Generic, Dropper.Generic, Downloader.Generic gefunden

fex

Hallo,

ich bin mittlerweile nach einer durchgemachten Nacht und einigen Litern Cola ziemlich am verzweifeln mit meinem System, ich scheine mir Trojaner eingefangen zu haben obwohl ich mein System aktuell halte und natürlich auch nicht einfach mal irgendwelche email Anhänge starte oder dergleichen. Ich kenne mich auf dem Gebiet nicht wirklich aus, habe seit Montag fast pausenlos gegoogelt, in eurem Forum ne Menge gelesen, meine ganzen Prozesse und verdächtige Dateien mit VirusTotal akribisch durchgeganen und bin mittlerweile echt platt und seit >30h wach , bitte nehmt mir nicht übel, wenn ich mittlerweile schon etwas konfus schreibe oder mir andere Fehler unterlaufen.


es fing am Montag damit an, dass sich Firefox von alleine startete (keine neue hp soweit ich mich erinnern kann, aber ich hab ne menge Tabs offen standardmäßig). Habe ziemlich chaotisch erstmal AVG AV Testversion installiert & aktualisiert (hatte eine veraltete Sophos AV Lösung drauf - ja ich weiß ) und mir von Sophos das Anti-Rootkit (SAR) gezogen und letzteres anfangen lassen zu scannen. Scheinbar beim scannen vom SAR ist der ResidentScanner von AVG angesprungen mit folgender Meldung:



Weil SAR immer einen 6-letter random process erzeugt und mir das erst nicht klar war, dass es von SAR ausgeht, habe ich zu dem Zeitpunkt den Scan beendet. (Asche auf mein Haupt, den dummen Fehler habe ich später nochmal begangen)
Die gefundenen Dateien habe ich in die Virenquarantäne bzw. gelöscht
Da SAR massenweise "unknown hidden files" reported hat (altes w2k servicepack install zeugs) und ich Angst hatte das Ding wär evtl kompromitiert (s.o.), habe ich das sein lassen, habe u.a. über das Trojaner Board Malwarebytes AntiMalware gefunden, ein QuickScan ergab allerdings nichts. Im Anschluss von der SysInteralsSuite den RookitRevealer gestartet und wieder ist AVG angesprungen wie wohl RootkitRevealer Dateien gescannt hat:



habe im Halbschlaf in bewährter Dummheit den unten im Screen angezeigten Progress geschlossen (...ja den RootkitRevealer).
Ich hatte zu dem Zeitpunkt kein Vertrauen mehr in die lokalen Tools und habe einen OnlineScan von Panda gestartet und mich die Nacht durch Foren, Threads, Virenlexika gewühlt und alle möglichen Prozesse mit VirusTotal geprüft .... Panda's Scan hat wohl seine 9h beansprucht.
Am Ende des Scans kann man den Report speicher, habe ich gemacht, allerdings ist das File jetzt komplett leer (nach nem Neustart), obwohl ich davor noch einige Male drauf zugegriffen habe. Die Meldungen waren einige Tracking Cookies, Trojaner funde wieder in den SysVolumeInfos und ein möglicher Vundo Fund in einem allerdings uralten Rar-Filearchiv (Partition mit altem Müll).

Heute morgen nach dem Panda Scan habe ich dann einen weiteren Malwarebyte Scan gestartet (immer vorher updated), diesmal einen Full Scan, hier der Report, wo auch das erstemal wieder dieser "df.exe","di.exe" (vom 1. Screen, Benennung je nach Laufwerksnamen?) gefunden wurde innem recycler ordner und wieder mal trojaner in den SysVolumeInfos (vermutlich vorher nicht gefunden, weil ich die AntiRooktkits panisch zu früh beendet hab):

Sind denn diese Trojaner im Recycler aktive Varianten, oder habe ich den/die womöglich noch gar nicht gefunden? Die Trojaner in den SysVolumeInfos scheinen Altlasten zu sein die nur noch wegen Wiederherstellungspunkten von XP vorhanden sind oder so ähnlich, wenn ich das richtig verstanden habe aus einigen Threads die ich gelesen hab?

Im Moment lasse ich nochmal einen Voll-Scan laufen, nach bisschen mehr als der Hälfte gibt es scheinbar noch keine Hits.

Ich wäre echt saufroh wenn mir jemand helfen könnte und hoffe dass ich die Board Regeln auch wie gewünscht umgesetzt habe.

schöne grüße

flo

PS: bzgl Vundo Trojaner oder generell alten JREs, ich muss jetz mal so dumm fragen: spielen alte 1.2-1.5er Java Installationen eine Rolle oder geht es nur um im aktuellen System registrierte / installierte Java Versioinen? Ich habe in einigen Partitionen noch diverse JREs rumliegen von früher