De code was ook digitaal gesigneerd door Piriform.

Oke, dat is even schrikken maar op de site van Piriform staat dat het alleen om de 32bits versie gaat. Ik gebruik zelf de 64bits versie, dus niets aan de hand in dat geval ????

Oh shit.. drie keer raden waarmee ik een paar weken geleden shitty laptops van familie mee heb opgeschoond

This compromise only affected customers with the 32-bit version of the v5.33.6162 of CCleaner and the v1.07.3191 of CCleaner Cloud. No other Piriform or CCleaner products were affected.

Is er een manier om mijn systemen te scannen op deze malware? Zijn er al antivirus scanners bekend die deze malware ondertussen kunnen vinden?

De trojan zit niet in de 64bits versie, je moet je echter wel afvragen hoe betrouwbaar de software is. De code was digitaal gesigneerd, d.w.z. dat het ofwel een kwaadwillende medewerker was, ofwel externe kwaadwillende hebben beschikking over de certificaten.

Ik neem aan dat Avast de malware kan detecteren? Misschien een idee om tijdelijk de gratis versie van Avast te installeren en het systeem hiermee te scannen?

Als je de in het artikel aangegeven versie ooit hebt gebruikt, dan heb je de malware geinstalleerd staan.

Zodra ik meer info heb over de detectie (en preventie) van de malware zelf dan zal ik dat hier posten.

Je kunt in ieder geval de domeinen zoals genoemd in het Talos artikel blokkeren. OpenDNS voorkomt al communicatie naar deze domeinen.

Uit het Talos artikel:

INDICATORS OF COMPROMISE (IOCS)

File Hashes
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

DGA Domains
ab6d54340c1a[.]com
aba9a949bc1d[.]com
ab2da3d400c20[.]com
ab3520430c23[.]com
ab1c403220c27[.]com
ab1abad1d0c2a[.]com
ab8cee60c2d[.]com
ab1145b758c30[.]com
ab890e964c34[.]com
ab3d685a0c37[.]com
ab70a139cc3a[.]com

IP Addresses
216[.]126[.]225[.]148

Oke, thanks. Maar waar controleer ik die File Hashes dan precies?

Het probleem lijkt groter te worden. Er zijn Locky Emails vanaf de mailservers van AvastThreatLabs gevonden.

Even afwachten maar het lijkt allemaal niet goed te gaan bij Avast.

Zegt AVAST, het "beveiligingsbedrijf" bedrijf dat niet eens door had dat ze een backdoor leverden... Hoe betrouwbaar is dat?

Bron?

Als je hierdoor getroffen bent, heb je er niet veel aan, maar sinds ik op Windows 10 zit, gebruik ik geen software van piriform meer (dit was voor Avast het bedrijf overnam).

Onder Windows XP, Vista en 7 heb ik ccleaner intensief gebruikt voor bijvoorbeeld een secure wipe van mijn browser history. Dit doe ik nu op een niet secure manier.

Ook heb ik het idee dat piriform de snelle updates van Windows 10 SaaS niet bij kan benen. Maar dit geldt ook voor veel andere software. Ook was het uitschakelen van automatische updates een erg wazig proces. Als laatste had versie CCleaner 5.31.6104 een bug die je Thunderbird profiel wiste. Al met al redenen om te stoppen met de software.

met screenshot:

https://twitter.com/search?q=%40AvastThreatLabs%20Definitely%20compromised%20.%20just%20found%20%23locky%20from%2030%20Aug%20from%20%40avast_antivirus%20IP&src=typd

Van alle hashes gaat het hier om 32 bit Windows-versies. Meer info en detectie hier:
https://www.virustotal.com/#/file/6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9/details
https://www.virustotal.com/#/file/1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff/details
https://www.virustotal.com/#/file/36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9/details

Piriform heeft het over de versie voor 32-bit Windows, maar ook de 64-bit versie wordt met de 32-bit installer van CCleaner geïnstalleerd. Het zou wel mooi zijn als ze uitdrukkelijk zeiden dat de 64-bit versie met 32-bit installer veilig was.

