Trojaner-Board - Probleme mit HelpAssistant

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme mit HelpAssistant (https://www.trojaner-board.de/78471-probleme-helpassistant.html)

Probleme mit HelpAssistant

ich habe mich jetzt entschieden, einen neuen Thread aufzumachen, um meine derzeitiges Problem konkret zu schildern ich hoffe, dass ihr mir endlich helfen könnt :(
also neben meinem Benutzerkonto Ordner unter Dokumente und Einstellungen ist dieser HelpAssistant Ordner. Dieser lässt sich zwar leeren, aber nicht komplett löschen und jetzt sehe ich grade, dass er sich von selbst wieder mit meinen eigenen Dateien füllt ich bin echt verzweifelt wie werde ich dieses Ding los????

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:47:48, on 15.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\cFosNT\cFosDNT.exe
C:\WINDOWS\System32\svchost.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Programme\VIA\SETICON\winicon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: 65.75.216.6 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.54 www.winmx.com err.winmx.com
O1 - Hosts: 65.75.216.6 cache0.winmx.com test3201.winmx.com test3206.winmx.com
O1 - Hosts: 65.75.216.7 cache1.winmx.com test3202.winmx.com test3207.winmx.com
O1 - Hosts: 82.43.229.238 cache2.winmx.com test3203.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.1 cache3.winmx.com test3204.winmx.com
O1 - Hosts: 205.238.40.2 cache4.winmx.com test3205.winmx.com
O1 - Hosts: 65.75.216.6 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O1 - Hosts: 65.75.216.6 winmx-com.winmxgroup.com winmx-com-v30.winmxgroup.com
O1 - Hosts: 205.238.40.54 winmx-com.winmxgroup.com winmx-com-v30.winmxgroup.com
O1 - Hosts: 65.75.216.6 test0.winmxgroup.net test5.winmxgroup.net
O1 - Hosts: 65.75.216.7 test1.winmxgroup.net test6.winmxgroup.net
O1 - Hosts: 82.43.229.238 test2.winmxgroup.net
O1 - Hosts: 205.238.40.1 test3.winmxgroup.net
O1 - Hosts: 205.238.40.2 test4.winmxgroup.net
O1 - Hosts: 65.75.216.6 cache0.winmxgroup.com cache5.winmxgroup.com cache0.winmxgroup.net cache5.winmxgroup.net cache10.winmxgroup.net cache15.winmxgroup.net
O1 - Hosts: 65.75.216.7 cache1.winmxgroup.com cache6.winmxgroup.com cache1.winmxgroup.net cache6.winmxgroup.net cache11.winmxgroup.net cache16.winmxgroup.net
O1 - Hosts: 82.43.229.238 cache2.winmxgroup.com cache7.winmxgroup.com cache2.winmxgroup.net cache7.winmxgroup.net cache12.winmxgroup.net cache17.winmxgroup.net
O1 - Hosts: 205.238.40.1 cache3.winmxgroup.com cache8.winmxgroup.com cache3.winmxgroup.net cache8.winmxgroup.net cache13.winmxgroup.net cache18.winmxgroup.net
O1 - Hosts: 205.238.40.2 cache4.winmxgroup.com cache9.winmxgroup.com cache4.winmxgroup.net cache9.winmxgroup.net cache14.winmxgroup.net cache19.winmxgroup.net
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Programme\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [winicon] C:\Programme\VIA\SETICON\winicon.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\microsoft office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 16200 bytes

Hallo Silbervieh,

ich muss Deinen letzten Beitrag im Strang leider übersehen haben :(
Wenn ich mich richtig erinnere, hatten wir die Kiste bzgl. Malware soweit wieder im Griff aber Du musstest ein neues Benutzerprofil anlegen, da das alte durch den Schädling beschädigt wurde.

Wo ist der HelpAssistant Ordner? Direkt in Dokumente und Einstellungen oder innerhalb eines oder weiteren Unterordnern? Bitte den Pfad posten.

Ordner direkt in Dokumente und Einstellungen sind die Ordner für die Benutzerprofile.

