Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Meredrop beseitigen

Tipp Sicherheit Viren und Trojaner

Mitglied: n3ck5hot8o8

n3ck5hot8o8 (Level 1) - Jetzt verbinden

10.12.2009, aktualisiert 21.01.2010, 12684 Aufrufe

Kleiner TIPP für Alle, die genausoviel Spaß mit diesem tollen Trojaner namens "Meredrop" haben wie ich.

Folgendes beruht auf meinen Erfahrungen mit Meredrop und ist mit Sicherheit nicht vollständig.

Er besteht aus einer Autorun.inf und einer exe, die in einem als Windows Papierkorb getarntem
Verzeichnis liegt. Diese Exe heißt wahlweise "jack.exe" oder "schl.exe" und liegt im Papierkorb mit Namen "click"
oder in einem Unterordner (Papierkörbe) des Verzeichnisses "Recycler".
Außerdem findet man einige Registry-Einträge zu diesen exe-Files.

Vermutlich hatte einer den Virus auf einem Stick oder einer USB HDD, durch die autorun.inf kopieren sich die Dateien dann auf
den PC und von dort auf auf jeden angeschlossenen Datenträger.
USB-Sticks und Festplatten sind sofort nachdem sie erkannt worden sind infiziert, Netzlaufwerke nach dem Mapping.
Glücklicherweise verteilt sich der Virus scheinbar nur über Wechseldatenträger, auf Netzlaufwerken "funktioniert" der Virus nicht richtig.
Vermutlich weil hier die besagte Autorun.inf nicht anläuft.
Die Autorun.inf startet die schl.exe oder die jack.exe, diese erstellt Registryeinträge um sich selbst zu starten und damit oben beschriebenen
Schaden anzurichten.
Wenn man den Informationen von Google zum Trojaner "Meredrop" glauben schenken kann dann nimmt er auch Firewalleinstellungen (also
öffnen von Ports) vor, die dann Angreifern die Türen öffnen und das Ausführen weiterer bösartiger Software erlauben.
Das konnte ich an den betroffenen PCs nicht feststellen, möglicherweise liegt das aber auch daran, dass die Firewalls sowieso aus sind.

TrendMicro erkennt da Ganze leider nicht, Mircosoft Security Essentials erkennt ihn, kann ihn aber nicht wirklich entfernen (Obwohl er es laut
Meldungen getan hat) und Windows kann keine Papierkörbe löschen.

Ich habe ihn folgendermaßen beseitigen können:
01.
1. PC mit Knoppix starten (Wir hatten Knoppix 6.2) 
02.
2. Betreffende Dateien löschen 
03.
3. PC mit WIndows neustarten --> Stick einführen --> Nachsehen ob er befallen wurde (Verstecke und Systemdateien müssen sichtbar sein)
Auch Wechseldatenträger könnt ihr so prüfen und bereinigen. Hierbei bitte beachten, dass Knoppix die Dateien zwar scheinbar löscht, sie aber
erst wirklich entfernt wenn ihr den Datenträger aushängt (Rechte Maustaste "Datenträger aushängen"). Ich habe die Sticks daher anschließend erneut
eingeführt um ganz sicher zu sein.
Von den Servern können diese Dateien auf den Netzlaufwerksfreigaben aus dem Windows gelöscht werden, wenn diese nicht geöffnet sind.
Die Information wer diese Dateien geöffnet hat, gibt Auskunft darüber, wo er herkam, dieser PC ist mit hoher Wahrscheinlichkeit verseucht.

Ich hatte hier einige Befallene Rechner, alle samt XP Rechner.

Ich hoffe das hilft euch weiter und wünsche viel Erfolg!
Ähnliche Inhalte
Viren und Trojaner
Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

Link von VGem-e zum Thema Viren und Trojaner ...

Viren und Trojaner
Ransomware-Krypto Trojaner, welcher Virenscanner erkennt am besten ? (22)

Frage von hansdampf zum Thema Viren und Trojaner ...

Viren und Trojaner
Vegclass aol.com.xtbl Trojaner (5)

Frage von franksig zum Thema Viren und Trojaner ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 im Unternehmen? (26)

Frage von zorlayan zum Thema Windows 10 ...

Festplatten, SSD, Raid
Raid 1 2 SSD mit Windows Server 2016 (17)

Frage von jaywee zum Thema Festplatten, SSD, Raid ...

Voice over IP
Über Fritzfax over IP gehen nur einige Faxe (12)

Frage von shearer9 zum Thema Voice over IP ...