En Android smartphones met de Ccleaner Cloud version 1.07.3191 zijn ook besmet:
https://www.nu.nl/internet/4926995/populaire-software-ccleaner-geinfecteerd-met-malware.html

Op mijn Android smartphone staat nu Ccleaner version 1.20.86
Mogelijk is versie 1.07.3191 al automatisch bijgewerkt, maar dat zou kunnen betekenen dat de Ccleaner malware nog wel aanwezig is?
ClamAV is nu de enige AV software die de Ccleaner malware detecteert, maar is niet beschikbaar voor Android?

http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

Op de 32 bits desktop waren de sleutels aanwezig, deze verwijdert inclusief de map .
Later opnieuw een registerscan met ccleaner gedaan en die vond n.b. een locky sleutel

Update:

Updaten naar de laatste versie van CCleaner verwijderd ook de malware, de kwaadwillende code zit in CCleaner zelf.

Er is geen impact op Android.

Ransomware distributie via een Avast adres betreft een Avast VPN connectie, dus GEEN gecompromitteerde server.

niet het eerste "foutje" https://www.gratissoftwaresite.nl/ccleaner-531-cache-geschiedenis-chrome-firefox en https://www.gratissoftwaresite.nl/comment/12901

Beste,

"voor wat het waard is":
bij Ccleaner portable (althans 5.34) geen reg-entry voor piriform\... aangetroffen bij gebruik van de 32 en /of 64 versie (CCleaner.exe CCleaner64.exe). Geprobeerd onder windows 10 32 en onder windows 7 64, gezocht op entry voor, tijdens en na starten van executable.

Mvg

Update van mijn bericht van 13:47

* Ccleaner 32 bit version history: 5.34.6207 12sep2017 schoon, 5.33.6162 15aug2017 besmet, 5.32.6129 11jul2017 schoon, 5.31.xxxx 13jun2017 schoon

* Ccleaner for Android version history: 1.20.86 21aug2017 schoon, eerdere versies 1.20.82 5jul2017, 1.20.81 3jul2017, 1.19.76 5mei2017 ook geen besmetting

* Ccleaner Cloud version history: 1.07.3214 15sep2017 schoon, 1.07.3191 24aug2017 besmet, 1.06.xxxx 27jun2017 schoon

Door deze systematiek lijkt het dat 1.20.86 een opvolger zou kunnen zijn van de besmette versie 1.07.3191 .... Maar gelukkig voor de Android gebruikers is dat niet zo.

Ook geen impact voor Mac.
Ook geen impact op macOS.

Met een uitgaande firewall was het ook meteen opgevallen en onmogelijk geweest om de Command en Control servers te benaderen.

Wanneer is de malware dan actief? Alleen met de geïnstalleerde versie of ook met de portable?

ClamAV, het voor velen lelijke maar oh zo bruikbare eendje.

De reden waarom ze ClamAV noemen komt omdat het de open source AV scanner is van Cisco Talos.

En de detectie verliep alleen na het toevoegen van de hash.

Cylance bleek de backdoor ook (zonder hash) te detecteren.

De malware maakt ook de volgende registersleutel aan HKLM\SOFTWARE\Piriform\Agomo
Dus daar even op checken maakt meteen duidelijk of je wel of niet geinfecteerd bent.

Zullen we dat veranderen in: "Wanneer je deze versie ooit hebt geïnstalleerd en/of gedraaid"

Nee, want de backdoor zit alleen in de aangegeven versies. De update verwijdert de backdoor.

