TCP/IP Plug In
- Thread starter Digit
- Start date
Hallo Digit,
reicht Dir diese englische Erklärung(?):
http://forums.spybot.info/showpost.php?p=94083&postcount=2
reicht Dir diese englische Erklärung(?):
http://forums.spybot.info/showpost.php?p=94083&postcount=2
Wenn ich das richtig verstehe, es gibt Malware (DNS-Changer, welche die Server Ip verändern, also somit einen Domain-HiJack verursachen.
Im HiJackThis-Log wären das die O17 Einträge, wenn man HiJackThis online scannen läßt.
Das PlugIn müsste einen Wechsel der IP durch Malware beim Scan anzeigen.
Die IP wird aber auch gewechselt, wenn ich einen zB DSL-Anbieter wechsle.
Sehe ich jetzt da was verkehrt.?
Im HiJackThis-Log wären das die O17 Einträge, wenn man HiJackThis online scannen läßt.
Das PlugIn müsste einen Wechsel der IP durch Malware beim Scan anzeigen.
Die IP wird aber auch gewechselt, wenn ich einen zB DSL-Anbieter wechsle.
Sehe ich jetzt da was verkehrt.?
Beim DNS-Changer von Zlob werden ganz bestimmte DNS Server eingetragen. Diese ermöglichen dann den Betreibern dieser Server bei DNS Anfragen das zurückzuliefern, was sie wollen. DNS ist dafür da, dass wenn du www.spybot.info im Browser eintippst das dann in eine IP aufgelöst wird und dorthin verbunden wird. Wenn man also eine andere IP zurückgibt, als die Echte, dann wird eine andere Seite geladen, obwohl im Browser die richtige Adresse steht.
Findet Spybot nun diese als böse bekannten Einträge, werden diese durch gute DNS-Server ersetzt. Würdest du z.B. 195.140.127.130 postbank.de in deine Hostdatei einfügen und gingest dann mit dem IE auf postbank.de, wird dir die Seite der Sparkasse angezeigt, obwohl im Adressfenster www.postbank.de steht. Das liegt daran, dass 195.140.127.130 die IP der Sparkasse ist. Hoffe das hat dir ein wenig weitergeholfen!
:
Findet Spybot nun diese als böse bekannten Einträge, werden diese durch gute DNS-Server ersetzt. Würdest du z.B. 195.140.127.130 postbank.de in deine Hostdatei einfügen und gingest dann mit dem IE auf postbank.de, wird dir die Seite der Sparkasse angezeigt, obwohl im Adressfenster www.postbank.de steht. Das liegt daran, dass 195.140.127.130 die IP der Sparkasse ist. Hoffe das hat dir ein wenig weitergeholfen!
:Das TCP/IP-Plugin setzt mir jetzt jedesmal meinen RWIN-Wert, den ich durch den TCP-Optimizer von speedguide optimiert habe, zurück.
http://www.speedguide.net/analyzer.php?DATA_OFFSET=40&TCP_Options_string=020405ac0103030101010402&IP_MTU_DISCOVER=1&WIN=1452&RWIN=2904&MSS=1452&SCALE=1&TTL=41&TSOPT=0&SACK_PERM=1&IP_TOS=0&IP=77.180.180.13×tamp=1181808920
Grauenhaft!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Das heißt, die komplette DSL-Verbindung wird grotten-langsam.
Ich werde jetzt ein Backup aufspielen und danach das komplette Update vom 13.06.07 auf die Ausnahmeliste setzen.
Das kann so nicht im Sinne des Erfinders sein.
http://www.speedguide.net/analyzer.php?DATA_OFFSET=40&TCP_Options_string=020405ac0103030101010402&IP_MTU_DISCOVER=1&WIN=1452&RWIN=2904&MSS=1452&SCALE=1&TTL=41&TSOPT=0&SACK_PERM=1&IP_TOS=0&IP=77.180.180.13×tamp=1181808920
Grauenhaft!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Das heißt, die komplette DSL-Verbindung wird grotten-langsam.
Ich werde jetzt ein Backup aufspielen und danach das komplette Update vom 13.06.07 auf die Ausnahmeliste setzen.
Das kann so nicht im Sinne des Erfinders sein.
