マルウェア感染後の処置について。
はじめまして、うさぎと申します。
先日フリーソフトをDLしようとしたところ目的のソフトではなく別のobitum(ブラウザアプリ?)とwinzip…(詐欺ソフト?)が入り込みMalwerebyteで処理した後、残骸なども怖くなり音楽データのみをバックアップしてリカバリーを行いました。Windows10の回復から個人ファイルを残さずリカバリーし、OSの再インストールまでです。
そこから各種更新をし、今はゴミ箱、Google Chrome、Malwerebyte以外デスクトップに表示されていません。

その後MalwerebyteとWindows difender(フルスキャン)したところ特に問題は(ぱっと見)ない様に思います。これは入り込んでしまったマルウェアを駆除できたと見てPCを通常通り使用しても大丈夫な状態でしょうか?

当方PC関連には全くの素人ですので、不安になり書き込ませて頂きました。スレ違いでしたら申し訳ないです。
  • うさぎ
  • 2017/05/11 (Thu) 16:12:21
【案内のみ】ログの取得をお願いします。
こんばんは。
たまに現れる通りすがりのゆきぶねです。

最近増加してるorbitumでの相談ですね。

一度駆除を試みたとのことで
PCの状態がご不安になるのはわかりますが
ログがないことにはPCの状態がわかりません。

まずは下記のURL2つを熟読した上で
規約の違反がなければ、ログの取得をして悪代官さんの回答をお待ちください。
http://akumaden.web.fc2.com/index.html

http://akumaden.web.fc2.com/prepare.html
  • ゆきぶね
  • 2017/05/11 (Thu) 18:18:35
Re: マルウェア感染後の処置について。
ログ?が上手く取れているかわかりませんが張らせていただきます。
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 18:28:09, on 2017/05/11
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Users\【ユーザー名】\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\【ユーザー名】\Downloads\HijackThis.exe
C:\Users\【ユーザー名】\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe

F2 - REG:system.ini: UserInit=
O4 - HKCU\..\Run: [OneDrive] "C:\Users\【ユーザー名】\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5453 bytes
  • うさぎ
  • 2017/05/11 (Thu) 18:30:25
Re: マルウェア感染後の処置について。
3D Builder Microsoft Corporation 2017/04/19 14.0.1031.0
Adobe Flash Player 25 PPAPI Adobe Systems Incorporated 2017/05/10 19.6 MB 25.0.0.171
Apple Application Support(32 ビット) Apple Inc. 2017/04/19 129 MB 5.4.1
Apple Application Support(64 ビット) Apple Inc. 2017/04/19 145 MB 5.4.1
Apple Mobile Device Support Apple Inc. 2017/04/19 27.4 MB 10.3.1.2
Apple Software Update Apple Inc. 2017/04/19 2.70 MB 2.3.0.177
Bonjour Apple Inc. 2017/04/19 2.01 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/04/19 1.87.900.0
CCleaner Piriform 2017/05/11 5.29
Facebook Facebook Inc 2017/04/19 81.832.151.0
Google Chrome Google Inc. 2017/04/19 57.0.2987.133
Groove ミュージック Microsoft Corporation 2017/05/09 10.17032.10331.0
iTunes Apple Inc. 2017/04/19 426 MB 12.6.0.100
LINE LINE Corporation 2017/05/09 5.4.9.0
Malwarebytes バージョン 3.0.6.1469 Malwarebytes 2017/04/19 154 MB 3.0.6.1469
Microsoft OneDrive Microsoft Corporation 2017/04/19 84.8 MB 17.3.6799.0327
Microsoft Solitaire Collection Microsoft Studios 2017/04/19 3.16.3302.0
Microsoft Sticky Notes Microsoft Corporation 2017/04/19 1.8.0.0
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 Microsoft Corporation 2017/05/10 20.5 MB 12.0.30501.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/05/09 1.0.801.0
OneNote Microsoft Corporation 2017/05/09 17.8067.57781.0
People Microsoft Corporation 2017/04/19 10.2.831.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/04/19 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/04/20 6.0.1.7023
Skype Skype 2017/05/09 11.15.597.0
Store Purchase App Microsoft Corporation 2017/04/19 11608.1000.2431.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/04/19 46.4 MB 19.0.16.3
Xbox Microsoft Corporation 2017/05/09 28.28.28008.0
Xbox Identity Provider Microsoft Corporation 2017/04/19 11.19.19003.0
アプリ インストーラー Microsoft Corporation 2017/04/19 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/09 10.1704.1013.0
カメラ Microsoft Corporation 2017/05/10 2017.308.50.0
ストア Microsoft Corporation 2017/05/09 11703.1001.45.0
ニュース Microsoft Corporation 2017/05/09 4.20.1102.0
ヒント Microsoft Corporation 2017/04/19 5.0.13.0
フィードバック Hub Microsoft Corporation 2017/05/09 1.1703.971.0
フォト Microsoft Corporation 2017/05/09 17.425.10010.0
ボイス レコーダー Microsoft Corporation 2017/05/09 10.1704.952.0
マップ Microsoft Corporation 2017/04/19 5.1703.762.0
マーチ オブ エンパイア Gameloft. 2017/05/09 2.4.0.9
メッセージング Microsoft Corporation 2017/04/20 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/05/09 17.8126.42377.0
天気 Microsoft Corporation 2017/05/09 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/04/19 17.8107.7600.0
映画 & テレビ Microsoft Corporation 2017/05/09 10.17032.10341.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/04/19 1.1607.6.0
電卓 Microsoft Corporation 2017/04/19 10.1703.601.0
電話 Microsoft Corporation 2017/04/20 1.10.15000.0
  • うさぎ
  • 2017/05/11 (Thu) 18:36:54
Re: マルウェア感染後の処置について。
ゆきぶねです。
CCのインストール状況のログが抜けています。

お手数ですが、今一度、HJTも含めて再投稿願います。
  • ゆきぶね
  • 2017/05/11 (Thu) 18:37:14
Re: マルウェア感染後の処置について。
すみません、ブッキングしましたね…

それで大丈夫です。
  • ゆきぶね
  • 2017/05/11 (Thu) 18:38:19
Re: マルウェア感染後の処置について。
最初のログに登録しているユーザー名がそのまま出てしまったのでそこだけを消したいのですが…削除は管理人さんのみです、よね?
  • うさぎ
  • 2017/05/11 (Thu) 18:39:26
ユーザー名は編集しました
こんばんは。
ここの管理人の悪代官と言う不適切な生き物です。

