Backdoor BDS / VB.lss

Hallo,

nachdem ich nach den Forenregeln versucht habe ca 60 (!!!) Viren/Trojaner auf dem Rechner meiner Nichte zu entfernen, habe ich nun doch einige Fragen. Vorweg: Ich bin normaler User...

Der Provider meiner Schwester hat den Mailaccount "dicht" gemacht, weil da wohl kräftig "traffic" war. Ursache ist nun der o.g. Rechner. Nur werde ich einen Teufel tun und diesen an meinen Router zu hängen, weil ich nicht weiß, wie schnell dann mein Rechner infiziert ist, bzw, wann mir dann mein Provider den Hahn zudreht.
Das Free Avira wurde nur sporadisch gepflegt, ebenso die Windows XP (Home) Updates nicht automatisch abgerufen. Meine Nichte sagt, sie habe eine Datei, die sie über ICQ bekommen hat "dummerweise" geöffnet.

Ich würde gern hier HJT-Logs posten, weiß aber nicht, wie ich die Virenfrei auf meinen Rechner bekomme, - und will da auch nichts riskieren.

Ausgangssituation war, das der Rechner nicht mehr startete. Im abgesicherten Modus geht alles. Habe dann den Avira mit VD-Datei vom 10.05.2010 darüberlaufenlassen und der hat dann auch gleich annähernd 60 Funde gehabt, hier eine Auswahl:

BDS/VB.lss
TR/Agent.AO.1255
TR/Crypt.XPACK.Gen2
TR/Dldr.Renos.AB.4
TR/Crypt.ZPACK.Gen
TR/Agent.165888
TR/Drop.Agen.263680
TR/Buzus.dsbm
TR/Dldr.Harnig.15397.Q.1
TR/Gendal.64512.B
usw...

Einige konnte man löschen, aber die kommen halt immer wieder...

Win XP lässt sich jetzt wieder normal starten, aber es kommen 3 Boxen mit identischem Inhalt als Fehlermeldung nach der Anmeldung (nur 1 Benutzer):

"Application Error
Exeption GIFExeption in module aviWUSB54Gv4.dll at 0002516B"

...ebenso versucht irgendeine Anwendung andauernd das Avira AntiVir Personal zu DEinstallieren (Name: DataProtection?)

Wir/ich habe(n) uns/mich jetzt entschieden das System neu aufzusetzen. Nur möchte meine Nichte verständlicherweise ihre Fotos runterziehen, da eine Datensicherung selbstverständlich auch nie gemacht wurde

Nun bräuchte ich mal Hilfe. Ich habe versucht mit der Knoppicillin 6.irgendwas auf das System zuzugreifen, was aber leider immer wieder nicht klappt. Ich bin mit linux sehr wenig vertraut - leider.
Wie groß ist die Chance, dass ich mir beim Retten der Fotos einen Virus mit auf die DVD ziehe?

Wie bekomme ich die Platte nachher richtig formatiert, sodass keine Virenreste auf ihr verbleiben, sodass das ganze dann für die Katz war.

Gibt es irgendwo eine vertrauenswürdige Quelle, wo ich mir ein ISO eines Life-System (Linux) downloaden könnte?

Hinter dem WLAN-Router hängen noch zwei weitere Rechner, die aber Virenscanner-technisch besser gepflegt werden. Avira hat bei denen keine Funde gehabt. Was sollte bei diesen beiden Rechnern noch präventiv unternommen werden?

Was ist mit der Digicam und dem MP3-Player, die am infizierten Rechner betrieben wurden? Müssen die auch "behandelt" werden?

Vielen dank schon im voraus fürs Lesen...

Gruss bullibuilder

Hallo und

Die Logs bekommst Du per USB-Stick rüber.
Du solltest vorsichtshalber aber den Autorun komplett abstellen. Als weitere Vorsichtsmaßnahme: arbeite auf dem PC, der die Logs vom infizierten PC bekommt, nur mit eingeschränkten Rechten!! (sollte eigentlich selbstverständlich sein, ständig mit Adminrechten ist ne Riesenlücke!)

Zitat:

Nun bräuchte ich mal Hilfe. Ich habe versucht mit der Knoppicillin 6.irgendwas auf das System zuzugreifen, was aber leider immer wieder nicht klappt. Ich bin mit linux sehr wenig vertraut - leider.

Nimm sowas wie Knoppix oder Parted Magic. Einfach mal nach googeln oder Du schaust da vorbei => http://www.trojaner-board.de/75619-a...x-live-cd.html

Zitat:

Wie groß ist die Chance, dass ich mir beim Retten der Fotos einen Virus mit auf die DVD ziehe?

Fotos sind reine Datendateien, die sind normalerweise ungefährlich. Nur alles was ausführbar ist, solltest Du nicht mitsichern.

Zitat:

Wie bekomme ich die Platte nachher richtig formatiert, sodass keine Virenreste auf ihr verbleiben, sodass das ganze dann für die Katz war.

Wenn Du nur die Schädlinge weghaben willst: Da bedarf es keiner gründlichen Überschreibung, das macht man nur, damit zB private Daten nicht mehr wiederhergestellt werden können, wenn man die Festplatte verkaufen will oder so. Einfach beim Neuaufsetzen im Windows-Setup alle Partition von der Platte des infizierten PC löschen und neu anlegen.

Zitat:

Avira hat bei denen keine Funde gehabt. Was sollte bei diesen beiden Rechnern noch präventiv unternommen werden?

Du kannst bei denen mal das Tool Malwarebytes drüberlaufen lassen.

Zitat:

Was ist mit der Digicam und dem MP3-Player, die am infizierten Rechner betrieben wurden? Müssen die auch "behandelt" werden?

Eigentlich nicht. Nur evtl. wurden auf den Speicherkarten autorun.inf Dateien abgelegt, sofern das so ist, kann man Speichermedien wie SD-Karten oder USB-Sticks rel. zuverlässig mit dem FlashDisinfector entseuchen. Aber wie gesagt, am besten man stellt den Autorun grundsätzlich aus, weil diese Funktion imho bedenklich ist und der Benutzer lernen sollte, wie man über einen Dateimanager auf ein Speichermedium zugreift.

Autorun auf allen Laufwerken deaktivieren
Ich empfehle, den Autorun grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autorun auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Hallo cosinus,

ersteinmal vielen Dank für die schnelle Hilfe. Muss leider die Woche über recht viel und lange arbeiten, aber hier in NRW ist ja Donnerstag Feiertag...
Ich melde mich auf jeden Fall wieder

Herzl. Gruß
Bullibuilder

Hallo,

wollte mich nur nochmal für die Hilfe bedanken!
Der Rechner läuft wieder, - ich hoffe nur, dass Frau die mit auf den Weg gegebenen "Regeln" auch ein wenig einhält

Neu aufsetzen ist doch ein langer Prozess, aber es hat sich gelohnt.

Bis bald
Gruss Carsten