@MisterW
Vielen Dank für die prompte Rückmeldung und vielen Dank, dass Ihr Euch um das Problem kümmert.
Ich werde nämlich wirklich bald völlig :banana:!
Habe fast die ganze Nacht Backups aufgespielt, alles neu eingestellt und dann am Ende einen neuen Scan gestartet.
Vor dem Scan stimmten alle Werte.
Nach dem Scan - oh mein Gott...
Also nochmals recht herzlichen Dank an Euch alle für Euer Bemühen.
Hoffentlich klappt es!
Vielen Dank für die prompte Rückmeldung und vielen Dank, dass Ihr Euch um das Problem kümmert.
Ich werde nämlich wirklich bald völlig :banana:!
Habe fast die ganze Nacht Backups aufgespielt, alles neu eingestellt und dann am Ende einen neuen Scan gestartet.
Vor dem Scan stimmten alle Werte.
Nach dem Scan - oh mein Gott...
Also nochmals recht herzlichen Dank an Euch alle für Euer Bemühen.
Hoffentlich klappt es!
Vielleicht hängt es ja damit zusammen:
http://forums.spybot.info/showthread.php?t=14831
Leider MUSS (!!!) man ja (ob man will, oder nicht) das TCP/IP-Plugin installieren, weil sonst die besagte Fehlermeldung kommt.
Könnte man das Plugin auf "Ausnahme" setzen, weil man sich lieber für eine gute DSL-Verbindung entscheidet, statt auf einen kompletten Schutz und würde die Fehlermeldung dann nicht erscheinen, wär's ja zumindest erträglich.
Ich frage mich nur, was die Leute machen, die kein Backup angelegt haben und jetzt das Plugin installiert haben, das man ja vermutlich nicht separat wieder deinstallieren kann.
Die müssen sich vielleicht entscheiden:
Spybot dauerhaft deinstallieren, oder gaaaaaaanz langsam im Internet unterwegs sein.
http://forums.spybot.info/showthread.php?t=14831
Leider MUSS (!!!) man ja (ob man will, oder nicht) das TCP/IP-Plugin installieren, weil sonst die besagte Fehlermeldung kommt.
Könnte man das Plugin auf "Ausnahme" setzen, weil man sich lieber für eine gute DSL-Verbindung entscheidet, statt auf einen kompletten Schutz und würde die Fehlermeldung dann nicht erscheinen, wär's ja zumindest erträglich.
Ich frage mich nur, was die Leute machen, die kein Backup angelegt haben und jetzt das Plugin installiert haben, das man ja vermutlich nicht separat wieder deinstallieren kann.
Die müssen sich vielleicht entscheiden:
Spybot dauerhaft deinstallieren, oder gaaaaaaanz langsam im Internet unterwegs sein.
Das Plugin fasst so tiefe TCP/IP-Einstellungen gar nicht an!
Alles was es tut, ist böse IPs (etwa als Gateway, DNS-Server etc. eingerichtet) zu erkennen und zu beseitigen. Um den Rechner nicht stillzulegen, ersetzt es etwa böse DNS-Server mit einem allgemeineren (OpenDNS oder andere). Das tut es auch nur über die Registry, so daß ich ausschließen kann, daß durch irgendwelche API-Funktionen sowas im Hintergrund unbeabsichtigt geändert werden würde - selbst Registry-Änderungen finden ja nur statt, wenn man so einen "TCP/IP Settings #N" (N eine fortlaufende Nummer) Eintrag beim manuellen Scan findet und auch beheben lässt, und selbst dann werden keine solchen "Tweak-Parameter" wie MSS etc. verändert.
"Langsam im Internet unterwegs sein" kann also durch reine Installation des Plugins schonmal nicht möglich sein; wenn das Internet langsam wird, weil ein bösartiger DNS-Server entfernt wurde, dann höchstens, weil der Ersatz wahrscheinlich nicht optimal ist. Dann würde ein Wiedereintragen des DNS-Servers des eigenen Providers schon helfen.
Da gibt es im übrigen, um nochmal auf Digits ursprünglichen Kommentar einzugehen, auch kein Problem mit Anbieterwechseln, denn was angemeckert wird, sind wirklich nur als bösartig bekannte DNS-Server (und die werden nur von Malware eingetragen und sollten dann eigentlich diejenigen sein, die im Gegensatz zum Original des Providers langsamer sind).