ゆきぶねさん、またフォローありがとうございます。

うさぎさん、説明とログも見せてもらいました。
まずはユーザー名は編集しておきます。
まあそのユーザー名なら珍しい名前ではないですし、漢字で本名出ているわけでもないので気にしなくていいですが、不安でしたら次回レス以降は各ログ内のユーザー名にあたる箇所は適当に編集してから送信をどうぞ。

さて本題です。

>obitum(ブラウザアプリ?)とwinzip…(詐欺ソフト?)が入り込み

その2つなら普通にアンインストールしただけではきれいには消えないことがわかっています。

>Malwerebyteで処理した後、残骸なども怖くなり音楽データのみをバックアップしてリカバリーを行いました。Windows10の回復から個人ファイルを残さずリカバリーし、OSの再インストールまでです。

リカバリされたなら普通はまず大丈夫ですが、もし再感染あるとすれば危険なサイト経由でまた仕込まれた場合でしょう。
現在のログでも今のところは怪しい痕跡は見えませんが、まだ油断はできません。
焦らなくていいですからひとつずつPCの健康診断しましょうか。

まず最初にお伝えしておきます。
見てのとおり現在相談者さん多数のため、相談受けてから皆さんに順番にレスできるまで、毎回1日かそれ以上かかる可能性もあるので、すみませんがご了承ください。

では以下の説明をよく見てから、順番に作業をお願いします。
既に準備した物もあるはずですが、一応説明を再度見ておいてください。

隠しファイルと拡張子を表示設定にしてください(やり方↓)
http://pasofaq.jp/windows/mycomputer/hiddenfile.htm
http://support.microsoft.com/kb/978449/ja

下記のツールをダウンロードして、基本の使い方を把握しておいてください。
ただし、配布サイトで他のアプリをダウンロードしろと勧めてくるような広告も出てきたらそれらは絶対にクリックしないでください。
「GeekUninstaller」(通称:GU)
説明ページ↓
http://www.gigafree.net/system/install/geekuninstaller.html
ダウンロード↓
http://www.geekuninstaller.com/download
「download free」をクリック、保存後、解凍してください。
片付ける時はフォルダごと手動で削除してください。

「CCleaner」(通称:CC)
説明↓
http://www.gigafree.net/system/clean/ccleaner.html
http://note.chiebukuro.yahoo.co.jp/detail/n178757
ダウンロード↓
http://www.piriform.com/ccleaner/download/standard
最新バージョンをダウンロードしてください。なお、インストール時におまけのアプリも勧めてくることがありますが、それらはチェック外してインストールは避けてください。
片付けるときはアンインストールしてください。

ここで重要な注意です。
CCは本来は高い性能を持つメンテナンスソフトですが、間違った使い方すると
【Windowsにダメージを与えてしまうおそれもある】
ので、ここでは解析ツールとしてのみ使います。
説明をしっかり読んで、自分が指示した以外の操作はしないように。

そして下記ページは作業開始前に必ず熟読して、必要な場合が出たらそれに沿って対処してください。この対処が必要な事例が増えています。
http://note.chiebukuro.yahoo.co.jp/detail/n335704

準備できたら作業開始です。
なお、このあとの作業で探しても見つからないものはスルーして進めていいですが、指示した対象外の物は絶対にいじらないようによく見て作業してください。

また、作業のうえで削除指示するものもあるはずですが、ご自身で必要として入れたものがあればそれの削除は保留して、次のレスでその旨を教えてください。

最初にWindowsUpdateの確認して、必要な更新があればそれを全部更新してください。
ですがそこで更新ができないようならこの後に説明する作業はせずに更新失敗の旨をレスで教えてください。
WUが正常にできなくすることで、感染の解析処置を阻害してくる危険なマルウェアが激増しているためです。
Windowsの各種更新(WindowsUpdate)は常に最新に適用しておかないと、それだけで危険な感染はすぐにでも起きますよ。

なお、Windows10への更新はユーザー自身がよほど必要でなければ非推奨です。
http://www.japan-secure.com/entry/Windows_Update_7.html
http://www.japan-secure.com/entry/how_to_suppress_the_free_upgrade_of_Windows_10.html

少なくとも下記のアプリは旧バージョンです。
Skype Skype 2017/05/09 11.15.597.0

各種アプリの更新を怠っただけでも、脆弱性を悪用されて深刻な感染はあっさり起きます。
使うなら最新版に更新してください。使わないアプリならアンインストールが安全です。
他にも旧バージョンないか調べて、あれば同様に更新するか、アンインストールしてください。

ここでWindowsの標準機能である「システムの復元」での復元ポイントをひとつ、手動で作成しておいてください。
これはこの後の作業で、間違って対象外のものをいじってしまうとそれだけでWindowsに深刻な不具合を起こすこともあるので、万一の際に復元可能にしておくためです。
http://windows.microsoft.com/ja-jp/windows7/create-a-restore-point

次にスタートメニューの「アクセサリ」→「システムツール」から「ディスククリーンアップ」を起動してください。
起動したら対象ドライブでCドライブを選択してスキャンして、表示された中の「ダウンロードされたプログラムファイル」「インターネット一時ファイル」「一時ファイル」の項目だけチェックを入れてから「OK」「ファイルの削除」を押してください。
これを実行すると選択した部分のゴミファイルが掃除されます。

これを実行することで作業時にスキャンで検出される無駄なゴミファイルも減るのでその分かなり時間や解析も楽になるのです。
「ごみ箱」など他の項目にチェックしないのは、間違って正常なファイルを削除しないためと、もし正常なファイルを削除してごみ箱に入れても戻せるようにするための措置です。

続いてCCを起動してください。
起動したら、「ツール」→」「スタートアップ」→「Windows」タブを開いてください。
そこで右下の「テキストとして保存」を押すと、表示の内容がログとして保存できるので、ログをデスクトップにでも保存しておいてください。

次に「スケジュールされたタスク」タブと「コンテキストメニュー」タブのログも同じ要領で保存してください。

続いて今度はCC画面の左側にある「Browser Plugin」の項目から「InternetExplorer」タブ以下の各タブも順番に開いて、そのログもとっておいてください。

