悪代官の伏魔殿掲示板
アドウェアに感染?しているかも知れないのに、何も検出されない
悪代官さんお久しぶりです。
以前NEC製アプリの誤検出の件でお世話になりました、ペソネと申します。
アドウェアについて相談したいことがあるのですが、よろしいでしょうか?

先日ネットを見ていた時に「ads.pubmatic.com」なる見覚えの無いアドレスとの通信がありました。
いつも見ているサイトだったので、広告を新しく導入したのかな位に思っていたのですが
少々不審な点がありまして、その広告はサイトの全てのページで表示される訳ではなく
私がお気に入りに入れている一部のページでのみ出てくるのです。
(該当ページを検索エンジンのリンクから入った時は表示されませんでした)

「ads.pubmatic.com」を検索にかけると、少々お行儀の悪い業者らしく、
やれアドウェアだの、ウィルスだのといった物騒な検索結果が出てきて
一応アドインでブロックはしていたものの、先述のお気に入りからだけ表示される件が気になり
もしやブラウザに何かねじ込まれているのかも?と不安になってしまいました。

そこで、対策のためにAdwcleanerを使って駆除を試みてみたのですが、検出はゼロ。
ウィルス対策ソフトでもフルスキャンをかけてみたものの何も出ずといった結果に。
正直私個人の力では手詰まりになっております。

何故「ads.pubmatic.com」は表示されたのでしょうか?
お手間をおかけしますが、どうか私にお知恵を貸していただけませんか?

  • ペソネ
  • 2018/12/02 (Sun) 16:43:45
返信フォームへ 
Re: アドウェアに感染?しているかも知れないのに、何も検出されない
HJTログ
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 17:06:24, on 2018/12/02
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.17763.0001)


