Nein, er muss nicht rebooten, er legt sofort los mit dem Verschlüsseln. Der Betroffene hat es sofort bemerkt (im Explorer änderten sich plötzlich die Dateinamen) und den Rechner hart ausgeschaltet, naja so an die 100 Dateinen in EigeneDateien und Downloads hat er bis dahin erwischt...., bin grad am Scannen des Rechners, der hat beim User ein paar Exe-Dateien abgelegt, welche Desinfect aber nicht findet, das findet selbst die xls nicht.
Man findet die angelegten Exe-Dateien über das Dateidatum z.B."find -amin -120" (für nicht älter als 120min):
./AppData/Local/Temp/radE0BB0.exe
./AppData/Roaming/{710fec3f-eb4c-49c4-aa83-5fc03a745f1c}/at.exe
Der User hatte Makros in seinem Excel standardmässig aktiv, da er damit arbeitet und M$ leider keine andere vernüftige Möglichkeit bietet, die auf einfache Art zu aktivieren jedes mal bei Bedarf zu aktivieren. Die Dateien trugen übrigens seinen Namen. Veröffentlicht waren die Stellenanzeigen u.a. auch bei der Jobbörse. Da muss jemand die Anzeigen manuell durchgehen und damit dann individuelle Mails generieren.
Naja, früher oder später kriegen wir ihn.
Leo.