悪代官の伏魔殿掲示板
NEC製のソフトがアドウェアとして検出された
悪代官さんお久しぶりです。
以前お世話になりましたペソネと申します。
本日はアドウェアについてご相談させて頂きたいのですがよろしいでしょうか?

何気なくmalwarebytesでフルスキャンをかけた所、
Adware.DealPlyというマルウェアが検出されてしまい、隔離することになりました。
しかし、隔離を完了するため再起動を試みた所、フリーズしてしまったので
苦肉の策で電源を切り、その後付け直してからmalwarebytesで隔離を確認、
念のため、再びフルスキャンをかけたのですが、現状は無事何も検出されておりません。

ただ、このファイルが検出された場所というのが
現在私が使っている、NEC製のPCに最初からインストールされていた
「再セットアップメディア作成ツール」のフォルダ内でして、
名前の通りのセットアップ絡みのソフトと、アドウェアという組み合わせがどうも結びつかないのです。

もちろん、ネット上で仕込まれたものがたまたまそこにあるだけ、とも考えられますが
アドウェアが仕込まれるような不審なサイトには近づかないようにしていますし、
怪しいフリーソフトをダウンロードしたり、ということもなく
また、おかしな広告が挿入されるといったアドウェア特有の被害もありません。
アドウェア専門のadwcleanerでも検出されていないし、
そもそも、昨日malwarebytesでフルスキャンをかけた際には、そんなものは検出されませんでした。

といったことから、私はこの件についてmalwarebytes側の誤検出では?と思っておりますが、
いまいち確信が持てず、今後どうしたらいいのかが分かりません。
果たしてこれはアドウェアなのか、それとも正当なものなのでしょうか?
どうか、私に力を貸していただけませんか?
  • ペソネ
  • 2018/08/22 (Wed) 18:05:53
Re: NEC製のソフトがアドウェアとして検出された
HJTログ
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 17:58:42, on 2018/08/22
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.17134.0001)


Boot mode: Normal

Running processes:
C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\uiWinMgr.exe
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe
C:\Users\xxxx\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
O3 - Toolbar: セキュリティツールバー - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
O4 - HKLM\..\Run: [SmartUpdate] "C:\Program Files (x86)\NEC\SmartUpdate\reservesu.exe"
O4 - HKCU\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: lavieupdate32 - 819514B2-F9B0-41D2-9FB3-642E73ABF664 - (no file)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
O18 - Protocol: tmtbim - {0B37915C-8B98-4B9E-80D4-464D2C830D10} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ProToolbarIMRatingActiveX.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Security Solution Platform (Amsp) - Trend Micro Inc. - C:\Program Files (x86)\NTTW\SECURITY\AMSP\coreServiceShell.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\WINDOWS\System32\DriverStore\FileRepository\ki125017.inf_amd64_087ddbfd7d301d54\IntelCpHeciSvc.exe
O23 - Service: Intel(R) Content Protection HDCP Service (cplspcon) - Intel Corporation - C:\WINDOWS\System32\DriverStore\FileRepository\ki125017.inf_amd64_087ddbfd7d301d54\IntelCpHDCPSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\WINDOWS\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: @oem25.inf,%SERVICE_NAME%;Intel Bluetooth Service (ibtsiva) - Unknown owner - C:\WINDOWS\system32\ibtsiva (file missing)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Intel Corporation - C:\WINDOWS\System32\DriverStore\FileRepository\ki125017.inf_amd64_087ddbfd7d301d54\igfxCUIService.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Intel(R) TPM Provisioning Service - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\TPMProvisioningService.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NT Meter - NEC Personal Computers, Ltd. - c:\Windows\SysWOW64\NTMETER.exe
O23 - Service: Platinum Host Service - Trend Micro Inc. - C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\Pt\PtSvcHost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\WINDOWS\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\WINDOWS\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SgrmBroker.exe,-100 (SgrmBroker) - Unknown owner - C:\WINDOWS\system32\SgrmBroker.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\WINDOWS\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\WINDOWS\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%systemroot%\system32\xbgmsvc.exe,-100 (xbgm) - Unknown owner - C:\WINDOWS\system32\xbgmsvc.exe (file missing)

