Plötzlich permanente Verbindung zu MS-Server

[Serjo]

Hallo Forum,

mir ist gestern ab etwa 1 Uhr nachts (davor war alles normal) aufgefallen, dass eine svchost.exe (netsvcs -p) eine permanente Verbindung zu einem Microsoft-Server aufgebaut hat, genauer zur IP 40.67.254.97. Mehr als eineinhalb Stunden lang hat diese Verbindung 1 B/s gesendet und 2 B/s empfangen. Als sie nach so langer Zeit noch immer nicht verschwand, ging ich von einem Fehler aus und hab den PC neugestartet. Geändert hat das aber nichts, nach ca. 10 Minuten war die Verbindung wieder da, nur die IP endete jetzt auf .36 statt .97. Nach weiteren ca. eineinhalb Stunden bin ich dann schlafen gegangen und dachte mir dass es vllt am nächsten Tag aufhört.

Als ich jetzt kürzlich den PC wieder gestartet habe, ging dasselbe aber erneut ca. 10 Minuten nach PC-Start los, diesmal mit der IP 40.67.252.206. Da ich seit etwa 4 Monaten meine Prozesse & Verbindungen immer im Auge behalte, weiß ich dass sowas vor gestern nie passiert ist. Vorher wurde höchstens alle X Minuten mal eine kurze Verbindung zu irgendwelchen MS-Servern hergestellt, die recht bald wieder verschwand; jetzt hab ich plötzlich diese Dauer-Verbindung die bestenfalls mal für wenige Sekunden verschwindet und danach sofort wieder auftaucht.

Habt ihr eine Ahnung was es damit auf sich hat? Hat sonst noch jemand seit gestern bzw. kurzem so eine dauerhafte MS-Verbindung? Sie sendet & empfängt immer nur wenige B/s und pendelt sich dann irgendwann dauerhaft bei 1 B/s senden und 2 B/s empfangen ein. Außer SMB1 zu deaktivieren habe ich in letzter Zeit nichts an meinem PC geändert, und selbst das ist schon ein paar Tage her. Am PC verwende ich ein lokales Konto, kein MS-Konto.

 

[azereus]

dann guck dir mit wireshark an was für daten übertragen werden. scheinst dich ja gut genug auszukennen. andernfalls blockier mal den ip-bereich und guck was die zukunft bringt

 

[Serjo]

Wie kommst du denn darauf dass ich mich gut genug auskenne? Wireshark oder vergleichbare Programme hab ich nie verwendet und kenn mich auch entsprechend 0 damit aus, wüsste auch nicht wie ich damit herausfinde was für Daten übertragen werden.

 

[new Account()]

Wenns verschlüsselt wird, wovon ich ausgehe, hilft Wireshark auch nichts.

 

[emeraldmine]

Check mal die Eigenschaften/Protokolle von deinen Netzwerkadapter. Netzwerk - und Interneteinstellungen öffnen in der Taskleiste/Tray.

 

[Serjo]

@emeraldmine
Ich bin grad nicht sicher ob du das hier meinst, ist aber das Einzige was ich gefunden habe:

Falls du das meintest, auf was muss ich da schauen?

 

[emeraldmine]

Waren das ALLE Protokolle ? Mußt eben selber wissen ob Du da Topologie bzw. die Datei/Druckfreigabe ins Netz schickst. ^^

 

[dsxiadndxe]

Also ich sehe da eine Verbindung bei mir die ähnlich zu sein scheint. Die Verbindung wird vom Windows Push Notifications System Service (WpnService) bei mir erstellt - kannst ja Spaßes halber mal den Service stoppen und schauen ob die Verbindung dann weg ist. Bei mir is der Service auf automatic und kommt daher relativ schnell wieder aber die Verbindung ist sofort gekappt wenn ich den service ausschalte. Kann man dann ja permanent deaktivieren.

 

[Serjo]

@emeraldmine
Ja der Screenshot zeigt alles was in dieser Liste stand. Topologie sagt mir leider garnichts, und irgendwelche Freigaben habe ich (zumindest bewusst) nicht erstellt, erst recht nicht gestern, und davor hatte ich sowas ja nicht.

@dsxiadndxe
Ich hab diesen WpnService beendet & deaktiviert, und tatsächlich ist diese Verbindung fürs Erste verschwunden. Seit über 10 Minuten kommt da nix mehr und so lange war das noch nie weg, scheint also tatsächlich daran gelegen zu haben. Mich wunderts nur dass das erst gestern losging, dieser WpnService ist doch nichts Neues? Haben die da evtl. irgendwas geändert?

