Prüfe, wer sich online verbindet
Welche Programme tauschen Daten mit dem Internet aus? In Windows XP lässt sich das schnell herausfinden.
Von Matthias Schüssler
Wenn am Modem die Lämpchen fröhlich blinken, findet ein reger Datenaustausch mit dem Internet statt – weil der Anwender quer durchs Netz surft oder neue E-Mails empfängt oder per Skype telefoniert.
Mitunter kommt es aber vor, dass die Modemanzeige oder das Windows-Verbindungssymbol Hochbetrieb signalisiert, obwohl weder Browser oder E-Mail-Programm noch irgendeine andere Internetanwendung aktiv ist. Auch wenn unvermittelt das DFÜ-Fenster erscheint und sich der Computer ins Internet einwählen will, möchten sicherheitsbewusste (und neugierige) Anwender wissen, welche Aktivitäten im Gang sind. Unerklärliche Datenkommunikation muss nicht bedeuten, dass ein Virus oder ein Trojaner aktiv ist – es kann genauso gut sein, dass das Antivirusprogramm seine Datenbank aktualisiert oder Windows-Updates geladen werden – aber als Benutzer möchte man im Bild sein über die kommunikativen Aktivitäten seines PC.
Mit dem Befehl «netstat» (kurz für Netzwerk-Status) veranlasst man Windows XP dazu, die aktiven Verbindungen anzuzeigen. Dazu klickt man im Startmenü auf «Ausführen» und gibt «cmd» ein: Nun erscheint die Eingabeaufforderung, wo der Befehl «netstat -o» einzugeben ist.
Detektivarbeit mit dem Taskmanager
In dieser Liste führt Windows nur die Verbindungen auf, verrät jedoch nicht, welches Programm sie unterhält. Doch mit Hilfe der rechten Spalte und etwas detektivischem Spürsinn lässt sich der Urheber jeder Onlineaktivität in Erfahrung bringen. Die Spalte rechts zeigt die «PID», die so genannte Prozess-ID. Welches Programm hinter dieser Nummer steckt, lässt sich mit dem Taskmanager in Erfahrung bringen. Er erscheint, wenn man die Tasten «Ctrl» + «Alt» + «Del» gleichzeitig drückt, und er zeigt im Reiter «Prozesse» an, mit welchen Aktivitäten sich das Betriebssystem beschäftigt. Betätigt den Befehl «Ansicht > Spaltenauswahl» und klickt den Menüeintrag «PID» an. Nun ist in der Liste der Tasks auch die PID ersichtlich. Nun lässt sich eine Querverbindung zu der Netstat-Anzeige ziehen.
Der Hacken an der Sache: Nicht bei allen Prozessen lässt sich eindeutig sagen, welchem Zweck sie dienen. Bei manchen kryptischen Prozessnamen bringt eine Google-Suche Licht ins Dunkel. Per Internetsuche erfährt man, dass hinter «ccproxy.exe» die Firewall von Norton Internet Security steht und der Prozess harmlos ist. Für die grösste Intransparenz ist aber das Betriebssystem selbst verantwortlich: Windows startet eine Reihe von Diensten, die als «Svchost» in Erscheinung treten. Diese sind meist harmlos. Doch wenn grosser Netzverkehr stattfindet und einzig Svchost-Prozesse Verbindungen unterhalten, ist eine Überprüfung des Computers auf Viren und Spyware angebracht.
Im Taskmanager kann ein unerwünschter Prozess schnell beendet werden: Dazu markiert man ihn mit der Maus und klickt auf die Schaltfläche «Prozess beenden» – wodurch Datenverkehr unvermittelt ein Ende hat.
Keine willkürlichen Einwahlversuche
Internetbenützer, die keinen permanenten ADSL- oder Hispeed-Onlinezugang haben, können per Netstat und Taskmanager auch herausfinden, wenn sich der Computer nach dem Start oder sporadisch ins Internet einwählen will. Wem das Prozedere zu kompliziert ist, verwendet stattdessen TCP-View. Dieses Gratisprogramm läuft auch unter Windows 2000, ermittelt zu jeder Verbindung automatisch den Prozess und zeigt das Icon des zugehörigen Programms an. TCPView zeigt zu jedem Programm das Icon, und das ist aufschlussreich: Anhand des gelben Icons ist zum Beispiel die Firewall von Symantec, Norton Internet Security, leicht zu identifizieren.
www.sysinternals.com/Utilities/TcpView.html
SCREEN TA
Verkehrskontrolle auf der Datenautobahn per Netstat-Befehl.
SCREEN TA
Taskmanager zeigt die aktiven Programme.