Führ doch auch mal bitte (über Start, Ausführen) control userpasswords2 (genau so eintippen, die 2 ist kein Tippfehler!) aus und berichte, ob da ein Benutzer names HelpAssistant eingetragen ist.

hi Cosinus^^
nicht so schlimm dass du das übersehen hast
ja, der HelpAssistant ist unter Dokumente und Einstellungen
und wenn ich den Inhalt lösche, füllt er sich beim Neustart mit all meinen eigenen Dateien, also einer Kopie davon

ja mit dem Befehl konnte ich den HelpAssistant als Benutzer angezeigt wird. Hab den intuitiv mal gelöscht und starte mal eben neu um zu sehen was passiert.
da steht übrigens noch ein ASPNET als Benutzer muss das so?

EDIT: nach dem Neustart ist HelpAssistant wieder als Benutzerkonto da!!!!!!
was soll das bloß?

geh mal bitte in die Computerverwaltung (Rechtsklick Arbeitsplatz => Verwalten) und dort auf lokale Benutzer und Gruppen => Benutzer

Doppelklick auf das Konto HelpAssistant => Haken bei "Konto ist gesperrt" reinmachen

ASPNET ist auch ein vordefiniertes Konto, wird erstellt wenn das .NET Framework installiert wird. Eigentlich harmlos.

ich habe das versucht, das Problem ist nur, dass ich diese von dir genannten Punkt garnicht unter Computerverwaltung finde. Zur Auswahl gibt es dort nur die Unterpunkte System, Dateinspeicher und Dienste u. Anwendungen.

Ach Du hast ja auch ein XP-Home :(
Kommst Du über control userpasswords2 im Reiter "erweitert" an die erweiterte Benutzerverwaltung ran?

ja, da komme ich ran was muss ich damit denn tun ?:(

Klick dort auf den Button Erweitert, navigiere zu Benutzer und dann zum HelpAssistant bzw. Hilfeassistenten User. Eigentlich sollte der deaktiviert sein, überprüf das mal bitte:

http://saved.im/mtq5nzk1dhpl/user.png

also ich kann den Helpassistant mit control userpasswords2 löschen, aber beim Neustart ist der wieder da. Ich hab schon sämtliche Anti Viren Programme ausprobiert und ich kann das Vieh einfach net finden -.-
aber sobald ich den HelpAssistant lösche, kann ich auch den dazugehörigen Ordner unter Dokumente und Einstellungen killen... nur kommt er beim Neustart halt wieder

Nicht löschen, sondern nur deaktivieren! Ist der deaktiviert gewesen oder nicht?

also wenn ich da drauf clicke was du erklärt hast steht dort nur

Auf diesem Computer wird Windows XP Home Edition ausgeführt
Dieses Snap-In kann in dieser Version von Windows nicht verwendet werden (...)

Ja, nunmal leider bei XP Home so :(
Probier mal bitte das mit diesem Tool aus => http://www.borncity.de/archive/UserAccount.zip (hab es selber aber noch nicht getestet)

äh und was mach ich damit? irgendwie kann ich an dem ding net so erkennen wie man damit umgeht :(
was soll das überhaupt bezwecken also was fürn programm für und gegen was is das

Sorry, ich glaub das Tool kannste erstmal vergessen.
Ehrlich gesagt, taste ich mich an Dein Problem etwas heran, wir treten aber Dank der beschränkten Möglichkeiten von XP Home :mad: etwas auf der Stelle. :balla:
Eine wirkliche Idee, warum sich ständig der HelpAssistant-Ordner füllt, Wenn Du mit Deinem Benutzernamen was in eigene Dateien kopierst hab ich so noch nicht. Wenn Du auf den Ordner Eigene Dateien rechts und dann auf Eigenschaften klickst, welcher Zielpfad wird Dir da angezeigt?