Boot mode: Normal

Running processes:
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\uiWinMgr.exe
c:\ProgramData\smartupdate\SUMAIN\SmartUpdate.exe
C:\Users\xxxx\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
O3 - Toolbar: セキュリティツールバー - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
O4 - HKLM\..\Run: [SmartUpdate] "C:\Program Files (x86)\NEC\SmartUpdate\reservesu.exe"
O4 - HKCU\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
O4 - HKUS\S-1-5-21-4010011765-3146952181-153071897-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11292018194827800\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User '?')
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: lavieupdate32 - 819514B2-F9B0-41D2-9FB3-642E73ABF664 - (no file)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
O18 - Protocol: tmtbim - {0B37915C-8B98-4B9E-80D4-464D2C830D10} - C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ProToolbarIMRatingActiveX.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Security Solution Platform (Amsp) - Trend Micro Inc. - C:\Program Files (x86)\NTTW\SECURITY\AMSP\coreServiceShell.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\WINDOWS\System32\DriverStore\FileRepository\ki125017.inf_amd64_087ddbfd7d301d54\IntelCpHeciSvc.exe
O23 - Service: Intel(R) Content Protection HDCP Service (cplspcon) - Intel Corporation - C:\WINDOWS\System32\DriverStore\FileRepository\ki125017.inf_amd64_087ddbfd7d301d54\IntelCpHDCPSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe
O23 - Service: @oem18.inf,%SERVICE_NAME%;Intel Bluetooth Service (ibtsiva) - Unknown owner - C:\WINDOWS\system32\ibtsiva (file missing)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Intel Corporation - C:\WINDOWS\System32\DriverStore\FileRepository\ki125017.inf_amd64_087ddbfd7d301d54\igfxCUIService.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Intel(R) TPM Provisioning Service - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\TPMProvisioningService.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NT Meter - NEC Personal Computers, Ltd. - c:\Windows\SysWOW64\NTMETER.exe
O23 - Service: @%systemroot%\system32\PerceptionSimulation\PerceptionSimulationService.exe,-101 (perceptionsimulation) - Unknown owner - C:\WINDOWS\system32\PerceptionSimulation\PerceptionSimulationService.exe (file missing)
O23 - Service: Platinum Host Service - Trend Micro Inc. - C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\Pt\PtSvcHost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\WINDOWS\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\WINDOWS\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SgrmBroker.exe,-100 (SgrmBroker) - Unknown owner - C:\WINDOWS\system32\SgrmBroker.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\WINDOWS\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\WINDOWS\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 7025 bytes
  • ペソネ
  • 2018/12/02 (Sun) 17:08:28
返信フォームへ 
Re: アドウェアに感染?しているかも知れないのに、何も検出されない
CCインストールログ
3D Viewer Microsoft Corporation 2018/10/28 5.1810.23012.0
Apple Application Support(64 ビット) Apple Inc. 2018/05/16 153 MB 6.4
BUFFALO エアステーション設定ツール BUFFALO INC. 2018/11/13 2.69 MB 2.0.19
Groove ミュージック Microsoft Corporation 2018/11/29 10.18102.10531.0
HEIF 画像拡張機能 Microsoft Corporation 2018/11/19 1.0.12812.0
HEVC Video Extensions from Device Manufacturer Microsoft Corporation 2018/10/17 1.0.12693.0
Intel(R) Management Engine Components Intel Corporation 2018/05/11 11.7.0.1028
Intel(R) Processor Graphics Intel Corporation 2018/05/15 22.20.16.4815
iPod Support Apple Inc. 2018/05/31 51.6 MB 120.7.3.55
iTunes Apple Inc. 2018/11/10 12091.4.37126.0
LAVIEアップデート NEC Personal Computers Ltd. 2018/05/15 3.0.31.0
LAVIEアップデート Dependency Library NECパーソナルコンピュータ株式会社 2018/03/08 7.51 MB 3.0.0.33
Malwarebytes バージョン 3.6.1.2711 Malwarebytes 2018/09/20 192 MB 3.6.1.2711
Microsoft Pay Microsoft Corporation 2018/10/03 2.2.18179.0
Microsoft Sticky Notes Microsoft Corporation 2018/12/01 3.1.46.0
Microsoft Store Microsoft Corporation 2018/11/06 11810.1001.12.0
Microsoft Store エクスペリエンス ホスト Microsoft Corporation 2018/11/06 11810.1001.10.0
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 2018/03/08 4.84 MB 8.0.61001
Microsoft Visual C++ 2005 Redistributable (x64) Microsoft Corporation 2018/03/08 6.83 MB 8.0.61000
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 Microsoft Corporation 2018/03/08 13.2 MB 9.0.30729.6161
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 2018/05/11 9.54 MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 2018/03/08 10.1 MB 9.0.30729.6161
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 Microsoft Corporation 2018/03/08 13.8 MB 10.0.40219
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 2018/03/08 11.1 MB 10.0.40219
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 Microsoft Corporation 2018/10/03 20.5 MB 11.0.61030.0
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 Microsoft Corporation 2018/10/03 17.3 MB 11.0.61030.0
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 Microsoft Corporation 2018/10/03 20.5 MB 12.0.21005.1
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 Microsoft Corporation 2018/10/03 20.5 MB 12.0.30501.0
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 Microsoft Corporation 2018/10/03 17.1 MB 12.0.30501.0
Microsoft Visual C++ 2015 RC Redistributable (x64) - 14.0.22816 Microsoft Corporation 2018/10/03 22.3 MB 14.0.22816.0
Mixed Reality ポータル Microsoft Corporation 2018/11/06 2000.18100.1171.0
Mozilla Firefox 63.0.3 (x64 ja) Mozilla 2018/11/17 170 MB 63.0.3
Mozilla Maintenance Service Mozilla 2018/10/03 489 KB 60.0
Mozilla Thunderbird 60.3.1 (x86 ja) Mozilla 2018/11/15 125 MB 60.3.1
MPEG-2 ビデオ拡張機能 Microsoft Corporation 2018/10/12 1.0.12831.0
NEC MFKB Driver NEC Personal Computers, Ltd. 2018/05/11 77.0 KB 1.19.1314
NX PAD Driver ELAN Microelectronic Corp. 2018/10/03 15.16.11.3
People Microsoft Corporation 2018/10/02 10.1808.2473.0
Realtek Card Reader Realtek Semiconductor Corp. 2018/10/03 14.6 MB 10.0.15063.21300
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2018/05/11 396 MB 6.0.1.8125
VP9 ビデオ拡張機能 Microsoft Corporation 2018/12/01 1.0.12962.0
Web メディア拡張機能 Microsoft Corporation 2018/11/09 1.0.12902.0
Webp 画像拡張機能 Microsoft Corporation 2018/11/09 1.0.12821.0
Xbox Microsoft Corporation 2018/08/14 44.44.7002.0
Xbox Game bar Microsoft Corporation 2018/12/01 1.35.29001.0
Xbox Game Speech Window Microsoft Corporation 2018/05/15 1.21.13002.0
Xbox Identity Provider Microsoft Corporation 2018/09/14 12.45.6001.0
アプリ インストーラー Microsoft Corporation 2018/10/03 1.0.22011.0
アラーム & クロック Microsoft Corporation 2018/11/03 10.1809.2731.0
インテル(R) ワイヤレス Bluetooth(R) Intel Corporation 2018/07/17 13.4 MB 20.60.0
カメラ Microsoft Corporation 2018/11/13 2018.824.60.0
ゲーム バー Microsoft Corporation 2018/10/24 2.22.11001.0
スマホ同期 Microsoft Corporation 2018/12/01 1.0.13242.0
セキュリティ対策ツール 西日本電信電話株式会社 2018/05/15 450 MB 12.11
セキュリティ対策ツール 西日本電信電話株式会社 2018/05/15 12.11
バッテリ・リフレッシュ&診断ツール NEC Personal Computers Ltd. 2018/05/15 6.0.12.0
バッテリ・リフレッシュ&診断ツールLibrary NEC Personal Computers, Ltd. 2018/05/11 4.52 MB 6.0.14
ヒント Microsoft Corporation 2018/10/09 6.15.12641.0
フィードバック Hub Microsoft Corporation 2018/09/08 1.1805.2331.0
フォト Microsoft Corporation 2018/11/14 2018.18091.17210.0
ペイント 3D Microsoft Corporation 2018/09/20 5.1809.1017.0
ボイス レコーダー Microsoft Corporation 2018/10/17 10.1809.2731.0
マップ Microsoft Corporation 2018/11/29 5.1811.3233.0
メッセージング Microsoft Corporation 2018/11/09 4.1810.2922.0
メール/カレンダー Microsoft Corporation 2018/11/21 16005.11001.20106.0
モバイル通信プラン Microsoft Corporation 2018/10/09 5.1809.2571.0
切り取り & スケッチ Microsoft Corporation 2018/11/19 10.1809.2964.0
問い合わせ Microsoft Corporation 2018/11/01 10.1706.12921.0
日本語 ローカル エクスペリエンス パック Microsoft Corporation 2018/11/24 17763.7.12.0
映画 & テレビ Microsoft Corporation 2018/10/28 10.18082.13811.0
電卓 Microsoft Corporation 2018/10/17 10.1809.2731.0

