Ben ik paranoide of is een clean install overbodig?

Oke maatjes, er is een probleempje. Ik heb zelden last van virussen de laatste pakweg 10 jaar, en als het al is is het toch wel omdat ik me op glad ijs begeef. Zo ook vandaag. Ik zat op het forumgedeelte van My Digital Life, even zoeken naar een XP HOME SP2 NL ISO (wou die op oldskool gamebak knallen, en nee ik wou hem niet aan het netwerk koppelen of dataoverdracht via USB HDD/STICK bv.) Maar goed ik zag een HTTP mirror en een Magnet link. Ik dacht ik pak die HTTP mirror zodat ik niet álle iso's van XP (talen en sp versies) hoef binnen te halen. Nou goed na wat geklik kwam ik op een pagina die vroeg of ik mijn adblock wou uitschakelen. Ik heb dat gedaan (stom eigenlijk) omdat ik dacht het noodzakelijk was zodat hun hun gratis http downloads konden aanbieden. Toen kwam er een pop-up met heel verhaal dat mijn FB login en andere dingen gestolen waren, je kon op oké klikken, dit heb ik niet gedaan. Ik denk dat het een valse melding was namelijk. Kaspersky AV 2017 reageerde op dat moment dat er een Trojan Horse gedetecteerd was genaamd JS:Trojan Agent Sileof, nu weet ik niet meer of ik hem zelf verwijderd heb maar volgens mij schoonde hij het zelf al op.

Wat ik daarna gedaan heb:

-Ccleaner laten opschonen (niet het registerstukje dat vind ik te tricky)
-Kaspersky volledige systeemscan (geen infecties gevonden)
-Adwcleaner (geen infecties gevonden)
-Hitman Pro (geen infecties gevonden)
-Malwarebytes (geen infecties gevonden)
-Eset NOD32 online scan (vond 2 infecties, maar het ene bestand was de ccleaner installer en de andere -was van de HP printer) waren fals positives, het ook door virustotal gehaald nog.
-Emergency Kit (vond 2 infecties, dit waren de quarantene bestanden van Kaspersky, 1 quarantene bestand van 19 januari een false positive van de Hirens Boot CD en 1 quarantene bestand van vandaag van die Trojan, hier stond hij onder de noemer "Trojan Cryxos.261 (B)"
-ProcesExplorer (met virustotal analyse aangezet) stonden geen processen tussen die virustotal aanmerktte als virus. Ja 1 of 2, maar dit waren false positives ook. (1 scanner van de tig in virustotal vonden wat en was een legitiem bestand uit oa de bonjour map van Apple)
-MSCONFIG gechecked, geen rare opstartitems
-Handmatig de TEMP map in de Windows dir geleegd en met ccleaner dus ook de Chrome cache geleegd. In de chrome cache (C:\Users\Dennis\Appdata\Local\Google\Chrome\User Data\Default\Cache) Stond ook de boosdoener het bestandje genaamd "f_0011ff "In de temp map van Windows staan nog 2 bestanden. Het begint met etilqs_ en daarna een random stuk. Bijv deze: etilqs_aDcse3qzKTVWQ2Z. Ik kan die niet verwijderen, is dit een legitiem bestand? Heb namelijk de indruk dat dit bij Kaspersky of Chrome hoort.

Mijn vragen:

1.Kan het zijn dat er alsnog iemand in mijn pc zit? Ik heb de standaard Firewall van Windows in Windows 10, kan ik dit op een of andere manier verifieren? Heb daar weinig verstand van.

2. Misschien ben ik para, maar ook al denk ik nu dat ik schoon ben, ben ik toch huiverig dat een cryptolocker ofzo een aantal dagen of weken later spontaan op komt zetten, dus dat hij zich nu verstopt houdt. In hoeverre moet ik daar bang voor zijn? Is hier nog wat aan te doen om dit te checken?

