window
トップページ > 記事閲覧
このエントリーをはてなブックマークに追加
* ブラウザ乗っ取り(www.duba.com)

日時: 2018/01/08(月) 02:19:32 < ID:Ap2CXrSFI0 >メンテ
名前: gon
参照: https://www.duba.com/?f=chedh&ft=gjlock&--type=0&hid=2_10_&pru=1

Download:181_0.txt 181_0.txt

こんばんは。
Chrome起動時のホームページがhttps://www.duba.com/?f=chedh&ft=gjlock&--type=0&hid=2_10_&pru=1に書き換えられました。
過去のスレッドを参考にAdwCleaner、Farber Recovery Scan Toolを使用し、ログを作成しました。
ご確認いただきアドバイスをお願い致します。

 
Page: [1]
* Re: ブラウザ乗っ取り(www.duba.com) ( No.1 )
日時: 2018/01/08(月) 02:21:47 < ID:Ap2CXrSFI0 >メンテ
名前: gon
参照: https://www.duba.com/?f=chedh&ft=gjlock&--type=0&hid=2_10_&pru=1

Download:181_1.txt 181_1.txt

AdwCleaner[C0].txt
(最初のファイルはAdwCleaner[S0].txtです)

* Re: ブラウザ乗っ取り(www.duba.com) ( No.2 )
日時: 2018/01/08(月) 02:24:35 < ID:Ap2CXrSFI0 >メンテ
名前: gon
参照: https://www.duba.com/?f=chedh&ft=gjlock&--type=0&hid=2_10_&pru=1

Download:181_2.txt 181_2.txt

FRST.txt

* Re: ブラウザ乗っ取り(www.duba.com) ( No.3 )
日時: 2018/01/08(月) 02:27:15 < ID:Ap2CXrSFI0 >メンテ
名前: gon
参照: https://www.duba.com/?f=chedh&ft=gjlock&--type=0&hid=2_10_&pru=1

Download:181_3.txt 181_3.txt

Addition.txt

以上です、宜しくお願い致します。

* Re: ブラウザ乗っ取り(www.duba.com) ( No.4 )
日時: 2018/01/08(月) 21:05:19 < ID:E9pic0nBW1 >メンテ
名前: イルカ@管理人
参照: http://www59.atwiki.jp/malware_laboratory/

gon さん、こんばんは。管理人のイルカです。
実に4か月ぶりの来客です…。

調べてみましたが、Kingsoft Internet Security (KIS) と一緒に入ってきた可能性が高いです。
最近KISで何かしなかったでしょうか。
下記手順でも直らない場合は、KIS 側のブラウザ保護機能等でdubaに固定されている可能性もありますので、KIS 側の設定も確認してください。

Chrome ということで、駆除が厄介です。
最悪Chrome の再インストールが必要な場合がありますのでご認識を。



■不要と思われるソフトウェアのアンインストール
コントロールパネルからで構いません。無ければ無視で。

・Navinow WebTool 1.0
・Search App by Ask
・Search App by Ask
アドウェアのようです。アンインストールを推奨します。

・JWord プラグイン
環境によっては、トラブルの原因になる場合があります。
特に使っていないのであれば、アンインストールしてしまってもよいかと思います。



■Farber Recovery Scan Tool (FRST)での駆除
まず、ゴミ箱の中から必要なファイルを回収してください。以下の処理を行うとゴミ箱が空になります。
次に、メモ帳を開き、以下のスクリプトをコピー&ペーストしてください。
その後、この内容をFRST.exeのあるフォルダ(今回ですと「ダウンロード」の中でしょうか)に「fixlist.txt」というファイル名で保存してください。


ソース:

