マルウェア相談室 - avastでURL:Malが出る。勝手にサイトに飛ばされる

トップページ > 記事閲覧

avastでURL:Malが出る。勝手にサイトに飛ばされる

日時： 2018/04/20(金) 22:34:05 < ID:HT2vJu.tK. >
名前： フェンミン: 　詳細な日付は分からないのですが、1-2か月前程から上記症状が何回も出ております。最近(ここ一日二日)になって勝手にサイトに飛ばされるようになりました。
　お手数ですが、解決の程お願いできないでしょうか？よろしくお願いします。

Page: [1]

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.1 )

日時： 2018/04/20(金) 22:53:11 < ID:HT2vJu.tK. >
名前： フェンミン: 182_1.txt

AdwCleaner使用した結果のログです。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.2 )

日時： 2018/04/20(金) 22:57:17 < ID:HT2vJu.tK. >
名前： フェンミン: 182_2.txt

前回がC00。今回がS00です

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.3 )

日時： 2018/04/21(土) 15:20:43 < ID:KpvalJbdi0 >
名前： イルカ
参照： https://www59.atwiki.jp/malware_laboratory/: フェンミンさん、こんにちは。管理人のイルカです。

症状からすると、URL:Mal と別なページに飛ばされるのは必ずしも同じ原因とは限りませんが、ひとまずいつものツールで調べてみます。
ちなみにですが、Avast のフルスキャンでは何も見つからないのでしょうか？

■Farber Recovery Scan Toolでの検査
以下のURLからFarber Recovery Scan Toolをダウンロードしてください。
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
コンピュータのOSのビット数に応じて、「Download Now 32bit version」あるいは「Download Now 64bit version」を押せばダウンロードできるはずです。
ビット数が分からない場合は、まず64ビット版を試し、動作しない場合は32ビット版を使ってください。

ダウンロード後、実行ファイルを右クリックし「管理者として実行」してください。

FRST起動後、「Scan」を押してください。
スキャン完了後、同じ場所にできます「FRST.txt」「Addition.txt」の2つのファイルを、こちらの掲示板に添付してください。
1投稿当たり1ファイルなので、2回に分けて。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.4 )

日時： 2018/04/21(土) 21:32:07 < ID:HT2vJu.tK. >
名前： フェンミン: 182_4.txt

早速の返信ありがとうございます。

Addition添付します。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.5 )

日時： 2018/04/21(土) 21:52:54 < ID:HT2vJu.tK. >
名前： フェンミン: 182_5.txt

こちらFRST添付します。

症状が出始めた時にフルスキャンを実行しましたが、何も出ませんでした。
もう一度フルスキャン実行してみますのでその結果を報告致します。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.6 )

日時： 2018/04/21(土) 23:13:07 < ID:HT2vJu.tK. >
名前： フェンミン: お世話になっております。フェンミンです。

フルスキャン実行しましたが、特に異常は見つかりませんでした。

以上です。よろしくお願いします。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.7 )

日時： 2018/04/22(日) 16:33:30 < ID:KpvalJbdi0 >

名前： イルカ

参照： https://www59.atwiki.jp/malware_laboratory/

ログを見ましたが、症状の発現がだいぶ前ということもあり、今一つ明確な犯人が絞れません。
こちらの推測が正しければ、マルウェアの侵入は2014年にさかのぼる可能性があります。

とりあえず今見えている範囲で駆除を行ったうえで、他のツールでも見てみましょう。
ただ、もし本当に2014年からマルウェアがいるのであれば、一度リカバリしても良い時期のような気もします。

■Farber Recovery Scan Tool (FRST)での駆除
まず、ゴミ箱の中から必要なファイルを回収してください。以下の処理を行うとゴミ箱が空になります。
次に、メモ帳を開き、以下のスクリプトをコピー＆ペーストしてください。
その後、この内容をFRST.exeのあるフォルダ(今回ですと「ダウンロード」の中でしょうか)に「fixlist.txt」というファイル名で保存してください。

ソース：


Start
Closeprocesses:
Emptytemp:
File: C:\Windows\system32\OpenWith.exe
File: C:\Windows\yfPoQAtesYVDc.exe
File: C:\Program Files (x86)\Common Files\OnYIz.exe
Task: {371EF82D-3329-4832-9E72-D2A79CE07205} - System32\Tasks\{C0BB02A0-3D6E-4A2F-AC09-57B8735D56B2} => C:\Windows\yfPoQAtesYVDc.exe [2014-10-29] (Microsoft Corporation)
Task: {87A67540-6FEE-450E-B0CF-92AB8C6323D2} - System32\Tasks\hlatomernetkolc => C:\Windows\system32\OpenWith.exe [2014-10-29] (Microsoft Corporation)
Task: {BF4C9198-E3D6-43CD-AC4D-182E3C6F8C92} - System32\Tasks\{34F238E2-8810-4497-AE58-3E0947B4121E} => C:\Program Files (x86)\Common Files\OnYIz.exe [2014-10-29] (Microsoft Corporation)
FirewallRules: [{7DE4C73E-7E20-42B6-A045-008466E0712F}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{453A7C74-D7FE-404E-ADB4-972151976BF9}] => (Allow) C:\Windows\yfPoQAtesYVDc.exe
FirewallRules: [{2D077797-E43D-4184-A707-1F761A7085B6}] => (Allow) C:\Program Files (x86)\Common Files\OnYIz.exe
C:\Windows\yfPoQAtesYVDc.exe
C:\Program Files (x86)\Common Files\OnYIz.exe
C:\Users\功士\AppData\Local\Temp\{E54B318F-2FD2-4912-A68A-1CDF4E8A95A0}
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2226320585-714387487-3855243488-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B1570C6DA-9537-4BFE-8EA5-B31CECC69221%7D&gp=811142
CHR HomePage: Default -> inline.go.mail.ru
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\功士\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2018-04-20]
C:\Users\功士\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif
C:\Users\功士\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ngdlmklkpclkhjopnhihdedhjgjmhlaa] - hxxps://clients2.google.com/service/update2/crx
2014-10-29 10:40 - 2014-10-29 10:40 - 000197120 ____N (Microsoft Corporation) C:\Users\功士\UuFifOGHimLy.exe
2014-10-29 10:40 - 2014-10-29 10:40 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\OnYIz.exe
2018-04-20 22:42 - 2016-04-26 10:48 - 001173904 _____ (Baidu) C:\Users\功士\AppData\Local\Temp\1524231777.exe
2018-01-29 23:48 - 2018-01-29 23:49 - 002575544 _____ () C:\Users\功士\AppData\Local\Temp\1wclsfy09z.exe
CMD: bitsadmin /reset /allusers
CMD: ipconfig /flushdns
CMD: ping www.google-analytics.com
CMD: ping googleads.g.doubleclick.net
CMD: ping connect.facebook.net
CMD: ping doubleclick.net
CMD: ping overture.com
END