Du solltest jetzt auch mal umgehend die Updates überprüfen:

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um das SP3 und den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

C:\Dokumente und Einstellungen\**********\Eigene Dateien

das ist der Pfad der mir angezeigt wird
also ich denke das muss irgend ein Trojaner sein, der jedes Mal wieder den HelpAssistant startet und meine eigenen Dateien da reinpackt
die Updates hab ich alle schon installiert

Auch das SP3? Das fehlt nämlich noch lt. dem letzten Hijackthis Logfile. :rolleyes:
Wenn Du Dich noch an Deinen letzten Strang erinnern kannst, Du hattest/hast Silentbanker-Befall und ich konnte bei sowas nicht wirklich empfehlen zu bereinigen.
Wenn Du immer noch weiter analysieren lassen willst, poste frische Logfiles mit RSIT und OTL.

Alle Logfiles am besten wieder zippen und bei file-upload.net hochladen und hier verlinken.

RSIT

Wieder beide Logfiles (log.txt und info.txt), nimm aber bitte diese umbenannte Version von RSIT => File-Upload.net - pluescheule.exe

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

http://www.file-upload.net/download-1955043/Extras.Txt.html

http://www.file-upload.net/download-1955044/info.txt.html

http://www.file-upload.net/download-1955045/log.txt.html

http://www.file-upload.net/download-1955046/OTL.Txt.html

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Windows hat immer noch das SP2! Hier gibts das SP3 => Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
Ja, da steht "für IT-Spezialisten und Entwickler" aber Du kannst es auch problemlos benutzen. Und es ist ein vollständiges "Komplett-SP".

Zitat:

BearShare-->C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG
WinMX-->C:\Programme\WinMX\uninstall.exe
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
kikin Plugin (Murb.com Edition) 1.11-->C:\Programme\kikin\uninst.exe
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE

Norton Internet Security-->MsiExec.exe /I{91AA4B1F-B918-4e0b-A304-F8D4EC5D7726}
Norton Internet Security-->MsiExec.exe /I{C9D599E1-6B68-4a1f-8A4F-A1DB433DB1BF}
Norton Internet Security-->MsiExec.exe /I{E47EE8FB-ACC0-4608-859C-4E2851B18A6A}
Norton Internet Security-->MsiExec.exe /I{FC2C0536-583C-46c0-844A-62CECAE01F22}

Würde ich deinstallieren, unnötiges Gerümpel. Tauschbörsen sind allgemein ein Risiko. Und auf Norton Internet Security solltest Du besser auch verzichten.
Du solltest im Grunde nicht jeden Kleinkram bzw. Mist installieren. Hat jetzt zwar so nichts direkt mit dem Problem zu tun, aber wenn wir jetzt ein 2. Mal Deines Logfiles zerpflücken, dann gründlich. ;)

Für das überladene ICQ könntest Du als Ersatz zB Miranda benutzen.

Nach dem Deinstallieren bitte wieder den CCleaner anwenden!

Code:

======Hosts File======
 

65.75.216.6        www.winmx.com err.winmx.com

205.238.40.54        www.winmx.com err.winmx.com

Müssen wir nach der Deinstallation von WinMX prüfen. Normalerweise steht nur das im hosts file (c:\windows\system32\drivers\etc\hosts, kann man ganz einfach mit notepad bearbeiten)

Code:

127.0.0.1 localhost

Zitat:

C:\Programme\TuneUp Utilities 2004

TuneUp ist auch eher unnötig... Viele haben sich damit schon ihr System zerschossen. Und dann kostet es auch noch... :balla:
CCleaner ist kostenlos und reicht IMHO dicke.

ok hab jez unnötige Programme deinstalliert und das SP3 installiert, aber dennoch erscheint dieser HelpAssistant immer wieder beim Neustart. Mir fiel gestern mal auf, dass der nicht sofort unter den Benutzern zu sehen ist sondern erst nachdem der PC so 3 bis 5 Minuten an ist.... was ist das nur für ein Mist?

Nimm ihm mal "nur" die Rechte weg:

Start, Ausführen, cmd eintippen, ok.
In die schwarze Konsole diesen Befehl eintippen und mit Enter oder Return bestätigen:

Code:

net localgroup Administratoren HelpAssistant /delete

Wenns erfolgreich war, quittiert Windows das mit dieser Meldung: Der Befehl wurde erfolgreich ausgeführt.

