Infekcja Floxif CCleaner Trojan

[donkonaresco]

Witam. Niestety mój komputer został zainfekowany przez trojana Floxif, który zainstalował się razem z nieszczęsną wersją CCleanera 5.33.6162. Po instalacji CCleanera około miesiąc temu nie używałem komputera aż do dzisiaj. Po zaktualizowaniu antywirusa Avira wyświetlił on kilka komunikatów dotyczących wykrytych infekcji, które zamieszczę poniżej. Nie starałem się usuwać trojana na własną rękę, odinstalowałem jedynie CCleanera. Proszę o analizę logów i pomoc w usunięciu infekcji.

 

Alerty z Avira:

 

1.
The pattern of 'TR/CCleanerHKed.533.2 [trojan]'
detected in file 'C:\Users\Konar\Downloads\ccsetup533.exe.
Action performed: Move file to quarantine


2.
In accordance with security guidelines, the Administrator has blocked access to the registry.


3.
The pattern of 'TR/CCleanerHKed.533.1 [trojan]'
detected in file 'C:\Program Files\CCleaner\CCleaner.exe.
Action performed: Move file to quarantine


4.
The file 'C:\Program Files\CCleaner\CCleaner.exe'
contained the pattern of 'TR/CCleanerHKed.533.1' [trojan]
Action(s) taken:
The file was ignored.

 

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Mało prawdopodobne, że Twój system został zainfekowany ponieważ malware znajdowało się w instalatorach dla system 32 bitowego, a Twój system jest 64 bitowy. 

Ewentualną infekcję usunie w całości Malwarebytes, zaś ja w skrypcie uwzględniam tylko sprzątanie systemu z resztek po programach itd. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @videolan.org/vlc,version=2.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker => not found
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
S3 BCM43XX; system32\DRIVERS\bcmwl664.sys [X]
S3 btwaudio; system32\drivers\btwaudio.sys [X]
S3 btwavdt; system32\DRIVERS\btwavdt.sys [X]
S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X]
S3 btwrchid; system32\DRIVERS\btwrchid.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
S3 STHDA; system32\DRIVERS\stwrt64.sys [X]
S3 MBAMFarflt; \??\C:\windows\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\windows\system32\drivers\mbam.sys [X]
S3 MBAMWebProtection; \??\C:\windows\system32\drivers\mwac.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers1_S-1-5-21-908772619-3192644915-72303369-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> No File
ContextMenuHandlers4_S-1-5-21-908772619-3192644915-72303369-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> No File
ContextMenuHandlers5_S-1-5-21-908772619-3192644915-72303369-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> No File
C:\ProgramData\Microsoft\Windows\GameExplorer\{21C35C68-A6C5-4A75-8FFD-DB503CE6F67B}
C:\Users\Konar\Desktop\Programs\CCleaner.lnk
C:\Users\Konar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter\AQQ\Deinstalacja.lnk
C:\Users\Konar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter\AQQ\Uruchom AQQ.lnk
C:\Users\Konar\AppData\Local\Microsoft\Windows\GameExplorer\{7E70F0A9-F30E-4188-ABCA-A8F5FEE96AB8}\PlayTasks\0\The Witcher Enhanced Edition.lnk
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz go na dysku więc koniecznie robisz aktualizacje bazy danych i samego programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

3.Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.