私もfind440.comにやられました
先の方のレスを一通り拝見しました。
感染元は動画サイトのようです。
今朝10時過ぎに感染したことがわかり、ここに辿り着くまでPCはネットに繋げたままの状態でした。
18時過ぎに事の重大さを知り、ネットを遮断しました。(手遅れかな><)
そのPCでは夫のクレジットカードで何度も買い物をしています。
早急にクレカの停止をするように伝えました。
今は、別のPCから投稿しています。

ただ、インターネットオプションのホームページの設定を見たところ、最初はfind440.comであろうリンクがありましたが、いつものヤフーに設定し直した所、直接IEを開いても、いつものヤフーのままになっています。
それでもきっと常駐しているかと思われます。

感染したPCは自作なのでリカバリーができない仕様です。
どうにかリカバリーなしでの解決方法をお教えください。
  • mai
  • 2013/05/13 (Mon) 20:07:35
Re: 私もfind440.comにやられました
こんばんは、管理人の悪代官さんの仕事量がものすごいことになっているので、応援で来ました回答者のイルカです。
私はどうも回答があっさりなので、分かりにくい部分ありましたら気軽に聞いてください。

クレジットカードの処置は、とりあえず正解でしょう。その方が安心です。
前回のケースだとマルウェアがいたようなので、まずそこから見ましょうか。
データのバックアップは忘れずに。



■Malwarebytes Anti-Malwareによる検査
以下のURLから、Malwarebytes Anti-Malwareをダウンロードしてください。
ページを開けて数秒で、ダウンロードが始まるはずです。
http://download.cnet.com/Malwarebytes-Anti-Malware/3001-8022_4-10804572.html?spi=bf35d12b0e6385b003099cb173de4a7d&part=dl-10804572

インストール・使い方に関しては、こちらを参考にしてください。
http://fine.tok2.com/home/heto2/0700SecurityApp/Malwarebytes/0001.htm

定義ファイルをアップデートしたら、「Perform full scan」でフルスキャンを実行してください。
その後、表示される結果をこちらにコピー&ペーストで貼り付けてください。



■OTLによる解析
以下にある(直リンクです)解析ツール「OTL」(OldTimer Listit)をダウンロードし、デスクトップに置いてください。
ウイルス対策ソフトやブラウザから危険判定されるかもしれませんが、誤検知ですので気にしないで進めてください。
http://oldtimer.geekstogo.com/OTL.exe
実行後、ウィンドウの上の方にある「Scan All Users」にチェックを入れ、また「Scan 64bit Files」があった場合には、それにもチェックを入れてください。
次に、「Extra Registry」を「Use SafeList」に設定してください。
その後、以下のコマンドを「Custom Scan/Fixes」にコピペしてください。

DRIVES
CREATERESTOREPOINT

その後、左上の「Run Scan」を押してください。
数分すると、「OTL.txt」と「Extras.txt」がOTL.exeと同じ場所に出来ます。

これらのファイルの内容を、HijackThisログと同じく、本文に貼り付けてください。
おそらく、何分割かしないと入らないかと思います。
  • イルカ
  • 2013/05/13 (Mon) 20:28:32
Re: 私もfind440.comにやられました
イルカ様

早速のご回答ありがとうございます。
PCの知識・操作に疎いところがありますが、最後まできちんと対応するようにします。
完了しましたら、ログを貼り付けさせて頂きますので、宜しくお願い致します。
  • mai
  • 2013/05/13 (Mon) 22:08:16
Re: 私もfind440.comにやられました
先程実行が完了しましたので、ログを貼り付けます。

Malwarebytes Anti-Malware (Trial) 1.75.0.1300
www.malwarebytes.org

Database version: v2013.05.13.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
admin :: D39860399EC94A2 [administrator]

Protection: Enabled

2013/05/13 21:43:13
MBAM-log-2013-05-14 (00-51-04).txt

Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 557152
Time elapsed: 3 hour(s), 13 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 6
HKCU\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
HKCU\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.
HKCU\SOFTWARE\Mirar (Adware.Mirar) -> No action taken.
HKCU\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken.
HKLM\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FBrowsingAdvisor_is1 (Trojan.FBrowsingAdvisor) -> No action taken.

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Screen Saver Pro 3.1 (Trojan.Ransom) -> Data: C:\Documents and Settings\admin\Application Data\ScreenSaverPro.scr -> No action taken.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 1
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.

Files Detected: 11
C:\Documents and Settings\admin\Application Data\ScreenSaverPro.scr (Trojan.Ransom) -> No action taken.
C:\System Volume Information\_restore{7A1DA429-B6E6-495E-94F5-BEE3061F02AF}\RP1490\A0175057.scr (Trojan.Ransom) -> No action taken.
C:\System Volume Information\_restore{7A1DA429-B6E6-495E-94F5-BEE3061F02AF}\RP1492\A0175249.exe (Trojan.Ransom) -> No action taken.
C:\System Volume Information\_restore{7A1DA429-B6E6-495E-94F5-BEE3061F02AF}\RP1492\A0175272.scr (Trojan.Ransom) -> No action taken.
C:\Documents and Settings\admin\Application Data\temp.bin (Trojan.Ransom) -> No action taken.
c:\documents and settings\admin\application data\microsoft\stcmce.exe (Trojan.Ransom) -> No action taken.
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> No action taken.

(end)

OTL Extras logfile created on: 2013/05/14 0:59:30 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Documents and Settings\admin\デスクトップ\障害対応
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000411 | Country: 日本 | Language: JPN | Date Format: yyyy/MM/dd

2.00 Gb Total Physical Memory | 0.83 Gb Available Physical Memory | 41.55% Memory free
3.85 Gb Paging File | 2.94 Gb Available in Paging File | 76.33% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 465.75 Gb Total Space | 99.69 Gb Free Space | 21.40% Space Free | Partition Type: NTFS

Computer Name: D39860399EC94A2 | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = ChromeHTML] -- C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)

[HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Directory [ACDSee 9.0.Browse] -- "C:\Program Files\ACD Systems\ACDSee\9.0\ACDSeeQV.exe" "%1" (ACD Systems Ltd.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"19975:TCP" = 19975:TCP:*:Enabled:TetrisOnlineGameTCPPort
"11000:TCP" = 11000:TCP:*:Enabled:TetrisOnlinePatchTCPPort
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Program Files\MSN Messenger\livecall.exe" = C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" = C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe" = C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Program Files\LimeWire\LimeWire.exe" = C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire -- (Lime Wire, LLC)
"C:\Program Files\Gamania\BrightShadow\BrightShadow.exe" = C:\Program Files\Gamania\BrightShadow\BrightShadow.exe:*:Enabled:Gamania Patch Client
"C:\Program Files\Yahoo!J\Messenger\YPagerj.exe" = C:\Program Files\Yahoo!J\Messenger\YPagerj.exe:*:Enabled:Yahoo!メッセンジャー
"C:\Program Files\Yahoo!J\Messenger\YServer.exe" = C:\Program Files\Yahoo!J\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server
"C:\Program Files\Messenger\msmsgs.exe" = C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger -- (Microsoft Corporation)
"C:\Program Files\DNA\btdna.exe" = C:\Program Files\DNA\btdna.exe:*:Enabled:DNA
"C:\Program Files\PANDORA.TV\Video Streamer\VideoStreamer.exe" = C:\Program Files\pandora.tv\Video Streamer\VideoStreamer.exe:*:Enabled:VideoStreamer.exe
"C:\Program Files\PANDORA.TV\Video Streamer\VSStream.exe" = C:\Program Files\pandora.tv\Video Streamer\VSStream.exe:*:Enabled:VSStream.exe
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Oracle Corporation)
"C:\Documents and Settings\admin\デスクトップ\hignet\古手神社\hignet\nmajan.exe" = C:\Documents and Settings\admin\デスクトップ\hignet\古手神社\hignet\nmajan.exe:*:Enabled:nmajan
"C:\Documents and Settings\admin\デスクトップ\hignet\古手神社\hignet\chat.exe" = C:\Documents and Settings\admin\デスクトップ\hignet\古手神社\hignet\chat.exe:*:Enabled:chat
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Program Files\MSN Messenger\livecall.exe" = C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
"C:\Program Files\Electronic Arts\EADM\Core.exe" = C:\Program Files\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager
"C:\Program Files\Yahoo!J\Messenger\YahooMessenger.exe" = C:\Program Files\Yahoo!J\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- (Yahoo! JAPAN)
"C:\Program Files\Skype\Plugin Manager\skypePM.exe" = C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\WINDOWS\system32\rundll32.exe" = C:\WINDOWS\system32\rundll32.exe:*:Enabled:Run a DLL as an App -- (Microsoft Corporation)
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" = C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe" = C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Program Files\P2PQuake\P2PQ_Client.exe" = C:\Program Files\P2PQuake\P2PQ_Client.exe:*:Enabled:private build
"C:\Program Files\P2PQuake\plugin\PRCP_Client.exe" = C:\Program Files\P2PQuake\plugin\PRCP_Client.exe:*:Enabled:PRCP_Client
"C:\Program Files\Google\Google Earth\client\googleearth.exe" = C:\Program Files\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" = C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:*:Enabled:Veoh Web Player
"C:\Program Files\Microsoft Office\Office14\ONENOTE.EXE" = C:\Program Files\Microsoft Office\Office14\ONENOTE.EXE:*:Enabled:Microsoft OneNote -- (Microsoft Corporation)
"C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" = C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Documents and Settings\All Users\Application Data\NexonJP\NGM\NGM.exe" = C:\Documents and Settings\All Users\Application Data\NexonJP\NGM\NGM.exe:*:Enabled:Nexon Game Manager -- (Nexon)
"C:\Documents and Settings\admin\デスクトップ\TalesWeaver\InphaseNXD.EXE" = C:\Documents and Settings\admin\デスクトップ\TalesWeaver\InphaseNXD.EXE:*:Enabled:Talesweaver InphaseNXD.exe
"C:\Program Files\Skype\Phone\Skype.exe" = C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{11D2C5F8-F379-4659-85BE-DCE1D8D60FB8}" = OpenOffice.org Installer 1.0
"{13364813-4BAE-4F34-B0E9-32AF14A4E1B3}" = Windows Live Sync
"{15FD406C-C3D5-47BE-A278-A2502E6399E1}" = Windows Live メール
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319
"{1E96D04B-C063-48B6-809A-FEBAC45E9FFC}" = Windows Live おすすめパック
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live アップロード ツール
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83217021FF}" = Java 7 Update 21
"{2D33B338-EA1B-34EA-BD7F-BBD59487E03A}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - JPN
"{2EF73726-9C12-42A0-952D-9753FBF86E58}" = IFL
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B1-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{402ED4A1-8F5B-387A-8688-997ABF58B8F2}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{468D22C0-8080-11E2-B86E-B8AC6F98CCE3}" = Google Earth
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype(TM) 6.3
"{4EA1871F-A981-42D9-B37C-CE0EE48EED88}" = MyBookEditor4
"{4ECDBB79-A8BD-41DE-AE01-31E7139451CF}" = OpenMG Secure Module 5.2.00
"{50F959DA-AADC-405C-8079-25A211D0E2F1}" = Windows Live Call
"{540C6392-7677-4ADA-A8EA-44B73CBF878D}" = Windows Live フォト ギャラリー
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{59FEFE3F-8119-457C-A4EE-CF24202DD9D2}" = Visual Basic 6.0 SP6 ランタイムライブラリ 第4版
"{5A633ED0-E5D7-4D65-AB8D-53ED43510284}" = Symantec AntiVirus
"{6319A790-0079-490C-9A5C-4741C5817D44}" = ディズニーはがきワールド 2008
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{723FBCAC-06EA-46B4-9F9D-3E18C77E4CA1}" = ACDSee for PENTAX 3.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79CE4140-DC0C-42C2-BDC5-705CFB9D858B}" = "mora win" type1 plug-in
"{8644F312-3393-423A-89CB-250C0FE58C09}" = Windows Live メール
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8E5233E1-7495-44FB-8DEB-4BE906D59619}" = Junk Mail filter update