何度もお手を煩わせてしまい大変申し訳ありませんが、どうかよろしくお願いします。
  • ペソネ
  • 2018/12/02 (Sun) 17:15:21
返信フォームへ 
閲覧したページの広告絡みですか
こんばんは。
お久しぶりです。

>先日ネットを見ていた時に「ads.pubmatic.com」なる見覚えの無いアドレスとの通信がありました

米国に鯖がある広告業者ですね。

>「ads.pubmatic.com」を検索にかけると、少々お行儀の悪い業者らしく、
>やれアドウェアだの、ウィルスだのといった物騒な検索結果が出てきて

はい、そのワードでweb検索すると海外のページや機械翻訳の怪しい日本語ページがヒットするようですが、現時点のログを見ると変なものを食らっている可能性は低いでしょう。
というより、アドウェアベンダーはどこも互いが苛烈な対立関係にあるようなものなので、特にそこそこ名が知られている広告業者は他の業者が疑わしいとの情報を流布して削除推奨の工作を展開しあうことも珍しくありません。

今回は閲覧したページに埋め込まれた広告がads.pubmatic.comの物だったためにその通信を検知したんでしょうが、こういう場合ならブラウザ終了後にcookieも全削除すればよほど悪質なcookieでない限り消えます。

自分はこういうサイトを管理してますが、web広告やアドウェアが悪とは思ってないんですよ。
本来のアドウェアやweb広告はそれを受け入れる代わりにプログラム製作費用や運営費をいくばくか援助することで成り立っています。
運用の意図と用途、性質を正しく理解したうえで運用すればプログラム製作者及びサイト管理者、広告業者、そしてそれを利用する一般ユーザーの3者にとってともに便利で有用なものです。

