Anti-Malware ログチェックお願いします

Malwarebytes Anti-Malwareを使用して、ウィルス駆除をやってみました。
以下が結果のログですが、これで大丈夫なのでしょうか。
補足や、アドバイスありましたらお願いします。
また、削除されたものがどのようなものだったか説明できる方がいましたら教えてください。

++++++++++++++++++++++++++++++++++++++++++++++++

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

定義バージョン： v2013.03.18.15

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
☆[管理者]

2013/03/19 8:11:11
mbam-log-2013-03-19 (08-11-11).txt

スキャンタイプ： クイックスキャン
有効なスキャン領域： メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン　 | ヒューリスティック/Shuriken　エンジンを使用してスキャン　 | 不審なプログラム　（PUP） | 不審な変更　（PUM）
無効なスキャン領域: ピア・ツー・ピアプログラム（P2P）
スキャンしたアイテム数: 219057
経過時間： 15 分, 10 秒

メモリプロセスの検出: 2
C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> 3708 -> 再起動後に削除されます。
C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> 3716 -> 再起動後に削除されます。

メモリモジュールの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 10
HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> 何の措置も取られませんでした。
HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> 何の措置も取られませんでした。
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> 何の措置も取られませんでした。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GBox (Trojan.Dropper) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro1 (Trojan.Dropper) -> 正常に隔離され削除されました。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> 正常に隔離され削除されました。
HKCU\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Internet Saving Optimizer (Adware.DoubleD) -> 正常に隔離され削除されました。
HKLM\SOFTWARE\Media Access Startup (Adware.DoubleD) -> 正常に隔離され削除されました。

レジストリ値の検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリデータ項目の検出: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。

フォルダの検出: 1
C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional (Rogue.FakeAV) -> 正常に隔離され削除されました。

ファイルの検出: 5
C:\Users\☆\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> 何の措置も取られませんでした。
C:\Users\☆\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> 何の措置も取られませんでした。
C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> 再起動後に削除されます。
C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> 再起動後に削除されます。
C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional\Disk Antivirus Professional.lnk (Rogue.FakeAV) -> 正常に隔離され削除されました。

(終)

No.1 回答者： noname#178551 回答日時： 2013/03/19 10:22

対策ソフトは何を使っていましたか？

素人目に見ても 十分 怖いと感じる。
Disk Antivirus Professional（偽ソフト？）
OptimizerPro1.exe ・Trojan.Dropper（偽ソフト？）
GBoxとは どのようなソフトですか？
これらは自分で入れたソフトですか？

Dropperがメモリで検出というのが気になり調べたら
http://www.symantec.com/ja/jp/security_response/ …
これ見ると実効されたあとのようです。
目に見えない 隠れた脅威に要注意でしょう。

いろんなスキャン試したり
オンラインスキャンで複数のスキャン掛けないと
かなり怖いと感じます。

何もでなくても PCが不調であれば自分ならリカバリしますね。

まあ 専門家の意見を待ちましょうｗ。

PUP.FunMoods PUP とはどんなものか知らないけど
自分なら こんなの見たら 即 削除しますね。
ブラウザのデータなので 削除しても問題ないものだし。
何か どこかと通信でもしてそうで怖いかな。
内部まで調べる知識はないけどねｗ。

自分の環境では まず目にしない不審なファイルです。

No.2 回答者： noname#178551 回答日時： 2013/03/19 11:42

簡単には 片付かないようですね。

このページの
http://bbs.higaitaisaku.com/cbbs.cgi?mode=res&nu …
「更に、下記はそれ以上に曲者で、ここの掲示板や他のサイトでも相談多数のアドウェアです。
>"DisplayName"="Funmoods"
当然これもIUでアンインストールしてください。
が、これについてはアンインストールしただけでは片付かないので、続きの説明見たうえでの作業もしっかりお願いします。」

一度 HijackThis でログ取ってみてはどうですか？

バックドアとやらとかで
何かの通信してるように思われますが。。


このページのログもすごいけど；
あなたの場合も似た感じかもしれません＾＾；

この回答への補足

>"DisplayName"="Funmoods"
がどれのことか良く分かりません。m(__)m

補足日時：2013/03/19 18:01

No.3 ベストアンサー 回答者： nekobox 回答日時： 2013/03/19 12:23

こんにちは。

まず、本題に入る前に一言申し上げます。

基本的にこういったサイトは通りすがりの人間が気ままに回答してるだけということをまず頭に入れておいて下さい。一応セキュ板なのですが、ろくな知識しかないのに回答される方も少なくないです。ルール上スキルレベルは担保されているわけではないということ。いまどきDropperを知らないで回答者やろうなんて私には理解できません。


