悪代官の伏魔殿掲示板

すいません。時間がないので失礼な言葉づかいになるかもしれません。これは父のパソコンで大事です。
program file/tor.exe
が見つかり。削除できず、最近アップデートしたウイルス対策ソフトがSSL通信を見つけたなどと通知してきました。
調べてみたら、マルウェアが通信するとき作成することまでは分かったのですが、肝心のマルウェアがいるかがわかりません。どうしたら見つかるのでしょうか。そしてどうしたら削除できるのでしょうか。
どうかよろしくお願いいたします。

こんにちは、こちらで回答しておりますイルカです。
もしお仕事で使われているPCである場合は、仕事上のデータの保全の問題がありますので、私たちのような外部の人間は手を出すべきではありません。

単にSSL通信だけならどこでもやっているので問題は無いのですが、とりあえず、よく使われる駆除ツールの使い方だけ案内します。

MBAMの使い方
http://www59.atwiki.jp/malware_laboratory/pages/7.html

たびたびすいません。
SSLについてですが、正確には、
『このコンピュータで動作しているアプリケーションは暗号化されたSSLチャンネルを介して通信を試みています。暗号化されたコンテンツを検査したい場合は、証明書を信頼できるとしてマークしてください。リモートコンピュータの証明書は信頼できますか？

アプリケーション：c:\program(x86)\Tor\tor.exe
証明書:www.y3xq7ughcevi.net』

こんばんわ。
利用規約もろくに読まず、一方的で申し訳ありませんでした。
紹介していただいたソフトを利用したら、結構出てきました。削除もできたようです。
本当にありがとうございました。

一応ログも貼っておきます。
Malwarebytes Anti-Malware
www.malwarebytes.org

スキャン日付: 2014/05/03
スキャン時刻: 19:39:43
ログファイル:
管理者: はい

バージョン: 2.00.1.1004
マルウェアデータベース: v2014.05.03.01
ルートキットデータベース: v2014.03.27.01
ライセンス: 無料版
マルウェア保護機能: 無効
悪質ウェブサイト保護機能: 無効
Chameleon: 無効

OS: Windows 7 Service Pack 1
CPU: x64
ファイルシステム: NTFS
ユーザー: es

スキャン形式: 脅威スキャン
結果: 完了しました
スキャンされたオブジェクト数: 292050
経過時間: 8 時間, 51 分, 52 秒

メモリ: 有効
スタートアップ: 有効
ファイルシステム: 有効
アーカイブ: 有効
ルートキット: 無効
Shuriken: 有効
PUP: 有効
PUM: 有効

プロセス: 0
(No malicious items detected)

モジュール: 0
(No malicious items detected)

レジストリキー: 7
PUP.Optional.BundleInstaller.A, HKLM\SOFTWARE\WOW6432NODE\VITTALIA\AxtanInstaller, 隔離, [e21bf25acfac8fa793270a7fa65c44bc],
PUP.Optional.DataMngr.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr, 隔離, [d52882ca86f5a0968fa4dfc3bc47817f],
PUP.Optional.DataMngr.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr_Toolbar, 隔離, [7d80cf7d106b3ef85ad83c66c241be42],
PUP.Optional.DataMngr.A, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr, 隔離, [e31aa0ac77041026a88b2e7430d3b24e],
PUP.Optional.DataMngr.A, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr_Toolbar, 隔離, [14e9391365161b1b44ee881ac63db24e],
PUP.Optional.Babylon.A, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\BABSOLUTION\Updater, 隔離, [68950943582358dec9732281c93aa858],
PUP.Optional.BProtector.A, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\bProtectSettings, 隔離, [837ad973a8d30432e7a83f66fc0736ca],

