Anti-Malware ログチェックお願いします

Malwarebytes Anti-Malwareを使用して、ウィルス駆除をやってみました。
以下が結果のログですが、これで大丈夫なのでしょうか。
補足や、アドバイスありましたらお願いします。
また、削除されたものがどのようなものだったか説明できる方がいましたら教えてください。

++++++++++++++++++++++++++++++++++++++++++++++++

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

定義バージョン： v2013.03.18.15

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
☆[管理者]

2013/03/19 8:11:11
mbam-log-2013-03-19 (08-11-11).txt

スキャンタイプ： クイックスキャン
有効なスキャン領域： メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン　 | ヒューリスティック/Shuriken　エンジンを使用してスキャン　 | 不審なプログラム　（PUP） | 不審な変更　（PUM）
無効なスキャン領域: ピア・ツー・ピアプログラム（P2P）
スキャンしたアイテム数: 219057
経過時間： 15 分, 10 秒

メモリプロセスの検出: 2
C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> 3708 -> 再起動後に削除されます。
C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> 3716 -> 再起動後に削除されます。

メモリモジュールの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 10
HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> 何の措置も取られませんでした。
HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> 何の措置も取られませんでした。
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> 何の措置も取られませんでした。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GBox (Trojan.Dropper) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro1 (Trojan.Dropper) -> 正常に隔離され削除されました。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> 正常に隔離され削除されました。
HKCU\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Internet Saving Optimizer (Adware.DoubleD) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Media Access Startup (Adware.DoubleD) -> 正常に隔離され削除されました。

レジストリ値の検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリデータ項目の検出: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。

フォルダの検出: 1
C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional (Rogue.FakeAV) -> 正常に隔離され削除されました。

ファイルの検出: 5
C:\Users\☆\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> 何の措置も取られませんでした。
C:\Users\☆\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> 何の措置も取られませんでした。
C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> 再起動後に削除されます。
C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> 再起動後に削除されます。
C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional\Disk Antivirus Professional.lnk (Rogue.FakeAV) -> 正常に隔離され削除されました。

(終)

No.3 ベストアンサー 回答者： nekobox 回答日時： 2013/03/19 12:23

こんにちは。

まず、本題に入る前に一言申し上げます。

基本的にこういったサイトは通りすがりの人間が気ままに回答してるだけということをまず頭に入れておいて下さい。一応セキュ板なのですが、ろくな知識しかないのに回答される方も少なくないです。ルール上スキルレベルは担保されているわけではないということ。いまどきDropperを知らないで回答者やろうなんて私には理解できません。


本題に入ります。

Disk Antivirus Professionalは知恵袋のほうでも非常に質問が多いマルウェアです。要はインチキスキャン結果を示して不安を煽って情報、金銭詐取を目論んでいます。OSやアプリケーションソフトのアップデートを怠っていると感染する可能性があります。いわゆるDrive by Downloadといわれる手法で送り込まれてきます。

で、PUPというのはPotentially Unwanted Programの略です。望ましくないプログラムといった意味です。いわゆるアドウェアの類です。いりもしないツールバーとかそういった類です。


あなたあれですよね、たぶん自分でフリーソフトとか仕入れてきてインストールオプションとかろくに確認しないで実行したりしてません？

そういう不用意なことしてるとブラウザに勝手に付け加えられたり、システム設定変更されたりします。



で、結論的に申しますと、ぶっちゃけ多重感染状態にありましたのでリカバリ推奨。

MalwareBytes Anti-Malwareは確かに優秀ですけど、このソフトだけで現存するすべてのマルウェアを暴きだしてきれいさっぱり駆除できるとは限らないので。


