Vermutung auf Trojaner und Wurm

Rheanna

Ein freundliches Hallo miteinander.

Nachträglich noch ein frohes Fest.
Wobei ich da gleich zum Thema komme:

Mein Bekannter ist eher etwas "unbedarft" was PCs angeht und surft seit 2003 ohne Virenscanner.
Gestern ging das Gerät aus und heute sprang er dann gar nicht mehr wirklich an (Laptop). Vorher hatte er von 1&1 eine Email bekommen, die einen Virus auf seinem Rechner vermeldete, der "die Mailserver kontaktierte".
Nach einigem Hin und Her, einlegen der Windows-CD und Neustart kam er dann wieder auf die Windows-Oberfläche. Da sein latein schon lange nicht mehr ausreicht kontaktierte er mich und so habe ich mich mit Tante Google auseinanderesetzt.
Das erste was wir taten als der Rechner wieder ansprang war ein Online-Scan durch bitdefender.com. Dort wurde eine Datei lediglich gemeldet und zwar Parents Friends. Nach seinen Aussagen hat er niemas von dem Programm gehört. Nach Befragen von Google kam heraus das das Kürzel BSI für das Bundesam für sicheres Internet steht und Parents Friends ein Programm ist, welches einen internen Keylogger hat.
Da er es nicht installiert hat besteht die Vermutung eines Trojaners. Die angegebene Tastenkombi zum Aufrufen der Konsole blieb ereignislos und auch die Deinstallations-Routine winadmkill/uninst konnte nicht ausgeführt werden, da die Datei nicht auf dem Rechner vorhanden ist.

Da er gestern bei Amazon etwas bestellen wollte, aber weder eine Bestätigung bekommen hat noch im Bestellverlauf etwas zu sehen ist bekam er heute Panik und hat den Rechner aus dem Internet genommen, nachdem wir erst mal Antivir installiert haben.
Betreffende Passwörter habe ich für ihn geändert von meinem Rechner aus.

Ein HiJackthis-Log liegt noch nicht vor, da er gar nicht weiss wie er es erstellen soll.

Als ich dann wissen wollte ob die Datei wenigstens im Taskmanager unter Prozesse aufgeführt wird erklärte sich dann auch die Speicherauslastung von 100%: scvchost.exe ist 9 Mal vorhanden und einmal davon eine Auslastung von 99%...
Er brach den Prozess ab und sofort kam NT-Autorität\System und der Rechner gab ihm 1 Minute zum sichern der Dateien. Das hatte er wohl heute morgen schon einmal, jedoch hatte er da einfach nur Fotos betrachtet.

Ich weiss, das klingt alles sehr verwirrend, aber ich weiss nicht wie ich es sonst erklären soll (schließlich hatte ich bisher nicht die Möglichkeit direkt vor dem Gerät zu sitzen)..

Ich befürchte eine Einschmugglung via Trojaner - nur leider konnte ich keinen Lösungsansatz finden die Datei zu löschen.

Seine Angst ins Internet zu gehen kann ich nachvollziehen und deshalb frage ich nun stellvertretend für ihn, was wir nun noch tun können? Wie wird man dieses Programm wieder los? Woher kommt die Konsole des BSI (die man öffnen kann via Start.exe)? Und warum gibt es das NT-autoritäts-Problem?
Ich würde ihm gern helfen bevor er zum ortsansässigen PC-Typen geht, der meiner Meinung nach nicht mehr Ahnung hat wie ich...(und vor allem älteren Damen einen PC für 800 Euro zusammenbaut und ein gecracktes Windows XP installiert)...

Ist eine Ferndiagnose überhaupt möglich ohne HijackThis oder andere Programme? (Ich vermute Nein).

Für jeden gutgemeinten Rat oder jede Info wären wir sehr verbunden!

Lieben Gruß,
Rheanna