レジストリ値: 3
PUP.Optional.BProtector, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|BrowserMngr Start Page, http://search.babylon.com/?affID=112555&tt=bandext_3312_4&babsrc=HP_ss&mntrId=2a5ae3fa0000000000000026826f7bdc, 隔離, [738a1933413a68ce332adad5bf4420e0]
PUP.BProtector, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|bProtector Start Page, http://www.yahoo.co.jp/, 隔離, [817cdd6f6f0c231376be901218eb29d7]
PUP.BProtector, HKU\S-1-5-21-4231640902-2727788120-1157505842-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|bProtectorDefaultScope, {606E3C71-AC4C-4236-AFF4-601A8DFBF166}, 隔離, [ed1060ecfa8174c2f3422e74ab584fb1]

レジストリデータ: 0
(No malicious items detected)

フォルダー: 4
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\4CAC0B8F9B334144A9A9102AC738B76D, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\C38475A229294F2480342B7BE6F12EEB, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.FileScout.A, C:\Users\es\AppData\Roaming\File Scout, 隔離, [0bf29ab25d1eb383f873a6c1639fc937],

ファイル: 13
PUP.Optional.FileScout.A, C:\Users\es\AppData\Roaming\File Scout\filescout.exe, 隔離, [cb323e0e9edda88e17dd897be8197c84],
PUP.Optional.OpenCandy.A, C:\Users\es\AppData\Roaming\OpenCandy\4CAC0B8F9B334144A9A9102AC738B76D\LatestDLMgr.exe, 隔離, [8479b9930b70eb4bdc8bb16b778a619f],
PUP.Optional.BProtector.A, C:\Users\es\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data, 隔離, [17e61438cab1082e464a693c18eb12ee],
PUP.Optional.BProtector.A, C:\Users\es\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences, 隔離, [26d7e16b69121224c7ca693ced16c63a],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\4CAC0B8F9B334144A9A9102AC738B76D\3235.ico, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\4CAC0B8F9B334144A9A9102AC738B76D\TuneUpUtilities2013-2200278-p2v1.exe, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\4CAC0B8F9B334144A9A9102AC738B76D\TuneUpUtilities2013_2200278_ja-JP.exe, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\C38475A229294F2480342B7BE6F12EEB\4007.ico, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\C38475A229294F2480342B7BE6F12EEB\EBB77268-338F-4C6A-8590-AD88FED26F4A, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\C38475A229294F2480342B7BE6F12EEB\OCBrowserHelper_1.0.3.85.dll, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\C38475A229294F2480342B7BE6F12EEB\RAWinstallerWS.exe, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.OpenCandy, C:\Users\es\AppData\Roaming\OpenCandy\C38475A229294F2480342B7BE6F12EEB\setup__759.exe, 隔離, [db229ab20972b38388cbed7ae121f20e],
PUP.Optional.FileScout.A, C:\Users\es\AppData\Roaming\File Scout\uninst.exe, 隔離, [0bf29ab25d1eb383f873a6c1639fc937],

物理セクタ: 0
(No malicious items detected)


(end)

ログを見ますと、引っかかっているのは迷惑ソフト(いわゆるアドウェア)ばかりで、Tor関連のファイルは引っかかっていないですね。

お使いのセキュリティソフトでスキャンしても、何も出てこないのでしょうか？
Torそのものはマルウェアではありませんが、何もしていないのに入るはずはないので。


お使いのソフトでのスキャン結果と、以下のツールでのスキャン結果(これはアドウェアの駆除用で、Tor関連ではありません)をお知らせください。


■AdwCleanerでの処置
AdwCleanerの使い方
http://www59.atwiki.jp/malware_laboratory/pages/4.html

を参考に、「Adwcleanerのダウンロード」～「駆除ログの出力」までを行い、結果出てきたログをお知らせください。

返信ありがとうございます。
返事が遅くなり申し訳ありません。
まだ話していなかったので話します。torファイルについてですが、このパソコンには「ESET SMART SECURITY」
なるソフトが入っており、SSL通信について通知してきた時、ひとまずそのソフトで隔離したのですが、それが原因でしょうか。

以下ログです。お待たせしました。
# AdwCleaner v3.207 - レポート作成日 05/05/2014 時間 18:44:42
# 更新日 05/05/2014 更新元 Xplode
# オペレーティングシステム : Windows 7 Home Premium Service Pack 1 (64 bits)
# ユーザー名 : es - ES-PC
# プログラムの実行場所 : C:\Users\es\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GCFTTRJB\adwcleaner.exe
# オプション : スキャン

