マルウェア感染後の処置について。
はじめまして、うさぎと申します。
先日フリーソフトをDLしようとしたところ目的のソフトではなく別のobitum(ブラウザアプリ?)とwinzip…(詐欺ソフト?)が入り込みMalwerebyteで処理した後、残骸なども怖くなり音楽データのみをバックアップしてリカバリーを行いました。Windows10の回復から個人ファイルを残さずリカバリーし、OSの再インストールまでです。
そこから各種更新をし、今はゴミ箱、Google Chrome、Malwerebyte以外デスクトップに表示されていません。

その後MalwerebyteとWindows difender(フルスキャン)したところ特に問題は(ぱっと見)ない様に思います。これは入り込んでしまったマルウェアを駆除できたと見てPCを通常通り使用しても大丈夫な状態でしょうか?

当方PC関連には全くの素人ですので、不安になり書き込ませて頂きました。スレ違いでしたら申し訳ないです。
  • うさぎ
  • 2017/05/11 (Thu) 16:12:21
【案内のみ】ログの取得をお願いします。
こんばんは。
たまに現れる通りすがりのゆきぶねです。

最近増加してるorbitumでの相談ですね。

一度駆除を試みたとのことで
PCの状態がご不安になるのはわかりますが
ログがないことにはPCの状態がわかりません。

まずは下記のURL2つを熟読した上で
規約の違反がなければ、ログの取得をして悪代官さんの回答をお待ちください。
http://akumaden.web.fc2.com/index.html

http://akumaden.web.fc2.com/prepare.html
  • ゆきぶね
  • 2017/05/11 (Thu) 18:18:35
Re: マルウェア感染後の処置について。
ログ?が上手く取れているかわかりませんが張らせていただきます。
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 18:28:09, on 2017/05/11
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Users\【ユーザー名】\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\【ユーザー名】\Downloads\HijackThis.exe
C:\Users\【ユーザー名】\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe

F2 - REG:system.ini: UserInit=
O4 - HKCU\..\Run: [OneDrive] "C:\Users\【ユーザー名】\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5453 bytes
  • うさぎ
  • 2017/05/11 (Thu) 18:30:25
Re: マルウェア感染後の処置について。
3D Builder Microsoft Corporation 2017/04/19 14.0.1031.0
Adobe Flash Player 25 PPAPI Adobe Systems Incorporated 2017/05/10 19.6 MB 25.0.0.171
Apple Application Support(32 ビット) Apple Inc. 2017/04/19 129 MB 5.4.1
Apple Application Support(64 ビット) Apple Inc. 2017/04/19 145 MB 5.4.1
Apple Mobile Device Support Apple Inc. 2017/04/19 27.4 MB 10.3.1.2
Apple Software Update Apple Inc. 2017/04/19 2.70 MB 2.3.0.177
Bonjour Apple Inc. 2017/04/19 2.01 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/04/19 1.87.900.0
CCleaner Piriform 2017/05/11 5.29
Facebook Facebook Inc 2017/04/19 81.832.151.0
Google Chrome Google Inc. 2017/04/19 57.0.2987.133
Groove ミュージック Microsoft Corporation 2017/05/09 10.17032.10331.0
iTunes Apple Inc. 2017/04/19 426 MB 12.6.0.100
LINE LINE Corporation 2017/05/09 5.4.9.0
Malwarebytes バージョン 3.0.6.1469 Malwarebytes 2017/04/19 154 MB 3.0.6.1469
Microsoft OneDrive Microsoft Corporation 2017/04/19 84.8 MB 17.3.6799.0327
Microsoft Solitaire Collection Microsoft Studios 2017/04/19 3.16.3302.0
Microsoft Sticky Notes Microsoft Corporation 2017/04/19 1.8.0.0
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 Microsoft Corporation 2017/05/10 20.5 MB 12.0.30501.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/05/09 1.0.801.0
OneNote Microsoft Corporation 2017/05/09 17.8067.57781.0
People Microsoft Corporation 2017/04/19 10.2.831.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/04/19 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/04/20 6.0.1.7023
Skype Skype 2017/05/09 11.15.597.0
Store Purchase App Microsoft Corporation 2017/04/19 11608.1000.2431.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/04/19 46.4 MB 19.0.16.3
Xbox Microsoft Corporation 2017/05/09 28.28.28008.0
Xbox Identity Provider Microsoft Corporation 2017/04/19 11.19.19003.0
アプリ インストーラー Microsoft Corporation 2017/04/19 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/09 10.1704.1013.0
カメラ Microsoft Corporation 2017/05/10 2017.308.50.0
ストア Microsoft Corporation 2017/05/09 11703.1001.45.0
ニュース Microsoft Corporation 2017/05/09 4.20.1102.0
ヒント Microsoft Corporation 2017/04/19 5.0.13.0
フィードバック Hub Microsoft Corporation 2017/05/09 1.1703.971.0
フォト Microsoft Corporation 2017/05/09 17.425.10010.0
ボイス レコーダー Microsoft Corporation 2017/05/09 10.1704.952.0
マップ Microsoft Corporation 2017/04/19 5.1703.762.0
マーチ オブ エンパイア Gameloft. 2017/05/09 2.4.0.9
メッセージング Microsoft Corporation 2017/04/20 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/05/09 17.8126.42377.0
天気 Microsoft Corporation 2017/05/09 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/04/19 17.8107.7600.0
映画 & テレビ Microsoft Corporation 2017/05/09 10.17032.10341.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/04/19 1.1607.6.0
電卓 Microsoft Corporation 2017/04/19 10.1703.601.0
電話 Microsoft Corporation 2017/04/20 1.10.15000.0
  • うさぎ
  • 2017/05/11 (Thu) 18:36:54
Re: マルウェア感染後の処置について。
ゆきぶねです。
CCのインストール状況のログが抜けています。

お手数ですが、今一度、HJTも含めて再投稿願います。
  • ゆきぶね
  • 2017/05/11 (Thu) 18:37:14
Re: マルウェア感染後の処置について。
すみません、ブッキングしましたね…

それで大丈夫です。
  • ゆきぶね
  • 2017/05/11 (Thu) 18:38:19
Re: マルウェア感染後の処置について。
最初のログに登録しているユーザー名がそのまま出てしまったのでそこだけを消したいのですが…削除は管理人さんのみです、よね?
  • うさぎ
  • 2017/05/11 (Thu) 18:39:26
ユーザー名は編集しました
こんばんは。
ここの管理人の悪代官と言う不適切な生き物です。

ゆきぶねさん、またフォローありがとうございます。

うさぎさん、説明とログも見せてもらいました。
まずはユーザー名は編集しておきます。
まあそのユーザー名なら珍しい名前ではないですし、漢字で本名出ているわけでもないので気にしなくていいですが、不安でしたら次回レス以降は各ログ内のユーザー名にあたる箇所は適当に編集してから送信をどうぞ。

さて本題です。

>obitum(ブラウザアプリ?)とwinzip…(詐欺ソフト?)が入り込み

その2つなら普通にアンインストールしただけではきれいには消えないことがわかっています。

>Malwerebyteで処理した後、残骸なども怖くなり音楽データのみをバックアップしてリカバリーを行いました。Windows10の回復から個人ファイルを残さずリカバリーし、OSの再インストールまでです。

リカバリされたなら普通はまず大丈夫ですが、もし再感染あるとすれば危険なサイト経由でまた仕込まれた場合でしょう。
現在のログでも今のところは怪しい痕跡は見えませんが、まだ油断はできません。
焦らなくていいですからひとつずつPCの健康診断しましょうか。

まず最初にお伝えしておきます。
見てのとおり現在相談者さん多数のため、相談受けてから皆さんに順番にレスできるまで、毎回1日かそれ以上かかる可能性もあるので、すみませんがご了承ください。

では以下の説明をよく見てから、順番に作業をお願いします。
既に準備した物もあるはずですが、一応説明を再度見ておいてください。

隠しファイルと拡張子を表示設定にしてください(やり方↓)
http://pasofaq.jp/windows/mycomputer/hiddenfile.htm
http://support.microsoft.com/kb/978449/ja

下記のツールをダウンロードして、基本の使い方を把握しておいてください。
ただし、配布サイトで他のアプリをダウンロードしろと勧めてくるような広告も出てきたらそれらは絶対にクリックしないでください。
「GeekUninstaller」(通称:GU)
説明ページ↓
http://www.gigafree.net/system/install/geekuninstaller.html
ダウンロード↓
http://www.geekuninstaller.com/download
「download free」をクリック、保存後、解凍してください。
片付ける時はフォルダごと手動で削除してください。

「CCleaner」(通称:CC)
説明↓
http://www.gigafree.net/system/clean/ccleaner.html
http://note.chiebukuro.yahoo.co.jp/detail/n178757
ダウンロード↓
http://www.piriform.com/ccleaner/download/standard
最新バージョンをダウンロードしてください。なお、インストール時におまけのアプリも勧めてくることがありますが、それらはチェック外してインストールは避けてください。
片付けるときはアンインストールしてください。

ここで重要な注意です。
CCは本来は高い性能を持つメンテナンスソフトですが、間違った使い方すると
【Windowsにダメージを与えてしまうおそれもある】
ので、ここでは解析ツールとしてのみ使います。
説明をしっかり読んで、自分が指示した以外の操作はしないように。

そして下記ページは作業開始前に必ず熟読して、必要な場合が出たらそれに沿って対処してください。この対処が必要な事例が増えています。
http://note.chiebukuro.yahoo.co.jp/detail/n335704

準備できたら作業開始です。
なお、このあとの作業で探しても見つからないものはスルーして進めていいですが、指示した対象外の物は絶対にいじらないようによく見て作業してください。

また、作業のうえで削除指示するものもあるはずですが、ご自身で必要として入れたものがあればそれの削除は保留して、次のレスでその旨を教えてください。

最初にWindowsUpdateの確認して、必要な更新があればそれを全部更新してください。
ですがそこで更新ができないようならこの後に説明する作業はせずに更新失敗の旨をレスで教えてください。
WUが正常にできなくすることで、感染の解析処置を阻害してくる危険なマルウェアが激増しているためです。
Windowsの各種更新(WindowsUpdate)は常に最新に適用しておかないと、それだけで危険な感染はすぐにでも起きますよ。

なお、Windows10への更新はユーザー自身がよほど必要でなければ非推奨です。
http://www.japan-secure.com/entry/Windows_Update_7.html
http://www.japan-secure.com/entry/how_to_suppress_the_free_upgrade_of_Windows_10.html

少なくとも下記のアプリは旧バージョンです。
Skype Skype 2017/05/09 11.15.597.0

各種アプリの更新を怠っただけでも、脆弱性を悪用されて深刻な感染はあっさり起きます。
使うなら最新版に更新してください。使わないアプリならアンインストールが安全です。
他にも旧バージョンないか調べて、あれば同様に更新するか、アンインストールしてください。

ここでWindowsの標準機能である「システムの復元」での復元ポイントをひとつ、手動で作成しておいてください。
これはこの後の作業で、間違って対象外のものをいじってしまうとそれだけでWindowsに深刻な不具合を起こすこともあるので、万一の際に復元可能にしておくためです。
http://windows.microsoft.com/ja-jp/windows7/create-a-restore-point

次にスタートメニューの「アクセサリ」→「システムツール」から「ディスククリーンアップ」を起動してください。
起動したら対象ドライブでCドライブを選択してスキャンして、表示された中の「ダウンロードされたプログラムファイル」「インターネット一時ファイル」「一時ファイル」の項目だけチェックを入れてから「OK」「ファイルの削除」を押してください。
これを実行すると選択した部分のゴミファイルが掃除されます。

これを実行することで作業時にスキャンで検出される無駄なゴミファイルも減るのでその分かなり時間や解析も楽になるのです。
「ごみ箱」など他の項目にチェックしないのは、間違って正常なファイルを削除しないためと、もし正常なファイルを削除してごみ箱に入れても戻せるようにするための措置です。

続いてCCを起動してください。
起動したら、「ツール」→」「スタートアップ」→「Windows」タブを開いてください。
そこで右下の「テキストとして保存」を押すと、表示の内容がログとして保存できるので、ログをデスクトップにでも保存しておいてください。

次に「スケジュールされたタスク」タブと「コンテキストメニュー」タブのログも同じ要領で保存してください。

続いて今度はCC画面の左側にある「Browser Plugin」の項目から「InternetExplorer」タブ以下の各タブも順番に開いて、そのログもとっておいてください。

CCの各ログをとったらCCは終了してください。

このあとCCの各ログを返信に貼って、状態報告とともにレスください。
それらを見てから続きの作業を指示します。

CCの各ログで何が見つかるか否かが最初のヤマになるでしょう
  • 悪代官
  • 2017/05/11 (Thu) 20:28:08
Re: マルウェア感染後の処置について。
CCでログを取りましたので載せます。
ただinternetexplorerの欄は真っ白でgoogliclomeの欄には出てきたのでそちらを張ります。

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\sachie\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run Malwarebytes TrayApp Malwarebytes C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe
有効 HKLM:Run SynTPEnh Synaptics Incorporated %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
有効 HKLM:Run WindowsDefender "%ProgramFiles%\Windows Defender\MSASCuiL.exe"

有効 Task Adobe Flash Player PPAPI Notifier Adobe Systems Incorporated C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_25_0_0_171_pepper.exe -check pepperplugin
有効 Task Adobe Flash Player Updater Adobe Systems Incorporated C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
有効 Task OneDrive Standalone Update Task v2 Microsoft Corporation %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
有効 Task SafeZone scheduled Autoupdate 1492597756 C:\Program Files\AVAST Software\SZBrowser\launcher.exe --scheduledautoupdate $(Arg0)

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'

有効 App Gmail 8.1 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\sachie\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0

有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 File MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll
有効 Folder MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll

以上ログです。スカイプは使用予定がないので消す予定です。
  • うさぎ
  • 2017/05/11 (Thu) 20:51:00
Re: マルウェア感染後の処置について。
それとGUですがfreedownroadが見付からずインストールの文字があちこちに(orbitnmも表示されています)出ているのでまだDLしていません。
  • うさぎ
  • 2017/05/11 (Thu) 20:55:51
URL直リンでDLはできますか?
早速の作業と報告、ご苦労様です。

CCログではおかしなところはなさそうですね。
ではこれはいいです。

>GUですがfreedownroadが見付からずインストールの文字があちこちに(orbitnmも表示されています)出ているのでまだDLしていません

はい、では先に案内したDLページ内のGUファイルのうち、下記を直リンでアクセスしてみてください。
https://www.geekuninstaller.com/geek.zip