ですが現在のネット上で幅を利かせているのはアドウェアとは言い難い詐欺並みの悪質コンテンツが大半です。

それでも広告すべてを受け入れず排除するのは難しいでしょう。
特定の会社が配信する広告をみなブロックするプログラムをセキュリティソフトベンダーがリリースしたら広告業者から営業妨害として賠償請求を起こされ、しかも裁判では広告業者に有利な判決が出るのが一般的です。

ネット上でフリーソフト、無償サービスを利用するならどうしても広告を受け入れざるを得ないのが現実です。
要はどこまでPCのリソースや通信量消費を許容できるか、各ユーザーが判断することになります。

上記を踏まえて、特定のサイト、鯖への通信をまとめて弾きたいなら可能ではあります。
Windows正規のhostsファイルを編集して除外したいサイト、鯖を追加する方法です。

下記のパスにあるhostsファイルをメモ帳で開いてください。

C:\Windows\System32\drivers\etc\hosts

そこで下記のように表示されたURLが並んでいるはずですが、
127.0.0.1 (なんとか).com

そのなんとかcomのひとつのURLをブラウザのアドレスバーにコピペで貼り付けて移動してみてください。
セキュリティソフトの設定に関係なくアクセスできないはずです。
これを利用して、先のads.pubmatic.comも下記のように追加すれば以後はユーザーがアクセスしたくてもアクセスできなくなります。

127.0.0.1 ads.pubmatic.com

ただしhostsファイルは間違った操作すると正常で安全なサイトも含めてネット接続が異常きたしたり、逆に危険なサイトをブロックできなくなる危険な事態もあっさり起きます。
hosts編集は完全にユーザー自身が慎重な操作で自己責任での判断となるのをお忘れなく。
またhostsファイルは「読み取り専用」になっていることも多いので、hostsファイルを右クリックして「プロパティ」の「全般」タブを開き、「読み取り専用」欄にチェック入っていたらそのチェックを外してから編集し、作業終わったらチェックを戻すことも大事です。

うざい広告を排除したいからとその業者鯖をhosts登録したらさまざまな弊害も覚悟しましょう。
一例としては日本の大手出版社が運営するwebコミックサイトも広告ブロックすると閲覧できなくなったりもします。
出版社も広告業者と契約してサイトとサービス提供しているので、サイト利用上の規約にもその旨記述があれば利用者はその範囲内で規約を守らないと利用させてもらえません。

hostsの編集は自分の私見では非推奨なので判断はお任せするとして、今のところ感染や攻撃被害のおそれは低いので不安がらなくていいでしょう。
一応またCCでスタートアップとブラウザプラグインの各タブのログもとってから、それも追加で見せてもらえますか。
現在Chromeは使ってないようですがFirefoxでもIEでもブラウザ設定に食い込むモノはいくらでもあるので、念のため確認しておきましょう
  • 悪代官
  • 2018/12/02 (Sun) 19:30:13
返信フォームへ 
Re: アドウェアに感染?しているかも知れないのに、何も検出されない
悪代官さんこんばんは。お世話になっております。
こんなにも早く返信して頂いてありがとうございます。

>>今のところ感染や攻撃被害のおそれは低いので不安がらなくていいでしょう。

そう仰っていただいて、安心いたしました。
検索結果にロクなものが出てこず、生きた心地がしませんでしたので。

これからログを確認して頂くということで、
またもやお手間をお掛けしますが、どうかよろしくお願いいたします。






  • ペソネ
  • 2018/12/02 (Sun) 20:52:45
返信フォームへ 
Re: アドウェアに感染?しているかも知れないのに、何も検出されない
CCログ

スタートアップ
無効 HKCU:Run OneDriveSetup Microsoft Corporation C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
有効 HKLM:Run ETDCtrl ELAN Microelectronics Corp. %ProgramFiles%\Elantech\ETDCtrl.exe
有効 HKLM:Run NECMFK NEC Personal Computers, Ltd. C:\Program Files\necmfk\necmfk.exe
有効 HKLM:Run Platinum Trend Micro Inc. "C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\Pt\PtSessionAgent.exe" 1
有効 HKLM:Run RTHDVCPL Realtek Semiconductor "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" -s
有効 HKLM:Run SecurityHealth Microsoft Corporation %windir%\system32\SecurityHealthSystray.exe
有効 HKLM:Run SmartUpdate NEC Personal Computers,Ltd. "C:\Program Files (x86)\NEC\SmartUpdate\reservesu.exe"
有効 HKLM:Run Trend Micro Client Framework Trend Micro Inc. "C:\Program Files (x86)\NTTW\SECURITY\UniClient\UiFrmWrk\UIWatchDog.exe"

