window
 
トップページ > 記事閲覧
このエントリーをはてなブックマークに追加
* マルウェアに感染してしまいました……。

日時: 2018/11/06(火) 18:43:51 < ID:98na/x7s7/ >メンテ
名前: ななめ

イルカ様、初めまして。
Chrome起動時にwww.duba.comに移動するように書き換えられてしまいました。
自分ではどうしても駆除の仕方がわからず、ご助力いただきたいです。

過去のスレッドを参考にAdwCleaner、Farber Recovery Scan Toolを使用し、ログを作成しました。
ご確認いただき、アドバイスを頂けると幸いです。
お手数をおかけいたしますが、宜しくお願いいたします。
 
Page: [1]
* Re: マルウェアに感染してしまいました……。 ( No.1 )
日時: 2018/11/06(火) 18:47:24 < ID:98na/x7s7/ >メンテ
名前: ななめ

Download:184_1.txt 184_1.txt

AdwCleanerのログです。

* Re: マルウェアに感染してしまいました……。 ( No.2 )
日時: 2018/11/06(火) 18:50:18 < ID:98na/x7s7/ >メンテ
名前: ななめ

Download:184_2.txt 184_2.txt

FRSTでのファイルです。

* Re: マルウェアに感染してしまいました……。 ( No.3 )
日時: 2018/11/06(火) 18:53:21 < ID:98na/x7s7/ >メンテ
名前: ななめ

Download:184_3.txt 184_3.txt

もう一つFRSTでのファイルです。

何卒宜しくお願いいたします。

* Re: マルウェアに感染してしまいました……。 ( No.4 )
日時: 2018/11/07(水) 19:29:59 < ID:6ltPa6I7w1 >メンテ
名前: イルカ

ななめ さん、こんばんは。管理人のイルカです。

Kingsoft Internet Security を利用されているようですが、Kingsoft 社の製品を利用している環境で、ページがwww.duba.com に固定されてしまうというトラブルが複数報告されています。
Kingsoft Internet Security 側の設定を一度ご確認ください。


さほど対象はありませんが、若干の掃除を。

■Farber Recovery Scan Tool (FRST)での駆除
まず、ゴミ箱の中から必要なファイルを回収してください。以下の処理を行うとゴミ箱が空になります。
次に、メモ帳を開き、以下のスクリプトをコピー&ペーストしてください。
その後、この内容をFRST.exeのあるフォルダ(今回ですとデスクトップ上でしょうか)に「fixlist.txt」というファイル名で保存してください。


ソース:

Start
Closeprocesses:
Emptytemp:
ContextMenuHandlers1-x32: [duba_32bit] -> {D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4} => C:\Program Files (x86)\Kingsoft\kingsoft internet security 2015\kavmenu.dll [2017-10-12] (Kingsoft Corporation)
ContextMenuHandlers1-x32: [duba_64bit] -> {DDEA5705-1BB0-4C03-AC1E-8FF9716A0D51} => C:\Program Files (x86)\Kingsoft\kingsoft internet security 2015\kavmenu64.dll [2017-10-12] (Kingsoft Corporation)
ContextMenuHandlers2-x32: [duba_32bit] -> {D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4} => C:\Program Files (x86)\Kingsoft\kingsoft internet security 2015\kavmenu.dll [2017-10-12] (Kingsoft Corporation)
ContextMenuHandlers2-x32: [duba_64bit] -> {DDEA5705-1BB0-4C03-AC1E-8FF9716A0D51} => C:\Program Files (x86)\Kingsoft\kingsoft internet security 2015\kavmenu64.dll [2017-10-12] (Kingsoft Corporation)
ContextMenuHandlers4-x32: [duba_32bit] -> {D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4} => C:\Program Files (x86)\Kingsoft\kingsoft internet security 2015\kavmenu.dll [2017-10-12] (Kingsoft Corporation)
ContextMenuHandlers4-x32: [duba_64bit] -> {DDEA5705-1BB0-4C03-AC1E-8FF9716A0D51} => C:\Program Files (x86)\Kingsoft\kingsoft internet security 2015\kavmenu64.dll [2017-10-12] (Kingsoft Corporation)
HKLM-x32\...\Command Processor: <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.kingsoft.jp
HKU\S-1-5-21-1973676318-4205335647-1998944794-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.kingsoft.jp/
CMD: bitsadmin /reset /allusers
CMD: ipconfig /flushdns
CMD: ping www.google-analytics.com
CMD: ping googleads.g.doubleclick.net
CMD: ping connect.facebook.net
CMD: ping doubleclick.net
CMD: ping overture.com
Folder:
File:
END


