Nun tritt euch doch nicht gleich in die Eier :twak:
Purzel, das TB hat hier extra eine Dateiuploadfunktion, auch für Bilder :kaffee:

Ich seh da nichts drin: http://abload.de/thumb/bild2184ob3l.jpg

Ich weiß cosinus aber ich bin den von mir genutzten Bilderhoster seit Jahren gewohnt.

nein, laut der .js wird das teil in %TEMP% mit dem namen Math.pow(2, 24) +".exe" gespeichert

Edit:
hab grad mal auf dem infizierten Rechner geguckt den ich hier hab, da existiert diese Datei auch nicht. Vll löscht sie sich anschließend automatisch

Ist mir schon klar und ich bin ja nicht mit MS unterwegs:)
Mir geht es hier eher um unbedarfte W-Nutzer. Die laden sich hier Schrott herunter, der dann hinterher wieder bereinigt werden muss.
Ich habe den bewussten Knopf mal gedrückt.

Muss man eigentlich damit die invoice_Yknrzy.xls ausgeführt werden kann um dann zu verschlüsseln ein bestimmtes Programm installiert haben oder bei einem Programm eine bestimmte Funktion aktiviert haben? Bei mir steht da öffnen mit: Microsoft ® Windows Based Script Host wenn ich in Eigenschaften schaue.

purzel, deinem letzten Screenshot entnehme ich, dass du dir sträflicherweise nicht grundsätzlich die Dateiendung anzeigen lässt!! :nono:

Steh bei dir wirklich invoice_Yknrzy.xls oder nur invoice_Yknrzy ohne das .xls?

die Datei heißt eigentlich invoice_Yknrzy.xls.js

cosinus, helfen dir die 2 Bilder? http://abload.de/thumb/bild30ysu7.jpg http://abload.de/thumb/bild42ss0c.jpg
Und was müsste ich machen wenn ich mir Dateiendungen anzeigen lassen wollte? Nächste Frage: warum wurde mein System gestern als ich noch Avast hatte nicht infiziert/verschlüsselt als ich die entpackte Datei öffnete ?
Edit: muss bei Ordneroptionen der Haken raus bei Erweiterungen bei bekannten Dateitypen ausblenden raus?

So, hab das ganze jetzt zerlegt und kommentiert. Wenn du Fragen dazu hast kann ich dir das gern PMen :)

Übrigens sind die Links kaputt, deshalb geht da nix mehr.

http://www.trojaner-board.de/attachm...1&d=1455653144

Genau wie ich befürchtet hab. Das Teil tut nur so als sei es eine Excel-Tabelle...die echte Endung (.js) siehst du nicht, wird unterdrückt. Geh mal in die Ordneroptionen und nimm den Haken raus...

http://www.winboard.org/attachments/...dateitypen.jpg

Die hab ich ja schon hier gestellt:)
Mach ich umgehend cosinus. Was ist dann jetzt der Vorteil dabei wenn ich bei der Option den Haken raus habe?

Du siehst jetzt in jedem Fall die Dateierweiterung.
In diesem Fall hast du dir ja z.B. die vermeintliche .xls Datei runtergeladen und wärst möglicherweise, da du ja weißt dass es sich um eine Excel Datei handelt, dazu bereit sie zu öffnen.
Lässt du dir die Dateierweiterung allerdings anzeigen, dann siehst du, dass hinter dem .xls noch ein .js kommt und du lässt vll lieber die Finger davon.
Oder anderes Beispiel, du bekommst ein Bild mit dem namen "titten.jpg" und willst es öffnen, eigentlich heißt die Datei aber "titten.jpg.exe" :blabla:

Sowas klickt purzel immer an. Dicke Ohren lässt er sich nicht entgehen, außerdem schützt ihn ja Avast ;)

Ich hätte nicht gewusst das es eine Excel Datei ist, hatte noch nie Excel installiert und seit Windows 7 ist auch Java nicht mehr installiert.
Wenn ich also Excel und Java installiert hätte und hätte die Datei geöffnet, hätte es mich auch erwischt?
Ja und Amen cosinus:)
Ergänzend: ich hatte zuerst auch noch zusätzlich BitDefender AntiCryptoWall installiert gehabt und später Malwarebytes stattdessen Malwarebytes Anti Ransomware und beide reagierten jeweils auch nicht beim öffnen der Datei.

So einen User hatt ich sogar schon mal...

Hat wahrscheinlich geglaub, dass er sich ein Video anschauen kann und plötzlich ein Screenlock. Blöd gelaufen :D