CCの各ログをとったらCCは終了してください。

このあとCCの各ログを返信に貼って、状態報告とともにレスください。
それらを見てから続きの作業を指示します。

CCの各ログで何が見つかるか否かが最初のヤマになるでしょう
  • 悪代官
  • 2017/05/11 (Thu) 20:28:08
Re: マルウェア感染後の処置について。
CCでログを取りましたので載せます。
ただinternetexplorerの欄は真っ白でgoogliclomeの欄には出てきたのでそちらを張ります。

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\sachie\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run Malwarebytes TrayApp Malwarebytes C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe
有効 HKLM:Run SynTPEnh Synaptics Incorporated %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
有効 HKLM:Run WindowsDefender "%ProgramFiles%\Windows Defender\MSASCuiL.exe"

有効 Task Adobe Flash Player PPAPI Notifier Adobe Systems Incorporated C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_25_0_0_171_pepper.exe -check pepperplugin
有効 Task Adobe Flash Player Updater Adobe Systems Incorporated C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
有効 Task OneDrive Standalone Update Task v2 Microsoft Corporation %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
有効 Task SafeZone scheduled Autoupdate 1492597756 C:\Program Files\AVAST Software\SZBrowser\launcher.exe --scheduledautoupdate $(Arg0)

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'

有効 App Gmail 8.1 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0

有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 File MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll
有効 Folder MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll

以上ログです。スカイプは使用予定がないので消す予定です。
  • うさぎ
  • 2017/05/11 (Thu) 20:51:00
Re: マルウェア感染後の処置について。
それとGUですがfreedownroadが見付からずインストールの文字があちこちに(orbitnmも表示されています)出ているのでまだDLしていません。
  • うさぎ
  • 2017/05/11 (Thu) 20:55:51
URL直リンでDLはできますか?
早速の作業と報告、ご苦労様です。

CCログではおかしなところはなさそうですね。
ではこれはいいです。

>GUですがfreedownroadが見付からずインストールの文字があちこちに(orbitnmも表示されています)出ているのでまだDLしていません

はい、では先に案内したDLページ内のGUファイルのうち、下記を直リンでアクセスしてみてください。
https://www.geekuninstaller.com/geek.zip

これがGUのZip版ファイルです。
これをDL、保存できたらそれを解凍(展開)すればGUのフォルダが作成されます。

これのDLできたらそのことだけまたレスで教えてください。
ですがDLできないならそのことだけレスくれればいいです。

上記を見てからまた次の指示をしていきましょう
  • 悪代官
  • 2017/05/11 (Thu) 21:19:53
Re: マルウェア感染後の処置について。
GUのファイル作成できました。
起動し開けています。
  • うさぎ
  • 2017/05/11 (Thu) 21:27:16
安定版MBAMで作業しましょう
>GUのファイル作成できました。
>起動し開けています

はい、GUも無事入手できましたね。
では引き続きの作業にかかりましょう。

今度は2つのツールで作業です。
既に使ったとは思いますが、Malwarebytesを使っての作業します。
ただ、現在既に入っている下記はGUを使って一度アンインストールしてください。
>Malwarebytes バージョン 3.0.6.1469 Malwarebytes 2017/04/19 154 MB 3.0.6.1469

削除する前にPCをセーフモード状態にして、その状態でアンインストールです。
http://www.pc-master.jp/sousa/s-safemode.html
Win8の場合は以下を参考に。
http://freesoft.tvbok.com/win8/tips-and-tools/safemode.html

アンインストールしたらPCを通常モードで再起動してから、次の作業に進んでください。

以下のアプリを準備してください。
「AdwCleaner」(通称:AC)
http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
ファイル直リンです。アクセスしてファイルをデスクトップにでも保存しておいてください。
片付けるときは起動後に「uninstall」ボタンを押せば自動で削除されます。
使い方は下記サイト様に詳しい説明があるのでサンショウウオ↓
http://www.japan-secure.com/entry/adwcleaner.html

Malwarebytes' Anti-Malware(通称・MBAM)
本家サイト
http://www.malwarebytes.org/

ですが、MBAMは現在安定性や動作でかなり難が出ており、普通に使っても正常にスキャンができないバグまで多発中です。
そのため本家サイトから最新版のダウンロードせず、ここではあえて旧バージョンで作業します。

旧バージョンの説明サイト↓
http://www.japan-secure.com/entry/blog-entry-7.html

以下のURLからMBAMの旧バージョンをダウンロードしてください。
http://www.oldapps.com/malwarebytes.php?old_malwarebytes=12090?download
ファイル直リンです。保存しておいてください。
作業終了後はPCをセーフモード状態で、GUを使ってアンインストールすればいいですが、うまくできないときはセーフモード状態でスタートメニューのMBAM項目で「アンインストール」選択しても削除可能です。

注)インストール時に日本語でインストールすると文字化けすることがあります。英語でインストール後に日本語化してください。
MBAM起動して「Settings」タブ→「Language」→「Japanese」で日本語化できます。

準備できたらMBAMをインストールとアップデートまでしておいてください。
ただし、ここではまだスキャンはしないように。
なお、ここでMBAMの更新で「プログラム」自体は更新せず、定義だけ更新しておいてください。
プログラム本体を更新すると、バグ多発中の最新版になってしまうので、せっかく旧バージョンでインストールした意味がなくなります。
アップデートできたらスキャンはせず、ここでMABMは終了してください。

両ツールのアップデートまでできたらPCをセーフモードで再起動してから、ディスククリーンアップを使ってゴミファイルの掃除してください。
ただしここでは普通のセーフモードではなく、「セーフモードとネットワーク」を選んで起動してください。

クリーンアップが済んだらセーフモードのまま、ACを起動してください。
起動したら今度は「スキャン」したあと、そのスキャン終了後に検出されたものがあったら「除去」を押してください。
表示された画面で「はい」を選択すると処置開始されます。

処置完了したらそこでPCを通常モードで再起動してください。

再起動後にACのあらたなログが出るので、それをデスクトップにでも保存しておいてください。
ですが、もし作業後にログが出ないorわからない場合はマイコンピュータのCドライブを開くとその直下に以下のような名前のファイルが作成されているので、それがACのログです。
>AdwCleaner[英数字].txt
同じような名前のログが複数ある時は、作成日時が作業処置時のファイルが対象のログです。

続いて再度セーフモードにして、今度はMBAMでスキャンしてください。
MBAM起動したら「スキャナー」タブから「フルスキャン」してください。
対象ドライブはCを含めて全ドライブを選択してください。

