Unbekannter eingehender Traffic

#1 Hallo,

ich verwende eine Sygate 5.5 (ist zwar schon alt, aber mir hat es bis jetzt genügt).

Seit einem Tag zeigt sie mir immer an, dass beim Verlauf eingehender Traffic etwas reinkommt (gleich nachdem ich den Computer starte und noch nichts anderes geöffnet habe), ich weiß aber nicht woher, und ob es geblockt wird. Im Traffic Protokoll wird alles als geblockt angezeigt, besonders viele Zugriffe von den Adressen u.ä.
202.97.238.200
202.97.238.201
24.64.199.92
24.64.129.154
24.64.126.224
218.106.91.25
221.208.208.212

in 1 Minute werden etwa 6 solcher Adressen (manchmal von der gleichen Adresse) blockiert.

Seltsam ist, dass das Icon in der Startleiste unten rechts, bis jetzt immer rot geleuchtet hat, wenn etwas blockiert wurde, jetzt zeigt es aber einen der beiden Pfeile türkis an (was normalerweise für eine Datenübertragung stand).


Zuerst dachte ich es läge am NDIS User mode I/O Driver, weil bei dem gleich beim Start des Computers (Windows XP) angezeigt wurde, dass etwas eingeht (das wird aber geblockt). Ich habe dann net stop ndisuio gemacht, dann war das erledigt (bis zum Neustart). Aber ich habe noch immer einen eingehenden Traffic. Der eingehende Traffic ist auch größer als der geblockte - wenn man nach der Graphik geht.

Habe daraufhin auch Virenscan (AVG Free Edition) und Spybot Search & Destroy ausgeführt. Es wurde aber nichts gefunden.

Dann habe ich ZoneAlarm 7.1 installiert. Der zeigt aber keinen ungewöhnlichen Eingang an.

Hat ev. jemand eine Ahnung, was das sein könnte? Wäre für jede Hilfe dankbar.

#2 Hi all,

ich habe ähnliche Zugriffsversuche vor einiger Zeit gehabt und wäre ebenfalls für genauere Infos dankbar (rein Interessehalber da ich jetzt Ruhe habe)
Einige waren von den gleichen IP´s wie bei "toon" aber auch von anderen. Leider kann ich nichts genaues darüber sagen, nur etwas spekulieren.
Zur gleichen Zeit hatte ich auch Zugriffe von diversen IP´s die auf Google registriert sind.
Es war wie bei "toon" : direkt nach einschalten des Routers gab es diese Zugriffe, noch bevor ich meinen Browser oder eine andere Anwendung die aufs I-Net zugreift gestartet habe.
Ich nutze sowohl eine HW-Firewall als auch Sygate 5.5 als SW-Firewall, beide zeigten keinen ausgehenden Traffic, nur die HW-Firewall zeigte den Eingang (der in den meisten fällen geblockt wurde)
Nachdem ich Google (aus anderen Gründen) boykottiere, d.h. die Suchmaschine nicht mehr nutze und die mir bekannten Google-IP´s gesperrt habe, bekomme ich auch keine Meldung mehr von den anderen.
Zufall ???
Die meisten Zugriffe waren von CNCGROUP (218.106.91.0 - 218.106.91.127, 202.97.192.0 - 202.97.255.255, 221.208.0.0 - 221.212.255.255), Shaw Communications Inc.(24.64.0.0 - 24.71.255.255) war auch dabei und diverse andere.

Ist sonst noch jemanden sowas aufgefallen?

Ist Google gehackt worden ? (von Servern der CNCGROUP sind auch Spam-Mails an Webmaster versand worden die sich als Google ausgegeben haben; siehe http://www.heise.de/newsticker/meldung/91429/from/atom10 und http://blog.spitau.de/2007/06/20/google-will-mich-nun-auch-nicht-mehr/ )

Ich hoffe nicht für Verwirrung gesorgt zu haben, bin halt sehr neugierig . (Wenn es sich bei meiner Ausführung um Schwachsinn handelt kann der Post auch gelöscht werden)
gruß
tbc
__________
Wer bin ich und wenn ja, wieviele ?

#3 Danke "tbc" ich werde mal schauen, ob es an Google liegen könnte. Ich verwende es doch sehr oft...

Mir ist jetzt übrigens aufgefallen, dass der erste Zugriff immer von der gleichen IP kommt: 10.34.111.225. Immer sofort, nachdem ich mich mit dem Internet verbunden habe. Dann folgen die anderen. Gestern waren es ca. 1500.

#4 IP-Tracker http://www.ip2location.com/ und http://www.ip-adress.com/ipaddresstolocation/
__________
MfG Argus

#5 Danke für die IP-Tracker Links, aber die finden keine Info über die IP Adresse.

#6 Bei mir schon 202.97.238.200 = Harbin in China
__________
MfG Argus

#7 Ah, danke :-)
Hab es auch noch mal probiert, es kommt bei mir aber außer n/a nichts raus. Egal.
Was mach ich jetzt? Diese IP blocken?

Ich hätte noch eine Frage. Habe noch ein Notebook mit den selben Einstellungen (auch Physikalische Adresse) wie auf meine PC und wenn ich dort das Netzwerkkabel anschließe bekomme ich keine Angriffe. Kann da doch irgendwas auf meinem PC sein, das mein Virenscan nicht erkennt?

#8 Wenn du z.b http://www.ip-adress.com/ipaddresstolocation/ benutzt musst du dein eigener IP addresse entfernen und die andere wieder rein kopieren

Leider weiss ich nichts ueber Angriffe auf mein Rechner,kümmere mich auch darum
Benutze U.S. Robotics Wireless LAN mit Firewall
__________
MfG Argus

#9 Ah, hab es jetzt mit verschiedenen IPs probiert und es geht für einige. 202.97.238.200 geht jetzt auch :-)
10.34.111.225 geht allerdings noch immer nicht.
Danke für die Hilfe.

___
Edit: 2007.11.02.

Ich habe eine Lösung für mein Problem gefunden, hab aber keine Ahnung warum es funktioniert.

Die Prozesse svchost.exe versuchen bei mir immer sofort nach der Verbindung mit dem Internet auf dieses zuzugreifen (obwohl ich Updatefunktionen, Timer usw. deaktiviert habe). Sie werden aber von meiner Firewall geblockt. Trotzdem haben sofort nach so einem Zugriffversuch die Zugriffe von obigen IPs begonnen und der incoming Traffic wurde nicht vollständig geblockt.

Ich habe daraufhin allen Traffic von der Firewall blocken lassen, bin ins Internet gegangen. Habe abgewartet bis svchost seine Zugriffversuche gemacht hat, und dann erst wieder Traffic zugelassen. Die Zugriffe und der Incoming Traffic werden nun vollständig geblockt, wie früher.

Habe svchost virengescannt und alles mögliche, aber es scheint nicht infiziert zu sein. Keine Ahnung was da los ist.