Worum geht es im übrigen genau? Um 1. RWIN-Werte, die ein lokales Programm als optimal ermittelt, um 2. RWIN-Werte, die ein lokales Programm als in der Registry eingetragen anzeigt, oder um 3. RWIN-Werte, die eine Webseite meldet?
Alles was es tut, ist böse IPs (etwa als Gateway, DNS-Server etc. eingerichtet) zu erkennen und zu beseitigen. Um den Rechner nicht stillzulegen, ersetzt es etwa böse DNS-Server mit einem allgemeineren (OpenDNS oder andere). Das tut es auch nur über die Registry, so daß ich ausschließen kann, daß durch irgendwelche API-Funktionen sowas im Hintergrund unbeabsichtigt geändert werden würde - selbst Registry-Änderungen finden ja nur statt, wenn man so einen "TCP/IP Settings #N" (N eine fortlaufende Nummer) Eintrag beim manuellen Scan findet und auch beheben lässt, und selbst dann werden keine solchen "Tweak-Parameter" wie MSS etc. verändert.
"Langsam im Internet unterwegs sein" kann also durch reine Installation des Plugins schonmal nicht möglich sein; wenn das Internet langsam wird, weil ein bösartiger DNS-Server entfernt wurde, dann höchstens, weil der Ersatz wahrscheinlich nicht optimal ist. Dann würde ein Wiedereintragen des DNS-Servers des eigenen Providers schon helfen.
Da gibt es im übrigen, um nochmal auf Digits ursprünglichen Kommentar einzugehen, auch kein Problem mit Anbieterwechseln, denn was angemeckert wird, sind wirklich nur als bösartig bekannte DNS-Server (und die werden nur von Malware eingetragen und sollten dann eigentlich diejenigen sein, die im Gegensatz zum Original des Providers langsamer sind).
Worum geht es im übrigen genau? Um 1. RWIN-Werte, die ein lokales Programm als optimal ermittelt, um 2. RWIN-Werte, die ein lokales Programm als in der Registry eingetragen anzeigt, oder um 3. RWIN-Werte, die eine Webseite meldet?
@MisterW
@PepiMK
Erst einmal recht herzlichen Dank für Eure hervorragenden Erklärungen und Bemühungen in dieser Sache! :bigthumb:
Tja, was soll ich jetzt sagen? Alles Zufall?
Sollte tatsächlich mit dem Zeitpunkt des Einspielens des Plugins quasi zeitgleich bzw. unmittelbar danach etwas für eine Verschlechterung bzw. Änderung des RWIN-Wertes sorgen, obwohl dieser seit Monaten immer stabil war?
Wenn es denn Zufall wäre und nicht mit dem Update zusammenhängen würde, sollte es mir einerseits natürlich sehr recht sein, denn dann könnte ich mein geliebtes Spybot mit ruhigem Gewissen weiternutzen, was ich natürlich sehr gerne möchte!
Eure Erklärungen sind ja sehr transparent, auch für einen relativen Laien wie mich.
Ich beobachte die Sache mal weiter.
Die Einstellungen habe ich wieder per TCP-Optimizer optimiert.
Ich warte mal das nächste Update ab und melde mich im Problemfalle nochmals.
Herzliche Grüße an Euer tolles Team und vorab ein schönes Wochenende an Alle!
Danke
radi
@PepiMK
Erst einmal recht herzlichen Dank für Eure hervorragenden Erklärungen und Bemühungen in dieser Sache! :bigthumb:
Tja, was soll ich jetzt sagen? Alles Zufall?
Sollte tatsächlich mit dem Zeitpunkt des Einspielens des Plugins quasi zeitgleich bzw. unmittelbar danach etwas für eine Verschlechterung bzw. Änderung des RWIN-Wertes sorgen, obwohl dieser seit Monaten immer stabil war?
Wenn es denn Zufall wäre und nicht mit dem Update zusammenhängen würde, sollte es mir einerseits natürlich sehr recht sein, denn dann könnte ich mein geliebtes Spybot mit ruhigem Gewissen weiternutzen, was ich natürlich sehr gerne möchte!