スキャン対象は全ドライブを選択(チェック)してください。時間はかかりますができるだけ細かくスキャンするためです。
順番はどちらからでもいいですが、なにか検出されたらそれを選択して「remove」(隔離)したあと、再起動を促す表示が出たらそこで一度PCを再起動してください。
もし再起動表示が出ないときは手動で再起動してください。

またMBAMスキャン終了後、「詳細を表示」を押すとその結果が表示されるはずなので、そこで「ログを保存」を押すとそのログが保存可能になります。
そのログをデスクトップにでも保存しておいてください。
このログ確認が特に重要なので、忘れないようにお願いします。

このあとMBAMとACのログを返信に貼り付けて、それを状態報告とともにレスで見せてください。
  • 悪代官
  • 2017/05/11 (Thu) 21:41:36
Re: 安定版MBAMで作業しましょう

質問です。
ACの起動に手間取っております。このアプリは最新版にすれば良いのでしょうか?
MSBTはなんとかなりました。



すみません、間違えて新規スレッドを立てた様ですので削除をお願い致します。
  • うさぎ
  • 2017/05/11 (Thu) 22:35:59
Re: マルウェア感染後の処置について。
AC出来ました、まずこちらからログを張ります。
# AdwCleaner v6.046 - ログファイルの作成日 11/05/2017 作成時間 23:25:44
# Malwarebytesによる 24/04/2017 の更新日
# データベース : 2017-05-10.1 [サーバー]
# オペレーティングシステム : Windows 10 Home (X64)
# ユーザー名 : sachie - DESKTOP-81M7QL0
# 実行場所 : C:\Users\sachie\Downloads\adwcleaner_6.046.exe
# モード:安全
# サポート : https://www.malwarebytes.com/support



***** [ サービス ] *****



***** [ フォルダ ] *****



***** [ ファイル ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ ショートカット ] *****



***** [ スケジュール済みタスク ] *****



***** [ レジストリ ] *****

[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\avast-free-antivirus.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\chrome.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\avast-free-antivirus.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\chrome.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\avast-free-antivirus.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\chrome.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\avast-free-antivirus.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\chrome.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.jp


***** [ ブラウザ ] *****



*************************

:: "Tracing" キーを削除しました
:: Winsock設定を削除しました

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [3793 バイト] - [11/05/2017 23:25:44]
C:\AdwCleaner\AdwCleaner[S0].txt - [4231 バイト] - [11/05/2017 23:14:34]
C:\AdwCleaner\AdwCleaner[S1].txt - [4308 バイト] - [11/05/2017 23:25:18]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [4024 バイト] ##########
  • うさぎ
  • 2017/05/11 (Thu) 23:29:52
Re: マルウェア感染後の処置について。
>その後MalwerebyteとWindows difender(フルスキャン)したところ特に問題は(ぱっと見)ない様に思います。これは入り込んでしまったマルウェアを駆除できたと見てPCを通常通り使用しても大丈夫な状態でしょうか?

まずまともなセキュリティソフトをいれましょう。
それも入れずに心配したって何も改善しません
  • 掃除屋
  • 2017/05/12 (Fri) 00:27:19
Re: マルウェア感染後の処置について。
MWBTの結果はこのログです。
合っていますかね…
Malwarebytes Anti-Malware (試用) 1.75.0.1300
www.malwarebytes.org

定義バージョン: v2017.05.11.03

Windows 8 x64 NTFS (セーフモード/ネットワーク)
Internet Explorer 11.1198.14393.0
sachie :: DESKTOP-81M7QL0 [管理者]

リアルタイム保護: 無効

2017/05/11 23:33:09
mbam-log-2017-05-11 (23-33-09).txt

スキャンタイプ: フルスキャン (C:\|D:\|E:\|)
有効なスキャン領域: メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン  | ヒューリスティック/Shuriken エンジンを使用してスキャン  | 不審なプログラム (PUP) | 不審な変更 (PUM)
無効なスキャン領域: ピア・ツー・ピアプログラム(P2P)
スキャンしたアイテム数: 615615
経過時間: 1 時間, 34 分, 15 秒

メモリプロセスの検出: 0
(悪意のあるアイテムは検出されていません。)

メモリモジュールの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリ値の検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリデータ項目の検出: 0
(悪意のあるアイテムは検出されていません。)

フォルダの検出: 0
(悪意のあるアイテムは検出されていません。)

ファイルの検出: 0
(悪意のあるアイテムは検出されていません。)

(終)
  • うさぎ
  • 2017/05/12 (Fri) 04:37:33
Re: マルウェア感染後の処置について。
掃除屋様

ですよね…iTuneとたまにブラウザゲームをする程度の使用ではありますが近日中にESETを購入予定です。
もし他にお勧めがありましたら教えていただけると幸いです。
  • うさぎ
  • 2017/05/12 (Fri) 04:41:09
ESET体験版でスキャンを
今日もレスが遅くなってすみません。
掃除屋さん、フォローありがとうございます。
また大事なところを見落とすとは自分もいよいよやきが回りましたが、お天道様はすべてお見通しです(←それ悪代官のセリフじゃないから

>iTuneとたまにブラウザゲームをする程度の使用ではありますが近日中にESETを購入予定です

ゲームやメール程度でもネットに接続する以上感染や攻撃を受ける恐れは変わりません。
ESETを導入するなら、ESETの体験版でも入れてください。
http://www.eset-smart-security.jp/lp/ess.html?gclid=COHVl-_o6dMCFQ18vQod2fUCmw

体験版は30日間無料で使用可能です。
それを入れて定義も更新後にフルスキャンして、それでまた検出や異常が出たらその結果を教えてください。
  • 悪代官
  • 2017/05/12 (Fri) 16:36:26
Re: ESET体験版でスキャンを
ESET体験版を入れましてスキャンしました。
フルスキャンはスマート検査でよかったでしょうか?
結果としては何も検出されませんでした。
  • うさぎ
  • 2017/05/12 (Fri) 23:33:28
Re: マルウェア感染後の処置について。
>もし他にお勧めがありましたら教えていただけると幸いです。


ノートン
ウイルスバスター
マカフィー
カスペルスキー
ESET
あたりから選択すれば無難だと思います
あとは使う人の好みや環境にマッチするかなどありますので
試用版を入れて実際に試して決めていただければと思います。
  • 掃除屋
  • 2017/05/13 (Sat) 13:24:04
今度はOTLで踏み込んで解析です
今夜もレスが遅くなってすみません。