これがGUのZip版ファイルです。
これをDL、保存できたらそれを解凍(展開)すればGUのフォルダが作成されます。

これのDLできたらそのことだけまたレスで教えてください。
ですがDLできないならそのことだけレスくれればいいです。

上記を見てからまた次の指示をしていきましょう
  • 悪代官
  • 2017/05/11 (Thu) 21:19:53
Re: マルウェア感染後の処置について。
GUのファイル作成できました。
起動し開けています。
  • うさぎ
  • 2017/05/11 (Thu) 21:27:16
安定版MBAMで作業しましょう
>GUのファイル作成できました。
>起動し開けています

はい、GUも無事入手できましたね。
では引き続きの作業にかかりましょう。

今度は2つのツールで作業です。
既に使ったとは思いますが、Malwarebytesを使っての作業します。
ただ、現在既に入っている下記はGUを使って一度アンインストールしてください。
>Malwarebytes バージョン 3.0.6.1469 Malwarebytes 2017/04/19 154 MB 3.0.6.1469

削除する前にPCをセーフモード状態にして、その状態でアンインストールです。
http://www.pc-master.jp/sousa/s-safemode.html
Win8の場合は以下を参考に。
http://freesoft.tvbok.com/win8/tips-and-tools/safemode.html

アンインストールしたらPCを通常モードで再起動してから、次の作業に進んでください。

以下のアプリを準備してください。
「AdwCleaner」(通称:AC)
http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
ファイル直リンです。アクセスしてファイルをデスクトップにでも保存しておいてください。
片付けるときは起動後に「uninstall」ボタンを押せば自動で削除されます。
使い方は下記サイト様に詳しい説明があるのでサンショウウオ↓
http://www.japan-secure.com/entry/adwcleaner.html

Malwarebytes' Anti-Malware(通称・MBAM)
本家サイト
http://www.malwarebytes.org/

ですが、MBAMは現在安定性や動作でかなり難が出ており、普通に使っても正常にスキャンができないバグまで多発中です。
そのため本家サイトから最新版のダウンロードせず、ここではあえて旧バージョンで作業します。

旧バージョンの説明サイト↓
http://www.japan-secure.com/entry/blog-entry-7.html

以下のURLからMBAMの旧バージョンをダウンロードしてください。
http://www.oldapps.com/malwarebytes.php?old_malwarebytes=12090?download
ファイル直リンです。保存しておいてください。
作業終了後はPCをセーフモード状態で、GUを使ってアンインストールすればいいですが、うまくできないときはセーフモード状態でスタートメニューのMBAM項目で「アンインストール」選択しても削除可能です。

注)インストール時に日本語でインストールすると文字化けすることがあります。英語でインストール後に日本語化してください。
MBAM起動して「Settings」タブ→「Language」→「Japanese」で日本語化できます。

準備できたらMBAMをインストールとアップデートまでしておいてください。
ただし、ここではまだスキャンはしないように。
なお、ここでMBAMの更新で「プログラム」自体は更新せず、定義だけ更新しておいてください。
プログラム本体を更新すると、バグ多発中の最新版になってしまうので、せっかく旧バージョンでインストールした意味がなくなります。
アップデートできたらスキャンはせず、ここでMABMは終了してください。

両ツールのアップデートまでできたらPCをセーフモードで再起動してから、ディスククリーンアップを使ってゴミファイルの掃除してください。
ただしここでは普通のセーフモードではなく、「セーフモードとネットワーク」を選んで起動してください。

クリーンアップが済んだらセーフモードのまま、ACを起動してください。
起動したら今度は「スキャン」したあと、そのスキャン終了後に検出されたものがあったら「除去」を押してください。
表示された画面で「はい」を選択すると処置開始されます。

処置完了したらそこでPCを通常モードで再起動してください。

再起動後にACのあらたなログが出るので、それをデスクトップにでも保存しておいてください。
ですが、もし作業後にログが出ないorわからない場合はマイコンピュータのCドライブを開くとその直下に以下のような名前のファイルが作成されているので、それがACのログです。
>AdwCleaner[英数字].txt
同じような名前のログが複数ある時は、作成日時が作業処置時のファイルが対象のログです。

続いて再度セーフモードにして、今度はMBAMでスキャンしてください。
MBAM起動したら「スキャナー」タブから「フルスキャン」してください。
対象ドライブはCを含めて全ドライブを選択してください。

スキャン対象は全ドライブを選択(チェック)してください。時間はかかりますができるだけ細かくスキャンするためです。
順番はどちらからでもいいですが、なにか検出されたらそれを選択して「remove」(隔離)したあと、再起動を促す表示が出たらそこで一度PCを再起動してください。
もし再起動表示が出ないときは手動で再起動してください。

またMBAMスキャン終了後、「詳細を表示」を押すとその結果が表示されるはずなので、そこで「ログを保存」を押すとそのログが保存可能になります。
そのログをデスクトップにでも保存しておいてください。
このログ確認が特に重要なので、忘れないようにお願いします。

このあとMBAMとACのログを返信に貼り付けて、それを状態報告とともにレスで見せてください。
  • 悪代官
  • 2017/05/11 (Thu) 21:41:36
Re: 安定版MBAMで作業しましょう

質問です。
ACの起動に手間取っております。このアプリは最新版にすれば良いのでしょうか?
MSBTはなんとかなりました。



すみません、間違えて新規スレッドを立てた様ですので削除をお願い致します。
  • うさぎ
  • 2017/05/11 (Thu) 22:35:59
Re: マルウェア感染後の処置について。
AC出来ました、まずこちらからログを張ります。
# AdwCleaner v6.046 - ログファイルの作成日 11/05/2017 作成時間 23:25:44
# Malwarebytesによる 24/04/2017 の更新日
# データベース : 2017-05-10.1 [サーバー]
# オペレーティングシステム : Windows 10 Home (X64)
# ユーザー名 : sachie - DESKTOP-81M7QL0
# 実行場所 : C:\Users\sachie\Downloads\adwcleaner_6.046.exe
# モード:安全
# サポート : https://www.malwarebytes.com/support



***** [ サービス ] *****



***** [ フォルダ ] *****



***** [ ファイル ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ ショートカット ] *****



***** [ スケジュール済みタスク ] *****



***** [ レジストリ ] *****

[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\avast-free-antivirus.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\chrome.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\avast-free-antivirus.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\chrome.softonic.jp
[-] 削除済みキー:HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\avast-free-antivirus.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\chrome.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\avast-free-antivirus.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\chrome.softonic.jp
[#] 再起動時に削除されたキー:[x64] HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.jp


***** [ ブラウザ ] *****



*************************

:: "Tracing" キーを削除しました
:: Winsock設定を削除しました

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [3793 バイト] - [11/05/2017 23:25:44]
C:\AdwCleaner\AdwCleaner[S0].txt - [4231 バイト] - [11/05/2017 23:14:34]
C:\AdwCleaner\AdwCleaner[S1].txt - [4308 バイト] - [11/05/2017 23:25:18]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [4024 バイト] ##########
  • うさぎ
  • 2017/05/11 (Thu) 23:29:52
Re: マルウェア感染後の処置について。
>その後MalwerebyteとWindows difender(フルスキャン)したところ特に問題は(ぱっと見)ない様に思います。これは入り込んでしまったマルウェアを駆除できたと見てPCを通常通り使用しても大丈夫な状態でしょうか?

まずまともなセキュリティソフトをいれましょう。
それも入れずに心配したって何も改善しません
  • 掃除屋
  • 2017/05/12 (Fri) 00:27:19
Re: マルウェア感染後の処置について。
MWBTの結果はこのログです。
合っていますかね…
Malwarebytes Anti-Malware (試用) 1.75.0.1300
www.malwarebytes.org

定義バージョン: v2017.05.11.03

Windows 8 x64 NTFS (セーフモード/ネットワーク)
Internet Explorer 11.1198.14393.0
sachie :: DESKTOP-81M7QL0 [管理者]

リアルタイム保護: 無効

2017/05/11 23:33:09
mbam-log-2017-05-11 (23-33-09).txt

スキャンタイプ: フルスキャン (C:\|D:\|E:\|)
有効なスキャン領域: メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン  | ヒューリスティック/Shuriken エンジンを使用してスキャン  | 不審なプログラム (PUP) | 不審な変更 (PUM)
無効なスキャン領域: ピア・ツー・ピアプログラム(P2P)
スキャンしたアイテム数: 615615
経過時間: 1 時間, 34 分, 15 秒

メモリプロセスの検出: 0
(悪意のあるアイテムは検出されていません。)

メモリモジュールの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリ値の検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリデータ項目の検出: 0
(悪意のあるアイテムは検出されていません。)

フォルダの検出: 0
(悪意のあるアイテムは検出されていません。)

ファイルの検出: 0
(悪意のあるアイテムは検出されていません。)

(終)
  • うさぎ
  • 2017/05/12 (Fri) 04:37:33
Re: マルウェア感染後の処置について。
掃除屋様

ですよね…iTuneとたまにブラウザゲームをする程度の使用ではありますが近日中にESETを購入予定です。
もし他にお勧めがありましたら教えていただけると幸いです。
  • うさぎ
  • 2017/05/12 (Fri) 04:41:09
ESET体験版でスキャンを
今日もレスが遅くなってすみません。
掃除屋さん、フォローありがとうございます。
また大事なところを見落とすとは自分もいよいよやきが回りましたが、お天道様はすべてお見通しです(←それ悪代官のセリフじゃないから

>iTuneとたまにブラウザゲームをする程度の使用ではありますが近日中にESETを購入予定です

ゲームやメール程度でもネットに接続する以上感染や攻撃を受ける恐れは変わりません。
ESETを導入するなら、ESETの体験版でも入れてください。
http://www.eset-smart-security.jp/lp/ess.html?gclid=COHVl-_o6dMCFQ18vQod2fUCmw

体験版は30日間無料で使用可能です。
それを入れて定義も更新後にフルスキャンして、それでまた検出や異常が出たらその結果を教えてください。
  • 悪代官
  • 2017/05/12 (Fri) 16:36:26
Re: ESET体験版でスキャンを
ESET体験版を入れましてスキャンしました。
フルスキャンはスマート検査でよかったでしょうか?
結果としては何も検出されませんでした。
  • うさぎ
  • 2017/05/12 (Fri) 23:33:28
Re: マルウェア感染後の処置について。
>もし他にお勧めがありましたら教えていただけると幸いです。


ノートン
ウイルスバスター
マカフィー
カスペルスキー
ESET
あたりから選択すれば無難だと思います
あとは使う人の好みや環境にマッチするかなどありますので
試用版を入れて実際に試して決めていただければと思います。
  • 掃除屋
  • 2017/05/13 (Sat) 13:24:04
今度はOTLで踏み込んで解析です
今夜もレスが遅くなってすみません。

ESETのスキャンでは検出はなかったようですね。
ではそこはいいですが、体験版の期限が切れる前にESETの製品版を購入するか、他社セキュリティソフトにするかは決めておいてください。

さて先の作業で見せてもらったログですが、MBAMでは検出ないもののACでレジストリに結食い込んでましたね。
それも悪評高いsoftonicが見えてます。
おそらく以前に入れていたavastをsoftonicからDLしたんでしょうか。
現在では軟肉ではなくavastサイト内から無償版もDLできます。
https://www.avast.co.jp/index

では今度は別のツールで踏み込んで解析しましょう。

以下のツールを準備してください。
OTL(OldTimer Listit)
「Download」ボタンからDLしたら保存しておいてください。
http://oldtimer.geekstogo.com/OTL.exe
片付けるときは起動後に「Cleanup」ボタンを押せば自動で削除されます。
ただし、Windows10をお使いの場合は本体ファイルをそのまま削除すればいいです。

他のプログラムを起動しない状態でOTLを起動してください。
起動したら、ウィンドウの上の方にある「Scan All Users」にチェックを入れ、以下のコマンドを「Custom Scan/Fixes」にコピペしてください。

SHOWHIDDEN
%windir%\tasks\*.job
DRIVES
BASESERVICES
%SYSTEMDRIVE%\*.exe
ACTIVEX
CREATERESTOREPOINT

その後、左上の「Run Scan」を押すとスキャン開始されます。
スキャン開始後、PC環境にもよりますが数分ほどすると、「OTL.txt」と「Extras.txt」がOTL.exeと同じ場所に作成されるはずなので、この2つのファイルをデスクトップあたりに保存しておいてください。
なお、Extras.txtは出ないこともありますが、その場合はOTL.txtだけでもいいです。

このあとOTLログを丸ごと返信に貼り付けてレスで見せてください。
ただしOTLログはかなり長くなるため、一度に送信してもfc2の文字数制限で途切れます。
なのでログも適当なところで1万文字以内に分割して、複数回に分けてレス送信してください。
1万文字を越えた投稿はfc2の文字数制限で途切れてしまうためです。
http://www1.odn.ne.jp/megukuma/count.htm

OTLでスキャンしただけでは何も変化は起きません。
この結果を見て、検出されたものを次回以降の作業で処置することになるはずです
  • 悪代官
  • 2017/05/13 (Sat) 20:51:55
Re: 今度はOTLで踏み込んで解析です
やってみます。
ですが結構食い込んでいる、との事ですのでもし再度リカバリーして状態が戻るのであればリカバリーしようかと思います。
データ自体は殆ど入っていませんし、前回はWindowsからリカバリーしましたがディスクもありましたので…。
リカバリー後直ぐにESETを落とそうと思うのですがそれで改善はしますでしょうか?
PCの扱いが苦手なため、今でも変な所を触っていないかびくびくしつつの作業ですので、内部を触る事が怖くなりまして…。
  • うさぎ
  • 2017/05/13 (Sat) 21:24:34
リカバリならそちらのほうが安全確実です
作業よりもリカバリを考えているとのことですね。
本来ならそちらのほうが安全で確実ですし、時間も手間もはるかに楽です。
リカバリ選択は正しい選択です。

自分は解析の後、それで見つかったログをもとに手動で処置を指示して作業での解決を案内していますが、それは問題点を相談者さん自身に見てもらうことで以後の再被害を防ぐうえでの自衛策にも役立つとの見方からです。

ですが実際に危険や不安があるなら、それを後回しにして作業での解決を指示することもありません。
相談者さん自身がリカバリを選択するなら自分もその判断を優先で安全な対応を案内します。

紛らわしいレスしてしまって混乱させてしまいましたね。
大変失礼しました。

リカバリ自体は恥でも避けるべきことでもなく、トラブル時の対応としてはもっとも確実な方法です。
感染以外にWindows OSの破損等で正常動作も、HDD内のデータを救出もできなくなった場合において、リカバリすればPC購入時の初期状態に戻ります。
故障などハード的な要因でもない限りリカバリすればそろばんでいう「ご破算」の初期状態に戻るわけです。
そこから再度PC環境を再構築していけばよいのです。