保存後、起動中のアプリケーションをできる限り終了してください。
次に、FRSTを起動し、「Fix」を押してください。
駆除作業に伴い、コンピュータが自動的に再起動されます。再起動後に表示されるログの内容を、こちらに添付してください。

■Malwarebytes Anti-Malwareによる処置
以下のURLの手順を参考に、スキャンを行い、結果をお知らせください。

MBAMの使い方
http://www59.atwiki.jp/malware_laboratory/pages/7.html

■Microsoft Safety Scannerでのスキャン
以下のURLから、Microsoft Safety Scannerをダウンロードしてください。
http://www.microsoft.com/security/scanner/ja-jp/

ダウンロード後、アプリを実行し、以降はアプリの指示に従ってください。
実行後、結果をお知らせください。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.8 )

日時： 2018/04/22(日) 22:06:17 < ID:OJ79RUOe60 >
名前： フェンミン: 182_8.txt

FLXlog添付します。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.9 )

日時： 2018/04/22(日) 23:02:04 < ID:OJ79RUOe60 >
名前： フェンミン: 182_9.txt

MBAM添付します。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.10 )

日時： 2018/04/22(日) 23:35:29 < ID:OJ79RUOe60 >
名前： フェンミン: Microsoft Safety Scannerでのフルスキャン完了しましたが何も検出されませんでした。

お手数ですが引き続きよろしくお願いします。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.11 )

日時： 2018/04/22(日) 23:48:30 < ID:KpvalJbdi0 >

名前： イルカ

参照： https://www59.atwiki.jp/malware_laboratory/

Malwarebytes Anti-Malware で見つかったものは、すべて駆除してしまってください。

ちなみに、予想に反して、2014年のファイルは、ファイル名は怪しさ満点ですが中身は普通のファイルのようです。
駆除後、症状はどうでしょうか。

直らない場合はFRST の探査範囲を広げてみますが、Chrome のトラブルの場合、再インストールしないと直らないこともあるので、これで何も出なければChromeの再インストールをお勧めすることになります。

■Farber Recovery Scan Toolでの再検査
FRSTの実行ファイルを右クリックし「管理者として実行」してください。
次に、「Optional Scan」の「90 Days Files」にチェックを入れてください。

FRST起動後、「Scan」を押してください。
スキャン完了後、同じ場所にできます「FRST.txt」ファイルを、こちらの掲示板に添付してください。
もし「Addition.txt」も作成された場合には、そちらも併せて、2回に分けて。

■Avast のログの調査
ログが残っているかどうかですが、以下のパスにあるウェブシールドのログを添付してください。

引用：

C:\ProgramData\AVAST Software\Avast\report

ウェブシールド.txt
WebShield.txt

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.12 )

日時： 2018/04/23(月) 23:08:03 < ID:OJ79RUOe60 >
名前： フェンミン: 本日のPM1900頃から起動しっぱなしにしておりますが、今の所全く症状が出なくなりました。

このような症状は初めてだったので不安だったのですが、解決できて良かったです。素早く分かりやすい対応本当にありがとうございました。

2014年のファイルも普通のファイルで安心しました。

Re: avastでURL:Malが出る。勝手にサイトに飛ばされる ( No.13 )

日時： 2018/04/25(水) 20:25:47 < ID:KpvalJbdi0 >
名前： イルカ
参照： https://www59.atwiki.jp/malware_laboratory/: ひとまず直ったようで良かったです。

再発しないか数日様子を見たうえで、問題ないようでしたらツールを削除しましょう。

■後片付け
使ったツールを削除します。

・AdwCleaner
起動後、画面右下にある「アンインストール」を押してください。
本当に削除するかと聞かれるので、「はい」を押すとウィンドウが閉じ、ログなどの関連ファイルがまとめて削除されます。

・Farber Recovery Scan Tool
ダウンロードしたファイルをそのまま削除してください。
また、C:\FRST フォルダを削除してください。

・Microsoft Security Scanner
ダウンロードしたファイルをそのまま削除してください。

・Malwarebytes Anti-Malware
コントロールパネルから、アンインストールしてください。
ポータブル版をダウンロードされた場合などはコントロールパネルに出てきませんが、その場合は実行ファイルをそのまま削除可能です。