Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner, susp.exe + gmt.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.07.2004, 23:17   #1
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Ich habe einen hijack gemacht wie mir hier empfohlen wurde:
http://www.trojaner-board.de/showthr...2&page=1&pp=10

Danach hab ich gleich die automatische Auswertung gemacht, dabei kamen da mehrere Meldungen, aber rot waren nur 2 gekennzeichnet:

1. O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
2. O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

susp.exe könnte wohl adware/spyware sein, bin mir aber nicht ganz sicher, drum frag ich lieber, gmt.exe dachte ich wäre System, bin mir aber auch nicht sicher...

Orange/Gelb waren diese Einträge:
1. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wfix.com/searchbar.html
2. C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
(ist glaub ich ein hijacker/adware oder? Wie zu löschen?)
3. O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll
4. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
5. O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.
6. O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co

Wäre dankbar für Tipps, a) was wirklich gefährlich ist und was es sein könnte, und b) wie ich es loswerde falls es kompliziert ist.

Alt 18.07.2004, 23:18   #2
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Hier der volle Hijack:

Logfile of HijackThis v1.98.0
Scan saved at 23:49:33, on 18.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\eMuleTest\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe
__________________


Alt 18.07.2004, 23:32   #3
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



http://www.2-spyware.com/file-susp-exe.html

Soll ich mir das runterladen? Ist das unbedenkliche und funktionstüchtige sowie freie Ware?
__________________

Alt 18.07.2004, 23:42   #4
Yopie
Moderator, a.D.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Zitat:
1. O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
2. O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Beides löschen. Das zweite gehört zu Gator! (Google nach den Dateinamen bringt hier Klarheit!)

Zitat:
2. C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 1.exe
(ist glaub ich ein hijacker/adware oder? Wie zu löschen?)
Sieht für mich nach einem HP-Druckertreiber aus. Hast Du eine HP-Drucker? Was sagt "rechte Maustaste-Eigenschaften" zur Datei? Wenn der Eintrag ok ist, melde ihn doch bitte über die Kontakt-Funktion der Auswertungsseite als "gut", Du hilfst damit anderen.

Die anderen gelben Einträge können weg. Also in HJT die Einträge anhaken und dann "Fix checked" anklicken.

Zitat:
Soll ich mir das runterladen? Ist das unbedenkliche und funktionstüchtige sowie freie Ware?
Versuch es erstmal über HJT! Mir persönlich kommt die Seite w/ aufdringlicher Werbung komisch vor.

Gruß
Yopie

Alt 18.07.2004, 23:50   #5
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Zitat:
Sieht für mich nach einem HP-Druckertreiber aus. Hast Du eine HP-Drucker? Was sagt "rechte Maustaste-Eigenschaften" zur Datei? Wenn der Eintrag ok ist, melde ihn doch bitte über die Kontakt-Funktion der Auswertungsseite als "gut", Du hilfst damit anderen.
Ja hab einen Hp Drucker, und ich hab die Datei kontrolliert, sie liegt unter den Hp Treibern. Der Witz ist nur, nicht nur HJT hat dies als Spyware/Adware klassifiziert, sondern auch Pestcontrol.

Ansonsten Danke für die Infos!

Vielleicht kann sonst noch jemand etwas zu den anderen (orangen) Prozessen sagen?


Geändert von Albino II. (19.07.2004 um 00:03 Uhr)

Alt 19.07.2004, 00:10   #6
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Besonders
O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

und auch

O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.

O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.co

Alt 19.07.2004, 00:24   #7
Yopie
Moderator, a.D.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Zitat:
Zitat von Albino II.
Ja hab einen Hp Drucker, und ich hab die Datei kontrolliert, sie liegt unter den Hp Treibern. Der Witz ist nur, nicht nur HJT hat dies als Spyware/Adware klassifiziert, sondern auch Pestcontrol.
HJT bzw. die automatische Auswertung klassifiziert die Datei nicht. "Dies ist ein unbekannter Prozess." bedeutet nicht, dass die Datei böse ist. Noch einmal: Was geben die Datei-Eigenschaften her?

Zitat:
O2 - BHO: TChkBHO Class - {A410F001-1E85-442E-978D-45CF3C093127} - C:\WINDOWS\system32\jmljqlds.dll
Wahrscheinlich http://www.spy-bot.net/WurldMedia.asp

Zitat:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Auf jeden Fall ein überflüssiger Eintrag, da die Datei nicht mehr da ist (no file).

Zu den 016-Einträgen kann ich nichts sagen. Bist Du sicher, dass da am Ende keine Zeichen fehlen? Im HJT-Log hast Du leider nur die Running Processes gepostet.

Danke übrigens für den Querverweis im anderen Thread!