--
End of file - 6944 bytes

  • ペソネ
  • 2018/08/22 (Wed) 18:09:12
Re: NEC製のソフトがアドウェアとして検出された
CCログ
Apple Application Support(64 ビット) Apple Inc. 2018/05/16 153 MB 6.4
Groove ミュージック Microsoft Corporation 2018/08/11 10.18071.11711.0
HEVC Video Extensions from Device Manufacturer Microsoft Corporation 2018/08/15 1.0.12203.0
Intel(R) Management Engine Components Intel Corporation 2018/05/11 11.7.0.1028
Intel(R) Processor Graphics Intel Corporation 2018/05/15 22.20.16.4815
iPod Support Apple Inc. 2018/05/31 51.6 MB 120.7.3.55
iTunes Apple Inc. 2018/07/11 12080.150.37023.0
LAVIEアップデート NEC Personal Computers Ltd. 2018/05/15 3.0.31.0
LAVIEアップデート Dependency Library NECパーソナルコンピュータ株式会社 2018/03/08 7.51 MB 3.0.0.33
Malwarebytes バージョン 3.5.1.2522 Malwarebytes 2018/05/15 185 MB 3.5.1.2522
Microsoft Pay Microsoft Corporation 2018/05/15 2.2.18065.0
Microsoft Sticky Notes Microsoft Corporation 2018/05/15 2.1.18.0
Microsoft Store Microsoft Corporation 2018/07/31 11807.1001.13.0
Microsoft Store エクスペリエンス ホスト Microsoft Corporation 2018/08/03 11807.1001.1.0
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 2018/03/08 4.84 MB 8.0.61001
Microsoft Visual C++ 2005 Redistributable (x64) Microsoft Corporation 2018/03/08 6.83 MB 8.0.61000
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 Microsoft Corporation 2018/03/08 13.2 MB 9.0.30729.6161
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 2018/05/11 9.54 MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 2018/03/08 10.1 MB 9.0.30729.6161
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 Microsoft Corporation 2018/03/08 13.8 MB 10.0.40219
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 2018/03/08 11.1 MB 10.0.40219
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 Microsoft Corporation 2018/05/15 20.5 MB 11.0.61030.0
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 Microsoft Corporation 2018/05/15 17.3 MB 11.0.61030.0
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 Microsoft Corporation 2018/05/15 20.5 MB 12.0.21005.1
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 Microsoft Corporation 2018/05/15 20.5 MB 12.0.30501.0
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 Microsoft Corporation 2018/05/15 17.1 MB 12.0.30501.0
Microsoft Visual C++ 2015 RC Redistributable (x64) - 14.0.22816 Microsoft Corporation 2018/05/15 22.3 MB 14.0.22816.0
Mixed Reality ビューアー Microsoft Corporation 2018/07/31 5.1807.6012.0
Mozilla Firefox 61.0.2 (x64 ja) Mozilla 2018/08/10 145 MB 61.0.2
Mozilla Maintenance Service Mozilla 2018/08/08 489 KB 60.0
Mozilla Thunderbird 60.0 (x86 ja) Mozilla 2018/08/08 124 MB 60.0
MPEG2 Video Extension Microsoft Corporation 2018/05/15 1.0.6.0
NEC MFKB Driver NEC Personal Computers, Ltd. 2018/05/11 77.0 KB 1.19.1314
NX PAD Driver ELAN Microelectronic Corp. 2018/05/15 15.16.11.3
People Microsoft Corporation 2018/08/22 10.1807.2131.0
Realtek Card Reader Realtek Semiconductor Corp. 2018/05/15 14.6 MB 10.0.15063.21300
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2018/05/11 396 MB 6.0.1.8125
Web メディア拡張機能 Microsoft Corporation 2018/05/16 1.0.10671.0
Xbox Microsoft Corporation 2018/08/14 44.44.7002.0
Xbox Game bar Microsoft Corporation 2018/08/15 1.32.14001.0
Xbox Game Speech Window Microsoft Corporation 2018/05/15 1.21.13002.0
Xbox gaming overlay Microsoft Corporation 2018/07/27 1.16.1004.0
Xbox Identity Provider Microsoft Corporation 2018/06/01 12.41.24002.0
アプリ インストーラー Microsoft Corporation 2018/05/15 1.0.20921.0
アラーム & クロック Microsoft Corporation 2018/05/20 10.1805.1361.0
インテル(R) ワイヤレス Bluetooth(R) Intel Corporation 2018/07/17 13.4 MB 20.60.0
カメラ Microsoft Corporation 2018/07/04 2018.426.70.0
セキュリティ対策ツール 西日本電信電話株式会社 2018/05/15 12.11
セキュリティ対策ツール 西日本電信電話株式会社 2018/05/15 450 MB 12.11
バッテリ・リフレッシュ&診断ツール NEC Personal Computers Ltd. 2018/05/15 6.0.12.0
バッテリ・リフレッシュ&診断ツールLibrary NEC Personal Computers, Ltd. 2018/05/11 4.52 MB 6.0.14
ヒント Microsoft Corporation 2018/07/04 6.13.11581.0
フィードバック Hub Microsoft Corporation 2018/05/15 1.1712.1141.0
フォト Microsoft Corporation 2018/07/27 2018.18051.18420.0
ペイント 3D Microsoft Corporation 2018/08/20 5.1808.8017.0
ボイス レコーダー Microsoft Corporation 2018/05/20 10.1805.1201.0
マップ Microsoft Corporation 2018/06/10 5.1805.1431.0
メッセージング Microsoft Corporation 2018/05/15 3.38.22001.0
メール/カレンダー Microsoft Corporation 2018/08/22 16005.10325.20117.0
モバイル通信プラン Microsoft Corporation 2018/07/25 5.1807.1991.0
問い合わせ Microsoft Corporation 2018/07/19 10.1706.11801.0
日本語 ローカル エクスペリエンス パック Microsoft Corporation 2018/07/17 17134.8.14.0
映画 & テレビ Microsoft Corporation 2018/08/11 10.18071.11811.0
電卓 Microsoft Corporation 2018/08/22 10.1807.2121.0
  • ペソネ
  • 2018/08/22 (Wed) 18:11:02
まずは解析しないと何とも言えませんが
こんばんは。
お久しぶりです。
まずは説明をうかがいました。