"{8FE4931F-2F37-4694-A4B1-6E514D465F8F}" = Windows Live ファミリー セーフティ
"{90140000-0010-0411-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (Japanese) 14
"{90140000-0016-0411-0000-0000000FF1CE}" = Microsoft Office Excel MUI (Japanese) 2010
"{90140000-0016-0411-0000-0000000FF1CE}_Office14.EssentialsR_{7F3577FB-B07A-47AB-A6E1-26D14D21C6BA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0411-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (Japanese) 2010
"{90140000-0018-0411-0000-0000000FF1CE}_Office14.EssentialsR_{7F3577FB-B07A-47AB-A6E1-26D14D21C6BA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0411-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (Japanese) 2010
"{90140000-001A-0411-0000-0000000FF1CE}_Office14.EssentialsR_{7F3577FB-B07A-47AB-A6E1-26D14D21C6BA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0411-0000-0000000FF1CE}" = Microsoft Office Word MUI (Japanese) 2010
"{90140000-001B-0411-0000-0000000FF1CE}_Office14.EssentialsR_{7F3577FB-B07A-47AB-A6E1-26D14D21C6BA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.EssentialsR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0411-0000-0000000FF1CE}" = Microsoft Office Proof (Japanese) 2010
"{90140000-001F-0411-0000-0000000FF1CE}_Office14.EssentialsR_{9FB78D03-3A34-4A57-B65D-0D7F32C1B603}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0028-0411-0000-0000000FF1CE}" = Microsoft Office IME (Japanese) 2010
"{90140000-0028-0411-0000-0000000FF1CE}_Office14.EssentialsR_{5E056779-9F4B-4593-86D3-28E5548A8B64}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0411-0000-0000000FF1CE}" = Microsoft Office Proofing (Japanese) 2010
"{90140000-002C-0411-0000-0000000FF1CE}_Office14.EssentialsR_{5FCA98B1-D6ED-43DC-B146-2C8DF169C353}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0411-0000-0000000FF1CE}" = Microsoft Office Shared MUI (Japanese) 2010
"{90140000-006E-0411-0000-0000000FF1CE}_Office14.EssentialsR_{9DBC2773-7F63-45EE-AA4D-4677BA8B18B2}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0411-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (Japanese) 2010
"{90140000-00A1-0411-0000-0000000FF1CE}_Office14.EssentialsR_{7F3577FB-B07A-47AB-A6E1-26D14D21C6BA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0013-0000-0000-0000000FF1CE}" = Microsoft Office Essentials 2010
"{91140000-0013-0000-0000-0000000FF1CE}_Office14.EssentialsR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{932245FB-2F3B-3E2E-B8AB-BDE96E434F21}" = Microsoft .NET Framework 3.5 Language Pack SP1 - jpn
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9864624D-FE15-422F-BDBB-5DC0D9AA904A}" = Gamepot Web実行環境
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C665F08-B722-4C65-9695-A7B94AB99C22}" = Windows Live Messenger
"{9FA93155-472F-4778-87A8-95244FD1535D}" = OLYMPUS Master 2
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A877994C-EAA2-41BB-97B2-281EBF38C143}" = フジカラーイメージビューアー
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1041-7B44-A70800000002}" = Adobe Reader 7.0.8 - Japanese
"{AEF13CA4-D5AB-4DD8-90B9-5958D450025E}" = フジカラーイメージビューアーF
"{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}" = Adobe AIR
"{B2A0CF90-E30C-4C0E-89CB-CB6891EC7EDE}" = 777タウン.net
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}" = ザ・シムズ3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE5C74A5-F566-4E49-8A3D-7E5A05714806}" = Windows Live サインイン アシスタント
"{D85BDA1A-983E-3C61-8F03-E5F9C394075C}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - JPN
"{D9B4D7EE-481C-4C36-86AB-A8F7417725FF}" = LightScribe 1.6.43.1
"{E320BB15-71CC-46C1-B5E1-831E311272E0}" = SignalNow Express
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FC05D86B-2D16-477D-A3D2-7D12970583D0}" = Windows Live Writer
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Birthday" = Birthday Screen Saver
"CANONBJ_Deinstall_CNMCP74.DLL" = Canon iP2200
"CanonMyPrinter" = Canon マイ プリンタ
"CCleaner" = CCleaner (remove only)
"CoreAAC" = CoreAAC
"DivX Setup" = DivXセットアップ
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"FBrowsingAdvisor_is1" = FBrowsingAdvisor
"FolderHammer_is1" = FolderHammer 1.1.0
"giam209" = giam209
"GOM ENCODER" = GOM ENCODER
"GOM PICKER" = GOM PICKER
"GOM Player" = GOM PLAYER
"Google Chrome" = Google Chrome
"Halloween" = Halloween Screen Saver
"Halloween Screensaver" = Halloween Screensaver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{4ECDBB79-A8BD-41DE-AE01-31E7139451CF}" = OpenMG Secure Module 5.2.00
"JTrim_is1" = JTrim
"JWord プラグイン" = JWord プラグイン
"LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware バージョン 1.75.0.1300
"McAfee Security Scan" = McAfee Security Scan Plus
"Mickey & Co Christmas Screensaver" = Mickey & Co Christmas Screensaver
"Mickey Christmas" = Mickey Christmas Screen Saver
"Mickey Classics Screensaver" = Mickey Classics Screensaver
"Mickey&Friends" = Mickey&Friends Screen Saver
"Mickey_ss" = Mickey_ss Screen Saver
"Microsoft .NET Framework 3.5 Language Pack SP1 - jpn" = Microsoft .NET Framework 3.5 Language Pack SP1 - 日本語
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"New year" = New year Screen Saver
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Office14.EssentialsR" = Microsoft Office Home and Business 2010
"PangYa_Hangame" = PangYa_Hangame (NtreevSoft)
"styleid_scr_a" = styleid_scr_aスクリーンセーバー
"SurfingEnhancer" = SurfingEnhancer
"Unibearsity Screensaver" = Unibearsity Screensaver
"Valentine Screensaver" = Valentine Screensaver
"WIC" = Windows Imaging Component
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live おすすめパック
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Yahoo!Jツールバー" = Yahoo!ツールバー
"Yahoo!メール" = Yahoo!メール
"Yahoo!メッセンジャー" = Yahoo!メッセンジャー
"お泊まりディズニー オリジナルスクリーンセーバー" = お泊まりディズニー オリジナルスクリーンセーバー スクリーンセーバー
"ジュビレーション!" = ジュビレーション! スクリーンセーバー
"ワンクリックウェア駆除ツール_is1" = ワンクリックウェア駆除ツール Version 1.0.9.0

