Tips, Bypass, Agent: Virus /Trojaner/Backdoor-verseucht Windows ME

leeloo7777

liebes forum,
ich bin ein laie und bin jetzt mit meinem wenigen computer-latein völlig am ende.
vor einiger zeit habe ich meinen eltern meinen alten/älteren computer gegebe, denn er reicht ja noch für word und internet. ist ein pentium 3 mit windows ME. seit ein paar wochen sind nun gehäuft viren, trojaner und auch backdoors drauf. ich lösche immer mit antivir, auch im abgesicherten modus. manchmal sind sie dann alle weg, manchmal sagt antivir, er kann einen nicht löschen etc. ..... doch nach einiger zeit sind wieder neue dinger da - und das trotz avira und zonealarm. bitte helft mir.
und bitte erklärt mir verständlich, was ich falsch mache. als ich den pc noch hatte, hatte ich diese probleme nicht. wo ist die sicherheitslücke???? vielleicht bei zone alarm? das neuste update kann ich mir aufgrund des betriebssystems nicht mehr runterladen.....
ich danke euch. anja

so, hier der antivir report, allerdings nur von windows system, auf den festplatten tummeln sich dann noch diverse andere bosartige teile:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 20. Januar 2007 19:24

Es wird nach 641284 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Me
Windowsversion: (plain) [4.90.3000]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 217 13775 Bytes 05.12.2006 16:51:00
AVSCAN.EXE : 7.0.3.5 204840 Bytes 16.01.2007 16:29:18
AVSCAN.DLL : 7.0.3.0 35880 Bytes 22.12.2006 18:15:54
LUKE.DLL : 7.0.3.2 135208 Bytes 22.12.2006 18:16:00
LUKERES.DLL : 7.0.2.0 9256 Bytes 22.12.2006 18:16:02
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:35:04
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 06:50:44
ANTIVIR2.VDF : 6.37.0.183 128000 Bytes 17.01.2007 14:27:02
ANTIVIR3.VDF : 6.37.0.193 54272 Bytes 20.01.2007 17:55:06
AVEWIN32.DLL : 7.3.0.26 1999360 Bytes 19.01.2007 14:27:02
AVPREF.DLL : 7.0.2.0 17960 Bytes 22.12.2006 18:15:54
AVREP.DLL : 6.37.0.119 712744 Bytes 11.01.2007 15:19:50
AVRPBASE.DLL : 7.0.0.0 1544232 Bytes 30.03.2006 09:42:22
AVPACK32.DLL : 7.2.0.5 360488 Bytes 22.12.2006 18:16:06
AVREG.DLL : 7.0.1.2 30760 Bytes 16.01.2007 16:29:18
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 22.12.2006 18:15:34
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.12.2006 18:15:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Windows Systemverzeichnis
Konfigurationsdatei..............: C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\sysdir.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 20. Januar 2007 19:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'AVSCAN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVCENTER.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'PSTORES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'ZLCLIENT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'WUAUBOOT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'OPERA.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'DDHELP.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVGCTRL.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'TELWEB32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'HPQTRA08.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'PLAUTO.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'STMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'VSMON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MSTASK.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SCHEDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KB891711.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'STIMON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MPREXE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPOOL32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'mmtask.tsk' - '1' Module wurden durchsucht
Durchsuche Prozess 'MSGSRV32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KERNEL32.DLL' - '1' Module wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 27 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\SYSTEM'
C:\WINDOWS\SYSTEM\z3795.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7aeb9866.qua' verschoben!
C:\WINDOWS\SYSTEM\z3225.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ae4937e.qua' verschoben!
C:\WINDOWS\SYSTEM\z3228.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7de49383.qua' verschoben!
C:\WINDOWS\SYSTEM\z3234.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79e5938f.qua' verschoben!
C:\WINDOWS\SYSTEM\z3281.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '76ea9391.qua' verschoben!
C:\WINDOWS\SYSTEM\z3199.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7eeb9291.qua' verschoben!
C:\WINDOWS\SYSTEM\z3881.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '76ea9992.qua' verschoben!
C:\WINDOWS\SYSTEM\z298.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.PG
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '73ea9a91.qua' verschoben!
C:\WINDOWS\SYSTEM\wmdrtc32.dl_
[0] Archivtyp: MSCOMPRESS
--> wmdrtc32.dl
[FUND] Enthält Signatur des Wurmes WORM/Warezov.ET.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'ba24c5cc.qua' verschoben!
C:\WINDOWS\SYSTEM\wmdrtc32.dll
[FUND] Enthält Signatur des Wurmes WORM/Warezov.ET.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bac73971.qua' verschoben!
C:\WINDOWS\SYSTEM\z280.exe
[FUND] Ist das Trojanische Pferd TR/Hijack.Explor.1613
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '73e2999f.qua' verschoben!


Ende des Suchlaufs: Samstag, 20. Januar 2007 19:39
Benötigte Zeit: 15:29 min

Der Suchlauf wurde vollständig durchgeführt.

81 Verzeichnisse wurden überprüft
3632 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3621 Dateien ohne Befall
12 Archive wurden durchsucht
0 Warnungen
0 Hinweise




so, hier das hijack log:
Logfile of HijackThis v1.99.1
Scan saved at 19:47:14, on 20.01.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\CASIO\PHOTO LOADER\PLAUTO.EXE
C:\PROGRAMME\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\PROGRAMME\TELEDAT\TELWEB32.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OPERA\OPERA9\OPERA.EXE
C:\WINDOWS\WUAUBOOT.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVCENTER.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVSCAN.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = '+video_name+' to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old
F1 - win.ini: run=C:\WINDOWS\INET20000\SERVICES.EXE
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\PROGRAMME\TOOLBAR888\MYTOOLBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKLM\..\RunOnce: [Registering hhctrl.ocx..] C:\WINDOWS\SYSTEM\regsvr32 /s hhctrl.ocx
O4 - HKLM\..\RunOnce: [Registering itircl.dll..] C:\WINDOWS\SYSTEM\regsvr32 /s itircl.dll
O4 - HKLM\..\RunOnce: [Registering itss.dll..] C:\WINDOWS\SYSTEM\regsvr32 /s itss.dll
O4 - HKLM\..\RunOnce: [WUAUBOOT] C:\WINDOWS\wuauboot.exe -ResetForSelfUpdate
O4 - Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .de/fb3/berufliche_bildung/hochschulzugang_und_anerkennung_studienabschluss: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.4,85.255.112.15
O20 - AppInit_DLLs:
O21 - SSODL: CDRecorder026 - {A3BC5E20-0235-1ABF-9CE1-00AA00512026} - C:\WINDOWS\SYSTEM\OGMMRC32.DLL (file missing)