Misc 0 Report post Posted March 1, 2016 Hallo, bin mir nicht ganz sicher ob es sich hier um eine .locki Variante handelt. Hab sie jedenfalls bei euch mal hochgeladen, https://www.virustotal.com/en/file/0fb7a288330abac107998db2270148550b1f6363df978b00dc997c0b79844baf/analysis/1456844858 Meine Frage, es wurden 2 Rechner befallen auf denen eine Konkurrenzsoftware von euch lauft. Die Rechner sind jetzt aus. Welche Optionen gibt es das Programm zu stoppen bzw. zu entfernen? Gruß Quote Share this post Link to post Share on other sites
Christian Peters 99 Report post Posted March 1, 2016 Hallo, anhand der Analyse von VT ist es nicht möglich eindeutig zu sagen es handelt sich um eine Locki Variante. Dazu benötigen wir die Dateien die nachgeladen werden über das Makro bzw. Skript was in der Schaddatei eingebettet ist. Für die eventuelle Entfernung der Infektion habe ich Ihr Thema mal in die richtige Forumssektion verschoben. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 1, 2016 Hallo, die .zip die per Mail kam habe ich heute mit eurem Support Formular hochgeladen. War das ok? Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 2, 2016 Hi und Herzlich Willkommen beim Emsisoft Support Forum! Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften) Starte jetzt FRST. Ändere ungefragt keine der Checkboxen und klicke auf Scan. Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop. Bitte beide Logfiles in der nächsten Antwort anhängen. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 2, 2016 Hallo, erstmal Danke für die Hilfe.Der Rechner ist komplett aus, die Frage ist, kann ich den Rechner einfach so starten oder macht .locky dann weiter mit dem Dateiverschlüsseln?Es wurden schon einige tausend Dateien verschlüsselt. https://www.virustotal.com/de/file/0fb7a288330abac107998db2270148550b1f6363df978b00dc997c0b79844baf/analysis/1456908575 Hier noch der EIS Scan vom Emailanhang von meinem Arbeitsplatz aus. Emsisoft Internet Security - Version 11.5.0.6191 Letztes Update: 02.03.2016 09:16:02 Benutzerkonto: ... Scaneinstellungen: Scantyp: Objekte: Y:\Allgemein\Rechnung Nr.1421854.zip Erkenne PUPs: An Archive scannen: An ADS-Scan: An Dateierweiterungen: Aus Advanced Caching: An Direct Disk Access: Aus Scan Beginn: 02.03.2016 10:13:06 Y:\Allgemein\Rechnung Nr.1421854.zip -> statistics_56286556241.js Trojan.JS.Agent.JZK (B) Gescannt 1 Gefunden 1 Scan Ende: 02.03.2016 10:13:06 Scanzeit: 0:00:00 Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 3, 2016 Ja, solange die Infektion aktiv ist arbeitet sie auch weiter. Bitte mal von aussen mit FRST scannen, wie hier beschrieben: http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 3, 2016 Ok, eine zweite Datei hab ich leider nicht. FRST.txt Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 3, 2016 Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument HKU\hest\...\Run: [Locky] => C:\Users\hest\AppData\Local\Temp\parallelVacancy.scr [184320 2016-03-01] () <===== ATTENTION C:\Users\hest\AppData\Local\Temp\parallelVacancy.scr Speichere diese bitte als Fixlist.txt auf deinem USB Stick.Starte deinen Rechner erneut in die Reparaturoptionen Starte nun die FRST.exe erneut und klicke den Fix Button. Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 3, 2016 ok erledigt Fixlog.txt Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 3, 2016 Bitte nochmal einen Scan aus der Recovery machen. Wenn der sauber ist kann man den Rechner versuchsweise nochmal normal starten. Ich würde trotzdem, wenn wichtige Daten drauf sind, diese per Bootmedium extern sichern. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 3, 2016 Ok hier die Datei. FRST.txt Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 3, 2016 Hi, ok. Sieht gut aus. Daten gesichert? Rechner normal starten wäre der nächste Schritt. Dann bitte ein volles Set Logs mit FRST erstellen, wie im ersten Post beschrieben. Ebenso einen Malwarescan mit EEK bitte. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 3, 2016 Hallo, scheint soweit zu laufen. EEK hat allerdings noch zwei hohe Risiken gefunden bei denen ich nicht weis was das sein soll. Addition.txt FRST.txt logs.db3 Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 4, 2016 Bitte den Scanbericht von EEK anhängen, nicht das DB3-File . Einfach nach dem Scan auf Bericht anzeigen klicken. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 4, 2016 hehe hab nur unter log geschaut scan_160303-174953.txt Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 4, 2016 Beide Funde sind in Quarantäne. Bitte zur Kontrolle nochmal scannen. Rest sieht gut aus. Quote Share this post Link to post Share on other sites
Misc 0 Report post Posted March 4, 2016 Prima keine Meldung mehr! Danke für den Support! Quote Share this post Link to post Share on other sites
schrauber 30 Report post Posted March 7, 2016 Gern Geschehen Quote Share this post Link to post Share on other sites
