Recommended Posts

Hallo,

 

bin mir nicht ganz sicher ob es sich hier um eine .locki Variante handelt.

Hab sie jedenfalls bei euch mal hochgeladen,

https://www.virustotal.com/en/file/0fb7a288330abac107998db2270148550b1f6363df978b00dc997c0b79844baf/analysis/1456844858

Meine Frage, es wurden 2 Rechner befallen auf denen eine Konkurrenzsoftware von euch lauft.

Die Rechner sind jetzt aus.

Welche Optionen gibt es das Programm zu stoppen bzw. zu entfernen?

 

Gruß

Share this post


Link to post
Share on other sites

Hallo,

 

anhand der Analyse von VT ist es nicht möglich eindeutig zu sagen es handelt sich um eine Locki Variante. Dazu benötigen wir die Dateien die nachgeladen werden über das Makro bzw. Skript was in der Schaddatei eingebettet ist.

 

Für die eventuelle Entfernung der Infektion habe ich Ihr Thema mal in die richtige Forumssektion verschoben.

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Bitte beide Logfiles in der nächsten Antwort anhängen.

Share this post


Link to post
Share on other sites

Hallo, erstmal Danke für die Hilfe.

Der Rechner ist komplett aus, die Frage ist, kann ich den Rechner einfach so starten oder macht .locky dann weiter mit dem Dateiverschlüsseln?
Es wurden schon einige tausend Dateien verschlüsselt.

 

https://www.virustotal.com/de/file/0fb7a288330abac107998db2270148550b1f6363df978b00dc997c0b79844baf/analysis/1456908575

 

Hier noch der EIS Scan vom Emailanhang von meinem Arbeitsplatz aus.

 

Emsisoft Internet Security - Version 11.5.0.6191
Letztes Update: 02.03.2016 09:16:02
Benutzerkonto: ...
 
Scaneinstellungen:
 
Scantyp: 
Objekte: Y:\Allgemein\Rechnung Nr.1421854.zip
 
Erkenne PUPs: An
Archive scannen: An
ADS-Scan: An
Dateierweiterungen: Aus
Advanced Caching: An
Direct Disk Access: Aus
 
Scan Beginn: 02.03.2016 10:13:06
Y:\Allgemein\Rechnung Nr.1421854.zip -> statistics_56286556241.js Trojan.JS.Agent.JZK (B)
 
Gescannt 1
Gefunden 1
 
Scan Ende: 02.03.2016 10:13:06
Scanzeit: 0:00:00

Share this post


Link to post
Share on other sites

Drücke bitte die windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

HKU\hest\...\Run: [Locky] => C:\Users\hest\AppData\Local\Temp\parallelVacancy.scr [184320 2016-03-01] () <===== ATTENTION
C:\Users\hest\AppData\Local\Temp\parallelVacancy.scr
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Share this post


Link to post
Share on other sites

Bitte nochmal einen Scan aus der Recovery machen. Wenn der sauber ist kann man den Rechner versuchsweise nochmal normal starten. Ich würde trotzdem, wenn wichtige Daten drauf sind, diese per Bootmedium extern sichern.

Share this post


Link to post
Share on other sites

Hi,

ok. Sieht gut aus. Daten gesichert? Rechner normal starten wäre der nächste Schritt. Dann bitte ein volles Set Logs mit FRST erstellen, wie im ersten Post beschrieben. Ebenso einen Malwarescan mit EEK bitte.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.