Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Meredrop beseitigen

Mitglied: n3ck5hot8o8

n3ck5hot8o8 (Level 1) - Jetzt verbinden

10.12.2009, aktualisiert 21.01.2010, 12741 Aufrufe

Kleiner TIPP für Alle, die genausoviel Spaß mit diesem tollen Trojaner namens "Meredrop" haben wie ich.

Folgendes beruht auf meinen Erfahrungen mit Meredrop und ist mit Sicherheit nicht vollständig.

Er besteht aus einer Autorun.inf und einer exe, die in einem als Windows Papierkorb getarntem
Verzeichnis liegt. Diese Exe heißt wahlweise "jack.exe" oder "schl.exe" und liegt im Papierkorb mit Namen "click"
oder in einem Unterordner (Papierkörbe) des Verzeichnisses "Recycler".
Außerdem findet man einige Registry-Einträge zu diesen exe-Files.

Vermutlich hatte einer den Virus auf einem Stick oder einer USB HDD, durch die autorun.inf kopieren sich die Dateien dann auf
den PC und von dort auf auf jeden angeschlossenen Datenträger.
USB-Sticks und Festplatten sind sofort nachdem sie erkannt worden sind infiziert, Netzlaufwerke nach dem Mapping.
Glücklicherweise verteilt sich der Virus scheinbar nur über Wechseldatenträger, auf Netzlaufwerken "funktioniert" der Virus nicht richtig.
Vermutlich weil hier die besagte Autorun.inf nicht anläuft.
Die Autorun.inf startet die schl.exe oder die jack.exe, diese erstellt Registryeinträge um sich selbst zu starten und damit oben beschriebenen
Schaden anzurichten.
Wenn man den Informationen von Google zum Trojaner "Meredrop" glauben schenken kann dann nimmt er auch Firewalleinstellungen (also
öffnen von Ports) vor, die dann Angreifern die Türen öffnen und das Ausführen weiterer bösartiger Software erlauben.
Das konnte ich an den betroffenen PCs nicht feststellen, möglicherweise liegt das aber auch daran, dass die Firewalls sowieso aus sind.

TrendMicro erkennt da Ganze leider nicht, Mircosoft Security Essentials erkennt ihn, kann ihn aber nicht wirklich entfernen (Obwohl er es laut
Meldungen getan hat) und Windows kann keine Papierkörbe löschen.

Ich habe ihn folgendermaßen beseitigen können:
01.
1. PC mit Knoppix starten (Wir hatten Knoppix 6.2) 
02.
2. Betreffende Dateien löschen 
03.
3. PC mit WIndows neustarten --> Stick einführen --> Nachsehen ob er befallen wurde (Verstecke und Systemdateien müssen sichtbar sein)
Auch Wechseldatenträger könnt ihr so prüfen und bereinigen. Hierbei bitte beachten, dass Knoppix die Dateien zwar scheinbar löscht, sie aber
erst wirklich entfernt wenn ihr den Datenträger aushängt (Rechte Maustaste "Datenträger aushängen"). Ich habe die Sticks daher anschließend erneut
eingeführt um ganz sicher zu sein.
Von den Servern können diese Dateien auf den Netzlaufwerksfreigaben aus dem Windows gelöscht werden, wenn diese nicht geöffnet sind.
Die Information wer diese Dateien geöffnet hat, gibt Auskunft darüber, wo er herkam, dieser PC ist mit hoher Wahrscheinlichkeit verseucht.

Ich hatte hier einige Befallene Rechner, alle samt XP Rechner.

Ich hoffe das hilft euch weiter und wünsche viel Erfolg!
Ähnliche Inhalte
Sicherheit

BKA soll bereits Trojaner in Ermittlungen einsetzen

Information von BassFishFoxSicherheit3 Kommentare

Also die Idee mit dem Bildschirmfoto ist ja nicht so neu. Das Bundeskriminalamt (BKA) setzt nach Informationen von NDR, ...

Verschlüsselung & Zertifikate

BeA-Debakel, die Fortsetzung - Trojaner-Befall nicht ausgeschlossen

Information von kgbornVerschlüsselung & Zertifikate2 Kommentare

Ich stelle es mal hier mit ein, falls Dienstleister mit Anwälten als Klienten hier unterwegs sind. Das besondere elektronische ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

Erfahrungsbericht von anteNopeViren und Trojaner5 Kommentare

Hier etwas Interessantes für Leute die MECA Fräsen im Einsatz haben. Üblicher Weise sind die Maschinen ja auch mit ...

Viren und Trojaner

Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner

Information von BassFishFoxViren und Trojaner4 Kommentare

Bei uns noch nicht gesichtet, aber interessant zu wissen. Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne, ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 13 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 15 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...