[color=#E56717]========== HKEY_USERS Uninstall List ==========[/color]

[HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"File Extractor Packages" = File Extractor Packages
"FileOpener Packages" = FileOpener Packages
"Hangame.com" = Hangame

[color=#E56717]========== Last 20 Event Log Errors ==========[/color]

[ Application Events ]
Error - 2013/05/13 7:32:44 | Computer Name = D39860399EC94A2 | Source = Application Error | ID = 1000
Description = エラー発生アプリケーション doscan.exe、バージョン 10.0.0.359、エラー発生モジュール unknown、バージョン
0.0.0.0、エラー発生アドレス 0x00000000

Error - 2013/05/13 7:32:45 | Computer Name = D39860399EC94A2 | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application signalnowexpress.exe, version 1.30.1.0, stamp
4e4dfa92, faulting module mscorwks.dll, version 2.0.50727.3643, stamp 50405371,
debug? 0, fault address 0x0010ad96.

Error - 2013/05/13 7:32:47 | Computer Name = D39860399EC94A2 | Source = Application Error | ID = 1000
Description = エラー発生アプリケーション skype.exe、バージョン 6.3.73.105、エラー発生モジュール skype.exe、バージョン
6.3.73.105、エラー発生アドレス 0x001c64c0

Error - 2013/05/13 8:27:03 | Computer Name = D39860399EC94A2 | Source = .NET Runtime 2.0 Error Reporting | ID = 5000
Description = EventType clr20r3, P1 signalnowexpress.exe, P2 1.30.1.0, P3 4e4dfa92,
P4 system.windows.forms, P5 2.0.0.0, P6 50c2a4a5, P7 16e9, P8 e4, P9 system.componentmodel.win32,
P10 NIL.

Error - 2013/05/13 8:35:12 | Computer Name = D39860399EC94A2 | Source = Symantec AntiVirus | ID = 16711726
Description = セキュリティリスクが見つかりました。脅威: W32.Aemrant ファイル: C:\DOCUME~1\admin\APPLIC~1\12.exe
方法: Auto-Protect スキャン。処理: クリーニング 失敗 : 検疫 失敗。処理の説明: ファイルの削除が正常に完了しました。

Error - 2013/05/13 8:35:12 | Computer Name = D39860399EC94A2 | Source = Symantec AntiVirus | ID = 16711685
Description = 脅威が見つかりました!脅威: W32.Aemrant ファイル: C:\Documents and Settings\admin\Application
Data\12.exe 方法: Auto-Protect スキャン。処理: クリーニング 失敗 : 検疫 失敗 : 削除 正常に完了 : アクセスが拒否されました。処理の説明:
ファイルの削除が正常に完了しました。

Error - 2013/05/13 8:35:14 | Computer Name = D39860399EC94A2 | Source = Symantec AntiVirus | ID = 16711731
Description = セキュリティリスクが見つかりました。脅威: W32.Aemrant ファイル: C:\DOCUME~1\admin\APPLIC~1\12.exe
方法: Auto-Protect スキャン。処理: クリーニング 失敗 : 検疫 失敗 : 削除 正常に完了 : アクセスが拒否されました。処理の説明: ファイルの削除が正常に完了しました。

Error - 2013/05/13 8:35:30 | Computer Name = D39860399EC94A2 | Source = Symantec AntiVirus | ID = 16711726
Description = セキュリティリスクが見つかりました。脅威: W32.Aemrant ファイル: C:\DOCUME~1\admin\APPLIC~1\14.exe
方法: Auto-Protect スキャン。処理: クリーニング 失敗 : 検疫 失敗。処理の説明: ファイルの削除が正常に完了しました。

Error - 2013/05/13 8:35:30 | Computer Name = D39860399EC94A2 | Source = Symantec AntiVirus | ID = 16711685
Description = 脅威が見つかりました!脅威: W32.Aemrant ファイル: C:\Documents and Settings\admin\Application
Data\14.exe 方法: Auto-Protect スキャン。処理: クリーニング 失敗 : 検疫 失敗 : 削除 正常に完了 : アクセスが拒否されました。処理の説明:
ファイルの削除が正常に完了しました。

Error - 2013/05/13 8:35:31 | Computer Name = D39860399EC94A2 | Source = Symantec AntiVirus | ID = 16711731
Description = セキュリティリスクが見つかりました。脅威: W32.Aemrant ファイル: C:\DOCUME~1\admin\APPLIC~1\14.exe
方法: Auto-Protect スキャン。処理: クリーニング 失敗 : 検疫 失敗 : 削除 正常に完了 : アクセスが拒否されました。処理の説明: ファイルの削除が正常に完了しました。

[ System Events ]
Error - 2013/05/13 1:40:02 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Kingsoft Personal Firewall Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 1:40:02 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Security Activity Dashboard Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 2:07:33 | Computer Name = D39860399EC94A2 | Source = SRService | ID = 104
Description = システムの復元の初期化プロセスは失敗しました。

Error - 2013/05/13 2:07:46 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Kingsoft Personal Firewall Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 2:07:46 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Security Activity Dashboard Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 2:07:46 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7023
Description = System Restore Service は次のエラーで終了しました: %%32

Error - 2013/05/13 7:32:01 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Kingsoft Personal Firewall Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 7:32:01 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Security Activity Dashboard Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 8:26:10 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Kingsoft Personal Firewall Service サービスは次のエラーのため開始できませんでした: %%2

Error - 2013/05/13 8:26:10 | Computer Name = D39860399EC94A2 | Source = Service Control Manager | ID = 7000
Description = Security Activity Dashboard Service サービスは次のエラーのため開始できませんでした: %%2


< End of report >
  • mai
  • 2013/05/14 (Tue) 01:18:59
OTLのログについて
OTLのログについて、禁止ワードがあるため貼り付けることができませんでした。
他の方のレスでもありましたが、この際の対応方法をお教え頂けますでしょうか。

お手数をおかけしており、申し訳ありません。
  • mai
  • 2013/05/14 (Tue) 01:35:48
Re: 私もfind440.comにやられました
何に引っかかったかわかりませんが、とりあえずアップローダーを使うしかなさそうです。
http://www1.axfc.net/uploader/post.pl
あたりが比較的安定していていいかと思います。