Danach bitte mal GMER laufen lassen und das Log posten.

http://www.file-upload.net/download-1960162/GMER.log.html
bittesehr
hier ist es nach 6 Stunden Scannen :D

Der hat dafür satte 6h gebraucht?? :eek:
Was ist denn aus dem Befehl geworden? Hat der was bewirkt, kam eine erfolgreich-Meldung?

ja 6 Stunden der hat halt das komplette Laufwerk überprüft. Kannst du mit dem Logfile was anfangen?
Ja der Befehl wurde mit "erfolgreich" beantwortet, nur war heute beim Neustart der HelpAssistant wieder zurück -.-

HelpAssistant wird AFAIR vom .NET Framework angelegt. Kannst Du das mal testweise deinstallieren?
Das GMER-Logfile war soweit ok.

was genau ist denn das .NET Framework und wo und wie kann ich das deinstallieren?
was wird die Konsequenz dieser Deinstallation sein?

Naja, manche Programme benötigen es. Du kannst es aber problemlos wieder installieren.
Deinstallation über Systemsteuerung, Software (wie überlich :rolleyes:)

Andere Idee: HelpAssistant so deaktivieren:

Code:

net user HelpAssistant /active:no

also das mit dem Befehl hab ich schonmal ausprobiert, das nütze auch nur bis zum Neustart was :(

und was genau muss ich deinstallieren?
ich hab:
Microsoft .Net Framework 1.1
Microsoft .Net Framework 1.1 German Language Pack
Microsoft .Net Framework 2.0 Service Pack 2
Microsoft .Net Framework 3.0 Service Pack 2
Microsoft .Net Framework 3.5 SP1

Der letzte Befehl mit "net user" war aber dazu da, HelpAssistant zu deaktivieren, mit Windows XP Home geht das ja so nicht ohne weiteres per GUI.

Deinstallier mal ruhig alles vom .NET. Du kannst es jederzeit wieder installieren.

ok ich deinstalliere das morgen, aber besteht die gefahr dass dann mein Internet nicht mehr geht oder fällt das nicht in den Aufgabenbereich des Programmes? Also wenn nur MSN oder so durch die Löschung nicht mehr geht is es ja okay, aber ich brauche ja das Internet um hier weiterhin Hilfe zu bekommen.

Also "das Internet" bricht bestimmt nicht weltweit zusammen, wenn Du von Deinem Rechner dotnet entfernst :D um das Internet abzuschalten gehst Du hier rauf ;)

haha sehr witzig :D
vllt hab ichs falsch formuliert
ich meinteob ich mit meinem rechner weiterhin über mein Dlink Modem Verbindung zum Internet aufbauen kann, wenn diese .Net sachen weg sind

Nein natürlich nicht. Dotnet ist "nur" für irgendwelche spezielleren Anwendungen nötig. Welche genau bei Dir weiß ich jetzt nicht, wenn Du es entfernst, sollte eine Meldung kommen, welche anderen Applikationen davon betroffen wären. Aber wie gesagt, .NET kannst Du immer wieder problemlos nachinstallieren.

Microsoft .Net Framework 2.0 Service Pack 2
Microsoft .Net Framework 3.0 Service Pack 2

die beiden Dinge konnte ich NICHT löschen :(
da wurde mir was davon gesagt dass es nicht gelöscht werden kann weil es für wichtige Applikationen zuständig ist und dann kam die Meldung Schwerwiegender Installationsfehler :(
was soll ich nun machen?

Hm also im Moment fische ich hier auch noch im Trüben, dieses Phänomen ist mir so noch nicht untergekommen :balla:

Füllt der Ordner sich noch von selbst oder nur dann, wenn Du in Deinen Ordner Eigene Dateien was hineinschreibst?
War das auch vor unserer Bereinigung (aus dem ersten Strang von Dir) schon so?
Passiert das nur beim Ordner Eigene Dateien und wenn ja, wo landen die genau in HelpAssistant?
Was passiert wenn Du in HelpAssistant direkt was hineinspeicherst, füllt sich dann auch Dein Ordner für die Eigenen Dateien?