スケジュールタスク
有効 Task necBattRegFix NEC Personal Computers, Ltd. "C:\Program Files\necbatt\instnbw.exe"
有効 Task necNbSchedRun NEC Personal Computers, Ltd. "C:\Program Files\necbatt\nbSched.exe"
有効 Task OneDrive Standalone Update Task v2 %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe

コンテキストメニュー
有効 Directory PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location -literalPath '%V'
有効 Directory ファイルの所有権
有効 Drive PowerShell ウィンドウをここに開く(S) powershell.exe -noexit -command Set-Location -literalPath '%V'
有効 File MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll
有効 File {48F45200-91E6-11CE-8A4F-0080C81A28D4} Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\UniClient\UiFrmwrk\tmdshell.dll
有効 Folder MBAMShlExt Malwarebytes C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll
有効 Folder {48F45200-91E6-11CE-8A4F-0080C81A28D4} Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\UniClient\UiFrmwrk\tmdshell.dll

ブラウザプラグイン
IE
有効 Helper トレンドマイクロセキュリティツールバーヘルパー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
有効 Helper トレンドマイクロセキュリティツールバーヘルパー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\ToolbarIE64\ToolbarIE.dll
有効 Toolbar セキュリティツールバー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\ToolbarIE.dll
有効 Toolbar セキュリティツールバー Trend Micro Inc. C:\Program Files (x86)\NTTW\SECURITY\SEC\plugin\ToolbarIE64\ToolbarIE.dll

FF
有効 Extension Application Update Service Helper 2.0 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\aushelper@mozilla.org.xpi
有効 Extension Firefox Monitor 2.8 default Firefox 63.0.3 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\features\{9087c49c-749a-450c-bb28-8f35c25376ef}\fxmonitor@mozilla.org.xpi
有効 Extension Firefox Screenshots 33.0.0 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\screenshots@mozilla.org.xpi
有効 Extension Form Autofill 1.0 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\formautofill@mozilla.org.xpi
有効 Extension Photon onboarding 1.0 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\onboarding@mozilla.org.xpi
有効 Extension Pocket 1.0.5 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\firefox@getpocket.com.xpi
無効 Extension Trend Micro Toolbar 15.0.0.1151 default Firefox 63.0.3 C:\Program Files (x86)\NTTW\SECURITY\SEC\UIFramework\Toolbar\firefoxextension
有効 Extension uBlock Origin 1.17.4 All uBlock Origin contributors default Firefox 63.0.3 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\extensions\uBlock0@raymondhill.net.xpi
有効 Extension Web Compat 2.0.1 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\webcompat@mozilla.org.xpi
有効 Extension WebCompat Reporter 1.0.0 default Firefox 63.0.3 C:\Program Files\Mozilla Firefox\browser\features\webcompat-reporter@mozilla.org.xpi
有効 Plugin 1.4.9.1088 Google Inc. default Firefox 63.0.3 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\gmp-widevinecdm\1.4.9.1088\widevinecdm.dll
有効 Plugin OpenH264 Video Codec 1.7.1 Mozilla Corporation default Firefox 63.0.3 C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\xuicbt2y.default\gmp-gmpopenh264\1.7.1\gmpopenh264.dll
  • ペソネ
  • 2018/12/02 (Sun) 20:57:41
返信フォームへ 
プライベートブラウザも活用を
早速の作業と報告、ご苦労様です。
CCのログも見せてもらいましたが、特に不審な痕跡は見えませんね。
やはり広告の通信を検知した程度でしょう。

