Du hast nicht zufällig noch die JavaScript Datei?

Ich glaub der TO wurde verscheucht

Zitat:

Zitat von cosinus

Ich glaub der TO wurde verscheucht

Zitat:

Den Rechner hab ich platt gemacht und ein Backup von gestern eingespielt.

Er braucht ja keinen Helfer mehr nachdem er das gemacht hat.

Trotzdem wurde er von dir verscheucht

Zitat:

Zitat von cosinus

Trotzdem wurde er von dir verscheucht

Das behauptest du

Als wie DarthVader kommst du mir nicht vor, eher wie einer, dem seine Oma die Milchschnitte in den Jutebeutel noch gelegt hat

Zitat:

Zitat von Deathkid535

Du hast nicht zufällig noch die JavaScript Datei?

Hey Ho!
ein bekannter hat sich auch den TeslaCrypt3 eingefangen. Bin grad dabei zu reten was zu reten ist (einiges wurde nicht verschlüsselt, ist das normal?) und hab dabei auch den Übeltäter in seinem Emailpostfach gefunden.
Hab mir die .js mal angeguckt und verstehe absolut gar nichts. Bin deshalb hier her gekommen um zu fragen, ob ich den Code hier einstellen darf um der Sache zusammen mit der Community etwas auf den Zahn zu fühlen und dann hab ich diesen Thread gesehen und der passt ja perfekt
Dass damit der PC nicht wieder sauber wird ist mir klar, darum geht es mir auch nicht. Mich würde viel mehr interessieren wie das teil genau funktioniert. Der Kollege hat z.B. (in unregelmäßigen Abständen) seine Daten (hauptsächlich Bilder) auf einer externen Festplatte gesichert. Ich würde jetzt gerne wissen, kann ich die HDD problemlos an das neue System anschließen, oder besteht die gefahr, dass sich die Infektion wieder überträgt? Momentan weiß ich noch nichtmal, ob die Daten auf der externen nicht auch verschlüsselt sind. Wollte sie sicherheitshalber erstmal nicht anschließen, für den Fall dass sie noch nicht verschlüsselt sind, nicht dass sies dann werden.
Also, kann ich den Code hier reinstellen oder jemandem schicken? Oder ist das eher nicht erwünscht?

Zitat:

Also, kann ich den Code hier reinstellen oder jemandem schicken? Oder ist das eher nicht erwünscht?

Frag mal Deathkid535 per PN, der hatte nämlich Interesse daran und den Code würde ich nicht so ins Forum stellen sondern nur dann per PN oder E-Mail an User die daran Interesse haben, den so weitergeben.

Die vermutliche Teslacrypt3 Datei von s0nny wird beschämenderweise von Avast immer noch nicht erkannt: https://www.virustotal.com/de/file/3...is/1455646638/, hab die denen jetzt geschickt damit die endlich mal reagieren. AVG hingegen macht kurzen
Prozess damit, erkennt es sofort egal ob per Scan oder auch wenn ich das Zip File entpacke:

/edit
Bilder etwas entschärft, aber nicht komplette Verlinkung entfernt. Besuch von "abload" auf eigene Gefahr.

hxxp://abload.de/image.php?img=17wjlz.jpg
hxxp://abload.de/image.php?img=22jk3k.jpg
hxxp://abload.de/image.php?img=3l5jfa.jpg
hxxp://abload.de/image.php?img=44sjzb.jpg
hxxp://abload.de/image.php?img=5nujut.jpg
hxxp://abload.de/image.php?img=6j2kn2.jpg

//edit
cosinus

Sogar meine VM mit Win7 ohne Virenprogramm (nur der integrierte Win Defender) hat die Datei erkannt.
Habe die Datei jetzt etwas "reversed engineered", bin aber noch nicht ganz fertig und verstehe auch nicht alles. Was ich aber rausgekriegt habe, sind unter anderem 2 URLs, welche beide auf eine 93.exe zeigen. Virustotal sagt bei einer sie wäre sauber, bei der anderen erkennt er, dass die Seite Malware enthält, genaueres aber nicht.
Die .js lädt das Teil also auch nur nach.

Bin grad noch dabei ein paar Strings zusammenzusetzen, komme aber nicht ganz mit dem WScript-Objekt klar, welches wohl letztendlich die Verbindung aufbaut und Registryeinträge vornimmt (?).
Kennt sich vll jemand damit aus?

