicht den isolierten Traffic sehen dürfen, technisch machbar ist es natürlich).
Trafficgraphen sind eine andere Nummer...
Kurzum auf Providerseite wirst du da keine Hilfe erwarten können.

Leider ist die Aufgabe nicht ganz trivial, in einem Netzwerk müsstest du als erstes die Quelle isolieren, in einem LAN (Kabel) würde man da üblicherweise mit Trafficgraphen auf den Switchports anfangen, das ist bei vielen Homeroutern die von Providern rausgegeben werden u.U schon gar nicht so einfach möglich...
 
Zuletzt bearbeitet:
ganje schrieb:
Ja, der Router läuft seit ca. 6 Jahren im Dauerbetrieb.. Verstaubt könnte er sein, aber nicht dolle. Als es richtig schlimm mit dem Netz war, schaltete ich ihn für eine kurze Zeit aus und dann wieder ein. Problem war nur am Anfang weg. Nach ca. einer Minute ging es wieder weiter mit der Überlastung. Wie gesagt.. Nun läuft alles wie es soll. Vorführeffekt.
Zum Vergrößern anklicken....
Normalerweise läuft irgendwann die Tabelle zur Umsetzung der internen Adressen aufs Internet (NAT) voll und du musst das Ding resetten oder mal kurz vom Strom nehmen.
 
olutian schrieb:
updates machen.

winfuture.de

Windows Patch-Day dringend installieren: BSI warnt vor Risikostufe 5

Nach dem gestrigen Windows Patch-Day hat das Bundesamt für Sicherheit in der Informationstechnik bereits eine Warnung herausgegeben. Nutzern wird geraten, die Updates schnellstmöglich zu installieren, denn sie beheben eine Sicherheitslücke der höchsten Risikostufe.
winfuture.de winfuture.de
Zum Vergrößern anklicken....
Das Bundesamt stuft dabei einige der Sicherheitslücken auf die höchste Risikostufe 5 ein, was nicht häufig passiert.
Zum Vergrößern anklicken....
🤣


Heute:
Code: 
CERT-Bund Meldung
-----------------

KURZINFO CB-K22/0290
    Titel:              Microsoft Windows und Microsoft Windows Server:
                        Mehrere Schwachstellen
    Datum:              09.03.2022
    Software:           Microsoft Windows Remote Desktop client for Desktop,
                        Microsoft Windows 10, Microsoft Windows 10 Version
                        1607, Microsoft Windows 10 Version 1809, Microsoft
                        Windows 10 Version 1909, Microsoft Windows 10 Version
                        20H2, Microsoft Windows 10 Version 21H1, Microsoft
                        Windows 10 Version 21H2, Microsoft Windows 11,
                        Microsoft Windows 7 SP1, Microsoft Windows 8.1,
                        Microsoft Windows RT 8.1, Microsoft Windows Server
                        version 20H2 (Server Core Installation), Microsoft
                        Windows Server 2008 SP2, Microsoft Windows Server
                        2008 R2 SP1, Microsoft Windows Server 2012, Microsoft
                        Windows Server 2012 R2, Microsoft Windows Server
                        2016, Microsoft Windows Server 2019, Microsoft
                        Windows Server 2022, Microsoft Windows Server 2022
                        Azure Edition Core Hotpatch
    Plattform:          Windows
    Auswirkung:         Privilegieneskalation
    Remoteangriff:      Ja
    Risiko:             hoch
    CVE Liste:          CVE-2022-21967, CVE-2022-21973, CVE-2022-21975,
                        CVE-2022-21977, CVE-2022-21990, CVE-2022-22006,
                        CVE-2022-22007, CVE-2022-22010, CVE-2022-23253,
                        CVE-2022-23281, CVE-2022-23283, CVE-2022-23284,
                        CVE-2022-23285, CVE-2022-23286, CVE-2022-23287,
                        CVE-2022-23288, CVE-2022-23290, CVE-2022-23291,
                        CVE-2022-23293, CVE-2022-23294, CVE-2022-23295,
                        CVE-2022-23296, CVE-2022-23297, CVE-2022-23298,
                        CVE-2022-23299, CVE-2022-23300, CVE-2022-23301,
                        CVE-2022-24451, CVE-2022-24452, CVE-2022-24453,
                        CVE-2022-24454, CVE-2022-24455, CVE-2022-24456,
                        CVE-2022-24457, CVE-2022-24459, CVE-2022-24460,
                        CVE-2022-24501, CVE-2022-24502, CVE-2022-24503,
                        CVE-2022-24505, CVE-2022-24507, CVE-2022-24508,
                        CVE-2022-24525
Zum Vergrößern anklicken....
letzter Patchday (9.2.2022):
Code: 
CERT-Bund Meldung
-----------------

