Guten Tag an alle,

also ich habe eine Frage und zwar läuft bei mir im TaskManager immer ein Prozess der servicemp.exe heißt und ich habe keine Ahnung wozu der gut ist und ob er nicht vielleicht ein Virus, Trojaner oder sonst was ist!
Ich habe auch schon im Internet nach einer Beschreibung für den Prozess gesucht aber nix gefunden. Daher meine Frage, ist der Prozess notwendig oder gar ein Virus oder so?
Hab da nämlich nich so die Erfahrung mit!
Vielen, vielen Dank für eure Hilfe im Voraus!

MfG
Cobol

mOIn cobol,

lasse die Datei mal hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit Angabe der größe der hochgeladenen Datei,
auch wenn nichts gefunden wurde.

MFG

Hallo nochdigger, danke für deine Hilfe.
Hab die File bei VirusTotal scannen lassen, wie du gesagt hast und folgendes kam bei raus:

STATUS: FINISHEDComplete scanning result of "servicemp.exe", received in VirusTotal at 09.18.2006, 14:15:12 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.18.2006 no virus found
Authentium 4.93.8 09.18.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 no virus found
BitDefender 7.2 09.18.2006 no virus found
CAT-QuickHeal 8.00 09.18.2006 no virus found
ClamAV devel-20060426 09.18.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3084 09.18.2006 no virus found
DrWeb 4.33 09.18.2006 no virus found
Ewido 4.0 09.18.2006 no virus found
Fortinet 2.82.0.0 09.18.2006 no virus found
F-Prot 3.16f 09.18.2006 no virus found
F-Prot4 4.2.1.29 09.17.2006 no virus found
Ikarus 0.2.65.0 09.18.2006 no virus found
Kaspersky 4.0.2.24 09.18.2006 Trojan.Win32.Agent.ye
McAfee 4853 09.15.2006 no virus found
Microsoft 1.1560 09.17.2006 no virus found
NOD32v2 1.1760 09.18.2006 no virus found
Norman 5.80.02 09.15.2006 no virus found
Panda 9.0.0.4 09.17.2006 Suspicious file
Sophos 4.09.0 09.18.2006 no virus found
Symantec 8.0 09.18.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.18.2006 no virus found
VBA32 3.11.1 09.18.2006 no virus found
VirusBuster 4.3.7:9 09.17.2006 no virus found


Aditional Information
File size: 135168 bytes
MD5: bbf839079869420dadd9a43113543647
SHA1: 44388eba853a3541cbaf57468fbebfd6182d9526


Scheint wohl echt ein Virsu bzw. Trojaner zu sein, aber wie bekomme ich den denn jetz runter von meinem Rechner?

mOIn cobol,

erstelle mal so ein Log HijackThis
und editiere alle Links sowie persönliche Daten.

MFG

So hier das LogFile, hab auch Kaspersky drüber laufen lassen schon und der hat den erkannt und entfernt, hoffe das ist jetz alles sauber bei mir!

Logfile of HijackThis v1.99.1
Scan saved at 15:51:50, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
E:\Progz n' Patches\utorrent.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
E:\Progz n' Patches\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

mOIn nochma

dein Log sieht meiner Meinung nach sauber aus, aber lade dir mal bitte Smidfraudfix runter
(halte dich an die Anleitung) und führe nur die Option 1 aus (nur Scannen), anschließend poste den rapport.txt

MFG

hallo nochmal nochdigger,

ist es normal das smitfraudfix von meinem AntiVir als Virus erkannt wird?
Hab das jetzt erstmal nicht installiert, weil ich nicht wusste ob es wirklich ein Virus ist oder nur ein Fehlalarm!

MfG
cobol

mOIn cobol,

Jupp kann sein, dass dein AntiVir SmitFraudFix als Bösewicht erkennt es ist aber ein Bereinigungstools für Zlob so heißt/hieß dein unerwünschter Gast, darum wollte ich, dass du dein System mal damit prüfst.

Stelle den Guard von AntiVir ab während das Scannvorganges damit er nicht dazwischen funkt. Anschließend poste das Log.

MFG

Hallo noch digger,
hab jetz das smidfraudfix scannen lassen und in der rapport.txt steht nun folgendes:

SmitFraudFix v2.93

Scan done at 21:24:34,84, 19.09.2006
Run from E:\Progz n' Patches\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Cobol\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Cobol\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

und bin ich den jetz los oder nicht und is mein system jetz sauber?

MfG
cobol

mOIn cobol,

schaut gut aus, scheinst deinen Schnupfen los zu sein

MFG

Hallo noch digger,
da bin ich froh, das ich meinen Schnupfen los bin!
Und nochmals vielen Dank für deine Hilfe und deine Bemühungen!
Mfg
cobol