Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Meredrop beseitigen

Tipp Sicherheit Viren und Trojaner

Mitglied: n3ck5hot8o8

n3ck5hot8o8 (Level 1) - Jetzt verbinden

10.12.2009, aktualisiert 21.01.2010, 12674 Aufrufe

Kleiner TIPP für Alle, die genausoviel Spaß mit diesem tollen Trojaner namens "Meredrop" haben wie ich.

Folgendes beruht auf meinen Erfahrungen mit Meredrop und ist mit Sicherheit nicht vollständig.

Er besteht aus einer Autorun.inf und einer exe, die in einem als Windows Papierkorb getarntem
Verzeichnis liegt. Diese Exe heißt wahlweise "jack.exe" oder "schl.exe" und liegt im Papierkorb mit Namen "click"
oder in einem Unterordner (Papierkörbe) des Verzeichnisses "Recycler".
Außerdem findet man einige Registry-Einträge zu diesen exe-Files.

Vermutlich hatte einer den Virus auf einem Stick oder einer USB HDD, durch die autorun.inf kopieren sich die Dateien dann auf
den PC und von dort auf auf jeden angeschlossenen Datenträger.
USB-Sticks und Festplatten sind sofort nachdem sie erkannt worden sind infiziert, Netzlaufwerke nach dem Mapping.
Glücklicherweise verteilt sich der Virus scheinbar nur über Wechseldatenträger, auf Netzlaufwerken "funktioniert" der Virus nicht richtig.
Vermutlich weil hier die besagte Autorun.inf nicht anläuft.
Die Autorun.inf startet die schl.exe oder die jack.exe, diese erstellt Registryeinträge um sich selbst zu starten und damit oben beschriebenen
Schaden anzurichten.
Wenn man den Informationen von Google zum Trojaner "Meredrop" glauben schenken kann dann nimmt er auch Firewalleinstellungen (also
öffnen von Ports) vor, die dann Angreifern die Türen öffnen und das Ausführen weiterer bösartiger Software erlauben.
Das konnte ich an den betroffenen PCs nicht feststellen, möglicherweise liegt das aber auch daran, dass die Firewalls sowieso aus sind.

TrendMicro erkennt da Ganze leider nicht, Mircosoft Security Essentials erkennt ihn, kann ihn aber nicht wirklich entfernen (Obwohl er es laut
Meldungen getan hat) und Windows kann keine Papierkörbe löschen.

Ich habe ihn folgendermaßen beseitigen können:
01.
1. PC mit Knoppix starten (Wir hatten Knoppix 6.2) 
02.
2. Betreffende Dateien löschen 
03.
3. PC mit WIndows neustarten --> Stick einführen --> Nachsehen ob er befallen wurde (Verstecke und Systemdateien müssen sichtbar sein)
Auch Wechseldatenträger könnt ihr so prüfen und bereinigen. Hierbei bitte beachten, dass Knoppix die Dateien zwar scheinbar löscht, sie aber
erst wirklich entfernt wenn ihr den Datenträger aushängt (Rechte Maustaste "Datenträger aushängen"). Ich habe die Sticks daher anschließend erneut
eingeführt um ganz sicher zu sein.
Von den Servern können diese Dateien auf den Netzlaufwerksfreigaben aus dem Windows gelöscht werden, wenn diese nicht geöffnet sind.
Die Information wer diese Dateien geöffnet hat, gibt Auskunft darüber, wo er herkam, dieser PC ist mit hoher Wahrscheinlichkeit verseucht.

Ich hatte hier einige Befallene Rechner, alle samt XP Rechner.

Ich hoffe das hilft euch weiter und wünsche viel Erfolg!
Ähnliche Inhalte
Viren und Trojaner
Wieder mal ein neuer Erpressungs-Trojaner (namens Spora) (5)

Link von VGem-e zum Thema Viren und Trojaner ...

Viren und Trojaner
Erpressungs-Trojaner Sage nutzt Bleeding-Edge-Krypto-Funktionen (1)

Link von Yannosch zum Thema Viren und Trojaner ...

Viren und Trojaner
Erpressungs-Trojaner VirLocker mit Fleißarbeit auf die Matte schicken

Link von BassFishFox zum Thema Viren und Trojaner ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Ubuntu
Nextcloud 12 Antivirus App for Files (8)

Frage von horstvogel zum Thema Ubuntu ...

Server-Hardware
gelöst Empfehlung KVM over IP Switch (8)

Frage von Androxin zum Thema Server-Hardware ...