複数のそれぞれ異なるマルウェアのオブジェクトが検出されている場合はちゃっちゃとリカバリしてしまったほうが賢明です。




復旧後、以下を必ず実践すること。

https://www.ccc.go.jp/knowledge/


加えて、平時のシステムバックアップアイメージを必ず取っておくこと。

No.14 回答者： nekobox 回答日時： 2013/03/20 12:41

失礼、スペル誤記

正：Crimeware

No.13 回答者： nekobox 回答日時： 2013/03/20 12:40

セキュリティーのことなんてもともと気軽に語れる分野じゃないのですが、基礎知識すっぽ抜けた状態で回答される方見受けられます。

ここのサイトでCrirewareなんて言葉出したの私が最初です。

今のマルウェアの世界ってのは拝金主義になってるんです。昔みたいな自己顕示欲だけの時代とはまるっきり違ってます。つい数日前にあるクラッカーコミュのランサムウェアセクション私はお見せしましたし。


今回の結論的にはaku_dai_kanさん言われるように、リカバリが最善策です。


今回は致し方ないので、リカバリかけて、以後は最初の回答で書いたように感染しにくい環境作りに力を注いだらいいと思います。


回答する側に立たれる方は、スキルを身につけた上で回答されるようにしたほうがいいですね。

基礎知識もないような状態で回答してしまうと質問者ならびに閲覧者に間違った認識を与えてしまう可能性が高くなります。

No.12 回答者： nekobox 回答日時： 2013/03/20 12:28

Malwarebytes Proの検出ログではご丁寧に3つもPCにマルウェアが送り込まれてきたのがわかりますが、そのときのWireShark(パケットキャプチャソフト)による通信記録の一部をお見せします。

画像でapplication/x-msdownloadとなってるのが3つありますが、これがMalwarebytesで3つ検出されたexe実行ファイルです。ちなみに、ft.exeとありますがこれは違います。

No.11 回答者： nekobox 回答日時： 2013/03/20 12:18

nekobxです。

参考までに私がわざとDrive by Downloadを仕掛けてくるサイトにアクセスしたときのMalwarebytes Anti-Malware Proによる検出ログお見せします。

No.10 回答者： noname#178551 回答日時： 2013/03/20 08:59

このサイト最近 始めたばかりで

何も知らないし 誰も知らないけど
妙に偏ってるなｗ

初心者が普通に相談に来れるようなサイトで
あって欲しいです。

質問に関係ない話ですが
削除覚悟での一言です。

では＾＾

この回答への補足

そんなことはないですよ。
個人情報対策の為、定期的にIDを作り直してはいますが
2001年からOkwave（以前はOkweb）やっていますが
昔からそうです。
それでも色々な意見が聞けて嬉しいです。

長いことPCをやってますが、年の1/3は海外や移動ばかりで
PCに関して学んでいる時間やらないので
殆ど都内のショップで何かある毎にメンテナンスやら任せています。
サポートだと、返却の際に自宅にいないことが多いので。

毎回PCに関しては初心者ですから、どんな形であれ回答は嬉しいです。

補足日時：2013/03/20 16:24

No.9 回答者： nekobox 回答日時： 2013/03/20 02:25

主さんに申しますけど、よくわかっていない人の意見聞いても駄目ですよ。

ちゃんとわかってるのaku_dai_kanさんと俺だけだから。

No.8 回答者： noname#178551 回答日時： 2013/03/20 00:48

＞海外でフィルターブラウザを導入した際に入ってしまったよう

他の方の回答にあるように 外部と通信の可能性あるので
できるだけ できれば ネットには繋がないことですね。

どうしても必要なデータは 他へ移動し
綺麗な状態のPCに接続するときは
しつこいほどまでに スキャン掛けてからでないと
安心できないと思います。

あと知り合いや 仕事などで PCと繋がりある人に
連絡しておくのも 二次被害を最小化できますね。
間違ってもこのPCで
メール送信とかしないほうがいいです。

No.7 回答者： noname#178551 回答日時： 2013/03/19 21:29

最悪にして 悪い結果と言えるかもしれませんが

何より 質問者さんの脅威に対する意識が問題だと思います。

文章読んで おそらくですが
２つ（２個ていど）検出されました
なんか分からないけど １０個みつかったなあ
程度の認識だと感じ取ります。

もしかしたら えっ？これでリカバリするの？
なんて思うかもしれません。

最近 思うけど 感染した場合
いっそのことエラー等が起きて
OS起動不可になってくれたほうがマシです。

この感染を見るかぎり 他の方の回答にあるように
情報を盗まれるとか そういった脅威を心配するべきでしょう。

また いろんなソフトでスキャン・駆除したところで
時間が立つと検出されたり
ドアを作られ どこかと通信していない という保障はないでしょう
リカバリを奨めるのは 最終的にそれが分かるからだと思います。