Start
Closeprocesses:
Emptytemp:
FF user.js: detected! => C:\Users\FUJITSY\AppData\Roaming\Mozilla\Firefox\Profiles\95l0aqm1.default-1475409541100\user.js [2016-10-02]
FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox => not found
CHR NewTab: Default -> Not-active:"chrome-extension://ejbdobdndcjhdmljipngpeoekdinlohe/homePageRedirect.html", Not-active:"chrome-extension://cnkhddihkmmiiclaipbaaelfojkmlkja/redirect.html"
CHR HKLM\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files\RelevantKnowledge\rlcm.crx 
C:\Program Files\RelevantKnowledge\rlcm.crx
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx 
C:\ProgramData\AskPartnerNetwork\
CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
CHR Extension: (No Name) - C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaahaeginbdcckocjkhbciadcafnep [2015-12-27]
CHR Extension: (Shopping App by Ask) - C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\aaaaahaeginbdcckocjkhbciadcafnep [2015-04-27]
CHR Extension: (Ask Search) - C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\aaaaahlfahldnilidgnlikdckbfehhca [2015-04-27]
CHR Extension: (Ask Search) - C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2015-04-27]
C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaahaeginbdcckocjkhbciadcafnep
C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\aaaaahaeginbdcckocjkhbciadcafnep
C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\aaaaahlfahldnilidgnlikdckbfehhca
C:\Users\FUJITSY\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
CMD: bitsadmin /reset /allusers
CMD: ipconfig /flushdns
CMD: ping www.google-analytics.com
CMD: ping googleads.g.doubleclick.net
CMD: ping connect.facebook.net
CMD: ping doubleclick.net
CMD: ping overture.com
END


保存後、起動中のアプリケーションをできる限り終了してください。
次に、FRSTを起動し、「Fix」を押してください。
駆除作業に伴い、コンピュータが自動的に再起動されます。再起動後に表示されるログの内容を、こちらに添付してください。


■Chrome の設定復旧
Replace New Tab Page 等の拡張機能から、トップページの設定をやり直してください。
場合によっては拡張機能の再インストールが必要かもしれません。


■そのほか
・IIS のプロセスが動いているようですが、ウェブサーバ等運営されているのでしょうか。
・システムの復元が無効化されています。意図的でなければ有効化を。


* Re: ブラウザ乗っ取り(www.duba.com) ( No.5 )
日時: 2018/01/09(火) 00:31:16 < ID:Ap2CXrSFI0 >メンテ
名前: gon

Download:181_5.txt 181_5.txt

イルカ 様
こんばんは、回答ありがとうございます。
FRSTにて処置したところ、乗っ取りは解消された模様です。
(添付資料ご参照願います。)

以下、回答の中での確認事項についての質問です。
> 最近KISで何かしなかったでしょうか。
→直近KISのアップデートを行いました。

> ・Search App by Ask
> ・Shopping App by Ask
→上記アプリのアンインストールができません、良い方法はありますでしょうか?

> ・IIS のプロセスが動いているようですが、ウェブサーバ等運営されているのでしょうか。
→IISのプロセス、がよくわからず申し訳ありませんが、特にウェブサーバ等の運営はしておりません。
これは何をするものでしょうか?

質問ばかりで申し訳ありませんがご教示宜しくお願い致します。

* Re: ブラウザ乗っ取り(www.duba.com) ( No.6 )
日時: 2018/01/09(火) 23:47:40 < ID:E9pic0nBW1 >メンテ
名前: イルカ@管理人
参照: http://www59.atwiki.jp/malware_laboratory/


> FRSTにて処置したところ、乗っ取りは解消された模様です。
> (添付資料ご参照願います。)
このログがもう1つ無いでしょうか?これは2回目実行のもののようで、1回目があるかなと思うのですが。
2回目だからか、何が処理されたのか何も書いていない状態です。



> > ・Search App by Ask
> > ・Shopping App by Ask
> →上記アプリのアンインストールができません、良い方法はありますでしょうか?
無理なものは無視でよいです。
ちなみに、アンインストールできないというのは、「プログラムと機能」に出てこないのか、それとも出てはいるがエラーが起きるということでしょうか?



