Deus Update wird über Internet gezogen?

Hallo Deus Gemeinde,

nachdem schon mehrmals in verschiedenen Beiträgen berichtet wurde, dass man für ein Deus Update eine Internet Verbindung benötigt,
 bin ich neugierig geworden.

Ich hasse es nämlich, wenn etwas im Hintergrund über das Netz gezogen, spioniert oder ähnliches passiert,
was ich nicht zurück verfolgen, oder sehen kann.

Also habe das Deus Update noch einmal laufen lassen und den ganzen Prozess angesehen, was denn im Hintergrund so passiert!!!

Ich bin kein PC Freak, es kann auch sein, dass ich auf der komplett falschen Schiene fahre.
Wenn ich aber lese, dass diese Seite, auf die mein Rechner zugreift, Black gelistet ist, werde ich neugierig!


Was mich bei dem Update erstaunt hat: Es wird nur auf einen normalen Mailserver ala gmx, oder web.de u.s.w. zugegriffen.


Sie haben nicht die Berechtigung Links zu sehen.
Registrieren oder Einlogen

Uploaded with Sie haben nicht die Berechtigung Links zu sehen.
Registrieren oder Einlogen

Zumal ein Zugriff auf meine IP inclusive Snap, also Capture:

LLC: Unnumbered(U) Frame, Command Frame, SSAP = SNAP(Sub-Network Access Protocol), DSAP = SNAP(Sub-Network Access Protocol)

Wer sich ein wenig besser mit dieser Materie auskennt wie ich, möge sich doch bitte dieses auch mal auswerten, was hinter den Kulissen bei dem Update so passiert.

Falls ich mich jetzt total täusche, ist es immer noch merkwürdig, dass bei dem Update auf einen normalen Mail Server zugegriffen wird!

PS: Ich kann mich natürlich auch wieder mal in allem täuschen.

Also Bitte Leute, ich will keine Verschwörungs Theorien verbreiten, aber wenn man sich ansieht, was da im Hintergrund während des Updates passiert, finde ich das schon irgendwie merkwürdig.
Ich weise nochmal darauf hin, das ich kein PC Freak bin und daher nur Bitte, das sich damit vieleicht mal jemand beschäftigt, der ein wenig mehr Ahnung von der Materie hat wie ich.

Man möchte halt gerne wissen, was bei so nem Update ohne eigenes Wissen im Hintergrund geschieht...
Mfg

Danke Follinus für Deinen ausführlichen und detaillierten Bericht und die Mühe, die Du dort rein gesteckt hast !
Alain ist zur Zeit in England, dehalb nur schwer zu erreichen.
Ich werde ihn aber um eine Stellungnahme bitten !

Kannst Du bitte noch DEFINITIV ausschließen, daß Dein Rechner mit Schadsoftware infiziert ist, und dieses Verhalten verursacht.
Bitte lass mal zur Sicherheit MRT.exe drüber laufen und besorg Dir auch den Combo-Fix:
Sie haben nicht die Berechtigung Links zu sehen.
Registrieren oder Einlogen
Der erkennt und beseitigt auch hartnäckige Malware, die von anderen Tools gar nicht erst erkannt wird.

Nur um auf Nummer Sicher zu gehen... Nicht, daß wir uns damit blamieren !

UPDATE:
Es WERDEN Daten an die von Follinus genannte IP Adresse gesendet. Ich hab´s gerade nachvollzogen.
Und die IP Adresse wird im Netz mit Malware in Verbindung gebracht. Auch Richtig !

Mein WHOIS Lookup hat ergeben, daß hinter der IP Adresse ein französischer Webhoster namens OVH Systems steckt.
Es ist möglich, daß XP dort seinen Webspace hat, und deren Infrastruktur nutzt.
Komisch ist, daß die Daten über den Standard HTTP Port 80 übertragen werden, also über die
Stinknormale "Homepage" Schnittstelle..... Ich weiß auch nicht, wie die Daten dann weiter verteilt
werden zu XP....

Ich glaube persönlich nicht, daß XP absichtlich irgendwelche Spy-Aktionen macht, aber das hinterlässt definitiv einen sehr komischen Beigeschmack.Wir werden sehen....

Gruß,

Manuel

@ Manuel

Ich habe MRT.exe über den Rechner laufen lassen, ohne Ergebis.
Danach habe ich mir Combofix aus dem Netz gezogen und drüber laufen lassen.

Löschungen durch Combofix:
c:\program files (x86)\Windows Live\Messenger\msacm32.dll
c:\windows\SysWow64\Inetde.dll
J:\Autorun.inf


Live Messenger ist ja ein Windows Programm

Syswow schafft eine 32Bit Umgebung bei 64 Bit Betriebssystemen, Ich hoffe, dass ich jetzt keine Probleme mit einigen 32Bit basirenden Programmen bekomme.