先に自分が案内した作業はスルーしていいので、必要なデータのバックアップがすでにできていればリカバリの準備にかかってください。

リカバリ自体はせいぜい1時間もあればできるはずですが、そのあとWindowsUpdateやセキュリティソフトの各種更新はかなりの時間かかるでしょう。
何度かPCの再起動をはさみながら数時間かかることもあるので、腰を据えてじっくりかかってください。

すべての更新も済んだらそこでまたHJTログと、CCでインストール情報ログと各タブのログも取り直して、それらをリカバリ後の状態報告とともにレスください。
それらを見てから時分もリカバリ後の見落としがないかを確認していきましょう。

焦らなくていいのでお時間と余裕があるときに作業とレスはかまいません
  • 悪代官
  • 2017/05/13 (Sat) 21:42:30
Re: リカバリならそちらのほうが安全確実です
折角教えて頂いているのに、投げ出す様な事をしてしまってすみません…。
では今夜手が空き次第リカバリーの準備にかかります。
  • うさぎ
  • 2017/05/13 (Sat) 21:46:12
Re: Re: リカバリならそちらのほうが安全確実です
リカバリー、ファイルを削除しドライバのクリーニング実行中ですので終わり次第ログ出しますね。
  • うさぎ
  • 2017/05/13 (Sat) 23:29:04
Re: マルウェア感染後の処置について。
リカバリーとESETの導入(まだ体験版ですが)、iTunesのデータのみ移した状態になりましたのでログを張ります。
まずHJTです

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 11:48:37, on 2017/05/14
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O4 - HKCU\..\Run: [OneDrive] "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Internet Security\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5316 bytes
  • うさぎ
  • 2017/05/14 (Sun) 11:52:09
Re: マルウェア感染後の処置について。
CCログ
電話 Microsoft Corporation 2017/05/13 1.10.15000.0
電卓 Microsoft Corporation 2017/05/13 10.1703.601.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
映画 & テレビ Microsoft Corporation 2017/05/14 10.17032.10341.0
新しい Office を始めよう Microsoft Corporation 2017/05/13 17.8107.7600.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
メール/カレンダー Microsoft Corporation 2017/05/13 17.8126.42377.0
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
マーチ オブ エンパイア Gameloft. 2017/05/13 2.4.0.9
マップ Microsoft Corporation 2017/05/13 5.1703.762.0
ボイス レコーダー Microsoft Corporation 2017/05/13 10.1704.952.0
フォト Microsoft Corporation 2017/05/13 17.425.10010.0
フィードバック Hub Microsoft Corporation 2017/05/13 1.1703.971.0
ヒント Microsoft Corporation 2017/05/13 5.9.1042.0
ニュース Microsoft Corporation 2017/05/13 4.20.1102.0
ストア Microsoft Corporation 2017/05/13 11703.1001.45.0
カメラ Microsoft Corporation 2017/05/13 2017.308.50.0
アラーム & クロック Microsoft Corporation 2017/05/13 10.1704.1013.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
Xbox Identity Provider Microsoft Corporation 2017/05/13 11.19.19003.0
Xbox Microsoft Corporation 2017/05/13 28.28.28008.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/05/13 46.4 MB 19.0.16.3
Store Purchase App Microsoft Corporation 2017/05/13 11608.1000.2431.0
Skype Skype 2017/05/13 11.15.597.0
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/14 6.0.1.7023
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
People Microsoft Corporation 2017/05/13 10.2.831.0
OneNote Microsoft Corporation 2017/05/13 17.8067.57781.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/05/13 1.0.801.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Microsoft Solitaire Collection Microsoft Studios 2017/05/13 3.16.3302.0
Microsoft OneDrive Microsoft Corporation 2017/05/14 84.8 MB 17.3.6799.0327
LINE LINE Corporation 2017/05/13 5.4.9.0
iTunes Apple Inc. 2017/05/14 426 MB 12.6.0.100
Groove ミュージック Microsoft Corporation 2017/05/13 10.17032.10331.0
Google Chrome Google Inc. 2017/05/14 58.0.3029.110
Facebook Facebook Inc 2017/05/13 81.832.151.0
ESET Internet Security ESET, spol. s r.o. 2017/05/14 132 MB 10.0.386.4
CCleaner Piriform 2017/05/14 5.29
Candy Crush Soda Saga king.com 2017/05/13 1.89.700.0
Bonjour Apple Inc. 2017/05/14 2.01 MB 3.1.0.1
Apple Software Update Apple Inc. 2017/05/14 2.70 MB 2.3.0.177
Apple Mobile Device Support Apple Inc. 2017/05/14 27.4 MB 10.3.1.2
Apple Application Support(64 ビット) Apple Inc. 2017/05/14 145 MB 5.4.1
Apple Application Support(32 ビット) Apple Inc. 2017/05/14 129 MB 5.4.1
3D Builder Microsoft Corporation 2017/05/13 14.0.1031.0

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run SynTPEnh Synaptics Incorporated %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
有効 Task OneDrive Standalone Update Task v2 Microsoft Corporation %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive ESET Smart Security - Context Menu Shell Extension ESET C:\Program Files\ESET\ESET Internet Security\shellExt.dll
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 File ESET Smart Security - Context Menu Shell Extension ESET C:\Program Files\ESET\ESET Internet Security\shellExt.dll
有効 Folder ESET Smart Security - Context Menu Shell Extension ESET C:\Program Files\ESET\ESET Internet Security\shellExt.dll

こちらのログ、後で気づいたのですが隠しファイルと拡張子の表示が未チェックになっていました。
取り直したほうが良いですか?
  • うさぎ
  • 2017/05/14 (Sun) 12:05:36
Re: マルウェア感染後の処置について。
CCのブラウザプラグインが抜けていました

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_0
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
  • うさぎ
  • 2017/05/14 (Sun) 12:08:52
リカバリは成功したようですね
作業と報告、ご苦労様です。
リカバリ後のログも見せてもらいました。

>隠しファイルと拡張子の表示が未チェックになっていました

ログ上では非表示設定は関係ないですが、手動目視作業の上では表示設定にしておいたほうがいいので、ここもあとで表示設定にしておいてください。

ログ上ではさすがにおかしなところも消えてますね。
その状態なら異常も出なくなっているでしょうが、何か異常出ているならそのこともまた教えてください。

それと、リカバリ前のPCで入力したことのある各種パスワード等は可能な限り全変更しておいてください。
特にネットショッピングやバンキングしたことがあればその情報は最優先で変更してください。
プロバイダのログインパスワードでも漏えいしたら、身に覚えのない買い物やコンテンツ利用料金請求が来るおそれもあります。

では現在異常がなくなってれば、そのまましばらく様子見をお願いします。
普通にPCを使いながらでいいので1週間様子見してください。

1週間後にまた今回と同じHJTログと、CCでインストール情報ログと各タブのログも取り直して、それらを様子見中の状態報告とともにレスください。

この時点でログにも状態にも異常なくなってればいいのですが、何か異常出たら1週間待たなくていいのでそこでレスください。

何事もなく様子見が終わるよう五寸釘打ちながら祈ってます(違
  • 悪代官
  • 2017/05/14 (Sun) 17:23:38
Re: リカバリは成功したようですね
ありがとうございます。
金銭関係のやりとりやショッピングは一切していないので(昔家族がしていましたが数年前ですので切り替えやスマホでの管理につきパスワードなどは変えていると思います)ゲームを利用していたサイトなどの分だけ変更しますね。

そんなにPCを使わないので1週間内に使うかどうかも微妙ですが…また1週間後にログを報告致します。
  • うさぎ
  • 2017/05/14 (Sun) 18:20:06
Re: マルウェア感染後の処置について。
ESETのパッケージが近場で取り扱っていなかったためセキュリティのノートン試用版に変えました。
調子が良ければノートンを入れようかと思います。
前回avastをダウンロードサイトから入れてと食い込み?が起きていたみたいですし、公式からDLしたつむりではありますが念のためHJTとCCのログを張ります。心配性かもしれませんが…。

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 19:56:26, on 2017/05/15
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Norton Identity Safety - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
O4 - HKCU\..\Run: [OneDrive] "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton Security (NS) - Symantec Corporation - C:\Program Files\Norton Security\Engine\22.9.1.12\NS.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5512 bytes
  • うさぎ
  • 2017/05/15 (Mon) 20:00:57
Re: マルウェア感染後の処置について。
3D Builder Microsoft Corporation 2017/05/13 14.0.1031.0
Apple Application Support(32 ビット) Apple Inc. 2017/05/14 129 MB 5.4.1
Apple Application Support(64 ビット) Apple Inc. 2017/05/14 145 MB 5.4.1
Apple Mobile Device Support Apple Inc. 2017/05/14 27.4 MB 10.3.1.2
Apple Software Update Apple Inc. 2017/05/14 2.70 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 2.01 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/05/13 1.89.700.0
CCleaner Piriform 2017/05/14 5.29
Facebook Facebook Inc 2017/05/13 81.832.151.0
Google Chrome Google Inc. 2017/05/14 58.0.3029.110
Groove ミュージック Microsoft Corporation 2017/05/13 10.17032.10331.0
iTunes Apple Inc. 2017/05/14 426 MB 12.6.0.100
LINE LINE Corporation 2017/05/13 5.4.9.0
Microsoft OneDrive Microsoft Corporation 2017/05/14 84.8 MB 17.3.6799.0327
Microsoft Solitaire Collection Microsoft Studios 2017/05/13 3.16.3302.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/05/13 1.0.801.0
Norton Security Symantec Corporation 2017/05/15 22.9.1.12
OneNote Microsoft Corporation 2017/05/13 17.8067.57781.0
People Microsoft Corporation 2017/05/13 10.2.831.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/14 6.0.1.7023
Skype Skype 2017/05/13 11.15.597.0
Store Purchase App Microsoft Corporation 2017/05/13 11608.1000.2431.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/05/15 46.4 MB 19.0.16.3
Xbox Microsoft Corporation 2017/05/13 28.28.28008.0
Xbox Identity Provider Microsoft Corporation 2017/05/13 11.19.19003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/13 10.1704.1013.0
カメラ Microsoft Corporation 2017/05/13 2017.308.50.0
ストア Microsoft Corporation 2017/05/13 11703.1001.45.0
ニュース Microsoft Corporation 2017/05/13 4.20.1102.0
ヒント Microsoft Corporation 2017/05/13 5.9.1042.0
フィードバック Hub Microsoft Corporation 2017/05/13 1.1703.971.0
フォト Microsoft Corporation 2017/05/13 17.425.10010.0
ボイス レコーダー Microsoft Corporation 2017/05/13 10.1704.952.0
マップ Microsoft Corporation 2017/05/13 5.1703.762.0
マーチ オブ エンパイア Gameloft. 2017/05/13 2.4.0.9
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/05/13 17.8126.42377.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/05/13 17.8107.7600.0
映画 & テレビ Microsoft Corporation 2017/05/14 10.17032.10341.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
電卓 Microsoft Corporation 2017/05/13 10.1703.601.0
電話 Microsoft Corporation 2017/05/13 1.10.15000.

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\kapibara\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run SynTPEnh Synaptics Incorporated %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
有効 Task OneDrive Standalone Update Task v2 Microsoft Corporation %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe


有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.9.1.12\NavShExt.dll"
有効 File BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\buShell.dll
有効 File Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.9.1.12\NavShExt.dll"
有効 Folder BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\buShell.dll
有効 Folder Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.9.1.12\NavShExt.dll"

無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine32\22.9.1.12\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine\22.9.1.12\coIEPlg.dll

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
有効 Extension Norton Identity Safe 1.0.5 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif\1.0.5_0
有効 Extension Norton Security Toolbar 2017.0.0.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe\2017.0.0.8_0
  • うさぎ
  • 2017/05/15 (Mon) 20:08:21
ようやく片付きましたか
こんばんは。
様子見後の報告ですね。

>ESETのパッケージが近場で取り扱っていなかったためセキュリティのノートン試用版に変えました。
>調子が良ければノートンを入れようかと思います。

はい、ではそこはいいです。

現在のログも見せてもらいましたが、さすがにおかしなところは出てないみたいですね。
状態としても異常は再発してなければ本題の処置は終了でいいでしょう。
作業に使った各ツールも準備時の説明に沿って片付けてください。

異常は消えても以後の再被害を防ぐための自衛は怠りなく。
ブラウザの設定を少し固めるだけでも、セキュリティ上の効果を高めることが可能です。
「インターネットオプション」→「プライバシー」→「詳細設定」と開いて、「自動cookie処理」と「サードパーティのcookieをブロック」にチェックして「適用」して「OK」。
これをやっておくと、多くの危険サイトからの保護にかなり有効です。
が、これもすべての危険サイトに有効でもないし、本物の危険サイトではこの程度ではまったく太刀打ちできないので、過信はしないこと。
また、「すべてのcookieをブロックする」設定にすると、プロバイダのメールボックスなどログイン必要なページに入れなくなる弊害も出るので、これは状況を考えて使い分けるといいでしょう。
安全なサイトでもcookieブロックだと閲覧や投稿ができなくなるところもあるのでこれも注意。

次に、アンチウイルスやファイアウォール等のセキュリティソフトの使い方も注意してください。
セキュリティソフトはただ入れてさえいればそれだけでフル機能を発揮するものではありません。
設定と機能をできるだけ把握して、正しく使うことが重要です。
間違った使い方すると、本来ならブロックできた感染でもあっさりスルーします。

また、いくら高性能なセキュリティソフトがあっても、ユーザーが自分から危険なサイトやファイルにアクセスしてたらまったく保護もできません。
セキュリティソフトは使い方次第でその性能を、倍にも半にも無にも変動させます。

そして百聞は一見にしかず。
現在この掲示板で継続中や解決済みの他スレもできるだけ見ておくことをおすすめします。
同様、類似、別種含めて参考になる部分は多いでしょう。

おさらいですが、avastに限らず多くのセキュリティソフトを含むフリーソフトを配布しているsoftonicには注意してください。
本来なら信頼できて評価も高い無償版ソフトでも、軟肉から落としたインストーラファイルでインストールすると色々とうざい同梱アプリも入れる羽目になってかなり面倒なことになった方も多いです。
現在のavastは軟肉とも手を切ったはずですが、公式があずかり知らぬところで各社の無償版ソフトを配布している非公式サイトはネット上に数えきれぬほど存在します。
中には特定の製品名をweb検索したら、公式サイトを差し置いて検索結果のトップに表示される非公式サイトまであったりします。

PCセキュリティの上では覚えておくべきことは山ほどありますが、最初から全部頭に詰め込む必要もありません。
わかる範囲からひとつずつ消化して、PC環境とセキュリティ意識を再構築してください。

慣れない作業を長期間頑張ってくれてお疲れ様でした。
以後は安全で快適なPCライフを
  • 悪代官
  • 2017/05/15 (Mon) 21:09:05
Re: ようやく片付きましたか
長々とありがとうございました。
サードパーティのcookieはブロックの設定にしました。

問題の解決から指導まで本当にありがとうございます。
今後お世話になることがない様、一層気を付けてPCを扱いますね。
  • うさぎ
  • 2017/05/15 (Mon) 21:17:27
質問です
解決後に何度もすみません。
少し質問をしたいのですが、リカバリー前に見つかったレジストリ?に入っていたsoftnoickについてです。
あのレジストリはもし放置していた場合どんな悪さをするのでしょう?
ノートン以降何もDLやインストールはしていませんが今後の為に聞いておきたいと思いました、調べても分かりませんでしたので…。

今後もしかしたらオフィス系統を必要に迫られてインストールする可能性があります、PC購入時に入っていたらしいのでコードが見つかればMicrosoft Office?を使用の予定ですし、なるべくフリーソフトは入れたくないのでプリインストールのPCを使う様にはしますが…。
あのレジストリを探し出したACは(リカバリーしてからは入れていませんが)確認のためたまにスキャンした方が良いですか?
  • うさぎ
  • 2017/05/16 (Tue) 09:25:25
セキュリティにこだわるあまり疑心暗鬼に陥らないでください
こんばんは。
続きの疑問ですね。

>リカバリー前に見つかったレジストリ?に入っていたsoftnoickについてです。
>あのレジストリはもし放置していた場合どんな悪さをするのでしょう?