ACやMBAMでスキャンしてなにか見つかっているならそのログも見せてもらえば解析しますが、何も検出なかったならそれも不要でしょう。

既に使っているかもしれませんが、ブラウザでプライベートモードを使えば履歴等もブラウザ終了時に全削除されるのでセキュリティ上有用です。
https://dekiru.net/article/1043/

https://support.mozilla.org/ja/kb/private-browsing-use-firefox-without-history

Chromeなら「シークレットウインドウ」と呼称されますが大体同じような性質です。
注意すべき点としてはこのモードだといくつかのサイト、サービスを利用できないこともある点です。
それでもセキュリティ上は幾分プラスになるので、プライベートモードではアクセスできない場合にだけ通常モードでのブラウジングを使うのがいいでしょう。

各ブラウザごとにcookieが保存されるフォルダもあるので、そこを調べればおかしなcookieを食わされてないか調べることも可能ですが、そのあたりは今後セキュリティを高めたいならご自身で調べて見るのが身につきます。
cookie検出に強いセキュリティソフトではSuperAntiSpyware(SAS)がありますが、知らずに使うと特に危険な検出はないのにcookieばかり大量に検出されて慌てることもありますよ。

最近ではウイルスバスタークラウドもcookie検出に敏感ですが、これは過剰反応が過ぎるレベルかと思われ、それでcookie検出に驚いたユーザーからの相談があちこちの質問サイトに上がることも増えてます。

cookieも行儀悪いモノがありますが自分から不審なサイトに行かなければそこまで厄介なcookieを食わされることもないので疑心暗鬼にならないことです
  • 悪代官
  • 2018/12/02 (Sun) 22:13:09
返信フォームへ 
一応注意点も書いておきますね
おはようございます、IVNOと申します。
悪代官さんがプライベートウィンドウに関して記載されましたので、そちらを利用の際の注意点を書かせていただきます。

確かにプライベートウィンドウであれば、キャッシュ(閲覧履歴)にも保存されずCookie(入力情報)も残らないというメリットがあります。
そして一部ブラウザではメリットとデメリットが共存している機能として、アドオンの無効と拡張機能の無効化があります。
アドオンや拡張機能を搭載していた場合、それらはすべて無効化された状態で起動します。
これはブラウザが感染している場合には特に効果が高いですが、同時にセキュリティソフトによるブラウザ監視の拡張機能も無効になります。
もちろん、プライベートブラウジングでもセキュリティソフト本体による監視は動作しています。
しかしそれをさらに踏み込んで監視している拡張機能がないため、ブラウザの監視能力の低下は必至です。
そのため閲覧先を厳選し、いつも以上に不必要なサイトにはアクセスしないよう注意なされてください。
とは言え、上記の通りすべてのブラウザでアドオンや拡張機能が無効化されるわけではなく、そこは使用するブラウザ次第ではあります。
例えばIntenet ExplorerのInPrivateブラウズはこれに該当しますが、Microsoft EdgeのInPrivateブラウズはこれに該当しません。
  • IVNO
  • 2018/12/03 (Mon) 05:13:56
返信フォームへ 
Re: アドウェアに感染?しているかも知れないのに、何も検出されない
悪代官さん、IVNOさん返信ありがとうございます。

>>ACやMBAMでスキャンしてなにか見つかっているならそのログも見せてもらえば解析しますが、何も検出なかったならそれも不要でしょう。
改めてACやMBAMでスキャンしてみましたが、検出はありませんでした。

>>ブラウザでプライベートモードを使えば履歴等もブラウザ終了時に全削除されるのでセキュリティ上有用です
>>cookieも行儀悪いモノがありますが自分から不審なサイトに行かなければそこまで厄介なcookieを食わされることもないので疑心暗鬼にならないことです
プライベートモードは以前使った事があったのですが、IVNOさんが指摘していらっしゃっている様に
アドインとの相性が悪く、起動時に設定が全てリセットされてしまう等の弊害がありまして、現在は使っておりません。
一応、ブラウザの設定でサードパーティのCookieをブロックしたり、閉じる際にCookieを全削除したりといった
自分でも出来そうな対策は行ってはいるのですが、ブロック数が跳ね上がったのを見て、どうにも疑心暗鬼になっていました。
親切にアドバイスして頂きとても助かりました。重ね重ねありがとうございました。

  • ペソネ
  • 2018/12/03 (Mon) 20:43:42
返信フォームへ 

返信フォーム
プレビュー (投稿前に内容を確認)
  
Template by  マシマロック