Gruß
Yopie

Alt 19.07.2004, 02:10   #8
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Zitat:
Zu den 016-Einträgen kann ich nichts sagen. Bist Du sicher, dass da am Ende keine Zeichen fehlen? Im HJT-Log hast Du leider nur die Running Processes gepostet.
Hier der volle Eintrag:
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/...rxsigned35.cab

Zu dem Hp...:
In Prefetch ist diese Datei:
HPZTSB01.EXE-0178F9AF.pf

Und die eigentlich Datei ist in C:\WINDOWS\system32\spool\drivers\w32x86\3

Wird als Hp Datei definiert und zwar Version 2.19.0.0, Copyright (c) Hewlett-Packard Company 1999-2000

Könnte also durchaus ein Standarddruckertreiber sein...

Alt 19.07.2004, 12:29   #9
Yopie
Moderator, a.D.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Zitat:
Zitat von Albino II.
Hier der volle Eintrag:
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/...rxsigned35.cab
http://instantservice.com/ sieht mir nach User Tracking / Data Mining aus. Kann aber auf jeden Fall raus!

Zitat:
Zitat von Albino II.
Wird als Hp Datei definiert und zwar Version 2.19.0.0, Copyright (c) Hewlett-Packard Company 1999-2000

Könnte also durchaus ein Standarddruckertreiber sein...
Sieht zumindest stark danach aus! Melde das bitte der Hijackthis-Auswertungsseite.

Gruß
Yopie

Alt 19.07.2004, 13:32   #10
Albino II.
 
Trojaner, susp.exe + gmt.exe - Standard

Trojaner, susp.exe + gmt.exe



Zitat:
Sieht zumindest stark danach aus! Melde das bitte der Hijackthis-Auswertungsseite.
Habs gemeldet und der Admin hat gleich erkannt um was es sich handelt, dürfte also bekannt sein, ist ein harmloser Druckertreiber.

MfG

Antwort

Themen zu Trojaner, susp.exe + gmt.exe
auswertung, automatische, bho, button, c:\windows, dateien, drivers, explorer, file, gefährlich, gen, hijack, hijacker/adware, internet, internet explorer, löschen, löschen?, mehrere, meldungen, microsoft, o2 - bho, programme, service, software, system, system32, tipps, trojaner, träge, windows



Ähnliche Themen: Trojaner, susp.exe + gmt.exe


  1. win32:Evo-gen (Susp)
    Log-Analyse und Auswertung - 14.02.2015 (9)
  2. Avast Meldung Win32:Evo-gen [susp]
    Log-Analyse und Auswertung - 30.01.2015 (15)
  3. Windows XP Win32:evo-gen [SUSP]
    Log-Analyse und Auswertung - 07.01.2015 (2)
  4. Win32:Evo-gen [Susp]
    Log-Analyse und Auswertung - 01.12.2014 (11)
  5. Avast findet ständig Win32:Evo-gen [Susp]
    Log-Analyse und Auswertung - 11.09.2014 (7)
  6. Windows XP Avast: Win32:Evo-gen [Susp]
    Log-Analyse und Auswertung - 27.08.2014 (24)
  7. Win32:Evo-gen [Susp]
    Log-Analyse und Auswertung - 24.07.2014 (5)
  8. Win32:Evo-gen[Susp]
    Plagegeister aller Art und deren Bekämpfung - 30.04.2014 (3)
  9. Windows 7: Win32:Evo-gen[Susp]
    Log-Analyse und Auswertung - 01.12.2013 (14)
  10. Windows 7: Win32:Evo-gen[Susp]
    Log-Analyse und Auswertung - 06.10.2013 (14)
  11. Nicht entfernbarer Virus Name: Win32Evo-gen [Susp]
    Plagegeister aller Art und deren Bekämpfung - 01.10.2013 (11)
  12. Win32 Evo-gen (susp)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2013 (5)
  13. Evo-Gen SUSP Win7
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (1)
  14. win32:evo-gen[susp] bei Installation von Patch
    Plagegeister aller Art und deren Bekämpfung - 13.04.2013 (7)
  15. Win32:Evo-gen[susp] Virus
    Plagegeister aller Art und deren Bekämpfung - 11.02.2013 (11)
  16. Avast findet Win32:BogEnt [Susp]
    Plagegeister aller Art und deren Bekämpfung - 24.10.2011 (11)
  17. trojaner susp irp_mj_create
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (1)

Zum Thema Trojaner, susp.exe + gmt.exe - Ich habe einen hijack gemacht wie mir hier empfohlen wurde: http://www.trojaner-board.de/showthr...2&page=1&pp=10 Danach hab ich gleich die automatische Auswertung gemacht, dabei kamen da mehrere Meldungen, aber rot waren nur 2 gekennzeichnet: - Trojaner, susp.exe + gmt.exe...
Archiv
Du betrachtest: Trojaner, susp.exe + gmt.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.