軟肉に限りませんが、悪意のプログラムやサイトがファイルとしてPC内に入りこむだけでなくレジストリにも食い込むのは、普通のユーザーでもファイルを突き止めればそれを削除することで対処可能なので、一般ユーザーにはあまり対処法がわかりにくいレジストリに食い込むことで対策逃れを図る狙いがあります。

レジストリというのはWindowsの動作全般を管理する重要なシステムで、正常に動いている分にはいいですがもしレジストリが破損でもするとPC自体が動作も起動もできなくなるほど深刻な不具合に陥ることもあります。
なので本来レジストリの操作は外部の人間が掲示板越しに指示しながら処置することはほとんどなく、やるならユーザー自身が完全に自己責任で行うというのがPCに明るい有識者の間でも共通の認識です。

実際にはマルウェアに感染したら本体ファイルを特定してそれを削除するだけで片付くこともないので、マルウェアに改ざんされたレジストリも見つけてそこも正しく修正する必要がありますが、この修正作業さえもセキュリティソフトを販売している各ベンダーのサポートは
「完全に自己責任で判断と作業してください」
と明言するほどです。
それほどレジストリの処置はデリケートなもので、作業する前には必ず必要なデータのバックアップをとったうえで、もし作業失敗したらその時点で即リカバリに移行する準備と心構えを済ませてからかかることになります。

一言で言えばレジストリは「ブラックボックス」と思ってください。

ファイルだけならゴミ箱に削除してもそれが誤検出と判明したら当該ファイルをもとの場所に戻すこともできますが、レジストリは誤った形で書き換えするとそれを戻すのはかなり困難です。

各種解析ツールのログで、明らかに正規ではないレジストリが見つかったらそれを削除や編集するのは可能ですが、自分が指示する作業では不正レジストリの処置も基本的に各ツール上から行います。
なぜかというと、ツールのログに見えたレジストリをそのツール上から処置するときは、ツールがそのバックアップもしてくれるので、万一誤検出と判明したらそのツール上からの操作で「復元」も容易に可能だからです。
一例を挙げるとHJTでfixしたエントリもHJTが処置時に自動でバックアップしてくれるので、HJT上から処置したエントリはHJTをアンインストールしない限りHJT上から復元可能です。

今回処置を指示した対象エントリはみな程度の差はあれど正規ではなかったので残しておく必要もないと判断し、そのまま削除してもらいました。

HJTやCC、OTLを含めて各ツールは決して万能ではありませんが、正しく使えばあまりPCに明るくない方でも悪玉を特定して処置も可能です。
これは一般のセキュリティソフトにも言えることです。

レジストリ改ざんを含め、マルウェア感染に対しては自衛は不可欠ですが、セキュリティにこだわりすぎて疑心暗鬼に陥ることも避けましょう。
そういった方も過去に幾度となく直接見てきました。

セキュリティ上の疑心暗鬼に陥ったあまり、ネット上に転がる「高性能」を謳う見覚えのない「セキュリティソフト」を使ったら実はそれが悪質な「偽セキュリティソフト」で、しかもその偽セキュリティソフトがマルウェアでもあったため元々は正常だったPCを偽セキュリティソフトにぼろぼろに改ざんされ不要な出費を支払ったあげくPCもリカバリする羽目になったという事例を見るたび、もう少し早く伏魔殿に来られたらいくらかでも傷口浅く案内することもできたろうにと思ったものです。

普段からこまめにバックアップを取り、いつでもリカバリできるように構えておくことがいざという時の被害を少なくできます。

>あのレジストリを探し出したACは(リカバリーしてからは入れていませんが)確認のためたまにスキャンした方が良いですか?

はい、それもかまいませんがACは時々誤検出や、定義更新不全バグも起きるので、検出されたモノをなんでもすぐに削除するのは避けて、検出結果をよく見てから判断してください。
  • 悪代官
  • 2017/05/16 (Tue) 20:09:50
Re: セキュリティにこだわるあまり疑心暗鬼に陥らないでください
返信ありがとうございます。
ちょっと過敏になっていますね、すみません。

ACについては見極めが多分、出来ませんのでセキュリティは一先ずノートンに任せ、尚おかしな事があった場合またこちらに相談させて頂きます。余計なことをしてPCを壊しては何にもなりませんしね。
ノートンが万全とは思いませんが、自分から変なリンクを踏んだりインストールしたりしなければ一先ずは任せて大丈夫そうなのでそうします。
クイックとフルスキャンだけは定期的にしますね。それとリカバリーの為のバックアップも。

長々と質問して申し訳ありませんでした。
ですが疑問も解決し、スッキリです。気にし過ぎなのでしょうが…(汗
  • うさぎ
  • 2017/05/16 (Tue) 20:36:11
ひげねこさんに案内です
ひげねこさん、おはようございます。
ここの管理人の悪代官です。

とりあえず案内します。
このスレは他の方のスレなので、便乗での質問は避けてご自身で新規スレを立ててください。
一つのスレで複数の相談者さんが相談すると回答者側も含めて誰が誰にレスしているか混乱してしまうので。

再投稿時に下記についても確認をお願いします。
>PhishWall SecureBrain Corporation 平成 29/6/26 3.7.15

該当PCでネットバンキング等をお使いでしょうか?
バンキング使用PCで感染を疑われる異常が見えた場合は本来は安全最優先の意味でリカバリが確実です。
へたに時間かけて調べてから対処していく余裕はありません。

バンキングや資産運用等に一切無縁の個人私用PCならその旨も教えてください
  • 悪代官
  • 2017/07/23 (Sun) 07:20:01
Re: マルウェア感染後の処置について。
>悪代官様

返信ありがとうございます

>バンキング使用PCで感染を疑われる異常が見えた場合は本来は安全最優先の意味でリカバリが確実です。
>へたに時間かけて調べてから対処していく余裕はありません。

PCは私用ですし保存しているのは数100KBの.docファイルのみです。
PCでのネットバンク使用の危険性は理解しておりますので、ガラケーのサイトを利用しております。
再インストールの方が手間がかからないとのことでしたので再インストールにします。ご回答ありがとうございました。
当該書き込みは削除しました。こちらもご覧になりましたら削除していただいて結構です。
  • ひげねこ
  • 2017/07/23 (Sun) 14:28:16
気になることがありまして…。
こんばんは、前回お世話になりましたうさぎです。
現在PCに特に異常はないのですが少し気になって質問させて頂きたく参りました。

我がPCで絶賛稼動中のノートン先生ですが、偶然起動時 マネージャを開いたところ以前はiTuneshelperとonedriveのみだった(ooedriveは本日アンインストールそました、不要でしたので)所にwindow コマンドプロセッサなるものが2つ追加されておりました。
コマンドプロンプト?を起動する為の物らしいですが、一体何奴でしょう?

タクスマネージャーから確認した上では起動時はiTuneshelperのみしかでていないのですが…。あれ以来インターネットにも最低限しか繋がず、ダウンロードもwindowupdateなどの更新のみ、マルウェアに怯えながら電源を入れる度にスキャンの毎日です。
気になりましたのでもし良ければ御返答お願いします。
  • お久しぶりです。
  • 2017/07/29 (Sat) 22:38:42
とりあえず各ログを見ましょう
お久しぶりです。

今度はiTuneshelperとonedriveで妙な動きが見えているようですか。

ではまたHJTログと、CCでインストール情報と各タブのログをとってからそれを見せてください。
そこから慎重に調べてみましょう
  • 悪代官
  • 2017/07/30 (Sun) 07:48:47
Re: マルウェア感染後の処置について。
早いお返事をありがとうございます。
変な動きをしているわけではないのですがこのプロセッサとは…という感じなので何事もないことを願いつつログです。
まずはHJTからです。

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 12:18:56, on 2017/07/30
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Norton Identity Safety - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton Security (NS) - Symantec Corporation - C:\Program Files\Norton Security\Engine\22.10.0.85\NS.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5249 bytes
  • うさぎ
  • 2017/07/30 (Sun) 12:20:48
Re: マルウェア感染後の処置について。
次です。
3D Builder Microsoft Corporation 2017/05/18 14.1.1302.0
Apple Application Support(32 ビット) Apple Inc. 2017/07/26 162 MB 5.6
Apple Application Support(64 ビット) Apple Inc. 2017/07/26 182 MB 5.6
Apple Mobile Device Support Apple Inc. 2017/05/25 41.8 MB 10.3.2.3
Apple Software Update Apple Inc. 2017/05/14 4.94 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 3.28 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/07/21 1.93.1401.0
CCleaner Piriform 2017/07/30 5.32
Facebook Facebook Inc 2017/06/29 93.955.37739.0
Google Chrome Google Inc. 2017/05/14 363 MB 60.0.3112.78
Groove ミュージック Microsoft Corporation 2017/07/28 10.17062.14111.0
iTunes Apple Inc. 2017/07/26 569 MB 12.6.2.20
LINE LINE Corporation 2017/07/21 5.5.2.0
Microsoft Solitaire Collection Microsoft Studios 2017/07/02 3.16.6200.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/07/21 1.1.451.0
Norton Security Symantec Corporation 2017/05/15 1.22 GB 22.10.0.85
OneNote Microsoft Corporation 2017/07/21 17.8366.57611.0
People Microsoft Corporation 2017/06/11 10.2.1451.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/15 38.9 MB 6.0.1.7023
Skype Skype 2017/07/21 11.19.820.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/06/04 46.4 MB 19.4.3.38
Windows 10 Update and Privacy Settings Microsoft Corporation 2017/07/09 2.10 MB 1.0.14.0
Xbox Microsoft Corporation 2017/07/21 30.31.1001.0
Xbox Identity Provider Microsoft Corporation 2017/07/13 11.29.23003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/25 10.1705.1303.0
カメラ Microsoft Corporation 2017/05/13 2017.308.50.0
ストア Microsoft Corporation 2017/07/25 11706.1001.26.0
ストア購入アプリ Microsoft Corporation 2017/07/25 11706.1707.7010.0
ニュース Microsoft Corporation 2017/06/08 4.21.1434.0
ヒント Microsoft Corporation 2017/07/25 5.11.1641.0
フィードバック Hub Microsoft Corporation 2017/06/14 1.1704.1603.0
フォト Microsoft Corporation 2017/07/13 2017.18062.13720.0
ボイス レコーダー Microsoft Corporation 2017/05/25 10.1705.1302.0
マップ Microsoft Corporation 2017/05/26 5.1705.1391.0
マーチ オブ エンパイア - 領土戦争 Gameloft. 2017/07/25 2.6.1.1
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/07/21 17.8241.41275.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/07/25 17.8414.5925.0
映画 & テレビ Microsoft Corporation 2017/07/21 10.17062.12911.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
電卓 Microsoft Corporation 2017/05/25 10.1705.1301.0
電話 Microsoft Corporation 2017/05/13 1.10.15000.0

以上でよろしかったでしょうか?
  • うさぎ
  • 2017/07/30 (Sun) 12:26:11
Re: Re: マルウェア感染後の処置について。
ログをとった後にもう一度ノートンの起動マネージャを確認した所、謎のwindowsプロセッサは消え、現在iTunes hflperとcclenerが起動時プログラムに出て来ました。一体何なんだったんでしょう…気になります…。
また可笑しな状態になっていないと良いのですが…。
  • うさぎ
  • 2017/07/30 (Sun) 12:47:21
CCで各タブのログもお願いします
作業と報告、ご苦労様です。
HJTログとインストール情報のログを見せてもらいましたが、CCで「Windows」以下の各タブとブラウザプラグインのログも追加で見せてください。
特に「スケジュールされたタスク」と「コンテキストメニュー」タブのログが重要になるかもしれません。

追加のログも見せてもらったらそれを見て、怪しいモノがないか調べてみましょう
  • 悪代官
  • 2017/07/30 (Sun) 16:44:07
Re: マルウェア感染後の処置について。
ではこちらがログです。

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.0.85\NavShExt.dll"
有効 File BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\buShell.dll
有効 File Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.0.85\NavShExt.dll"
有効 Folder BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\buShell.dll
有効 Folder Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.0.85\NavShExt.dll"

無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\coIEPlg.dll

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
有効 Extension Norton Identity Safe 1.0.5 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif\1.0.5_0
無効 Extension Norton Safe Search as default for Chrome 2.0.26 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\hbmobhkkblcgdifigjglcjneplefbkmh\2.0.26_0
有効 Extension Norton Security Toolbar 2017.0.0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe\2017.0.0.9_0

以上各タブとプラグインのログです。
  • うさぎ
  • 2017/07/30 (Sun) 22:10:55
スタートアップをひとつ無効にしますか
続きのログも見せてもらいました。

