Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vundo - Virtumundo - Trojaner - geeby.dll löschen

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

20.09.2006, aktualisiert 28.09.2007, 31979 Aufrufe, 5 Kommentare

Hier und da erwischt mich auch mal ein Virus oder ein Trojanern. So vor 3 Tagen, als ich ein Tool für einen Freund testen sollte. Ich habe ihn auch entfernen können, doch dieser Trojaner war wirklich sehr sehr hartnäckig und nur mit Tricks zu löschen. Daher hier ein kleiner Erfahrungsbericht wie man ihn (fast) manuell finden und löschen kann. Alle Angaben ohne Gewähr!

Meine bestehende Antivirus/Spamsoftware hat versagt! "Microsoft Defender" sagte sogar "Ihr System läuft einwandfrei" und hat nichts erkannt (was für ein Hohn, ich bin enttäuscht von diesem Tool -> deinstall), Spybot Search & Destroy hat zwar etwas erkannt, konnte aber, wie auch der Symantec Antivirus, den Trojaner/Virus nicht löschen oder bereinigen.

Wie wirkt sich der Tojaner/Virus aus? Wenn ich meine Browser (Firefox oder Internet Explorer) öffne, gab es eine Menge Popups für Antivirsusoftware (?!), danach im Minutentakt verschiedene Popups mit Werbung. Die Systemleistung geht in den Keller und es nerft massig!

Ein Tip für alle die Viren suchen: in die Ordner "/windows" und "/windows/system32" gehen und sich die Dateien nach Datum sortieren.
Recht schnell sollte man so verschiedene "dll", "dat" usw. Dateien finden, die vom aktuelle Tag sind und die man nicht wirklich zuordnen kann. In der Regel sind das dann gute Kanidaten für Viren oder Trojaner. Wenn eine Datei nicht bekannt ist, einfach mal die "dll" (usw.) in Goole eingeben. Dort sieht man sehr schnell wofür diese Datei steht und Windows sie braucht.

Ok, zurück zum Problem. Ich fand zwei "dlls" die "geeby.dll" und die "winstr32.dll". Beide konnte ich natürlich nicht löschen und sie waren auch noch versteckt (Einstellung: Versteckte Systemdateien anzeigen -> aktivieren). Leider half auch der abgesicherte Modus von Windows nicht sie zu löschen. Also in der Regedit danach suchen -> nachdem ich alle Einträge für "geeby" und die "winstr32" in der Registry gelöscht habe (Achtung: Vorher ein Backup der Registry (Export) machen!!) konnte ich nach einem Reboot in den abgesicherten Modus schon mal die "winstr32.dll" löschen. Ein Problem weniger. Doch die "geeby.dll" verweigerte weiterhin die Löschung. Interessant: nur ein paar Sekunden nach der Löschung aus der Winsows Registry, waren die Einträge der "geeby.dll" wieder drin! Da hat ein Trojaner Programmierer mal nachgedacht Ok, was nun?

Ab hier gibt es zwei Möglichkeiten:
1) Linux Live CD mit Möglichkeit auf NTFS booten und Datei löschen oder
2) folgendes Tooll von McAfee laden: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
(Infos dazu gibt es unter: http://forums.mcafeehelp.com/viewtopic.php?t=57049

Das Tool löscht die Registry Einträge und löst einen BlueScreen (Windows Absturz) aus, um zu verhindern das "geeby.dll" sich wieder in die Registry schreibt. Dann sollte man wieder in den abgesicherten Modus booten und siehe da: Die "geeby.dll" wurde umbenannt in "geeby.dll.vir". Diese Datei jetzt löschen und Spybot Search & Destroy noch mal über die Festplatte laufen lassen (Papierkorb leeren nicht vergessen!)

Das wars, der Trojaner sollte jetzt terminiert sein

Alternativ gibt es von Symantec auch noch einen Remover. Den habe ich aber nicht mehr testen können:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan ...

Spybot Search & Destroy
http://www.safer-networking.org/de/index.html

Viel Spaß noch beim Entfernen!

Gruß
Frank
Mitglied: The-Warlord
20.09.2006 um 16:27 Uhr
Ich find das Tool killBox total geil, einfach die Datei mit dem vermuteten Schädling an Killbox übergeben, diesem so einstellen das er die Dateien beim Neustart löscht und fertisch. Bei RootKits hilft das allerdings wenig;-(

Ich hatte vor zwei Wochen einen Krassen Virus bei nem Kumpel von mir...
Der hat die Passwörter ALLER Benutzer verändert und den Rechner in eine Domäne geholt die genauso hiess wie der Rechnername (und das ganz ohne Domaincontroller.. RESPECT). Wollte mit Linux zumindest ein paar Daten retten, was mir allerding nicht gelang, weil nicht weiss wie man unter Linux SATA devices anspricht.

War eh nix wichtiges Drauf.. Naja Neuistall ging auf jedenfall gut;-P

Ach... Der Virenscanner auf dem Rechner war von Steganos

MfG The-Warlord
Bitte warten ..
Mitglied: Frank
20.09.2006 um 16:45 Uhr
Hi,

auch Killbox war nicht in der Lage die "geeby.dll" zu löschen. Ich habe alle Einstellungen probiert. Hier der Download von Killbox: http://www.killbox.net/

Gruß
Frank
Bitte warten ..
Mitglied: The-Warlord
21.09.2006 um 12:06 Uhr
Schade, aber sonst is das Tool trotzdem recht cool

MfG The-Warlord
Bitte warten ..
Mitglied: Supaman
29.09.2006 um 13:30 Uhr
wenn man erst mal weis, welche dateien es sind, ist der rest recht einfach. der knackpunkt ist, das der trojaner im speicher aktiv ist und wie oben beschrieben div. mechanismen zum selbstschutz aktiv sind.

meistens findet man dieselben dateien als aktive prozesse im taskmanager.

prozesse manuell beenden -> registry einträge löschen -> dateien von der platte löschen.
Bitte warten ..
Mitglied: nastes
28.09.2007 um 13:49 Uhr
Hallo,

das Problem ist das sich bei Vundo die .dll (bei mir war es die gebyy.dll) so im System festsetzt (Mir fehlt an dieser Stelle der fachlich korrekte Ausdruck), dass sie mit der Winlogon.exe gestartet wird. Und den Prozess will sich Windows einfach nicht abschalten lassen... ;)
Naja jetzt hatte ich wenigstens mal eine Verwendung für meine XP-Live CD...

nastes
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Sicherheit

BKA soll bereits Trojaner in Ermittlungen einsetzen

Information von BassFishFoxSicherheit4 Kommentare

Also die Idee mit dem Bildschirmfoto ist ja nicht so neu. Das Bundeskriminalamt (BKA) setzt nach Informationen von NDR, ...

Viren und Trojaner

Billig-China-Smartphones bringen Trojaner in der Firmware mit

Tipp von LochkartenstanzerViren und Trojaner13 Kommentare

Wer der Versuchung nicht widerstehen kann, direkt beim Chinesen eines der - druchaus gut ausgestatteten und i.d.R. brauchbaren - ...

Verschlüsselung & Zertifikate

BeA-Debakel, die Fortsetzung - Trojaner-Befall nicht ausgeschlossen

Information von kgbornVerschlüsselung & Zertifikate2 Kommentare

Ich stelle es mal hier mit ein, falls Dienstleister mit Anwälten als Klienten hier unterwegs sind. Das besondere elektronische ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 6 StundenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 15 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing18 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...