Breitbandverbindung namens ENTER trennt Verbindung

#1 Hi, ich bin neu hier, aber das ist längst nicht so wichtig wie mein Problem, was mich seit einigen Tagen nun schon plagt. Ich hab DSL 6000, wähl mich Standardäßig durch des WAN Miniport dingens rein, nutze T-Online als Anbieter und hab seit kurzem Fastpath, was aber nichts mit meinem problem zutun haben dürfte. Also was mich kümmert: seit einiger Zeit erstellt sich aus dem NIX eine neue Breitband Verbindung namens "ENTER" und zeitgleich wird meine aktuelle Verbindung getrennt. Das ist sehr nervig, vorallem beim Multiplayer zocken. Aber auch durch normales "arbeiten" mit dem I-Net. Meine Verbindung wält sich dann auch nicht mehr selbst erneut rein, sie bleibt tot. Das tolle ist, es ist nicht feststellbar wann sich diese Verbindung immer neu erstellt und die Verbindung trennt. Kann 20 Sekunden dauern, aber auch 8 Stunden. Nen Grund konnte ich noch nicht ausmachen.
Ich hab schon versucht die ENTER-Verbindung einfach drin zu lassen, weil sie die I-Net Verbindung ja zeitgleich beim Erstellen von sich kapt, aber das bringt nix. Auch eine eigene Vebrindung namens ENTER zu erstellen brahcte nix, da sie einfach überschrieben wurde.
Ich hoffe wirklich ihr könnt mir helfen.
Hab WinXP SP2, IE aktuell...ansonsten wüsst ich nicht was noch relevant wäre.

#2 Vorab: Bei DSL gibt es keine Einwahl!

Wenn die Verbindung schon nach 20 Sekunden getrennt wird, war dann der Rechner schon stundenlang an ?
Virenscanner mit aktueller Signatur läuft?

Das DSL-Modem ist eine eingebaute Fritz! DSL Karte ?
Oder ist ein Router vorhanden ?
Keine zusätzliche Verbindung über ein analog Modem oder per ISDN ?

Klaus

#3 Kubus-Sc7

HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
HijackTis Anleitung

Lade/entpacke HijackThis in einen Ordner
*None of the above just start the program
*Save
*Savelog
*es öffnet sich der Editor

*nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Danke, das Problem hat sich schon selbst erledigt. ^^"
Grund war W32.Jeefo, den ich bei über 100 Datein fand und erfolgreich ausgelöscht habe. Schmutziges kleines Vieh. -.-

#5 Hallo, auch ich habe das Problem, daß sich eine Internetverbindung mit dem Namen " ENTER " ganz unregelmäßig von allein erstellt, die Standardverbindung unterbricht und versucht sich einzuwählen.

Ich beschreib´s mal kurz: Als Einwahlnr. steht immer nur die " 5 ". Ich versuche dann die Verbindung über die " Systemsteuerung => Internetoptionen " zu löschen, was möglich ist solange die Standardverbindung besteht. Ist aber die Standardverbindung unterbrochen worden und " ENTER " aktiv kann sie nicht mehr gelöscht werden und die Einwahlversuche können nicht mehr unterbrochen werden. Boote ich den Rechner neu, kann ich wieder die Standardverbindung herstellen und z.T. auch wieder länger ungestört surfen, bis dann wieder alles von vorn losgeht.

Ich hab mein System bereits mit AdAware, XP Antispy und SpyBot SD abgescannt und die gemeldeten Sachen ( was immer es auch war ) entfernt.

Falls es wichtig ist: Ich bin noch immer mit einem 56k Modem unterwegs und noch schlimmer, ich hab von den vielen Sachen, die im Rechner ablaufen keine Ahnung.

Nachdem ich jetzt über Google auf dieses Forum gestossen bin hab ich mit dem " Hijack This - v1.99.1 " ( Danke an Sabina ) das System abgescannt. Das Ergebnis sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:00:55, on 11.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\LxrJD31s.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programs\DIABASS4\tools\reminder.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sla.exe
D:\Sicherungsdateien vor Neuinstallation 11-2004\Programs\PrintKey\Printkey_d.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Mia olle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&ssPageName=h%3Ah%3Amebay%3ADE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [DIABASS-Reminder] C:\Programs\DIABASS4\tools\reminder.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O4 - Startup: Printkey.lnk = D:\Sicherungsdateien vor Neuinstallation 11-2004\Programs\PrintKey\Printkey_d.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136714668781
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E0DF5F4-876B-48DE-8D4F-B724FA3F141A}: NameServer = 62.27.27.62 195.247.247.195
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Ich hoffe ich hab da jetzt nix öffentlich gemacht, was nicht öffentlich sein soll und bete, daß das Thema noch so interessant ist, daß ich noch Antworten bekomme. Jedenfalls Danke im Vorraus.

#6 rrner

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/

C:\WINDOWS\sla.exe

Zitat

jotti.org hat die datei als backdoor-trojaner erkannt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina, danke für die rasche Hilfe. Ich hoffe ich hab alles richtig gemacht. Hier das Ergebnis:

This is a report processed by VirusTotal on 02/12/2006 at 08:31:36 (CET) after scanning the file "sla.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 02.11.2006 TR/Dldr.Agent.ZD
Avast 4.6.695.0 02.10.2006 Win32:Trojano-3445
AVG 718 02.10.2006 Downloader.Agent.AYE
Avira 6.33.0.81 02.11.2006 TR/Dldr.Agent.ZD
BitDefender 7.2 02.12.2006 Trojan.Downloader.Small.CCA
CAT-QuickHeal 8.00 02.11.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 02.09.2006 Trojan.Downloader.Agent-217
DrWeb 4.33 02.11.2006 Trojan.DownLoader.5284
eTrust-InoculateIT 23.71.74 02.11.2006 Win32/Tactslay.U!Trojan
eTrust-Vet 12.4.2074 02.10.2006 Win32/Tactslay.U
Ewido 3.5 02.11.2006 Downloader.Small.cca
Fortinet 2.54.0.0 02.12.2006 W32/Small.CCA-dldr
F-Prot 3.16c 02.09.2006 destructive program named W32/Trojan.ATK
Ikarus 0.2.59.0 02.10.2006 Trojan-Downloader.Win32.Agent.ZD
Kaspersky 4.0.2.24 02.12.2006 Trojan-Downloader.Win32.Small.cca
McAfee 4694 02.10.2006 Generic Downloader.k
NOD32v2 1.1404 02.11.2006 Win32/TrojanDownloader.Agent.KW
Norman 5.70.10 02.10.2006 W32/DLoader.NNN
Panda 9.0.0.4 02.11.2006 Trj/Downloader.FXW
Sophos 4.02.0 02.11.2006 Troj/Small-FA
Symantec 8.0 02.12.2006 no virus found
TheHacker 5.9.4.094 02.10.2006 no virus found
UNA 1.83 02.09.2006 TrojanDownloader.Win32.Agent
VBA32 3.10.5 02.11.2006 Trojan-Downloader.Win32.Agent.zd


Und hier noch das Ergebnis von jotti.org:
Dienst
Auslastung: 0% 100%

Datei: sla.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Agent.ZD gefunden
ArcaVir Trojan.Downloader.Agent.Zd gefunden
Avast Win32:Trojano-3445 gefunden
AVG Antivirus Downloader.Agent.AYE gefunden
BitDefender Trojan.Downloader.Small.CCA gefunden
ClamAV Trojan.Downloader.Agent-217 gefunden
Dr.Web Trojan.DownLoader.5284 gefunden
F-Prot Antivirus W32/Trojan.ATK gefunden
Fortinet W32/Small.CCA-dldr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.cca gefunden
NOD32 Win32/TrojanDownloader.Agent.KW gefunden
Norman Virus Control W32/DLoader.NNN gefunden
UNA TrojanDownloader.Win32.Agent gefunden
VBA32 Trojan-Downloader.Win32.Agent.zd gefunden


Grüße

#8 rrner

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe

pc neustarten

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi, ich hoffe ich hab alles richtig gemacht. Hier die Ergebnisse:
Grüße, rrner
==========================================================

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS\system32

11.02.2006 14:41 167.936 LxrJD31c.exe
11.02.2006 14:41 61.440 LxrJD20Sat.dll
11.02.2006 14:41 23.190 JDSecure30.hlp
11.02.2006 14:41 146.432 LxrJD31p.exe
11.02.2006 14:41 249.856 LxrJD31.dll
11.02.2006 14:41 53.248 LxrJD31s.exe
06.02.2006 16:26 43.520 CmdLineExt03.dll
26.01.2006 16:54 1.158 wpa.dbl
20.01.2006 14:36 3.580 d3d9caps.dat
25.12.2005 10:53 669.784 FNTCACHE.DAT
30.10.2005 09:24 376.016 perfh009.dat
30.10.2005 09:24 386.338 perfh007.dat
30.10.2005 09:24 51.814 perfc009.dat
30.10.2005 09:24 62.578 perfc007.dat
30.10.2005 09:24 886.816 PerfStringBackup.INI

