Zitat:

Zitat von purzelbär

Welchen Bilderhoster ich nutze und wo ich die Screenshots dann speichere, ist nicht Dein Problem, geht Dich nichts an.

Nun tritt euch doch nicht gleich in die Eier
Purzel, das TB hat hier extra eine Dateiuploadfunktion, auch für Bilder

Zitat:

Zitat von s0nny

Kannst du mal gucken ob du in %TEMP% eine 2097152.exe liegen hast? soweit ich das verstehe sollte das die im hintergrund geladene exe sein.

Ich seh da nichts drin:

Zitat:

Zitat von cosinus

Nun tritt euch doch nicht gleich in die Eier
Purzel, das TB hat hier extra eine Dateiuploadfunktion, auch für Bilder

Ich weiß cosinus aber ich bin den von mir genutzten Bilderhoster seit Jahren gewohnt.

nein, laut der .js wird das teil in %TEMP% mit dem namen Math.pow(2, 24) +".exe" gespeichert

Edit:
hab grad mal auf dem infizierten Rechner geguckt den ich hier hab, da existiert diese Datei auch nicht. Vll löscht sie sich anschließend automatisch

Zitat:

Zitat von cosinus

noscript und die Sache ist geritzt

Ist mir schon klar und ich bin ja nicht mit MS unterwegs
Mir geht es hier eher um unbedarfte W-Nutzer. Die laden sich hier Schrott herunter, der dann hinterher wieder bereinigt werden muss.
Ich habe den bewussten Knopf mal gedrückt.

Muss man eigentlich damit die invoice_Yknrzy.xls ausgeführt werden kann um dann zu verschlüsseln ein bestimmtes Programm installiert haben oder bei einem Programm eine bestimmte Funktion aktiviert haben? Bei mir steht da öffnen mit: Microsoft ® Windows Based Script Host wenn ich in Eigenschaften schaue.

purzel, deinem letzten Screenshot entnehme ich, dass du dir sträflicherweise nicht grundsätzlich die Dateiendung anzeigen lässt!!

Steh bei dir wirklich invoice_Yknrzy.xls oder nur invoice_Yknrzy ohne das .xls?

die Datei heißt eigentlich invoice_Yknrzy.xls.js

Zitat:

Zitat von cosinus

purzel, deinem letzten Screenshot entnehme ich, dass du dir sträflicherweise nicht grundsätzlich die Dateiendung anzeigen lässt!!

Steh bei dir wirklich invoice_Yknrzy.xls oder nur invoice_Yknrzy ohne das .xls?

cosinus, helfen dir die 2 Bilder?
Und was müsste ich machen wenn ich mir Dateiendungen anzeigen lassen wollte? Nächste Frage: warum wurde mein System gestern als ich noch Avast hatte nicht infiziert/verschlüsselt als ich die entpackte Datei öffnete ?
Edit: muss bei Ordneroptionen der Haken raus bei Erweiterungen bei bekannten Dateitypen ausblenden raus?

So, hab das ganze jetzt zerlegt und kommentiert. Wenn du Fragen dazu hast kann ich dir das gern PMen

Übrigens sind die Links kaputt, deshalb geht da nix mehr.

Genau wie ich befürchtet hab. Das Teil tut nur so als sei es eine Excel-Tabelle...die echte Endung (.js) siehst du nicht, wird unterdrückt. Geh mal in die Ordneroptionen und nimm den Haken raus...

Zitat:

Wenn du Fragen dazu hast kann ich dir das gern PMen

Die hab ich ja schon hier gestellt

Zitat:

Muss man eigentlich damit die invoice_Yknrzy.xls ausgeführt werden kann um dann zu verschlüsseln ein bestimmtes Programm installiert haben oder bei einem Programm eine bestimmte Funktion aktiviert haben? Bei mir steht da öffnen mit: Microsoft ® Windows Based Script Host wenn ich in Eigenschaften schaue.

Zitat:

warum wurde mein System gestern als ich noch Avast hatte nicht infiziert/verschlüsselt als ich die entpackte Datei öffnete ?

Zitat:

Zitat von cosinus

Genau wie ich befürchtet hab. Das Teil tut nur so als sei es eine Excel-Tabelle...die echte Endung (.js) siehst du nicht, wird unterdrückt. Geh mal in die Ordneroptionen und nimm den Haken raus...

Mach ich umgehend cosinus. Was ist dann jetzt der Vorteil dabei wenn ich bei der Option den Haken raus habe?

Zitat:

Zitat von purzelbär

Mach ich umgehend cosinus. Was ist dann jetzt der Vorteil dabei wenn ich bei der Option den Haken raus habe?

Du siehst jetzt in jedem Fall die Dateierweiterung.
In diesem Fall hast du dir ja z.B. die vermeintliche .xls Datei runtergeladen und wärst möglicherweise, da du ja weißt dass es sich um eine Excel Datei handelt, dazu bereit sie zu öffnen.
Lässt du dir die Dateierweiterung allerdings anzeigen, dann siehst du, dass hinter dem .xls noch ein .js kommt und du lässt vll lieber die Finger davon.
Oder anderes Beispiel, du bekommst ein Bild mit dem namen "titten.jpg" und willst es öffnen, eigentlich heißt die Datei aber "titten.jpg.exe"

Zitat:

Zitat von s0nny

eigentlich heißt die Datei aber "titten.jpg.exe"

Sowas klickt purzel immer an. Dicke Ohren lässt er sich nicht entgehen, außerdem schützt ihn ja Avast

Zitat:

Zitat von s0nny

Du siehst jetzt in jedem Fall die Dateierweiterung.
In diesem Fall hast du dir ja z.B. die vermeintliche .xls Datei runtergeladen und wärst möglicherweise, da du ja weißt dass es sich um eine Excel Datei handelt, dazu bereit sie zu öffnen.
Lässt du dir die Dateierweiterung allerdings anzeigen, dann siehst du, dass hinter dem .xls noch ein .js kommt und du lässt vll lieber die Finger davon.
Oder anderes Beispiel, du bekommst ein Bild mit dem namen "titten.jpg" und willst es öffnen, eigentlich heißt die Datei aber "titten.jpg.exe"

Ich hätte nicht gewusst das es eine Excel Datei ist, hatte noch nie Excel installiert und seit Windows 7 ist auch Java nicht mehr installiert.
Wenn ich also Excel und Java installiert hätte und hätte die Datei geöffnet, hätte es mich auch erwischt?

Zitat:

Sowas klickt purzel immer an. Dicke Ohren lässt er sich nicht entgehen, außerdem schützt ihn ja Avast

Ja und Amen cosinus
Ergänzend: ich hatte zuerst auch noch zusätzlich BitDefender AntiCryptoWall installiert gehabt und später Malwarebytes stattdessen Malwarebytes Anti Ransomware und beide reagierten jeweils auch nicht beim öffnen der Datei.

So einen User hatt ich sogar schon mal...

Hat wahrscheinlich geglaub, dass er sich ein Video anschauen kann und plötzlich ein Screenlock. Blöd gelaufen