Ich weiß, wir haben nun auch eine Menge Zeit in dieses und das Malwareproblem davor investiert, könntest Du Dich trotzdem mit einer Neuinstallation abfinden? Dann hättest Du auf jeden Fall wieder einen wohldefinierten Zustand.

hmm das mit der Neuinstallation is bisschen schwer weil ich keine Windows CD habe und im Moment nicht das nötige Kleingeld sie zu erwerben :(
außerdem wäre es sehr viel Arbeit, Wlan und alles wieder neu einzurichten. Darum suche ich ja immernoch verzweifelt nach einer "leichteren" Möglichkeit :(

also zu deinen Fragen:
Der Ordner füllt sich von selbst mit meinen eigenen Dateien, meinen Mozialla Favoriten, Cookies sowie den Programmverknüpfungen auf meinem Desktop sobald ich den PC hochfahre.

Ja das war auch schon vor der 1. Bereinigung so aber ich habs erst in der Mitte des letzten Threads erkannt.

Die Dateien werden in Dokumente und Einstellungen / Helpassistant / Eigene Dateien kopiert

Nein. wenn ich was in HI packe, kopiert es diese nicht rückwärts in meinen echten Eigene Dateien Ordner

Erstell dann doch mal testweise ein weiteres Benutzerkonto zB "test"
Melde Dich ab und log Dich ins neue Konto mit dem Benutzernamen test ein und schreib irgendwas in den Ordner Eigene Dateien - beobachte ob das dann auch wieder in den Ordner von HelpAssistant landet.

also das muss ich nicht weil ich weiß was bei rauskommt ich hatte ja vorher das alte Benutzerkonto und das hatte ich in der Konsole mit active no abgeschaltet. Die Dateien waren ja unter Arbeitsplatz weiter im Ornder Dateien von " Altes Benutzerkonto ", aber er kopiert auch neu hinzukommende Dateien von dem jetzigen Benutzerkonto also dem Neuen in den Helpassistant rein. Beides sozusagen
und ich kann unter Arbeitsplatz NICHT den Ordner Gemeinsame Dokumente anclicken ich weiß nicht ob das allgemein an Winwows XP Home liegt oder da auch der Trojaner seine Finger im Spiel hat.

Wieso hast Du das alte Konto deaktiviert? Das hab ich Dir über diesen Befehl aber nicht geschrieben!

Und mit dem alten (defekten) Konto hatte er auch schon eigene Dateien nicht nur in seinen Ordner, sondern auch in dem von HelpAssistant reingeschrieben? Oder war das erst beim neuen Konto?

Sry dass ich soviel nachfrage, aber versuch das selber grad nachzuvollziehen.

hattest du das nicht mal im alten strang geschrieben mit dem Deaktivieren des alten Kontos? Naja von irgendwo hier muss ichs haben weil ich selbst den Befehl vorher nicht kannte.
Der hat schon damals vom alten Benutzerkonto fröhlich alle eigenen Dateien in den HI kopiert.
Jez versuch ich grade all meine Dateien auf Laufwerk D zu packen, um sie vor dem Zugriff des HelpAssistant zu schützen.
Ach übrigens in dem HI ist auch ein WINDOWS Ordner drin falls dir das was hilft.

Hattest Du schon Aviras Anti-Rootkit Tool gescannt? Falls da was noch aktiv ist, könnte evtl. das Tool was erkennen. Ich vermute allerdings eher irgendeine verbogene Einstellung :balla:

Avira AntiRootkit Tool

ich kann das tool ja mal testen
verbogene einstellung? du meinst also, da ist kein Trojaner oder ähnliches dran der das macht? Also wegen irgendwas muss ich ja diese Probleme haben
um es zusammen zu fassen:
Ich kann nicht auf Gemeinsame Dokumente zugreifen
ich kann Microsort Live Messenger nicht nutzen
der Helpassistant kopiert all meine Daten in meinen Ordner
der PC ist unheimlich langsam :(