Edit:
Normalerweise hätte ich gesagt, die Server auf denen die infizierte exe liegt sind sicher nicht vom Urheber, allerdings sind beide URLs recht ähnlich.
"hxxp://helloguys**.**"
"hxxp://sowhatsupwithit**.***"
die letzten beiden Zeichen der TLD sind jeweils 2 gleiche Buchstaben
War da vll doch jemand so doof und hat da seinen eigenen Server für verwendet? Oder nur Zufall? ^^

Die Antwort von Avast:

Zitat:

Hallo xxxxxxxxxxxxx

Unser Kundendienst hat Ihre Anfrage erhalten.




Die Reaktionszeit kann je nach Abteilung und Art des Problems variieren, jedoch wird Ihnen einer unserer Mitarbeiter möglichst bald antworten.




Die Details Ihrer Anfrage sind anbei für Ihre Unterlagen angeführt:




Ticket-Nr.:


Betreff: Verdächtige Datei(Teslacrypt3)





Sie können hier den Status der Anfrage überprüfen oder online eine Antwort abschicken:







Mit freundlichen Grüßen




Ihr Kundendienst-Team


AVAST Software

Zitat:

Zitat von s0nny

Sogar meine VM mit Win7 ohne Virenprogramm (nur der integrierte Win Defender) hat die Datei erkannt.
Habe die Datei jetzt etwas "reversed engineered", bin aber noch nicht ganz fertig und verstehe auch nicht alles. Was ich aber rausgekriegt habe, sind unter anderem 2 URLs, welche beide auf eine 93.exe zeigen. Virustotal sagt bei einer sie wäre sauber, bei der anderen erkennt er, dass die Seite Malware enthält, genaueres aber nicht.
Die .js lädt das Teil also auch nur nach.

Bin grad noch dabei ein paar Strings zusammenzusetzen, komme aber nicht ganz mit dem WScript-Objekt klar, welches wohl letztendlich die Verbindung aufbaut und Registryeinträge vornimmt (?).
Kennt sich vll jemand damit aus?

Als ich gestern das Zip File von dir entpackt hatte und die Datei darin ausführte, tat sich rein gar nix, war schon darauf gefasst das das verschlüsseln anfing, aber es passierte rein gar nichts. Hab mit den Dingern aber auch keinerlei Erfahrung.

Und Dir gebe ich den Rat, einen ordentlichen Speicherort für Bildschirm-Screens zu suchen.
Da lädt man sich ja mehr Schadsoftware und andern Blödsinn herunter, als man Haare auf dem Kopf hat.

Da war die Moderation schneller. Wollte gerade den Beitrag melden. Der Nutzer Purzelbär sollte aber doch eine Ermahnung und ein paar Hinweise seitens der Boardleitung erhalten. Jeder unbedarfte Windows-User hätte sich hier einen Haufen Müll eingefangen.

Zitat:

Zitat von felix1

Und Dir gebe ich den Rat, einen ordentlichen Speicherort für Bildschirm-Screens zu suchen.
Da lädt man sich ja mehr Schadsoftware und andern Blödsinn herunter, als man Haare auf dem Kopf hat.

noscript und die Sache ist geritzt

Zitat:

Zitat von purzelbär

Als ich gestern das Zip File von dir entpackt hatte und die Datei darin ausführte, tat sich rein gar nix, war schon darauf gefasst das das verschlüsseln anfing, aber es passierte rein gar nichts. Hab mit den Dingern aber auch keinerlei Erfahrung.

Kannst du mal gucken ob du in %TEMP% eine 2097152.exe liegen hast? soweit ich das verstehe sollte das die im hintergrund geladene exe sein.

Zitat:

Zitat von felix1

Und Dir gebe ich den Rat, einen ordentlichen Speicherort für Bildschirm-Screens zu suchen.
Da lädt man sich ja mehr Schadsoftware und andern Blödsinn herunter, als man Haare auf dem Kopf hat.

Welchen Bilderhoster ich nutze und wo ich die Screenshots dann speichere, ist nicht Dein Problem, geht Dich nichts an.

Zitat:

Zitat von s0nny

Kannst du mal gucken ob du in %TEMP% eine 2097152.exe liegen hast? soweit ich das verstehe sollte das die im hintergrund geladene exe sein.

Meinst du nicht auch, dass der Dateiname eher durch den Zufall erzeugt wurde?