1sass.exe ?

[Ingo.M]

Ich habe seit etwa 3 Monaten Win7, nun macht mir mein AVG Anti Virus mehrmals täglich die Virenmeldung (AVG Identeti Protection) auf: C:\Windows\Serviceprofiles\networkservice\appdata\ local\temp\flf7a.tmp\1sass.exe
In Quarantäne verschieben, bereinigen und selbst ein kompletter Virenscan im normal wie im abgesicherten Modus brachten nichts. Die Meldung kommt immer wieder.
Ich gehe mal davon aus daß ich mir den Virus mit meinem Handy auf den PC geholt habe, zumindest tritt diese Warnung auf seit dem ich mein Handy Nokia 5800 mit dem PC per Kabel verbunden hatte, auch ein Vierenscan auf dem Handy mit ner dafür geeigneten Software ergab eine Bedrohung die sich dort aber löschen ließ, war ein App.
Ich weiss im Moment nicht weiter, wie bekomme ich meinen PC wieder sauber?
Brauche dringend Hilfe. Möchte meinen Rechner eigentlich nicht schon wieder neu machen. Bei XP gab es zumindest bei mir solche Probleme nicht.
Gruß Ingo

[ASHomer]

Könnte eine Variante bzw. auch nur noch "Reste" des Sasser-Virus sein.
Versuch es mal mit dem Windows Tool zum Entfernen bösartiger Software:
Detail Seite Microsoft® Windows®-Tool zum Entfernen bösartiger Software (KB890830)

Ich würde den Rechner im abgesicherten Modus starten und dann das Tool ausführen bzw. auch im abgesicherten Modus einen kompletten Virenscan mit AVg machen.

Gruß
Homer

[Ingo.M]

Das Tool ist leider nicht für Win7 64, und für Win7 scheint es Sowas wohl noch nicht zu geben, zumindest wiedersprechen sich da die Angaben, werde die 64er Version aber mal ausprobieren, einen im abgesicherten Modus kompletten Virenscan mit AVG habe ich ja wie schon geschrieben auch schon gemacht, leider ohne Erfolg.
Gruß Ingo

[ASHomer]

Dann nimmst Du halt die 64 bit Variante...
Detail Seite Microsoft® Windows®-Tool zum Entfernen bösartiger Software (KB890830) x64

und klar Du versuchst das Ding entweder noch durch das Nutzen eines anderen Virenscanners herunterzubekommen oder Du spielst, was ich tun würde ein Image von Win7 vor dem Befall ein oder wenn Du das nicht hast, dann würde ich das System neu aufsetzen...

Gruß
Homer

[Ingo.M]

So das Microsoft Tool ist durch und hat nichts gefunden, werde jetzt mal abwarten ob AVG weiterhin Warnungen raus schmeißt.
Gruß Ingo

[Ingo.M]

So die nächste Meldung ist da, jetzt C:\Windows\Temp\FL2D75.TPM\ISDEF.EXE
Irgend wie komm ich nicht weiter.
Gruß Ingo

[Mosuito]

Mach doch mal einen Scan mit Hijackthis und stell den Log hier rein.

[Ingo.M]

Hab mir das Program eben runter geladen, ist zimlich viel:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:19:58, on 02.10.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe
C:\Program Files (x86)\AVG\AVG10\avgtray.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exe
C:\Program Files (x86)\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Users\Ingo\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
R3 - URLSearchHook: (no name) - {32b29df0-2237-4370-9a29-37cebb730e9b} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG10\avgssie.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [BCU] "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe"
O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files (x86)\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19E4B485-1846-4903-9218-C7F1B1BF4B00}: NameServer = 217.0.43.193
O17 - HKLM\System\CS1\Services\Tcpip\..\{19E4B485-1846-4903-9218-C7F1B1BF4B00}: NameServer = 217.0.43.193
O17 - HKLM\System\CS2\Services\Tcpip\..\{19E4B485-1846-4903-9218-C7F1B1BF4B00}: NameServer = 217.0.43.193
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG10\avgpp.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG10\avgwdsvc.exe
O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7941 bytes

Ich hoffe mit dem Kram kann Jemand was anfangen.
Gruß Ingo

[ASHomer]

Lass das Log-File hier auswerten:
HijackThis Logfileauswertung
Die Einträge mit dem roten Kreuz solltest Du mit HiJackthis fixen. Die mit dem gelben Fragezeichen nach Bedarf - das musst Du selbst entscheiden.

Kann sein, dass Dein Problem damit behoben ist, was ich aber nicht glaube. Du hast wahrscheinlich dann noch Virus-Reste auf Deinem Computer. Entfernen/fixen von Virus-Meldung a führt dann zu Meldung b usw. ...
Manchmal gelingt es den Virenscanner wieder "ruhig" also Meldungsfrei zu bekommen - aber trauen kannst Du dem kompromitierten System nicht mehr wirklich.
Help: I Got Hacked. Now What Do I Do?
Malte J. Wetz : De - Desinfektionsprogramme taugen nicht browse
Erste Hilfe bei Infektionen (Viren, Wrmer, ...) - Forum - CHIP Online

Meine Empfehlung: Zieh Win7 neu auf oder spiel ein Backup vor dem Befall ein.
Alles andere ist nur "flickschusterei"...

Gruß
Homer

[Ingo.M]

Da ist nichts mit nem roten Kreuz, nur nen Paar gelbe Fragezeichen.
Wie spiele ich denn ein Backup auf, habs vor ca. 1 Woche auf ne externe USB-Platte gezogen ca. 25 GB, dann hab ich hie noch ne DVD mit ich glaube Abbild und eine mit Sicherung.
Wie schon geschrieben bin win7 Neuling.
Gruß Ingo