MBAMでDealplyが検出されたそうですが、そのパスがNECのPCのセットアップファイルだったということですね。

現時点ではまだはっきりしたことはわかりませんが、NECのPC事業はレノボと共謀…もとい結託…じゃなくて提携して合弁事業になってますね。
以前のNEC製PCのデータがすべてレノボに吸収されたかどうかはともかく、その後リリースされたNECブランドのPCにレノボの技術が利用された可能性は高いでしょう。

リカバリ用のセットアップファイルにアドウェアに近い作りのものが組み込まれた可能性も捨てきれないでしょう。
元々旧NECのPCでもブラウザのIE用拡張としてBiglobeツールバーがプリインストールされていましたが、このツールバーもcnsmin絡みとしてグレーな評価を受けていたものでした。
初期状態でなにがしかのアドウェアが入っていたとすれば、リカバリしてもその初期状態に戻した時点でアドウェアも復活するということにはなりますね。

日本の大手メーカーPCは販売価格を少しでも安くするために、他の企業が開発したプログラムの機能制限版をプリインストールすることで宣伝費協力費等を負担してもらうことで販売価格を安くできました。
購入後にユーザーが不要と判断したものはユーザーが自分で削除しても問題ないですし、必要ならそのまま使ってくださいとのスタンスです。

本来のアドウェアはそういった性質のもので、正しく運用すれば開発元と提携企業、PCユーザーの3者がともにメリットを受ける便利で有用なものでした。

ですがここ10年ほどの間にアドウェアはまったく別の方向や性質に進化してしまい、その多くがマルウェアや詐欺プログラムと批判を受けるほど違う次元に移動しました。

アドウェア自体は違法なものではないので、現在各社がリリースしているアンチウイルスソフトでも検出処置対象にはなりません。
下手に対象にするとアドウェアベンダーから裁判を起こされてセキュリティベンダーのほうが不利な判決受けてしまうことが多いからです。
こんなサイトの管理人やってる自分ですがアドウェアというものの歴史に触れれば触れるほど闇が深いことを思い知らされ、今も確たる方針も定まらないのが現実です。