ESETのスキャンでは検出はなかったようですね。
ではそこはいいですが、体験版の期限が切れる前にESETの製品版を購入するか、他社セキュリティソフトにするかは決めておいてください。

さて先の作業で見せてもらったログですが、MBAMでは検出ないもののACでレジストリに結食い込んでましたね。
それも悪評高いsoftonicが見えてます。
おそらく以前に入れていたavastをsoftonicからDLしたんでしょうか。
現在では軟肉ではなくavastサイト内から無償版もDLできます。
https://www.avast.co.jp/index

では今度は別のツールで踏み込んで解析しましょう。

以下のツールを準備してください。
OTL(OldTimer Listit)
「Download」ボタンからDLしたら保存しておいてください。
http://oldtimer.geekstogo.com/OTL.exe
片付けるときは起動後に「Cleanup」ボタンを押せば自動で削除されます。
ただし、Windows10をお使いの場合は本体ファイルをそのまま削除すればいいです。

他のプログラムを起動しない状態でOTLを起動してください。
起動したら、ウィンドウの上の方にある「Scan All Users」にチェックを入れ、以下のコマンドを「Custom Scan/Fixes」にコピペしてください。

SHOWHIDDEN
%windir%\tasks\*.job
DRIVES
BASESERVICES
%SYSTEMDRIVE%\*.exe
ACTIVEX
CREATERESTOREPOINT

その後、左上の「Run Scan」を押すとスキャン開始されます。
スキャン開始後、PC環境にもよりますが数分ほどすると、「OTL.txt」と「Extras.txt」がOTL.exeと同じ場所に作成されるはずなので、この2つのファイルをデスクトップあたりに保存しておいてください。
なお、Extras.txtは出ないこともありますが、その場合はOTL.txtだけでもいいです。

このあとOTLログを丸ごと返信に貼り付けてレスで見せてください。
ただしOTLログはかなり長くなるため、一度に送信してもfc2の文字数制限で途切れます。
なのでログも適当なところで1万文字以内に分割して、複数回に分けてレス送信してください。
1万文字を越えた投稿はfc2の文字数制限で途切れてしまうためです。
http://www1.odn.ne.jp/megukuma/count.htm

OTLでスキャンしただけでは何も変化は起きません。
この結果を見て、検出されたものを次回以降の作業で処置することになるはずです
  • 悪代官
  • 2017/05/13 (Sat) 20:51:55
Re: 今度はOTLで踏み込んで解析です
やってみます。
ですが結構食い込んでいる、との事ですのでもし再度リカバリーして状態が戻るのであればリカバリーしようかと思います。
データ自体は殆ど入っていませんし、前回はWindowsからリカバリーしましたがディスクもありましたので…。
リカバリー後直ぐにESETを落とそうと思うのですがそれで改善はしますでしょうか?
PCの扱いが苦手なため、今でも変な所を触っていないかびくびくしつつの作業ですので、内部を触る事が怖くなりまして…。
  • うさぎ
  • 2017/05/13 (Sat) 21:24:34
リカバリならそちらのほうが安全確実です
作業よりもリカバリを考えているとのことですね。
本来ならそちらのほうが安全で確実ですし、時間も手間もはるかに楽です。
リカバリ選択は正しい選択です。

自分は解析の後、それで見つかったログをもとに手動で処置を指示して作業での解決を案内していますが、それは問題点を相談者さん自身に見てもらうことで以後の再被害を防ぐうえでの自衛策にも役立つとの見方からです。

ですが実際に危険や不安があるなら、それを後回しにして作業での解決を指示することもありません。
相談者さん自身がリカバリを選択するなら自分もその判断を優先で安全な対応を案内します。

紛らわしいレスしてしまって混乱させてしまいましたね。
大変失礼しました。

リカバリ自体は恥でも避けるべきことでもなく、トラブル時の対応としてはもっとも確実な方法です。
感染以外にWindows OSの破損等で正常動作も、HDD内のデータを救出もできなくなった場合において、リカバリすればPC購入時の初期状態に戻ります。
故障などハード的な要因でもない限りリカバリすればそろばんでいう「ご破算」の初期状態に戻るわけです。
そこから再度PC環境を再構築していけばよいのです。

先に自分が案内した作業はスルーしていいので、必要なデータのバックアップがすでにできていればリカバリの準備にかかってください。

リカバリ自体はせいぜい1時間もあればできるはずですが、そのあとWindowsUpdateやセキュリティソフトの各種更新はかなりの時間かかるでしょう。
何度かPCの再起動をはさみながら数時間かかることもあるので、腰を据えてじっくりかかってください。

すべての更新も済んだらそこでまたHJTログと、CCでインストール情報ログと各タブのログも取り直して、それらをリカバリ後の状態報告とともにレスください。
それらを見てから時分もリカバリ後の見落としがないかを確認していきましょう。

焦らなくていいのでお時間と余裕があるときに作業とレスはかまいません
  • 悪代官
  • 2017/05/13 (Sat) 21:42:30
Re: リカバリならそちらのほうが安全確実です
折角教えて頂いているのに、投げ出す様な事をしてしまってすみません…。
では今夜手が空き次第リカバリーの準備にかかります。
  • うさぎ
  • 2017/05/13 (Sat) 21:46:12
Re: Re: リカバリならそちらのほうが安全確実です
リカバリー、ファイルを削除しドライバのクリーニング実行中ですので終わり次第ログ出しますね。
  • うさぎ
  • 2017/05/13 (Sat) 23:29:04
Re: マルウェア感染後の処置について。
リカバリーとESETの導入(まだ体験版ですが)、iTunesのデータのみ移した状態になりましたのでログを張ります。
まずHJTです