ただ このままリカバリだと
これがなんであったのか？が知らないままになります。
なので HijackThis 等で細かいログを取り その内容から
どういったものをインストールすると
こういった感染が起きるのか？ということを知る
いい機会だと思いますよ。
また アドオンやツールバーといったものの危険性を
初心者の人にも知るいい機会だとおもいますけどね。

質問者さんは キージェネとかでゲームをされる人かと思ったけど
どうやら 悪いものを自ら入れてしまったようですね。
そのプログラムが 良いものであるかは
使用者にしか 判断の選択をできません。
安易に入れること自体が 意識的に問題あると思います。

この回答への補足

海外でフィルターブラウザを導入した際に入ってしまったようです。

やはりリカバリですか。。
帰国したら、専門のショップに持っていくつもりでしたが
その前に最悪な場合のことを知っておきたかったので。。

ありがとうございます。

補足日時：2013/03/20 00:12

No.6 回答者： aku-dai-kan 回答日時： 2013/03/19 18:55

2番の7kayさんが貼ってくれたリンク先で駄回答した者です。

>"DisplayName"="Funmoods"
がどれのことか良く分かりません。m(__)m

>HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj
のあたりです。Chromeの拡張に入り込んでいますね。

他にもI Want Thisやら
>HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab)

OptimizerProやら
>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro1 (Trojan.Dropper)

Media Accessやら
>HKLM\SOFTWARE\Media Access Startup (Adware.DoubleD)

いろいろと入り込んでますね。
他の方も書かれているように、それらはおかしなサイトから他のアプリ等やゲーム等をダウンロードした際に、同梱されてくることが多い「アドウェア」と称されるものです。

上記の検出だけならMBAMで処置されてますし、それらのアドウェアだけなら危険度は少ないものでもあったので、他に感染がなければよかったのですが…
残念ながら深刻な感染が見えてます。

>C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional (Rogue.FakeAV)

このDisk Antivirus Professionalというのは日本国内でも被害例急増中の、かなり悪質なマルウェアです。
検出されてもそれで処置できるような生易しい代物ではなく、対処としてはPCのリカバリが最推奨です。
これについては下記のサイト様で詳しい説明と対処が書かれているので、全部よく読んでください。
http://milksizegene.blog.fc2.com/blog-entry-113. …
http://milksizegene.blog.fc2.com/blog-entry-127. …
上記は自分などより知識も経験もある信頼できる方のサイトです。
これに沿ってリカバリするのが安全ですが、リカバリ前には「パーティションの確認」も必ずしてください。
下記ページもよく読んでから
http://milksizegene.blog.fc2.com/blog-entry-34.h …
不審パーティションが見つかれば、それを手動目視で削除してからリカバリしてください。

リカバリ後はそのPCで入力したことのある各種パスワード等の個人情報も可能な限り全変更をおすすめします。
もしすでに漏えいしていたら、それによる2次、3次被害もあり得ます。

また、他の方が書かれているように各種アプリの更新やWindowsUpdateも常に適用して脆弱性を修正することも必須です。

以上を理解されたらそのPCはLANを抜くなりしてネットから物理的に切断した状態で、必要なデータのバックアップしてから、それがすんだらすみやかにリカバリをどうぞ。
ネット切断するのは作業中でも外部から不正アクセスがあったら、それを阻害されるおそれもあるからです。

以後はPC環境とセキュリティ意識を再構築しながら、安全なPCライフをどうぞ
ここでのベストアンサーは他の方にどうぞ。自分は案内だけなので