本題に入ります。

Disk Antivirus Professionalは知恵袋のほうでも非常に質問が多いマルウェアです。要はインチキスキャン結果を示して不安を煽って情報、金銭詐取を目論んでいます。OSやアプリケーションソフトのアップデートを怠っていると感染する可能性があります。いわゆるDrive by Downloadといわれる手法で送り込まれてきます。

で、PUPというのはPotentially Unwanted Programの略です。望ましくないプログラムといった意味です。いわゆるアドウェアの類です。いりもしないツールバーとかそういった類です。


あなたあれですよね、たぶん自分でフリーソフトとか仕入れてきてインストールオプションとかろくに確認しないで実行したりしてません？

そういう不用意なことしてるとブラウザに勝手に付け加えられたり、システム設定変更されたりします。



で、結論的に申しますと、ぶっちゃけ多重感染状態にありましたのでリカバリ推奨。

MalwareBytes Anti-Malwareは確かに優秀ですけど、このソフトだけで現存するすべてのマルウェアを暴きだしてきれいさっぱり駆除できるとは限らないので。


複数のそれぞれ異なるマルウェアのオブジェクトが検出されている場合はちゃっちゃとリカバリしてしまったほうが賢明です。




復旧後、以下を必ず実践すること。

https://www.ccc.go.jp/knowledge/


加えて、平時のシステムバックアップアイメージを必ず取っておくこと。

No.4 回答者： hdmilfia 回答日時： 2013/03/19 15:06

もしこのまま使いたい場合はルートキットの駆除確認という作業がまだ残っています。

カペススキー社であれば「TDSSKiller」、シマンテック社であれば「FixTDSS」をダウンロードし、実行します。
ここで不正プログラムが検出されたら同様に駆除していきます。これが終われば、一応パソコンはこのまま使うことができます。

マルウェア感染の場合、同時にルートキットという不正プログラムに感染されていることがあります。これは主にバックドア（乗っ取りに使うポート）を開き、いつでもパソコンを乗っ取ることをできるようにするものです。やはりウイルス対策ソフトでの対応は難しいです。

心配であれば、現時点でデータは無事だと思いますので今まで通りパソコンを使う傍らでデータのバックアップを進めていき、準備ができたらフォーマットして新しいOSをインストール、もしくは今のOSを使い続けるのであればリカバリしてみる、という考え方でいいでしょう。ここまでできれば確実。あとはJava、Adobe Reader、Adobe Flash Player、windowsのアップデートを怠らないようにするだけです！

早急のリカバリといった「一発退場」は現時点では不要ですが、将来的なことを考慮するのであればデータバックアップといった準備だけでも進めておきましょう。

No.5 回答者： nekobox 回答日時： 2013/03/19 16:00

nekoboxです。

あるルートキットスキャンの結果をお見せします。

有名どころのルートキットスキャナーを集めてやってみたのですが、検出できたのはこのGMERとMcAfee Rootkit Detectiveだけでした(テスト時点)

つまりは、こうしたルートキットスキャナーでもばらつきがあるということです。


以下の質問において私は「スキャナーだけに頼っても駄目なんですよ」と回答してます。

http://oshiete.goo.ne.jp/qa/7998315.html



はっきり言いましょう。、今現在、あるシステム上において100%マルウェアが存在しないことを証明できる手法は確立されていません。


したがって、今回のように明らかに複数のそれぞれ異なるマルウェアのオブジェクトが検出されれてるのですからリカバリを選択されたほうが間違いありません。


あとはあなたの判断しだいです。



以上です。

No.6 回答者： aku-dai-kan 回答日時： 2013/03/19 18:55

2番の7kayさんが貼ってくれたリンク先で駄回答した者です。

>"DisplayName"="Funmoods"
がどれのことか良く分かりません。m(__)m

>HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj
のあたりです。Chromeの拡張に入り込んでいますね。

他にもI Want Thisやら
>HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab)

OptimizerProやら
>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro1 (Trojan.Dropper)

Media Accessやら
>HKLM\SOFTWARE\Media Access Startup (Adware.DoubleD)

いろいろと入り込んでますね。
他の方も書かれているように、それらはおかしなサイトから他のアプリ等やゲーム等をダウンロードした際に、同梱されてくることが多い「アドウェア」と称されるものです。

上記の検出だけならMBAMで処置されてますし、それらのアドウェアだけなら危険度は少ないものでもあったので、他に感染がなければよかったのですが…
残念ながら深刻な感染が見えてます。

>C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional (Rogue.FakeAV)