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 11:48:37, on 2017/05/14
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O4 - HKCU\..\Run: [OneDrive] "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Internet Security\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5316 bytes
  • うさぎ
  • 2017/05/14 (Sun) 11:52:09
Re: マルウェア感染後の処置について。
CCログ
電話 Microsoft Corporation 2017/05/13 1.10.15000.0
電卓 Microsoft Corporation 2017/05/13 10.1703.601.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
映画 & テレビ Microsoft Corporation 2017/05/14 10.17032.10341.0
新しい Office を始めよう Microsoft Corporation 2017/05/13 17.8107.7600.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
メール/カレンダー Microsoft Corporation 2017/05/13 17.8126.42377.0
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
マーチ オブ エンパイア Gameloft. 2017/05/13 2.4.0.9
マップ Microsoft Corporation 2017/05/13 5.1703.762.0
ボイス レコーダー Microsoft Corporation 2017/05/13 10.1704.952.0
フォト Microsoft Corporation 2017/05/13 17.425.10010.0
フィードバック Hub Microsoft Corporation 2017/05/13 1.1703.971.0
ヒント Microsoft Corporation 2017/05/13 5.9.1042.0
ニュース Microsoft Corporation 2017/05/13 4.20.1102.0
ストア Microsoft Corporation 2017/05/13 11703.1001.45.0
カメラ Microsoft Corporation 2017/05/13 2017.308.50.0
アラーム & クロック Microsoft Corporation 2017/05/13 10.1704.1013.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
Xbox Identity Provider Microsoft Corporation 2017/05/13 11.19.19003.0
Xbox Microsoft Corporation 2017/05/13 28.28.28008.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/05/13 46.4 MB 19.0.16.3
Store Purchase App Microsoft Corporation 2017/05/13 11608.1000.2431.0
Skype Skype 2017/05/13 11.15.597.0
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/14 6.0.1.7023
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
People Microsoft Corporation 2017/05/13 10.2.831.0
OneNote Microsoft Corporation 2017/05/13 17.8067.57781.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/05/13 1.0.801.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Microsoft Solitaire Collection Microsoft Studios 2017/05/13 3.16.3302.0
Microsoft OneDrive Microsoft Corporation 2017/05/14 84.8 MB 17.3.6799.0327
LINE LINE Corporation 2017/05/13 5.4.9.0
iTunes Apple Inc. 2017/05/14 426 MB 12.6.0.100
Groove ミュージック Microsoft Corporation 2017/05/13 10.17032.10331.0
Google Chrome Google Inc. 2017/05/14 58.0.3029.110
Facebook Facebook Inc 2017/05/13 81.832.151.0
ESET Internet Security ESET, spol. s r.o. 2017/05/14 132 MB 10.0.386.4
CCleaner Piriform 2017/05/14 5.29
Candy Crush Soda Saga king.com 2017/05/13 1.89.700.0
Bonjour Apple Inc. 2017/05/14 2.01 MB 3.1.0.1
Apple Software Update Apple Inc. 2017/05/14 2.70 MB 2.3.0.177
Apple Mobile Device Support Apple Inc. 2017/05/14 27.4 MB 10.3.1.2
Apple Application Support(64 ビット) Apple Inc. 2017/05/14 145 MB 5.4.1
Apple Application Support(32 ビット) Apple Inc. 2017/05/14 129 MB 5.4.1
3D Builder Microsoft Corporation 2017/05/13 14.0.1031.0

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run SynTPEnh Synaptics Incorporated %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
有効 Task OneDrive Standalone Update Task v2 Microsoft Corporation %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive ESET Smart Security - Context Menu Shell Extension ESET C:\Program Files\ESET\ESET Internet Security\shellExt.dll
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 File ESET Smart Security - Context Menu Shell Extension ESET C:\Program Files\ESET\ESET Internet Security\shellExt.dll
有効 Folder ESET Smart Security - Context Menu Shell Extension ESET C:\Program Files\ESET\ESET Internet Security\shellExt.dll

こちらのログ、後で気づいたのですが隠しファイルと拡張子の表示が未チェックになっていました。
取り直したほうが良いですか?
  • うさぎ
  • 2017/05/14 (Sun) 12:05:36
Re: マルウェア感染後の処置について。
CCのブラウザプラグインが抜けていました

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_0
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
  • うさぎ
  • 2017/05/14 (Sun) 12:08:52
リカバリは成功したようですね
作業と報告、ご苦労様です。
リカバリ後のログも見せてもらいました。

>隠しファイルと拡張子の表示が未チェックになっていました

ログ上では非表示設定は関係ないですが、手動目視作業の上では表示設定にしておいたほうがいいので、ここもあとで表示設定にしておいてください。

ログ上ではさすがにおかしなところも消えてますね。
その状態なら異常も出なくなっているでしょうが、何か異常出ているならそのこともまた教えてください。

それと、リカバリ前のPCで入力したことのある各種パスワード等は可能な限り全変更しておいてください。
特にネットショッピングやバンキングしたことがあればその情報は最優先で変更してください。
プロバイダのログインパスワードでも漏えいしたら、身に覚えのない買い物やコンテンツ利用料金請求が来るおそれもあります。

では現在異常がなくなってれば、そのまましばらく様子見をお願いします。
普通にPCを使いながらでいいので1週間様子見してください。

1週間後にまた今回と同じHJTログと、CCでインストール情報ログと各タブのログも取り直して、それらを様子見中の状態報告とともにレスください。

この時点でログにも状態にも異常なくなってればいいのですが、何か異常出たら1週間待たなくていいのでそこでレスください。

何事もなく様子見が終わるよう五寸釘打ちながら祈ってます(違
  • 悪代官
  • 2017/05/14 (Sun) 17:23:38
Re: リカバリは成功したようですね
ありがとうございます。
金銭関係のやりとりやショッピングは一切していないので(昔家族がしていましたが数年前ですので切り替えやスマホでの管理につきパスワードなどは変えていると思います)ゲームを利用していたサイトなどの分だけ変更しますね。

そんなにPCを使わないので1週間内に使うかどうかも微妙ですが…また1週間後にログを報告致します。
  • うさぎ
  • 2017/05/14 (Sun) 18:20:06
Re: マルウェア感染後の処置について。
ESETのパッケージが近場で取り扱っていなかったためセキュリティのノートン試用版に変えました。
調子が良ければノートンを入れようかと思います。
前回avastをダウンロードサイトから入れてと食い込み?が起きていたみたいですし、公式からDLしたつむりではありますが念のためHJTとCCのログを張ります。心配性かもしれませんが…。

