Trojaner, susp.exe + gmt.exe
 

Ich habe einen hijack gemacht wie mir hier empfohlen wurde:
http://www.trojaner-board.de/showthr...2&page=1&pp=10

Danach hab ich gleich die automatische Auswertung gemacht, dabei kamen da mehrere Meldungen, aber rot waren nur 2 gekennzeichnet:

1. O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
2. O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

susp.exe könnte wohl adware/spyware sein, bin mir aber nicht ganz sicher, drum frag ich lieber, gmt.exe dachte ich wäre System, bin mir aber auch nicht sicher...

Orange/Gelb waren diese Einträge:
1. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wfix.com/searchbar.html
2. C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
(ist glaub ich ein hijacker/adware oder? Wie zu löschen?)
3. O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll
4. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
5. O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.
6. O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co

Wäre dankbar für Tipps, a) was wirklich gefährlich ist und was es sein könnte, und b) wie ich es loswerde falls es kompliziert ist.

Hier der volle Hijack:

Logfile of HijackThis v1.98.0
Scan saved at 23:49:33, on 18.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\eMuleTest\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

http://www.2-spyware.com/file-susp-exe.html

Soll ich mir das runterladen? Ist das unbedenkliche und funktionstüchtige sowie freie Ware?

Beides löschen. Das zweite gehört zu Gator! (Google nach den Dateinamen bringt hier Klarheit!)

Sieht für mich nach einem HP-Druckertreiber aus. Hast Du eine HP-Drucker? Was sagt "rechte Maustaste-Eigenschaften" zur Datei? Wenn der Eintrag ok ist, melde ihn doch bitte über die Kontakt-Funktion der Auswertungsseite als "gut", Du hilfst damit anderen.

Die anderen gelben Einträge können weg. Also in HJT die Einträge anhaken und dann "Fix checked" anklicken.

Versuch es erstmal über HJT! Mir persönlich kommt die Seite w/ aufdringlicher Werbung komisch vor.

Gruß :daumenhoc
Yopie

Ja hab einen Hp Drucker, und ich hab die Datei kontrolliert, sie liegt unter den Hp Treibern. Der Witz ist nur, nicht nur HJT hat dies als Spyware/Adware klassifiziert, sondern auch Pestcontrol.

Ansonsten Danke für die Infos!

Vielleicht kann sonst noch jemand etwas zu den anderen (orangen) Prozessen sagen?

Besonders
O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

und auch

O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.

O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co

HJT bzw. die automatische Auswertung klassifiziert die Datei nicht. "Dies ist ein unbekannter Prozess." bedeutet nicht, dass die Datei böse ist. Noch einmal: Was geben die Datei-Eigenschaften her?

Wahrscheinlich http://www.spy-bot.net/WurldMedia.asp

Auf jeden Fall ein überflüssiger Eintrag, da die Datei nicht mehr da ist (no file).

Zu den 016-Einträgen kann ich nichts sagen. Bist Du sicher, dass da am Ende keine Zeichen fehlen? Im HJT-Log hast Du leider nur die Running Processes gepostet.

Danke übrigens für den Querverweis im anderen Thread! :)

Gruß :daumenhoc
Yopie

Hier der volle Eintrag:
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/...rxsigned35.cab

Zu dem Hp...:
In Prefetch ist diese Datei:
HPZTSB01.EXE-0178F9AF.pf

Und die eigentlich Datei ist in C:\WINDOWS\system32\spool\drivers\w32x86\3

Wird als Hp Datei definiert und zwar Version 2.19.0.0, Copyright (c) Hewlett-Packard Company 1999-2000

Könnte also durchaus ein Standarddruckertreiber sein...

http://instantservice.com/ sieht mir nach User Tracking / Data Mining aus. Kann aber auf jeden Fall raus!

Sieht zumindest stark danach aus! Melde das bitte der Hijackthis-Auswertungsseite.

Gruß :daumenhoc
Yopie

Habs gemeldet und der Admin hat gleich erkannt um was es sich handelt, dürfte also bekannt sein, ist ein harmloser Druckertreiber.

MfG