Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Meredrop beseitigen

Tipp Sicherheit Viren und Trojaner

Mitglied: n3ck5hot8o8

n3ck5hot8o8 (Level 1) - Jetzt verbinden

10.12.2009, aktualisiert 21.01.2010, 12614 Aufrufe

Kleiner TIPP für Alle, die genausoviel Spaß mit diesem tollen Trojaner namens "Meredrop" haben wie ich.

Folgendes beruht auf meinen Erfahrungen mit Meredrop und ist mit Sicherheit nicht vollständig.

Er besteht aus einer Autorun.inf und einer exe, die in einem als Windows Papierkorb getarntem
Verzeichnis liegt. Diese Exe heißt wahlweise "jack.exe" oder "schl.exe" und liegt im Papierkorb mit Namen "click"
oder in einem Unterordner (Papierkörbe) des Verzeichnisses "Recycler".
Außerdem findet man einige Registry-Einträge zu diesen exe-Files.

Vermutlich hatte einer den Virus auf einem Stick oder einer USB HDD, durch die autorun.inf kopieren sich die Dateien dann auf
den PC und von dort auf auf jeden angeschlossenen Datenträger.
USB-Sticks und Festplatten sind sofort nachdem sie erkannt worden sind infiziert, Netzlaufwerke nach dem Mapping.
Glücklicherweise verteilt sich der Virus scheinbar nur über Wechseldatenträger, auf Netzlaufwerken "funktioniert" der Virus nicht richtig.
Vermutlich weil hier die besagte Autorun.inf nicht anläuft.
Die Autorun.inf startet die schl.exe oder die jack.exe, diese erstellt Registryeinträge um sich selbst zu starten und damit oben beschriebenen
Schaden anzurichten.
Wenn man den Informationen von Google zum Trojaner "Meredrop" glauben schenken kann dann nimmt er auch Firewalleinstellungen (also
öffnen von Ports) vor, die dann Angreifern die Türen öffnen und das Ausführen weiterer bösartiger Software erlauben.
Das konnte ich an den betroffenen PCs nicht feststellen, möglicherweise liegt das aber auch daran, dass die Firewalls sowieso aus sind.

TrendMicro erkennt da Ganze leider nicht, Mircosoft Security Essentials erkennt ihn, kann ihn aber nicht wirklich entfernen (Obwohl er es laut
Meldungen getan hat) und Windows kann keine Papierkörbe löschen.

Ich habe ihn folgendermaßen beseitigen können:
01.
1. PC mit Knoppix starten (Wir hatten Knoppix 6.2) 
02.
2. Betreffende Dateien löschen 
03.
3. PC mit WIndows neustarten --> Stick einführen --> Nachsehen ob er befallen wurde (Verstecke und Systemdateien müssen sichtbar sein)
Auch Wechseldatenträger könnt ihr so prüfen und bereinigen. Hierbei bitte beachten, dass Knoppix die Dateien zwar scheinbar löscht, sie aber
erst wirklich entfernt wenn ihr den Datenträger aushängt (Rechte Maustaste "Datenträger aushängen"). Ich habe die Sticks daher anschließend erneut
eingeführt um ganz sicher zu sein.
Von den Servern können diese Dateien auf den Netzlaufwerksfreigaben aus dem Windows gelöscht werden, wenn diese nicht geöffnet sind.
Die Information wer diese Dateien geöffnet hat, gibt Auskunft darüber, wo er herkam, dieser PC ist mit hoher Wahrscheinlichkeit verseucht.

Ich hatte hier einige Befallene Rechner, alle samt XP Rechner.

Ich hoffe das hilft euch weiter und wünsche viel Erfolg!
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Viren und Trojaner
Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Link von VGem-e zum Thema Viren und Trojaner ...

Viren und Trojaner
Ransomware-Krypto Trojaner, welcher Virenscanner erkennt am besten ? (22)

Frage von hansdampf zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

Link von Dani zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...