Ich habe einen hijack gemacht wie mir hier empfohlen wurde:
http://www.trojaner-board.de/showthr...2&page=1&pp=10

Danach hab ich gleich die automatische Auswertung gemacht, dabei kamen da mehrere Meldungen, aber rot waren nur 2 gekennzeichnet:

1. O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
2. O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

susp.exe könnte wohl adware/spyware sein, bin mir aber nicht ganz sicher, drum frag ich lieber, gmt.exe dachte ich wäre System, bin mir aber auch nicht sicher...

Orange/Gelb waren diese Einträge:
1. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wfix.com/searchbar.html
2. C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
(ist glaub ich ein hijacker/adware oder? Wie zu löschen?)
3. O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll
4. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
5. O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.
6. O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co

Wäre dankbar für Tipps, a) was wirklich gefährlich ist und was es sein könnte, und b) wie ich es loswerde falls es kompliziert ist.

Hier der volle Hijack:

Logfile of HijackThis v1.98.0
Scan saved at 23:49:33, on 18.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\eMuleTest\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

http://www.2-spyware.com/file-susp-exe.html

Soll ich mir das runterladen? Ist das unbedenkliche und funktionstüchtige sowie freie Ware?

Zitat:

1. O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
2. O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Beides löschen. Das zweite gehört zu Gator! (Google nach den Dateinamen bringt hier Klarheit!)

Zitat:

2. C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 1.exe
(ist glaub ich ein hijacker/adware oder? Wie zu löschen?)

Sieht für mich nach einem HP-Druckertreiber aus. Hast Du eine HP-Drucker? Was sagt "rechte Maustaste-Eigenschaften" zur Datei? Wenn der Eintrag ok ist, melde ihn doch bitte über die Kontakt-Funktion der Auswertungsseite als "gut", Du hilfst damit anderen.

Die anderen gelben Einträge können weg. Also in HJT die Einträge anhaken und dann "Fix checked" anklicken.

Zitat:

Soll ich mir das runterladen? Ist das unbedenkliche und funktionstüchtige sowie freie Ware?

Versuch es erstmal über HJT! Mir persönlich kommt die Seite w/ aufdringlicher Werbung komisch vor.

Gruß
Yopie

Zitat:

Sieht für mich nach einem HP-Druckertreiber aus. Hast Du eine HP-Drucker? Was sagt "rechte Maustaste-Eigenschaften" zur Datei? Wenn der Eintrag ok ist, melde ihn doch bitte über die Kontakt-Funktion der Auswertungsseite als "gut", Du hilfst damit anderen.

Ja hab einen Hp Drucker, und ich hab die Datei kontrolliert, sie liegt unter den Hp Treibern. Der Witz ist nur, nicht nur HJT hat dies als Spyware/Adware klassifiziert, sondern auch Pestcontrol.

Ansonsten Danke für die Infos!

Vielleicht kann sonst noch jemand etwas zu den anderen (orangen) Prozessen sagen?

Besonders
O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

und auch

O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.

O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co

Zitat:

Zitat von Albino II.

Ja hab einen Hp Drucker, und ich hab die Datei kontrolliert, sie liegt unter den Hp Treibern. Der Witz ist nur, nicht nur HJT hat dies als Spyware/Adware klassifiziert, sondern auch Pestcontrol.

HJT bzw. die automatische Auswertung klassifiziert die Datei nicht. "Dies ist ein unbekannter Prozess." bedeutet nicht, dass die Datei böse ist. Noch einmal: Was geben die Datei-Eigenschaften her?

Zitat:

O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll

Wahrscheinlich http://www.spy-bot.net/WurldMedia.asp

Zitat:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Auf jeden Fall ein überflüssiger Eintrag, da die Datei nicht mehr da ist (no file).

Zu den 016-Einträgen kann ich nichts sagen. Bist Du sicher, dass da am Ende keine Zeichen fehlen? Im HJT-Log hast Du leider nur die Running Processes gepostet.

Danke übrigens für den Querverweis im anderen Thread!

Gruß
Yopie

Zitat:

Zu den 016-Einträgen kann ich nichts sagen. Bist Du sicher, dass da am Ende keine Zeichen fehlen? Im HJT-Log hast Du leider nur die Running Processes gepostet.

Hier der volle Eintrag:
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/...rxsigned35.cab

Zu dem Hp...:
In Prefetch ist diese Datei:
HPZTSB01.EXE-0178F9AF.pf

Und die eigentlich Datei ist in C:\WINDOWS\system32\spool\drivers\w32x86\3

Wird als Hp Datei definiert und zwar Version 2.19.0.0, Copyright (c) Hewlett-Packard Company 1999-2000

Könnte also durchaus ein Standarddruckertreiber sein...

Zitat:

Zitat von Albino II.

Hier der volle Eintrag:
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/...rxsigned35.cab

http://instantservice.com/ sieht mir nach User Tracking / Data Mining aus. Kann aber auf jeden Fall raus!

Zitat:

Zitat von Albino II.

Wird als Hp Datei definiert und zwar Version 2.19.0.0, Copyright (c) Hewlett-Packard Company 1999-2000

Könnte also durchaus ein Standarddruckertreiber sein...

Sieht zumindest stark danach aus! Melde das bitte der Hijackthis-Auswertungsseite.

Gruß
Yopie

Zitat:

Sieht zumindest stark danach aus! Melde das bitte der Hijackthis-Auswertungsseite.

Habs gemeldet und der Admin hat gleich erkannt um was es sich handelt, dürfte also bekannt sein, ist ein harmloser Druckertreiber.

MfG