3. Heeft een rescue cd zoals van Kaspersky of AVG zin? Ik gebruiktte dit vroeger wel eens voor bekende in de tijden van het ''politievirus''

4. Betreft dat stukje over die temp map, zijn die 2 bestanden legitiem/schoon?

Overige zaken:

De PC is mijn reservepc, draaiend op Windows 10 icm Windows Firewall en Kaspersky AV 2017. De browser die ik toen gebruiktte was Google Chrome. Een preventieve format zie ik niet zo zitten nu, veel werk en zeker als het waarschijnlijk voor nope is. En in geval van een cryptolocker ben ik dan waarschijnlijk toch al te laat omdat mijn main pc toen ook al aan stond. (oversmetting)

Alvast heel erg bedankt voor jullie input, het is een flink verhaal dit. Maar ik bewust gewacht tot ik vanmiddag dit allemaal doorlopen heb. Het is meer een soort controle van jullie kant. Ik ben anno 2017 ook niet dagelijks meer bezig met malware opschonen hier thuis of bij/voor anderen.

MiliaanR schreef op zondag 29 januari 2017 @ 19:40:
Als je de logs van Kasperky bekijkt, staat er dan niet van: datum geïnfecteerd blabla verwijderen gelukt

Jawel, in de logboeken zie ik dat hij hem op 13.50 had gedetecteerd, daarna in quarantene heeft gezet en tot slot verwijderd. (dat allemaal op 13.50) maar zoals ik zeg, hoe weet ik of ik toch niet een of andere cryptolocker te pakken heb die zich later openbaart?

Brahiewahiewa schreef op maandag 30 januari 2017 @ 00:47:
[...]

Tja, dat weet je pas als het te laat is.
Je kunt het risico nemen, maar zorg dan wel voor een goede backup
Of je kunt op safe spelen en herinstalleren. Zorg dan ook voor een goede backup, overigens

Nou op die betreffende pc staat niet veel spannende data, wel hoop proggies waardoor ik niet zo'n zin heb in een herinstallatie. Maar op mijn main pc staan wel veel bestanden, heb er backups van de laatste is inmiddels wel maandje terug denk ik. Nu is de belangrijke vraag, als ik nu een backup trek van mijn data (terwijl ik nog geen crypto zichtbaar zie) kan het dus zijn dat ie stiekem al wel mijn externe hd infecteert? Die main pc zit namelijk in hetzelfde netwerk als mijn reservepc en mijn main pc heeft een gedeelde schijf die benaderderbaar is met auto login vanaf die pc waar doe trojan opstond. Misschien zoek ik spijkers op laag water, maar ik weet niet hoe geavanceerd de huidige cryptolockers zijn. Ik ga liever uit van het ergste. Dan kan het wellicht allemaal meevallen.

Brahiewahiewa schreef op maandag 30 januari 2017 @ 09:56:
[...]

Met crypto-lockers moet je onderscheid maken tussen infecteren en encrypten. Infecteren wil zeggen dat er kwaadaardige code draait op de PC. Encrypten wil zeggen dat je data versleuteld wordt met een key die jij niet hebt. Daarvoor hoeft de PC niet geïnfecteerd te zijn; een andere geïnfecteerde PC kan dat ook doen.
Tot nu toe zie je dat crypto-lockers erg weinig moeite doen om andere PC's te infecteren (want da's moeilijk) maar wel agressief of zoek gaan naar shares met write-access

Dus: moet je bang zijn dat andere PC's in je netwerk geïnfecteerd worden met malware? Vooralsnog niet.
Is je data veilig? Absoluut niet. Je hebt zowel je bestanden als je backup, full-access beschikbaar gesteld op je netwerk en daarmee zijn ze vogelvrij.

Voortaan ga ik er voor zorgen dat die andere pc's niet bij mijn main pc kunnen zonder wachtwoord in te voeren. Want nu gebruik ik mijn main pc als soort NAS. Dat laatste is niet, mijn backup heb ik al paar weken niet aangekoppeld. En ik ga dat voor de zekerheid maar even niet doen.. Stel dat een Cryptolocker mijn bestanden gaat encrypten, tot wanneer zou dit kunnen gebeuren? Gisteren was die betreffende trojan, je leest soms dat het 1-3 dagen kan duren. Maar soms lees ik zelfs een maand. Nu moet ik wel zeggen, ik denk niet dat het een cryptolocker was. Maar ik ben gewoon benieuwd, want ik schrok gisteren toch best wel behoorlijk eigenlijk. Ik had niet verwacht dat die mirrors op MDL zo tricky waren.