***** [ サービス ] *****


***** [ ファイル / フォルダ ] *****

ファイル 検出 : C:\END
ファイル 検出 : C:\windows\System32\Tasks\BitGuard
ファイル 検出 : C:\windows\System32\Tasks\Scheduled Update for Ask Toolbar
ファイル 検出 : C:\windows\System32\Tasks\Your File Updater
ファイル 検出 : C:\windows\System32\Tasks\YourFile Update
フォルダ 検出 : C:\Program Files (x86)\Ask.com
フォルダ 検出 : C:\Program Files (x86)\Smartdl
フォルダ 検出 : C:\ProgramData\Babylon
フォルダ 検出 : C:\ProgramData\Uniblue
フォルダ 検出 : C:\ProgramData\Uniblue\DriverScanner
フォルダ 検出 : C:\Users\es\AppData\Local\PackageAware
フォルダ 検出 : C:\Users\es\AppData\LocalLow\AskToolbar
フォルダ 検出 : C:\Users\es\AppData\LocalLow\BabylonToolbar
フォルダ 検出 : C:\Users\es\AppData\Roaming\Babylon
フォルダ 検出 : C:\Users\es\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
フォルダ 検出 : C:\Users\es\AppData\Roaming\Uniblue
フォルダ 検出 : C:\Users\es\AppData\Roaming\YourFileDownloader
フォルダ 検出 : C:\Users\Taro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Manager
フォルダ 検出 : C:\windows\installer\{86d4b82a-abed-442a-be86-96357b70f4fe}

***** [ ショートカット ] *****


***** [ レジストリ ] *****

キー 検出 : HKCU\Software\5957db88e13fba10
キー 検出 : HKCU\Software\AppDataLow\AskToolbarInfo
キー 検出 : HKCU\Software\AppDataLow\Software\AskToolbar
キー 検出 : HKCU\Software\Ask.com
キー 検出 : HKCU\Software\BabSolution
キー 検出 : HKCU\Software\BrowserMngr
キー 検出 : HKCU\Software\filescout
キー 検出 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
キー 検出 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
キー 検出 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
キー 検出 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
キー 検出 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
キー 検出 : HKCU\Software\YourFileDownloader
キー 検出 : [x64] HKCU\Software\Ask.com
キー 検出 : [x64] HKCU\Software\BabSolution
キー 検出 : [x64] HKCU\Software\BrowserMngr
キー 検出 : [x64] HKCU\Software\filescout
キー 検出 : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
キー 検出 : [x64] HKCU\Software\YourFileDownloader
キー 検出 : HKLM\SOFTWARE\5957db88e13fba10
キー 検出 : HKLM\Software\Babylon
キー 検出 : HKLM\Software\BrowserMngr
キー 検出 : HKLM\SOFTWARE\Classes\*\shell\filescout
キー 検出 : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
キー 検出 : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
キー 検出 : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
キー 検出 : HKLM\SOFTWARE\Classes\AppID\WMHelper.DLL
キー 検出 : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
キー 検出 : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
キー 検出 : HKLM\SOFTWARE\Classes\driverscanner
キー 検出 : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
キー 検出 : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
キー 検出 : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
キー 検出 : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
キー 検出 : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
キー 検出 : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
キー 検出 : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
キー 検出 : HKLM\SOFTWARE\Classes\Prod.cap
キー 検出 : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
キー 検出 : HKLM\Software\DataMngr
キー 検出 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\driverscanner_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\driverscanner_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\YourFile_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\YourFile_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\YourFileUpdater_RASAPI32
キー 検出 : HKLM\SOFTWARE\Microsoft\Tracing\YourFileUpdater_RASMANCS
キー 検出 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
キー 検出 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
キー 検出 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
キー 検出 : HKLM\Software\Uniblue
キー 検出 : HKLM\Software\Uniblue\DriverScanner
キー 検出 : HKLM\Software\Vittalia
キー 検出 : HKLM\Software\YourFileDownloader
キー 検出 : [x64] HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
キー 検出 : [x64] HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
キー 検出 : [x64] HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
データ 検出 : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - c:\progra~3\bitguard\271769~1.27\{16cdf~1\loader.dll
値 検出 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [BrowserMngrDefaultScope]
値 検出 : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
値 検出 : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
値 検出 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]
値 検出 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [ Webブラウザ ] *****

