|
Du hast nicht zufällig noch die JavaScript Datei? :) |
Ich glaub der TO wurde verscheucht :blabla: |
Zitat:
Zitat:
|
Trotzdem wurde er von dir verscheucht :twak: |
Zitat:
|
Als wie DarthVader kommst du mir nicht vor, eher wie einer, dem seine Oma die Milchschnitte in den Jutebeutel noch gelegt hat :rofl: |
Zitat:
ein bekannter hat sich auch den TeslaCrypt3 eingefangen. Bin grad dabei zu reten was zu reten ist (einiges wurde nicht verschlüsselt, ist das normal?) und hab dabei auch den Übeltäter in seinem Emailpostfach gefunden. Hab mir die .js mal angeguckt und verstehe absolut gar nichts. Bin deshalb hier her gekommen um zu fragen, ob ich den Code hier einstellen darf um der Sache zusammen mit der Community etwas auf den Zahn zu fühlen und dann hab ich diesen Thread gesehen und der passt ja perfekt :) Dass damit der PC nicht wieder sauber wird ist mir klar, darum geht es mir auch nicht. Mich würde viel mehr interessieren wie das teil genau funktioniert. Der Kollege hat z.B. (in unregelmäßigen Abständen) seine Daten (hauptsächlich Bilder) auf einer externen Festplatte gesichert. Ich würde jetzt gerne wissen, kann ich die HDD problemlos an das neue System anschließen, oder besteht die gefahr, dass sich die Infektion wieder überträgt? Momentan weiß ich noch nichtmal, ob die Daten auf der externen nicht auch verschlüsselt sind. Wollte sie sicherheitshalber erstmal nicht anschließen, für den Fall dass sie noch nicht verschlüsselt sind, nicht dass sies dann werden. Also, kann ich den Code hier reinstellen oder jemandem schicken? Oder ist das eher nicht erwünscht? :) |
Zitat:
Die vermutliche Teslacrypt3 Datei von s0nny wird beschämenderweise von Avast immer noch nicht erkannt: https://www.virustotal.com/de/file/3...is/1455646638/, hab die denen jetzt geschickt damit die endlich mal reagieren:schrei:. AVG hingegen macht kurzen Prozess damit, erkennt es sofort egal ob per Scan oder auch wenn ich das Zip File entpacke: /edit Bilder etwas entschärft, aber nicht komplette Verlinkung entfernt. Besuch von "abload" auf eigene Gefahr. hxxp://abload.de/image.php?img=17wjlz.jpg hxxp://abload.de/image.php?img=22jk3k.jpg hxxp://abload.de/image.php?img=3l5jfa.jpg hxxp://abload.de/image.php?img=44sjzb.jpg hxxp://abload.de/image.php?img=5nujut.jpg hxxp://abload.de/image.php?img=6j2kn2.jpg //edit cosinus |
Sogar meine VM mit Win7 ohne Virenprogramm (nur der integrierte Win Defender) hat die Datei erkannt. Habe die Datei jetzt etwas "reversed engineered", bin aber noch nicht ganz fertig und verstehe auch nicht alles. Was ich aber rausgekriegt habe, sind unter anderem 2 URLs, welche beide auf eine 93.exe zeigen. Virustotal sagt bei einer sie wäre sauber, bei der anderen erkennt er, dass die Seite Malware enthält, genaueres aber nicht. Die .js lädt das Teil also auch nur nach. Bin grad noch dabei ein paar Strings zusammenzusetzen, komme aber nicht ganz mit dem WScript-Objekt klar, welches wohl letztendlich die Verbindung aufbaut und Registryeinträge vornimmt (?). Kennt sich vll jemand damit aus? Edit: Normalerweise hätte ich gesagt, die Server auf denen die infizierte exe liegt sind sicher nicht vom Urheber, allerdings sind beide URLs recht ähnlich. "hxxp://helloguys**.**" "hxxp://sowhatsupwithit**.***" die letzten beiden Zeichen der TLD sind jeweils 2 gleiche Buchstaben War da vll doch jemand so doof und hat da seinen eigenen Server für verwendet? Oder nur Zufall? ^^ |
Die Antwort von Avast: Zitat:
Zitat:
|
Und Dir gebe ich den Rat, einen ordentlichen Speicherort für Bildschirm-Screens zu suchen. Da lädt man sich ja mehr Schadsoftware und andern Blödsinn herunter, als man Haare auf dem Kopf hat. :) Da war die Moderation schneller. Wollte gerade den Beitrag melden. Der Nutzer Purzelbär sollte aber doch eine Ermahnung und ein paar Hinweise seitens der Boardleitung erhalten. Jeder unbedarfte Windows-User hätte sich hier einen Haufen Müll eingefangen. |
Zitat:
|
Zitat:
|
Zitat:
|
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board