'ǝɯɐu$ ıɥ

1e100.net (1e100 = Googol) ist irgendwas Google-Internes, wenn mich nicht alles täuscht. Google Desktop Search installiert?

natürlich nicht - was kann es denn sonst sein?

Google Update Plugin im FF oder schau mal in der Systemsteuerung ob du da was von Google findest.

ssnɹƃ
ʍopɐɥs

Moin Moin!

1e100.net (1e100 = Googol) ist irgendwas Google-Internes, wenn mich nicht alles täuscht. Google Desktop Search installiert?

natürlich nicht - was kann es denn sonst sein?

Keine Ahnung. Irgendwelche Prozesse machen TCP-Connections zu Googles Interna auf, das riecht erstmal fürchterlich nach irgendwelcher Google-Software.

hdb NetStat macht erstmal nur eine Statusliste, und übersetzt sinnlos Fachbegriffe in irgendwelche geratenen deutschen Begriffe. Für "WARTEND" fallen mir spontan vier verschiedene TCP-Zustände (FIN_WAIT1, FIN_WAIT2, TIME_WAIT, CLOSE_WAIT) ein. Das macht eine sinnvolle Diagnose nicht leichter.

Dass die Verbindungen dem System zugeschlagen werden (Prozess-ID 0), ist auch nicht toll, aber wohl eine Windows-Eigenart. Oder aber eine API-Funktion liefert 0 als Indikatior für Fehler / unbekannt und der aufrufende Code interpretiert die 0 grundsätzlich als Prozess-ID. In beiden Fällen nicht sonderlich hilfreich.

Die vier Connections zu 1e100.net sind allesamt auf dem HTTP-Standard-Port. Da kommt bei mir der Verdacht auf, dass da ein Browser oder irgendeine Applikation im Spiel war(!), die mit Google HTTP gesprochen hat. Die hast Du aus dem Speicher geworfen, bevor die Verbindung fertig abgebaut war, und nun hat Windows die halb abgearbeiteten Verbindungen am Hals.

103-[FLECK]-55-95.baltnet.ru sieht nach einer automatisch generierten Reverse-Adresse aus, dazu ein Port weit über 1024, den nicht einmal nmap als "well known Service"-Port kennt. Wild geraten: Peer-to-Peer-Netze, irgendein Down- oder Upload zu einem DSL/Dial-Up-Kunden in Russland. Oder der Versuch, auf Deinem Rechner irgendeine Lücke zu finden -- z.B. mit nmap -sT über einen größeren IP-Adressbereich.

host-94-[FLECK]-12-172.bbcustomer.zsttk.net -- auch ein Russe, auch ein ungenutzer Port. Nochmal P2P?

dialup84[FLECK]14.ip.PeterStar.net -- nochmal das gleiche.

Fazit: DIE RUSSEN KOMMEN! WIR WERDEN ALLE STÖRBEN!!111elf! *g*

Ernsthaft: Windows-Rechner gehören nicht ungefiltert ans Internet, ein NAT-Router (ohne bzw. mit abgeschalteten UPnP -- Fritzbox, WRT54G, ...) sollte schonmal den gröbsten Dreck abhalten. Wenn der betroffene Rechner schon hinter einem NAT-Router OHNE(!!!) Port Forwards steht, und keine P2P-Software installiert ist, dann solltest Du vielleicht mal den Rechner von einem schreibgeschützten Medium (CD/DVD/PXE) booten und nach Malware scannen. Denn dann wären Zugriffe auf vermutliche Dial-Up-Netze in Russland eher ungewöhnlich.

Zusätzlich, und erst NACH dem Scan, wäre eine nahezu beliebige "Personal Firewall" ganz nützlich (NICHT schützend! PFWs können per Definition nicht schützen!), um herauszufinden, welches Programm wohin Verbindungen aufbaut. PFW komplett blockieren, alle priviligierten Programme aus den White Lists herausnehmen, und dann so einstellen, dass jeder connect-Versuch erst einmal in einen Prompt hineinläuft. Damit erwischt man eine ganze Menge Software, die unbedingt "nach Hause telefonieren" will. Leider gibt's auch jede Menge Gerümpel in Windows, dass unbedingt ins Netz reinbrüllen will. Du wirst also jede Menge "false positives" haben. Und damit es nicht langweilig wird, tarnt sich eine Menge Malware als Windows-Standard-Software.

Alexander