上記サイトにOTL.txtをアップロードし、ダウンロードリンクをこちらに貼り付けてください。
ダウンロード用パスワード(DLキーワード)を設定できますので、設定しておくとプライバシー上少しだけましになります。
  • イルカ
  • 2013/05/14 (Tue) 08:32:56
Re: 私もfind440.comにやられました
イルカ様

ご回答ありがとうございます。
OTLログを掲載しましたので、ご確認頂けますでしょうか。
http://www1.axfc.net/uploader/so/2902196
キー:Mai29456
  • mai
  • 2013/05/14 (Tue) 13:46:20
Re: 私もfind440.comにやられました
すみません、ファイルが削除されてしまっているようなのですが、もう一度アップロードをお願いできるでしょうか?
お手数おかけします。
  • イルカ
  • 2013/05/14 (Tue) 20:39:59
Re: 私もfind440.comにやられました
そうでしたか><
主人がいろいろ操作してるので、帰りましたらもう1度アップロードしてもらうことにします。
帰宅が明日、お昼頃になるのでご確認いただければと思います。

こちらこそお手数おかけしまして申し訳ありません。
宜しくお願い致します。
  • mai
  • 2013/05/14 (Tue) 21:24:55
Re: 私もfind440.comにやられました
可能であれば、Malwarebytesのスキャンをもう一度行い、検知されたエントリにチェックが付いていることを確認したうえで、「Remove Selected」ボタンを押す、という操作をお願いできますか?

今回のケースは普通のツールバー類と異なり、実際にマルウェアが侵入していますので、あまり放置するのはよくありません。
Malwarebytesで見つかった部分だけでも、駆除しておいた方が良いと思いますので。
  • イルカ
  • 2013/05/15 (Wed) 00:03:51
Re: 私もfind440.comにやられました
イルカ様

お手数をお掛けしております。
OTLログを再掲載しましたので、ご確認頂けますでしょうか。
http://www1.axfc.net/uploader/so/2903398
キー:Mai29456

ご指示のMalwarebytesのRemove Selectedを押下して実行しました。
実行後、実行前には出来なかったアンチウイルスのパターン更新が出来るようになっております。
  • mai
  • 2013/05/15 (Wed) 18:46:13
Fixしてみましょう
返信遅くなりました。
Malwarebytesで若干症状が改善したのでしょうか。
次のFixスクリプトを実行し、再度OTLのログを取ってください。
また、症状がどうなったかもお知らせください。


■Fixスクリプトによる処置
OTLを起動後、以下のスクリプトを「Custom Scan/Fixes」に貼り付け、「Run Fix」を押してください。
最初の「:OTL」から最後の「[reboot]」まで抜かさないように。

実行するとプロセスがすべて強制終了されますので、アプリはできるだけ終了しておいてください。
また、ごみ箱が空になりますので、必要なファイルがある場合は先に救出してください。
なお、OTLがフリーズしてしまって先に進まない場合は、セーフモードでコンピュータを起動したうえで実行してください。

セーフモードへの入り方:
http://www.higaitaisaku.com/safemode.html

完了後、再起動を要求されますので、「OK」で再起動してください。再起動後、ログが出ますので、そちらを載せてください。なお、今回のログに関しては、そのまま貼り付けで構いません。
なお、ログを閉じてしまった場合は、C:\_OTL\MovedFiles フォルダ内にログ(日付と時刻からなる数字ファイル名のファイル)がありますので、そちらの内容をお知らせください。

---ここから

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe -- (Security Activity Dashboard Service)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE -- (KPfwSvc)
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: &amp;quot;URL&amp;quot; = http://search.babylon.com/?q={searchTerms}&amp;amp;affID=110824&amp;amp;tt=5012_5&amp;amp;babsrc=SP_ss&amp;amp;mntrId=4002459d00000000000000e04d5b373a
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: &amp;quot;URL&amp;quot; = http://websearch.ask.com/redirect?client=ie&amp;amp;tb=LMW4&amp;amp;o=16797&amp;amp;src=crm&amp;amp;q={searchTerms}&amp;amp;locale=en_US
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{52D904FD-FFE6-4820-A0BE-050B5774FC27}: &amp;quot;URL&amp;quot; = http://search.jword.jp/cns.dll?type=jwd&amp;amp;fm=10&amp;amp;agent=&amp;amp;bypass=2&amp;amp;partner=AP&amp;amp;lang=utf8&amp;amp;name={searchTerms}
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: &amp;quot;URL&amp;quot; = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&amp;amp;SearchSource=4&amp;amp;ctid=CT2653012
O2 - BHO: (no name) - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-776561741-1202660629-839522115-1004..\Run: [Screen Saver Pro 3.1] C:\Documents and Settings\admin\Application Data\ScreenSaverPro.scr ()
O8 - Extra context menu item: &amp;amp;Ask.jp で検索 - http://cfg.smileycentral.jp/askjpmenusearch.html?p=JSYYYYYYYYJP File not found
O16 - DPF: {7EE35792-6430-420F-B635-315E1F5A4AC1} http://ak.nocache.smileycentral.jp/ei/AskJeevesJapanInitialSetup1.0.0.10-6.cab (Reg Error: Key error.)
[2013/05/13 21:25:19 | 000,000,308 | ---- | M] () -- C:\WINDOWS\tasks\WinMaximizer-admin-Startup.job
[2013/05/11 20:00:00 | 000,000,404 | ---- | M] () -- C:\WINDOWS\tasks\Registry Winner Schedule.job
[2013/05/13 21:34:40 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\F.exe
[2013/05/13 15:09:48 | 000,000,390 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\10.exe
[2013/05/13 14:40:33 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\B.exe
[2013/05/13 14:40:25 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\9.exe
[2013/05/13 10:48:48 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\18.exe
[2013/05/13 10:48:20 | 000,162,693 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\temp.bin
[2012/12/23 15:26:06 | 000,004,140 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe
[2012/05/20 05:49:09 | 000,001,535 | ---- | C] () -- C:\Documents and Settings\admin\Application Data064de6e544e34a1e94c74ae389004cc8
@Alternate Data Stream - 112 bytes -&amp;gt; C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1

