permanentes und nicht gewolltes ftp

[hegl 10]

Hallo,

 

ich stelle seit kurzem fest, dass unsere neuen PC´s mit XP-Installation alle 5 min. versuchen eine FTP-Verbindung aufzubauen. Merkwürdigerweise immer auf unterschiedliche IP-Adressen, aber immer als anonymous mit pw: somebody@somecompany.com. Ausser dem OS ist nur ein aktueller Virensacnner installiert, der seine Updates von einem lokalen Server bezieht. Das kann ich also ausschließen. Welche Möglichkeiten habe ich zu erfahren, welcher Prozess die ftp-connection initiiert und was dahinter steckt. Wenn ich die IP-Adressen checke erhalte ich Zugehörigkeiten nach USA, Kanada, Schweden oder England.

[OnkelGauss 10]

Hallo hegl

 

Eine Idee:

Zuerst würde ich einmal kontrollieren, was beim Systemstart alles mit gestartet wird. Zum Beispiel mit msconfig oder autoruns (AutoRuns for Windows v8.61) von Microsoft.

 

Anschliessend schauen, zu welchem Zeitpunkt dies genau passiert und mit Process Monitor (Process Monitor v1.01) schauen, was für ein Programm zu diesem "Verbindungszeitpunkt" welche aufrufe tätigt.

 

Idee 2:

Alle Dateien auf dem Rechner und die Registry nach "somebody@somecompany.com" durchsuchen lassen.

 

Idee 3:

Schauen, was gesendet wird mit Wireshark (Wireshark: The World's Most Popular Network Protocol Analyzer) o.Ä.

 

Viel Glück!

 

PS: Du schreibst, dass versucht wird eine Verbindung aufzubauen, blockst du mit einer Firewall?

[Necron 71]

Welche Möglichkeiten habe ich zu erfahren, welcher Prozess die ftp-connection initiiert und was dahinter steckt.

Hi,

 

das Programm Active Ports kann dir da weiter helfen: Freeware for Windows NT/2000/XP and Windows 95/98/Millennium

[hegl 10]

Jepp, so kann man sich täuschen :mad:

 

Mit Wireshark festgestellt, dass es doch der ****e Virenscanner ist.

Da hat sich ein Fehler in die Softwareverteilung eingeschlichen und zeigt bei den Updates doch nicht auf unseren lokalen Server.

 

Danke für die Tipps.