Hallo,

ich habe ein Problem mit dem Laptop eines Nachbarn. Am Anfang hieß es nur, der Virenscanner führe keine Updates mehr durch, ob ich das beheben könne.
Als ich an dem Rechner (Win XP) war mekte ich schnell, dass das nur die Spitze des Eisberges ist: Die Windows-Firewall ließ sich nicht aktivieren, der Task-Manager war blockiert, die CPU immer zu 100% ausgelastet, Windows-Sicherheitsupdates schlugen immer fehl und netstat zeigte ein paar (hundert) Verbindungen an, die eigentlich nicht da sein sollten.

Ich habe die Firewall wieder hinbekommen, den Virenscanner (G Data) aktualisiert, die Windows-Updates manuell eingespielt, zig Viren/Trojaner ect. eliminiert, der Taskmanager tut wieder und die Idle-CPU-Last ist im unteren einstelligen Bereich. Der Virenscanner lief komplett über das System und Spybot ist installiert und hat auch einiges wieder geradegebogen. Momentan läuft der Stinger durch, an den Rechner komme ich jedoch erst wieder am Donnerstag.

Das vermutlich einzige das ich noch nicht in den Griff bekommen habe ist der Spambot. G-Data scannt wie verrückt ausgehende Mails und netstat listet gut 50 smtp-Verbindungen. Außerdem kam heute morgen eine Mail vom Provider 1&1, in der unter anderem steht: "... Unser Expertenteam hat Hinweise darauf erhalten, dass sich auf einem Computer an Ihrem Anschluss ein Virus befindet: Ihr Anschluss hat Verbindung zum 1&1 Mailserver aufgenommen ohne zuvor eine Mailbox zu verwenden oder sich zu authentifizieren...".
Wenn die sich schon melden muss der Spam wohl beträchlichen Umfang haben, obwohl der Laptop nur selten läuft.

Jetzt die eigentliche Frage: Ist es möglich den Rechner wieder hinzubiegen ohne ihn komplett neu aufzusetzen? Ich hätte den Rechner schon längst neu aufgesetzt, wäre der Besitzer nicht ein Senior, der vermutlich seine Probleme bekommt, wenn nicht danach alles wieder exakt gleich aussieht wie davor. Daher möchte ich das falls irgend möglich vermeiden.

In der Hoffnung, dass es eventuell hilfreich ist bzw. zur Bot-Identifikation taugt, habe ich einen netstat-Screenshot mit einigen offenen smtp-Verbindungen angehängt. Ich habe leider (noch) keinen HijackThis-Log.

Im Voraus schon mal vielen Dank für alle Hilfe.

Gruß,
GMG

Hallo und

Poste bitte alle Logs (GDATA, Spybot etc)

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.