Eure Erklärungen sind ja sehr transparent, auch für einen relativen Laien wie mich.
Ich beobachte die Sache mal weiter.
Die Einstellungen habe ich wieder per TCP-Optimizer optimiert.
Ich warte mal das nächste Update ab und melde mich im Problemfalle nochmals.
Herzliche Grüße an Euer tolles Team und vorab ein schönes Wochenende an Alle!
Danke
radi
@MisterW
Ach so, ich bin Dir noch eine Antwort schuldig zur folgenden Frage:
NEIN, es kam keine Meldung!
Die Änderung wurde quasi "schleichend" vollzogen - wer/was auch immer dafür verantwortlich war... :sad:
Ach so, ich bin Dir noch eine Antwort schuldig zur folgenden Frage:
NEIN, es kam keine Meldung!
Die Änderung wurde quasi "schleichend" vollzogen - wer/was auch immer dafür verantwortlich war... :sad:
@PepiMK
@Team Spybot
WICHTIGE FESTSTELLUNG:
Ich benutze als Router eine Fritz!Box.
Nach der nächtlichen automatischen DSL-Zwangstrennung und sofortigen Neuanmeldung wird normalerweise IMMER (!!!) eine neue IP vergeben.
Seit dem Aufspielen des Plugins ist das nicht mehr so!
Ich behalte weiterhin immer nur meine alte IP!!!
Mein DSL Provider ist 1&1.
Das kann aber doch nicht richtig sein, oder???
@Team Spybot
WICHTIGE FESTSTELLUNG:
Ich benutze als Router eine Fritz!Box.
Nach der nächtlichen automatischen DSL-Zwangstrennung und sofortigen Neuanmeldung wird normalerweise IMMER (!!!) eine neue IP vergeben.
Seit dem Aufspielen des Plugins ist das nicht mehr so!
Ich behalte weiterhin immer nur meine alte IP!!!
Mein DSL Provider ist 1&1.
Das kann aber doch nicht richtig sein, oder???
hmmm :scratch:
werd ma nachhören, aber das hat eigentlich auch nichts mit dem plugin zu tun....vielleicht zufall, dass du die gleiche ip wieder bekommen hast? Letztlich ist es aber doch kein Problem, sondern eher angenehm, keine Zwangstrennung mehr zu haben: Ich vermute aber, dass du morgen ne andere IP haben wirst!
werd ma nachhören, aber das hat eigentlich auch nichts mit dem plugin zu tun....vielleicht zufall, dass du die gleiche ip wieder bekommen hast? Letztlich ist es aber doch kein Problem, sondern eher angenehm, keine Zwangstrennung mehr zu haben
: Ich vermute aber, dass du morgen ne andere IP haben wirst!Naja also bei meinem Provider passiert es mir auch öfter mal, das ich ein paar Tage hintereinander die gleiche IP bei der Wiedereinwahl (nicht ganz korrekt, da ich einen Router nutze) zugeteilt bekomme.
Nach der Erklärung von PepiMK kann ich mir auch nicht vortsellen, das es was mit dem PlugIn zutun haben könnte. Den es hat ja nichts mit der IP Vergabe am Hut, sondern ersetzt nur im Notfall einen korrupten DNS Server.
Habe ebend extra mal geschaut, ich habe heute eine andere IP als gestern bekommen und habe das Spybot PlugIn auch drauf.
gruß andreas
Edit: Auch kann ich keinerlei Verlangsamung, oder sonstiges auffälliges an meiner Verbindung erkennen. Wie auch :laugh:
Nach der Erklärung von PepiMK kann ich mir auch nicht vortsellen, das es was mit dem PlugIn zutun haben könnte. Den es hat ja nichts mit der IP Vergabe am Hut, sondern ersetzt nur im Notfall einen korrupten DNS Server.
Habe ebend extra mal geschaut, ich habe heute eine andere IP als gestern bekommen und habe das Spybot PlugIn auch drauf.
gruß andreas
Edit: Auch kann ich keinerlei Verlangsamung, oder sonstiges auffälliges an meiner Verbindung erkennen. Wie auch :laugh: