|
Log-Analyse und Auswertung: Trojaner, susp.exe + gmt.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.07.2004, 23:17 | #1 |
| Trojaner, susp.exe + gmt.exe Ich habe einen hijack gemacht wie mir hier empfohlen wurde: http://www.trojaner-board.de/showthr...2&page=1&pp=10 Danach hab ich gleich die automatische Auswertung gemacht, dabei kamen da mehrere Meldungen, aber rot waren nur 2 gekennzeichnet: 1. O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe 2. O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe susp.exe könnte wohl adware/spyware sein, bin mir aber nicht ganz sicher, drum frag ich lieber, gmt.exe dachte ich wäre System, bin mir aber auch nicht sicher... Orange/Gelb waren diese Einträge: 1. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wfix.com/searchbar.html 2. C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe (ist glaub ich ein hijacker/adware oder? Wie zu löschen?) 3. O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll 4. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) 5. O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice. 6. O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co Wäre dankbar für Tipps, a) was wirklich gefährlich ist und was es sein könnte, und b) wie ich es loswerde falls es kompliziert ist. |
18.07.2004, 23:18 | #2 |
| Trojaner, susp.exe + gmt.exe Hier der volle Hijack:
__________________Logfile of HijackThis v1.98.0 Scan saved at 23:49:33, on 18.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\Programme\Winamp3\winampa.exe C:\Programme\QuickTime\qttask.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\eMuleTest\emule.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis.exe |
18.07.2004, 23:32 | #3 |
| Trojaner, susp.exe + gmt.exe http://www.2-spyware.com/file-susp-exe.html
__________________Soll ich mir das runterladen? Ist das unbedenkliche und funktionstüchtige sowie freie Ware? |
18.07.2004, 23:42 | #4 | |||
Moderator, a.D. | Trojaner, susp.exe + gmt.exeZitat:
Zitat:
Die anderen gelben Einträge können weg. Also in HJT die Einträge anhaken und dann "Fix checked" anklicken. Zitat:
Gruß Yopie |
18.07.2004, 23:50 | #5 | |
| Trojaner, susp.exe + gmt.exeZitat:
Ansonsten Danke für die Infos! Vielleicht kann sonst noch jemand etwas zu den anderen (orangen) Prozessen sagen? Geändert von Albino II. (19.07.2004 um 00:03 Uhr) |
19.07.2004, 00:10 | #6 |
| Trojaner, susp.exe + gmt.exe Besonders O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) und auch O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice. O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co |
19.07.2004, 00:24 | #7 | |||
Moderator, a.D. | Trojaner, susp.exe + gmt.exeZitat:
Zitat:
Zitat:
Zu den 016-Einträgen kann ich nichts sagen. Bist Du sicher, dass da am Ende keine Zeichen fehlen? Im HJT-Log hast Du leider nur die Running Processes gepostet. Danke übrigens für den Querverweis im anderen Thread! Gruß Yopie |
19.07.2004, 02:10 | #8 | |
| Trojaner, susp.exe + gmt.exeZitat:
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/...rxsigned35.cab Zu dem Hp...: In Prefetch ist diese Datei: HPZTSB01.EXE-0178F9AF.pf Und die eigentlich Datei ist in C:\WINDOWS\system32\spool\drivers\w32x86\3 Wird als Hp Datei definiert und zwar Version 2.19.0.0, Copyright (c) Hewlett-Packard Company 1999-2000 Könnte also durchaus ein Standarddruckertreiber sein... |
19.07.2004, 12:29 | #9 | ||
Moderator, a.D. | Trojaner, susp.exe + gmt.exeZitat:
Zitat:
Gruß Yopie |
19.07.2004, 13:32 | #10 | |
| Trojaner, susp.exe + gmt.exeZitat:
MfG |
Themen zu Trojaner, susp.exe + gmt.exe |
auswertung, automatische, bho, button, c:\windows, dateien, drivers, explorer, file, gefährlich, gen, hijack, hijacker/adware, internet, internet explorer, löschen, löschen?, mehrere, meldungen, microsoft, o2 - bho, programme, service, software, system, system32, tipps, trojaner, träge, windows |