保存後、起動中のアプリケーションをできる限り終了してください。
次に、FRSTを起動し、「Fix」を押してください。
駆除作業に伴い、コンピュータが自動的に再起動されます。再起動後に表示されるログの内容を、こちらに添付してください。
* Re: マルウェアに感染してしまいました……。 ( No.5 )
日時: 2018/11/07(水) 20:51:05 < ID:98na/x7s7/ >メンテ
名前: ななめ

Download:184_5.txt 184_5.txt

イルカさん、返信と指示ありがとうございます。とても心強いです。

お恥ずかしながら、デジタル機器に関してあまり得意ではなく、Kingsoft Internet Security 側の設定というのがいまいちわからなかったのと、今回の件で怖くなったので、即座にウイルス対策ソフトを別のものにしてしまいました。
Kingsoft社の製品をアンインストールすれば、Kingsoft社経由でのこの件の再発は防げるものと考えても大丈夫でしょうか?

そして、指示してくださったFRSTのFixlogを添付させていただきます。
お手数をおかけしますが、ご確認をお願いいたします。

* Re: マルウェアに感染してしまいました……。 ( No.6 )
日時: 2018/11/08(木) 21:30:59 < ID:6ltPa6I7w1 >メンテ
名前: イルカ


> Kingsoft社の製品をアンインストールすれば、Kingsoft社経由でのこの件の再発は防げるものと考えても大丈夫でしょうか?

Kingsoft であれば、インストールしていた頃の設定が残っていることはあるかもしれませんが、再度設定を書き換えられるようなことは無いと思います。
悪質なアドウェアだと、アンインストールしても実は裏で動いていて設定を書き換える…なんてこともありますが、卑しくもセキュリティソフトを名乗る以上は、そこまで悪質ではないでしょう。

ちなみに、変更先はどちらでしょうか。


FRSTのログは正常ですが、現在の状態はどうなっているでしょうか。

もし現在でもdubaが消えていないようであれば、Google Chrome をどうやって起動しているか、いつごろから問題が発生しているのかを教えてください。
* Re: マルウェアに感染してしまいました……。 ( No.7 )
日時: 2018/11/09(金) 01:54:17 < ID:98na/x7s7/ >メンテ
名前: ななめ

なるほど、悪質なアドウェアだとアンインストールでも駄目な場合もあるのですね…勉強になります。
ちなみに変更先はカスペルスキーです。

FRSTのログが正常とのことで安心致しました。

現状は問題なくGoogle Chromeを起動できています。
記憶が正しければAdwcleanerの処理をした際にdubaの表示はなくなっていたように思います。
* Re: マルウェアに感染してしまいました……。 ( No.8 )
日時: 2018/11/09(金) 20:35:23 < ID:6ltPa6I7w1 >メンテ
名前: イルカ

問題が解消したとのことですので、他の問題が無いかをしばらく様子を見てください。
問題が無ければ、ツールは削除しましょう。


■後片付け
使ったツールを削除します。

・AdwCleaner
起動後、画面右下にある「アンインストール」を押してください。
本当に削除するかと聞かれるので、「はい」を押すとウィンドウが閉じ、ログなどの関連ファイルがまとめて削除されます。

・Farber Recovery Scan Tool
ダウンロードしたファイルをそのまま削除してください。
また、C:\FRST フォルダを削除してください。
* Re: マルウェアに感染してしまいました……。 ( No.9 )
日時: 2018/11/10(土) 02:22:30 < ID:98na/x7s7/ >メンテ
名前: ななめ

はい、暫く様子を見ようと思います。

ツールの削除の仕方も教えていただきありがとうございます。

自分では解決方法を探せなくて、とても困っていましたので、こちらの掲示板にたどり着くことが出来、イルカさんに親切に色々と教えていただいて、とても有り難かったです。
この度は本当にありがとうございました!
Page: [1]
 
BBコード
テキストエリアで適用範囲をドラッグし以下のボタンを押します。
装飾と整形

フォント
この文字はフォントのサンプルです
リスト
標準  番号付  題名付

スマイリー
表とグラフ
データ入力
ファイルから入力(txt/csv)
要素の方向:
横軸の数値:
横軸の値 例:2009,2010,2011,2012
直接入力
凡例
カンマ区切り数値 例:1,2,3
横軸の値 例:2009,2010,2011,2012
オプション
出力内容
グラフタイプ
区切り文字
縦軸の単位例:円
横軸の単位例:年度
マーカーサイズ
表示サイズ
確認と適用
Status表示エリア
プレビュー
絵文字
連続入力
外部画像
  • 画像URLを入力し確認ボタンをクリックします。
  • URL末尾は jpg/gif/png のいずれかです。
確認ボタンを押すとここに表示されます。
題名 スレッドをトップへソート
名前 ※必須
E-Mail
URL
添付FILE 文章合計600Kbyteまで
パスワード (記事メンテ時に使用)
コメント

※必須
画像認証
     (画像の数字を入力)

   クッキー保存