Der Screenshot ist irgendwie leider winzig klein (müssen wir wohl mal durch die Foreneinstellungen schauen, irgendwie scheint das Forum Bilderanhänge allgemein zu winzifizieren), ich hab jetzt mal bei mri selber mit TCPView geschaut.
Dabei ist mir auch h642663.serverkompetenz.net aufgefallen, daß ist tatsächlich auch einer unserer Update-Server ("Safer-Networking #1", eigentlich
www.spybotupdates.com, aber der erklärte Reverse Lookup landet halt bei dem DNS-Namen von Strato, bei denen dieser Server steht). Nachdem ich alle Server ausprobiert habe, ist mir allerdings immer noch keiner mit .ru aufgefallen, da sollte es auch kein zufällig dort landendes Reverse DNS geben.
Was nun Hintergrundprozesse angeht: Spybot-S&D selber taucht in TCPView einzig und allein als SDUpdate.exe auf. Wenn ich das richtig sehe, meinst Du die Einträge, die als Namen
[System Process]:0 stehen haben? Das ist Krams, den Windows selber als Reaktion auf diverse Aktionen veranstaltet. So richtig zuordnen kann ich das gerade selber schlecht, aber es scheint, daß dort
alle Verbindungen erstmal liegen, solange sie etwa einen TIME_WAIT-Status haben, und erst, wenn die Verbindung zustande gekommen ist der Anwendung zukommen. Oder andersrum, nachdem eine Anwendung die Verbindung schon aufgegeben hat, kümmert sich ein Betriebssystemteil noch darum. Kurz: was darunter steht, kann zu jeder einzelnen Anwendung gehören (ich hab da gerade auch Verbindungen von Firefox und Thunderbird gesehen), daher können diese .ru-Verbindungen eigentlich von überall her kommen.
Ich hab auch nochmal die Whois-Informationen der beiden .ru-Domains nachgeschaut:
person: Igor A Dovgaliov
registrar: RUCENTER-REG-RIPN
person: Vladimir E Usachev
registrar: RUCENTER-REG-RIPN
Telefonnummern stehen dort auch, deuten aber auf unterschiedliche Regionen in Russland hin, lediglich der Provider ist derselbe. Da die Domain aber auch nicht die sein muss, auf die zugegriffen wurde (eben wenn mehrere Domains auf einem Server liegen), sagt das auch nicht so viel aus.
Hab mal kurz die einzige russische Software geprüft, die mir so eingefallen ist, RapGet, allerdings keine Übereinstimmung bei dem Server, den das für Updates kontaktiert.
Hmmm übrigens, "1300er Ports" gehören nicht zu Spybot
Wenn Du auf Ports achtest, dann gibt es immer zwei Seiten - einmal der Port auf Serverseite, der ist immer fest, also etwa 80 oder 8080 für Webserver, 21 für die Haupt-FTP-Verbindung, 23 für SMTP (rausgehende Mail), 110 für POP3 (Mailabruf), etc.. - den beim Server muss ja genau bekannt sein, welcher Port erreicht werden will.
Die Port-Nummer auf Client-Seite ist aber eher zufällig - üblicherweise über 100, aber darüber hinaus wählt Windows für jede rausgehende Verbindung eine völlig zufällige Portnummer - einfach, damit nicht mehrere Anwendungen, die den gleichen Dienst verwenden, sich gegenseitig um denselben Port streiten müssten (stell Dir zwei Browser oder auch nur zwei Tabs in ein und demselben Browser vor - würden beide Port 80 auch auf ihrer Client-Seite verwenden wollen, könnten die reinkommenden Daten keinem bestimmten mehr zugewiesen werden).
Kurz: bei Ports immer auf die Serverseite achten, da steht meistens :http (Port 80) oder :ftp hinter. Spybot verbindet sich auch nur über diese beiden Protokolle (bei ner lokalen Netzwerkinstallation auch noch per SMB/CIFS, aber dsa spielt hier keine Rolle).