:Files
C:\Documents and Settings\admin\Application Data\*.exe
C:\Documents and Settings\admin\Application Data\*.bin
C:\Documents and Settings\admin\Application Data\*.scr
C:\Documents and Settings\admin\Application Data\*.com
C:\Documents and Settings\admin\Application Data\*.tmp
C:\Documents and Settings\All Users\Application Data\*.exe
C:\Documents and Settings\All Users\Application Data\*.bin
C:\Documents and Settings\All Users\Application Data\*.scr
C:\Documents and Settings\All Users\Application Data\*.com
C:\Documents and Settings\All Users\Application Data\*.tmp

:Commands
[purity]
[emptytemp]
[createrestorepoint]
[reboot]

---ここまで



■OTLによる解析(2回目)
再度、以下にある(直リンクです)ツール「OTL」(OldTimer Listit)をダウンロードし、デスクトップに置いてください。
実行後、ウィンドウの上の方にある「Scan All Users」にチェックを入れ、また「Scan 64bit Files」があった場合には、それにもチェックを入れてください。
また、次のコマンドを「Custom Scan/Fixes」にコピペしてください。

BASESERVICES
/md5start
C:\Documents and Settings\admin\s-1-5-21-776561741-1202660629-839522115-1004.rrr
C:\Documents and Settings\admin\Application Data\75f7f75a97fb249439aa5b77689132d8
C:\Documents and Settings\admin\Application Data\6db60d1325d99952dcbb6985787afdf1
C:\Documents and Settings\admin\Application Data\1f7fce510d9de00719f98a76578db6d6
C:\Documents and Settings\admin\Application Data\efbaed6df6bae6864575572bd2c4bdad
C:\Documents and Settings\admin\Application Data\c72afd7b86ade0b6d74a2b0521550d53
C:\Documents and Settings\admin\Application Data\1a3ea3ea74449a2ca7c2bb6d4a137c15
C:\Documents and Settings\admin\Application Data\2a9343fd71df5b9d4edfdfa34e411c0b
C:\Documents and Settings\admin\Application Data\eba549fe684f949e9d4f0ada5e760d07
C:\Documents and Settings\admin\Application Data\513d67087a525367ccc68d77c7ba6fda
C:\Documents and Settings\admin\Application Data\3ebbf2fcc70b5ced2d64ca1fcb66a9e7
C:\Documents and Settings\admin\Application Data\33ec9f11b6602b5a2bb78783d95562e0
C:\Documents and Settings\admin\Application Data\a0e71fd711c150c1103c888d31ec4e54
C:\Documents and Settings\admin\Application Data\b4942f83f62e37b4f337036bb503409a
C:\Documents and Settings\admin\Application Data\bda246159263115b1f3b37b0348fa7a8
/md5stop


その後、左上の「Run Scan」を押してください。
数分すると、「OTL.txt」がOTL.exeと同じ場所に出来ます。同様に、内容を転記してください。
  • イルカ
  • 2013/05/15 (Wed) 21:00:30
Re: 私もfind440.comにやられました
イルカ様

ご回答ありがとうございます。
実行が終わりましたので、ログを貼り付けようとしましたが
やはり禁止ワードで貼り付けができませんでしたので
アップローダーに載せるようにしましたので、ご確認お願いいたします。

http://www1.axfc.net/uploader/so/2903611
キー:Mai29456
2回分のTXTをZIPにまとめております。
ZIPにパスはありません。

◎症状ですがわかる範囲で記載します。
・PCが重い、フリーズする⇒実行後改善しました。
・一部サイト(例:ウィルス対策系サイト)に繋がらない等⇒改善しました。
・アンチウィルスでのW32.Aemrantの削除が続いておりましたが止まりました。
・実行後、アンチウィルスでのBloodhound.MalPEの検疫がありました。

わかる範囲では以上です。
  • mai
  • 2013/05/15 (Wed) 22:20:03
操作が違いました
ログを見せてもらいましたが、最初のFixの操作で間違って「Run Scan」の方を押されたようです。押す必要があったのは「Run Fix」でした。
説明が分かりにくくてすみません。

最新のデータを基に修正したスクリプトを書きましたので、以下のスクリプトを「Custom Scan/Fixes」に貼り付けたうえで、「Run Fix」を押してください。
下に、操作説明の画像を添付しましたので、参考にしてください。
「:Processes」から最後の「[reboot]」まで抜かさないように。

症状は改善しているようですが、ログを見ると怪しいファイルがまた増殖しているので、まだウイルスは活動しています。
まだまだ気は抜けません。


:Processes
killallprocesses

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe -- (Security Activity Dashboard Service)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE -- (KPfwSvc)
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=5012_5&babsrc=SP_ss&mntrId=4002459d00000000000000e04d5b373a
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=LMW4&o=16797&src=crm&q={searchTerms}&locale=en_US
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{52D904FD-FFE6-4820-A0BE-050B5774FC27}: "URL" = http://search.jword.jp/cns.dll?type=jwd&fm=10&agent=&bypass=2&partner=AP&lang=utf8&name={searchTerms}
IE - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
O2 - BHO: (no name) - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-1202660629-839522115-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-776561741-1202660629-839522115-1004..\Run: [Screen Saver Pro 3.1] C:\Documents and Settings\admin\Application Data\ScreenSaverPro.scr ()
O4 - HKU\S-1-5-21-776561741-1202660629-839522115-1004..\Run: [Stcmce] C:\Documents and Settings\admin\Application Data\Microsoft\Stcmce.exe File not found
O8 - Extra context menu item: &Ask.jp で検索 - http://cfg.smileycentral.jp/askjpmenusearch.html?p=JSYYYYYYYYJP File not found
O16 - DPF: {7EE35792-6430-420F-B635-315E1F5A4AC1} http://ak.nocache.smileycentral.jp/ei/AskJeevesJapanInitialSetup1.0.0.10-6.cab (Reg Error: Key error.)
[2013/05/13 21:25:19 | 000,000,308 | ---- | M] () -- C:\WINDOWS\tasks\WinMaximizer-admin-Startup.job
[2013/05/11 20:00:00 | 000,000,404 | ---- | M] () -- C:\WINDOWS\tasks\Registry Winner Schedule.job
[2013/05/13 21:34:40 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\F.exe
[2013/05/13 15:09:48 | 000,000,390 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\10.exe
[2013/05/13 14:40:33 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\B.exe
[2013/05/13 14:40:25 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\9.exe
[2013/05/13 10:48:48 | 000,007,486 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\18.exe
[2013/05/13 10:48:20 | 000,162,693 | ---- | C] () -- C:\Documents and Settings\admin\Application Data\temp.bin
[2012/12/23 15:26:06 | 000,004,140 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe
[2012/05/20 05:49:09 | 000,001,535 | ---- | C] () -- C:\Documents and Settings\admin\Application Data064de6e544e34a1e94c74ae389004cc8
@Alternate Data Stream - 112 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
[2013/05/15 17:41:35 | 000,007,381 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\47.exe
[2013/05/14 13:39:47 | 000,000,397 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\3B.exe
[2013/05/14 13:39:35 | 000,007,486 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\36.exe