Blijft open:

a) Avast zegt nu toe de zaak dicht te spijkeren. Fijn, maar er was (is?) een niet te accepteren breach in hun systeem;
b) inside-rapporten komen binnen van geinfecteerde systemen welke via de oude versie derden (trachten te) infecteren;
c) Avast stelt dat "naar hun weten"(? - klinkt als veronderstelling) geen andere malware in de payload zat. Is maar de vraag.
d) vele miljoenen systemen zijn geinfecteerd; ondanks de mededeling dat de "verdelende" server(s) uit de lucht zijn gehaald blijkt er wel degelijk sprake te zijn van verspreiding. Contradictio in terminis...
d) Verklaring/uitleg van de wijze waarop dit bij een - nota bene - security gericht bedrijf als Avast kon/kan gebeuren blijft uit.

Het vertrouwen in Avast heeft terecht een heel stevige deuk opgelopen en vele vragen blijven vooralsnog onbeantwoord. Het staat iedereen vrij zijn/haar conclusie hieruit te trekken. Persoonlijk raad ik allen aan CCleaner te dumpen; er zijn betere gratis alternatieven. http://www.bleachbit.org Bleachbit is veruit superieur bijvoorbeeld in vergelijking met CCleaner.

Hieraan zien we wat voor impact het verlies aan/van vertrouwen in certificaten kan hebben en tevens het "verkeerd" gebruik van certificaten. De CA vendors hebben hun zaakjes niet op orde en de malcreants zijn in dit gat gesprongen.

Maak uw borst maar nat voor nog meer malcreaties op basis van zogenaamde betrouwbare software.

Niemand wil een overhaul, prioriteit heeft de behaalde inkomsten eerst veilig t stellen, alle andere overwegingen en risico's van dien zijn ondergeschikt gemaakt aan dat ene doel. Laat dit goed tot u doordringen, beveiligingsmensen.

luntrus

64 Bit versie gaf ESET waarschuwing voor mogelijk backdoor in ccleaner

Verstandig om een schone installatie van Windows te doen na dit incident ?

Heb je daar een bron van toevallig? Niet dat ik je niet geloof, maar handig om het in een artikel te lezen. En klopt het dat gerucht dat de 5.33 64 bit versie ook die backdoor bevat omdat het schijnt het zijn dat de installer 32 bit is (en die malware bevat) en dat hij vanuit daar kijkt of je OS 32 of 64 bit is?

Het Cisco's Talos Intelligence Group Blog artikel stelt:
"Affected systems need to be restored to a state before August 15, 2017 or reinstalled."
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

Zoals ook vermeld door de Redactie,

Heb je een redelijk actueel en schoon image van voor 15 augustus beschikbaar, dan zou ik er zeker voor kiezen dat image terug te zetten. Zonder een dergelijk actueel image, is het aan ieders persoonlijke inzicht om te bepalen of het de moeite waard is een ouder en niet actueel image terug te zetten, of zelfs een volkomen herinstallatie uit te voeren.

Op digitale certificaten valt heel veel aan te merken, maar m.i. staat dit geval daar helemaal los van.

In dit geval is software met een backdoor digitaal ondertekend door Piriform. Dat zegt iets over de betrouwbaarheid van Piriform (en hun interne processen en/of werknemers), maar niets over de betrouwbaarheid van het gebruikte code-signing certificaat.

Digitale certificaten bestaan uitsluitend om identiteit aan te tonen, niks meer en niks minder.

Daar ben ik het 100% mee eens. Zoals ik ook al in een eerdere post aangaf: in hoeverre kun je ze nog vertrouwen?

Ik vertrouw het niet meer.

Dat laat onverlet, dat onveiligheid de laatste tijd steeds meer draait om het woord vertrouwen.

Kon avast de beveiligingsgraad van de name dot com server in Santa Clarita LA wel vertrouwen?

Er liep immers een exploitable Apache ubuntu httpd server met info proliferatie.

Niet goed geconfigureerd als zo vaak, zeg maar - te vaak.

Wat haalde men vervolgens in juni binnen met Piriform als medewerker en wie zaten er in zijn slipstream?