KURZINFO CB-K22/0160
    Titel:              Microsoft Windows und Microsoft Windows Server:
                        Mehrere Schwachstellen
    Datum:              09.02.2022
    Software:           Microsoft Windows 10, Microsoft Windows 10 Version
                        1607, Microsoft Windows 10 Version 1809, Microsoft
                        Windows 10 Version 1909, Microsoft Windows 10 Version
                        20H2, Microsoft Windows 10 Version 21H1, Microsoft
                        Windows 10 Version 21H2, Microsoft Windows 11,
                        Microsoft Windows 7 SP1, Microsoft Windows 8.1,
                        Microsoft Windows RT 8.1, Microsoft Windows Server
                        version 20H2 (Server Core Installation), Microsoft
                        Windows Server 2008 SP2, Microsoft Windows Server
                        2008 R2 SP1, Microsoft Windows Server 2012, Microsoft
                        Windows Server 2012 R2, Microsoft Windows Server
                        2016, Microsoft Windows Server 2019, Microsoft
                        Windows Server 2022, Microsoft Windows Server 2022
                        Azure Edition Core Hotpatch
    Plattform:          Windows
    Auswirkung:         Privilegieneskalation
    Remoteangriff:      Ja
    Risiko:             sehr hoch
    CVE Liste:          CVE-2022-21844, CVE-2022-21926, CVE-2022-21927,
                        CVE-2022-21971, CVE-2022-21974, CVE-2022-21981,
                        CVE-2022-21984, CVE-2022-21985, CVE-2022-21989,
                        CVE-2022-21992, CVE-2022-21993, CVE-2022-21994,
                        CVE-2022-21995, CVE-2022-21996, CVE-2022-21997,
                        CVE-2022-21998, CVE-2022-21999, CVE-2022-22000,
                        CVE-2022-22001, CVE-2022-22002, CVE-2022-22709,
                        CVE-2022-22710, CVE-2022-22712, CVE-2022-22715,
                        CVE-2022-22717, CVE-2022-22718
Zum Vergrößern anklicken....
Ich könnte so fast jeden Monat weitermachen...
 
Wen sowas interessiert, der kann sich die Infos abonieren: https://www.cert-bund.de/

Warnung: Die Anzahl der gemeldeten Sicherheitslücken und betroffenen Systeme könnte den Normalbenutzer verunsichern!
 
Zweiten Rechner ins selbe Netz packen und mit Wireshark die IP-Adressen checken. Dann sieht man recht schnell, wer wie häufig mit wem spricht, ob Malware im Spiel ist oder vielleicht sogar ein IoT-Device gekapert wurde.
 
2bit schrieb:
Zweiten Rechner ins selbe Netz packen und mit Wireshark die IP-Adressen checken. Dann sieht man recht schnell, wer wie häufig mit wem spricht, ob Malware im Spiel ist oder vielleicht sogar ein IoT-Device gekapert wurde.
Zum Vergrößern anklicken....
Wenn es so einfach wäre...
Ein normales Netzwerk ist heutzutage* geswitched, da sieht nicht jeder PC den ganzen Traffic, dafür brauchst du einen Switch auf dem du einen Monitoring Port konfigurieren kannst oder einen Hub (wer benutzt sowas heute noch???).

*also seit ca. 20-25 Jahren
 
recliq schrieb:
Wenn es so einfach wäre...
Zum Vergrößern anklicken....

Es IST so einfach. Was spricht dagegen, einen PC als Gateway/Router/Firewall/Man-in-the-Middle logisch vor den Router zu packen, der den ganzen internen Traffic rein und raus lotst und selbstverständlich auch alle Pakete sehen kann?
 