-\\ Internet Explorer v11.0.9600.17041

設定 検出 : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://isearch.glarysoft.com/?src=iehome
設定 検出 : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs] - hxxp://search.babylon.com/?affID=112555&tt=bandext_3312_4&babsrc=NT_ss&mntrId=2a5ae3fa0000000000000026826f7bdc

-\\ Google Chrome v34.0.1847.131

[ ファイル : C:\Users\es\AppData\Local\Google\Chrome\User Data\Default\preferences ]

検出 [Search Provider] : hxxp://search.babylon.com/?q={searchTerms}&affID=112555&tt=bandext_3312_4&babsrc=SP_ss&mntrId=2a5ae3fa0000000000000026826f7bdc

*************************

AdwCleaner[R0].txt - [7693 octets] - [05/05/2014 18:44:42]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [7753 octets] ##########

> まだ話していなかったので話します。torファイルについてですが、このパソコンには「ESET SMART SECURITY」
> なるソフトが入っており、SSL通信について通知してきた時、ひとまずそのソフトで隔離したのですが、それが原因でしょうか。

なるほど、すでにTorは隔離されていたのですね。
とりあえずTorを隔離しておけば、Torを経由した通信は無くなるはずです。

ESETの定義ファイルを更新した上で、フルスキャンをかけてみてください。MBAMでも何も引っかかってませんので、これで何も出なければ、大丈夫と判断してよいかと思います。

おはようございます。
すいません。私用により、これから返信が遅れるかもしれません。
なるべく早く返信するつもりです。どうかよろしくお願いいたします。

こんばんわ。　
返信が遅くなってしまいました。申し訳ありません。
お返事ありがとうございます。そうですか、隔離していればいいのですか。ありがとうございます。ほっとしました。もうひとつ質問ですが、そのtorフォルダがしつこくSSL通信を求めてきています。隔離したtorフォルダはESETで削除できるようなのですが、削除してもよろしいのでしょうか？

未だにESETで通信許可を求められるということは、Torが残っているということになりますね。
もし正常に隔離されていれば、動くはずはありませんので。

ESETでもMBAMでも検知されないマルウェアが潜んでいるものと思われます。

情報管理の観点から言えば、可能であればリカバリをお勧めしたいところです。

リカバリ前の確認も兼ねて、以下のソフトを使ってみましょう。


■aswMBRによるログの取得
以下のファイルをダウンロードし、デスクトップ等に置いてください。
http://public.avast.com/~gmerek/aswMBR.exe

ダウンロード後、実行すると、英語で「定義ファイルをダウンロードしますか？」と聞いてきます。数分～10分程度かかりますが、「はい」でダウンロードしてください。
起動したら、「Scan」を押し、数分待つとスキャンが完了します。完了したら、「Save Log」をクリックし、ログをデスクトップへ保存してください。
その後、ログをこちらに投稿してください。

こんにちは。お返事ありがとうございます。返信後れて申し訳ありません。
了解しました。ダウンロードします。ですが、この一ヶ月ほどはパソコンに向かうことが難しくなりそうです。申し訳ありませんが、ログを添付するまで待っていたいただけないでしょうか。
どうか宜しくお願いいたします。

初心者

時間は気にせず、ご自分のペースで進めてください。

夜分遅くすいません。

お待たせしました。連絡が遅れてしまい、申し訳ありません。
ひとまずクイックスキャンしました。STOPとあったのですが、ログは保存できました。まだ完了していなかったのでしょうか？