=========================================================

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\DOKUME~1\MIAOLL~1\LOKALE~1\Temp

12.02.2006 22:11 16.384 ~DF99A7.tmp
12.02.2006 22:04 16.384 ~DFE995.tmp
12.02.2006 22:02 16.384 ~DF4D3B.tmp
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 25.809.080.320 Bytes frei

=========================================================

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS

12.02.2006 22:12 8.980 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
12.02.2006 22:11 54.156 QTFont.qfn
12.02.2006 22:11 0 0.log
12.02.2006 22:11 2.048 bootstat.dat
12.02.2006 22:10 32.630 SchedLgU.Txt
12.02.2006 22:09 1.409 QTFont.for
12.02.2006 22:07 7.776 __p9hEPQkbj.exe
11.02.2006 14:25 2.288.800 setupapi.log
11.02.2006 14:19 0 JDSecure31.INI
11.02.2006 09:40 235.215 setupact.log
10.02.2006 18:59 39.839 sla.exe
04.02.2006 16:21 1.614 MKDEMSG.LOG
04.02.2006 16:20 3.072 MKDEWE.TRN
02.02.2006 14:37 125 Pippi1_4.ini
01.02.2006 13:29 48 CDCOPS.INI
13.01.2006 17:24 50 wiaservc.log
13.01.2006 17:24 214 wiadebug.log
08.01.2006 11:13 261.442 WindowsUpdate.log
25.12.2005 12:27 926 Disney.ini
14.12.2005 17:37 248 bienemaja.ini
14.12.2005 10:50 194.097 wmsetup.log
14.12.2005 10:50 316.640 WMSysPr9.prx
04.12.2005 12:24 154.118 DirectX.log
04.12.2005 12:21 612 KB825116Uninst.log
26.11.2005 16:00 0 COOLSYS.INI
26.11.2005 16:00 5.856 COOL.INI
26.11.2005 16:00 10.705 coolcust.ini

=========================================================

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\

12.02.2006 22:29 0 sys.txt
12.02.2006 22:29 10.127 system.txt
12.02.2006 22:28 384 systemtemp.txt
12.02.2006 22:28 99.501 system32.txt
12.02.2006 22:11 267.964.416 hiberfil.sys
12.02.2006 22:11 402.653.184 pagefile.sys
14.12.2005 17:16 166 INSTALL.LOG

#10 welches Proggie hast du am 11.02. geladen ????

Lasse ueberpruefen:
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\system32\LxrJD31c.exe
C:\WINDOWS\system32\LxrJD20Sat.dll
C:\WINDOWS\system32\LxrJD31s.exe

loeschen:
C:\WINDOWS\sla.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Was ist ein "Proogie"? Geladen habe ich nix, jedenfalls nicht bewusst. Ich hab´ die angegebenen Dateien auf der angegebenen Adresse checken lassen => " No virus found ".

Die C:\WINDOWS\sla.exe hab´ich gelöscht.

Danke und Grüße

#12 Proggie ist ein Programm
ich will wissen, wozu das gehoert...was du also geladen hast.... JDSecure30 ???

Zitat

Verzeichnis von C:\WINDOWS\system32

11.02.2006 14:41 167.936 LxrJD31c.exe
11.02.2006 14:41 61.440 LxrJD20Sat.dll
11.02.2006 14:41 23.190 JDSecure30.hlp
11.02.2006 14:41 146.432 LxrJD31p.exe
11.02.2006 14:41 249.856 LxrJD31.dll
11.02.2006 14:41 53.248 LxrJD31s.exe

__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi Sabina, ich hab leider nicht die geringste Ahnung. Aus´m I-Net lad´ ich mir i.d.Regel ausser irgendwelchen Updates für bereits vorhandene vertrauenswürdige Programme auch nix runter.

Wozu soll dieses "Proogie" sein? Ist da irgendwas auffällig?

Grüße, RRner

#14

Zitat

Der Prozess gehört zur Software unbekannt der Firma unbekannt.

It is generated in c:\windows\system32 when JDSecure31.exe is executed. JDSecure31.exe is a software come with JumpDrive Secure from Lexar.

supports encrypted partitions on lexar usb drive

hast du einen USB-Stick [Lexar]???
--------------------------------------------------------------------------

mache bitte einen Onlinescan mit kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Jetzt versteh´ ichs. Ich hab mir am Samstag einen USB-Stick von LEXAR gekauft. Daher die Dateien. Den Onlinescan werd´ ich gleich machen und den Report posten.

Gruß, RRner