DEVO 10 Geschrieben 12. Oktober 2011 Melden Teilen Geschrieben 12. Oktober 2011 Hallo, habe mir ein neues Notebook zugelegt mit Win 7 Prof. In der Ereignisanzeige sehe ich seltsame Warnungen der Art: Protokollname: System Quelle: Microsoft-Windows-DNS-Client Datum: 12.10.2011 10:32:38 Ereignis-ID: 1014 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter: Benutzer: NETZWERKDIENST Computer: XXXXXXXX Beschreibung: Zeitüberschreitung bei der Namensauflösung für den Namen www.westernunion.de, nachdem keiner der konfigurierten DNS-Server geantwortet hat. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" /> <EventID>1014</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x4000000000000000</Keywords> <TimeCreated SystemTime="2011-10-12T08:32:38.532900700Z" /> <EventRecordID>13922</EventRecordID> <Correlation /> <Execution ProcessID="1548" ThreadID="7076" /> <Channel>System</Channel> <Computer>XXXXXXX</Computer> <Security UserID="S-1-5-20" /> </System> <EventData> <Data Name="QueryName">www.westernunion.de</Data> <Data Name="AddressLength">16</Data> <Data Name="Address">02000035C0A8B2010000000000000000</Data> </EventData> </Event> Das "www.westernunion.de" darin macht mich etwas stutzig. Wer will da nach Hause telefonieren? Wie kann ich herausbekommen, welches Programm diese Meldung verursacht? Einen Virus will ich mal ausschließen; ich habe mehrmals gründlich (von Boot-CD) gecheckt. Ich habe an dieses Ereignis einen Meldungstrigger gekoppelt, der mir im laufenden Betrieb immer gleich ein Popup bringt, aber ich konnte es noch keiner Aktivität von mir zuordnen. Das Ereignis tritt einige Minuten nach dem Booten ein, vielleicht im Zusammenhang mit dem Start von Firefox. Ich habe mal netstat mitlaufen lassen, werde aber nicht ganz schlau draus. Hat jemand einen Tipp für mich? Vielen Dank im Voraus! DEVO Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 12. Oktober 2011 Melden Teilen Geschrieben 12. Oktober 2011 Hi, schau dir deine Verbindungen nochmal mit TCPView an, dort wird dir dann auch der dazugehörige Prozess angezeigt. -> TCPView for Windows Zitieren Link zu diesem Kommentar
DEVO 10 Geschrieben 12. Oktober 2011 Autor Melden Teilen Geschrieben 12. Oktober 2011 Vielen Dank, TCPView ist ein cooles Tool. Hab es mitlaufen lassen. Die in der Ereignisanzeige angegebene ProcessID gehört zu svchost.exe, aber das bringt mich nicht wirklich weiter. Zum Zeitpunkt des Auftretens des Ereignisses taucht kein Prozess mit der Remote-Adresse "www.westernunion.de" auf. Es tut sich etliches anderes, aber zu schnell, als dass ich da den Überblick behalten könnte. Immerhin konnte ich inzwischen durch Ausprobieren feststellen, dass das Ereignis immer einige Sekunden nach dem Start von Firefox (7.0.1) auftritt, aber auch nur, wenn ich mich mindestens ab- und wieder angemeldet habe, nicht nach Firefox-Neustart allein. Hmmm... Wie könnte ich weitermachen? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Oktober 2011 Melden Teilen Geschrieben 12. Oktober 2011 Ich würde mal Netmon probieren: Download Details - Microsoft Download Center - Microsoft Network Monitor 3.4 Zitieren Link zu diesem Kommentar
jose 10 Geschrieben 12. Oktober 2011 Melden Teilen Geschrieben 12. Oktober 2011 Weiterhin empfehle ich den Process Monitor von Sysinternals. Zitieren Link zu diesem Kommentar
DEVO 10 Geschrieben 13. Oktober 2011 Autor Melden Teilen Geschrieben 13. Oktober 2011 Vielen Dank für die Software-Tipps! Habe den MS Network Monitor installiert und mitlaufen lassen und konnte die Ursache jetzt eingrenzen: Ich habe im Firefox eine eigene Startseite mit vielen häufig genutzten Links eingerichtet. Offenbar generiert FF beim Laden dieser Seite für jeden dieser Links DNS-Abfragen. Aus irgendeinem Grund scheitert diese Abfrage beim westernunion-Link. (Warum, muss ich noch herausfinden). Jetzt lag es nahe, den Prefetch-Automatismus von FF abzuschalten, um die DNS-Abfragen zu verhindern (about:config -> network.prefetch-next;false) und auf diese Weise nochmal zu verifizieren, dass hier die Ursache liegt. Bringt aber leider nichts, die DNS-Abfragen werden trotzdem generiert. Na, ich forsche weiter... Zitieren Link zu diesem Kommentar
DEVO 10 Geschrieben 13. Oktober 2011 Autor Melden Teilen Geschrieben 13. Oktober 2011 OK, ich war schon dicht dran: Das DNS-Prefetching in FF ist der Verursacher der DNS-Lookup-Anfragen. Um das zu deaktivieren, muss man in about:config manuell den Eintrag "network.dns.disablePrefetch" anlegen und auf true setzen. Damit ist das Symptom weg und ich bin entspannter. Warum allerdings ausgerechnet der WU-Link nicht aufgelöst werden kann (im Gegensatz zu allen anderen Links auf meiner Startseite), bleibt mir nach wie vor rätselhaft. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 13. Oktober 2011 Melden Teilen Geschrieben 13. Oktober 2011 Danke für die Rückmeldung! :) Auf jeden Fall eine interessante Angelegenheit. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. Oktober 2011 Melden Teilen Geschrieben 13. Oktober 2011 In der letzten (?) c't stand was zu div. prefetch-Varianten, die vor allen Dingen vom FF und von Chrome verwendet werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.