Werd hij vooraf voldoende gescreent.?Of was er sprake van wrok binnen de gelederen?

We zullen het wellicht nooit te weten komen, allemaal speculaties.

Maar wel zaken waar lering uit kan worden getrokken.

Blijvend monitoren en vinger aan de pols van 'third party contributers' is nu wel een "must" voor allen.

Maar als we dieper gaan graven, is het dan niet de 'verrotte' U.S. infrastructuur met zijn zero-days en backdoors door state actoren, die aan alle ellende ten grondslag ligt. En avast is een tevens in Amerika gevestigde firma. Dus hier ook mogelijk last van:

Lees: https://www.bleepingcomputer.com/news/security/over-36-000-computers-infected-with-nsas-doublepulsar-malware/

Als dit niet aangepakt gaat worden en daar ziet het niet naar uit, want waarom wil Putin nu ook Amerikaanse software het liefst "lozen", dan blijft het dus dweilen met de bekende kraan open en is alles goed "borked".

Leve de 'Jan Keesjes' in cyberspace - deze breach is dus maar een symptoom van de onderliggende ergere algemene kwaal.

beste allemaal.


eset internet security kwam vanavond met een melding over ccleaner

ccleaner kwam ook met een melding voor een belangrijke update maar dat lukte niet omdat eset het tegenhield.

ik heb vervolgens ccleaner verwijderd.

eset een keer een snelle en een uitgebreide scan laten doen maar geen bedreigingen gevonden.

vervolgens ccleaner opnieuw geinstalleerd.

weer eset laten scannen en weer niks gevonden.

alles lijkt goed hier.

zoveel verstand heb ik ook niet van pc's

bij mijn moeder het zelfde alleen daar werd wel door eset een bedreiging gevonden tijdens het scannen en heeft eset het gelijk opgeschoond.

dit moet voldoende zijn toch? aangezien wij hier in het gezin geen techneuten en niet echt veel verstand van pc's hebben is de vraag die hier bij ons rijst,,moeten we weer naar de pc boer om een schone windows 10 installatie te laten uitvoeren?


mijn pc draait overigens op windows 10 64-bit


alvast bedankt :)

Neen inderdaad. Ik gebruikte CCleaner toch al heel weinig, maar heb er nu ook schoon genoeg van: want allemachtig... wat een ellendig gedoe. Ik heb dus stom, ongelofelijk STOM geluk gehad dat ik de versie 5.11.00.5408 uit november 2015 nooit heb geupdate omdat ik daarvan het nut niet inzag (vanwege het sporadische gebruik). Voor hetzelfde 'geld', want het kost niks... had ik wèl geupdate.

Sorry maar AUB gebruik nooit CCleaner... om de vele duidelijke redenen.

De kans is aanzienlijk dat tenminste een "dormant" (slapende) payload aanwezig is hier. Dat impliceert dat geinfecteerde systemen op enig moment in de nabije toekomst te maken krijgen met "awakened" malware. Advies: backup terugzetten/systeem clean nieuw installeren.

Ondertussen, stand van detectie op moment van schrijven volgen VT (Avast ontdekt de malware zelf niet, sic..):

https://www.virustotal.com/#/file/6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9/detection

In hoeverre kan je ALLE OS makers dan nog vertrouwen?

Daarnaast zou zo'n tooling helemaal niet nodig moeten zijn om een OS schoon te maken.

Trek het wat verder door. Het is net de reden waarom release management met volledig testen zo moeilijk is. Één fout en het is jarenlang de vraag of je iets wel moet bijwerken.

Het is niet voor niets dat zoveel apparatuur met Embedded software niet zo maar bijgewerkt wordt. In de medische wereld is de functionaliteit getest en gevalideerd inclusief die software Elke verandering haalt de keuring voor gebruik onderuit.

In dit specifieke geval was een oridinaire regressie test al voldoende geweest, wat zeg ik, het opstarten van het programma was al genoeg geweest en had een uitgaande firewall dit feiloos onderschept.