見たところでは怪しいものは見えないようですが、iTuneshelperがスタートアップに入っているのでもしかするとこれが件のコマンドプロンプトに絡んでいるかもしれません。
CCの「Windows」タブで下記を「無効」にだけしてください。
>有効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"

無効にしても普通に使う分には問題ないので大丈夫です。

このあと一度PC再起動後にまた様子見して、件のコマンドが出るかどうかを含めた状態報告をレスください
  • 悪代官
  • 2017/07/30 (Sun) 22:42:40
Re: スタートアップをひとつ無効にしますか
iTuneshelperは自分で設定していないので、恐らく最初からスタートアップになっていたのでしょうがプロセッサが出て来たのは昨日が初めてです。
それまであったonedriveを消したのと、ccleanerを入れたらまた見えなくなった事からスタートアップが1つになると表示されてしまうのでしょうか…。取り敢えず無効にしてみます。
変なマルウェアではなさそうで、ほんの少し安心しました。
  • うさぎ
  • 2017/07/30 (Sun) 23:11:19
Re: Re: スタートアップをひとつ無効にしますか
無効にして来ました。今の所ノートンの起動マネージャにはccleaner(オン)とiTuneshelper(オフ)しか出ていません。また出る様ならば報告しますね。
  • うさぎ
  • 2017/07/30 (Sun) 23:29:34
では3日ほど様子見を
レスが遅くなってすみません。

>無効にして来ました。今の所ノートンの起動マネージャにはccleaner(オン)とiTuneshelper(オフ)しか出ていません。また出る様ならば報告しますね

はい、異常が出てないなら何よりですが、とりあえず3日ほど様子見して、その間に再発あればその旨教えてください。
3日待たずに再発すればその時点でレスくれればいいです
  • 悪代官
  • 2017/07/31 (Mon) 20:31:08
Re: では3日ほど様子見を
今晩は、様子見後の御報告です。
今のところwindowプロセッサは出ていません。あの表示、特に問題はなかったのでしょうかね…
  • うさぎ
  • 2017/08/02 (Wed) 21:48:52
今は感染の恐れは薄いようですね
おはようございます。

>今のところwindowプロセッサは出ていません。あの表示、特に問題はなかったのでしょうかね…

はい、再発がないならそこはいいでしょう。
ログ上でもおかしなところは見えないので、今は危険は薄いと思われます。

今後また何か異常が見えるようならその内容を添えて続きのレスください。
その時点でまたログを含めて調べてみましょう
  • 悪代官
  • 2017/08/03 (Thu) 07:28:18
Re: マルウェア感染後の処置について。
こんばんは。あの後10日ほど様子を見ましたが現在例のプロセッサ、PCの挙動に違和感はありません。
念のためログを貼りますね。

HJD
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 0:11:38, on 2017/08/13
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.0953)


Boot mode: Normal

Running processes:
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Norton Identity Safety - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton Security (NS) - Symantec Corporation - C:\Program Files\Norton Security\Engine\22.10.0.85\NS.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5341 bytes
  • うさぎ
  • 2017/08/13 (Sun) 00:12:39
Re: マルウェア感染後の処置について。
CCです

3D Builder Microsoft Corporation 2017/05/18 14.1.1302.0
Apple Application Support(32 ビット) Apple Inc. 2017/07/26 162 MB 5.6
Apple Application Support(64 ビット) Apple Inc. 2017/07/26 182 MB 5.6
Apple Mobile Device Support Apple Inc. 2017/05/25 41.8 MB 10.3.2.3
Apple Software Update Apple Inc. 2017/05/14 4.94 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 3.28 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/07/21 1.93.1401.0
CCleaner Piriform 2017/07/30 20.4 MB 5.32
Facebook Facebook Inc 2017/06/29 93.955.37739.0
Google Chrome Google Inc. 2017/05/14 363 MB 60.0.3112.90
Groove ミュージック Microsoft Corporation 2017/07/28 10.17062.14111.0
iTunes Apple Inc. 2017/07/26 569 MB 12.6.2.20
LINE LINE Corporation 2017/07/21 5.5.2.0
Microsoft Solitaire Collection Microsoft Studios 2017/07/02 3.16.6200.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/08/04 1.1.500.0
Norton Security Symantec Corporation 2017/05/15 952 MB 22.10.0.85
OneNote Microsoft Corporation 2017/07/21 17.8366.57611.0
People Microsoft Corporation 2017/06/11 10.2.1451.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/15 38.9 MB 6.0.1.7023
Skype Skype 2017/07/21 11.19.820.0
Synaptics Pointing Device Driver Synaptics Incorporated 2017/06/04 46.4 MB 19.4.3.38
Windows 10 Update and Privacy Settings Microsoft Corporation 2017/07/09 2.10 MB 1.0.14.0
Xbox Microsoft Corporation 2017/07/21 30.31.1001.0
Xbox Identity Provider Microsoft Corporation 2017/07/13 11.29.23003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/25 10.1705.1303.0
カメラ Microsoft Corporation 2017/08/04 2017.619.10.0
ストア Microsoft Corporation 2017/07/25 11706.1001.26.0
ストア購入アプリ Microsoft Corporation 2017/07/25 11706.1707.7010.0
ニュース Microsoft Corporation 2017/06/08 4.21.1434.0
ヒント Microsoft Corporation 2017/07/25 5.11.1641.0
フィードバック Hub Microsoft Corporation 2017/06/14 1.1704.1603.0
フォト Microsoft Corporation 2017/08/09 2017.35063.13610.0
ボイス レコーダー Microsoft Corporation 2017/05/25 10.1705.1302.0
マップ Microsoft Corporation 2017/05/26 5.1705.1391.0
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/08/11 17.8400.40795.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/07/25 17.8414.5925.0
映画 & テレビ Microsoft Corporation 2017/07/21 10.17062.12911.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
電卓 Microsoft Corporation 2017/05/25 10.1705.1301.0
電話 Microsoft Corporation 2017/05/13 1.10.15000.0

  • うさぎ
  • 2017/08/13 (Sun) 00:14:20
Re: Re: マルウェア感染後の処置について。
それと、こちらは余談なのですがwindows oldなるファイルをディスククリーンアップから削除しようとしたところどうしても消えないファイルがあります。(大まかにはsystemと云うフォルダとその中身など)
以前こちらに寄らせてもらった際リカバリーをしましたが、oldフォルダが残っていると以前の設定(データ?)が残ったままになっていると聞き削除を試みたのですが、これは放置しても構わないものなのでしょうか?
ちなみにcreatorsupdateはまだ降りて来ていないのでwindows10は1607のままです、updateの際に出来たものではない筈ですが…。

何度も色々なことを聞いてしまってすみません。
セキュリティについて勉強しようと色々見て回っているうちに気になってしまいまして…。よろしくお願いします。
  • うさぎ
  • 2017/08/13 (Sun) 00:39:36
CCの各タブログもお願いします
こんばんは。
様子見後の報告レスですね。

その後異常は出てないようで何よりです。

現在のログも見せてもらいましたが、CCでの各タブのログが出てないので、それらのログも追加で見せてもらえますか。
ひとつでも見落としがあるといけませんので。

>それと、こちらは余談なのですがwindows oldなるファイルをディスククリーンアップから削除しようとしたところどうしても消えないファイルがあります。(大まかにはsystemと云うフォルダとその中身など)

リカバリ前のデータのバックアップであるoldフォルダですね。
これについてはWindows10へのアップグレードしたPCの場合に、何かの事情で以前のOSに戻したいときに必要となる可能性です。
たぶんご覧になったかと思いますが参考ページ↓
https://www.iyamaittane.com/entry/2016/01/25/083226

自分の私見では、Win10を使うなら最悪の事態に備えていつでも復元できる準備と心構えはしておくに越したことはないでしょう。
なにしろいまだにWin10の不安定さとそのトラブル報告を訴える声はネット上に上がっています。
どうしても気になるなら完全に自己責任で削除するかどうかを判断してください。

ではCCの追加ログもお待ちします
  • 悪代官
  • 2017/08/13 (Sun) 21:13:42
Re: マルウェア感染後の処置について。
ログです、よろしくお願いします。

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
無効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.0.85\NavShExt.dll"
有効 File BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\buShell.dll
有効 File Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.0.85\NavShExt.dll"
有効 Folder BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\buShell.dll
有効 Folder Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.0.85\NavShExt.dll"

無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.0.85\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.0.85\coIEPlg.dll

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
有効 Extension Norton Identity Safe 1.0.5 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif\1.0.5_0
無効 Extension Norton Safe Search as default for Chrome 2.0.26 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\hbmobhkkblcgdifigjglcjneplefbkmh\2.0.26_0
有効 Extension Norton Security Toolbar 2017.0.0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe\2017.0.0.9_0

そうなのですね。リカバリは完全にPC内のデータが消えるものだと思っていたので、なんでこんなのがあるんだ…という感じでした。調べてみれば一か月で消えると書かれていましたが消える気配もなかったので消しても問題ないなら消してしまおうと思った次第です。
放置で問題ないのならこれ以上は触らずに置いておきますね。
  • うさぎ
  • 2017/08/13 (Sun) 21:59:32
Skypeも削除か更新を
早速のレスありがとうございます。

追加のログでもおかしなところはなさそうですね。

では先にCCの「Windows」タブから無効化した下記ですが
>無効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"

これは「有効」に戻してもいいでしょう。
危険なものでもないので削除対象にもしませんでしたが、今回コマンドがこれの影響かとも思ったので無効化してもらいました。
有効化のあとに異常も出なければそれでいいですが、万一またコマンド画面が出るようならそれが今回の本題の要因だった可能性がまた出てきます。

それと下記は不要ならアンインストール推奨です。
>Skype Skype 2017/07/21 11.19.820.0

使うなら最新版に更新も必須です。
削除するならそのあとWindowsUpdate時に入れなおさないよう注意を。

アプリの更新か削除したら再度インストール情報ログだけ取り直して、それをまたレスで見せてください
  • 悪代官
  • 2017/08/13 (Sun) 22:13:22
Re: マルウェア感染後の処置について。
スカイプは使用予定がないのでアンインストールしました、ログを貼りますね。
それとiTune Helperも有効にしましたが今のところ以前出ていた表示は出ていません。
windows updateで入ってしまうことを防ぐ方法はあるのでしょうか?

3D Builder Microsoft Corporation 2017/05/18 14.1.1302.0
Apple Application Support(32 ビット) Apple Inc. 2017/07/26 162 MB 5.6
Apple Application Support(64 ビット) Apple Inc. 2017/07/26 182 MB 5.6
Apple Mobile Device Support Apple Inc. 2017/05/25 41.8 MB 10.3.2.3
Apple Software Update Apple Inc. 2017/05/14 4.94 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 3.28 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/07/21 1.93.1401.0
CCleaner Piriform 2017/07/30 20.4 MB 5.32
Facebook Facebook Inc 2017/06/29 93.955.37739.0
Google Chrome Google Inc. 2017/05/14 363 MB 60.0.3112.90
Groove ミュージック Microsoft Corporation 2017/07/28 10.17062.14111.0
iTunes Apple Inc. 2017/07/26 569 MB 12.6.2.20
LINE LINE Corporation 2017/07/21 5.5.2.0
Microsoft Solitaire Collection Microsoft Studios 2017/07/02 3.16.6200.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/08/04 1.1.500.0
Norton Security Symantec Corporation 2017/05/15 952 MB 22.10.0.85
OneNote Microsoft Corporation 2017/07/21 17.8366.57611.0
People Microsoft Corporation 2017/06/11 10.2.1451.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/05/13 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/05/15 38.9 MB 6.0.1.7023
Synaptics Pointing Device Driver Synaptics Incorporated 2017/06/04 46.4 MB 19.4.3.38
Windows 10 Update and Privacy Settings Microsoft Corporation 2017/07/09 2.10 MB 1.0.14.0
Xbox Microsoft Corporation 2017/07/21 30.31.1001.0
Xbox Identity Provider Microsoft Corporation 2017/07/13 11.29.23003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/05/25 10.1705.1303.0
カメラ Microsoft Corporation 2017/08/04 2017.619.10.0
ストア Microsoft Corporation 2017/07/25 11706.1001.26.0
ストア購入アプリ Microsoft Corporation 2017/07/25 11706.1707.7010.0
ニュース Microsoft Corporation 2017/06/08 4.21.1434.0
ヒント Microsoft Corporation 2017/07/25 5.11.1641.0
フィードバック Hub Microsoft Corporation 2017/06/14 1.1704.1603.0
フォト Microsoft Corporation 2017/08/09 2017.35063.13610.0
ボイス レコーダー Microsoft Corporation 2017/05/25 10.1705.1302.0
マップ Microsoft Corporation 2017/05/26 5.1705.1391.0
メッセージング Microsoft Corporation 2017/05/13 3.19.1001.0
メール/カレンダー Microsoft Corporation 2017/08/11 17.8400.40795.0
天気 Microsoft Corporation 2017/05/13 4.20.1102.0
新しい Office を始めよう Microsoft Corporation 2017/07/25 17.8414.5925.0
映画 & テレビ Microsoft Corporation 2017/07/21 10.17062.12911.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/05/13 1.1607.6.0
電卓 Microsoft Corporation 2017/05/25 10.1705.1301.0
電話 Microsoft Corporation 2017/05/13 1.10.15000.0
  • うさぎ
  • 2017/08/13 (Sun) 23:15:49
WUで特定の更新を非表示できますが
作業と報告、ご苦労様です。
Skypeは削除したようですね。

>windows updateで入ってしまうことを防ぐ方法はあるのでしょうか?

WUで適用したくない更新があるときは、その更新を「非表示」にする方法があります。

WU起動して更新を確認後、適用可能な更新リストが表示されたら、そこで適用したくない更新を右クリックしてから「更新プログラムの非表示」を選択すれば、以後はその更新はリストに出なくなります。

もっともこの方法で別の重要な更新を誤って非表示してしまうと、WUで重要な脆弱性の修正もできなくなって危険な状態に陥るおそれもあるので、くれぐれも対象をよく見て判断もご自身で決めてください。

さて、インストール情報ログでも今は問題は見えないようです。
異常も出なくなっているならとりあえず今回はよしとしますか。
  • 悪代官
  • 2017/08/14 (Mon) 21:45:39
Re: WUで特定の更新を非表示できますが
成る程、重要な更新を見逃しそうで怖いのでもし入ってしまったらまたアンインストールする様にしようかと思います。

瑣末なことから色々質問までしてしまってすみませんでした。
ですがこれでまた安心してPCを扱えそうです、ありがとうございました。
  • うさぎ
  • 2017/08/14 (Mon) 21:51:31
何度もすみません、質問です
こんばんは、何度も湧いてしまってすみません。
ここでするべき質問ではないかもしれませんが、ルートキットなるものの存在を知りました。悪事の痕跡を隠すツールと聞いているのですが非常に見つけ難い、と。これらに感染した場合、こちらで提示するログで分かるのでしょうか? 最後にログを見ていただいた日以降PC は触っていないのですが、隠れて感染していたら…と悪い想像をしています。
もしお時間あれば、教えて頂けますと幸いです。
  • うさぎ
  • 2017/08/20 (Sun) 18:03:54
不安ならまた調べてもいいです
こんばんは。

別のことで不安な点があるようですね。

>ルートキットなるものの存在を知りました。悪事の痕跡を隠すツールと聞いているのですが非常に見つけ難い、と。これらに感染した場合、こちらで提示するログで分かるのでしょうか?