以下ログです。どうかよろしくお願いいたします。

aswMBR version 1.0.1.2041 Copyright(c) 2014 AVAST Software
Run date: 2014-08-10 23:03:04
-----------------------------
23:03:04.170 OS Version: Windows x64 6.1.7601 Service Pack 1
23:03:04.170 Number of processors: 4 586 0x2502
23:03:04.170 ComputerName: ES-PC UserName: es
23:03:05.324 Initialize success
23:03:05.433 VM: initialized successfully
23:03:05.465 VM: Intel CPU BiosDisabled
23:03:17.899 VM: disk I/O iaStorA.sys
23:07:47.731 AVAST engine defs: 14081000
23:08:19.727 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006f
23:08:19.727 Disk 0 Vendor: WDC_____ 01.0 Size: 305245MB BusType: 11
23:08:19.914 Disk 0 MBR read successfully
23:08:19.914 Disk 0 MBR scan
23:08:19.929 Disk 0 Windows 7 default MBR code
23:08:19.945 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 200 MB offset 2048
23:08:19.945 Disk 0 default boot code
23:08:19.976 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 260243 MB offset 411648
23:08:19.992 Disk 0 Partition - 00 0F Extended LBA 29692 MB offset 533389312
23:08:20.039 Disk 0 Partition 3 00 12 Compaq diag NTFS 15109 MB offset 594198528
23:08:20.085 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 29691 MB offset 533391360
23:08:20.304 Disk 0 scanning C:\windows\system32\drivers
23:08:48.805 Service scanning
23:09:44.170 Modules scanning
23:09:44.170 Disk 0 trace - called modules:
23:09:44.216 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStorF.sys storport.sys hal.dll iaStorA.sys
23:09:44.232 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006e2b060]
23:09:44.248 3 CLASSPNP.SYS[fffff88001efe43f] -> nt!IofCallDriver -> [0xfffffa8004a9e900]
23:09:44.248 5 iaStorF.sys[fffff880019d2f84] -> nt!IofCallDriver -> \Device\0000006f[0xfffffa80049609c0]
23:09:45.605 AVAST engine scan C:\windows
23:09:49.068 AVAST engine scan C:\windows\system32
23:16:37.891 AVAST engine scan C:\windows\system32\drivers
23:16:59.545 AVAST engine scan C:\Users\es
23:20:19.648 AVAST engine scan C:\ProgramData
23:22:50.474 Disk 0 MBR has been saved successfully to "C:\Users\es\Desktop\MBR.dat"
23:22:50.505 The log file has been saved successfully to "C:\Users\es\Desktop\aswMBR.txt"

aswMBRでは何も出ていませんね。1か月の間にaswMBRがバージョンアップして少し操作が変わっていましたが、大丈夫だったようですね。
ログを見る限りでは、パーティション作成型ルートキットの可能性は低いので、リカバリに支障はないでしょう。

1か月経っていますので、現状ではTorはどうなっているでしょうか。相変わらず出てきますか？

はい。相変わらずです。SSL通信を求めてきています。何も検出されないのにマルウェアがいるということは新しいウイルスなのでしょうか。どうすればよろしいのでしょうか。

こんばんわ。
夜分遅くすいません。
報告します。
torはタスクマネージャで見たところ、サービスのほうでは見つかりましたが、停止できず、また、プロセスのほうには見当たりませんでした。ESETで削除してみたのですが、削除できていませんでした。

ご家族の方が使われているコンピュータということですので、こちらで下手に手を出すより、可能であればリカバリ(初期化)をお勧めしたいところです。
よくよくログを見れば、PCの性能依存とはいえ、MBAMのフルスキャンに8時間はかかりすぎです。過去の例を考えれば、何らかのマルウェアによる妨害と考えるのが自然です。

