Vundo - Virtumundo - Trojaner - geeby.dll löschen
Hier und da erwischt mich auch mal ein Virus oder ein Trojanern. So vor 3 Tagen, als ich ein Tool für einen Freund testen sollte. Ich habe ihn auch entfernen können, doch dieser Trojaner war wirklich sehr sehr hartnäckig und nur mit Tricks zu löschen. Daher hier ein kleiner Erfahrungsbericht wie man ihn (fast) manuell finden und löschen kann. Alle Angaben ohne Gewähr!
Meine bestehende Antivirus/Spamsoftware hat versagt! "Microsoft Defender" sagte sogar "Ihr System läuft einwandfrei" und hat nichts erkannt (was für ein Hohn, ich bin enttäuscht von diesem Tool -> deinstall), Spybot Search & Destroy hat zwar etwas erkannt, konnte aber, wie auch der Symantec Antivirus, den Trojaner/Virus nicht löschen oder bereinigen.
Wie wirkt sich der Tojaner/Virus aus? Wenn ich meine Browser (Firefox oder Internet Explorer) öffne, gab es eine Menge Popups für Antivirsusoftware (?!), danach im Minutentakt verschiedene Popups mit Werbung. Die Systemleistung geht in den Keller und es nerft massig!
Ein Tip für alle die Viren suchen: in die Ordner "/windows" und "/windows/system32" gehen und sich die Dateien nach Datum sortieren.
Recht schnell sollte man so verschiedene "dll", "dat" usw. Dateien finden, die vom aktuelle Tag sind und die man nicht wirklich zuordnen kann. In der Regel sind das dann gute Kanidaten für Viren oder Trojaner. Wenn eine Datei nicht bekannt ist, einfach mal die "dll" (usw.) in Goole eingeben. Dort sieht man sehr schnell wofür diese Datei steht und Windows sie braucht.
Ok, zurück zum Problem. Ich fand zwei "dlls" die "geeby.dll" und die "winstr32.dll". Beide konnte ich natürlich nicht löschen und sie waren auch noch versteckt (Einstellung: Versteckte Systemdateien anzeigen -> aktivieren). Leider half auch der abgesicherte Modus von Windows nicht sie zu löschen. Also in der Regedit danach suchen -> nachdem ich alle Einträge für "geeby" und die "winstr32" in der Registry gelöscht habe (Achtung: Vorher ein Backup der Registry (Export) machen!!) konnte ich nach einem Reboot in den abgesicherten Modus schon mal die "winstr32.dll" löschen. Ein Problem weniger. Doch die "geeby.dll" verweigerte weiterhin die Löschung. Interessant: nur ein paar Sekunden nach der Löschung aus der Winsows Registry, waren die Einträge der "geeby.dll" wieder drin! Da hat ein Trojaner Programmierer mal nachgedacht Ok, was nun?
Ab hier gibt es zwei Möglichkeiten:
1) Linux Live CD mit Möglichkeit auf NTFS booten und Datei löschen oder
2) folgendes Tooll von McAfee laden: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
(Infos dazu gibt es unter: http://forums.mcafeehelp.com/viewtopic.php?t=57049
Das Tool löscht die Registry Einträge und löst einen BlueScreen (Windows Absturz) aus, um zu verhindern das "geeby.dll" sich wieder in die Registry schreibt. Dann sollte man wieder in den abgesicherten Modus booten und siehe da: Die "geeby.dll" wurde umbenannt in "geeby.dll.vir". Diese Datei jetzt löschen und Spybot Search & Destroy noch mal über die Festplatte laufen lassen (Papierkorb leeren nicht vergessen!)
Das wars, der Trojaner sollte jetzt terminiert sein
Alternativ gibt es von Symantec auch noch einen Remover. Den habe ich aber nicht mehr testen können:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan ...
Spybot Search & Destroy
http://www.safer-networking.org/de/index.html
Viel Spaß noch beim Entfernen!
Gruß
Frank
Meine bestehende Antivirus/Spamsoftware hat versagt! "Microsoft Defender" sagte sogar "Ihr System läuft einwandfrei" und hat nichts erkannt (was für ein Hohn, ich bin enttäuscht von diesem Tool -> deinstall), Spybot Search & Destroy hat zwar etwas erkannt, konnte aber, wie auch der Symantec Antivirus, den Trojaner/Virus nicht löschen oder bereinigen.
Wie wirkt sich der Tojaner/Virus aus? Wenn ich meine Browser (Firefox oder Internet Explorer) öffne, gab es eine Menge Popups für Antivirsusoftware (?!), danach im Minutentakt verschiedene Popups mit Werbung. Die Systemleistung geht in den Keller und es nerft massig!
Ein Tip für alle die Viren suchen: in die Ordner "/windows" und "/windows/system32" gehen und sich die Dateien nach Datum sortieren.
Recht schnell sollte man so verschiedene "dll", "dat" usw. Dateien finden, die vom aktuelle Tag sind und die man nicht wirklich zuordnen kann. In der Regel sind das dann gute Kanidaten für Viren oder Trojaner. Wenn eine Datei nicht bekannt ist, einfach mal die "dll" (usw.) in Goole eingeben. Dort sieht man sehr schnell wofür diese Datei steht und Windows sie braucht.