はい、当掲示板でもルートキットでの相談は過去に幾度もありました。
これの性質や区別は諸説あり、悪事の痕跡を隠すという性質のものもあれば、入りこんだマルウェアの一部をわざと検出させてそれを処置させるという囮作戦的な挙動のものもあります。
マルウェアの一部を検出削除したらその時点で表面上の異常が消えることでユーザーがそれで解決したと思い込み、そのあとの作業を止めると読んでの巧妙な作戦で、囮を削除して沈静化したあともマルウェア本体はPC内の奥深くに隠れて少しずつPC内に根を張り、じわじわとPCの支配権を握っていき、やがて完全にPCを支配下に置いた時点で一気に活動を再開します。
こうなったらもう本来のユーザーには駆除も解析もできなくなります。

他にも自分が見てきた中では、それ以前の常識をことごとく覆す性質と挙動のマルウェアが多数ありました。

ルートキットを検出可能なツールもいくつかはあります。
このスレでも使ったMBAMもそのひとつで、ルートキットを含め悪質巧妙なマルウェアに対してかなりの効果を期待できます。
他にもルートキットに効果を期待できるツールはいくつも知ってますが、どのツールもすべてのルートキットに対して100%有効ではないのも事実です。
ルートキット以外のマルウェアでも同じですが、悪意の者はセキュリティベンダーのセキュリティソフトでの検出処置を回避無効化することを最優先に考えてきます。
作成配布されたマルウェアをセキュリティベンダーが解析して処置対象にしたら直後に悪意の者もマルウェアを改変して処置をかいくぐります。
いたちごっこに他なりません。

ルートキットに感染された疑いが高いと判断されたら、対処は基本的にリカバリ一択です。
それほどルートキットは対処が困難なものです。

ルートキットの検出処置を高確率で可能と謳うセキュリティツールもいくつかありますが、ルートキット対処に特化したツールはそれ自体が危険なもろ刃の剣でもあります。
一例を挙げるとノートンシリーズで有名なシマンテック社がルートキット検出に有効とする「ノートンパワーイレイサー」(NPE)を出していますが、このNPEは高性能な反面過剰反応によりWindows正規のファイルやシステムを誤検出削除する恐れが高いことも知られ、マルウェアの有無にかかわらずPCの安定動作が損なわれるおそれもあるので、有識者の間ではこのNPEは「最後の手段」として、それも完全にユーザーの自己責任で判断と使用するしかないとの意見で共通しています。

当掲示板で毎日のようにルートキット相談を受けていたのは2012年あたりでしょうか。
この頃は「リダイレクト型マルウェア」の相談が多発していた時期で、そのころにMBAMと他のツールでの対処が有効とわかって何とか処置の道筋が見えてきた時期です。
ですがルートキットの中にはどんなツール、処置もまったく通用しないモノも多数あり、そういった事例では安全優先のためそれ以上の解析処置を止めてリカバリ一択の対処に切り替えました。
下手に時間かけるとその間にもどんどん傷口広げかねないからです。

また、ルートキット以外のマルウェアでも種によって検出と処置が可能なツールはそれぞれ違います。
得手不得手があると言えばわかりやすいでしょうか。
なので最初のHJTやCC、そしてMBAMやAC等のツールのログを見たうえである程度素性が見えたらそれに応じたツールや対処を使い分けることもあります。
多数のセキュリティツールを全部投入して総当たりでスキャンすればどれかは当たるだろうとの「下手な鉄砲数撃ちゃ当たる」発想は危険を伴います。

マルウェアに対してはただセキュリティツールを多数投入すれば解決できる望みが高まるとの誤解は避けてください。
解析したうえで、正しい対処法を見つけてその手順でしか処置できないことが多いのです。
過去に自分が首突っ込んだ事例ですが下記のようなことがありました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1181533751

そのあと同じ相談者さんが立てた続きの質問が下記です。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1081601475

こういう風に安易なweb検索でヒットした結果を鵜呑みにして、よくわからないツールを自動で使うとかえって逆効果になることも少なくありません。

ちなみに知恵袋でのレスにあった「higaitaisaku.com」というサイトは、この伏魔殿掲示板以前に自分が参加していたサイトですが、今はサイト閉鎖されてそのドメインも売りに出されてしまったため、そのURLにアクセスするとおかしな広告が表示されることもあって今ではアクセスしないことを推奨する羽目になっています。
くれぐれもhigaitaisaku.comのリンクには飛ばないように。

その後もPC上で妙な挙動が見えるならあらたに相談されれば自分が解析してもいいです。
  • 悪代官
  • 2017/08/20 (Sun) 22:51:09
Re: 不安ならまた調べてもいいです
わざわざ回答していただきありがとうございます。
成る程…マルウェアにも色々なものがあり対処が違うのはなんとなくわかっていました。ログなど全く読めもしない身ではありますがちまちまとこちらの過去スレを読んでいます。がまだ2016年夏までしか辿り着いていないので、出して頂いたリンク先共々読んでみようと思います。

実は現在ノートンを入れていることもありNPEを使ったことがあります。ネット上の評価、悪代官様が書かれたた様に誤検出でPCを痛めるかもしれない、との事は知っていましたが出てきたものを削除しない事前提で何度かスキャンをしました。
様々なブログなども見て回っているのですが実際NPEは強力なんですね。毎回検知なしと出るので言われる程検知率が高くないのでは…とも少し思っていました。
しかし過去にも解決された事例、前回特におかしな所はないと判断されたログから該当PCを起動していない事、一応はノートン先生が仕事をしてくれている…と信じて今回は良しとしようかと思います。
他にも沢山の相談者様がいらっしゃいますし、かもしれない、でお手を煩わせる訳にもいかないですから(笑)

また不審な動きをし始めた時はまた相談させて頂きます、勿論そうならない様に知識を得る努力はしますが…。以後、懲りずに下らない質問をしてしまうかもしれませんが、その時はまた宜しくお願い致します。
  • うさぎ
  • 2017/08/20 (Sun) 23:28:48
御報告
こんにちは、話は戻ってしまうのですが以前御相談させて頂いた、スタートアップに出てくるコマンドプロセッサの件です。
コマンドプロセッサがまたノートンの軌道マネージャから、しかも4つ現れたのですが再起動すると、再起動後に黒い画面が4つほど重なって一瞬現れ消えてしまいました。その後、軌道マネージャを見てみるとコマンドプロセッサは消えていました。

以前もだったのですがその日、ないしは近日中にiTunesと携帯端末を繋ぎ携帯端末のデータ復元やバックアップを行なっていました。携帯端末の同期をせずにiTunesだけの操作をした日には出ませんでしたので、もしかするとその行動がコマンドプロセッサの出現に繋がったのかも知れない、と考えております。条件を検証した訳ではないので確証はありませんが…。
調べた所、知恵袋にも同じ様な症状が出た方がいらっしゃるみたいですが結果的によく分かっていません。

2回目、4つのコマンドプロセッサが出た日、携帯端末の問題で某社のサポートを受けていました。リモートの画面共有などもして貰っていたのでついでに起動マネージャに現れたコマンドプロセッサの表示を見て頂いた所、Windowsには詳しくないですが、と前置きの元iTunesで行なった操作にセキュリティソフトが不整合…と言うか謎の(?)反応を起こしたのではないか、と。サポートとは言え、アプリ関連の不具合でしたので恐らく担当外の方のお返事です。(因みにサポートは不審な業者ではなく公式です)

よく分からない状態ではありますがノートンにも反応はなく、もしかしたら…の可能性ですが原因はiTunesかと思われます。
一応、御報告までに。
  • うさぎ
  • 2017/08/25 (Fri) 13:01:10
接続機器絡みでしたか【戯言あり】
こんばんは。

先のコマンドの件ですね。
どうやらiTunes絡みの疑いが強くなりましたか。

>以前もだったのですがその日、ないしは近日中にiTunesと携帯端末を繋ぎ携帯端末のデータ復元やバックアップを行なっていました。携帯端末の同期をせずにiTunesだけの操作をした日には出ませんでしたので、もしかするとその行動がコマンドプロセッサの出現に繋がったのかも知れない、と考えております。条件を検証した訳ではないので確証はありませんが…。

ケータイとの接続で動作した可能性ですね。
よく調べてくれました。

PC本体やその周辺機器のメーカー各社は、PCに接続した状態のデータを収集することは珍しくないと思ってください。
これはPC内の個人情報を収集するというのではなく、接続時の動作の安定や不具合を含む各種情報を常に取得することで、各機器単体の問題点や、機器間の相性も解析し、その後の改良につなげるためです。
多くはプログラムのアップデート確認時にそれらの情報収集されることが多いのですが、該当プログラムがスタートアップに登録されている場合はPC起動時にそれが動作して、ユーザーが手動でそのプロセスを停止しない限りずっと動きます。

ただ、これは別の問題として覚えておいてほしいのですが、悪質なプログラムではこのアップデート確認を理由にしてPC内のユーザー情報を収集するモノも存在します。
製品名は挙げませんが、該当プログラムの更新とは無関係のはずのユーザー情報を収集する悪質な製品は古くからいくつも指摘されています。
そういう製品でもマルウェアとして各社のセキュリティソフトで検出処置対象にならないのは、インストール時に表示される「使用許諾」に、ユーザー情報収集にも同意する旨の文言が含まれていると、ユーザーがインストールした時点でそれを自ら許可してしまったということになるからです。
長々しい呪文のような使用許諾でもその内容を見ずに読み飛ばして「はい」をクリックするとあとから「そんな説明なんか読んでない」と抗議しても通用しないのです。
長ったらしい文言でもしっかり記述した以上、それを読まずに許可したのはあくまでユーザー自身の責任となります。

PC関連のアプリのインストールや、周辺機器接続時の確認メッセージは見落すことなく目を通すことを心がけましょう。

【以下は戯言です】

個人的な私見ですが、PCに限らず家電でも販売等の仕事に携わったことのある人なら、使用許諾や取扱い説明書を見ないでトラブルに遭ったユーザーに対しては無償サポートサービスに乗り気でないことも多いでしょう。
きちんと取説を読んでさえいればわかるはずの簡単な操作、注意でも取説を読まずに捨ててしまう人は少なくないため、直後に操作がわからなくなったり誤操作で故障を招いたりという事例は自分もいやというほど見ました。
ですがそういう事例でも自身のミスを認めないユーザーから筋の通らない無償修理の要求や、謎理論の理屈を押し付けられて辟易する担当者側からはIT業界での使用許諾のような対応をとってほしいという声もあります。
まあそれをやったら問題の顧客は以後自社、自店の製品を買ってくれなくなるおそれがあるので企業としてはそれは避けたいからクレーマーの対応を呑むことも多いですね。

メーカー、販売側の現場の融通効かない考えにも見えますが、実際現場のサポート担当者の声を聞くと本当に操作をうまく理解できなかっただけのクレーマーではないユーザーに対しては細やかなサポートをしてくれる方が多いんですよ。
悪質なクレーマーとお客様を同じ扱いはしない、という姿勢ですね。

うさぎさんには言うまでもないことでしょうが、もし今後何かの製品が購入後に故障か不具合でも見つかったら、メーカーか小売店のサポート窓口に連絡するときも一方的にサポートを要求するのでなく自分がわからないことを教えてほしいとか、自分が使い方をミスったなら正しい使い方を教えてほしいといった質問をするといいですよ。

この辺りはかなり脱線した内容なので興味なければスルーしてもらっていいです
  • 悪代官
  • 2017/08/25 (Fri) 21:16:16
Au_.exeについて
こんにちは、うさぎです。
本日、インストールしたままになっていたccleanerをアンインストールそまして、その際ですかね…ノートンからAu_.exeへネットワークリソースへのアクセスを許可しました、と通知が来ました。
ですがAu_.exeは調べてみればウイルスやトロイ、などとの検索結果ばかりが出て来ます。一応セキュリティスキャンはしましたし、ノートンも通知をしてきただけで危ない様な警告は出していません。

因みにAu_.exeの開発はccleanerの開発元と同じになっていましたし、ディスククリーンアップをたまたました後は(ファイル検索をしてAu_なるファイルは見つけていました)Au_も消えてしまい(temp?のフォルダにいた様です)結局こやつは何者だったんだ…と不思議に思っております。
これは放置して構わないものだったのでしょうか?
  • うさぎ
  • 2017/09/13 (Wed) 15:57:11
自分の環境にはAu.exeは見えませんね
こんばんは。
Au.exeの件ですね。

>因みにAu_.exeの開発はccleanerの開発元と同じになっていましたし

自分の環境で見た範囲ではCCの構成ファイルにAu.exeというファイルは見えないようです。

本当に危険なマルウェアなら作成元や日時までも偽装することは珍しくないのでその恐れは捨てきれませんが、処置後に復活もなくなっているなら今はその恐れは薄いと見ましょう。

当掲示板だけでもAdobe Flash PlayerやReal Playerやnvidia、Logicool等の有名な社や製品名を偽装るモノが見つかっています。
広告非表示機能のブラウザ用拡張で有名なAdblock Plusでさえ偽物をつかまされた相談者さんもいましたが、これもログを見た途端一目で正規品でないとわかりました。

現在のネット上においては製品名だけで正規品と思い込むのは避けるべきと思いましょう。
そのファイルを配布しているサイトが公式とは別の妙なサイトだったら、どんな危険な改変されていても不思議ありません。