背景に関する御託はこのあたりで控えるとして、検出されたモノの解析してから判断を考えるのがいいでしょう。

まずは検出された時のMBAMログをレスで見せてもらえますか。
それとCCでの「スタートアップ」「ブラウザプラグイン」各タブのログもお願いします。

それらのログを見て、検出されたものと現在のPC状態を見てから対処を考えましょう
  • 悪代官
  • 2018/08/22 (Wed) 21:09:48
Re: NEC製のソフトがアドウェアとして検出された
こんばんは、悪代官さん。
お手数をおかけしますが確認の方をよろしくお願いいたします。

MBAMログです。
Malwarebytes
www.malwarebytes.com

-ログの詳細-
スキャン日付: 2018/08/22
スキャン時間: 15:23
ログファイル: f1cf76a0-a5d3-11e8-864d-fc6198fbbba6.json

-ソフトウェア情報-
バージョン: 3.5.1.2522
コンポーネントバージョン: 1.0.421
パッケージバージョンをアップデート: 1.0.6449
ライセンス: 無料版

-システム情報-
OS: Windows 10 (Build 17134.228)
CPU: x64
ファイルシステム: NTFS
ユーザー: DESKTOP-xxxxxxxx\xxxx

-スキャン結果の概要-
スキャンタイプ: カスタムスキャン
スキャン開始日時: マニュアル
結果: 完了
スキャンされたオブジェクト: 299679
検出された脅威: 1
隔離された脅威: 1
経過時間: 32 分 51 秒

-スキャンオプション-
メモリ: 有効
スタートアップ: 有効
ファイルシステム: 有効
アーカイブ: 有効
ルートキット: 有効
ヒューリスティック: 有効
PUP: 検出
PUM: 検出

-スキャンの詳細-
プロセス: 0
(悪意のあるアイテムは検出されませんでした)

モジュール: 0
(悪意のあるアイテムは検出されませんでした)

レジストリキー: 0
(悪意のあるアイテムは検出されませんでした)

レジストリ値: 0
(悪意のあるアイテムは検出されませんでした)

レジストリデータ: 0
(悪意のあるアイテムは検出されませんでした)

データストリーム: 0
(悪意のあるアイテムは検出されませんでした)

フォルダ: 0
(悪意のあるアイテムは検出されませんでした)

ファイル: 1
Adware.DealPly, C:\APSETUP\MKRCVCDLIBRARY\PROGRAM FILES\MKRCVCDLIBRARY\RERE.EXE, 隔離済み, [7608], [555106],1.0.6449

物理セクタ: 0
(悪意のあるアイテムは検出されませんでした)

WMI: 0
(悪意のあるアイテムは検出されませんでした)


(end)
  • ペソネ
  • 2018/08/22 (Wed) 21:16:50
Re: NEC製のソフトがアドウェアとして検出された
CCログです。

スタートアップ
無効 HKCU:Run OneDriveSetup Microsoft Corporation C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
有効 HKLM:Run ETDCtrl ELAN Microelectronics Corp. %ProgramFiles%\Elantech\ETDCtrl.exe
有効 HKLM:Run Platinum Trend Micro Inc. "C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\Pt\PtSessionAgent.exe" 1
有効 HKLM:Run RTHDVCPL Realtek Semiconductor "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" -s
有効 HKLM:Run SecurityHealth Microsoft Corporation %ProgramFiles%\Windows Defender\MSASCuiL.exe
有効 HKLM:Run SmartUpdate NEC Personal Computers,Ltd. "C:\Program Files (x86)\NEC\SmartUpdate\reservesu.exe"
有効 HKLM:Run Trend Micro Client Framework Trend Micro Inc. "C:\Program Files (x86)\NTTW\SECURITY\UniClient\UiFrmWrk\UIWatchDog.exe"

スケジュールされたタスク
有効 Task necBattRegFix NEC Personal Computers, Ltd. "C:\Program Files\necbatt\instnbw.exe"
有効 Task necNbSchedRun NEC Personal Computers, Ltd. "C:\Program Files\necbatt\nbSched.exe"
有効 Task OneDrive Standalone Update Task v2 %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe

コンテキストメニュー
有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location -literalPath '%V'
有効 Directory ファイルの所有権
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location -literalPath '%V'
有効 File MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll
有効 File {48F45200-91E6-11CE-8A4F-0080C81A28D4} Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\UniClient\UiFrmwrk\tmdshell.dll
有効 Folder MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll
有効 Folder {48F45200-91E6-11CE-8A4F-0080C81A28D4} Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\UniClient\UiFrmwrk\tmdshell.dll

プラグインメニュー
IE
有効 Helper トレンドマイクロセキュリティツールバーヘルパー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
有効 Helper トレンドマイクロセキュリティツールバーヘルパー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\ToolbarIE64\ToolbarIE.dll
有効 Toolbar セキュリティツールバー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
有効 Toolbar セキュリティツールバー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\ToolbarIE64\ToolbarIE.dll

FF
有効 Extension Activity Stream 2018.06.29.1026-fa231556 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\activity-stream@mozilla.org.xpi
有効 Extension Application Update Service Helper 2.0 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\aushelper@mozilla.org.xpi
有効 Extension Firefox Screenshots 32.1.0 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\screenshots@mozilla.org.xpi
有効 Extension Form Autofill 1.0 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\formautofill@mozilla.org.xpi
有効 Extension Photon onboarding 1.0 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\onboarding@mozilla.org.xpi
有効 Extension Pocket 1.0.5 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\firefox@getpocket.com.xpi
無効 Extension Trend Micro Toolbar 12.0.0.1252 default Firefox 61.0.2 C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\Toolbar\firefoxextension
有効 Extension uBlock Origin 1.16.16 All uBlock Origin contributors default Firefox 61.0.2 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\extensions\uBlock0@raymondhill.net.xpi
有効 Extension Web Compat 2.0 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\webcompat@mozilla.org.xpi
有効 Extension WebCompat Reporter 1.0.0 default Firefox 61.0.2 C:\Program Files\Mozilla Firefox\browser\features\webcompat-reporter@mozilla.org.xpi
有効 Plugin 1.4.8.1008 Google Inc. default Firefox 61.0.2 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\gmp-widevinecdm\1.4.8.1008\widevinecdm.dll
有効 Plugin OpenH264 Video Codec 1.7.1 Mozilla Corporation default Firefox 61.0.2 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\gmp-gmpopenh264\1.7.1\gmpopenh264.dll
  • ペソネ
  • 2018/08/22 (Wed) 21:22:59
Re: NEC製のソフトがアドウェアとして検出された
現状、PCの状態に異常は無いように思えます。

Dealplyの主な症状として、通販サイト閲覧時にポップアップが出るとのことでしたので
アマゾンと楽天で試してみましたが、そういったこともありませんでした。

ところで、悪代官さんに一つ質問があるのですが、
今の状態でメールやサイトにログインしたり、といったことはやめた方がいいのでしょうか?
  • ペソネ
  • 2018/08/23 (Thu) 09:25:11
VTにかけてみますか
こんばんは。
レスが遅くなってすみません。

MBAMとCCのログも見せてもらいました。

CC上では特に怪しそうな痕跡は見えませんね。

MBAMで検出されたのは下記ですね。
>Adware.DealPly, C:\APSETUP\MKRCVCDLIBRARY\PROGRAM FILES\MKRCVCDLIBRARY\RERE.EXE, 隔離済み, [7608], [555106],1.0.6449

パスから見ると確かにNEC製PCの再セットアップ用フォルダですね。

隔離されているRERE.EXEを解析にかけましょう。

まずMBAMを起動して、画面左側の「隔離」を押すとMBAMで検出後に隔離されたモノのリストが出ます。
そこで件のRERE.EXEを選択して「復元」を押すとそれが元のパスに復元されます。

復元されたら今度はブラウザ起動して下記サイトにアクセスです。
「virustotal」
https://www.virustotal.com/ja/

そこで「ファイルを選択」で該当ファイルを指定したら「スキャンする」で開始されます。

しばらく待ってスキャン終了したらその結果が出るので、その結果ページのURLをレスに貼って見せてください。
  • 悪代官
  • 2018/08/23 (Thu) 17:47:35
Re: NEC製のソフトがアドウェアとして検出された
悪代官さん、遅くなりまして申し訳ございません。
こちらのURLがvirustotalでスキャンした結果になります。
https://www.virustotal.com/ja/file/dfbfc925a38a96c6764ecd29cfc5436a4c19f8185f5aa045266dae20d7ab9bcc/analysis/1535019770/

参考になるかどうかは分かりませんが、一応NECのカスタマーサポートに、
このファイルがデフォルトの状態で存在するのか確認を取ってみたところ
確かにこのファイルは入っているとのことでした。何か解析の手掛かりになりますでしょうか?

