Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vundo - Virtumundo - Trojaner - geeby.dll löschen

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

20.09.2006, aktualisiert 28.09.2007, 32094 Aufrufe, 5 Kommentare

Hier und da erwischt mich auch mal ein Virus oder ein Trojanern. So vor 3 Tagen, als ich ein Tool für einen Freund testen sollte. Ich habe ihn auch entfernen können, doch dieser Trojaner war wirklich sehr sehr hartnäckig und nur mit Tricks zu löschen. Daher hier ein kleiner Erfahrungsbericht wie man ihn (fast) manuell finden und löschen kann. Alle Angaben ohne Gewähr!

Meine bestehende Antivirus/Spamsoftware hat versagt! "Microsoft Defender" sagte sogar "Ihr System läuft einwandfrei" und hat nichts erkannt (was für ein Hohn, ich bin enttäuscht von diesem Tool -> deinstall), Spybot Search & Destroy hat zwar etwas erkannt, konnte aber, wie auch der Symantec Antivirus, den Trojaner/Virus nicht löschen oder bereinigen.

Wie wirkt sich der Tojaner/Virus aus? Wenn ich meine Browser (Firefox oder Internet Explorer) öffne, gab es eine Menge Popups für Antivirsusoftware (?!), danach im Minutentakt verschiedene Popups mit Werbung. Die Systemleistung geht in den Keller und es nerft massig!

Ein Tip für alle die Viren suchen: in die Ordner "/windows" und "/windows/system32" gehen und sich die Dateien nach Datum sortieren.
Recht schnell sollte man so verschiedene "dll", "dat" usw. Dateien finden, die vom aktuelle Tag sind und die man nicht wirklich zuordnen kann. In der Regel sind das dann gute Kanidaten für Viren oder Trojaner. Wenn eine Datei nicht bekannt ist, einfach mal die "dll" (usw.) in Goole eingeben. Dort sieht man sehr schnell wofür diese Datei steht und Windows sie braucht.

Ok, zurück zum Problem. Ich fand zwei "dlls" die "geeby.dll" und die "winstr32.dll". Beide konnte ich natürlich nicht löschen und sie waren auch noch versteckt (Einstellung: Versteckte Systemdateien anzeigen -> aktivieren). Leider half auch der abgesicherte Modus von Windows nicht sie zu löschen. Also in der Regedit danach suchen -> nachdem ich alle Einträge für "geeby" und die "winstr32" in der Registry gelöscht habe (Achtung: Vorher ein Backup der Registry (Export) machen!!) konnte ich nach einem Reboot in den abgesicherten Modus schon mal die "winstr32.dll" löschen. Ein Problem weniger. Doch die "geeby.dll" verweigerte weiterhin die Löschung. Interessant: nur ein paar Sekunden nach der Löschung aus der Winsows Registry, waren die Einträge der "geeby.dll" wieder drin! Da hat ein Trojaner Programmierer mal nachgedacht Ok, was nun?

Ab hier gibt es zwei Möglichkeiten:
1) Linux Live CD mit Möglichkeit auf NTFS booten und Datei löschen oder
2) folgendes Tooll von McAfee laden: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
(Infos dazu gibt es unter: http://forums.mcafeehelp.com/viewtopic.php?t=57049

Das Tool löscht die Registry Einträge und löst einen BlueScreen (Windows Absturz) aus, um zu verhindern das "geeby.dll" sich wieder in die Registry schreibt. Dann sollte man wieder in den abgesicherten Modus booten und siehe da: Die "geeby.dll" wurde umbenannt in "geeby.dll.vir". Diese Datei jetzt löschen und Spybot Search & Destroy noch mal über die Festplatte laufen lassen (Papierkorb leeren nicht vergessen!)

Das wars, der Trojaner sollte jetzt terminiert sein

Alternativ gibt es von Symantec auch noch einen Remover. Den habe ich aber nicht mehr testen können:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan ...

Spybot Search & Destroy
http://www.safer-networking.org/de/index.html

Viel Spaß noch beim Entfernen!

