Trojaner-Board - Probleme mit HelpAssistant

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme mit HelpAssistant (https://www.trojaner-board.de/78471-probleme-helpassistant.html)

Auch das SP3? Das fehlt nämlich noch lt. dem letzten Hijackthis Logfile. :rolleyes:
Wenn Du Dich noch an Deinen letzten Strang erinnern kannst, Du hattest/hast Silentbanker-Befall und ich konnte bei sowas nicht wirklich empfehlen zu bereinigen.
Wenn Du immer noch weiter analysieren lassen willst, poste frische Logfiles mit RSIT und OTL.

Alle Logfiles am besten wieder zippen und bei file-upload.net hochladen und hier verlinken.

RSIT

Wieder beide Logfiles (log.txt und info.txt), nimm aber bitte diese umbenannte Version von RSIT => File-Upload.net - pluescheule.exe

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

http://www.file-upload.net/download-1955043/Extras.Txt.html

http://www.file-upload.net/download-1955044/info.txt.html

http://www.file-upload.net/download-1955045/log.txt.html

http://www.file-upload.net/download-1955046/OTL.Txt.html

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Windows hat immer noch das SP2! Hier gibts das SP3 => Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
Ja, da steht "für IT-Spezialisten und Entwickler" aber Du kannst es auch problemlos benutzen. Und es ist ein vollständiges "Komplett-SP".

Zitat:

BearShare-->C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG
WinMX-->C:\Programme\WinMX\uninstall.exe
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
kikin Plugin (Murb.com Edition) 1.11-->C:\Programme\kikin\uninst.exe
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE

Norton Internet Security-->MsiExec.exe /I{91AA4B1F-B918-4e0b-A304-F8D4EC5D7726}
Norton Internet Security-->MsiExec.exe /I{C9D599E1-6B68-4a1f-8A4F-A1DB433DB1BF}
Norton Internet Security-->MsiExec.exe /I{E47EE8FB-ACC0-4608-859C-4E2851B18A6A}
Norton Internet Security-->MsiExec.exe /I{FC2C0536-583C-46c0-844A-62CECAE01F22}

Würde ich deinstallieren, unnötiges Gerümpel. Tauschbörsen sind allgemein ein Risiko. Und auf Norton Internet Security solltest Du besser auch verzichten.
Du solltest im Grunde nicht jeden Kleinkram bzw. Mist installieren. Hat jetzt zwar so nichts direkt mit dem Problem zu tun, aber wenn wir jetzt ein 2. Mal Deines Logfiles zerpflücken, dann gründlich. ;)

Für das überladene ICQ könntest Du als Ersatz zB Miranda benutzen.

Nach dem Deinstallieren bitte wieder den CCleaner anwenden!

Code:

======Hosts File======
 

65.75.216.6        www.winmx.com err.winmx.com

205.238.40.54        www.winmx.com err.winmx.com

Müssen wir nach der Deinstallation von WinMX prüfen. Normalerweise steht nur das im hosts file (c:\windows\system32\drivers\etc\hosts, kann man ganz einfach mit notepad bearbeiten)

Code:

127.0.0.1 localhost

Zitat:

C:\Programme\TuneUp Utilities 2004

TuneUp ist auch eher unnötig... Viele haben sich damit schon ihr System zerschossen. Und dann kostet es auch noch... :balla:
CCleaner ist kostenlos und reicht IMHO dicke.

ok hab jez unnötige Programme deinstalliert und das SP3 installiert, aber dennoch erscheint dieser HelpAssistant immer wieder beim Neustart. Mir fiel gestern mal auf, dass der nicht sofort unter den Benutzern zu sehen ist sondern erst nachdem der PC so 3 bis 5 Minuten an ist.... was ist das nur für ein Mist?

Nimm ihm mal "nur" die Rechte weg:

Start, Ausführen, cmd eintippen, ok.
In die schwarze Konsole diesen Befehl eintippen und mit Enter oder Return bestätigen:

Code:

net localgroup Administratoren HelpAssistant /delete

Wenns erfolgreich war, quittiert Windows das mit dieser Meldung: Der Befehl wurde erfolgreich ausgeführt.

Danach bitte mal GMER laufen lassen und das Log posten.

http://www.file-upload.net/download-1960162/GMER.log.html
bittesehr
hier ist es nach 6 Stunden Scannen :D

Der hat dafür satte 6h gebraucht?? :eek:
Was ist denn aus dem Befehl geworden? Hat der was bewirkt, kam eine erfolgreich-Meldung?

ja 6 Stunden der hat halt das komplette Laufwerk überprüft. Kannst du mit dem Logfile was anfangen?
Ja der Befehl wurde mit "erfolgreich" beantwortet, nur war heute beim Neustart der HelpAssistant wieder zurück -.-

HelpAssistant wird AFAIR vom .NET Framework angelegt. Kannst Du das mal testweise deinstallieren?
Das GMER-Logfile war soweit ok.

was genau ist denn das .NET Framework und wo und wie kann ich das deinstallieren?
was wird die Konsequenz dieser Deinstallation sein?

Naja, manche Programme benötigen es. Du kannst es aber problemlos wieder installieren.
Deinstallation über Systemsteuerung, Software (wie überlich :rolleyes:)

Andere Idee: HelpAssistant so deaktivieren:

Code:

net user HelpAssistant /active:no

also das mit dem Befehl hab ich schonmal ausprobiert, das nütze auch nur bis zum Neustart was :(

und was genau muss ich deinstallieren?
ich hab:
Microsoft .Net Framework 1.1
Microsoft .Net Framework 1.1 German Language Pack
Microsoft .Net Framework 2.0 Service Pack 2
Microsoft .Net Framework 3.0 Service Pack 2
Microsoft .Net Framework 3.5 SP1

Der letzte Befehl mit "net user" war aber dazu da, HelpAssistant zu deaktivieren, mit Windows XP Home geht das ja so nicht ohne weiteres per GUI.

Deinstallier mal ruhig alles vom .NET. Du kannst es jederzeit wieder installieren.

ok ich deinstalliere das morgen, aber besteht die gefahr dass dann mein Internet nicht mehr geht oder fällt das nicht in den Aufgabenbereich des Programmes? Also wenn nur MSN oder so durch die Löschung nicht mehr geht is es ja okay, aber ich brauche ja das Internet um hier weiterhin Hilfe zu bekommen.