もしどうしてもリカバリが無理という場合には、その旨お知らせください。

※次の返信は夕方以降になりますのでご了承ください。

こんばんわ。リカバリの件もう少しお待ちください。よろしくお願いいたします。

aswMBRでCドライブをスキャンしてみました、一応見ていただけませんか。

aswMBR version 1.0.1.2041 Copyright(c) 2014 AVAST Software
Run date: 2014-08-12 11:33:16
-----------------------------
11:33:16.591 OS Version: Windows x64 6.1.7601 Service Pack 1
11:33:16.592 Number of processors: 4 586 0x2502
11:33:16.593 ComputerName: ES-PC UserName: es
11:33:20.456 Initialize success
11:33:20.523 VM: initialized successfully
11:33:20.558 VM: Intel CPU BiosDisabled
11:33:21.926 VM: disk I/O iaStorA.sys
11:49:56.799 AVAST engine defs: 14081101
12:40:37.371 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006f
12:40:37.386 Disk 0 Vendor: WDC_____ 01.0 Size: 305245MB BusType: 11
12:40:37.480 Disk 0 MBR read successfully
12:40:37.495 Disk 0 MBR scan
12:40:37.573 Disk 0 Windows 7 default MBR code
12:40:37.573 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 200 MB offset 2048
12:40:37.605 Disk 0 default boot code
12:40:37.636 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 260243 MB offset 411648
12:40:37.636 Disk 0 Partition - 00 0F Extended LBA 29692 MB offset 533389312
12:40:37.683 Disk 0 Partition 3 00 12 Compaq diag NTFS 15109 MB offset 594198528
12:40:37.714 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 29691 MB offset 533391360
12:40:37.839 Disk 0 scanning C:\windows\system32\drivers
12:40:37.839 Service scanning
12:41:34.638 Modules scanning
12:41:34.638 Disk 0 trace - called modules:
12:41:34.685 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStorF.sys storport.sys hal.dll iaStorA.sys
12:41:34.685 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006e13060]
12:41:34.701 3 CLASSPNP.SYS[fffff8800105143f] -> nt!IofCallDriver -> [0xfffffa8004a86950]
12:41:34.701 5 iaStorF.sys[fffff88001837f84] -> nt!IofCallDriver -> \Device\0000006f[0xfffffa80049349c0]
12:41:34.841 AVAST engine scan D:\
12:42:10.534 Scan finished successfully
12:53:23.519 Disk 0 MBR has been saved successfully to "C:\Users\es\Desktop\MBR.dat"
12:53:23.519 The log file has been saved successfully to "C:\Users\es\Desktop\aswMBR.txt"