Gruß
Frank
Mitglied: The-Warlord
20.09.2006 um 16:27 Uhr
Ich find das Tool killBox total geil, einfach die Datei mit dem vermuteten Schädling an Killbox übergeben, diesem so einstellen das er die Dateien beim Neustart löscht und fertisch. Bei RootKits hilft das allerdings wenig;-(

Ich hatte vor zwei Wochen einen Krassen Virus bei nem Kumpel von mir...
Der hat die Passwörter ALLER Benutzer verändert und den Rechner in eine Domäne geholt die genauso hiess wie der Rechnername (und das ganz ohne Domaincontroller.. RESPECT). Wollte mit Linux zumindest ein paar Daten retten, was mir allerding nicht gelang, weil nicht weiss wie man unter Linux SATA devices anspricht.

War eh nix wichtiges Drauf.. Naja Neuistall ging auf jedenfall gut;-P

Ach... Der Virenscanner auf dem Rechner war von Steganos

MfG The-Warlord
Bitte warten ..
Mitglied: Frank
20.09.2006 um 16:45 Uhr
Hi,

auch Killbox war nicht in der Lage die "geeby.dll" zu löschen. Ich habe alle Einstellungen probiert. Hier der Download von Killbox: http://www.killbox.net/

Gruß
Frank
Bitte warten ..
Mitglied: The-Warlord
21.09.2006 um 12:06 Uhr
Schade, aber sonst is das Tool trotzdem recht cool

MfG The-Warlord
Bitte warten ..
Mitglied: Supaman
29.09.2006 um 13:30 Uhr
wenn man erst mal weis, welche dateien es sind, ist der rest recht einfach. der knackpunkt ist, das der trojaner im speicher aktiv ist und wie oben beschrieben div. mechanismen zum selbstschutz aktiv sind.

meistens findet man dieselben dateien als aktive prozesse im taskmanager.

prozesse manuell beenden -> registry einträge löschen -> dateien von der platte löschen.
Bitte warten ..
Mitglied: nastes
28.09.2007 um 13:49 Uhr
Hallo,

das Problem ist das sich bei Vundo die .dll (bei mir war es die gebyy.dll) so im System festsetzt (Mir fehlt an dieser Stelle der fachlich korrekte Ausdruck), dass sie mit der Winlogon.exe gestartet wird. Und den Prozess will sich Windows einfach nicht abschalten lassen... ;)
Naja jetzt hatte ich wenigstens mal eine Verwendung für meine XP-Live CD...

nastes
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Sicherheit

BKA soll bereits Trojaner in Ermittlungen einsetzen

Information von BassFishFoxSicherheit4 Kommentare

Also die Idee mit dem Bildschirmfoto ist ja nicht so neu. Das Bundeskriminalamt (BKA) setzt nach Informationen von NDR, ...

Viren und Trojaner

Billig-China-Smartphones bringen Trojaner in der Firmware mit

Tipp von LochkartenstanzerViren und Trojaner13 Kommentare

Wer der Versuchung nicht widerstehen kann, direkt beim Chinesen eines der - druchaus gut ausgestatteten und i.d.R. brauchbaren - ...

Verschlüsselung & Zertifikate

BeA-Debakel, die Fortsetzung - Trojaner-Befall nicht ausgeschlossen

Information von kgbornVerschlüsselung & Zertifikate2 Kommentare

Ich stelle es mal hier mit ein, falls Dienstleister mit Anwälten als Klienten hier unterwegs sind. Das besondere elektronische ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 1 TagSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 1 TagWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 2 TagenHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless16 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Exchange Server
Outlook findet Postfach nicht
Frage von MaximaxExchange Server11 Kommentare

Hallo, und zwar haben wir auf der Arbeit ein kleines (großes) Exchange 2016 Problem. Exchange meldete gestern, dass die ...

Informationsdienste
Probleme auf dem Server
Frage von LangeLangeInformationsdienste9 Kommentare

Hallo zusammen, ich betreibe die Seite Keine Werbelinks. In der Analyse stellen wir fest, dass die Ladezeit in der ...