悪代官風に例えて言えば

「このような場所に本物のLogicool様がおられるはずがない!Logicool様の名を騙る偽者じゃ!者ども斬り捨てい!!」

という感じです(違

Au.exeが消えた後も気がかりなら、またHJTとインストール情報と各タブのログから取り直して見せてもらえばそこから解析し直しましょうか。
ひとつでも良くないモノが残っているなら針の穴から堤も崩れることにもなりかねないので、健康診断のつもりで調べますか。
解析の結果で問題なくなっていればそれに越したこともありませんので
  • 悪代官
  • 2017/09/13 (Wed) 20:31:13
Re: マルウェア感染後の処置について。
返信ありがとうございます。
アンインストール時にできたファイルなのか、アップデートをしようとして押し間違いでCCcleanerの試用版を入れてしまったのでその際のものかと思っていましたが念のためログを貼らせていただきますね、よろしくお願いいたします。

HJD
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 20:40:44, on 2017/09/13
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.15063.0608)


Boot mode: Normal

Running processes:
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Norton Identity Safety - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
O4 - HKCU\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\WINDOWS\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\WINDOWS\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\WINDOWS\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Norton Security (NS) - Symantec Corporation - C:\Program Files\Norton Security\Engine\22.10.1.10\NS.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\WINDOWS\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\WINDOWS\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\WINDOWS\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\WINDOWS\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\WINDOWS\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5642 bytes


CCcleaner
3D Builder Microsoft Corporation 2017/05/18 14.1.1302.0
Apple Application Support(32 ビット) Apple Inc. 2017/07/26 162 MB 5.6
Apple Application Support(64 ビット) Apple Inc. 2017/07/26 182 MB 5.6
Apple Mobile Device Support Apple Inc. 2017/05/25 41.8 MB 10.3.2.3
Apple Software Update Apple Inc. 2017/05/14 4.94 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 3.28 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/09/04 1.96.700.0
CCleaner Piriform 2017/09/13 5.34
Facebook Facebook Inc 2017/06/29 93.955.37739.0
Google Chrome Google Inc. 2017/05/14 363 MB 61.0.3163.79
Groove ミュージック Microsoft Corporation 2017/07/28 10.17062.14111.0
iTunes Apple Inc. 2017/07/26 569 MB 12.6.2.20
LINE LINE Corporation 2017/07/21 5.5.2.0
Microsoft Solitaire Collection Microsoft Studios 2017/08/31 3.17.8161.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/08/04 1.1.500.0
Norton Security Symantec Corporation 2017/05/15 1.20 GB 22.10.1.10
OneNote Microsoft Corporation 2017/08/26 17.8471.57791.0
People Microsoft Corporation 2017/06/11 10.2.1451.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/08/31 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/08/28 6.0.1.7023
Synaptics Pointing Device Driver Synaptics Incorporated 2017/08/28 46.4 MB 19.4.3.38
View 3D Microsoft Corporation 2017/08/28 1.1706.29032.0
Wallet Microsoft Corporation 2017/08/28 1.0.16328.0
Windows 10 Update and Privacy Settings Microsoft Corporation 2017/07/09 2.10 MB 1.0.14.0
Xbox Microsoft Corporation 2017/08/16 31.32.11001.0
Xbox Game bar Microsoft Corporation 2017/08/28 1.19.11001.0
Xbox Game Speech Window Microsoft Corporation 2017/08/28 1.14.2002.0
Xbox Identity Provider Microsoft Corporation 2017/07/13 11.29.23003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/08/31 10.1706.2231.0
カメラ Microsoft Corporation 2017/09/08 2017.727.20.0
ストア Microsoft Corporation 2017/08/26 11707.1001.23.0
ストア購入アプリ Microsoft Corporation 2017/08/21 11707.1707.25006.0
ニュース Microsoft Corporation 2017/08/31 4.21.2212.0
ヒント Microsoft Corporation 2017/07/25 5.11.1641.0
フィードバック Hub Microsoft Corporation 2017/08/16 1.1705.2121.0
フォト Microsoft Corporation 2017/09/13 2017.35071.16410.0
ペイント 3D Microsoft Corporation 2017/09/13 3.1709.5027.0
ボイス レコーダー Microsoft Corporation 2017/09/04 10.1706.

無効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
無効 HKCU:Run OneDriveSetup Microsoft Corporation C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
無効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run SecurityHealth Microsoft Corporation %ProgramFiles%\Windows Defender\MSASCuiL.exe
有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location -literalPath '%V'
有効 Directory ファイルの所有権
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.1.10\NavShExt.dll"
有効 File BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\buShell.dll
有効 File Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.1.10\NavShExt.dll"
有効 Folder BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\buShell.dll
有効 Folder Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.1.10\NavShExt.dll"

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
有効 Extension Norton Identity Safe 1.0.5 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif\1.0.5_0
無効 Extension Norton Safe Search as default for Chrome 2.0.26 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\hbmobhkkblcgdifigjglcjneplefbkmh\2.0.26_0
有効 Extension Norton Security Toolbar 2017.0.0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe\2017.0.0.9_0

無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\coIEPlg.dll

  • うさぎ
  • 2017/09/13 (Wed) 20:45:41
Re: Re: マルウェア感染後の処置について。
因みにログを取る際、ついでにもう一度確認を、とノートンの履歴を開いたのですが例のシャットダウンの時に履歴は消えてしまったのか見つかりませんでした。
ファイルが消える前、気になってオンデマンドスキャンもしたのですが検出はなく、ノートンインサイトなるものの評価も問題無しだったのですが、履歴が消えていることもあり狐につままれた気持ちです。何事もないと良いのですが…。
  • うさぎ
  • 2017/09/13 (Wed) 21:08:42
CCでノートン履歴消去設定してませんか?
早速の作業と報告ご苦労様です。
現在の各ログを見せてもらいました。

見たところではおかしな点は見えないようですが、

>アップデートをしようとして押し間違いでCCcleanerの試用版を入れてしまったのでその際のものかと思っていましたが

試用版には無償版にはないスケジュールスキャンや、ブラウザ保護機能もあります。
ですがこのブラウザ保護機能は専門ベンダーのセキュリティソフトと干渉するおそれもあるため、むやみに使うのはお勧めしません。

現在は無償版のCCを入れなおしたみたいですが、常駐保護のモニタリング機能もオフにしておくほうがいいでしょう。

CCを起動して画面左の「オプション」→「モニタリング」を開いて、そこで「アクティブモニタリング」と「ブラウザモニタリング」欄にチェックが入っていればそのチェックは外してください。
この時警告が出ますがかまわず「はい」選択すればオフにできます。

この常駐機能も結構不具合につながったり、PCの動作を重くする要因にもなるので、ユーザー自身が必要でなければオフを推奨です。

次にChrome用のAdobe Flash Playerですが、本日更新がリリースされたので、まだ更新してなければAdobe公式サイトからChrome用のFlashを更新しておきましょう。

次にノートンの履歴が消えたとのことですが、もしやCCでクリア対象になってないか確認してみてください。

CCで「クリーナー」→「アプリケーション」タブを開いてください。
その下にブラウザやセキュリティソフトを含む各種アプリの履歴をCCでの検出消去対象にするかの確認欄が出るので、もしノートン欄にチェックが入っていればCCでのスキャン時にそれが検出され、そのまま消去すると当然履歴も消えます。
なので履歴を残したいアプリはCC上でチェックを外しておきましょう。

上記の確認と修正できたら、その結果をまたレスで教えてください
  • 悪代官
  • 2017/09/13 (Wed) 21:25:29
Re: CCでノートン履歴消去設定してませんか?
取り敢えずFlashplayerの更新とモニタリングはオフにしました。
ノートンですが、その他の履歴は消えていないのと(例の履歴は本日13時30分と記憶していますが、9/8の履歴まで残っています)ccでもchrome、Windowsストア、マルチメディア、Windowsの欄はありますがノートンは見当たらないですね…。
  • うさぎ
  • 2017/09/13 (Wed) 21:37:37
Re: Re: CCでノートン履歴消去設定してませんか?
それともうひとつ、CCなのですが今まで2回ほど更新にあたりましてセットアップが残っているのか何度更新しようとしても中々上手くいきませんでした(アンインストールして入れ直せば上手くいくのですが…)。なので、ログを取る以外に使いませんし都度、アンインストールした方が良いのでしょうか?
  • うさぎ
  • 2017/09/13 (Wed) 21:43:44
次にレスできるのは明日になりそうです
おはようございます。

CCではノートンの項目は見えませんか。
ではそこは置いといていいです。

>CCなのですが今まで2回ほど更新にあたりましてセットアップが残っているのか何度更新しようとしても中々上手くいきませんでした(アンインストールして入れ直せば上手くいくのですが…)。なので、ログを取る以外に使いませんし都度、アンインストールした方が良いのでしょうか?

こちらはCC自体を一度GUで削除したうえで最新版を入れなおすといいです。
もしかしたら先に間違って入れた試用版の常駐保護機能がまだ残っていて引きずっているおそれも考えられますので。

このあとCCの入れなおしができたかどうかの結果をレスで教えてください。

なお、本日はこのあとレスできなくなりそうなので、自分が次にレスできるのは明日になりそうです。
すみませんがご了承ください
  • 悪代官
  • 2017/09/14 (Thu) 07:25:38
Re: マルウェア感染後の処置について。
CCの再インストールまでしましたが、ノートンがネットワークリソースを許可していたりしまして混乱しております。調べても出てこなかったりまたまたウイルス疑惑であったり…気にしすぎのような気もしますが、やはり不安ですね。
一応ログを貼ります。

CC
3D Builder Microsoft Corporation 2017/05/18 14.1.1302.0
Apple Application Support(32 ビット) Apple Inc. 2017/07/26 162 MB 5.6
Apple Application Support(64 ビット) Apple Inc. 2017/07/26 182 MB 5.6
Apple Mobile Device Support Apple Inc. 2017/05/25 41.8 MB 10.3.2.3
Apple Software Update Apple Inc. 2017/05/14 4.94 MB 2.3.0.177
Bonjour Apple Inc. 2017/05/14 3.28 MB 3.1.0.1
Candy Crush Soda Saga king.com 2017/09/04 1.96.700.0
CCleaner Piriform 2017/09/14 5.34
Facebook Facebook Inc 2017/06/29 93.955.37739.0
Google Chrome Google Inc. 2017/05/14 363 MB 61.0.3163.79
Groove ミュージック Microsoft Corporation 2017/07/28 10.17062.14111.0
iTunes Apple Inc. 2017/07/26 569 MB 12.6.2.20
LINE LINE Corporation 2017/07/21 5.5.2.0
Microsoft Solitaire Collection Microsoft Studios 2017/08/31 3.17.8161.0
Microsoft Sticky Notes Microsoft Corporation 2017/05/13 1.8.0.0
Minecraft: Windows 10 Edition Microsoft Studios 2017/08/04 1.1.500.0
Norton Security Symantec Corporation 2017/05/15 1.20 GB 22.10.1.10
OneNote Microsoft Corporation 2017/09/14 17.8568.57561.0
People Microsoft Corporation 2017/06/11 10.2.1451.0
Realtek Card Reader Realtek Semiconductor Corp. 2017/08/31 14.6 MB 10.0.10586.31225
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2017/08/28 6.0.1.7023
Synaptics Pointing Device Driver Synaptics Incorporated 2017/08/28 46.4 MB 19.4.3.38
View 3D Microsoft Corporation 2017/08/28 1.1706.29032.0
Wallet Microsoft Corporation 2017/08/28 1.0.16328.0
Windows 10 Update and Privacy Settings Microsoft Corporation 2017/07/09 2.10 MB 1.0.14.0
Xbox Microsoft Corporation 2017/08/16 31.32.11001.0
Xbox Game bar Microsoft Corporation 2017/09/14 1.21.11001.0
Xbox Game Speech Window Microsoft Corporation 2017/08/28 1.14.2002.0
Xbox Identity Provider Microsoft Corporation 2017/07/13 11.29.23003.0
アプリ インストーラー Microsoft Corporation 2017/05/13 1.0.10332.0
アラーム & クロック Microsoft Corporation 2017/08/31 10.1706.2231.0
カメラ Microsoft Corporation 2017/09/08 2017.727.20.0
ストア Microsoft Corporation 2017/09/14 11708.1001.21.0
ストア購入アプリ Microsoft Corporation 2017/08/21 11707.1707.25006.0
ニュース Microsoft Corporation 2017/08/31 4.21.2212.0
ヒント Microsoft Corporation 2017/07/25 5.11.1641.0
フィードバック Hub Microsoft Corporation 2017/08/16 1.1705.2121.0
フォト Microsoft Corporation 2017/09/13 2017.35071.16410.0
ペイント 3D Microsoft Corporation 2017/09/13 3.1709.5027.0
ボイス レコーダー Microsoft Corporation 2017/09/04 10.1706.2211.0
マップ Microsoft Corporation 2017/08/28 5.1706.2001.0
メッセージング Microsoft Corporation 2017/08/28 3.26.24002.0
メール/カレンダー Microsoft Corporation 2017/09/08 17.8500.40725.0
天気 Microsoft Corporation 2017/08/31 4.21.2212.0
新しい Office を始めよう Microsoft Corporation 2017/07/25 17.8414.5925.0
映画 & テレビ Microsoft Corporation 2017/08/23 10.17072.13111.0
有料 Wi-Fi & 携帯ネットワーク Microsoft Corporation 2017/08/28 2.1706.1934.0
電卓 Microsoft Corporation 2017/09/04 10.1706.2271.0
電話 Microsoft Corporation 2017/05/13 1.10.15000.0

無効 HKCU:Run OneDriveSetup Microsoft Corporation C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
無効 HKLM:Run iTunesHelper Apple Inc. "C:\Program Files\iTunes\iTunesHelper.exe"
有効 HKLM:Run SecurityHealth Microsoft Corporation %ProgramFiles%\Windows Defender\MSASCuiL.exe

有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task GoogleUpdateTaskMachineCore Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
有効 Task GoogleUpdateTaskMachineUA Google Inc. C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler

有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location -literalPath '%V'
有効 Directory ファイルの所有権
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location '%V'
有効 Drive Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.1.10\NavShExt.dll"
有効 File BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\buShell.dll
有効 File Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.1.10\NavShExt.dll"
有効 Folder BUContextMenu Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\buShell.dll
有効 Folder Symantec.Norton.Antivirus.IEContextMenu Symantec Corporation "C:\Program Files\Norton Security\Engine\22.10.1.10\NavShExt.dll"

有効 App Gmail 8.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0
有効 App Google ドライブ 14.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0
有効 App YouTube 4.2.8 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0
有効 Extension Google オフライン ドキュメント 1.4 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi\1.4_1
有効 Extension Google スプレッドシート 1.1 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap\1.1_0
有効 Extension Google スライド 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0
有効 Extension Google ドキュメント 0.9 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0
有効 Extension Norton Identity Safe 1.0.5 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif\1.0.5_0
無効 Extension Norton Safe Search as default for Chrome 2.0.26 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\hbmobhkkblcgdifigjglcjneplefbkmh\2.0.26_0
有効 Extension Norton Security Toolbar 2017.11.1.24 ユーザー 1 C:\Users\kapibara\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe\2017.11.1.24_0

無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
無効 Helper Norton Identity Safety Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
無効 Toolbar Norton Toolbar Symantec Corporation C:\Program Files\Norton Security\Engine\22.10.1.10\coIEPlg.dll

HJD
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 22:36:57, on 2017/09/14
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.15063.0608)


Boot mode: Normal

Running processes:
C:\Users\kapibara\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Norton Identity Safety - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.10.1.10\coIEPlg.dll
O4 - HKCU\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\WINDOWS\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\WINDOWS\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\WINDOWS\system32\igfxCUIService.exe (file missing)
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Norton Security (NS) - Symantec Corporation - C:\Program Files\Norton Security\Engine\22.10.1.10\NS.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\WINDOWS\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\WINDOWS\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\WINDOWS\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: SynTPEnh Caller Service (SynTPEnhService) - Synaptics Incorporated - C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\WINDOWS\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\WINDOWS\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5642 bytes

  • うさぎ
  • 2017/09/14 (Thu) 22:38:19
無題
すみません、急いでいたので言葉が抜けていました。
今まで通知欄からも見た事の無い様な名前のファイル(Windowsにもともとあるものか、一時的に出来たものか、不審物か区別は出来ませんが…)がネットワークリソースへのアクセスを求めノートンが許可したと履歴に情報を出して来ます。
幾つかのファイル名をネットで検索してみるとウイルスだの不審だのと出て来ます。ですがノートンのファイルインサイトでは問題なしの評価(一部利用人数5人未満などもありましたが)で許可を出し、Au_.exeの様にファイル名を検索すればpc内に該当フォルダは見つかりますがクリーンアップなどで消えてしまう。
この様な現象はPCを動かす上で通常起きる動作なのでしょうか?