Zandhond schreef op maandag 30 januari 2017 @ 18:47:
Als je echt van het ergste uitgaat, zou ik de pc een schone installatie geven, maar volgens mij is dat, gezien de uitgebreide scans die je al uitgevoerd heb, niet nodigt. Heb je de pc ook opnieuw opgestart en in Save Mode gescand?

Indien je bang bent dat je computer toch nog geinfecteerd is, maar je de boosdoenen niet kan vinden en je niet wil herinstalleren, zou je kunnen proberen te voorkomen dat de boosdoener.exe geactiveerd wordt.

Aangezien je de Home versie van XP gebruikt zijn je mogelijkheden iets beperkter. Het instellen van Software Restriction Policies ( https://support.microsoft...on-policies-in-windows-xp )
werkt volgens mij niet. Daarvoor moet je, denk ik, Pro of Enterprise hebben.

Wat je wel kan doen is een tool downloaden, die voorkomt dat de boosdoener.exe aan zijn werk gaat beginnen.
https://www.foolishit.com/cryptoprevent-malware-prevention/

Wat ik in jouw geval zeker zou doen is een lijst met je proggies maken.
Zet die prgramma's alvast op een USB stick, scheelt je bij een herinstallatie toch wel veel zoekwerk. Zorg er wel voor dat je de proggies verzamelt via je main pc, anders zou je de usb stick ook kunnen besmetten.

Veilige modus scans heb ik idd niet gedaan, omdat ik ooit gelezen hebt dat essentiële zaken niet altijd worden ingeschakeld dan waardoor niet alle malware gevonden wordt. Maar kan het eens proberen.

En ik gebruik voor de duidelijkheid geen XP, ik was van plan een XP ISO te downloaden, voor op een oldskool pc (zonder netwerk en usb-data) voor games die slecht onder 10 werken.

Nu we het daar toch over hebben, wie weet een manier om GTA Vice City goed te kunnen draaien onder 10? In Windows 7 heb je de instelling Disable Visual Theme, helaas zit die niet in Windows 10. En zou heel graag nog een Vice City fijn kunnen spelen. Nu werkt het wel, maar heel slecht (opstarten en afsluiten van het spel bv gaat slecht / steam)

Zandhond schreef op maandag 30 januari 2017 @ 19:16:
Probeer Vice City eens in windows 7 compability modus te draaien:
Selecteer het .exe bestand op de harde schijf met je rechter muisknop.

Al geprobeerd, helpt niet. Had eerst problemen dat ik niet kon bewegen in het spel met de muis "om je heen kijken" is ook veel over te vinden op het internet. Visuele thema uitschakelen kan wel helpen. Of een xp bak pakken zonder netwerk data is uiteraard het beste voor zoiets. Maar de meeste games heb ik via steam, en dan zul je toch netwerkactiviteit nodig hebben. En dat is te tricky met XP. Ik kijk wel ff.

Roel911 schreef op maandag 30 januari 2017 @ 22:35:
[...]

Mijn antwoorden:
1. In het slechtste geval heb je een rootkit geinstalleerd. De enige manier om dat te detecteren is een anti-virusscan vanaf een opstartmedium opstarten en je systeem scannen. Let op: gebruik een legaal aangeschafte scanner, anders heb je meer kans dat er alsnog een rootkit geinstalleerd wordt.
2. Ga van het slechtste geval uit. Backup je data asap naar een medium die je na de backup offline van je netwerk en je computers houdt. Gaat het mis heb je iig die backup nog. Eigenlijk raad ik je sowieso een herinstallatie aan. Het Windows 10 installatie medium zou ik via een andere computer maken. Zie ook: https://www.microsoft.com/nl-nl/software-download/windows10
3. Absoluut, zie mijn antwoord bij 1.
4. Indien je deze bestanden wilt verwijderen kun je dit via de veilige modus doen. Zie: http://www.digitalcitizen...boot-safe-mode-windows-10

Ik hoop dat je wat aan mijn antwoorden hebt

Dank voor je reactie, ik kan best een backup maken. Maar een moglijke crypto vaart dan ook mee op die ext hdd toch? Of is er niks aan de hand als op dit moment de de mainpc en reservepc niet encrypted zijn?