Maleware Windows Scurity Alert (Trojan.Dropper)
 

Hallo,

das Notebook meines Vaters hat sich eine Maleware eingefangen, bei dem ich nicht weiterkomme.

Das problem ist wohl das selbe wie in diesem Thred : Thread

Ein systray-icon spukt am laufenden Band falsche fehlermeldungen aus, die nach mehrmligen wegklicken in einen neustart münden und auf laufwerke und festplatte kann nicht mehr richtig zugegriffen werden.

Meldungen sind unter anderem : "Damaged hard drive clusters detected. Private data is at risk" als Baloon pop-up
oder eine Messgebox mit dem Titel "Windows - No Risk" mit dem Inhalt
"Exception Processing Message 0x0000013 Parameters 0x000007FE... 0x000... 0x000... 0x000..."

Ich hatte zuvor schon versucht es lediglich mit Malewrebytes zu entfernen,
was keinen dauerhaften erfolg hat.

Auch Avira hatte zwar schadsoftware gefunden und gelöscht aber nicht dauerhaft.

Ich habe mit OTL log angefertigt, kann mir selbst leider nit helfen :/
Daher hoffe ich das mir hier evtl. geholfen werden kann.

//----------------------------------------------------------------------

//----------------------------------------------------------


und hier der report von Malewarebytes:
//--------------------------------------------------------


Und der Vollständigkeit hlber das log von vira das das zusaätzlich einen JAVA/OpenConnect.CF gefunden hat:

Vielen Dank schon mal

Hallo masilius und Willkommen am Trojaner Board!


Ich schaue mir deine Logs durch, arbeite du bitte noch diese Anleitung ab.



Vorweg ein paar Hinweise (Bitte beachten!):

• Lies meine Anleitung für dich sorgfältig durch, bevor du beginnst. Führe alle Schritte unbedingt der Reihe nach aus, da manchmal der eine Punkt den anderen voraussetzt.
• Wenn dir etwas im Verlauf der Bereinigung unklar ist, frage bitte in deinem Thread nach, bevor du weitermachst.
• Lade alle hier angeordneten Programme nur durch die jeweiligen Links herunter! Wenn ein Link nicht funktionieren sollte, melde dich bitte.
• Installiere während der Bereinigung keine weiteren Programme, ausser denen, die wir dir für die Bereinigung anordnen.
• Berichte zu jedem Schritt, ob Du ihn abgearbeitet hast, bzw. ob und welche Probleme dabei aufgetreten sind.
• Sollten beim Abarbeiten der Anleitung Probleme auftauchen, bitte vorerst nicht weitermachen, sondern stoppen und das Problem hier im Thread schildern.
• Editiere alle persönlichen Daten wie z.B. vollständige Namen realer und privater Personen aus den geforderten Logfiles, bevor du sie postest.
• Und falls eine Antwort mal länger dauern wird, freu ich mich auch über einen hinweis :)

Ich geb mir Mühe, alles zu finden, was nicht auf dein System gehört, aber muss dich darauf hiweisen, dass Formatieren und Neuaufsetzen in den meisten Fällen die schnellste und sicherste Variante ist ein sauberes System zu bekommen. Wenn du trotzdem bereinigen möchtest, folgt hier die Anleitung:






1.) Rootkitscan mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Ok soweit geschafft.

- Deamon Tool mit Defogger ausgeschaltet:
- Avira deaktiviert
- WLAN ausgeschaltet
- Programme beendet
- mit Gmer einen Rootkitscann durchgeführt


- Bemerkung: Das Ausführen von Programmen wird durch Schadsoftware immer wieder erschwert, was gerade bei Defogger Probleme verursacht hat. Im ersten Anlauf konnt er keine datei schreiben, irgendwann hatte es augenscheinlich geklappt.

Zur not hab ich mir schon mal ne live distribution von Linux geholt für ne datenrettung und anschließendes neuaufsetzen des Windowssystems... : /

1.) Software deinstallieren
Start -> Systemsteuerung -> Software
Wähle folgende Software aus:
-> Ändern/entfernen
-> Und deinstallieren.





