So bin ich den Virus losgeworden.
Achtung ! nachmachen auf einegne Gefahr ! ich übernehme keine Verantwortung für Schäden infolge der nachfolgende Hinweise.
Zunächst aus der QNAP-Webseite die allerletzte Firmware (Zip Datei) herunterladen.
Aus der WEB-Oberfläche ggf. den "falschen" MalwareRemover (bei mir vers 9.0.0) mit dem AppCenter deinstallieren.
Dann mittels z.B: Putty (https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe ), Anmeldung mit "admin" und dem zugehörigen Passwort, SSH-Protokoll muss in ->Systemsteuerung -> Netzwerk- & Dateiservices aktiviert sein; Anmeldung via SSH-Protokoll Standardport 22.
crontab -l
In der Ausgabe nach einen Eintrag derart suchen (es muss nicht unbedingt genau gleich sein, fängt aber mit einen Punkt an gefolgt von eine zufällige Folge an Zeichen) :
Falls fündig dann
mit
crontab -e
den crontab editieren und die obige Zeile löschen (cursor drauf un dd)
Editor verlassen mit :wq
mit
vi /mnt/HDA_ROOT/.config/crontab
das Ur-Crontab öffnen, die gleich Zeile suchen und wenn vorhanden ebenfalls löschen (dd)
Editor verlassen mit :wq
dann -der komische Name .iODhcsiinRKoaeD muss natürlich ersetzt werden, mit dem was in crontab gefunden wurde!-
rm -rf /share/CACHEDEV1_DATA/.iODhcsiinRKoaeD !!!!hier .iO.... ersetzen
mit ll /share/CACHEDEV1_DATA/ suchen ob mehr solche komische Einträge mit .zufälliche Buchstaben vorhanden sind.
Jeder davon mit
rm -rf /share/CACHEDEV1_DATA/.balabla
entfernen.
dann die Reste des falschen MalwareRemover loswerden
chattr -i /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/*
chattr -i /share/CACHEDEV1_DATA/.qpkg/MalwareRemover
rm -rf /share/CACHEDEV1_DATA/.qpkg/MalwareRemover
Die nächsten Schritte habe ich vom QNAP-Support mitgeteilt bekommen :
Zitat von QNAP Supportcurl https://download.qnap.com/Stor…/utility/derek-be-gone.sh | sh
Dies repariert den AppCenter, wird den Malware Remover Installieren und automatisch einen Scan inklusive Säuberung starten.
Dann der Firmware update aus der ZIP-Datei aus der Web-Oberfläche durchführen.
WICHTIG: Danach müssen sie unbedingt alle NAS User Passwörter ändern und das NAS neu starten.