:Files
C:\Documents and Settings\admin\Application Data\*.exe
C:\Documents and Settings\admin\Application Data\*.bin
C:\Documents and Settings\admin\Application Data\*.scr
C:\Documents and Settings\admin\Application Data\*.com
C:\Documents and Settings\admin\Application Data\*.tmp
C:\Documents and Settings\All Users\Application Data\*.exe
C:\Documents and Settings\All Users\Application Data\*.bin
C:\Documents and Settings\All Users\Application Data\*.scr
C:\Documents and Settings\All Users\Application Data\*.com
C:\Documents and Settings\All Users\Application Data\*.tmp

:Commands
[purity]
[emptytemp]
[createrestorepoint]
[reboot]
  • イルカ
  • 2013/05/15 (Wed) 22:36:32
Re: 私もfind440.comにやられました
イルカ様

お手数をお掛けしております。
セーフモードにて再実行しましたので、ご確認ください。

All processes killed
========== PROCESSES ==========
========== OTL ==========
Service Security Activity Dashboard Service stopped successfully!
Service Security Activity Dashboard Service deleted successfully!
File C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe not found.
Service NMIndexingService stopped successfully!
Service NMIndexingService deleted successfully!
File C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe not found.
Service KPfwSvc stopped successfully!
Service KPfwSvc deleted successfully!
File C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE not found.
HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
Registry key HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\{52D904FD-FFE6-4820-A0BE-050B5774FC27}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52D904FD-FFE6-4820-A0BE-050B5774FC27}\ not found.
Registry key HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43C6D902-A1C5-45c9-91F6-FD9E90337E18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43C6D902-A1C5-45c9-91F6-FD9E90337E18}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{CCAC5586-44D7-4c43-B64A-F042461A97D2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAC5586-44D7-4c43-B64A-F042461A97D2}\ not found.
Registry value HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\Screen Saver Pro 3.1 not found.
File C:\Documents and Settings\admin\Application Data\ScreenSaverPro.scr not found.
Registry value HKEY_USERS\S-1-5-21-776561741-1202660629-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\Stcmce deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Ask.jp で検索\ deleted successfully.
Starting removal of ActiveX control {7EE35792-6430-420F-B635-315E1F5A4AC1}
C:\WINDOWS\Downloaded Program Files\ajjinitialsetup1.0.0.10-2.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{7EE35792-6430-420F-B635-315E1F5A4AC1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EE35792-6430-420F-B635-315E1F5A4AC1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7EE35792-6430-420F-B635-315E1F5A4AC1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EE35792-6430-420F-B635-315E1F5A4AC1}\ not found.
C:\WINDOWS\tasks\WinMaximizer-admin-Startup.job moved successfully.
C:\WINDOWS\tasks\Registry Winner Schedule.job moved successfully.
C:\Documents and Settings\admin\Application Data\F.exe moved successfully.
C:\Documents and Settings\admin\Application Data\10.exe moved successfully.
C:\Documents and Settings\admin\Application Data\B.exe moved successfully.
C:\Documents and Settings\admin\Application Data\9.exe moved successfully.
C:\Documents and Settings\admin\Application Data\18.exe moved successfully.
File C:\Documents and Settings\admin\Application Data\temp.bin not found.
C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe moved successfully.
C:\Documents and Settings\admin\Application Data064de6e544e34a1e94c74ae389004cc8 moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1 deleted successfully.
C:\Documents and Settings\admin\Application Data\47.exe moved successfully.
C:\Documents and Settings\admin\Application Data\3B.exe moved successfully.
C:\Documents and Settings\admin\Application Data\36.exe moved successfully.
========== FILES ==========
File\Folder C:\Documents and Settings\admin\Application Data\*.exe not found.
File\Folder C:\Documents and Settings\admin\Application Data\*.bin not found.
File\Folder C:\Documents and Settings\admin\Application Data\*.scr not found.
File\Folder C:\Documents and Settings\admin\Application Data\*.com not found.
File\Folder C:\Documents and Settings\admin\Application Data\*.tmp not found.
File\Folder C:\Documents and Settings\All Users\Application Data\*.exe not found.
File\Folder C:\Documents and Settings\All Users\Application Data\*.bin not found.
File\Folder C:\Documents and Settings\All Users\Application Data\*.scr not found.
File\Folder C:\Documents and Settings\All Users\Application Data\*.com not found.
File\Folder C:\Documents and Settings\All Users\Application Data\*.tmp not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 21923369 bytes
->Temporary Internet Files folder emptied: 6881771 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 57266 bytes

User: Administrator
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56545 bytes

User: LocalService
->Temp folder emptied: 66284 bytes
->Temporary Internet Files folder emptied: 16855931 bytes
->Flash cache emptied: 291 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 79699424 bytes

User: test
->Temp folder emptied: 606245 bytes
->Temporary Internet Files folder emptied: 14685253 bytes
->Flash cache emptied: 405 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2631291 bytes
%systemroot%\System32 .tmp files removed: 4001729 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 98291 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 539782868 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 179653 bytes
RecycleBin emptied: 2345923 bytes

Total Files Cleaned = 658.00 mb

Unable to start System Restore Service. Error code 10

OTL by OldTimer - Version 3.2.69.0 log created on 05152013_233125

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
  • mai
  • 2013/05/15 (Wed) 23:40:58
確認をしましょう
ログありがとうございます。処理した分は全て消えてくれたようです。