[knip onzinnige opmerking over embedded fw]

off topic
Ik kan niet beoordelen of dit een onzinnige opmerking is vanwege mijn - zeg maar gerust: géén kennis van Normering op het gebied van IT security, maar zie wel een overeenkomst met iets vergelijkbaar met betrekking tot een brandmeldinstallatie, die overigens óók sturende (embedded??) software heeft, ook omdat zij middels IP-adres moet communiceren met een (brand)meldcentrale.

Een zg. BMI is ontworpen/geinstalleerd/gecertificeerd vanuit een PvE (Programma van Eisen) Elke verandering aan/van delen die: niet zijn vastgelegd binnen en/of cq: toetsing aan het PvE maakt de certificering ongeldig.

Ik kan me dan zo voorstellen dat ook elke verandering (upgrade) aan de software die een ingrijpende verandering is van de wijze waarop branddetectie plaatsvindt, een inbreuk is op dat wat daarover in het PvE is vastgelegd, waardoor, hoewel de nominale staat van de BMI niet teniet is gedaan, deze wél is gewijzigd, en er daardoor naar de letter géén sprake meer is van nominale staat cq. de certificering ongeldig is/wordt.

Er moet dan dus een heel traject gevolgd gaan worden om alleen al een upgrade van BMI software uit te voeren:

Testen in proefopstelling of de upgrade onder alle omstandigheden de detectie niet schaadt,
Toetsing aan het PvE
Upgrade (waarbij ondervangen moet worden tijdelijke disfunctionaliteit van de BMI, zeker in het geval van industrie en de verzorgingssector.
Testen en keuring door de installateur, hoewel men daar verandering in aan wil gaan brengen (de slager en zijn vlees..)
Certificering door een daarvoor aangewezen onafhankelijk instituut (ik dacht brandweer; maar dat ben ik even kwijt)
end off topic

Alternatief voor CCleaner: Glary Utilities van Glarysoft. Is ook een gratis opruim-tool. Ik vertrouw niet langer op CCleaner,Pirisoft en Avast. Als je als beveiligingsbedrijf dit (onder je neus) laat gebeuren, dan ben je geen knip voor de neus waard.

Na alles nog een keer goed gelezen en getest te hebben is mijn advies om te checken of onderstaande regkey aanwezig is:

HKLM\SOFTWARE\Piriform\Agomo:TCID

Ook na een eventuele regkey naar versie 5.34 blijft deze regkey bestaan.

Indien de regkey aanwezig is:

- installeer je computer helemaal opnieuw;
- verander al je wachtwoorden (ook al je online accounts)
- wanneer je een PW manager gebruikt: verander het master wachtwoord

Niemand kan aangeven wat de impact is geweest, welke info er is gestolen, en welke eventuele andere programma's er zijn geinstalleerd.

Er is niets bekend dus ga uit van het ergste.

ik heb dit programma gedownload. Blijkbaar noemt dit programma manageEngine.service desk plus. De professionele versie stond aangevinkt maar bij het opstarten verloopt alles nogal traag en ik moet mij aanmelden met wachtwoord. Aangezien ik dat niet heb lukt het dus niet of had ik de standaardversie moeten nemen?

Bitdefender detekteert en verwijderd de malware gevonden in CCleaner. Dat hebben ze mij geantwoord op de vraag of het de malware in CCleaner ontdekt en verwijderd.

Ik mag hopen dat inmiddels alle AV producten de Malware detecteren.

Probleem is dat je niet weet wat er allemasl via de backdoor is gegaan.

Na bijna een maand een backdoor op je PC moet en kun je je systeem niet meer vertrouwen.

