Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Meredrop beseitigen

Mitglied: n3ck5hot8o8

n3ck5hot8o8 (Level 1) - Jetzt verbinden

10.12.2009, aktualisiert 21.01.2010, 12763 Aufrufe

Kleiner TIPP für Alle, die genausoviel Spaß mit diesem tollen Trojaner namens "Meredrop" haben wie ich.

Folgendes beruht auf meinen Erfahrungen mit Meredrop und ist mit Sicherheit nicht vollständig.

Er besteht aus einer Autorun.inf und einer exe, die in einem als Windows Papierkorb getarntem
Verzeichnis liegt. Diese Exe heißt wahlweise "jack.exe" oder "schl.exe" und liegt im Papierkorb mit Namen "click"
oder in einem Unterordner (Papierkörbe) des Verzeichnisses "Recycler".
Außerdem findet man einige Registry-Einträge zu diesen exe-Files.

Vermutlich hatte einer den Virus auf einem Stick oder einer USB HDD, durch die autorun.inf kopieren sich die Dateien dann auf
den PC und von dort auf auf jeden angeschlossenen Datenträger.
USB-Sticks und Festplatten sind sofort nachdem sie erkannt worden sind infiziert, Netzlaufwerke nach dem Mapping.
Glücklicherweise verteilt sich der Virus scheinbar nur über Wechseldatenträger, auf Netzlaufwerken "funktioniert" der Virus nicht richtig.
Vermutlich weil hier die besagte Autorun.inf nicht anläuft.
Die Autorun.inf startet die schl.exe oder die jack.exe, diese erstellt Registryeinträge um sich selbst zu starten und damit oben beschriebenen
Schaden anzurichten.
Wenn man den Informationen von Google zum Trojaner "Meredrop" glauben schenken kann dann nimmt er auch Firewalleinstellungen (also
öffnen von Ports) vor, die dann Angreifern die Türen öffnen und das Ausführen weiterer bösartiger Software erlauben.
Das konnte ich an den betroffenen PCs nicht feststellen, möglicherweise liegt das aber auch daran, dass die Firewalls sowieso aus sind.

TrendMicro erkennt da Ganze leider nicht, Mircosoft Security Essentials erkennt ihn, kann ihn aber nicht wirklich entfernen (Obwohl er es laut
Meldungen getan hat) und Windows kann keine Papierkörbe löschen.

Ich habe ihn folgendermaßen beseitigen können:
01.
1. PC mit Knoppix starten (Wir hatten Knoppix 6.2) 
02.
2. Betreffende Dateien löschen 
03.
3. PC mit WIndows neustarten --> Stick einführen --> Nachsehen ob er befallen wurde (Verstecke und Systemdateien müssen sichtbar sein)
Auch Wechseldatenträger könnt ihr so prüfen und bereinigen. Hierbei bitte beachten, dass Knoppix die Dateien zwar scheinbar löscht, sie aber
erst wirklich entfernt wenn ihr den Datenträger aushängt (Rechte Maustaste "Datenträger aushängen"). Ich habe die Sticks daher anschließend erneut
eingeführt um ganz sicher zu sein.
Von den Servern können diese Dateien auf den Netzlaufwerksfreigaben aus dem Windows gelöscht werden, wenn diese nicht geöffnet sind.
Die Information wer diese Dateien geöffnet hat, gibt Auskunft darüber, wo er herkam, dieser PC ist mit hoher Wahrscheinlichkeit verseucht.

Ich hatte hier einige Befallene Rechner, alle samt XP Rechner.

Ich hoffe das hilft euch weiter und wünsche viel Erfolg!
Ähnliche Inhalte
Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Sicherheit

BKA soll bereits Trojaner in Ermittlungen einsetzen

Information von BassFishFoxSicherheit4 Kommentare

Also die Idee mit dem Bildschirmfoto ist ja nicht so neu. Das Bundeskriminalamt (BKA) setzt nach Informationen von NDR, ...

Viren und Trojaner

Billig-China-Smartphones bringen Trojaner in der Firmware mit

Tipp von LochkartenstanzerViren und Trojaner13 Kommentare

Wer der Versuchung nicht widerstehen kann, direkt beim Chinesen eines der - druchaus gut ausgestatteten und i.d.R. brauchbaren - ...

Verschlüsselung & Zertifikate

BeA-Debakel, die Fortsetzung - Trojaner-Befall nicht ausgeschlossen

Information von kgbornVerschlüsselung & Zertifikate2 Kommentare

Ich stelle es mal hier mit ein, falls Dienstleister mit Anwälten als Klienten hier unterwegs sind. Das besondere elektronische ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 2 TagenInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 4 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 4 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 5 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
LAN, WAN, Wireless
WLAN-Übersicht wie FritzWLAN jedoch für PC gesucht
gelöst Frage von HenereLAN, WAN, Wireless16 Kommentare

Servus, ich suche für einen Windows PC eine Anwendung die so ähnlich wie die FritzWLAN App auf dem Smartphone ...

Netzwerke
Netzwerkkommunikation von Windows 10 aus Freigabe mit Windows XP funktioniert nicht
gelöst Frage von KLinnebankNetzwerke14 Kommentare

Hallo werte Gemeinde, ja, es ist Freitag. Aber das ist KEINE Freitagsfrage Ich habe ein für mich völlig wirres ...

Festplatten, SSD, Raid
Server Architektur mit RAID 5 - wozu interne Platten?
Frage von Pierre78Festplatten, SSD, Raid10 Kommentare

Hallo, ich beschäftige mich gerade mit RAID Systemen. Ich habe mir einen gebrauchten Dell PowerEdge R515 gekauft. Dieser hat ...

Samba
Netzlaufwerk über VPN hat Probleme
Frage von geocastSamba8 Kommentare

Hallo Zusammen Ich habe hier ein QNAP TS-269 Pro (aktuellste Firmware) NAS in einem entfernten Standort, der über VPN ...