状況確認のため、もう一度、OTLのログを取ってください。
今度は、最初と同じく、「Run Scan」です。

コマンドは、以下のものを使ってください。

BASESERVICES
/md5start
C:\Documents and Settings\admin\s-1-5-21-776561741-1202660629-839522115-1004.rrr
C:\Documents and Settings\admin\Application Data\75f7f75a97fb249439aa5b77689132d8
C:\Documents and Settings\admin\Application Data\6db60d1325d99952dcbb6985787afdf1
C:\Documents and Settings\admin\Application Data\1f7fce510d9de00719f98a76578db6d6
C:\Documents and Settings\admin\Application Data\efbaed6df6bae6864575572bd2c4bdad
C:\Documents and Settings\admin\Application Data\c72afd7b86ade0b6d74a2b0521550d53
C:\Documents and Settings\admin\Application Data\1a3ea3ea74449a2ca7c2bb6d4a137c15
C:\Documents and Settings\admin\Application Data\2a9343fd71df5b9d4edfdfa34e411c0b
C:\Documents and Settings\admin\Application Data\eba549fe684f949e9d4f0ada5e760d07
C:\Documents and Settings\admin\Application Data\513d67087a525367ccc68d77c7ba6fda
C:\Documents and Settings\admin\Application Data\3ebbf2fcc70b5ced2d64ca1fcb66a9e7
C:\Documents and Settings\admin\Application Data\33ec9f11b6602b5a2bb78783d95562e0
C:\Documents and Settings\admin\Application Data\a0e71fd711c150c1103c888d31ec4e54
C:\Documents and Settings\admin\Application Data\b4942f83f62e37b4f337036bb503409a
C:\Documents and Settings\admin\Application Data\bda246159263115b1f3b37b0348fa7a8
/md5stop
  • イルカ
  • 2013/05/16 (Thu) 00:02:21
Re: 私もfind440.comにやられました
イルカ様

ご確認ありがとうございます。
お手数ですが、FTPにOTLログを掲載しました。

http://www1.axfc.net/uploader/so/2903815
キー:Mai29456
  • mai
  • 2013/05/16 (Thu) 00:29:15
駆除成功のようです
最新のログには、以前まで出ていたような怪しい実行ファイルやエントリは見られませんでした。駆除成功のようです。

数日様子を見て、異常の再発がないかどうかを確認しましょう。
その間に、以下の操作をお願いします。急ぐ必要はありません。
何か分からないこと、気が付いたことなどありましたらお知らせください。



■ソフトウェアの更新
以下のソフトはバージョンが古いので、特別な理由のない限りアップデートを推奨します。
古いバージョンのソフトにはセキュリティ上の脆弱性があり、ウイルスに狙われる定番となっていますので。
使っていないのであればアンインストールしてもいいでしょう。

・Adobe Reader 7.0.8 - Japanese
古すぎて自動アップデートができないと思いますので、公式サイトから最新のインストーラをダウンロードし、アップデートしましょう。
http://get.adobe.com/jp/reader/
からダウンロードできますが、McAfee Security ScanやGoogleツールバーは要りませんので、チェックを外すのを忘れずに。



■不要と思われるソフトウェアのアンインストール
コントロールパネルからで構いません。

・Java(TM) 6 Update 4
・Java(TM) 6 Update 5
・Java(TM) 6 Update 7
アップデートされ損ねて残ったJavaの旧版です。
最新版がありますので、アンインストールしましょう。

・FBrowsingAdvisor
・SurfingEnhancer
アドウェアのようです。アンインストールを推奨します。

・JWord プラグイン
環境によっては、トラブルの原因になる場合があります。
特に使っていないのであれば、アンインストールしてしまってもよいかと思います。

・McAfee Security Scan Plus
別途セキュリティソフトがありますので不要です。

・styleid_scr_aスクリーンセーバー
今回の元凶である可能性があります。



■システムの復元ポイントの削除
マルウェアに侵入されたコンピュータでは、システムの復元で使われる復元ポイントに、マルウェアが残っている場合が多々あります。
したがって、この復元ポイントを削除します。以下は、Microsoftが提供している手順のコピーです。

1. [スタート] ボタンをクリックし、[マイ コンピュータ] を右クリックし、[プロパティ] をクリックします。
2. [システムのプロパティ] ダイアログ ボックスの [システムの復元] タブをクリックします。
3. [システムの復元を無効にする] チェック ボックスをオンにします。または、[すべてのドライブでシステムの復元を無効にする] チェック ボックスをオンにします。
4. [OK] をクリックします。
5. 次のメッセージが表示されたら、[はい] をクリックして、システムの復元機能を無効にすることを確認します。

「システムの復元を無効にする選択をしました。続行すると、復元ポイントはすべて削除されて、このコンピュータに対する変更の追跡をしたり、変更を元に戻したりできなくなります。

システムの復元を無効にしますか?」

6. しばらく待ってから、[システムのプロパティ] ダイアログ ボックスを閉じます。


これにより、すべての復元ポイントが削除されます。
続いて、同様の手順で、再度システムの復元を有効にします。


1. [スタート] ボタンをクリックし、[マイ コンピュータ] を右クリックし、[プロパティ] をクリックします。
2. [システムのプロパティ] ダイアログ ボックスの [システムの復元] タブをクリックします。
3. [システムの復元を無効にする] チェック ボックスをオフにします。または、[すべてのドライブでシステムの復元を無効にする] チェック ボックスをオフにします。
4. [OK] をクリックします。
5. しばらく待ってから、[システムのプロパティ] ダイアログ ボックスを閉じます。
  • イルカ
  • 2013/05/16 (Thu) 01:19:03
状況のご報告
イルカ様

記載頂いたご指示と数日状況を見ましたが、特に問題になりそうな動作もなく以前より快適に使用できております。不正利用等も今のところありませんが注意は続けていきます。

今回はご丁寧に対処をお教え頂き、本当にありがとうございました。
  • mai
  • 2013/05/19 (Sun) 00:06:22
後片付けです
特に異常がないとのことで良かったです。
後片付けに入りましょう。


■後片付け
使ったツールを削除します。

・OTL
OTLを起動後、上側にある「Clean Up」ボタンを押してください。
OTL自身も自動的に削除されます。



■転ばぬ先の杖
以下のリンク先の記載内容も、参考にされるとよいかと思います。
http://www.higaitaisaku.com/korobanu.html


作業お疲れ様でした。今後はお気をつけて。ソフトのアップデート、データのバックアップは忘れずに。
  • イルカ
  • 2013/05/19 (Sun) 01:07:48

返信フォーム






プレビュー (投稿前に内容を確認)