Win7 - Seltsame DNS Client Events - wie kann ich das auslösende Programm ermitteln?

[DEVO]

Hallo,

habe mir ein neues Notebook zugelegt mit Win 7 Prof.

In der Ereignisanzeige sehe ich seltsame Warnungen der Art:

Code:

Protokollname: System
Quelle:        Microsoft-Windows-DNS-Client
Datum:         12.10.2011 10:32:38
Ereignis-ID:   1014
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      NETZWERKDIENST
Computer:      XXXXXXXX
Beschreibung:
Zeitüberschreitung bei der Namensauflösung für den Namen www.westernunion.de, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
    <EventID>1014</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000000</Keywords>
    <TimeCreated SystemTime="2011-10-12T08:32:38.532900700Z" />
    <EventRecordID>13922</EventRecordID>
    <Correlation />
    <Execution ProcessID="1548" ThreadID="7076" />
    <Channel>System</Channel>
    <Computer>XXXXXXX</Computer>
    <Security UserID="S-1-5-20" />
  </System>
  <EventData>
    <Data Name="QueryName">www.westernunion.de</Data>
    <Data Name="AddressLength">16</Data>
    <Data Name="Address">02000035C0A8B2010000000000000000</Data>
  </EventData>
</Event>

Das "www.westernunion.de" darin macht mich etwas stutzig. Wer will da nach Hause telefonieren? Wie kann ich herausbekommen, welches Programm diese Meldung verursacht?

Einen Virus will ich mal ausschließen; ich habe mehrmals gründlich (von Boot-CD) gecheckt.

Ich habe an dieses Ereignis einen Meldungstrigger gekoppelt, der mir im laufenden Betrieb immer gleich ein Popup bringt, aber ich konnte es noch keiner Aktivität von mir zuordnen. Das Ereignis tritt einige Minuten nach dem Booten ein, vielleicht im Zusammenhang mit dem Start von Firefox.

Ich habe mal netstat mitlaufen lassen, werde aber nicht ganz schlau draus.

Hat jemand einen Tipp für mich?

Vielen Dank im Voraus!

DEVO

[Necron]

Hi,

schau dir deine Verbindungen nochmal mit TCPView an, dort wird dir dann auch der dazugehörige Prozess angezeigt.

-> TCPView for Windows

[DEVO]

Vielen Dank, TCPView ist ein cooles Tool. Hab es mitlaufen lassen. Die in der Ereignisanzeige angegebene ProcessID gehört zu svchost.exe, aber das bringt mich nicht wirklich weiter. Zum Zeitpunkt des Auftretens des Ereignisses taucht kein Prozess mit der Remote-Adresse "www.westernunion.de" auf. Es tut sich etliches anderes, aber zu schnell, als dass ich da den Überblick behalten könnte. Immerhin konnte ich inzwischen durch Ausprobieren feststellen, dass das Ereignis immer einige Sekunden nach dem Start von Firefox (7.0.1) auftritt, aber auch nur, wenn ich mich mindestens ab- und wieder angemeldet habe, nicht nach Firefox-Neustart allein. Hmmm... Wie könnte ich weitermachen?

[zahni]

Ich würde mal Netmon probieren:

Download Details - Microsoft Download Center - Microsoft Network Monitor 3.4

[jose]

Weiterhin empfehle ich den Process Monitor von Sysinternals.

[DEVO]

Vielen Dank für die Software-Tipps! Habe den MS Network Monitor installiert und mitlaufen lassen und konnte die Ursache jetzt eingrenzen:

Ich habe im Firefox eine eigene Startseite mit vielen häufig genutzten Links eingerichtet. Offenbar generiert FF beim Laden dieser Seite für jeden dieser Links DNS-Abfragen. Aus irgendeinem Grund scheitert diese Abfrage beim westernunion-Link. (Warum, muss ich noch herausfinden).

Jetzt lag es nahe, den Prefetch-Automatismus von FF abzuschalten, um die DNS-Abfragen zu verhindern (about:config -> network.prefetch-next;false) und auf diese Weise nochmal zu verifizieren, dass hier die Ursache liegt. Bringt aber leider nichts, die DNS-Abfragen werden trotzdem generiert.

Na, ich forsche weiter...

[DEVO]

OK, ich war schon dicht dran: Das DNS-Prefetching in FF ist der Verursacher der DNS-Lookup-Anfragen. Um das zu deaktivieren, muss man in about:config manuell den Eintrag "network.dns.disablePrefetch" anlegen und auf true setzen.

Damit ist das Symptom weg und ich bin entspannter. Warum allerdings ausgerechnet der WU-Link nicht aufgelöst werden kann (im Gegensatz zu allen anderen Links auf meiner Startseite), bleibt mir nach wie vor rätselhaft.

[Necron]

Danke für die Rückmeldung! Auf jeden Fall eine interessante Angelegenheit.

[zahni]

In der letzten (?) c't stand was zu div. prefetch-Varianten, die vor allen Dingen vom FF und von Chrome verwendet werden.