Die IoT Geräte sind die leichtesten Ziele und werden dementsprechend auch gern als Eintrittstor genutzt. Da würde ich genauer hinsehen.
 
Elektrosmog schrieb:
Die IoT Geräte sind die leichtesten Ziele und werden dementsprechend auch gern als Eintrittstor genutzt.
Zum Vergrößern anklicken....

...aber die sind doch in eigenen Subnetzen ohne Zugriff auf die anderen Subnetze...

...oder?!...

...also mein Tipp wäre auch der Router - wenn der schon 6 Jahre alt ist: wird die firmware regelmäßig automatisch aktualisiert? - kann man das mal manuell anstossen? - bei der Telekom wurden vor ca. 3(?) Jahren ein paar zig-tausend Miet-Router gekapert, weil die einen bug in ihrer firmware hatten...hat die Telekom versucht nicht rauszulassen, sondern wollte heimlich alle Router updaten...hat aber nicht leise geklappt...
 
fairplay schrieb:
...aber die sind doch in eigenen Subnetzen ohne Zugriff auf die anderen Subnetze...

...oder?!...
Zum Vergrößern anklicken....
Hoffentlich. Aber auch wenn es so ist gibt es gerne Remoteverbindungen zwischen IoT Gerät und dem Rechnersystem. Und wenn das IoT Gerät erst mal gekapert ist, besteht auf jeden Fall die Gefahr. Wobei die auch gerne einfach nur gekapert werden um sie für ein Botnetz zu mißbrauchen, je nach Intention des Angreifers. Und da könnte das ständige Senden auch dazu passen. Natürlich kann es trotzdem auch der Router sein, klar.
 
2bit schrieb:
Es IST so einfach. Was spricht dagegen, einen PC als Gateway/Router/Firewall/Man-in-the-Middle logisch vor den Router zu packen, der den ganzen internen Traffic rein und raus lotst und selbstverständlich auch alle Pakete sehen kann?
Zum Vergrößern anklicken....
Was dagegen spricht... DU kannst das anscheinend und bestimmt noch so einige hier im Forum, ich kann das auch, der normale PC Anwender (ohne irgendjemandem zu nahe treten zu wollen) kann das, denke ich, eher nicht...
Und einen unbedarften Anwender vor Wireshark zu setzen ist nochmal eine andere Nummer ;-)

... auch hier: nicht immer von sich auf Andere schließen ;P
 
Zuletzt bearbeitet:
recliq schrieb:
Was dagegen spricht... DU kannst das anscheinend und bestimmt noch so einige hier im Forum, ich kann das auch, der normale PC Anwender (ohne irgendjemandem zu nahe treten zu wollen) kann das, denke ich, eher nicht...
Und einen unbedarften Anwender vor Wireshark zu setzen ist nochmal eine andere Nummer ;-)

... auch hier: nicht immer von sich auf Andere schließen ;P
Zum Vergrößern anklicken....

Warum soll man denn ein Geheimnis aus Wireshark machen? Weil es ein komplexes Thema ist? @ganje hat doch explizit danach gefragt, was er machen kann. Und Traffic Monitoring ist hier nun mal ne sinnvolle und vergleichsweise kostengünstige Option und Dank Google auch keine unlösbare Aufgabe. Tutorials zu dem Thema gibt's doch wirklich wie Sand am Meer.

Und wenn's nicht funktioniert gibt's doch immer noch die Gelben Seiten.
 
Wie kommt ihr darauf, daß möglicherweise ein Update den Upload Traffic derartig aufbläst, da wäre doch eher der Download Traffic höher.
 
Thomasch schrieb:
Wie kommt ihr darauf, daß möglicherweise ein Update den Upload Traffic derartig aufbläst, da wäre doch eher der Download Traffic höher.
Zum Vergrößern anklicken....

Szenario: Wenn zunächst der Ist - Zustand des Gerätes ermittelt und gesendet wird, dann aber das Update fehlschlägt (beispielsweise weil der Dienst spinnt oder der Server nicht korrekt reagiert) und das dann beständig wiederholt wird. Bei PCs ist das dann ggf. auch noch mit viel Gerödel auf der Platte verbunden, bevor überhaupt ein Update stattfindet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.


Neueste Beiträge

News

Zurück
Oben