aswMBR version 1.0.1.2041 Copyright(c) 2014 AVAST Software
Run date: 2014-08-12 11:33:16
-----------------------------
11:33:16.591 OS Version: Windows x64 6.1.7601 Service Pack 1
11:33:16.592 Number of processors: 4 586 0x2502
11:33:16.593 ComputerName: ES-PC UserName: es
11:33:20.456 Initialize success
11:33:20.523 VM: initialized successfully
11:33:20.558 VM: Intel CPU BiosDisabled
11:33:21.926 VM: disk I/O iaStorA.sys
11:49:56.799 AVAST engine defs: 14081101
12:40:37.371 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006f
12:40:37.386 Disk 0 Vendor: WDC_____ 01.0 Size: 305245MB BusType: 11
12:40:37.480 Disk 0 MBR read successfully
12:40:37.495 Disk 0 MBR scan
12:40:37.573 Disk 0 Windows 7 default MBR code
12:40:37.573 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 200 MB offset 2048
12:40:37.605 Disk 0 default boot code
12:40:37.636 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 260243 MB offset 411648
12:40:37.636 Disk 0 Partition - 00 0F Extended LBA 29692 MB offset 533389312
12:40:37.683 Disk 0 Partition 3 00 12 Compaq diag NTFS 15109 MB offset 594198528
12:40:37.714 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 29691 MB offset 533391360
12:40:37.839 Disk 0 scanning C:\windows\system32\drivers
12:40:37.839 Service scanning
12:41:34.638 Modules scanning
12:41:34.638 Disk 0 trace - called modules:
12:41:34.685 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStorF.sys storport.sys hal.dll iaStorA.sys
12:41:34.685 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006e13060]
12:41:34.701 3 CLASSPNP.SYS[fffff8800105143f] -> nt!IofCallDriver -> [0xfffffa8004a86950]
12:41:34.701 5 iaStorF.sys[fffff88001837f84] -> nt!IofCallDriver -> \Device\0000006f[0xfffffa80049349c0]
12:41:34.841 AVAST engine scan D:\
12:42:10.534 Scan finished successfully
12:53:23.519 Disk 0 MBR has been saved successfully to "C:\Users\es\Desktop\MBR.dat"
12:53:23.519 The log file has been saved successfully to "C:\Users\es\Desktop\aswMBR.txt"
12:53:30.453 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006f
12:53:30.453 Disk 0 Vendor: WDC_____ 01.0 Size: 305245MB BusType: 11
12:53:30.500 Disk 0 MBR read successfully
12:53:30.515 Disk 0 MBR scan
12:53:30.515 Disk 0 Windows 7 default MBR code
12:53:30.531 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 200 MB offset 2048
12:53:30.531 Disk 0 default boot code
12:53:30.562 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 260243 MB offset 411648
12:53:30.578 Disk 0 Partition - 00 0F Extended LBA 29692 MB offset 533389312
12:53:30.609 Disk 0 Partition 3 00 12 Compaq diag NTFS 15109 MB offset 594198528
12:53:30.656 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 29691 MB offset 533391360
12:53:30.656 Disk 0 scanning C:\windows\system32\drivers
12:53:30.671 Service scanning
12:54:05.633 Modules scanning
12:54:05.633 Disk 0 trace - called modules:
12:54:05.664 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStorF.sys storport.sys hal.dll iaStorA.sys
12:54:05.664 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006e13060]
12:54:05.664 3 CLASSPNP.SYS[fffff8800105143f] -> nt!IofCallDriver -> [0xfffffa8004a86950]
12:54:05.680 5 iaStorF.sys[fffff88001837f84] -> nt!IofCallDriver -> \Device\0000006f[0xfffffa80049349c0]
12:54:07.068 AVAST engine scan C:\
15:30:09.048 Scan finished successfully
17:18:37.896 Disk 0 MBR has been saved successfully to "C:\Users\es\Desktop\MBR.dat"
17:18:37.943 The log file has been saved successfully to "C:\Users\es\Desktop\aswMBR.txt"

aswMBRは前回のスキャンで何も出ないことはわかっていますので、調べる場合には以下のツールを使ってください。


■OTLによる解析
OTLと呼ばれる、高機能解析ツールを使って調べます。

1. 以下にある(直リンクです)解析ツール「OTL」(OldTimer Listit)をダウンロードし、デスクトップに置いてください。
ウイルス対策ソフトやブラウザから危険判定されるかもしれませんが、誤検知ですので気にしないで進めてください。
http://oldtimer.geekstogo.com/OTL.exe

2. 実行後、次の設定を変更してください。
・ウィンドウの上の方にある「Scan All Users」にチェックを入れる
・「Scan 64bit Files」があった場合には、それにもチェックを入れる
・「Extra Registry」を「Use SafeList」に設定する
・「File Scans」の「File Age」を「60 Days」に設定する

3. 以下のコマンドを「Custom Scan/Fixes」にコピペしてください。

%windir%\tasks\*.job
C:\Program Files (x86)\Tor\*.*
C:\Program Files (x86)\*.exe
C:\Program Files (x86)|tor;true;true;true /FP
C:\Program Files|tor;true;true;true /FP
DRIVES
BASESERVICES
%SYSTEMDRIVE%\*.exe
CREATERESTOREPOINT

3. 左上の「Run Scan」を押してください。数分すると、「OTL.txt」と「Extras.txt」がOTL.exeと同じ場所に出来ます。


これらのファイルの内容を、分割した上で本文に貼り付けてください。特にOTL.txtは結構長いので、途中で分割しないと切れてしまいます。
最大文字数を超えた場合、貼り付けることはできても、投稿すると切れてしまいますので。
途中の「[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]」あたりで分割してみてください。