  • ペソネ
  • 2018/08/23 (Thu) 19:25:25
MBAMの誤検出。NECサポートに連絡を
早速の作業と報告、ご苦労様です。
スキャン結果のページを見せてもらいました。

>NECのカスタマーサポートに、
>このファイルがデフォルトの状態で存在するのか確認を取ってみたところ
>確かにこのファイルは入っているとのことでした

確認もありがとうございます。その対処も役に立ちました。

結果から書くと今回の検出はMBAMでの誤検出と見られます。
他ベンダーのエンジンでは検出されませんし、スキャン結果の「ファイル詳細」を見ても正規のものです。
MBAMの勇み足ですね。

よければ再度ペソネさんからNECサポートに連絡して、今回の検出がMBAMによる誤検出らしいと伝えておくといいでしょう。
他のユーザーへのサポートも必要になるかもしれないので、NECには早めにその情報を伝えておくのが安全です。
何なら当掲示板のこのスレのURLもNECサポートに見せてもらってかまいません。

今後NECからMBAM側に誤検出修正の要請が行くと思いますが、要請を受けて定義更新時に修正されて誤検出がされなくなるまでには日数かかるかもしれないので、他のNECユーザーがMBAMでリカバリ用ファイルを削除しないことを祈ります
  • 悪代官
  • 2018/08/23 (Thu) 20:06:17
Re: NEC製のソフトがアドウェアとして検出された
悪代官さん、返信ありがとうございます。

やはり本件はmalwarebytes側の誤検出だったのですね。
マルウェア検出時「気を付けていたはずなのに...」とショックを受けていたのですが
今回もふたを開けてみれば、こうして何事も無かったことが分かり
ホッとすると同時に、自分がネットを使う際、
ここで悪代官さんに教わったことがきちんと生かされていることを実感いたしました。改めて感謝しております。
明日、NECサポートの方にこの件を報告しておこうと思います。

ところで、一つ質問があるのですが、誤検出ということは
いつも通りにサイトにログインしたり、メールを使ったりといったことを行ってもいいのですよね?
  • ペソネ
  • 2018/08/23 (Thu) 20:46:02
誤検出なら危険はないでしょう
>誤検出ということは
>いつも通りにサイトにログインしたり、メールを使ったりといったことを行ってもいいのですよね?

はい、他に異常なければ普通にPC使っても構わないでしょう。

自分からも他のNECユーザーへの注意喚起としてブログに記事をupしました。
https://blogs.yahoo.co.jp/fukumadenbekkan/58189278.html

他の方が検出された対象を削除してしまう前に間に合うといいのですが
  • 悪代官
  • 2018/08/23 (Thu) 21:10:13
Re: NEC製のソフトがアドウェアとして検出された
悪代官さん、返信ありがとうございます。

ログインやメールはしてもいいのですね。無事使える様になってホッとしております。

「再セットアップメディア作成ツール」の件につきましては、
malwarebytesを昨日の午後にアップデートをしてから検出されたので、
削除してしまうかも、という懸念についてはまだ間に合うと思っています。

この問題が発生してから、何も出来ずにおりましたので
アドバイスしていただけて、とても助かりました。
またご迷惑をお掛けしてしまうかも知れませんが、その際はよろしくお願いいたします。

  • ペソネ
  • 2018/08/23 (Thu) 22:29:39
Re: NEC製のソフトがアドウェアとして検出された
今日この件をNECに報告して参りました。
一応報告しておきます。
  • ペソネ
  • 2018/08/24 (Fri) 13:16:31

返信フォーム






プレビュー (投稿前に内容を確認)