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 19:56:26, on 2017/05/15
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Norton Identity Safety - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
O4 - HKCU\..\Run: [OneDrive] "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton Security (NS) - Symantec Corporation - C:\Program Files\Norton Security\Engine\22.9.1.12\NS.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5512 bytes
  • うさぎ
  • 2017/05/15 (Mon) 20:00:57
Re: マルウェア感染後の処置について。
3D Builder Microsoft Corporation 2017/05/13 14.0.1031.0
Apple Application Support(32 ビット) Apple Inc. 2017/05/14 129 MB 5.4.1
Apple Application Support(64 ビット) Apple Inc. 2017/05/14 145 MB 5.4.1
Apple Mobile Device Support Apple Inc. 2017/05/14 27.4 MB 10.3.1.2
Apple Software Update Apple Inc. 2017/05/14 2.70 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 2.01 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/05/13 1.89.700.0
CCleaner Piriform 2017/05/14 5.29
Facebook Facebook Inc 2017/05/13 81.832.151.0
Google Chrome Google Inc. 2017/05/14 58.0.3029.110
Groove ミュージック Microsoft Corporation 2017/05/13 10.17032.10331.0
iTunes Apple Inc. 2017/05/14 426 MB 12.6.0.100
LINE LINE Corporation 2017/05/13 5.4.9.0
Microsoft OneDrive Microsoft Corporation 2017/05/14 84.8 MB 17.3.6799.0327
Microsoft Solitaire Collection Microsoft Studios 2017/05/13 3.16.3302.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/05/13 1.0.801.0
Norton Security Symantec Corporation 2017/05/15 22.9.1.12
OneNote Microsoft Corporation 2017/05/13 17.8067.57781.0
People Microsoft Corporation 2017/05/13 10.2.831.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/14 6.0.1.7023
Skype Skype 2017/05/13 11.15.597.0
Store Purchase App Microsoft Corporation 2017/05/13 11608.1000.2431.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/05/15 46.4 MB 19.0.16.3
Xbox Microsoft Corporation 2017/05/13 28.28.28008.0
Xbox Identity Provider Microsoft Corporation 2017/05/13 11.19.19003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/13 10.1704.1013.0
カメラ Microsoft Corporation 2017/05/13 2017.308.50.0
ストア Microsoft Corporation 2017/05/13 11703.1001.45.0
ニュース Microsoft Corporation 2017/05/13 4.20.1102.0
ヒント Microsoft Corporation 2017/05/13 5.9.1042.0
フィードバック Hub Microsoft Corporation 2017/05/13 1.1703.971.0
フォト Microsoft Corporation 2017/05/13 17.425.10010.0
ボイス レコーダー Microsoft Corporation 2017/05/13 10.1704.952.0
マップ Microsoft Corporation 2017/05/13 5.1703.762.0
マーチ オブ エンパイア Gameloft. 2017/05/13 2.4.0.9
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/05/13 17.8126.42377.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/05/13 17.8107.7600.0
映画 & テレビ Microsoft Corporation 2017/05/14 10.17032.10341.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
電卓 Microsoft Corporation 2017/05/13 10.1703.601.0
電話 Microsoft Corporation 2017/05/13 1.10.15000.

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run SynTPEnh Synaptics Incorporated %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
有効 Task OneDrive Standalone Update Task v2 Microsoft Corporation %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe


有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.9.1.12\NavShExt.dll"
有効 File BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\buShell.dll
有効 File Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.9.1.12\NavShExt.dll"
有効 Folder BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\buShell.dll
有効 Folder Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.9.1.12\NavShExt.dll"

無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\coIEPlg.dll

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
有効 Extension Norton Identity Safe 1.0.5 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif\1.0.5_0
有効 Extension Norton Security Toolbar 2017.0.0.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe\2017.0.0.8_0
  • うさぎ
  • 2017/05/15 (Mon) 20:08:21
ようやく片付きましたか
こんばんは。
様子見後の報告ですね。

>ESETのパッケージが近場で取り扱っていなかったためセキュリティのノートン試用版に変えました。
>調子が良ければノートンを入れようかと思います。

はい、ではそこはいいです。

現在のログも見せてもらいましたが、さすがにおかしなところは出てないみたいですね。
状態としても異常は再発してなければ本題の処置は終了でいいでしょう。
作業に使った各ツールも準備時の説明に沿って片付けてください。

異常は消えても以後の再被害を防ぐための自衛は怠りなく。
ブラウザの設定を少し固めるだけでも、セキュリティ上の効果を高めることが可能です。
「インターネットオプション」→「プライバシー」→「詳細設定」と開いて、「自動cookie処理」と「サードパーティのcookieをブロック」にチェックして「適用」して「OK」。
これをやっておくと、多くの危険サイトからの保護にかなり有効です。
が、これもすべての危険サイトに有効でもないし、本物の危険サイトではこの程度ではまったく太刀打ちできないので、過信はしないこと。
また、「すべてのcookieをブロックする」設定にすると、プロバイダのメールボックスなどログイン必要なページに入れなくなる弊害も出るので、これは状況を考えて使い分けるといいでしょう。
安全なサイトでもcookieブロックだと閲覧や投稿ができなくなるところもあるのでこれも注意。

次に、アンチウイルスやファイアウォール等のセキュリティソフトの使い方も注意してください。
セキュリティソフトはただ入れてさえいればそれだけでフル機能を発揮するものではありません。
設定と機能をできるだけ把握して、正しく使うことが重要です。
間違った使い方すると、本来ならブロックできた感染でもあっさりスルーします。

また、いくら高性能なセキュリティソフトがあっても、ユーザーが自分から危険なサイトやファイルにアクセスしてたらまったく保護もできません。
セキュリティソフトは使い方次第でその性能を、倍にも半にも無にも変動させます。

そして百聞は一見にしかず。
現在この掲示板で継続中や解決済みの他スレもできるだけ見ておくことをおすすめします。
同様、類似、別種含めて参考になる部分は多いでしょう。

おさらいですが、avastに限らず多くのセキュリティソフトを含むフリーソフトを配布しているsoftonicには注意してください。
本来なら信頼できて評価も高い無償版ソフトでも、軟肉から落としたインストーラファイルでインストールすると色々とうざい同梱アプリも入れる羽目になってかなり面倒なことになった方も多いです。
現在のavastは軟肉とも手を切ったはずですが、公式があずかり知らぬところで各社の無償版ソフトを配布している非公式サイトはネット上に数えきれぬほど存在します。
中には特定の製品名をweb検索したら、公式サイトを差し置いて検索結果のトップに表示される非公式サイトまであったりします。

PCセキュリティの上では覚えておくべきことは山ほどありますが、最初から全部頭に詰め込む必要もありません。
わかる範囲からひとつずつ消化して、PC環境とセキュリティ意識を再構築してください。