Du kannst das ja mal Aviras Anti Rootkit Tool testen. Unabhängig ob der was findet oder nicht, die schnellste und sauberste Methode dürfte formatieren und neu installieren sein. Ist zwar ärgerlich, dass wir soviel Zeit dadrin investiert haben, aber so langsam bin ich an einem Punkt angekommen, wo ich aus der Ferne nicht mehr viel machen kann. :(

Nun mach mal nicht gleich so ein Gesicht ;)

Wenn Du keine Windows-CD hast kannst Du Dir auch eine leihen, solltest aber unbedingt Deinen CD-Key benutzen. Der klebt auf Deinem Computer oder müsste in den Unterlagen dabei gewesen sein. Notfalls kannst Du den auch mit dem Keyfinder auslesen.

Daten sichern kannst und solltest Du über ein Live-System wie Knoppix oder Parted Magic machen. Wenn Linux nicht so Dein Gebiet ist, erstellst Du Dir am besten eine BartPE-CD auf Basis von Windows XP auf einem anderen (sauberen!) Rechner. Jedenfalls von so einer CD solltest Du den PC booten und dann relevante Daten auf ne ext. Platte kopieren. Wenn alle Stricke reißen kannst Du auch die Platte ausbauen und in einen anderen Rechner hängen.

Was sagt denn jetzt das Anti-Rootkit-Tool?

ich kann dieses Rootkit Teil nicht nutzen wenn ichs runterlade und entzippen will steht da immer irgendwas von falschen Konfigurationen und dass es nicht gestartet werden kann >.<

So langsam kann man nicht mehr leugnen, dass das System doch wohl hinüber ist ;)
Wie siehts denn mit Rootrepeal aus?

ich werd das gleich mal testen
eben hab ich nen normalen avira scan gemacht und eine datei gefunden die folgenden Trojaner aufwies
tr/sub7.bonus.srv
kann mir mal jemand sagen was das für einer is? Im Internet steht nichts verständliches dazu

SubSeven ? Wikipedia :eek:

Kannst Du bitte ganze Pfade posten?

was meinst du mit Pfade Posten? ich hab das Log von Avira jez nicht gespeichert und die Datei, in der das Teil drin saß einfach gelöscht.
von der Wikibeschreibung her könnten meinen Probleme an diesem Ding liegen oder?
h**p://www.eckertweb.de/hackingschutz/trojaner/subseven/trojaner_sub_seven.htm
kann mir diese Seite irgendwie weiterhelfen?
ich weiß ja nicht welche Version es war, das wurde aus der Meldung nicht deutlich.

Ich meinte den Pfad zu der Datei, der wäre schon wichtig!
Aber egal, spätestens jetzt solltest Du Dir wirklich eine Windows-CD besorgen und das System neu aufsetzen.

gibts keinen weg den trojaner anders zu beseiitigen als mit neuinstallation?
denkst du das löschen von avira hat ihn nicht beseitigt?

Den haben wir bisher noch garnicht bemerkt! Aber es war ja schonmal ein Anzeichen, dass das Anti Rootkit-Tool nicht starten wollte, zu Rootrepeal hast Du nicht mehr geäußert.

Nach dem "Entfernen" dieser Hintertür ist das System in einem undefinierten Zustand, es kann sein, dass die Hintertür weg ist oder aber auch nicht. Dadurch, dass Dritte Vollzugriff auf Deinem Rechner hatten, konnten die aber beliebige Systemrichtlinien umbiegen oder weitere Hintertüren installieren.

Kurz gesagt, das sicherste ist die Neuinstallation, erst dann hast Du wieder einen wohldefinierten Zustand. Aber das hatte ich eigentlich auch ziemlich am Anfang geraten, als sich schon herausgestellt hatte, dass Du eine Silentbanker-Infektion hast :rolleyes:

Vergiss nicht, sämtliche Passwörter abzuändern, wenn das System neu aufgesetzt wurde. => http://www.trojaner-board.de/51262-a...sicherung.html