Außerdem hätte ich da noch 2 Fragen:
1. Hab ich das richtig verstanden, dass bei dir nicht svchost.exe (netsvcs -p), sondern irgendwas mit WpnService im Ressourcenmonitor stand? Oder hast du das irgendwie anders herausgefunden?
Und 2. Kannst du mir sagen ob bei dir die IP auch mit 40.67. anfing? Bei mir wurde mit vielen verschiedenen IPs verbunden, die aber allesamt eben mit 40.67. anfingen.

 

[dsxiadndxe]

Nein ich habe mit comodo killswitch nach der verbindung geschaut. 40.67.254.97 war die IP. svchost kann ja alles mögliche sein. Wozu dieser service jetzt genau diese Verbindung braucht, weiss ich leider nicht.

 

[emeraldmine]

mein gott, comodo, das hat zuletzt das HEVC Rendern angefangen, wahrscheinlich den Desktop durch den Encoder laufen lassen, lange wars dann nicht mehr auf meinem System.

 

[dsxiadndxe]

Hatte bisher noch keine Probleme mit killswitch. Ansonsten benutze ich keine antivirus software von comodo daher kann ich dazu nicht viel zu sagen. Die Firewall genießt wohl einen recht guten Ruf.

 

[Serjo]

Alles klar, danke.

Ich finds nur etwas beunruhigend dass Microsoft schreibt diese Push Notifications wären für "third-party developers" gedacht. Bevor ich den WpnService deaktiviert hab, hatte ich nämlich noch nen Scan mit Avast gestartet. Während des Scans wurde diese Verbindung 2 Mal beendet und mit einer neuen IP wieder hergestellt. Vorher wurde das so gut wie nie unterbrochen, und selbst wenn, hat sich die verbundene IP ausschließlich nach einem PC-Neustart geändert und nicht bei einer neuen Verbindung.

Außerdem hab ich davor, als ich wegen emeraldmines Post in den Internet-Einstellungen unterwegs war, im Ressourcenmonitor gesehen, dass zu irgendeinem Zeitpunkt die consent.exe (= UAC-Abfrage) gestartet & wieder beendet wurde, ohne dass es auch eine tatsächliche, sichtbare UAC-Abfrage gab. Sowas ist mir bisher auch noch nie untergekommen. Sehr eigenartig das Ganze.

Wäre dankbar wenn mir noch ein paar andere CB-User sagen könnten, ob bei ihnen auch permanent so eine svchost.exe läuft die mit einer 40.67. [...] IP verbindet. Das sieht man eh direkt im Ressourcenmonitor.

 

[new Account()]

bei mir

 

[emeraldmine]

Die Firewall genießt wohl einen recht guten Ruf.

Wenn man nicht hinschaut, bestimmt. ^^

 

[dsxiadndxe]

Das dort keine Abfrage kommt ist in der Tat seltsam.

Wenn man nicht hinschaut, bestimmt. ^^

Nun ja würde sagen kommt darauf an, wo man fragt. Ich denke, es gibt da wesentlich schlechtere Sicherheitskonzepte.

 

[Bob.Dig]

Bei mir ebenfalls. Ich hab den Dienst mal beendet, mal sehen was passiert bzw. nicht passiert.
Und da ich das bestimmt vergesse, mach ich mal lieber ein Abo an den Thread.

 

[Extrema]

Zu meiner Zeit mit Win10 fand ich die andauernden Verbindungen zum update Server nicht so das Problematische. Das Verhalten Verschwindet nach einiger Zeit wieder, klar kann man alle Verbindungen zu den IP Adressen Blockieren jedoch bekommt man dann eben auch kein Updates mehr.

Mit einer externen Lösung z.B. Firewall kann man das sehr gut Testen was Passiert wenn man ganze IP Adressbereiche Blockiert.

Viel schlimmer fand ich jedoch die Verbindungen von Firefox denn hier geht richtig was rüber…
detectportal.firefox.com
normandy.cdn.mozilla.net

 

[Serjo]

@Extrema
Es geht mir in diesem Thread überhaupt nicht um die gelegentlichen, kurzen Verbindungen zu Update-Servern die es bei Windows 10 schon immer gab, sondern um eine dauerhafte Verbindung die erst vorgestern zum ersten Mal aufgetaucht und überhaupt nicht mehr verschwunden ist (bis ich eben den WpnService deaktiviert hab).

Jetzt ist natürlich die Frage ob das auch negative Folgen haben kann dass der Dienst deaktiviert wurde. Wäre nicht so schön wenn ich damit wichtige oder sogar essentielle Funktionen behindern würde.

@new Account() @Bob.Dig
Ihr sagtet ja beide ihr hattet auch so eine Verbindung, war es denn bei euch auch eine dauerhafte Verbindung die nie verschwand und mit 40.67.irgendwas kommunizierte?

 

[new Account()]

Naja ich hab die Verbindung immernoch - hab die jetzt nicht ständig beobachtet