Zum Inhalt wechseln


Foto

Seltsame DNS Client Events - wie kann ich das auslösende Programm ermitteln?

Windows 7

  • Bitte melde dich an um zu Antworten
8 Antworten in diesem Thema

#1 DEVO

DEVO

    Newbie

  • 4 Beiträge

 

Geschrieben 12. Oktober 2011 - 10:09

Hallo,

habe mir ein neues Notebook zugelegt mit Win 7 Prof.

In der Ereignisanzeige sehe ich seltsame Warnungen der Art:

Protokollname: System
Quelle:        Microsoft-Windows-DNS-Client
Datum:         12.10.2011 10:32:38
Ereignis-ID:   1014
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      NETZWERKDIENST
Computer:      XXXXXXXX
Beschreibung:
Zeitüberschreitung bei der Namensauflösung für den Namen www.westernunion.de, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
    <EventID>1014</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000000</Keywords>
    <TimeCreated SystemTime="2011-10-12T08:32:38.532900700Z" />
    <EventRecordID>13922</EventRecordID>
    <Correlation />
    <Execution ProcessID="1548" ThreadID="7076" />
    <Channel>System</Channel>
    <Computer>XXXXXXX</Computer>
    <Security UserID="S-1-5-20" />
  </System>
  <EventData>
    <Data Name="QueryName">www.westernunion.de</Data>
    <Data Name="AddressLength">16</Data>
    <Data Name="Address">02000035C0A8B2010000000000000000</Data>
  </EventData>
</Event>

Das "www.westernunion.de" darin macht mich etwas stutzig. Wer will da nach Hause telefonieren? Wie kann ich herausbekommen, welches Programm diese Meldung verursacht?

Einen Virus will ich mal ausschließen; ich habe mehrmals gründlich (von Boot-CD) gecheckt.

Ich habe an dieses Ereignis einen Meldungstrigger gekoppelt, der mir im laufenden Betrieb immer gleich ein Popup bringt, aber ich konnte es noch keiner Aktivität von mir zuordnen. Das Ereignis tritt einige Minuten nach dem Booten ein, vielleicht im Zusammenhang mit dem Start von Firefox.

Ich habe mal netstat mitlaufen lassen, werde aber nicht ganz schlau draus.

Hat jemand einen Tipp für mich?

Vielen Dank im Voraus!

DEVO

#2 Necron

Necron

    Moderator

  • 11.556 Beiträge

 

Geschrieben 12. Oktober 2011 - 10:16

Hi,

schau dir deine Verbindungen nochmal mit TCPView an, dort wird dir dann auch der dazugehörige Prozess angezeigt.

-> TCPView for Windows

Cheers,
Daniel

-Daniel's Tech Blog-


#3 DEVO

DEVO

    Newbie

  • 4 Beiträge

 

Geschrieben 12. Oktober 2011 - 15:40

Vielen Dank, TCPView ist ein cooles Tool. Hab es mitlaufen lassen. Die in der Ereignisanzeige angegebene ProcessID gehört zu svchost.exe, aber das bringt mich nicht wirklich weiter. Zum Zeitpunkt des Auftretens des Ereignisses taucht kein Prozess mit der Remote-Adresse "www.westernunion.de" auf. Es tut sich etliches anderes, aber zu schnell, als dass ich da den Überblick behalten könnte. Immerhin konnte ich inzwischen durch Ausprobieren feststellen, dass das Ereignis immer einige Sekunden nach dem Start von Firefox (7.0.1) auftritt, aber auch nur, wenn ich mich mindestens ab- und wieder angemeldet habe, nicht nach Firefox-Neustart allein. Hmmm... Wie könnte ich weitermachen?

#4 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 12. Oktober 2011 - 17:28

Ich würde mal Netmon probieren:

Download Details - Microsoft Download Center - Microsoft Network Monitor 3.4

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 jose

jose

    Member

  • 179 Beiträge

 

Geschrieben 12. Oktober 2011 - 17:53

Weiterhin empfehle ich den Process Monitor von Sysinternals.

#6 DEVO

DEVO

    Newbie

  • 4 Beiträge

 

Geschrieben 13. Oktober 2011 - 07:57

Vielen Dank für die Software-Tipps! Habe den MS Network Monitor installiert und mitlaufen lassen und konnte die Ursache jetzt eingrenzen:

Ich habe im Firefox eine eigene Startseite mit vielen häufig genutzten Links eingerichtet. Offenbar generiert FF beim Laden dieser Seite für jeden dieser Links DNS-Abfragen. Aus irgendeinem Grund scheitert diese Abfrage beim westernunion-Link. (Warum, muss ich noch herausfinden).

Jetzt lag es nahe, den Prefetch-Automatismus von FF abzuschalten, um die DNS-Abfragen zu verhindern (about:config -> network.prefetch-next;false) und auf diese Weise nochmal zu verifizieren, dass hier die Ursache liegt. Bringt aber leider nichts, die DNS-Abfragen werden trotzdem generiert.

Na, ich forsche weiter...

#7 DEVO

DEVO

    Newbie

  • 4 Beiträge

 

Geschrieben 13. Oktober 2011 - 09:17

OK, ich war schon dicht dran: Das DNS-Prefetching in FF ist der Verursacher der DNS-Lookup-Anfragen. Um das zu deaktivieren, muss man in about:config manuell den Eintrag "network.dns.disablePrefetch" anlegen und auf true setzen.

Damit ist das Symptom weg und ich bin entspannter. Warum allerdings ausgerechnet der WU-Link nicht aufgelöst werden kann (im Gegensatz zu allen anderen Links auf meiner Startseite), bleibt mir nach wie vor rätselhaft.

#8 Necron

Necron

    Moderator

  • 11.556 Beiträge

 

Geschrieben 13. Oktober 2011 - 09:35

Danke für die Rückmeldung! :) Auf jeden Fall eine interessante Angelegenheit.

Cheers,
Daniel

-Daniel's Tech Blog-


#9 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 13. Oktober 2011 - 09:43

In der letzten (?) c't stand was zu div. prefetch-Varianten, die vor allen Dingen vom FF und von Chrome verwendet werden.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!