このDisk Antivirus Professionalというのは日本国内でも被害例急増中の、かなり悪質なマルウェアです。
検出されてもそれで処置できるような生易しい代物ではなく、対処としてはPCのリカバリが最推奨です。
これについては下記のサイト様で詳しい説明と対処が書かれているので、全部よく読んでください。
http://milksizegene.blog.fc2.com/blog-entry-113. …
http://milksizegene.blog.fc2.com/blog-entry-127. …
上記は自分などより知識も経験もある信頼できる方のサイトです。
これに沿ってリカバリするのが安全ですが、リカバリ前には「パーティションの確認」も必ずしてください。
下記ページもよく読んでから
http://milksizegene.blog.fc2.com/blog-entry-34.h …
不審パーティションが見つかれば、それを手動目視で削除してからリカバリしてください。

リカバリ後はそのPCで入力したことのある各種パスワード等の個人情報も可能な限り全変更をおすすめします。
もしすでに漏えいしていたら、それによる2次、3次被害もあり得ます。

また、他の方が書かれているように各種アプリの更新やWindowsUpdateも常に適用して脆弱性を修正することも必須です。

以上を理解されたらそのPCはLANを抜くなりしてネットから物理的に切断した状態で、必要なデータのバックアップしてから、それがすんだらすみやかにリカバリをどうぞ。
ネット切断するのは作業中でも外部から不正アクセスがあったら、それを阻害されるおそれもあるからです。

以後はPC環境とセキュリティ意識を再構築しながら、安全なPCライフをどうぞ
ここでのベストアンサーは他の方にどうぞ。自分は案内だけなので

No.7 回答者： noname#178551 回答日時： 2013/03/19 21:29

最悪にして 悪い結果と言えるかもしれませんが

何より 質問者さんの脅威に対する意識が問題だと思います。

文章読んで おそらくですが
２つ（２個ていど）検出されました
なんか分からないけど １０個みつかったなあ
程度の認識だと感じ取ります。

もしかしたら えっ？これでリカバリするの？
なんて思うかもしれません。

最近 思うけど 感染した場合
いっそのことエラー等が起きて
OS起動不可になってくれたほうがマシです。

この感染を見るかぎり 他の方の回答にあるように
情報を盗まれるとか そういった脅威を心配するべきでしょう。

また いろんなソフトでスキャン・駆除したところで
時間が立つと検出されたり
ドアを作られ どこかと通信していない という保障はないでしょう
リカバリを奨めるのは 最終的にそれが分かるからだと思います。

ただ このままリカバリだと
これがなんであったのか？が知らないままになります。
なので HijackThis 等で細かいログを取り その内容から
どういったものをインストールすると
こういった感染が起きるのか？ということを知る
いい機会だと思いますよ。
また アドオンやツールバーといったものの危険性を
初心者の人にも知るいい機会だとおもいますけどね。

質問者さんは キージェネとかでゲームをされる人かと思ったけど
どうやら 悪いものを自ら入れてしまったようですね。
そのプログラムが 良いものであるかは
使用者にしか 判断の選択をできません。
安易に入れること自体が 意識的に問題あると思います。

この回答への補足

海外でフィルターブラウザを導入した際に入ってしまったようです。

やはりリカバリですか。。
帰国したら、専門のショップに持っていくつもりでしたが
その前に最悪な場合のことを知っておきたかったので。。

ありがとうございます。

補足日時：2013/03/20 00:12

No.8 回答者： noname#178551 回答日時： 2013/03/20 00:48

＞海外でフィルターブラウザを導入した際に入ってしまったよう

他の方の回答にあるように 外部と通信の可能性あるので
できるだけ できれば ネットには繋がないことですね。

どうしても必要なデータは 他へ移動し
綺麗な状態のPCに接続するときは
しつこいほどまでに スキャン掛けてからでないと
安心できないと思います。

あと知り合いや 仕事などで PCと繋がりある人に
連絡しておくのも 二次被害を最小化できますね。
間違ってもこのPCで
メール送信とかしないほうがいいです。

No.9 回答者： nekobox 回答日時： 2013/03/20 02:25

主さんに申しますけど、よくわかっていない人の意見聞いても駄目ですよ。

ちゃんとわかってるのaku_dai_kanさんと俺だけだから。

No.10 回答者： noname#178551 回答日時： 2013/03/20 08:59

このサイト最近 始めたばかりで

何も知らないし 誰も知らないけど
妙に偏ってるなｗ

初心者が普通に相談に来れるようなサイトで
あって欲しいです。

質問に関係ない話ですが
削除覚悟での一言です。

では＾＾

この回答への補足

そんなことはないですよ。
個人情報対策の為、定期的にIDを作り直してはいますが
2001年からOkwave（以前はOkweb）やっていますが
昔からそうです。
それでも色々な意見が聞けて嬉しいです。

長いことPCをやってますが、年の1/3は海外や移動ばかりで
PCに関して学んでいる時間やらないので
殆ど都内のショップで何かある毎にメンテナンスやら任せています。
サポートだと、返却の際に自宅にいないことが多いので。

毎回PCに関しては初心者ですから、どんな形であれ回答は嬉しいです。

補足日時：2013/03/20 16:24