Die Autorun.if wurde automatisch angelegt und ist eine externe Platte.

Beim Ausführen des Capture Tools hatte ich vor dem Deus Update sämtliche Prozesse wie Mozilla, Virenscanner und andere Programme, die im Windows7 Autostart beim Booten mitlaufen, beendet!

Wie gesagt, ich will keine wilden Behauptungen aufstellen, aber ich für meinen Teil möchte schon wissen,
was das Update Programm genau macht, wenn es auf das Internet zugreifen muss, um das Update installieren zu können.
Wenn man da als 1. auf eine Malware Seite stößt, wird man schon nachdenklich.

Wäre schön, wenn sich das vieleicht mal ein studierter Informatiker ansehen könnte, um hoffentlich meine Bedenken ausräumen zu können.

Da blamiere ich mich auch gerne mal, wenn ich nachher schlauer bin!

Ich hab mir den ganzen Traffic noch mal etwas genauer angesehen.
Daraus kann man ersehen, daß von dem XP-Tool erst die verfügbaren Versionen
abgefragt werden, und dann wird die entsprechend getroffene Auswahl herunter geladen und
auf den DEUS geschmissen.
Das einzige, was mich jetzt noch stutzig macht, ist die IP-Adresse....
Aber dafür gibt´s bestimmt auch eine plausible Erklärung.

Gruß,

Manuel

Hallo,

das das eigentliche Update nur aus dem installierten Programm auf dem eigenen PC besteht, kann nicht sein.
Grund: beim Wechsel von V3.0 auf V3.1 mußte das Programm ja nicht deinstalliert und neu installiert werden, trotzdem wurde die Software ja geändert...

Zum anderen Thema habe ich heute meinen Bruder gefragt (Netzwerkadministrator in einer FH mit hinreichenden PC-Kenntnissen) und diesen Beitrag gezeigt.

Er meint: keine Panik. Das Firmen anderweitig Webspace anmieten und dort derartige Dienste abwickeln ist nicht ungewöhnlich, gibt es öfter.

Das die Adresse black gelistet ist, ist auch in erster Instanz nicht ungewöhnlich. Derartige Server ziehen immer wieder Hacker an - es sind sicher auch noch andere Firmen/Dienste dort vertreten.
Wurde der Server in der Vergangenheit schon einmal gehackt, ist das mitunter schon Grund genug, daß sich selbiger auf dieser Liste wiederfindet.
War auf der Homepage meines Bruders auch schon mal passiert, und seine Seite hatte im Anschluß eine ähnliche Bewertung...

Aber mal das Update abwarten, was von offizieller Seite nachkommt.

Grüße,
Adebar

Zum Abschluss noch das finale Statement von Alain Loubet. Nicht Wort für Wort übersetzt, sondern ich gebe ihn in Deutsch wieder:

Er hat mit seinem Programmierer gesprochen, und der hat bestätigt, daß XP keine Kunden IP´s speichert. Niemals !
Die IP des Kunden wird aber benötigt und an den Server übertragen, damit der weiß wohin er die Antwort schicken muss.
Die Übertragung der IP Adresse beim Update ist also genau so normal, wie wenn man eine E-Mail verschickt oder sich bei einem Forum anmeldet.
Um von der IP-Adresse zu den Kundendaten zu kommen müsste XP per Gerichtsbeschluss den Provider fragen,
was sie natürlich nicht tun. Außerdem werden die IP´s eben NICHT GESPEICHERT !

Daß die übertragene Datenmenge nicht sehr groß ist liegt daran, daß die Programmdaten nicht sehr groß sind.
Sein Kommentar war "Wir haben keinen Pentium Prozessor im DEUS verbaut"

Bezüglich der Black gelisteten IP Adresse sagte er:
Die gehört einem riesigen Webhoster (OVH), wo zehntausende französische Firmen ihren Webspace haben.
XP ist eine davon. Nach seiner Recherche wurde eine Seite auf diesem Server namens "arnicalicious.com"
gehackt und verschleudert seither Spam und Malware.
Deshhalb die Blacklistung der allgemeinen IP Adresse dieses Servers.

Damit sollte eigentlich alles geklärt sein.

Gruß,

Manuel

Combofix...super...tolles Ding...nistet sich im Rechner ein, lässt sich nur noch über den abgesicherten Modus deinstallieren und blockt meine TOR-Verbindungen. Was soll ich dazu noch sagen...

Apple kaufen und mal wieder relaxen. Die reinste Hysterie hier...

Geschrieben von Zitat von Sondelix Apple kaufen und mal wieder relaxen

Genau ......
iMac 27 Zoll, Parallel Desktops drauf und gut