Au_.exeも今日また許可を出していた様ですがファイルは消えていますし、これもウイルスだトロイだとネットでは出て来ていましたが通常の動作で生じるファイルで、このファイル全てがウイルスと言うわけではない、という事もあるんですかね…

疑い過ぎの様な気もしますが、気になってしまいまして。ノートンが許可を出している以上気にする必要はないのかもしれませんが…。
  • うさぎ
  • 2017/09/14 (Thu) 23:30:08
Re: 追記
こんばんは。
例のネットワークリソースを許可しているらしいAu_.exeですがノートンから確認しましたところccのインストーラーにある様です。

プログラム
ccleaner installer
C\user\ユーザー名\appdate\local\temp\~nsuA.temp\Au_.exe

と、ファイヤーウォールのプログラム制御に出ていまして…。
これは許可のまま放置で構いませんでしょうか。
  • うさぎ
  • 2017/09/15 (Fri) 18:33:20
インストーラーをVTにかけてみますか
レスが遅くなってすみません。

現在の各ログを見せてもらいましたが、

>例のネットワークリソースを許可しているらしいAu_.exeですがノートンから確認しましたところccのインストーラーにある様です

現在インストールしているCCはプロ版(有償)ではなくフリー版ですね?
とすると、CC自体にバンドルされているスポンサープログラムでしょうか。

ほとんどのフリーソフトではインストール時に、Google Chromeだったりツールバーだったり、Yahooツールバーだったり等のスポンサーアプリも勧めてくることが多いです。
悪質なソフトでなければそれらのスポンサーアプリはインストール時にユーザーが除外して目的のアプリだけを入れることも可能ですし、CCもそのようなカスタムインストールはできます。
インストール時に自動インストールするとフルインストールで、おまけのアプリ群もすべてまとめて入ることになります。
なのでインストールウィザード時に画面をよく見て、カスタムインストールで必要なアプリと設定だけを選択するのが安全です。
自動インストールだとCC自体のアップデートチェックも有効になるので、ここも外しておくことでCCが自動的に更新の送受信をするのを無効化もできます。

もしかしたらそのAu.exeもCCのアップデート絡みかもしれませんね。

念の為、そちらでDLしたCCのインストーラーファイルを下記サイトにupしてスキャンしてみてください。
https://www.virustotal.com/ja/
「virustotal」

ここは特定のファイルを複数の社のセキュリティソフトエンジンでスキャン可能なサービスです。

スキャン開始後しばらく待って、結果が表示されたらそのページのURLをレスに貼って教えてください。

もしやこのスキャンでCCのインストーラーに何か変なモノが付属していたらその出所等も確認することになるかもしれませんが、今の時点では予想だけでの対処はできません。
スキャン結果を見せてもらったら安全な対処を考えましょう
  • 悪代官
  • 2017/09/15 (Fri) 21:31:24
Re: マルウェア感染後の処置について。
CCですが最初の相談させていただいたときに悪代官様が張っていただいたリンクからDLしています。
何度かアンインストとインストールをしていますがアプリの更新から飛ぶかこのサイト内からしかDLはしていなかったはずです。そして、一度めはセットアップウィザードも当サイトの事前準備や悪代官様からの説明と同じ画面が出ていましたが、現在入れなおす際はセットアップを開くとほぼ自動でインストールされチェックを外したりする画面も出てこなくなりました。

こちら、支持ののURLです。
https://www.virustotal.com/ja/file/cbc2f423d035cf315ac724e61287420013c517cf3d95dbdfa673179436184e64/analysis/1505479337/
  • うさぎ
  • 2017/09/15 (Fri) 21:49:20
Re: マルウェア感染後の処置について。
ちなみにCCのインストーラーは一度削除してしまっていたので今前回と同じURLからDLし直しました
  • うさぎ
  • 2017/09/15 (Fri) 21:52:01
Re: Re: マルウェア感染後の処置について。
あ、すみません、CCですが今までインストールを推していた様で、その下にカスタマイズがありました。ご相談前の作業、ページから多少変わっていたのですね。一度以上インストールに成功していましたし、油断してそこまで見ていませんでした…。

そしてau_.exeですが何度かCCのインストール、アンインストールを繰り返してみたところどうにもアンインストールの際に一時ファイル(?)が許可を求め、ノートンが通している様な気がします。確証はありませんが。
そして今CCをアンインストールしインストーラーのみDLしたた状態ですがクリーンアップで消えたのか、ノートンのプログラム制御からも今は消えていますね…。
  • うさぎ
  • 2017/09/16 (Sat) 00:10:22
やはりCCの構成ファイルで確定です
今日もレスが遅くなってすみません。

VTの結果ページを見せてもらいましたが、自分の環境でDLした無償版CCと同じ結果ですね。

>au_.exeですが何度かCCのインストール、アンインストールを繰り返してみたところどうにもアンインストールの際に一時ファイル(?)が許可を求め、ノートンが通している様な気がします。確証はありませんが。
>そして今CCをアンインストールしインストーラーのみDLしたた状態ですがクリーンアップで消えたのか、ノートンのプログラム制御からも今は消えていますね…。

これまでの経緯も含めて考えると、ノートン側の過剰反応の疑いが高いですね。
CCの構成ファイルのうちAu.exeを他社セキュリティソフトでは反応せずノートンのみ検出というところからもその可能性がもっとも高いです。

海外での情報も調べたところ、やはり同様にCCでAu.exeが検出された事例がありましたが、それらもCCのアンインストール時に作成されるファイルとの見方ですね。
それが見つかるパスも以下で一致してます。

C:\ Documents and Settings \ <ユーザー名> \ Local Settings \ temp

自分の調べ方が悪くて手間取らせてしまいましたが、CCでのAu.exeは特に危険視しなくてもよさそうです。

さて、少しおまけの話しますか。

CCに限らずシステムシューニング系のアプリは、設定と機能をしっかり把握してうまく使えば非常に便利で有用ですが、よくわからないままスキャンして表示されたものを悪玉と思い込んで全部削除してしまうとWindowsの動作にダメージを起こすことも平気で起きます。
例えばCCの「レジストリスキャン」機能ですが、これでスキャンして出る結果は決してPCの動作にとってマイナスな物ばかりではなく、Windowsのデフォルト設定をユーザーがチューニングして使いやすくした部分をCCが「疑わしい」と表示することもあります。

システム系のアプリはもろ刃の剣であることを認識してください。

もっとも、どこかの有名サイトでは

『システムチューニング系アプリは一つでも入れたらトラブル修復にはPCのリカバリ以外の選択肢はない』

と力説される有識者がたがおられまして、ご高説を賜るたびにその発想と思考が常人の及ぶところではないと驚きます。
あのような考えと言動に至るまでにはさぞ苦労の絶えない人生を送ってこられたかと思うと涙なくして笑えません。

高性能なアプリほど、誤った使い方するとダメージも大きくなるものです。
だからと言って最初からWindows基本機能以外のプログラムを使わず狭い範囲だけを見てその中でPCを使っていくのはお勧めしません。

「あつものに懲りてなますを吹く」

という諺の意味はPCを使う上でも当てはまります。

これも自分はちょくちょく他の方に語ることですが、当掲示板で使ってもらっているHJTもCCも本来はセキュリティ用のアプリではなく、PCの動作改善のための解析、チューニング用のものです。
ですがHJTはその高性能から、世界中の有識者の間でマルウェア感染時の解析、処置に非常に高い効果を発揮するのがわかり、特にPCセキュリティを研究するプロアマの間では必須のツールとなりました。

セキュリティソフトでなくても設定機能をうまく使えばセキュリティ上でも効果を発揮するものは多いわけです。

ついでに書くと自分は数年前に某有名掲示板上で「ログバカ」なる称号をいただいたことがあります。
各種ツールのログを見てあれこれ指示レスすることからついたようですが、自分にとってはこの呼び名は光栄と思っています。
ただ、前置詞の「ログ-」は不要なので、つけるとしたら「単なる-」か「ただの-」が最適だと思いますw
  • 悪代官
  • 2017/09/16 (Sat) 21:27:45
Re: やはりCCの構成ファイルで確定です
わざわざ海外の情報まで調べて頂きありがとうございます。
構成ファイルでほぼ確定とのことですし、1回目CCを入れたのがリカバリ前でそのままリカバリしてしまいましたからCCをアンインストールするのは今回で初でした。しかもノートン先生、様ざまな情報は履歴に残していってくれるのですが素人目にはノートンがしっかり仕事をして選別してくれているのか、導入後今の所はまだマルウェアを検知していないので(検知しない方が良いのは分かっているのですが)怪しいものまでOKを出してしまっているのか区別がつきません。今まで出してネットワークリソース許可はWindowsのアップデートなど調べればそれなりに答えの出るものでした。それが全く見覚えのないものに許可を出していたので不安がってしまった次第であります。
一度マルウェアに引っかかった身としては(softnicは検知しませんでしたしね)余りにも検知がなく平和が過ぎると、つい仕事をしてくれているのかと疑ってしまいます。過信するつもりはありませんが、もう少しセキュリティソフトを信頼するべきでしたね。大変お手間を取らせました。

一応CCですが疑心暗鬼の元にもなりそうですし、インストーラーも削除しようかと思います。昨夜アンインストール→スキャンのためダウンロードしてインストールはしていませんでしたので。また必要になった際にダウンロードしようかと思います。

余談ですがログバカとは…すごいですね。恐らく蔑称などではなく、悪代官様のスキルの高さから付いた名だと解釈させて頂きます。その上、こうして他人の不安まで解消してしまうのですから、敬服致します。
  • うさぎ
  • 2017/09/16 (Sat) 21:55:34
CCについて、半分雑談です。
今話題になっているCCのマルウェア問題ですが、混入していたのは32bitで64bit版には特に関係がないとは聞き及んでいますが標的型(?)攻撃の前振りだったそうで、混入版をインストールした方はロールバックかリカバリ推奨になっていましたね…。
私のPCは64bitでしたし、あまり心配はしていないのですが(既にアンインストール済みでセキュリティソフトも反応なし、フルスキャンで特に異常はありませんでした)64bitのPCにインストーラーからインストールをして32bitがインストールされた…何てことは恐らくないですよね。その為のインストーラでしょうし。

それと、8月半ばから5.33は配信されていましたが(配信日に更新してしまっていたので、モロ該当インストーラです)記事によって書き方がまちまちなので解釈が怪しいのですが、CCのマルウェアはこの配信日から混入していて、12日に発見されたのか12日に改竄されてのちに発覚したのか、どちらになるのでしょう。
15日に送信元サーバは停止している様ですし、抜かれた情報も機密性は低いとのこと。本家の配布先が改竄と言うのはゾッとしますが、同じインストーラに32bit版も同梱されていたと思いますので本当に64bit版は問題なかったのか少し疑ってしまいますね。

もし配信日からマルウェアに汚染されていて、ずっと情報を送信されていた可能性があるのかと思うて恐ろしいです。
万が一そうなっていた場合、セキュリティソフトのファイアーウォールは仕事をするのでしょうか。デジタル署名もあった様ですし、その場合はいかに対策ソフトでもスルーなんですかね…
  • うさぎ
  • 2017/09/23 (Sat) 09:43:50
公式の調査と対応を待つつもりです
こんばんは。
他のサイトでもいまだに議論が続くCCでの問題ですね。

>今話題になっているCCのマルウェア問題ですが、混入していたのは32bitで64bit版には特に関係がないとは聞き及んでいますが標的型(?)攻撃の前振りだったそうで、混入版をインストールした方はロールバックかリカバリ推奨になっていましたね…。

32bit版については危険が払拭できない点からリカバリを勧めるのは当然と言えます。

現在販売されているWindowsのPCは大半が64bit版OSになったので今回の事例では対象となるPCが少ないのは不幸中の幸いかもしれませんが、それでも32bitOSを継続使用しているPCは0ではないのでそれらのPC安全を考えて公表したのは英断でしょう。
下手にブランドイメージが傷つくのを恐れて「危険はない」とのコメントを出すような悪質企業的な対応をしていたら更に深刻な結果に至ったかもしれません。

それでもPiriformは事態の調査の結果、そこまで深刻な対応は必要ないとの判断に至ったと自分は見ています。
またPiriformを傘下に持つavastもセキュリティベンダーとして解析を続けているでしょうし。

ネット上ではいろいろと議論や憶測が飛び交っていますが、事態の調査と対応はPiriformとavastに任せるべきかと思います。
下手に外部が公の場であれこれ可能性を指摘するだけでも解決のうえで支障きたすおそれがあるからです。

現時点で自分から言えることは以上です。
  • 悪代官
  • 2017/09/23 (Sat) 22:07:05

返信フォーム






プレビュー (投稿前に内容を確認)