2.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  
  Code:

  ---

  :OTL
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [8pFDTCIGN] C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\8pFDTCIGN.exe File not found
O4 - HKCU..\Run: [ATWVDpkVgjt.exe] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ATWVDpkVgjt.exe (msql software)
O4 - HKCU..\Run: [SN7mxS6R7neY1WV] C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\SN7mxS6R7neY1WV.exe File not found
O4 - HKCU..\Run: [ueYCO32e8WQQY] C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\ueYCO32e8WQQY.exe File not found
O33 - MountPoints2\{5a4e8922-9a3a-11df-a79a-00210085082d}\Shell - "" = AutoRun
O33 - MountPoints2\{5a4e8922-9a3a-11df-a79a-00210085082d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5a4e8922-9a3a-11df-a79a-00210085082d}\Shell\AutoRun\command - "" = F:\AutoRun.exe -- File not found
O33 - MountPoints2\{5fb145a8-ddde-11de-a74b-001e0a00013d}\Shell - "" = AutoRun
O33 - MountPoints2\{5fb145a8-ddde-11de-a74b-001e0a00013d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{676e8702-c091-11de-a71c-00210085082d}\Shell - "" = AutoRun
O33 - MountPoints2\{676e8702-c091-11de-a71c-00210085082d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{676e8702-c091-11de-a71c-00210085082d}\Shell\AutoRun\command - "" = G:\autorun.exe -- File not found
O33 - MountPoints2\{9b1c2908-e02e-11de-a74f-00210085082d}\Shell - "" = AutoRun
O33 - MountPoints2\{9b1c2908-e02e-11de-a74f-00210085082d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9b1c2908-e02e-11de-a74f-00210085082d}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\{adadf5e8-c9f8-11de-a736-00210085082d}\Shell - "" = AutoRun
O33 - MountPoints2\{adadf5e8-c9f8-11de-a736-00210085082d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{adadf5e8-c9f8-11de-a736-00210085082d}\Shell\AutoRun\command - "" = F:\AutoRun.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
[2010.12.30 09:30:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Harald\Startmenü\Programme\Easy Scan
[2010.12.30 09:25:48 | 000,428,544 | ---- | C] (Point Corp) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\EvDdtiGBBuH.dll
[2010.12.30 09:25:47 | 000,478,208 | ---- | C] (msql software) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ATWVDpkVgjt.exe
[2010.12.12 17:51:26 | 007,622,112 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Harald\Desktop\mbam-setup-1.50.0.0.exe
[2011.01.05 17:31:48 | 000,428,544 | ---- | M] (Point Corp) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\EvDdtiGBBuH.dll
[2010.12.30 09:31:00 | 000,000,280 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~ueYCO32e8WQQY
[2010.12.30 09:31:00 | 000,000,176 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~ueYCO32e8WQQYr
[2010.12.30 09:30:59 | 000,000,878 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\Easy Scan.lnk
[2010.12.30 09:30:58 | 000,000,344 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ueYCO32e8WQQY
[2010.12.30 09:25:47 | 000,478,208 | ---- | M] (msql software) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ATWVDpkVgjt.exe
[2010.12.11 16:00:36 | 005,476,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\BOM2148_setup.exe
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf OK.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.) Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Ask toolbar ist unter software nicht aufgeführt.

Im Ask.com Programmordner finden sich an ausführbaren dateien lediglich ein SaUpdate.exe und UpdateAsk.exe

Dann gleich weiter mit OTL :)

- Mit OTL gefixt
- Neustart

- OTL Scann
//----------------------------------------------------


Nach dem Fix schaut schon alles wesentlich freundlicher aus :)
Datenzugriff geht wieder, und fehlermeldungen kommen im moment keine mehr :)

1.) Einstellungen prüfen
Stelle sicher, dass bei dir alle Ordner und Dateien angezeigt werden:

• Starte den Windows Explorer (Rechtsklick auf Start -> Explorer)
• => Extras
• => Ordneroptionen
• => Ansicht
• Ändere folgende Einstellungen:
  • Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
  • Entferne den Haken bei Geschützte Systemdateien ausblenden
  • Setze den Haken bei Inhalte von Systemordnern anzeigen (Nicht in Vista vorhanden)
  • Unter "Versteckte Dateien und Ordner" setzt du den Punkt bei Alle Dateien und Ordner anzeigen

2.) Dateiüberprüfung auf Virustotal
Besuche Virustotal
Suche dort nacheinander folgende Dateien und lade sie über den Button "Send file" hoch.
Die Überprüfung kann jeweils einige Minuten dauern. Wenn die Datei bereits von anderen Usern geprüft wurde, lasse sie erneut prüfen. Poste mir die Ergebnisse mit Kopf und allem in Codetags hier in den Thread.
Wenn eine Datei nicht zu finden ist, sag mir bitte Bescheid.





3.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code:

  ---

  :OTL
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019
[2010.12.11 16:02:17 | 000,000,000 | ---D | M] (Foxit Toolbar) -- C:\Dokumente und Einstellungen\Harald\Anwendungsdaten\Mozilla\Firefox\Profiles\nyfibsn0.default\extensions\toolbar@ask.com
O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
[2010.12.11 11:48:34 | 000,000,000 | ---D | C] -- C:\Programme\Ask.com
[2010.12.11 11:48:38 | 000,000,228 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf OK.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Das Ergebnis der Dateiüberprüfung auf Virustotal
• Das Logfile vom OTL-Fix

- Datei und Ordneranzeige angepsst

- Datei überprüft
Virustotallog:
- OTL Fixlog:

MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

- MBR Check Log:

Das läuft ja klasse und deine Logs sehen auch gut aus :) Kontrollieren wir das System jetzt mit diesen beiden Scannern, Malwarebytes (erneut) und Eset. Ich gucke dann morgen abend wieder rein.



