Jump to content

Seltsame DNS Client Events - wie kann ich das auslösende Programm ermitteln?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

habe mir ein neues Notebook zugelegt mit Win 7 Prof.

 

In der Ereignisanzeige sehe ich seltsame Warnungen der Art:

 

Protokollname: System
Quelle:        Microsoft-Windows-DNS-Client
Datum:         12.10.2011 10:32:38
Ereignis-ID:   1014
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      NETZWERKDIENST
Computer:      XXXXXXXX
Beschreibung:
Zeitüberschreitung bei der Namensauflösung für den Namen www.westernunion.de, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
   <EventID>1014</EventID>
   <Version>0</Version>
   <Level>3</Level>
   <Task>0</Task>
   <Opcode>0</Opcode>
   <Keywords>0x4000000000000000</Keywords>
   <TimeCreated SystemTime="2011-10-12T08:32:38.532900700Z" />
   <EventRecordID>13922</EventRecordID>
   <Correlation />
   <Execution ProcessID="1548" ThreadID="7076" />
   <Channel>System</Channel>
   <Computer>XXXXXXX</Computer>
   <Security UserID="S-1-5-20" />
 </System>
 <EventData>
   <Data Name="QueryName">www.westernunion.de</Data>
   <Data Name="AddressLength">16</Data>
   <Data Name="Address">02000035C0A8B2010000000000000000</Data>
 </EventData>
</Event>

 

Das "www.westernunion.de" darin macht mich etwas stutzig. Wer will da nach Hause telefonieren? Wie kann ich herausbekommen, welches Programm diese Meldung verursacht?

 

Einen Virus will ich mal ausschließen; ich habe mehrmals gründlich (von Boot-CD) gecheckt.

 

Ich habe an dieses Ereignis einen Meldungstrigger gekoppelt, der mir im laufenden Betrieb immer gleich ein Popup bringt, aber ich konnte es noch keiner Aktivität von mir zuordnen. Das Ereignis tritt einige Minuten nach dem Booten ein, vielleicht im Zusammenhang mit dem Start von Firefox.

 

Ich habe mal netstat mitlaufen lassen, werde aber nicht ganz schlau draus.

 

Hat jemand einen Tipp für mich?

 

Vielen Dank im Voraus!

 

DEVO

Link zu diesem Kommentar

Vielen Dank, TCPView ist ein cooles Tool. Hab es mitlaufen lassen. Die in der Ereignisanzeige angegebene ProcessID gehört zu svchost.exe, aber das bringt mich nicht wirklich weiter. Zum Zeitpunkt des Auftretens des Ereignisses taucht kein Prozess mit der Remote-Adresse "www.westernunion.de" auf. Es tut sich etliches anderes, aber zu schnell, als dass ich da den Überblick behalten könnte. Immerhin konnte ich inzwischen durch Ausprobieren feststellen, dass das Ereignis immer einige Sekunden nach dem Start von Firefox (7.0.1) auftritt, aber auch nur, wenn ich mich mindestens ab- und wieder angemeldet habe, nicht nach Firefox-Neustart allein. Hmmm... Wie könnte ich weitermachen?

Link zu diesem Kommentar

Vielen Dank für die Software-Tipps! Habe den MS Network Monitor installiert und mitlaufen lassen und konnte die Ursache jetzt eingrenzen:

 

Ich habe im Firefox eine eigene Startseite mit vielen häufig genutzten Links eingerichtet. Offenbar generiert FF beim Laden dieser Seite für jeden dieser Links DNS-Abfragen. Aus irgendeinem Grund scheitert diese Abfrage beim westernunion-Link. (Warum, muss ich noch herausfinden).

 

Jetzt lag es nahe, den Prefetch-Automatismus von FF abzuschalten, um die DNS-Abfragen zu verhindern (about:config -> network.prefetch-next;false) und auf diese Weise nochmal zu verifizieren, dass hier die Ursache liegt. Bringt aber leider nichts, die DNS-Abfragen werden trotzdem generiert.

 

Na, ich forsche weiter...

Link zu diesem Kommentar

OK, ich war schon dicht dran: Das DNS-Prefetching in FF ist der Verursacher der DNS-Lookup-Anfragen. Um das zu deaktivieren, muss man in about:config manuell den Eintrag "network.dns.disablePrefetch" anlegen und auf true setzen.

 

Damit ist das Symptom weg und ich bin entspannter. Warum allerdings ausgerechnet der WU-Link nicht aufgelöst werden kann (im Gegensatz zu allen anderen Links auf meiner Startseite), bleibt mir nach wie vor rätselhaft.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...