慣れない作業を長期間頑張ってくれてお疲れ様でした。
以後は安全で快適なPCライフを
  • 悪代官
  • 2017/05/15 (Mon) 21:09:05
Re: ようやく片付きましたか
長々とありがとうございました。
サードパーティのcookieはブロックの設定にしました。

問題の解決から指導まで本当にありがとうございます。
今後お世話になることがない様、一層気を付けてPCを扱いますね。
  • うさぎ
  • 2017/05/15 (Mon) 21:17:27
質問です
解決後に何度もすみません。
少し質問をしたいのですが、リカバリー前に見つかったレジストリ?に入っていたsoftnoickについてです。
あのレジストリはもし放置していた場合どんな悪さをするのでしょう?
ノートン以降何もDLやインストールはしていませんが今後の為に聞いておきたいと思いました、調べても分かりませんでしたので…。

今後もしかしたらオフィス系統を必要に迫られてインストールする可能性があります、PC購入時に入っていたらしいのでコードが見つかればMicrosoft Office?を使用の予定ですし、なるべくフリーソフトは入れたくないのでプリインストールのPCを使う様にはしますが…。
あのレジストリを探し出したACは(リカバリーしてからは入れていませんが)確認のためたまにスキャンした方が良いですか?
  • うさぎ
  • 2017/05/16 (Tue) 09:25:25
セキュリティにこだわるあまり疑心暗鬼に陥らないでください
こんばんは。
続きの疑問ですね。

>リカバリー前に見つかったレジストリ?に入っていたsoftnoickについてです。
>あのレジストリはもし放置していた場合どんな悪さをするのでしょう?

軟肉に限りませんが、悪意のプログラムやサイトがファイルとしてPC内に入りこむだけでなくレジストリにも食い込むのは、普通のユーザーでもファイルを突き止めればそれを削除することで対処可能なので、一般ユーザーにはあまり対処法がわかりにくいレジストリに食い込むことで対策逃れを図る狙いがあります。

レジストリというのはWindowsの動作全般を管理する重要なシステムで、正常に動いている分にはいいですがもしレジストリが破損でもするとPC自体が動作も起動もできなくなるほど深刻な不具合に陥ることもあります。
なので本来レジストリの操作は外部の人間が掲示板越しに指示しながら処置することはほとんどなく、やるならユーザー自身が完全に自己責任で行うというのがPCに明るい有識者の間でも共通の認識です。

実際にはマルウェアに感染したら本体ファイルを特定してそれを削除するだけで片付くこともないので、マルウェアに改ざんされたレジストリも見つけてそこも正しく修正する必要がありますが、この修正作業さえもセキュリティソフトを販売している各ベンダーのサポートは
「完全に自己責任で判断と作業してください」
と明言するほどです。
それほどレジストリの処置はデリケートなもので、作業する前には必ず必要なデータのバックアップをとったうえで、もし作業失敗したらその時点で即リカバリに移行する準備と心構えを済ませてからかかることになります。

一言で言えばレジストリは「ブラックボックス」と思ってください。

ファイルだけならゴミ箱に削除してもそれが誤検出と判明したら当該ファイルをもとの場所に戻すこともできますが、レジストリは誤った形で書き換えするとそれを戻すのはかなり困難です。

各種解析ツールのログで、明らかに正規ではないレジストリが見つかったらそれを削除や編集するのは可能ですが、自分が指示する作業では不正レジストリの処置も基本的に各ツール上から行います。
なぜかというと、ツールのログに見えたレジストリをそのツール上から処置するときは、ツールがそのバックアップもしてくれるので、万一誤検出と判明したらそのツール上からの操作で「復元」も容易に可能だからです。
一例を挙げるとHJTでfixしたエントリもHJTが処置時に自動でバックアップしてくれるので、HJT上から処置したエントリはHJTをアンインストールしない限りHJT上から復元可能です。

今回処置を指示した対象エントリはみな程度の差はあれど正規ではなかったので残しておく必要もないと判断し、そのまま削除してもらいました。

HJTやCC、OTLを含めて各ツールは決して万能ではありませんが、正しく使えばあまりPCに明るくない方でも悪玉を特定して処置も可能です。
これは一般のセキュリティソフトにも言えることです。

レジストリ改ざんを含め、マルウェア感染に対しては自衛は不可欠ですが、セキュリティにこだわりすぎて疑心暗鬼に陥ることも避けましょう。
そういった方も過去に幾度となく直接見てきました。

セキュリティ上の疑心暗鬼に陥ったあまり、ネット上に転がる「高性能」を謳う見覚えのない「セキュリティソフト」を使ったら実はそれが悪質な「偽セキュリティソフト」で、しかもその偽セキュリティソフトがマルウェアでもあったため元々は正常だったPCを偽セキュリティソフトにぼろぼろに改ざんされ不要な出費を支払ったあげくPCもリカバリする羽目になったという事例を見るたび、もう少し早く伏魔殿に来られたらいくらかでも傷口浅く案内することもできたろうにと思ったものです。

普段からこまめにバックアップを取り、いつでもリカバリできるように構えておくことがいざという時の被害を少なくできます。

>あのレジストリを探し出したACは(リカバリーしてからは入れていませんが)確認のためたまにスキャンした方が良いですか?

はい、それもかまいませんがACは時々誤検出や、定義更新不全バグも起きるので、検出されたモノをなんでもすぐに削除するのは避けて、検出結果をよく見てから判断してください。
  • 悪代官
  • 2017/05/16 (Tue) 20:09:50
Re: セキュリティにこだわるあまり疑心暗鬼に陥らないでください
返信ありがとうございます。
ちょっと過敏になっていますね、すみません。

ACについては見極めが多分、出来ませんのでセキュリティは一先ずノートンに任せ、尚おかしな事があった場合またこちらに相談させて頂きます。余計なことをしてPCを壊しては何にもなりませんしね。
ノートンが万全とは思いませんが、自分から変なリンクを踏んだりインストールしたりしなければ一先ずは任せて大丈夫そうなのでそうします。
クイックとフルスキャンだけは定期的にしますね。それとリカバリーの為のバックアップも。

長々と質問して申し訳ありませんでした。
ですが疑問も解決し、スッキリです。気にし過ぎなのでしょうが…(汗
  • うさぎ
  • 2017/05/16 (Tue) 20:36:11

返信フォーム※初心者、通りすがり等、重複しやすい名前の利用はご遠慮ください。






プレビュー (投稿前に内容を確認)