Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vundo - Virtumundo - Trojaner - geeby.dll löschen

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

20.09.2006, aktualisiert 28.09.2007, 32059 Aufrufe, 5 Kommentare

Hier und da erwischt mich auch mal ein Virus oder ein Trojanern. So vor 3 Tagen, als ich ein Tool für einen Freund testen sollte. Ich habe ihn auch entfernen können, doch dieser Trojaner war wirklich sehr sehr hartnäckig und nur mit Tricks zu löschen. Daher hier ein kleiner Erfahrungsbericht wie man ihn (fast) manuell finden und löschen kann. Alle Angaben ohne Gewähr!

Meine bestehende Antivirus/Spamsoftware hat versagt! "Microsoft Defender" sagte sogar "Ihr System läuft einwandfrei" und hat nichts erkannt (was für ein Hohn, ich bin enttäuscht von diesem Tool -> deinstall), Spybot Search & Destroy hat zwar etwas erkannt, konnte aber, wie auch der Symantec Antivirus, den Trojaner/Virus nicht löschen oder bereinigen.

Wie wirkt sich der Tojaner/Virus aus? Wenn ich meine Browser (Firefox oder Internet Explorer) öffne, gab es eine Menge Popups für Antivirsusoftware (?!), danach im Minutentakt verschiedene Popups mit Werbung. Die Systemleistung geht in den Keller und es nerft massig!

Ein Tip für alle die Viren suchen: in die Ordner "/windows" und "/windows/system32" gehen und sich die Dateien nach Datum sortieren.
Recht schnell sollte man so verschiedene "dll", "dat" usw. Dateien finden, die vom aktuelle Tag sind und die man nicht wirklich zuordnen kann. In der Regel sind das dann gute Kanidaten für Viren oder Trojaner. Wenn eine Datei nicht bekannt ist, einfach mal die "dll" (usw.) in Goole eingeben. Dort sieht man sehr schnell wofür diese Datei steht und Windows sie braucht.

Ok, zurück zum Problem. Ich fand zwei "dlls" die "geeby.dll" und die "winstr32.dll". Beide konnte ich natürlich nicht löschen und sie waren auch noch versteckt (Einstellung: Versteckte Systemdateien anzeigen -> aktivieren). Leider half auch der abgesicherte Modus von Windows nicht sie zu löschen. Also in der Regedit danach suchen -> nachdem ich alle Einträge für "geeby" und die "winstr32" in der Registry gelöscht habe (Achtung: Vorher ein Backup der Registry (Export) machen!!) konnte ich nach einem Reboot in den abgesicherten Modus schon mal die "winstr32.dll" löschen. Ein Problem weniger. Doch die "geeby.dll" verweigerte weiterhin die Löschung. Interessant: nur ein paar Sekunden nach der Löschung aus der Winsows Registry, waren die Einträge der "geeby.dll" wieder drin! Da hat ein Trojaner Programmierer mal nachgedacht Ok, was nun?

Ab hier gibt es zwei Möglichkeiten:
1) Linux Live CD mit Möglichkeit auf NTFS booten und Datei löschen oder
2) folgendes Tooll von McAfee laden: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
(Infos dazu gibt es unter: http://forums.mcafeehelp.com/viewtopic.php?t=57049

Das Tool löscht die Registry Einträge und löst einen BlueScreen (Windows Absturz) aus, um zu verhindern das "geeby.dll" sich wieder in die Registry schreibt. Dann sollte man wieder in den abgesicherten Modus booten und siehe da: Die "geeby.dll" wurde umbenannt in "geeby.dll.vir". Diese Datei jetzt löschen und Spybot Search & Destroy noch mal über die Festplatte laufen lassen (Papierkorb leeren nicht vergessen!)

Das wars, der Trojaner sollte jetzt terminiert sein

Alternativ gibt es von Symantec auch noch einen Remover. Den habe ich aber nicht mehr testen können:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan ...

Spybot Search & Destroy
http://www.safer-networking.org/de/index.html

Viel Spaß noch beim Entfernen!

Gruß
Frank
Mitglied: The-Warlord
20.09.2006 um 16:27 Uhr
Ich find das Tool killBox total geil, einfach die Datei mit dem vermuteten Schädling an Killbox übergeben, diesem so einstellen das er die Dateien beim Neustart löscht und fertisch. Bei RootKits hilft das allerdings wenig;-(

Ich hatte vor zwei Wochen einen Krassen Virus bei nem Kumpel von mir...
Der hat die Passwörter ALLER Benutzer verändert und den Rechner in eine Domäne geholt die genauso hiess wie der Rechnername (und das ganz ohne Domaincontroller.. RESPECT). Wollte mit Linux zumindest ein paar Daten retten, was mir allerding nicht gelang, weil nicht weiss wie man unter Linux SATA devices anspricht.

War eh nix wichtiges Drauf.. Naja Neuistall ging auf jedenfall gut;-P

Ach... Der Virenscanner auf dem Rechner war von Steganos

MfG The-Warlord
Bitte warten ..
Mitglied: Frank
20.09.2006 um 16:45 Uhr
Hi,

auch Killbox war nicht in der Lage die "geeby.dll" zu löschen. Ich habe alle Einstellungen probiert. Hier der Download von Killbox: http://www.killbox.net/

Gruß
Frank
Bitte warten ..
Mitglied: The-Warlord
21.09.2006 um 12:06 Uhr
Schade, aber sonst is das Tool trotzdem recht cool

MfG The-Warlord
Bitte warten ..
Mitglied: Supaman
29.09.2006 um 13:30 Uhr
wenn man erst mal weis, welche dateien es sind, ist der rest recht einfach. der knackpunkt ist, das der trojaner im speicher aktiv ist und wie oben beschrieben div. mechanismen zum selbstschutz aktiv sind.

meistens findet man dieselben dateien als aktive prozesse im taskmanager.

prozesse manuell beenden -> registry einträge löschen -> dateien von der platte löschen.
Bitte warten ..
Mitglied: nastes
28.09.2007 um 13:49 Uhr
Hallo,

das Problem ist das sich bei Vundo die .dll (bei mir war es die gebyy.dll) so im System festsetzt (Mir fehlt an dieser Stelle der fachlich korrekte Ausdruck), dass sie mit der Winlogon.exe gestartet wird. Und den Prozess will sich Windows einfach nicht abschalten lassen... ;)
Naja jetzt hatte ich wenigstens mal eine Verwendung für meine XP-Live CD...

nastes
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Sicherheit

BKA soll bereits Trojaner in Ermittlungen einsetzen

Information von BassFishFoxSicherheit4 Kommentare

Also die Idee mit dem Bildschirmfoto ist ja nicht so neu. Das Bundeskriminalamt (BKA) setzt nach Informationen von NDR, ...

Viren und Trojaner

Billig-China-Smartphones bringen Trojaner in der Firmware mit

Tipp von LochkartenstanzerViren und Trojaner13 Kommentare

Wer der Versuchung nicht widerstehen kann, direkt beim Chinesen eines der - druchaus gut ausgestatteten und i.d.R. brauchbaren - ...

Verschlüsselung & Zertifikate

BeA-Debakel, die Fortsetzung - Trojaner-Befall nicht ausgeschlossen

Information von kgbornVerschlüsselung & Zertifikate2 Kommentare

Ich stelle es mal hier mit ein, falls Dienstleister mit Anwälten als Klienten hier unterwegs sind. Das besondere elektronische ...

Neue Wissensbeiträge
Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 1 StundeWindows Netzwerk

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 3 StundenHumor (lol)3 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 20 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Windows 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 1 TagWindows 102 Kommentare

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V26 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...