Gib mir 20 Minuten, dann ist meine VM inklusive Emsi rdy

Aber auf VT gibts nur die Heuristische Analyse, keine Verhaltensanalyse.

Zitat:

Zitat von Cimba

Da steht u.a., das gar kein Scanner den modifizierten Locky erkannt hat (also auch EMSI nicht).

Ja und? VT nutzt nicht die verhaltensbasierte Erkennung. Insofern solltest du mit solchen Kommentaren vorsichtiger sein. schrauber schriebt schließlich kein Dünnschiss, er verbreitet auch keine Lügengeschichten

So, habs getestet:

Verhaltensanalyse hat sofort angeschlagen.

Danke für den Test, dann behält schrauber ja doch Recht

Zitat:

Zitat von Deathkid535

Gib mir 20 Minuten, dann ist meine VM inklusive Emsi rdy

Aber auf VT gibts nur die Heuristische Analyse, keine Verhaltensanalyse.

Welches hast du da jetzt getestet? das von s0nny das ich auch da habe oder eine andere Variante? wenn andere Variante, könntest du mir das "zukommen" lassen?

Ist doch alles im Link von Cimba .

Ich will da jetzt keine Anleitung dazu posten sry. Aber wenn du das nicht findest schick mir eine PM.

Danke für die PN mit dem File Dennisso bald ich das 7 Zip File entpacken will, "bellt" Avast los und verhindert das obwohl Avast doch so schlecht sein soll bei den Ransoms:

Deaktivier doch mal den File-Scanner und probiers mit der Verhaltensanalyse

Zitat:

Zitat von Deathkid535

Deaktivier doch mal den File-Scanner und probiers mit der Verhaltensanalyse

Dann sieht Avast alt aus wenn ich den Dateisystemschutz deaktiviere und das 7 Zip File entpacken will, da macht Avast keinen Mucks und es wird anstandslos entpackt

Verhaltensanalyse springt ja auch erst an, sobald die Datei läuft.

Also müsste ich dafür versuchen die entpackte svchost.exe Datei zu öffnen?

Zitat:

Zitat von purzelbär

Also müsste ich dafür versuchen die entpackte svchost.exe Datei zu öffnen?

Genau so. Die siehst ja erst wie eine Datei sich verhält wenn sie ausgeführt wird.

Also mit Dateisystemschutz ist der Schutz von Avast da und die Datei wird in Quarantäne verschoben wenn ich die ausführen will aber mit ausgeschalteten Dateisystemschutz muckst sich Avast nicht und nach geschätzten 4-5 Sekunden nach ausführen der Datei hab ich den PC am Schalter des Netzteils ausgeschaltetkurz gewartet und dann wieder booten lassen. War wohl zu wenig Zeit für Locky mir Dateien zu verschlüsseln.

Du sollst doch nicht Ransomware auf deiner Host-Maschine ausführen...

Deinen Temp-Ordner auf jeden Fall leeren. Der Verhaltensschutz kann erst anspringen sobald sich irgendetwas tut. Wahrscheinlich wartet Locky am Anfang noch auf die Verschlüsselungskeys vom Server.

@Deathkid535
Ich hab dir doch dazu etwas per PN geschrieben. Die Boot CD von Paragon ist schon im CD Laufwerk drin und die Hand wäre auch gleich am Schalter der noch ausgeschalteten USB Festplatte gewesen. Ich hab wahrscheinlich zu meinem Glück nicht lange genug gewartet bis Locky in Aktion hätte treten können.