Ja ik heb de Malwarebytes versie mogelijk gebruikt op mn Windows 7 32bits laptop maar ik zal dat vavavond ff checken bij downloads,maar ik heb CCleaner er al enige tijd geleden vanaf gehaald want ik heb ook Glary's Utilyties op die pc maar ik heb daarop Bitdefender als bewaking en die heeft al tijden niks gevonden en Malwarebytes en HitmanPro als 2nd opinions ook niet.

Er zijn geen zichtbare symptomen van de infectie, omdat de bedreiging zo goed verborgen blijft via via het gebruik van obfuscatie factoren en andere software. het kan slechts worden opgespoord door het bestaan van de “Agomo” sub-sleutel in de Windows Registry-editor, zoals hier al eerder werd aangegeven.

Om de payload file met de kwaadaardige file te kunnen laten lopen elke keer dat Windows opstart zal de trojan het volgende aanmaken in het register en wel in “Windows” sub-key, inside HKEY_LOCAL_MACHINE’ SOFTWARE Microsoft Windows NT CurrentVersion :

? “AppInit_DLLs” = “C:\Program Files Common Files System symsrv.dll”
“LoadAppInit_DLLs” = 1

Bovendien verbergt Trojan.Floxif ook de registry entries door het aanvallen van de volgende Registry sub-keys:

? HKEY_CURRENT_USER ¬Software ¬Microsoft ¬Windows ¬CurrentVersion Explorer ¬Advanced
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Geavanceerd Map SuperHidden
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon

Deze sleutels worden gezet met de volgende waarden:

? “ShowSuperHidden” = 0
“NoDriveTypeAutoRun” = 145
“Type” = “radio-”
“SFCDisable” = 4294967197

Nog een verdere activiteit van de malcode is het opzetten van een verbinding naar de volgende Windows application programming interfaces (APIs): (daarom heten deze hackers de API-hack bende, waarschijnlijk staatsacteurs).

? CredReadW (advapi32.dll)
CreateServiceA (advapi32.dll)
CreateServiceW (advapi32.dll)
OpenServiceA (advapi32.dll)
OpenServiceW (advapi32.dll)
WinVerifyTrust (Wintrust.dll)
CreateFileW (kernel32.dll)
ExitProcess (kernel32.dll)
RegOpenKeyExA (kernel32.dll)
RegOpenKeyExW (kernel32.dll)
CreateProcessInternalW (kernel32.dll)
MessageBoxTimeoutW (user32.dll)
KiUserExceptionDispatcher (ntdll.dll)
WahReferenceContextByHandle (ws2help.dll)

Het infectieproces loopt nog verder door omdat Trojan.Floxif malware ook de volgende system files uit Windows zelf tracht te verwijderenf:

? %Program Files% Common Files System symsrv.dll.dat
%Users% Administrator Local Temp …\*.tmp

Het ultieme doel van de Floxif malware in zijn optreden als info stealer is het stelen van info van je computer/device ofwel het installeren van verderer malware. Daarnaast verzamelt het een lijst van alle programma's die op de computer aflopen en tevens netwerk info samen met unieke identifiers. Het virus kan ook verbinding maken met een remote host om malcode te downloaden. Om de gestolen info op te slaan, maakt Trojan.Floxif de volgende files aan:

? %System Drive% pagefile.pif
%System Drive% autorun.inf
%Temp% update.exe

Vanaf deze bestanden wordt automatisch file update.exe uitgevoerd.

Info credits gaan uit naar Vencislav Krustev

Dat moest natuurlijk zijn: ik heb CCleaner gebruikt maar al enige tijd verwijderd omdat er wat problemen waren met de software. Aangezien ik dus ook Glary's Utilitied erop had en Bitdefender Total Security een ingebouwde cleaningtool aan boord heeft was het zowiezo wat overkill. Normaal gesproken zou ik CCleaner erop houden maar er was iets mee ik weet nieteens meer wat, ik geloof dat het programma bleef hangen of zo .Ik heb toen dus CCleaner verwijderd. Ik ga straks even op de pc bij downloads kijken van welke CCleaner-versie nog de installatiebestanden in de download-folder staan.

