frank
Goto Top

Vundo - Virtumundo - Trojaner - geeby.dll löschen

Hier und da erwischt mich auch mal ein Virus oder ein Trojanern. So vor 3 Tagen, als ich ein Tool für einen Freund testen sollte. Ich habe ihn auch entfernen können, doch dieser Trojaner war wirklich sehr sehr hartnäckig und nur mit Tricks zu löschen. Daher hier ein kleiner Erfahrungsbericht wie man ihn (fast) manuell finden und löschen kann. Alle Angaben ohne Gewähr!

Meine bestehende Antivirus/Spamsoftware hat versagt! "Microsoft Defender" sagte sogar "Ihr System läuft einwandfrei" und hat nichts erkannt (was für ein Hohn, ich bin enttäuscht von diesem Tool -> deinstall), Spybot Search & Destroy hat zwar etwas erkannt, konnte aber, wie auch der Symantec Antivirus, den Trojaner/Virus nicht löschen oder bereinigen.

Wie wirkt sich der Tojaner/Virus aus? Wenn ich meine Browser (Firefox oder Internet Explorer) öffne, gab es eine Menge Popups für Antivirsusoftware (?!), danach im Minutentakt verschiedene Popups mit Werbung. Die Systemleistung geht in den Keller und es nerft massig!

Ein Tip für alle die Viren suchen: in die Ordner "/windows" und "/windows/system32" gehen und sich die Dateien nach Datum sortieren.
Recht schnell sollte man so verschiedene "dll", "dat" usw. Dateien finden, die vom aktuelle Tag sind und die man nicht wirklich zuordnen kann. In der Regel sind das dann gute Kanidaten für Viren oder Trojaner. Wenn eine Datei nicht bekannt ist, einfach mal die "dll" (usw.) in Goole eingeben. Dort sieht man sehr schnell wofür diese Datei steht und Windows sie braucht.

Ok, zurück zum Problem. Ich fand zwei "dlls" die "geeby.dll" und die "winstr32.dll". Beide konnte ich natürlich nicht löschen und sie waren auch noch versteckt (Einstellung: Versteckte Systemdateien anzeigen -> aktivieren). Leider half auch der abgesicherte Modus von Windows nicht sie zu löschen. Also in der Regedit danach suchen -> nachdem ich alle Einträge für "geeby" und die "winstr32" in der Registry gelöscht habe (Achtung: Vorher ein Backup der Registry (Export) machen!!) konnte ich nach einem Reboot in den abgesicherten Modus schon mal die "winstr32.dll" löschen. Ein Problem weniger. Doch die "geeby.dll" verweigerte weiterhin die Löschung. Interessant: nur ein paar Sekunden nach der Löschung aus der Winsows Registry, waren die Einträge der "geeby.dll" wieder drin! Da hat ein Trojaner Programmierer mal nachgedacht face-wink Ok, was nun?

Ab hier gibt es zwei Möglichkeiten:
1) Linux Live CD mit Möglichkeit auf NTFS booten und Datei löschen oder
2) folgendes Tooll von McAfee laden: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
(Infos dazu gibt es unter: http://forums.mcafeehelp.com/viewtopic.php?t=57049

Das Tool löscht die Registry Einträge und löst einen BlueScreen (Windows Absturz) aus, um zu verhindern das "geeby.dll" sich wieder in die Registry schreibt. Dann sollte man wieder in den abgesicherten Modus booten und siehe da: Die "geeby.dll" wurde umbenannt in "geeby.dll.vir". Diese Datei jetzt löschen und Spybot Search & Destroy noch mal über die Festplatte laufen lassen (Papierkorb leeren nicht vergessen!)

Das wars, der Trojaner sollte jetzt terminiert sein face-smile

Alternativ gibt es von Symantec auch noch einen Remover. Den habe ich aber nicht mehr testen können:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan ...

Spybot Search & Destroy
http://www.safer-networking.org/de/index.html

Viel Spaß noch beim Entfernen!

Gruß
Frank

Content-ID: 40545

Url: https://administrator.de/contentid/40545

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

The-Warlord
The-Warlord 20.09.2006 um 16:27:13 Uhr
Goto Top
Ich find das Tool killBox total geil, einfach die Datei mit dem vermuteten Schädling an Killbox übergeben, diesem so einstellen das er die Dateien beim Neustart löscht und fertisch. Bei RootKits hilft das allerdings wenig;-(

Ich hatte vor zwei Wochen einen Krassen Virus bei nem Kumpel von mir...
Der hat die Passwörter ALLER Benutzer verändert und den Rechner in eine Domäne geholt die genauso hiess wie der Rechnername (und das ganz ohne Domaincontroller.. RESPECT). Wollte mit Linux zumindest ein paar Daten retten, was mir allerding nicht gelang, weil nicht weiss wie man unter Linux SATA devices anspricht.

War eh nix wichtiges Drauf.. Naja Neuistall ging auf jedenfall gut;-P

Ach... Der Virenscanner auf dem Rechner war von Steganos

MfG The-Warlord
Frank
Frank 20.09.2006 um 16:45:48 Uhr
Goto Top
Hi,

auch Killbox war nicht in der Lage die "geeby.dll" zu löschen. Ich habe alle Einstellungen probiert. Hier der Download von Killbox: http://www.killbox.net/

Gruß
Frank
The-Warlord
The-Warlord 21.09.2006 um 12:06:38 Uhr
Goto Top
Schade, aber sonst is das Tool trotzdem recht cool

MfG The-Warlord
Supaman
Supaman 29.09.2006 um 13:30:06 Uhr
Goto Top
wenn man erst mal weis, welche dateien es sind, ist der rest recht einfach. der knackpunkt ist, das der trojaner im speicher aktiv ist und wie oben beschrieben div. mechanismen zum selbstschutz aktiv sind.

meistens findet man dieselben dateien als aktive prozesse im taskmanager.

prozesse manuell beenden -> registry einträge löschen -> dateien von der platte löschen.
nastes
nastes 28.09.2007 um 13:49:04 Uhr
Goto Top
Hallo,

das Problem ist das sich bei Vundo die .dll (bei mir war es die gebyy.dll) so im System festsetzt (Mir fehlt an dieser Stelle der fachlich korrekte Ausdruck), dass sie mit der Winlogon.exe gestartet wird. Und den Prozess will sich Windows einfach nicht abschalten lassen... ;)
Naja jetzt hatte ich wenigstens mal eine Verwendung für meine XP-Live CD...

nastes