Word funkt an LAN-Router?

Seit kurzem sendet MS-WORD an Router alle Sekunde ein paar Bytes. Ich wüßte nichts, wo ich etwas verändert hätte. Hat jemand Tips zum Suchen? (XP Home SP1; MS-Office 2000; T-Com Speedport 701 V)

 

Woher weisst Du das?

Das kann man/frau vieleicht mit der Installation des SP2 unterbinden.

Ansonsten: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html
Aber Anleitung beachten.

 

Weiß ich: "Status von LAN-Verbindung" zeigt jede Sekunde wird (28?) Bytes gesendet - und das nur, solange word geöffnet ist.

SP2 soll gegen eine neue Macke in word helfen?

Hab HijackThis geladen aber noch nicht aktiviert. Erstmal Full-Check bei http://www.security-check.ch/ machen lassen. Ergebnis:
<"http://webscan.security-check.ch/test/scan/full/sid=**
Full Scan
Schritt 5 von 5: Auswertung
Beim Full Scan wurden 0 offene Dienste gefunden.
Das ist gut, denn dies bedeutet, dass ein potenzieller Angreifer bei einem
Angriffsversuch über die gängisten Eintrittsmöglichkeiten scheitern würde.
Es wurde eine Firewall entdeckt.
Weitere durchgeführte Tests:
Ping: Ihr System antwortet auf Ping Requests.
Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).
Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.
OS Detection: Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%
58%: Foundry Networks Device (Big/Net/Fast Iron) Software Version 07.5.04T53
58%: Foundry Networks Device (Big/Net/Fast Iron) Software Version 07.5.05KT53
58%: Foundry Networks Device (Big/Net/Fast Iron) Software Version 07.6.01BT51
55%: NetBSD 1.4.1
55%: NetBSD 1.4
NetBIOS (Windows Netzwerk): Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.
SNMP: Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.">

Was da 58%: und 55%: bedeuten, weiß ich nicht.
Das sieht mir nicht nach Trojaner aus. Aber in word hab ich nach meinem Wissen gecheckt, wo solche Aktivität herkäme - nix. Mein schlichtes Anwender-Wissen reicht nicht.

Fällt euch noch ne Möglichkeit ein?

 

Bei dem Check wurde dein Router gescannt, nicht der PC.

55% bedeuten, dass mit dieser Wahrscheinlichkeit, etwas bestimmtes gefunden wurde.
In deinem Fall sind das Netzwerkschnittstellen.
Ob der Gegenüber dein Betriebssystem kennt oder nicht, ist irrelevant, weil TCP/IP unter jedem funktioniert, das das Internet nutzt.
Du kannst dir mal das hier durchlesen, um zu verstehen, wie die Kommunikation im Netz funktioniert.

 

Aha
Das hat ziemlich lange gedauert, fast 45 Minuten - alles nur für einen klienen Router?

Hmm, sind das denn nicht Teile des PC=OS=Bertriebssystem?
Es heißt dort ja auch "OS Detection: Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%)

OK. Wie kriege ich raus, welchem Gegenüber dieses word funkt, alle Sekunde 28 Bytes? Gibt es ein Progrämmchen, das alle Sekunde checkt, wer in dem PC mit wem schwätzt?

Ja, danke für den Tip. Ist immer mal wieder gut, sich die Zusammenhänge vor Augen zu rufen. (ich hab mal dazu einen Kurs in der VHS gemacht und hab 2 Jahre im Senioren-Net für einen E-learnig-Kurs "Grundlagen des Internet" den Tutor gemacht)

 

65536 Ports zu scannen dauert sein Zeit. Auch beim Router.

Der PC sendet Signale, damit sein Gegenüber weiß, dass überhaupt eine Anfrage erfolgt und wie er darauf antworten kann. Ebenso antwortet der PC auf eine Anfrage oder der Router, wenn das Datenpaket nicht aus dem internen Netz angefordert wurde. Aus diesen kann man auf Betriebssystem, Browser, Netzwerkschnittstellen, verwendete Protokolle und Dienste schließen. Wenn man das nicht will, darf man nicht ins Internet einwählen. Eine Kommunikation ist ja nur möglich, wenn auf Anfragen Antworten erfolgen.

Mit dem Konsolenbefehl netstat (siehe Windows Hilfe) oder TCPView (öfters aktualisieren) kann man das überprüfen.

 

Ich habe Office 2000 seit über 7 Jahren und es wollte noch nie nach Hause telefonieren.
Kann es sein, dass Plug-Ins/Erweiterungen installiert sind, die Word als Trojanisches Pferd benutzen, um nach Hause zu telefonieren?

 

Dank für die verschiedenen Hinweise!

>Mit dem Konsolenbefehl netstat (siehe Windows Hilfe)
>oder TCPView (öfters aktualisieren) kann man das überprüfen.

Bei netstat und auch dem mit TCPView gelieferten tcpvcon.exe sehe ich nur ganz kurz den schwarzen Konsolen-Bildschirm mit weißer Schrift, dann is weg. TCPView ist ein spannendes Teil - was da so alles los ist hinter dem Bildschirm :-)
Das meiste davon verstehe ich leider nicht.

Wenn word (WINWORD.EXE fragt bei firewall) raus funkt, erscheint das _nicht_ als Eintrag bei TCPView, auch nicht im ProzessViewer.

>Du hast eine Firewall? Lass Word dort sperren, hab ich auch gemacht.

Ja, das hab ich gemacht: alles auf 'fragen'. Es ist erstaunlich, wer da alles raustelefonieren will. Auch für mich erstaunlich, dass eigentlich nichts Sichbares passiert, wenn Internet-Kontakt nicht erlaubt wird.

Ich habe Office 2000 auch schon einige Jahre ohne irgendwelche Macken. Dieses Word geht sogar klaglos mit über 400-seitigen Büchern um (vgl. www.selbsterkenntnis-eigensinn.de - download als pdf-Datei)

>Kann es sein, dass Plug-Ins/Erweiterungen installiert sind,
>die Word als Trojanisches Pferd benutzen, um nach Hause
>zu telefonieren?

Das könnte sein. Ich habe kürzlich von Smarttool <http://www.smarttools.de/newsletter/access-weekly.newsletter.php> ein Add-in installiert <http://www.add-in-world.com/katalog/>. Das könnte etwa zu der Zeit passen, wo mir diese Funkerei erstmals auffiel. Die Leute stumpf per mail zu fragen wird wohl nix bringen. Und tiefer ins WINWORD.EXE zu gucken, ist wohl auch eher eine Forschungsarbeit, jedenfalls nichts für einen schlichten user wie mich. Ich könnte diese Add-inns löschen, in der Hoffnung, damit auch den Funker gelöscht zu haben - hoffnungslos.

Also werde ich im firewall Word dauerhaft auf 'zurückweisen' setze, mich gelegentlich am Grün-gelb-rot von Tcpview.exe erfreuen und mich dankbar an Euch mitdenkende PC-WELT-FORUM-Menschen erinnern.

Herzliche Grüße
jabongi

 

Du kannst auch mit dem PortReporter Tool von Microsoft den Datenverkehr protokollieren lassen.
Ich hatte das mal kurz eingesetzt aber wieder deinstalliert, weil es bei Windows 2000 nur eingeschränkte Infos liefert.

 

Wie bei netstat und tcpvcon.exe sehe ich nur ganz kurz den schwarzen Konsolen-Bildschirm mit weißer Schrift, dann is weg.

Was könnte das für Gründe haben?

 

Starte zuerst die Eingabeaufforderung mir Start->Ausführen cmd