Ben ik de enige die het "wel erg toevallig" vind dat de informatie die door de backdoor gelekt wordt (computer name, IP address, list of installed software, list of active software, List of running processes, list of network adapters) precies is wat CCleaner's zusterproduct Speccy nodig heeft en dat speccy.piriform.com zelfs in de "malicious" code voorkomt?

Voor ScanCircle (www.scancircle.com) gebruiken we namelijk ook deze gegevens om adviezen te kunnen geven over updates, ongewenste software, processen, enz. maar zijn we daar wel eerlijk over en behandelen we die gegevens anoniem en werken we niet met een payload. In de handmatige modus kun je precies zien welke gegevens doorgestuurd worden en kun je ze zelfs handmatig uploaden zodat je zeker weet dat er niets meegestuurd wordt. Er zullen ongetwijfeld mensen sceptisch zijn over ScanCircle, maar dit is wel de manier waarop goede adviezen over de stabiliteit en beveiliging van computers gegeven kunnen worden.

Als dit het geval is, dan is wellicht het enige waar Piriform schuldig aan is, dat ze het niet expliciet gemeld hebben dat ze deze gegevens verzamelen en is de "malware" zelf vrij onschuldig (als ze tenminste vertrouwelijk met de gegevens omgaan).

Heb je een redelijk actueel en schoon image van voor 15 augustus beschikbaar, dan zou ik er zeker voor kiezen dat image terug te zetten. Zonder een dergelijk actueel image, is het aan ieders persoonlijke inzicht om te bepalen of het de moeite waard is een ouder en niet actueel image terug te zetten, of zelfs een volkomen herinstallatie uit te voeren.

Ik heb systeemherstel gedaan naar 9 augustus
Alleen waar kan ik nu zien of de computer wel
naar die datum is teruggezet?
Ik kan dat niet vinden
Ik heb het via windows gedaan of had ik de opstart
cd moeten nemen?
ik heb ook nog een backup met macriumreflect

Ik denk eerder dat er iets speelde als "de een z'n dood is de ander z'n brood" en juist door de firma,
die de "payload" ontdekte via een nieuwe scanwijze. Voor Cisco zat er al een andere "ontdekker" op het vinkentouw.
De actie gold niet piriform en zijn mensen maar was gericht tegen zijn nieuwe broodheer, avast av.

Avast was de lijdende partij in het spelletje, zoveel is nu wel duidelijk. Goede daden worden vaak bestraft en al te goed is buurmans gek. Volgens mij een veel geloofwaardiger scenario, al blijven het allemaal speculaties, we waren er immers niet bij.

En de info die de infostealer buitmaakte, raken we dagelijks al lang meerdere malen kwijt via allerlei algoritmen.
Google is er groot mee geworden.

Een breuk in vertrouwen is erg. Kijk maar naar Web of Trust, nooit meer te boven gekomen, die data hack en verkoop van gebruikersgegevens door een tijdelijke Finse zaakwaarnemer/durfkapitalist.

Talos heeft nu ook additionele payload waargenomen, de payload is gericht om 20 andere organisaties aan te vallen:

http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

Avast geeft nu ook een ander advies:
https://blog.avast.com/progress-on-ccleaner-investigation

Mijn advies:
Heb je ooit versie 5.33 geinstalleerd: Installeer je computer opnieuw en wijzig al je wachtwoorden.

Daarnaast mijn persoonlijk advies: gebruik geen CCleaner of Avast meer.

helaas heb ik de 64 bits versie en ook mijn pc was geinfecteerd

W7 2009. Ik heb een ccleaner-pro, waarvoor ik slechts één keer heb betaald. Ik gebruik het programma dagelijks. Ik weet niet meer of ik destijds de 32-bits-versie heb gekregen. Mijn systeem is nú 64 bits, maar was ooit 32. Hoe kan ik nagaan of het programma niet is geïnfecteerd?