> > ・IIS のプロセスが動いているようですが、ウェブサーバ等運営されているのでしょうか。
> →IISのプロセス、がよくわからず申し訳ありませんが、特にウェブサーバ等の運営はしておりません。
> これは何をするものでしょうか?
IIS はInternet Information Services の略で、Microsoft が提供するウェブサーバアプリです。
インストールしてある何かしらのソフトが使っている可能性はありますが、不要であれば
コントロールパネル ⇒ プログラムと機能 ⇒ Windowsの機能の有効化または無効化 ⇒ インターネット インフォメーション サービス からアンインストールできます。
* Re: ブラウザ乗っ取り(www.duba.com) ( No.7 )
日時: 2018/01/13(土) 12:49:26 < ID:Ap2CXrSFI0 >メンテ
名前: gon

返信遅れ申し訳ありません。

このログがもう1つ無いでしょうか?これは2回目実行のもののようで、1回目があるかなと思うのですが。
> 2回目だからか、何が処理されたのか何も書いていない状態です。
→申し訳ありません、「Fixlog.txt」ファイルが1つしかなく、1回目のログは見つかりませんでした。

> ちなみに、アンインストールできないというのは、「プログラムと機能」に出てこないのか、それとも出てはいるがエラーが起きるということでしょうか?
→アンインストールしようとすると、「既に存在するアカウントです」と表示されます。

> IIS はInternet Information Services の略で、Microsoft が提供するウェブサーバアプリです。
> インストールしてある何かしらのソフトが使っている可能性はありますが、不要であれば
> コントロールパネル ⇒ プログラムと機能 ⇒ Windowsの機能の有効化または無効化 ⇒ インターネット インフォメーション サービス からアンインストールできます。
→承知いたしました、回答ありがとうございます。
* Re: ブラウザ乗っ取り(www.duba.com) ( No.8 )
日時: 2018/01/14(日) 18:55:19 < ID:E9pic0nBW1 >メンテ
名前: イルカ@管理人
参照: http://www59.atwiki.jp/malware_laboratory/


> →アンインストールしようとすると、「既に存在するアカウントです」と表示されます。
下記ツールで当該項目を修復してみてください。

プログラムのインストールまたは削除をブロックしている問題を解決する
http://support.microsoft.com/ja-jp/help/17588/fix-problems-that-block-programs-from-being-installed-or-removed


> →申し訳ありません、「Fixlog.txt」ファイルが1つしかなく、1回目のログは見つかりませんでした。
了解です。

症状が治まっているのであれば、しばらく様子を見て、ほかに問題がなければ以下の後片付けを。


■後片付け
使ったツールを削除します。

・AdwCleaner
起動後、画面右下にある「アンインストール」を押してください。
本当に削除するかと聞かれるので、「はい」を押すとウィンドウが閉じ、ログなどの関連ファイルがまとめて削除されます。

・Farber Recovery Scan Tool
ダウンロードしたファイルをそのまま削除してください。
また、C:\FRST フォルダを削除してください。
* Re: ブラウザ乗っ取り(www.duba.com) ( No.9 )
日時: 2018/01/17(水) 20:54:58 < ID:Ap2CXrSFI0 >メンテ
名前: gon

度々お返事が遅れ申し訳ありません。
ご紹介いただいたツールでアンインストールができました。

色々と助けていただきありがとうございました。
Page: [1]
 
BBコード
テキストエリアで適用範囲をドラッグし以下のボタンを押します。
装飾と整形

フォント
この文字はフォントのサンプルです
リスト
標準  番号付  題名付

スマイリー
表とグラフ
データ入力
ファイルから入力(txt/csv)
要素の方向:
横軸の数値:
横軸の値 例:2009,2010,2011,2012
直接入力
凡例
カンマ区切り数値 例:1,2,3
横軸の値 例:2009,2010,2011,2012
オプション
出力内容
グラフタイプ
区切り文字
縦軸の単位例:円
横軸の単位例:年度
マーカーサイズ
表示サイズ
確認と適用
Status表示エリア
プレビュー
絵文字
連続入力
外部画像
  • 画像URLを入力し確認ボタンをクリックします。
  • URL末尾は jpg/gif/png のいずれかです。
確認ボタンを押すとここに表示されます。
題名 スレッドをトップへソート
名前 ※必須
E-Mail
URL
添付FILE 文章合計600Kbyteまで
パスワード (記事メンテ時に使用)
コメント

※必須
画像認証
     (画像の数字を入力)

   クッキー保存