Ok, zurück zum Problem. Ich fand zwei "dlls" die "geeby.dll" und die "winstr32.dll". Beide konnte ich natürlich nicht löschen und sie waren auch noch versteckt (Einstellung: Versteckte Systemdateien anzeigen -> aktivieren). Leider half auch der abgesicherte Modus von Windows nicht sie zu löschen. Also in der Regedit danach suchen -> nachdem ich alle Einträge für "geeby" und die "winstr32" in der Registry gelöscht habe (Achtung: Vorher ein Backup der Registry (Export) machen!!) konnte ich nach einem Reboot in den abgesicherten Modus schon mal die "winstr32.dll" löschen. Ein Problem weniger. Doch die "geeby.dll" verweigerte weiterhin die Löschung. Interessant: nur ein paar Sekunden nach der Löschung aus der Winsows Registry, waren die Einträge der "geeby.dll" wieder drin! Da hat ein Trojaner Programmierer mal nachgedacht Ok, was nun?
Ab hier gibt es zwei Möglichkeiten:
1) Linux Live CD mit Möglichkeit auf NTFS booten und Datei löschen oder
2) folgendes Tooll von McAfee laden: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
(Infos dazu gibt es unter: http://forums.mcafeehelp.com/viewtopic.php?t=57049
Das Tool löscht die Registry Einträge und löst einen BlueScreen (Windows Absturz) aus, um zu verhindern das "geeby.dll" sich wieder in die Registry schreibt. Dann sollte man wieder in den abgesicherten Modus booten und siehe da: Die "geeby.dll" wurde umbenannt in "geeby.dll.vir". Diese Datei jetzt löschen und Spybot Search & Destroy noch mal über die Festplatte laufen lassen (Papierkorb leeren nicht vergessen!)
Das wars, der Trojaner sollte jetzt terminiert sein
Alternativ gibt es von Symantec auch noch einen Remover. Den habe ich aber nicht mehr testen können:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan ...
Spybot Search & Destroy
http://www.safer-networking.org/de/index.html
Viel Spaß noch beim Entfernen!
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 40545
Url: https://administrator.de/contentid/40545
Ausgedruckt am: 24.11.2024 um 00:11 Uhr
5 Kommentare
Neuester Kommentar
Ich find das Tool killBox total geil, einfach die Datei mit dem vermuteten Schädling an Killbox übergeben, diesem so einstellen das er die Dateien beim Neustart löscht und fertisch. Bei RootKits hilft das allerdings wenig;-(
Ich hatte vor zwei Wochen einen Krassen Virus bei nem Kumpel von mir...
Der hat die Passwörter ALLER Benutzer verändert und den Rechner in eine Domäne geholt die genauso hiess wie der Rechnername (und das ganz ohne Domaincontroller.. RESPECT). Wollte mit Linux zumindest ein paar Daten retten, was mir allerding nicht gelang, weil nicht weiss wie man unter Linux SATA devices anspricht.
War eh nix wichtiges Drauf.. Naja Neuistall ging auf jedenfall gut;-P
Ach... Der Virenscanner auf dem Rechner war von Steganos
MfG The-Warlord
Ich hatte vor zwei Wochen einen Krassen Virus bei nem Kumpel von mir...
Der hat die Passwörter ALLER Benutzer verändert und den Rechner in eine Domäne geholt die genauso hiess wie der Rechnername (und das ganz ohne Domaincontroller.. RESPECT). Wollte mit Linux zumindest ein paar Daten retten, was mir allerding nicht gelang, weil nicht weiss wie man unter Linux SATA devices anspricht.
War eh nix wichtiges Drauf.. Naja Neuistall ging auf jedenfall gut;-P
Ach... Der Virenscanner auf dem Rechner war von Steganos
MfG The-Warlord
wenn man erst mal weis, welche dateien es sind, ist der rest recht einfach. der knackpunkt ist, das der trojaner im speicher aktiv ist und wie oben beschrieben div. mechanismen zum selbstschutz aktiv sind.
meistens findet man dieselben dateien als aktive prozesse im taskmanager.
prozesse manuell beenden -> registry einträge löschen -> dateien von der platte löschen.
meistens findet man dieselben dateien als aktive prozesse im taskmanager.
prozesse manuell beenden -> registry einträge löschen -> dateien von der platte löschen.
Hallo,
das Problem ist das sich bei Vundo die .dll (bei mir war es die gebyy.dll) so im System festsetzt (Mir fehlt an dieser Stelle der fachlich korrekte Ausdruck), dass sie mit der Winlogon.exe gestartet wird. Und den Prozess will sich Windows einfach nicht abschalten lassen... ;)
Naja jetzt hatte ich wenigstens mal eine Verwendung für meine XP-Live CD...
nastes
das Problem ist das sich bei Vundo die .dll (bei mir war es die gebyy.dll) so im System festsetzt (Mir fehlt an dieser Stelle der fachlich korrekte Ausdruck), dass sie mit der Winlogon.exe gestartet wird. Und den Prozess will sich Windows einfach nicht abschalten lassen... ;)
Naja jetzt hatte ich wenigstens mal eine Verwendung für meine XP-Live CD...
nastes