1.) Malwarebytes Antimalware

• Denke daran, bei Vista & Win 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierung).
• Aktiviere "Vollständigen Suchlauf durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Versichere Dich, dass alle Funde markiert sind.
• Achtung: Bitte alle Funde, die im Ordner "C:\System Volume Information" gemacht werden sollten, vorerst noch nicht markieren, sie sollen noch bestehen bleiben!
• Drücke auf "Löschen"
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.

2.) Eset Online Scan
ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Bitte poste in deiner nächsten Antwort:

• Das neue Malwarebytes-Logfile
• Das Logfile vom Eset-Onlinescan

Und beschreibe zusätzlich, wie das System nach den Schritten läuft.

Malwarelog:
Eset:
Also doch noch was übrig geblieben ?!

Nein, das ist okay. Eset hat die Dateien entdeckt, die wir bereits sicher mit OTL in Quarantäne gesteckt haben und die mit Ebay halte ich für nicht so wild.


Du musst noch darauf antworten:




1.) Java aktualisieren
Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.
Downloade nun die Offline-Version von Java Version 6 Update 23 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.





2.) Windowsupdates

Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter.

Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View.





3.) Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Oh stimmt, entschuldige.

Das System läuft problemfrei, Programme lassen sich normal öffnen, die "verschwundenen" Dateien sind wieder da, keine falschen Warnmeldungen mehr, oder sonstige Aufälligkeiten. :)


- Java neuinstalliert

- Windows aktualisert

- OTL scann:

//--------------------------------------------------------

Gut, dann sind wir so gut wie fertig :) Das sind die letzten Schritte:


1.) CCleaner
Bereinige dein System mit dem CCleaner, Anleitung gibts hier. Schritt 1 und 2 bitte.





2.) Einstellungen zurücksetzen
Die Einstellungen aus Post 8 Schritt 1 kannst du nun wieder zurücksetzen.





3.) Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.





4.) Systemwiederherstellung leeren

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

Und für die Zukunft: Sicherheit im Internet

Wow, super, vielen vielen dank. :daumenhoc

Das hätt ich so nicht hinbekommen !

Gibt es auch irgendwo eine hilfe zu selsbthilfe ? Also wie komm ich selbst dazu solch ein Problem zu lösen ?

Bei meinem System hab ich bisher keine Probleme dieser art gehabt, aber so wie ich meinen alten Herren kenne, kann es sein das ich bald wieder mit sowas ähnlichem konfrontiert werde :eek:

Diese Hilfe hier ist schon bemerkenswert *Respekt*

-
Masilius

:o Bittesehr.

Bei manchen Infektionen gibt es mittlerweile Schritt für Schritt Anleitungen, die man einfach abarbeiten kann, bei anderen gibt es Programme, die speziell auf eine Infektion zugeschnitten sind. (Das ist leider nicht immer so, da Malware sehr individuell ist) Das setzt natürlich vorraus, dass man ungefähr weiß, was auf seinem System los ist. Um Malware selber vom System zu entfernen braucht es schon gewisse Kenntnisse über Betriebssysteme und das drumherum, ausserdem natürlich über die Malware. Manchmal hat man Glück und das installierte Antivirenprogramm ist in der Lage das Problem selbst zu lösen. Es gibt im Internet Schulungen, über die man unter Anleitung von erfahrenen Bereinigern einiges lernen kann, zb auch das Logfileauswerten, sodass man letztendlich selbst an einem Forum wie dem hier Usern helfen kann.

Am besten und sichersten ist es aber, es gar nicht erst zu Malwarebefall kommen zu lassen ;) Deinen Vater solltest du darauf aufmerksam machen, dass er mit einem blauen Auge davon gekommen ist. Es kann durch Malware auch viel schlimmer kommen; Datenverlust, Spionage der persönlichen Daten und Passwörter, was besonders problematisch bei Onlinebanking und Co werden kann, Sperrung des Internetzuganges, etc. Es ist auch möglich, dass der eigene PC als Zwischenspeicher für brisante Daten genutzt wird...
Man sollte das nicht auf die leichte Schulter nehmen, auch wenn das nun die Härtefälle sind.
Hilf ihm doch sein System besser abzusichern, du scheinst nicht ganz unwissend in Computerdingen zu sein :) Ansonsten sollte er sein Surfverhalten überdenken, nähere Infos dazu und zur Absicherung findest du ja oben in dem Link. Man kann sich eine Menge Arbeit und viel Ärger dadurch ersparen!